24
Inhaltsverzeichnis
Hinweise zu dieser Datei Diese PDF wurde für die Ausgabe auf dem Bildschirm optimiert und kann mit dem Adobe Acrobat Reader ab Version 4, einem kostenlosen Zusatzprogramm, angezeigt werden. Die meisten Bilddaten liegen aus produktionstechnischen Gründen in Graustufen vor.
Die jeweils aktuelle Fassung des Acrobat Readers können Sie von folgender Adresse laden: www.adobe.de/products/acrobat/readstep.html
Die Einträge im Inhaltsverzeichnis können als aktive Links in das Dokument benutzt werden. Innerhalb des Dokuments können Sie die Verweise auf andere Seiten aus produktionstechnischen Gründen nicht direkt ausführen. Eine Volltextsuche ist aber im gesamten Text möglich.
Diese Datei ist Teil des Buches Windows 2000 im professionellen Einsatz und damit ebenfalls urheberrechtlich geschützt. Eine Vervielfältigung und Weitergabe dieses elektronischen Dokuments verstößt gegen die Urheberrechtsbestimmungen und wird strafrechtlich verfolgt. Beachten Sie dazu auch die Hinweise im Impressum.
Uwe Bünning Jörg Krause
Windows 2000 im professionellen Einsatz Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk
Die Autoren: Uwe Bünning, Berlin Jörg Krause, Berlin
Internet: http://www.hanser.de
Alle in diesem Buch enthaltenen Informationen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor und Verlag übernehmen infolgedessen keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht, auch nicht für die Verletzung von Patentrechten, die daraus resultieren können. Ebenso wenig übernehmen Autor und Verlag die Gewähr dafür, dass die beschriebenen Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt also auch ohne besondere Kennzeichnung nicht zu der Annahme, daß solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. © 2000 Carl Hanser Verlag München Wien Gesamtlektorat: Franz Domaschke Copy-editing: Michael Taggatz, Berlin Herstellung: Monika Kraus Umschlaggestaltung: Zentralbüro für Gestaltung, Augsburg Satz: Uwe Bünning und Jörg Krause, Berlin Belichtung, Druck und Bindung: Kösel, Kempten Printed in Germany ISBN 3-446-21497-6
Präambel
5
Präambel Der Mathematiker, Programmierer und SF-Autor Rudy Rucker sagt: »Im Vergleich mit der Wirklichkeit, werden Computer stets schlechter sein. Aber es gibt die Computer, damit wir sie benutzen, und wenn wir sie vernünftig einsetzen, dann können sie uns lehren, die Wirklichkeit besser zu genießen als jemals zuvor.« Das ist beim Umgang mit modernen Computern nicht immer einfach nachzuvollziehen. Auf der einen Seite genießen wir die technischen Möglichkeiten, die Fortschritte der Technik und die ohne jeden Zweifel vorhandene Steigerung der eigenen Produktivität. Zum anderen fluchen wir so oft über die Unzulänglichkeiten der Technik, das Versagen der Systeme und nicht zuletzt auch über das eigene Unvermögen, das Letzte aus einem Computer herauszuholen. Rudy Rucker soll uns noch ein Mal als Wegbereiter einer Idee dienen. In seiner SFErzählung »The Hacker and The Ants« sagt er: »Hacken gleicht dem Bau einer großen Kathedrale mit Zahnstochern, abgesehen davon, dass dann, wenn ein Zahnstocher nicht an seinem Platz ist, der ganze Bau verschwindet. Und dann muss man die unsichtbare Kathedrale suchen und sich überlegen, welcher Zahnstocher falsch platziert ist. Debugger machen das ein wenig einfacher, da ein wirklich ausgefeiltes Programm auf dem letzten Stand auch diese Fehler finden kann, weswegen dies der Situation gleicht, dass man nach einem fehlenden Zahnstocher mit einer von einem Schlaganfall gelähmten Hand sucht. Aber da ist doch die Schönheit eines dunklen Traums vom Messer eines Hackers, das gegen eine verborgene Wand stößt, die man nur selbst sehen kann, über die man sich nur als Programmierer mit den ganz neuen Werkzeugen beklagt, die man während der Arbeit entwickelt hat, den speziellen neuen Zahnstocher- und Puzzleteilen und dem Rasierapparat für Fehler – man selbst ganz alleine mit den eigenen wunderbaren Werkzeugen. Hacker sind oft Menschen, die keine gute Beziehungen mit anderen Menschen haben. Sie genießen es, so viel Zeit mit der Interaktion mit einem Computer ohne Gefühlen verbringen zu können. Die Reaktionen des Computers sind klar und objektiv. Anders wie beispielsweise ein Vater oder eine Mutter oder auch ein offizieller Boss teilt der Computer keine Fehlermeldung einfach nur deswegen mit, weil er die eigene Haltung oder Erscheinungsweise nicht mag. Ein Computer hört niemals auf den Bombast der großen Männer in der Universität oder auf das abschätzige Gerede der Cheerleader, er vernimmt nur die logischen Arabesken der ehrlichen Hacker.« In einem Artikel über die Lust am Hacken brachte er sein eigenes Zitat in Bezug auf den modernen Umgang mit Computern auf den Punkt: »Jeder, der einen Computer besitzt, ist notwendigerweise ein bisschen ein Hacker. Selbst wenn man lediglich ein Textverarbeitungsprogramm und ein wenig E-Mail verwendet, erhält man schnell den Eindruck, dass der Raum innerhalb des eigenen Computers ein Ort ist, an dem man gut arbeiten kann. Man ist stolz auf die erlernten Tricks, mit denen man seine Maschine richtig funktionieren lässt. Dank des eigenen Wissens
6
Präambel sind die Dokumente gesichert, kommen die Mitteilungen und gelangen zu ihrem Bestimmungsort. Im Unterschied zur wirklichen Welt ist die Welt des Computers sicher und kontrollierbar. In ihm geschieht alles auf logische Weise. Zumindest geht man davon aus. Der Computer gilt als Schutzburg vor dem unvorhersehbaren Chaos der zwischenmenschlichen Beziehungen und der tyrannischen Irrationalität der Gesellschaft. Wenn etwas mit dem eigenen Computer nicht so richtig funktioniert, wenn man beispielsweise mühsam die Lernkurve für ein neues Programm hinaufklettert oder, noch schlimmer, eine neue Hardware oder ein neues Betriebssystem installiert, können Angst und Ärger über Gebühr wachsen. ›Das sollte der Teil der Welt sein, den ich kontrollieren kann!‹ Aber anders als in der wirklichen Welt erweisen sich alle Probleme als lösbar, manchmal einfach dadurch, dass man andere fragt, oder manchmal, indem man sich ein neues Zubehör kauft oder ein Techniker mit seiner heilenden Hand eingreift. Die Welt der Computer ist ein Platz, an dem alles ein gutes Ende nimmt.«
Wenn Sie Windows 2000 installieren, administrieren und anwenden, sollten Sie sich ein klein wenig wie ein Hacker fühlen. Dieses Buch soll Ihnen helfen, nicht nur an der Oberfläche zu kratzen und sich dem Ärger über Fehlfunktionen hinzugeben. Es soll Sie dazu führen, die Maschine zu verstehen, sie zu verwenden und sie nicht zuletzt bis an die Grenze ihrer Leistungsfähigkeit auszunutzen.
Berlin, im September 2000
Uwe Bünning
Jörg Krause
Inhaltsverzeichnis
7
Inhaltsverzeichnis Präambel..................................................................................................................5 Inhaltsverzeichnis .................................................................................................7
Teil I - Einführung ........................................................................................25 1
Einführung .....................................................................................................29
1.1
Über das Buch .......................................................................................................... 29
1.1.1
Die Buchreihe........................................................................................................ 29
1.1.2
Die Herausforderung ............................................................................................. 30
1.1.3
Die Konzeption...................................................................................................... 30
1.1.4
Zielgruppe ............................................................................................................. 31
1.1.5
Struktur und Aufbau .............................................................................................. 32
1.1.6
Verwendete Symbole............................................................................................. 34
1.1.7
Schreibweise.......................................................................................................... 34
1.1.8
Entstehung ............................................................................................................. 34
1.2 2
Danksagung .............................................................................................................. 35
Die Neuerungen im Überblick...................................................................39
2.1
Active Directory – der neue Verzeichnisdienst ........................................................ 39
2.2
Neue Sicherheitsmechanismen ................................................................................. 41
2.2.1
Sichere Authentifizierung – Kerberos ................................................................... 42
2.2.2
Sicherer Datentransfer – IPSec.............................................................................. 42
2.2.3
Virtuelle Private Netzwerke und L2TP ................................................................. 43
2.2.4
Unterstützung von SmartCards.............................................................................. 43
2.2.5
Das Encrypting File System (EFS)........................................................................ 44
2.3
Neues Datenträgermanagement ................................................................................ 44
2.3.1
Dynamische Datenträger ....................................................................................... 45
2.3.2
Bereitstellungspunkte für Datenträger ................................................................... 46
2.3.3
Datenträgerkontingente (Disk Quotas) .................................................................. 46
2.3.4
Jetzt auch unterstützt: FAT32................................................................................ 47
2.4 2.4.1
Unterstützung neuer Hardware-Technologien.......................................................... 47 Wichtige unterstützte Technologien für Windows 2000 Professional................... 48
8
Inhaltsverzeichnis
2.4.2 2.5
Wichtige unterstützte Technologien für den Notebook-Einsatz ............................ 51 Die Neuerungen der Benutzeroberfläche .................................................................. 52
2.5.1
Der Desktop von Windows 2000 Professional ...................................................... 52
2.5.2
Intelligente Menüs und das Startmenü................................................................... 55
2.5.3
Neue Dateidialogfenster......................................................................................... 56
2.5.4
Weborientierte Ordneransichten ............................................................................ 57
2.5.5
Webinhalte auf dem Desktop................................................................................. 58
2.5.6
Erweiterte Suchfunktionen..................................................................................... 59
2.6
Vereinfachungen für die Administration .................................................................. 62
2.6.1
Die Managementkonsole ....................................................................................... 62
2.6.2
Assistenten ............................................................................................................. 63
2.6.3
Softwareinstallation ............................................................................................... 63
2.7
Die Windows 2000 – Produktpalette ........................................................................ 63
2.7.1
Windows 2000 Professional .................................................................................. 63
2.7.2
Windows 2000 Server............................................................................................ 64
2.7.3
Windows 2000 Advanced Server........................................................................... 64
2.7.4
Windows 2000 Datacenter Server.......................................................................... 64
2.7.5
Die vier Windows 2000-Versionen im Überblick ................................................. 64
2.8
Zur Geschichte von Windows 2000.......................................................................... 65
Teil II – Grundlagen .....................................................................................71 3
Die Windows-Systemarchitektur .............................................................. 75
3.1
Modularer Aufbau..................................................................................................... 75
3.2
Innere Struktur – Windows Executive ...................................................................... 77
3.3
Netzwerkarchitektur.................................................................................................. 81
4
Massenspeicherverwaltung ........................................................................ 87
4.1
Neue Anforderungen................................................................................................. 87
4.2
Das neue Volume Management ................................................................................ 88
4.2.1
Grundlagen ............................................................................................................ 88
4.2.2
Begriffe .................................................................................................................. 89
4.3 4.3.1
Basisfestplatten ......................................................................................................... 91 Partitionen und Partitionstypen.............................................................................. 91
Inhaltsverzeichnis
9
4.3.2
Partitionsgruppen und Fehlertoleranz unter Windows NT .................................... 93
4.3.3
Aufbau einer Basisfestplatte im Detail .................................................................. 95
4.3.4
MBR und Partitionstabelle im Detail .................................................................... 97
4.3.5
Logische Laufwerke und Erweiterte Partitionstabelle......................................... 100
4.3.6
Manipulieren von MBR und Partitionstabelle mit DiskProbe............................. 101
4.3.7
Die Datei BOOT.INI .............................................................................................. 103
4.4
Dynamische Festplatten.......................................................................................... 108
4.4.1
Aufbau und Funktionen dynamischer Festplatten ............................................... 108
4.4.2
Notebooks, Wechseldatenträger und externe Speichermedien ............................ 111
4.4.3
Fehlertolerante Datenspeicherung ....................................................................... 112
4.4.4
Einfache Datenträger und ihre Erweiterung ........................................................ 113
4.4.5
Übergreifende Datenträger .................................................................................. 114
4.4.6
Stripesetdatenträger ............................................................................................. 116
4.5
Konvertieren von Basisfestplatten.......................................................................... 119
4.5.1
Wie die Konvertierung funktioniert..................................................................... 119
4.5.2
Zurückkonvertieren in eine Basisfestplatte ......................................................... 121
4.5.3
Änderungen an konvertierten dynamischen Datenträgern................................... 121
4.5.4
System- und Bootdatenträger konvertieren ......................................................... 122
4.6
Der Indexdienst ...................................................................................................... 123
4.6.1
Überblick zur Indizierung.................................................................................... 124
4.6.2
Der Indizierungsvorgang ..................................................................................... 125
5
Dateisysteme................................................................................................131
5.1
Unterstützte Dateisysteme ...................................................................................... 131
5.2
Vergleich von FAT, FAT32 und NTFS.................................................................. 132
5.2.1
Kompatibilität mit MS-Betriebssystemen ........................................................... 132
5.2.2
Speicherkapazität von Datenträgern .................................................................... 133
5.2.3
Performance......................................................................................................... 137
5.2.4
Dateisystemsicherheit.......................................................................................... 138
5.2.5
Zugriffsrechte für Dateien und Ordner ................................................................ 140
5.3 5.3.1
Fragmentierung....................................................................................................... 140 Was ist Fragmentierung? ..................................................................................... 141
10
Inhaltsverzeichnis
5.3.2
Clustergröße und Fragmentierung ....................................................................... 142
5.3.3
Besonderheiten bei NTFS .................................................................................... 142
5.3.4
Defragmentierungsverfahren und -strategien....................................................... 144
5.3.5
Tipps zur Sicherung der Performance.................................................................. 146
5.3.6
Defragmentierungsprogramme ............................................................................ 148
5.4
NTFS im Detail....................................................................................................... 152
5.4.1
Dateinamen .......................................................................................................... 152
5.4.2
Der interne Aufbau von NTFS............................................................................. 154
5.4.3
Analysepunkte und Bereitstellungen ................................................................... 162
5.4.4
NTFS-Zugriffsrechte für Dateien und Ordner ..................................................... 164
5.4.5
Das verschlüsselnde Dateisystem (EFS).............................................................. 166
5.4.6
Komprimierung.................................................................................................... 168
5.4.7
Datenträgerkontingente........................................................................................ 171
5.4.8
Weitere besondere Merkmale von NTFS............................................................. 172
5.4.9
Zur Kompatibilität von Windows NT 4 mit NTFSv5 .......................................... 174
5.4.10
POSIX-Kompatibilität ......................................................................................... 176
5.5
FAT und FAT32 im Detail ..................................................................................... 176
5.5.1
Die verschiedenen FAT-Dateisysteme................................................................. 177
5.5.2
Layout von FAT16 und FAT32-Datenträgern ..................................................... 178
5.5.3
FAT-Bootsektoren ............................................................................................... 179
5.5.4
Die Dateizuordnungstabelle (FAT)...................................................................... 181
5.5.5
FAT-Dateiattribute............................................................................................... 183
5.5.6
Lange Dateinamen bei FAT-Datenträgern........................................................... 184
6
Netzwerkgrundlagen ................................................................................. 189
6.1
Das ISO/OSI-Referenzmodell................................................................................. 189
6.1.1
Die 7 Schichten des Referenzmodells.................................................................. 189
6.1.2
Die Bedeutung des Schichtenmodells.................................................................. 190
6.2
Die unterstützten Protokolle im Überblick ............................................................. 191
6.3
TCP/IP .................................................................................................................... 191
6.3.1
Die geschichtliche Entwicklung .......................................................................... 192
6.3.2
Bestandteile und verwandte Protokolle................................................................ 192
Inhaltsverzeichnis
11
6.3.3
Die IP-Adresse .................................................................................................... 194
6.3.4
Domain Name System und DNS ......................................................................... 195
6.3.5
Subnetze .............................................................................................................. 196
6.3.6
Netzklassen.......................................................................................................... 196
6.3.7
Adressübersetzung............................................................................................... 198
6.3.8
TCP (Transmission Control Protocol) ................................................................. 200
6.4
Andere Protokolle................................................................................................... 204
6.4.1
NetBIOS .............................................................................................................. 204
6.4.2
NetBEUI.............................................................................................................. 204
6.4.3
IPX/SPX .............................................................................................................. 205
6.4.4
AppleTalk............................................................................................................ 205
6.5
Netzwerkkonzepte .................................................................................................. 206
6.5.1
Netzwerkverbindungen........................................................................................ 206
6.5.2
Strukturierung eines Netzwerks........................................................................... 208
6.6
Einführung in Active Directory .............................................................................. 212
6.6.1
Anwendungsgebiete ............................................................................................ 213
6.6.2
Geschichte der Verzeichnisdienste ...................................................................... 213
6.6.3
Microsoft Active Directory Service .................................................................... 218
6.6.4
Architektur........................................................................................................... 220
6.6.5
Die physikalische Abbildung............................................................................... 223
6.6.6
Konzeptionelle Aspekte....................................................................................... 224
6.6.7
Vergleich mit anderen Verzeichnisdiensten ........................................................ 225
7
Drucken.........................................................................................................231
7.1
Überblick ................................................................................................................ 231
7.2
Der Druckvorgang .................................................................................................. 232
7.2.1
Ablaufschema des lokalen Druckens................................................................... 232
7.2.2
Die Spool-Datenformate...................................................................................... 235
7.2.3
Druckertreiber ..................................................................................................... 236
7.3
Logische und physische Drucker............................................................................ 239
7.4
Lokale Anschlussmöglichkeiten............................................................................. 242
7.4.1
Parallele Schnittstelle .......................................................................................... 242
12
Inhaltsverzeichnis
7.4.2
Universal Serial Bus ............................................................................................ 244
7.4.3
IrDA..................................................................................................................... 244
7.4.4
IEEE 1394............................................................................................................ 245
7.4.5
Seriell................................................................................................................... 245
7.5
Drucken im Netzwerk ............................................................................................. 245
7.5.1
Freigabe und Nutzung im Windows-Netzwerk.................................................... 246
7.5.2
Das Internet Printing Protocol ............................................................................. 247
7.5.3
TCP/IP-Druckunterstützung ................................................................................ 249
7.5.4
AppleTalk-Drucker .............................................................................................. 250
7.6
Farbmanagement..................................................................................................... 251
7.6.1
Einführung ........................................................................................................... 251
7.6.2
Farbe und Farbdruck ............................................................................................ 252
7.6.3
Historische Entwicklung...................................................................................... 254
7.6.4
Prinzip des ICC-Farbmanagements ..................................................................... 256
8
Grundlagen der Systemsicherheit ........................................................... 265
8.1
Einführung .............................................................................................................. 265
8.1.1
Zugriffssicherheit................................................................................................. 265
8.1.2
Der C2-Sicherheitsniveau .................................................................................... 265
8.2
Sicherheitsanforderungen in der Praxis .................................................................. 266
8.3
Absicherung lokaler Daten mittels EFS.................................................................. 267
8.3.1
Das verschlüsselnde Dateisystem ........................................................................ 267
8.3.2
Schlüsselstärke..................................................................................................... 269
8.4
Sicherheit im Netzwerk........................................................................................... 270
8.4.1
Sichere Authentifizierung .................................................................................... 270
8.4.2
Der interaktive Anmeldevorgang......................................................................... 271
8.4.3
Anmeldung mit Zertifikaten und Smartcards....................................................... 271
8.4.4
Vorgang der Netzwerkauthentifizierung.............................................................. 272
8.4.5
Sicherheitsprotokolle für das Netzwerk ............................................................... 273
8.5
Absicherung von Internet- und WAN-Verbindungen ............................................. 276
8.5.1
Kennwortauthentifizierung .................................................................................. 276
8.5.2
Verschlüsselung ................................................................................................... 277
Inhaltsverzeichnis
8.5.3
13
Rückruf................................................................................................................ 278
Teil III – Installation und Administration .............................................279 9
Installation ...................................................................................................283
9.1
Überlegungen zur Hardware................................................................................... 283
9.1.1
Übersicht über die Mindestvoraussetzungen ....................................................... 283
9.1.2
Die Hardware-Kompatibilitäts Liste.................................................................... 284
9.1.3
Prozessor ............................................................................................................. 285
9.1.4
Hauptspeicher ...................................................................................................... 285
9.1.5
Festplattenspeicher .............................................................................................. 285
9.1.6
Netzwerkhardware............................................................................................... 288
9.1.7
Grafikkarte........................................................................................................... 288
9.1.8
Powermanagement und ACPI ............................................................................. 289
9.2
Gedanken zum Installationsverfahren .................................................................... 289
9.2.1
Neuinstallation oder Upgrade ? ........................................................................... 289
9.2.2
Mögliche Installationsverfahren .......................................................................... 293
9.3
Hinweise zur Notebook-Installation ....................................................................... 294
9.3.1
Kompatibilitätscheck........................................................................................... 294
9.3.2
Upgrade von Windows 9x ................................................................................... 295
9.3.3
Software-Upgrade für Spezialhardware .............................................................. 297
9.4
Inhalt der Installations-CD ..................................................................................... 301
9.5
Installation mit bootfähigem CD-Laufwerk ........................................................... 304
9.6
Installation mit Hilfe der Bootdisketten ................................................................. 305
9.7
Installation mit WINNT.EXE/WINNT32.EXE...................................................... 307
9.7.1
Kommandozeilen-Optionen von WINNT.EXE................................................... 307
9.7.2
Kommandozeilen-Optionen von WINNT32.EXE............................................... 309
9.7.3
Installation von einem lokalen Verzeichnis......................................................... 312
9.7.4
Aufruf über das Netzwerk ................................................................................... 314
9.8
Die weiteren Installationsschritte ........................................................................... 315
9.9
Automatisierte Installation ..................................................................................... 316
9.9.1
Übersicht über die Möglichkeiten ....................................................................... 317
9.9.2
Antwortdateien verwenden.................................................................................. 318
14
Inhaltsverzeichnis
9.9.3
Automatisierte Installation mit Disc Images........................................................ 339
9.10
Die Remoteinstallationsdienste............................................................................... 343
9.10.1
Das Grundprinzip................................................................................................. 344
9.10.2
Technische Voraussetzungen............................................................................... 344
9.10.3
Einrichtung des RIS-Servers................................................................................ 346
9.10.4
Erstellen einer RIS-Bootdiskette.......................................................................... 351
9.10.5
Starten der RIS-Installation über das Netzwerk................................................... 352
9.10.6
Der RIS-Installationsprozess ............................................................................... 352
10 Die Managementkonsole (MMC)............................................................ 357 10.1
Das Prinzip der Managementkonsole ..................................................................... 357
10.1.1
Das Programm mmc.exe...................................................................................... 358
10.1.2
Taskpadansichten................................................................................................. 359
10.2
Wichtige Funktionen .............................................................................................. 361
10.2.1
Modi der Benutzung einer Managementkonsole ................................................. 361
10.2.2
Hilfefunktion........................................................................................................ 361
10.2.3
Browser-Unterstützung ........................................................................................ 361
10.2.4
Weiterführende Informationen zur Managementkonsole..................................... 362
10.3
Vorkonfigurierte Managementkonsolen der »Verwaltung« ................................... 362
10.3.1
Benutzerspezifische Managementkonsolen ......................................................... 364
10.3.2
Abspeichern der Managementkonsolen – Speicherorte ....................................... 382
10.4
Wichtige Snap-Ins .................................................................................................. 383
10.4.1
Snap-Ins für die remote Verwaltung .................................................................... 383
10.4.2
Computerverwaltung ........................................................................................... 383
10.4.3
Datenträgerverwaltung......................................................................................... 384
10.4.4
Ereignisanzeige.................................................................................................... 385
11 Administration der Massenspeicher ....................................................... 389 11.1
Die Verwaltungswerkzeuge im Überblick.............................................................. 389
11.1.1
Grafische Verwaltungswerkzeuge ....................................................................... 389
11.1.2
Kommandozeilen-Tools....................................................................................... 390
11.2 11.2.1
Die Datenträgerverwaltung im Detail..................................................................... 391 Funktionsumfang der Datenträgerverwaltung...................................................... 391
Inhaltsverzeichnis
15
11.2.2
Aufbau der Benutzeroberfläche........................................................................... 392
11.2.3
Datenträger aktualisieren und neu einlesen ......................................................... 395
11.3
Basisfestplatten einrichten...................................................................................... 396
11.3.1
Partitionierungswerkzeuge .................................................................................. 396
11.3.2
Anlegen von primären und erweiterten Partitionen ............................................. 398
11.3.3
Logische Laufwerke erstellen.............................................................................. 402
11.4
Dynamische Festplatten einrichten......................................................................... 404
11.4.1
Einfache Datenträger und ihre Erweiterung ........................................................ 405
11.4.2
Übergreifende Datenträger .................................................................................. 413
11.4.3
Stripesetdatenträger ............................................................................................. 420
11.5
Datenträger formatieren ......................................................................................... 424
11.5.1
Wahl des Format-Werkzeuges............................................................................. 425
11.5.2
Formatieren mit einem grafischen Dienstprogramm ........................................... 425
11.5.3
Das Kommandozeilen-Programm format............................................................ 431
11.6
Umwandeln von FAT/FAT32 in NTFS ................................................................. 432
11.6.1
Generelle Hinweis zur Konvertierung ................................................................. 433
11.6.2
Das Tool CONVERT.EXE ...................................................................................... 433
11.7
Datenträgerzugriff ändern ...................................................................................... 435
11.7.1
Laufwerkbuchstabe zuweisen und ändern ........................................................... 435
11.7.2
Laufwerkpfade einrichten und ändern ................................................................. 437
11.7.3
Das Kommandozeilen-Tool Mountvol.exe ......................................................... 440
11.8
Erweiterte NTFS-Attribute..................................................................................... 442
11.8.1
Aktivieren der Komprimierung ........................................................................... 442
11.8.2
Setzen des Index-Attributs .................................................................................. 448
11.8.3
Aktivieren der Verschlüsselung........................................................................... 449
11.9
NTFS-Zugriffsrechte einstellen.............................................................................. 453
11.9.1
Setzen von Benutzerrechten ................................................................................ 453
11.9.2
Erweiterte Einstellungen und Überwachung ....................................................... 455
11.9.3
Das Kommandozeilen-Tool CACLS.EXE .............................................................. 461
11.10 Dateiattribute bei FAT und FAT32 ........................................................................ 463 11.11 Weitere Eigenschaften von Datenträgern ............................................................... 467
16
Inhaltsverzeichnis
11.11.1 Umbennen eines Datenträgers ............................................................................. 468 11.11.2 Bereinigen des Datenträgers ................................................................................ 469 11.11.3 Überprüfung eines Datenträgers auf Fehler ......................................................... 470 11.11.4 Datenträgerkontingente festlegen ........................................................................ 473 11.12 Indexdienst einrichten............................................................................................. 479 11.12.1 Indexdienst aktivieren.......................................................................................... 479 11.12.2 Indexdienst anpassen ........................................................................................... 480 11.12.3 Kataloge einrichten und konfigurieren ................................................................ 484 11.12.4 Dateien, die nicht indiziert werden ...................................................................... 488 11.12.5 Meldungen des Indexdienstes .............................................................................. 489 12 Administration von Netzwerken ............................................................. 495 12.1
Installation von Netzwerkressourcen...................................................................... 495
12.1.1
LAN-Verbindungen ............................................................................................. 496
12.1.2
Dienste ................................................................................................................. 498
12.1.3
Protokolle............................................................................................................. 499
12.1.4
Clients .................................................................................................................. 500
12.1.5
Netzwerkhardware ............................................................................................... 501
12.1.6
Bindungen............................................................................................................ 504
12.1.7
Allgemeine Netzwerkkomponenten..................................................................... 505
12.2
Konfiguration von TCP/IP-Netzwerken ................................................................. 506
12.2.1
DHCP................................................................................................................... 508
12.2.2
APIPA.................................................................................................................. 510
12.3
Namensauflösung ................................................................................................... 513
12.3.1
WINS ................................................................................................................... 513
12.3.2
DNS ..................................................................................................................... 514
12.3.3
HOSTS und LMHOSTS ...................................................................................... 518
12.4
Kommandozeilen-Tools für TCP/IP....................................................................... 518
12.4.1
Nutzung der Befehle ............................................................................................ 518
12.4.2
Die Befehle im Detail .......................................................................................... 519
12.5 12.5.1
WAN-Verbindungen .............................................................................................. 531 Konfiguration für DFÜ-Verbindungen ................................................................ 531
Inhaltsverzeichnis
17
12.5.2
DFÜ-Verbindungen selbst konfigurieren ............................................................ 535
12.5.3
Gemeinsame Internetverbindungen ..................................................................... 542
12.5.4
Remote Verbindungen......................................................................................... 547
12.6
Administration von Peer-To-Peer-Netzwerken ...................................................... 548
12.6.1
Peer-To-Peer-Netzwerk einrichten ...................................................................... 548
12.6.2
Anbindung von Windows 9x-Clients .................................................................. 551
12.6.3
Freigaben im Detail ............................................................................................. 553
13 Drucker einrichten und verwalten ..........................................................559 13.1
Installation lokaler Drucker.................................................................................... 559
13.1.1
Verwaltungsort lokaler Drucker .......................................................................... 559
13.1.2
Druckererkennung durch Plug&Play................................................................... 560
13.1.3
Manuelle Installation eines lokalen Druckers...................................................... 565
13.2
Windows 2000 als Druckserver ............................................................................. 570
13.2.1
Konfiguration des Druckservers.......................................................................... 570
13.2.2
Drucker freigeben und Client-Treiber einrichten ................................................ 575
13.2.3
Einrichten als IPP-Druckserver ........................................................................... 578
13.2.4
Überwachung von Druckleistungen .................................................................... 579
13.3
Netzwerkdrucker einbinden ................................................................................... 580
13.3.1
Drucker im Windows-Netzwerk einbinden ......................................................... 580
13.3.2
Netzwerkdrucker über IPP einbinden.................................................................. 581
13.3.3
Einbinden von TCP/IP-Druckern ........................................................................ 584
13.3.4
UNIX-Druckdienste über LPR ............................................................................ 587
13.3.5
AppleTalk-Druckunterstützung ........................................................................... 590
13.4
Weitere Druckfunktionen ....................................................................................... 594
13.4.1
Drucken aus MS-DOS-Anwendungen ................................................................ 594
13.4.2
Drucken per Drag&Drop ..................................................................................... 595
13.4.3
Trennseiten definieren ......................................................................................... 599
13.5
Farbmanagement einsetzen .................................................................................... 602
13.5.1
Profile speichern und zuweisen ........................................................................... 602
13.5.2
Monitorprofil setzen ............................................................................................ 603
13.5.3
Druckerprofil setzen ............................................................................................ 604
18
Inhaltsverzeichnis
13.5.4
Profile für Scanner und Digitalkameras............................................................... 605
14 Benutzerverwaltung ................................................................................... 609 14.1 14.1.1 14.2
Einführung .............................................................................................................. 609 Sicherheit für Benutzer und Gruppen .................................................................. 609 Benutzerprofile ....................................................................................................... 611
14.2.1
Einsatz.................................................................................................................. 611
14.2.2
Arten von Benutzerprofilen ................................................................................. 611
14.2.3
Erstellen von Benutzerprofilen ............................................................................ 612
14.3
Gruppenrichtlinien.................................................................................................. 613
14.3.1
Richtlinien für lokale Gruppen ............................................................................ 613
14.3.2
Gruppenrichtlinien im Detail ............................................................................... 616
14.4
Benutzer- und Gruppenverwaltung......................................................................... 624
14.4.1
Sicherheitsrichtlinien ........................................................................................... 624
14.4.2
Umgang mit Sicherheitsvorlagen......................................................................... 629
14.4.3
Benutzerkonten einrichten ................................................................................... 633
14.4.4
Gruppen ............................................................................................................... 637
14.4.5
Lokale Benutzer und Gruppen: Weitere Optionen............................................... 637
15 Internet Informationsdienste.................................................................... 647 15.1
Einführung .............................................................................................................. 647
15.2
Der Internet Information Server ............................................................................. 649
15.2.1
Komponenten des IIS 5........................................................................................ 649
15.2.2
Der Internet Information Server 5 im Überblick.................................................. 649
15.2.3
Anwendungsprogramme unter IIS ....................................................................... 653
15.2.4
Webseiten veröffentlichen ................................................................................... 655
15.2.5
FTP-Dienste anbieten .......................................................................................... 659
15.2.6
Verzeichnis- und Dateisicherheit ......................................................................... 661
15.2.7
Active Server Pages ............................................................................................. 667
15.2.8
Verschlüsselung von Websites ............................................................................ 670
15.3
Der SMTP-Server ................................................................................................... 682
15.3.1
Administration ..................................................................................................... 684
15.3.2
Mit Outlook verwenden ....................................................................................... 690
Inhaltsverzeichnis
15.4
19
Der Personal Web Manager ................................................................................... 691
15.4.1
PWM und Windows 2000 ................................................................................... 691
15.4.2
Mit dem Personal Web Manager arbeiten ........................................................... 692
16 Systemsicherheit .........................................................................................699 16.1
Grundlegende Sicherheitsmaßnahmen ................................................................... 699
16.1.1
Typische Sicherheitsanforderungen .................................................................... 699
16.1.2
Standardeinstellungen.......................................................................................... 704
16.1.3
Kurzzeitige Ändern der Ausführungsrechte ........................................................ 714
16.2
Ereignisanzeige ...................................................................................................... 715
16.2.1
Protokollarten ...................................................................................................... 716
16.2.2
Aktivieren und Konfigurieren des Sicherheitsprotokolls .................................... 717
16.2.3
Meldungsarten ..................................................................................................... 719
16.2.4
Die Ereignisanzeige im Detail............................................................................. 720
16.2.5
Einstellungen der Ereignisanzeige....................................................................... 724
16.2.6
Protokolle speichern und weiterverarbeiten ........................................................ 726
16.3
Wiederherstellung verschlüsselter Dateien ............................................................ 728
16.3.1
Der Wiederherstellungsagent .............................................................................. 728
16.3.2
Die Wiederherstellungsrichtlinie ......................................................................... 729
16.3.3
Hinweise zur maximalen Absicherung mit EFS.................................................. 730
17 Reparatur und Wiederherstellung...........................................................737 17.1
Schutz und Überprüfung von Systemdateien ............................................................ 737
17.1.1
Windows-Dateischutz.......................................................................................... 737
17.1.2
Überprüfung von Kernelmodus-Treibern ............................................................ 740
17.1.3
Digitale Signaturen.............................................................................................. 744
17.2
Informations- und Diagnoseprogramme................................................................. 747
17.2.1
Systeminformationen mit MSINFO32................................................................... 747
17.2.2
Dr. Watson........................................................................................................... 752
17.2.3
DirectX-Diagnoseprogramm DXDIAG.EXE .......................................................... 755
17.2.4
Windows-Berichtsprogramm............................................................................... 757
17.3 17.3.1
Die Registrierungsdatenbank ................................................................................. 759 Grundlegende Struktur ........................................................................................ 760
20
Inhaltsverzeichnis
17.3.2
Bearbeiten der Registrierung ............................................................................... 761
17.3.3
Sichern der Registrierung .................................................................................... 766
17.4
Systemwiederherstellung nach Totalausfall ........................................................... 768
17.4.1
Überblick über die Mittel und Wege.................................................................... 768
17.4.2
Startmenü und abgesicherte Modi........................................................................ 769
17.4.3
Wiederherstellungskonsole .................................................................................. 771
17.4.4
Notfallreparaturkonsole ....................................................................................... 783
17.4.5
Wiederherstellen der Registrierung ..................................................................... 786
Teil IV – Praktische Anwendung .............................................................789 18 Struktur der Oberfläche............................................................................. 793 18.1
Arbeitsplatz und Standardordner ............................................................................ 793
18.1.1
Der Arbeitsplatz................................................................................................... 793
18.1.2
Der Windows Explorer ........................................................................................ 795
18.1.3
Die Standardordner .............................................................................................. 796
18.2
Umgang mit Dateien............................................................................................... 801
18.2.1
Dateiverknüpfungen............................................................................................. 801
18.2.2
Der neue Dateidialog ........................................................................................... 802
18.2.3
Umgang mit Druckaufträgen ............................................................................... 804
18.3
Suchfunktionen....................................................................................................... 806
18.3.1
Der Suchassistent................................................................................................. 806
18.3.2
Spezielle Suchfunktionen..................................................................................... 807
18.3.3
Integrierte Suchfunktionen................................................................................... 809
18.3.4
Suche nach Dateien und Ordnern......................................................................... 810
18.3.5
Suche nach Computern ........................................................................................ 811
18.3.6
Suche nach Druckern ........................................................................................... 811
18.3.7
Suche im Internet ................................................................................................. 812
18.4
Die Netzwerkumgebung ......................................................................................... 813
18.4.1
Eigenschaften....................................................................................................... 813
18.4.2
Ressourcen hinzufügen ........................................................................................ 813
19 Anpassung der Oberfläche ....................................................................... 817 19.1
Die Elemente der Oberfläche.................................................................................. 817
Inhaltsverzeichnis
21
19.1.1
Persönliche Menüs im Startmenü ........................................................................ 817
19.1.2
Das Startmenü verändern .................................................................................... 818
19.1.3
Symbolleisten ...................................................................................................... 819
19.2 19.2.1 19.3
Der Active Desktop ................................................................................................ 822 Vorbereitung des Active Desktop........................................................................ 823 Optionen für Behinderte – Eingabehilfen............................................................... 825
19.3.1
Eingabehilfen....................................................................................................... 825
19.3.2
Justage der Eingabegeräte ................................................................................... 825
20 Kommunikationsprogramme ...................................................................833 20.1 20.1.1 20.2
Hyperterminal ........................................................................................................ 833 Einsatzmöglichkeiten .......................................................................................... 833 Faxdienst ................................................................................................................ 836
20.2.1
Übersicht über die Faxfunktionen ....................................................................... 836
20.2.2
Einrichten eines Faxgerätes ................................................................................. 836
20.2.3
Das Faxgerät verwenden ..................................................................................... 839
20.3
Das Adressbuch...................................................................................................... 843
20.3.1
Adressbuch einrichten ......................................................................................... 844
20.3.2
Adressbuch einsetzen .......................................................................................... 845
21 Internet für Benutzer..................................................................................849 21.1
Internetverbindungen ............................................................................................. 849
21.2
Der Internet Explorer ............................................................................................. 850
21.2.1
Einführung........................................................................................................... 850
21.2.2
Konfiguration ...................................................................................................... 850
21.2.3
Benutzung des Internet Explorers........................................................................ 862
21.3
Outlook Express ..................................................................................................... 869
21.3.1
Einrichten eines E-Mail-Kontos .......................................................................... 869
21.3.2
Usenet-News ....................................................................................................... 871
21.3.3
E-Mail mit Outlook Express................................................................................ 872
21.3.4
Andere Mailprotokolle ........................................................................................ 873
21.3.5
Netiquette: Wie man mit E-Mail korrekt umgeht................................................ 879
22 Multimedia...................................................................................................893
22
Inhaltsverzeichnis
22.1
Sound und Video .................................................................................................... 893
22.1.1
Lautstärkeregelung............................................................................................... 893
22.1.2
Audioeigenschaften ............................................................................................. 894
22.2
Aufnahmegeräte...................................................................................................... 895
22.2.1
Audiorecorder ...................................................................................................... 895
22.2.2
Scanner und Kameras .......................................................................................... 896
22.3
Abspielgeräte .......................................................................................................... 896
22.3.1
CD-Player ............................................................................................................ 896
22.3.2
Media Player ........................................................................................................ 897
22.4 22.4.1
Spiele und Spielesteuerungen ................................................................................. 898 Spielesteuerung.................................................................................................... 899
23 Mobiler Einsatz ........................................................................................... 903 23.1
Netzwerkanschluss ................................................................................................. 903
23.1.1
Mobilität ohne Grenzen ....................................................................................... 903
23.1.2
Verbindung aufnehmen: Das DFÜ-Netzwerk...................................................... 904
23.2
Dateisynchronisation .............................................................................................. 907
23.2.1
Offline-Ordner und der Synchronisationsmanager .............................................. 907
23.2.2
Der Aktenkoffer ................................................................................................... 925
23.3 23.3.1 23.4
Stromsparfunktionen .............................................................................................. 930 Effizientes Power-Management........................................................................... 930 Internationaler Einsatz ............................................................................................ 941
23.4.1
Ländereinstellungen............................................................................................. 941
23.4.2
Eingabeoptionen .................................................................................................. 944
23.5 23.5.1 23.6
Hardwarespezifische Einstellungen ........................................................................ 945 Hardwareprofile ................................................................................................... 945 Anschluss von Windows CE .................................................................................. 947
23.6.1
Vorbereiten der Schnittstellen des CE-Gerätes.................................................... 947
23.6.2
Einstellen der Schnittstellen................................................................................. 949
23.6.3
Verbindung einrichten ......................................................................................... 950
24 Systemwerkzeuge und Sicherheit ........................................................... 957 24.1
Datensicherung ....................................................................................................... 957
Inhaltsverzeichnis
23
24.1.1
Sicherung............................................................................................................. 957
24.1.2
Das Sicherungsprogramm ................................................................................... 960
24.1.3
Sicherungsoptionen ............................................................................................. 961
24.1.4
Wiederherstellung ............................................................................................... 965
24.1.5
Notfalldiskette ..................................................................................................... 966
24.1.6
Zeichentabelle ..................................................................................................... 967
24.2
Systeminformationen ............................................................................................. 968
24.3
Taskplaner .............................................................................................................. 969
24.3.1
Überblick ............................................................................................................. 969
24.3.2
Taskplaner im Detail ........................................................................................... 969
24.4
Dateiverschlüsselung.............................................................................................. 971
24.4.1
Das verschlüsselnde Dateisystem........................................................................ 972
24.4.2
Dateien und Ordner verschlüsseln ....................................................................... 973
24.4.3
Verschlüsseln auf Computern im Netzwerk ........................................................ 975
24.4.4
Dateiverschlüsselung und Wiederherstellung...................................................... 975
24.5
Sicherheitsmaßnahmen für Anwender ................................................................... 977
24.5.1
Schutz gegen E-Mail-Viren ................................................................................. 977
24.5.2
Virenschutzprogramme ....................................................................................... 979
Teil V - Anhänge .........................................................................................981 A Hilfe aus dem Internet ...............................................................................983 A.1
Webadressen........................................................................................................... 983
A.2
Newsgroups ............................................................................................................ 986
B Abkürzungsverzeichnis.............................................................................989 C Referenz Kommandozeilenbefehle.........................................................993 C.1
Der Netzwerkbefehl net.......................................................................................... 993
C.2
Kommandozeilenbefehle ...................................................................................... 1008
D Index ............................................................................................................1039 D.1
Erläuterungen zum Index...................................................................................... 1039
D.2
Index..................................................................................................................... 1041
E An die Autoren ..........................................................................................1063
24
Inhaltsverzeichnis
Einführung
25
Teil I - Einführung
I Einführung
1.1 Über das Buch
27
Kapitel 1 Einführung
1.1
Über das Buch...........................................................29
1.2
Danksagung .............................................................35
1.1 Über das Buch
1 Einführung Bücher über Windows 2000 gibt es naturgemäß viele. Ebenso unterschiedlich wie diese Bücher in Aufmachung, Inhalt und Stil erscheinen, unterscheiden sich auch die Ansprüche der Leser. Wir geben deshalb in diesem Kapitel eine möglichst präzise Definition der Zielgruppe und der Überlegungen, die hinter dem Buch standen.
1.1 Über das Buch Dieses Buch ist der erste Teil einer aus insgesamt drei Bänden bestehenden Reihe. Damit soll dem Umstand Rechnung getragen werden, dass Windows 2000 mehr an Leistungsfähigkeit und Einsatzmöglichkeiten mitbringt als jedes andere derzeit verfügbare Betriebssystem. Außer der Produktvielfalt – neben der Professional Version gibt es immerhin drei Server-Versionen – ist es auch der Funktionsumfang des Kernsystems, der hohe Ansprüche an die Einsatzplanung und an die Kenntnisse der Administratoren stellt.
1.1.1 Die Buchreihe Die drei Bände widmen sich bestimmten Einsatzgebieten von Win- Drei Bände dows 2000: •
Band I »Windows 2000 im professionellen Einsatz« behandelt Windows 2000 Professional – alleinstehend und im kleinen Netzwerk
•
Band II »Windows 2000 im Netzwerk. Der Einsatz als Netzwerkund Backoffice-Server« widmet sich dem Einsatz von Windows 2000 Server in typischen Umgebungen.
•
Band III »Internet Information Server 5. Windows Advanced Server als Internet Plattform« behandelt die Internetdienste mit Schwerpunkt auf dem Internet Information Server 5.
Brauchen Sie alle Bände? Die Bücher bauen aufeinander auf und sollen ein Gesamtbild eines außerordentlich komplexen Produkts ergeben – dass der Gesamtumfang dann weit jenseits der 2.000 Seiten liegt, ist kaum zu umgehen – ohne Abstriche am Inhalt oder an der Qualität.
29
30
1 Einführung
1.1.2 Die Herausforderung Zum Vorgängerbuch
Dieses Buch entstand auch unter der Maßgabe, ein ebenbürtiger Nachfolger für die erfolgreiche zweibändige Ausgabe »Windows NT 4.0 im professionellen Einsatz« zu sein. Die Autoren hatten damals versucht, auch hinter die Kulissen der Oberfläche zu schauen und die vielen komplexen Vorgänge transparent werden zu lassen, die im Hintergrund ablaufen. Mangels technischer Referenz ist dabei vieles im »Selbstversuch« und mit hohem persönlichen Aufwand getestet und beschrieben worden. Eine solche persönliche Erfahrung trägt wesentlich zum Erfolg eines Fachbuches bei, denn der künftige Anwender der Software wird zwangsläufig in ähnliche Fallen stolpern und dankbar die Informationen aus dem Buch aufnehmen.
Der Auftrag
Da die Autoren des Vorgängerwerkes aus beruflichen Gründen nicht länger zur Verfügung standen, haben wir den Auftrag mit Freude übernommen – wohl wissend, welche enorme Aufgabe vor uns lag. Zwar stand inzwischen die technische Referenz zur Verfügung, die viele tiefergehende Fragen beantwortet, aber auch dies ist eben ein Handbuch – und kein Fachbuch.
1.1.3 Die Konzeption Ein neues Konzept
Wir haben uns deshalb ein neues Konzept für dieses Buch überlegt. Zum einen sind theoretische Grundlagen enthalten. Administratoren und Anwendern fällt der Umgang mit dem Gesamtsystem erfahrungsgemäß deutlich leichter, wenn die Hintergründe und Motivationen erkennbar werden, die hinter den Funktionen stecken. Wir haben auch versucht, dies kritisch zu sehen und nicht nur die Argumentation von Microsoft zu übernehmen. Offensichtlich sind einige »Erfindungen« nicht nur technisch motiviert. Andere sehr spannende Entwicklungen sind nur wenig bekannt und werden entsprechend auch nur selten verwendet – mit der bekannten Flut von alten und neuen Funktionen war das Marketing sichtlich überfordert.
Theorie muss sein...
Die theoretischen Ausführungen sind dennoch nicht bis zum Exzess getrieben worden. Sie sind allgemeinverständlich und soweit vereinfacht dargestellt, dass die grundlegende Überlegung, die dahinter steckt, sichtbar wird. Darin unterscheidet sich die Darstellung wesentlich von der technischer Handbücher und geht zugleich weit über die bekannten »Oberflächenbeschreibungen« hinaus. Wir hoffen, dass technisch interessierte Leser dies durchaus auch als spannend empfinden.
1.1 Über das Buch Einen mindestens äquivalenten Anteil nehmen die technische Handlungsanleitungen ein. Hier geht es um die konkrete Lösung von Aufgaben. Je nach Grad der Komplexität erfolgt die Darstellung in längeren, streng gegliederten Abschnitten oder in einfachen nummerierten Schrittfolgen. Dabei wurde auch nicht mit Bildmaterial gespart – auch Fachbücher werden nicht immer direkt vor dem Bildschirm gelesen. Das Lesen sollte natürlich auch nicht zu kurz kommen. Das Thema ist sicher ernst, aber dennoch (hoffentlich) so dargestellt, dass ein flüssiges Lesen möglich ist. Sie können dann auch abschnittsweise lesen oder sich gezielt einzelne Kapitel herausziehen. Damit das funktioniert, wurden intensiv Querverweise gesetzt.
31 ...wenn sie von praktischen Ausführungen ergänzt wird
Erwähnenswert ist auch, dass die Form der Darstellungen stark struk- Für Experten: turiert ist. So beginnen wir nach einer kompakten Einführung im ers- Hohes Niveau ten Teil mit den theoretischen Grundlagen (Teil II). In Teil III folgt die Administration, sehr viel praktischer und anschaulicher dargestellt – auch ein Zugriff auf die Registrierung wird dabei nicht ausgelassen. Teil IV zeigt schließlich den praktischen Umgang mit dem laufenden System. Hier wird vor allem Ordnung in die Funktionsvielfalt gebracht. Totale Anfänger sollten sich Windows 2000 genau in dieser Reihenfolge nähern. Sie werden »mehr herausholen«, wenn Sie zuvor die administrativen Hausaufgaben gemacht haben. Windows 2000 hat ein breites Einsatzspektrum. Wir konzentrieren uns Auf das auf die häufigsten Einsatzfälle und typische Probleme. Sie erhalten vor Wesentliche kommt es an allem für die alltägliche Arbeit weitreichende Unterstützung. Zur Konzeption gehört nicht zuletzt auch eine klare Ausrichtung auf In deutscher die deutsche Sprache, die neue Rechtsschreibung in der verlagsübli- Sprache chen Form und die Vermeidung englischer Worte, wo es sinnvoll und möglich ist. Manches Wort hat sich inzwischen aber unseres Erachtens fest etabliert und sollte nicht krampfhaft übersetzt werden. Diese Inkonsequenz ist also gewollt und soll auch nicht diskutiert werden. Wenn es dagegen um die Bezeichnung von Dialogfeldern, Schaltflächen und Systemnamen ging, war unser Leitfaden ganz klar die offizielle Notation von Microsoft. Auch wenn die eine oder andere Übersetzung eher unglücklich erscheint, diese Vorgehensweise erleichtert Ihnen das Auffinden weiterer Informationen in der Dokumentation.
1.1.4 Zielgruppe Es wurde bereits kurz erwähnt, dass dieses Buch im Bücherregal des Wer es lesen sollte Administrators gut aufgehoben ist. Es wendet sich aber an ein größeres Publikum, abhängig von der Motivation:
32
1 Einführung •
Administratoren, die mehr über die Hintergründe der Technologie von Windows 2000 erfahren möchten um schneller und sicherer installieren und administrieren zu können
•
Techniker, die Windows 2000-Computer installieren und nicht nur als Diskjockey arbeiten möchten
•
IT-Leiter, die den Einsatz von Windows 2000 Professional planen und sich über mögliche technische Probleme und auch die Vorteile anhand praktischer Darstellungen informieren möchten
•
Anwender, die einen technische Hintergrund haben und einfach aus »ihrem« Windows 2000 mehr herausholen möchten
Es wird also ein breit gefächertes Publikum angesprochen. Sicher führt das bei dem einen oder anderen Leser dazu, dass er Teile für nicht relevant ansieht oder vom Niveau über- oder unterfordert ist. Vielleicht entschädigt ihn dafür der Umfang. Man mag über dicke Bücher geteilter Meinung sein – für die tägliche Arbeit ist fehlende Information allemal lästiger als eine gewisse Breite der Darstellung.
1.1.5 Struktur und Aufbau Die fünf Teile
Das Buch ist in fünf Teile gegliedert: •
Teil I: Einführung Hier werden überblicksartig die einzelnen Produkte der Windows 2000-Familie dargestellt.
•
Teil II: Grundlagen Theoretische Grundlagen der wichtigsten Windows-Funktionen werden erläutert, ebenso die Hintergründe der meisten verwendeten Standards.
•
Teil III: Installation und Administration In diesem Teil geht es um Vorbereitung und Ausführung der Installation und Administration aller Windows 2000-Funktionen. Besonders umfangreich werden die Massenspeicher- und Netzwerkfunktionen behandelt.
•
Teil IV: Praktische Anwendung Hier geht es um die praktische Nutzung, die Modifikation der Oberfläche und die Nutzung der vielen kleinen Hilfsprogramme in Windows 2000. Hier kommen auch Anwender auf ihre Kosten, die sich von der üblichen Windows 2000 »Was ist eine Maus«-Literatur unterfordert fühlen.
1.1 Über das Buch •
33
Teil V: Anhänge Im letzten Teil finden Sie die üblichen Anhänge, Befehlsbeschreibungen der Kommandozeilenbefehle und weitere Navigationshilfen wie Glossar und Index.
Kapitelübersicht Die folgende Übersicht zeigt alle Kapitel der ersten Ordnung auf einen Blick.
1
Einführung
29
2
Die Neuerungen im Überblick
39
3
Die Windows-Systemarchitektur
75
4
Massenspeicherverwaltung
87
5
Dateisysteme
131
6
Netzwerkgrundlagen
189
7
Drucken
231
8
Grundlagen der Systemsicherheit
265
9
Installation
283
10
Die Managementkonsole (MMC)
357
11
Administration der Massenspeicher
389
12
Administration von Netzwerken
495
13
Drucker einrichten und verwalten
559
14
Benutzerverwaltung
609
15
Internet Informationsdienste
647
16
Systemsicherheit
699
17
Reparatur und Wiederherstellung
737
18
Struktur der Oberfläche
793
19
Anpassung der Oberfläche
817
20
Kommunikationsprogramme
833
21
Internet für Benutzer
849
22
Multimedia
893
23
Mobiler Einsatz
903
24
Systemwerkzeuge und Sicherheit
957
34
1 Einführung
1.1.6 Verwendete Symbole Hinweise kennzeichnen Stellen, die den betrachteten Kontext etwas verlassen oder besonders wichtig sind. Diese Absätze sind zusätzlich grau hinterlegt. An einigen Stellen im Buch wird auf die Software der beiliegenden CD eingegangen. Dies wird durch das CD-Symbol gekennzeichnet.
1.1.7 Schreibweise Hinweise zum Satz
Im Buch werden folgende Schreibweisen verwendet, um Befehle und Anweisungen, Bezeichnungen von Dialogen und selbst gewählte Ersatznamen unterscheiden zu können. Dialogfelder und Schaltflächen werden, wie bei HINZUFÜGEN, in Kapitälchen gesetzt. Befehle, wie net use, werden in nicht proportionaler Schrift gesetzt.
Befehlszeilen
Befehlszeilen, die eingegeben werden können, stehen allein auf einer Zeile und sind grau hinterlegt: c:>ftp Ebenso werden auch Ausschnitte aus Konfigurationsdateien dargestellt. Selbstgewählte Name, wie win98pc, werden dagegen kursiv gesetzt.
1.1.8 Entstehung Den einen oder anderen Leser mag es interessieren, wie dieses Buch entstanden ist. Es ist zugegeben schon faszinierend festzustellen, dass große Bücher über bekannte Textverarbeitungsprogramme unter Windows auf Macintosh-Computern gesetzt werden. Auf der anderen Seite schreiben viele Autoren ihre Linux-Bücher auf Windows. In der Praxis hat es sich als hilfreich erwiesen auf dem Computer zu schreiben, der auch als Informationsquelle und Testumgebung dient. Deshalb entstand dieses Buch auf einer Windows 2000 ProfessionalWorkstation. Als Schreib- und Satzprogramm kam Microsoft Word 2000 zum Einsatz. Lediglich das Aufbereiten der Druckdaten übernahm der Adobe Destiller – die Druckerei wurde direkt mit PDFDateien beliefert. Gegenüber vielen anderen Varianten erwies sich dies als relativ produktiv – auch im Hinblick auf die Zusammenarbeit der Autoren auf dem Weg zum gemeinsamen Dokument. Auch mit guter Kenntnis
1.2 Danksagung anderer Programme, egal ob von Adobe oder Corel, oder anderer Betriebssystem wie Linux oder Solaris, kann diese Plattform als praxistauglich empfohlen werden, auch wenn uns klar ist, dass eine Textverarbeitung nur geringe Ansprüche an ein Betriebssystem stellt.
1.2 Danksagung Unser Dank gilt in erster Linien den Mitarbeitern des Carl Hanser Verlages, die trotz der Verzögerungen nicht die Geduld verloren haben und wie wir an das Buch und seinen Erfolg geglaubt haben. Danken möchten wir auch der Microsoft GmbH Unterschleißheim, speziell Herrn Christian Nern, für die unbürokratische Unterstützung und Bereitstellung der nötigen Software. Danken möchten wir auch unseren Familien für die Geduld und Unterstützung in der Endphase der Fertigstellung, die sich durch 7-TageWochen und viele durchgearbeitete Nächte auszeichnete.
35
1.2 Danksagung
37
Kapitel 2 Die Neuerungen im Überblick
2.1
Active Directory – der neue Verzeichnisdienst .......39
2.2
Neue Sicherheitsmechanismen.............................41
2.3
Neues Datenträgermanagement ...........................44
2.4
Unterstützung neuer Hardware-Technologien .......47
2.5
Die Neuerungen der Benutzeroberfläche ...........52
2.6
Vereinfachungen für die Administration ...........62
2.7
Die Windows 2000 – Produktpalette....................63
2.8
Zur Geschichte von Windows 2000 ......................65
2.1 Active Directory – der neue Verzeichnisdienst
2 Die Neuerungen im Überblick Windows 2000 entstand als direkter Nachfolger von Windows NT 4. Dieses Betriebssystem, mit Hilfe diverser Service-Packs um viele Bugs erleichtert und einiger zusätzlicher Features bereichert, hat sich als stabiles Betriebssystem für Workstations und Server etabliert. Allerdings gibt es inzwischen einen großen Bedarf nach »richtigen« Neuerungen, sei es für den Workstation-Einsatz, die Unterstützung neuer Technologien wie USB und AGP oder die Renovierung des in die Jahre gekommenen Netzwerk-Modells der Domänen. Die Neuerungen in Windows 2000 im Vergleich zum Vorgänger sind umfassend. Ziel von Microsoft war dabei nicht nur eine oberflächliche Renovierung von Windows NT, sondern eine Überarbeitung aller wesentlichen Technologien, um den gestiegenen Anforderungen der Kunden besser gerecht zu werden. In diesem Kapitel werden die wichtigsten Neuerungen kurz vorgestellt.
2.1 Active Directory – der neue Verzeichnisdienst Zentraler Bestandteil der Netzwerkunterstützung von Windows 2000 ist das Active Directory. Das alte Domänen-Konzept von Windows NT landet damit im wohlverdienten Ruhestand, wird aber aus Gründen der Kompatibilität weiterhin unterstützt. Mit einem Verzeichnisdienst kann die logische Organisationsstruktur Abbildung der eines Unternehmens oder einer Einrichtung abgebildet werden. Die OrganisationsObjekte dieser Struktur, das können Benutzer genauso wie Hardware- struktur oder Softwareressourcen sein, werden dabei hierarchisch in einer Baumstruktur organisiert. Benutzer können zu Gruppen zusammengefasst werden, die wiederum bestimmten Abteilungen angegliedert werden. Zu jedem der Objekte sind wiederum Attribute deklarierbar, die dieses näher beschreiben. Ein Benutzer hat dabei neben einem eindeutigen Namen im Verzeichnis noch Attribute. Diese beschreiben seine Rechte und Funktionen, sowie die Kommunikationsmöglichkeiten zu ihm (Telefon, FAX, E-Mail oder vielleicht auch Wege zum direkten Datentransfer). Einem Druckerobjekt dagegen können andere Attribute zugeordnet werden. Leistungsfähige Verzeichnissysteme müssen, um die vorgegebene logische Organisationsstruktur abbilden zu können, sehr flexibel sein und im Bedarfsfall mit bis zu mehreren Millionen Einträgen umgehen können. Das mit Windows 2000 eingeführte Active Directory versucht diesem Aufbauend auf Anspruch gerecht zu werden. Es basiert dabei auf dem X.500- Standards
39
40
2 Die Neuerungen im Überblick Standard, der bereits Ende der 80er Jahre entwickelt worden ist und dem Internet Domain Name System (DNS). Als Protokoll zur Kommunikation im Active Directory wird das Lightweight Directory Access Protocol (LDAP) benutzt. Das Netzwerkprotokoll ist in jedem Fall TCP/IP.
Abbildung größerer Zur Abbildung einer größeren Struktur können mehrere Server für die Strukturen Verwaltung des Verzeichnisses eingesetzt werden. Mit dem Active
Directory gibt es aber keinen primären Domänencontroller mehr wie noch unter Windows NT, sondern alle Domänencontroller sind prinzipiell gleichberechtigt. Die Replikationsmechanismen des Active Directory sorgen dabei dafür, dass die Informationen auf allen Servern identisch sind. Für die Administration von Objekten kann dann jeder Domänencontroller benutzt werden statt wie bisher nur der primäre Domänencontroller unter NT, von dem dann wiederum die Daten auf die Sicherungs-Domänencontroller repliziert wurden. Flexiblere Administration
Die Administration des Active Directory kann jetzt sehr viel flexibler organisiert werden, als das mit dem alten Domänenkonzept möglich war. Nun können Administratoren auch Teilbereiche des Active Directory zur Verwaltung zugewiesen werden (und nicht gleich die ganze Domäne) bzw. können sie für den Vertretungsfall ganz bestimmte Rechte weitergeben (vererben). Mit dem Active Directory hat Microsoft die Netzwerkfähigkeit von Windows auch für die Organisation von größeren Strukturen wieder konkurrenzfähig gemacht. Für die Kommunikation aus Benutzersicht werden mit NDS und LDAP sowie den Sicherheitsfeatures (Internet-) Standards benutzt, die helfen, auch heterogene Netzwerke mit dem Active Directory verwalten zu können. Die interne Kommunikation zwischen den Domänencontrollern hingegen ist mit proprietären Protokollen umgesetzt worden.
Zusammenspiel mit Einen besonderen Fokus hat Microsoft auf die Integration von Novells NDS NDS gelegt. Da dieser Verzeichnisdienst schon länger etabliert ist,
kann er schwerlich über Nacht durch das Active Directory ersetzt werden. Vielmehr wurde eine Synchronisationsmöglichkeit zwischen den beiden Verzeichnisdiensten implementiert, die ein friedliches Nebeneinander sichern soll. Für den Einsatz von Windows 2000 Professional ist das Active Directory aus clientseitiger Sicht wichtig. Das Active Directory selbst kann nur durch einen Windows 2000 Server bereitgestellt werden. Für mehr Informationen zum Aufbau und Verwaltung des Active Directory verweisen wir auf den zweiten Band unserer Windows 2000–Reihe. In Abschnitt 6.6 Einführung in Active Directory ab Seite 212 finden Sie eine Einführung in dieses Thema.
2.2 Neue Sicherheitsmechanismen
41
2.2 Neue Sicherheitsmechanismen Die Umsetzung eines umfassenden Verzeichnisdienstes erfordert natürlich auch eine hohe erreichbare Sicherheit. Das beginnt mit der sicheren Authentifizierung des Benutzers und endet mit einer »abhörsicheren« Übertragung der Daten im Netzwerk (denken Sie dabei nur mal an die mögliche »Abhörung« von Datenflüssen über ein Übertragungsmedium wie Kabel, Lichtwellenleiter oder Funkwellen – das Auslesen von Bildschirminhalten oder Tastaturanschlägen ist ein anderes Thema). Dazu kommen die sichere Authentifizierung von Sendungen (E-Mails oder andere Dokumente) und natürlich auch der Schutz von Daten auf der Festplatte. Mit Windows 2000 wartet das Betriebssystem mit zahlreichen neuen Neue Sicherheitsfunktionen Sicherheits-Funktionen auf. Zu den wichtigsten zählen: •
die Verschlüsselung von Dateien und Ordnern
•
Analysefunktionen für Angriffe
•
automatische Konfiguration sicherheitsrelevanter Einstellungen
Die Sicherheit der eigenen IT-Ressourcen ist besonders im Intranet Angriffsszenarien und bei über das Internet kommunizierenden Unternehmen von großer Bedeutung. Der bloße Einsatz von Firewalls reicht hierzu bei weitem nicht aus: Es ist wichtig, Maßnahmen zu ergreifen, um zum Beispiel die auf Datenspeichern abgelegten Dateien vor Unbefugten zu schützen. Das gilt auch für die vielen mit Notebooks ausgestatteten Mitarbeiter, die oft sensible Daten mit sich führen. Anwendern, denen ihr Notebook einmal während einer Geschäftsreise oder mitsamt dem in der Tiefgarage abgestellten Auto gestohlen worden ist, wird meist erst zu spät bewusst, welche Informationen dem Dieb in die Hände gefallen sind. Ähnlich verhält es sich bei Unternehmen, die von einem ungebetenen Gast heimgesucht wurden, der bei seinem Einbruch aus dem Büro nicht nur Wertsachen, sondern auch gleich die dortigen Computer oder gar einen Server mitgenommen hat. Die Verwendung eines schützenden BIOS-Kennworts, das beim Einschalten einzugeben ist, bietet höchstens Prävention bei einem kurzfristig unbeaufsichtigten Computer, nicht aber beim Diebstahl: Es ist ein Leichtes, die Festplatte aus dem gestohlenen Gerät aus- und in einen anderen Rechner einzubauen, um die Daten dort in Ruhe auszulesen. Die einzig wirksame Maßnahme gegen die unrechtmäßige Weiterverwertung der auf einem Speichermedium wie einer Festplatte oder einer Wechselplatte enthaltenen Daten, stellt die Verschlüsselung einzelner Dateien oder ganzer Ordner dar.
42
2 Die Neuerungen im Überblick
2.2.1 Sichere Authentifizierung – Kerberos Die sichere Authentifizierung des Benutzers wird in Windows 2000 durch die Unterstützung des Kerberos-Protokolls möglich. Kerberos ist als zentraler Sicherheitsstandard in Windows 2000 und das Active Directory implementiert. Bei der Anmeldung eines Benutzers wird zunächst nur dessen Benutzername an den Server gesendet. Das Passwort bleibt lokal gespeichert. Der Benutzername wird in einem speziellen Verfahren auf dem Server mit Hilfe des dort abgelegten Passworts verschlüsselt und wieder zurück gesendet. Vor Ort kann dann dieses Datenpaket (das sogenannte Ticket Granting Ticket – TGT) nur verwendet werden, wenn es durch das Passwort korrekt entschlüsselt wurde. Mit diesem gültigen Ticket können dann wiederum andere Dienste oder der Zugriff auf andere Ressourcen im Netzwerk angefordert werden. Durch Kerberos wird die Sicherheit bei der Authentifizierung erhöht und gleichzeitig effizienter gestaltet. Ein weiterer Vorteil ist die weite Verbreitung von Kerberos als Standard, beispielsweise in professionellen UNIX-Umgebungen. Mit Windows 2000 und zukünftig auch dem Kerberos-Client für Windows 98 und seinem Nachfolger ME kann eine sichere Integration in heterogene Umgebungen erreicht werden. Für Windows NT hingegen wird es keine Kerberos-Unterstützung mehr geben. Angesichts der weiten Verbreitung von Windows NT ist das sicher kaum einzusehen – aber Microsoft muss ja auch leben.
2.2.2 Sicherer Datentransfer – IPSec Was nützt die sicherste Authentifizierung, wenn nachher die Datenströme im Netzwerk abgefangen und gelesen werden können? Insbesondere wenn sie über das Internet geschickt werden, sind diese Ströme anfällig für Abhörangriffe. Hier hilft nur eine wirksame Verschlüsselung der Daten. Mit IPSec (IP Security) ist in Windows 2000 eine Technologie implementiert, die dies leisten kann. Dabei werden die Daten auf IP-Ebene verschlüsselt, d.h. für die Applikationen bleibt dieser Vorgang transparent. Müssen bei der Verwendung anderer Standards, wie beispielsweise SSL, der Internet-Browser und der Webserver beide die Technologie verstehen, um eine sichere Verbindung aufbauen zu können, wird mit IPSec unabhängig von der konkreten Anwendung der Datenstrom zwischen den beiden Punkten vor unerlaubtem Mithören geschützt. Die Technologie IPSec erlaubt also den einfachen Aufbau sicherer Verbindungen auf Betriebssystemebene, ohne dass die Anwendungen dafür speziell ausgelegt sein müssen.
2.2 Neue Sicherheitsmechanismen
2.2.3 Virtuelle Private Netzwerke und L2TP Eine wichtige Rolle im Zusammenhang mit dem verschlüsselten VPN Netzwerktransfer wird in Zukunft das neue Layer 2 Tunneling Protocol (L2TP) spielen. Das Tunneling von Datenpaketen über IP gewinnt immer mehr an Bedeutung für den Aufbau Virtueller Privater Netzwerke (VPN). Über VPNs wird das offene Internet für den Transport der Daten benutzt, das Netzwerk, daher »privat«, bleibt dabei eine in sich abgeschlossene Einheit. Für Benutzer ist dieser Vorgang transparent. Damit die Datenströme über das Medium Internet auch sicher transportiert werden, werden diese in einzelne Pakete verpackt, verschlüsselt und via TCP/IP-Protokoll »getunnelt« auf den Weg gebracht. Bisher wurde in der Microsoft-Welt das Point-to-Point Tunneling Protocol (PPTP) dazu benutzt; da aber die MS-Welt nicht die einzige ist und die Standards manchmal auch außerhalb derselben existieren, unterstützt Microsoft mit Windows 2000 jetzt neben dem PPTP auch das Layer 2 Tunneling Protocol. Dieses Tunneling-Protokoll, das als ein Internet-Standard gilt, unterstützt von sich aus keine Verschlüsselung (anders als PPTP). Als Verschlüsselungstechnologie für L2TP kann IPSec zum Einsatz kommen. Der sichere Aufbau von Virtuellen Privaten Netzwerken über das Internet kann mit Windows 2000 unter Nutzung von internationalen Standards realisiert werden und wird damit weiter zu einer produktiven Nutzung der Internet-Ressourcen für den kostengünstigen Ausbau von privaten Intranets führen.
2.2.4 Unterstützung von SmartCards Die zunehmende Bedeutung von Smartcards zur Absicherung der ITInfrastruktur wird in Windows 2000 mit der direkten Unterstützung dieser Technologie unter Nutzung von internationalen Sicherheitsstandards adressiert. Auf den kleinen scheckkartengroßen Kärtchen, die durch PIN gesichert sein können, lassen sich hervorragend komplexe Zugangsdaten bzw. Sicherheitszertifikate hinterlegen. Unter Windows 2000 kann die Unterstützung dieser Smartcards direkt im Betriebssystem integriert werden. Vorteil bei der Verwendung dieser Technologie ist die stark vereinfachte Authentifizierungsprozedur, besonders wenn im Active Directory die Anmeldung für verschiedenste Dienste so zusammengefasst werden kann. Aber auch bei der Nutzung des Verschlüsselnden Dateisystems (Encrypting File System-EFS; siehe nächster Abschnitt) kann die SmartCard-Technologie zu einer höheren Absicherung lokal gespeicherter Daten beitragen.
43
44
2 Die Neuerungen im Überblick
2.2.5 Das Encrypting File System (EFS) Sicherung der lokalen Daten
Beim Einsatz von Windows 2000 Professional ist auch die Sicherung der lokalen Daten auf der Festplatte (beispielsweise von Notebooks) wichtig. Wird das Notebook gestohlen, können die Daten, seien sie auch auf einer NTFS-Festplatte unter Windows NT 4 abgelegt, wieder ausgelesen werden. Es gibt (beispielsweise NTFSDOS.EXE) Programme, die NTFS-Partitionen unter DOS lesen können. Es genügt aber auch, die Festplatte an ein anderes Windows NT- oder 2000–System anzuschließen und als Administrator die Rechte wieder klarzustellen (Wer ist hier der Herr im Haus ?!) – oder man kann auch den umständlicheren Weg nehmen, Windows NT/2000 neu zu installieren. Das betrifft neben den Daten auf Notebooks oder von anderen ungewollt »mobil gemachten« Arbeitsplatzrechnern auch die Sicherung von Servern in kleineren Netzwerken. Oft wird zwar viel getan, um die Sicherheit bei der Authentifizierung oder auch beim Datentransfer zu gewährleisten – aber dann steht der Server in irgendeiner Ecke oder einem wenig gesicherten Raum und kann mitgenommen werden. Gegen diese einfache Art von Datenklau kann eine neue Verschlüsselungstechnologie in Windows 2000 zum Einsatz kommen – das Encrypting File Systems (EFS). Mit Hilfe des EFS können Daten auf der Festplatte wirksam gesichert werden.
EFS allein nicht ausreichend
Allerding ist der Einsatz der EFS-Verschlüsselung allein keinesfalls ausreichend, um lokale Daten wirklich zu schützen. Solange jemand Ihr Kennwort zurücksetzen kann und sich dann unter Ihrer Benutzerkennung anmeldet, kommt er auch an Ihre EFS-verschlüsselten Dateien heran. Lesen Sie in Abschnitt 8.3 Absicherung lokaler Daten ab Seite 267, welche Möglichkeiten es gibt, das System richtig abzusichern.
2.3 Neues Datenträgermanagement Für die Einbindung und Verwaltung von Festplatten und Wechselmedien besitzt Windows 2000 deutlich mehr Möglichkeiten als das alte NT. Das betrifft zum einen den Aspekt der höheren Sicherheit, der mit dem Encrypting File System (EFS) adressiert wird (siehe Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166), zum anderen die gesteigerte Flexibilität beim Managen von MassenspeicherRessourcen. In diesem Abschnitt werden die neuen Features der Professional-Version von Windows 2000 in Bezug auf das Datenträgermanagement vorgestellt.
2.3 Neues Datenträgermanagement
45
2.3.1 Dynamische Datenträger Bislang arbeitete das Datenträgermanagement von Windows NT, wie Traditionell: auch Windows 9x/ME, mit einem partitionsorientierten Ansatz. Jede Partitionen Festplatte, die im System genutzt werden soll, muss damit zunächst partitioniert werden (mehr dazu siehe Abschnitt 4.3 Basisfestplatten ab Seite 91). Dieser Partition wird dann für den Zugriff ein Laufwerksbuchstabe zugeordnet und muss mit einem Dateisystem formatiert werden. Diese logischen Laufwerke sind also immer direkt mit der physischen Aufteilung (Partitionierung) der Festplatten verbunden. Erweiterungen des Dateisystems bedingen einen relativ hohen administrativen Aufwand und die wenig flexible Einbindung über einen Laufwerksbuchstaben. Andere Betriebssysteme wie beispielsweise UNIX erlauben hier schon lange ein deutlich flexibleres Management der Datenträger. Für Windows 2000 hat Microsoft das Datenträgermanagement gründ- Deutlich flexibler lich renoviert und auf den heutigen technischen Stand gebracht. Ne- mit dynamischen ben der Unterstützung der Partitionierung können Sie nun auch einen Datenträgern oder mehrere sogenannte dynamische Datenträger erstellen. Diese können dabei aus einer physikalischen Festplatte bestehen oder sich sogar über mehrere Laufwerke erstrecken. Das Dateisystem, mit dem dynamische Datenträger formatiert werden, kann sowohl FAT/FAT32 als auch NTFS sein. Dynamische Datenträger können Sie während des laufenden Betriebes konfigurieren und so beispielsweise erweitern, indem Sie einfach eine Festplatte hinzufügen und an einen dynamischen Datenträger anhängen. Für den Anwender geschieht dies völlig transparent – sein logisches Laufwerk ist danach einfach größer geworden. Windows 2000 kümmert sich automatisch dann um die Aufteilung der Daten auf alle eingebundenen Festplatten. In Bezug auf die Sicherheit hat sich verbessert, dass anders als bei par- Höhere Datentitionierten Festplatten alle Laufwerksinformationen nicht in einer sicherheit Partitionstabelle, sondern in einem speziellen reservierten Bereich liegen und auch auf andere Datenträger repliziert werden können. Die Systemsicherheit können Sie damit auf ein höheres Niveau bringen als mit dem bisherigen Ansatz. Dynamische Datenträger werden nur von Windows 2000 unterstützt. Ein Zugriff von Windows 9x/ME oder NT ist nicht möglich. Zusammenfassend lässt sich sagen, dass mit den dynamischen Datenträgern ein deutlich flexibleres Datenträgermanagement bei einer erhöhten Systemsicherheit möglich ist. Außerdem können Sie damit alle Konfigurationsaufgaben an Festplatten durchführen, ohne dass ein Neustart des Systems notwendig wird.
46
2 Die Neuerungen im Überblick
2.3.2 Bereitstellungspunkte für Datenträger Laufwerkbuchstaben
Wenn Sie eine neue Festplatte in Ihr System einbinden, vergeben Sie dieser für den Zugriff normalerweise, sei es für den Anwender oder Software-Applikationen, einen Laufwerkbuchstaben. Anders natürlich bei den dynamischen Datenträgern, die Sie transparent erweitern können (siehe vorigen Abschnitt). Mit dem Festplattenmanager unter NT konnten Sie zumindest diesen Laufwerkbuchstaben jederzeit verändern. Wirklich flexibel war diese Art der Einbindung von Festplatten in das Betriebssystem nicht. Mit Windows 2000 können Sie nun über das neue Verwaltungstool DATENTRÄGERVERWALTUNG neben einem Laufwerkbuchstaben einen oder mehrere sogenannte Bereitstellungspunkte definieren. Ein Bereitstellungspunkt verhält sich dann wie ein ganz normales Verzeichnis im Dateisystem. Dieses in der UNIX-Welt (dort Links genannt) schon lange gebräuchliche Verfahren hat jetzt also auch Eingang in Windows gefunden.
Bereitstellungspunkte in NTFSStruktur
Bereitstellungspunkte können nur im NTFS-Dateisystem angelegt werden, die Zieldatenträger derselben können aber auch mit FAT oder FAT32 formatiert sein. Über Bereitstellungspunkte können Sie das Dateisystem für den Anwender transparent erweitern. Dem Anwender erscheint es oft logischer, wenn er beispielsweise über ein neues Verzeichnis in seiner Verzeichnisstruktur D:\Daten verfügt, als wenn er sich einen neues Laufwerk K: merken muss, dass vielleicht wiederum eine eigene Verzeichnisstruktur mitbringt.
2.3.3 Datenträgerkontingente (Disk Quotas) Wie Sie sicher selbst schon leidvoll erfahren haben, gibt es keine ausreichend großen Festplatten. Jedes mal, wenn eine neue, größere Platte ins System genommen wurde, dauerte es nicht lange, bis diese wieder voll ist. Dabei liegt das oft nicht allein an den immer voluminöseren Programmpaketen, sondern auch an der unstrukturierten Dateiablage vieler Anwender. Egal, wie viel Platz die Festplatte auch hat, sie wird gefüllt. So kann die Notwendigkeit bestehen, auch auf WindowsArbeitsplatzcomputern den Speicherplatz einzuschränken, vor allem, wenn dieser von verschiedenen Anwendern benutzt wird. Dazu bietet Windows 2000 eine in das Betriebssystem integrierte Funktion Datenträger-Kontingente. Mit dieser aus anderen Betriebssystemen auch besser unter Disk Quotas bekannten Funktion können Sie als Administrator je Benutzer und Volume eine Speicherplatzbeschränkung einrichten.
2.4 Unterstützung neuer Hardware-Technologien So erhält beispielsweise der Benutzer Jörg auf dem Volume Gemeinsam eine für ihn nutzbare Kapazität von 1 GB zugewiesen. Sie können dabei bestimmen, dass ab einer erreichten Ausnutzung von 950 MB der Benutzer gewarnt wird. Mit den Datenträger-Kontingenten haben Sie ein leistungsfähiges Instrument in der Hand, auf professionell genutzten Windows 2000Systemen die Speicherplatznutzung gezielt beeinflussen zu können.
2.3.4 Jetzt auch unterstützt: FAT32 Es ist sicher nicht die revolutionärste Neuerung von Windows 2000, dass endlich das schon seit Windows 95 OSR2 eingeführte FAT32Dateisystem unterstützt wird. Mit der weiten Verbreitung von Windows 95 und seinem Nachfolger Windows 98 auf den Arbeitsplatzrechnern vieler Unternehmen ist damit ein Upgrade auf Windows 2000 unter Beibehaltung von alten Datenstrukturen und einer Dualbootmöglichkeit mit dem alten System wesentlich einfacher möglich. Das betrifft natürlich auch die Unterstützung von Wechselplattensystemen, die inzwischen in den Bereich von mehreren GB pro Medium gelangt sind und oft sinnvoller weise auch mit FAT32 formatiert werden. Zu beachten ist jedoch, dass alle neuen Features von Windows 2000, die die Sicherheit auf Benutzerebene und die Verschlüsselung mit dem Encrypting File System betreffen, nur mit dem NTFS respektive dessen Weiterentwicklung in der Version 5 nutzbar sind. Trotzdem ist die Unterstützung von FAT32 ein Fortschritt, wird es so doch die Verbreitung von Windows 2000 auch bei Anwendern fördern, die bislang Windows 95 bzw. 98 eingesetzt haben, aber trotzdem (oder gerade deswegen?) eine stabilere Plattform für die Erledigung ihrer täglichen Arbeit benötigen.
2.4 Unterstützung neuer HardwareTechnologien Die neben dem Active Directory wichtigste Neuigkeit in Bezug auf Windows 2000 ist wohl – im Vergleich zum relativ konservativ auftretenden NT – die Unterstützung für die ganzen schönen HardwareGimmicks unserer modernen Zeit. Die Schlagworte sind dabei USB, FireWire, ACPI u.a. Welche dieser Technologien warum und wie für Windows 2000 bedeutsam sind, soll dieser Abschnitt in einer ersten Übersicht aufzuklären helfen. Dabei wird zwischen der Professionalund den Server-Varianten unterschieden, was sehr wohl Sinn macht,
47
48
2 Die Neuerungen im Überblick da bei diesen beiden Systemwelten zum Teil ganz unterschiedliche Prioritäten in Bezug auf die einzusetzende Hardware gestellt werden.
2.4.1 Wichtige unterstützte Technologien für Windows 2000 Professional In diesem Abschnitt sind die wichtigsten neuen HardwareTechnologien aufgeführt, die Windows 2000 unterstützt und damit mehr als sein Vorgänger NT für den Aufbau eines leistungsfähigen Arbeitsplatzrechners befähigt.
AGP Höhere Grafikperformance
Die für den Aufbau einer leistungsfähigen Grafikworkstation wichtigste Errungenschaft in Windows 2000 ist zweifellos die nun vorhandene Unterstützung für den Accelerated Graphics Port (AGP). Erst damit können die modernen 3D-Grafikbeschleuniger ihre volle Leistungsfähigkeit entfalten. Die Datentransferraten des AGP sind um ein Vielfaches höher als bei PCI (528 und zukünftig > 1 GB/s zu 132 MB/s) und die direkte Hauptspeicherankopplung an den AGP lässt die Auslagerung komplexer Texturen ins RAM des Rechners zu. Wenn mal nicht gerade mit 3D-Programmen gearbeitet wird, kann Windows 2000 dank integrierter DirectX-Schnittstelle auch hervorragend für das 3D-Ballerspiel der neuesten Generation missbraucht werden.
Plug&Play Einfachere Installation
Windows 2000 ist jetzt auch endlich richtig Plug&Play-fähig geworden (schon wieder Spielen?). Das bedeutet, dass jetzt neu installierte Hardware-Komponenten sehr zuverlässig erkannt und falls ein Treiber vorhanden ist, auch gleich automatisch eingebunden werden. Im Workstation-Betrieb, wo öfter mal Hardware erweitert oder getauscht werden muss als bei einem Server (denken Sie nur an die rasante Entwicklung auf dem Grafikkarten-Markt – möchten Sie mit einer 6 Monate alten Karte arbeiten?), macht sich dieses Feature sehr positiv bemerkbar. Sehr wichtig ist Plug&Play natürlich auch in Bezug auf den NotebookEinsatz; die wichtigsten Stichworte sind hier PCMCIA und USB – dazu später aber mehr.
2.4 Unterstützung neuer Hardware-Technologien
49
USB Die komplette Unterstützung des Universal Serial Bus (USB) in Win- Hot Plug dows 2000 (in Windows NT nur rudimentär implementiert) verhilft diesem Port zu einem weiteren Aufschwung. USB ist in der Version 1 vor allem für relativ langsame Peripherie wie Eingabegeräte geeignet (nichtsdestotrotz auch von Druckern, Digitalkameras und Scannern gern benutzt) und wird in der Version 2 ein Vielfaches der Datenmenge transportieren können (12 Mbps zu 480 Mbps). Die Vorteile von USB sind das sehr einfache Handling für den Benutzer, das Zusammenarbeiten mit mehreren Geräten an einem Bus (der durch einfache USB-Hubs problemlos erweitert werden kann) und die Stromzufuhr für die Peripheriegeräte, die, ein ausreichend starkes Netzteil im PC vorausgesetzt, uns in Zukunft den Wust von tausenden externen Netzteilen ersparen können.
IEEE 1394 Eine zweite Technologie für den Anschluss externer Massenspeicher Hohe Bandbreite (das können neben Festplatten beispielsweise auch Videosysteme sein) ist FireWire, auch als IEEE 1394 bekannt. Mit dieser Schnittstelle können unter Windows 2000 solche Anwendungen arbeiten, die einen exklusiven und konstanten Datentransfer mit einer hohen Bandbreite (50 MB/s), beispielsweise beim Videoschnitt, benötigen. Die wesentlich bessere Hardwareausnutzung von Windows 2000 im Vergleich zu Windows 98 (4 GB RAM zu 128 MB nutzbarem RAM) und das stabilere Laufzeitverhalten durch preemptives Multitasking und Mehrprozessorunterstützung (bis zu 2 CPUs) lassen ein weiteres Vordringen von Windows 2000 in den bislang MAC-dominierten Multimediamarkt erwarten.
IDE-Schnittstelle Im Unterschied zum Vorläufer wartet jetzt Windows 2000 mit einem Schnelles IDEumfassenden Support für die IDE-Schnittstelle auf. Ultra-DMA/66 Interface wird ebenfalls unterstützt, sodass im Workstation-Bereich mit dieser deutlich preiswerteren Alternative zu SCSI ohne nennenswerte Performance-Einbußen gearbeitet werden kann.
ACPI/APM Das Advanced Configuration and Power Interface (ACPI) ist eine Ausgefeiltes normierte Schnittstelle, die gemeinsam von den Herstellern Compaq, Powermanagement Intel, Microsoft, Phoenix und Toshiba ausgearbeitet worden ist und ein deutlich besseres Zusammenarbeiten zwischen PC-Hardware und
50
2 Die Neuerungen im Überblick Betriebssystem ermöglicht. ACPI hilft, die Stromsparmechanismen effektiver arbeiten zu lassen. Mit der sogenannten »Suspend to RAM«Funktionalität wird beispielsweise der gesamte Hauptspeicherinhalt gepuffert; der Rest des Computers inklusive der CPU fällt in einen Schlafzustand und kann auf Tastendruck innerhalb weniger Augenblicke wieder zu Leben erweckt werden. Die Festlegungen der ACPISpezifikation sollen dabei sichern, dass die einzelnen Komponenten reibungslos zusammenarbeiten. Ein Nichtwiederaufwachen oder unkontrollierte Abstürze, wie sie noch unter Windows 95/98 mit herkömmlichem Powermanagement (nur via APM – Advanced Power Management) öfter zu beobachten waren, sollen so der Vergangenheit angehören. Aber auch mit ACPI lief es nicht immer problemlos unter Windows 98. Manche Computer, genau genommen die Hauptplatinen der ersten ACPI-Generation, sind mit ihrem BIOS nicht zu 100% ACPIkompatibel. Deshalb geht Windows 2000 bei der Installation kritischer bei der Einrichtung von ACPI vor. Manch vermeintlicher ACPIRechner wird dann gar nicht als solcher erkannt, sondern es wird nur APM aktiviert. Aus Gründen der Stabilität sollte man es dabei belassen; wobei Windows 2000 unter Umständen noch zu ACPI überredet werden kann.
Symmetrisches Multiprocessing (SMP) Mehrere CPUs
Windows 2000 Professional ist wie Windows NT 4 Workstation von Hause aus für den Einsatz auf Computern mit bis zu zwei Prozessoren ausgelegt. Dabei wird das sogenannte Symmetrische Multiprocessing (SMP) unterstützt. Beim SMP werden Prozessoren gleichen Typs und gleicher Taktfrequenz unterstützt, die auf einen gemeinsamen physischen Arbeitsspeicher zugreifen. Moderne Windows-Software, bei der die einzelnen Programmfunktionen in separat ablaufende Teile, sogenannte Threads, zerlegt sind und parallel ablaufen können, werden von Windows 2000 automatisch optimal auf die beiden Prozessoren aufgeteilt. Darüber unterstützen die Windows-APIs die Zuteilung von Prozessen zu einem festgelegten Prozessor. Dabei legt der Programmierer fest, auf welchem Prozessor welche Programmteile ablaufen sollen.
Kein asymmetrisches Multiprocessing
Es gibt auch das asymmetrische Multiprocessing, bei jeder Prozessor einen eigenen Hauptspeicher ansprechen kann und auch nicht vom selben Typ sein muss. Diese Technologie wird von Windows 2000 generell nicht unterstützt.
2.4 Unterstützung neuer Hardware-Technologien
51
2.4.2 Wichtige unterstützte Technologien für den Notebook-Einsatz Insbesondere die Eignung von Windows 2000 für den mobilen Einsatz zeigt sich in der Unterstützung der für diesen Einsatz wesentlichen Features.
ACPI/APM Eines der wichtigsten Features eines Betriebssystems für einen profes- Effektivere sionellen Notebook-Einsatz ist eine effektive Ausnutzung der Akku- EnergiesparKapazitäten. Windows 98 war dafür trotz ACPI-Unterstützung nicht mechanismen sehr berühmt – man denke nur an grundloses regelmäßiges Wiederanlaufen der Festplatte. Windows 2000 geht in dieser Hinsicht, übrigens auch bei APM-Computern, mit der Akku-Kapazität deutlich sparsamer um. Voraussetzung ist aber in jedem Fall genügend Hauptspeicher. Was bei Windows 9x noch mit 32 MB RAM relativ flüssig lief, erfordert bei Windows 2000 mindestens 64 MB. Deutlich weniger Swap-Aktivitäten auf die Festplatte sind aber erst ab 96 MB RAM zu erwarten – damit wird dann auch ein sehr stromsparendes Laufzeitverhalten möglich (mit nicht zu vielen geöffneten Applikationen gleichzeitig).
Ruhezustand (Suspend to Disk) Unabhängig von den Fähigkeiten des Rechner-BIOS kann Windows Beschleunigter 2000 in den Ruhezustand gehen, indem der gesamte Hauptspeicher- Startvorgang inhalt auf die Festplatte geschrieben und der Rechner dann ausgeschaltet wird (bzw. manuell ausgeschaltet werden muss, wenn noch kein ATX-Netzteil im PC seinen Dienst verrichtet). Dieses Feature, das unter Windows NT noch nicht verfügbar war, verhilft zu deutlich schnelleren Ausschalt- und Startzeiten. Dabei wird die alte Sitzung erst dann wieder verfügbar, wenn sich der zuvor angemeldete Benutzer wieder ordnungsgemäß eingeloggt hat. Ein nicht beabsichtigter Zugang zu den Daten bei unbefugtem Einschalten eines solchen Rechners wird damit unterbunden.
PC-Cardbus / PCMCIA Die rudimentäre Unterstützung dieses Standards unter Windows NT Notebook-Erweigehört mit Windows 2000 der Vergangenheit an. Erweiterungskarten terungskarten für Netzwerk, externe Speichermedien wie CD-ROM-Laufwerke oder CDR/RW-Brenner können nun beliebig aktiviert und wieder entfernt werden.
52
2 Die Neuerungen im Überblick Andere Standards Für den Notebook-Einsatz ebenso bedeutsam wie für den Desktop-PC sind natürlich auch die neuen unterstützten Standards wie USB, FireWire oder die komplette Unterstützung der IDE-Schnittstelle. Diese wurden bereits in Abschnitt 2.4.1 Wichtige unterstützte Technologien für Windows 2000 Professional ab Seite 48 vorgestellt.
2.5 Die Neuerungen der Benutzeroberfläche Die Benutzeroberfläche von Windows 2000 wurde gegenüber seinem direkten Vorgänger Windows NT 4.0 überarbeitet, wobei die äußerlichen Veränderungen eher im Detail zu finden sind. Eine gravierende Umstellung des Erscheinungsbildes wie noch beim Wechsel von NT 3.5x auf 4.0 ist nicht zu verzeichnen. Im Mittelpunkt der Bemühungen stand laut Microsoft die Verbesserung der intuitiven Bedienbarkeit des Betriebssystems. Dafür wurden aufwändige »Windows Usability Benchmark«-Tests durchgeführt, bei denen unbedarfte Probanden bestimmte typische Aufgaben ohne fremde Hilfe ausführen mussten. Im Ergebnis der Auswertungen wurde der Windows-Desktop aufgeräumt und viele kleine Verbesserungen implementiert, die möglichst vorausschauend die am häufigsten zu erwartenden Probleme lösen helfen sollen. So verfügt Windows 2000, wie auch schon die Office2000-Suite, über »intelligente« Menüs, die nur die am meisten benutzten Einträge anzeigen. Dazu kommen eine große Anzahl von dienstbaren Assistenten, die die Verwaltungs- und Konfigurationsaufgaben weitgehend vereinfachen sollen. In den folgenden Abschnitten werden die wesentlichen Neuerungen vorgestellt; ab Seite 793 können Sie im Detail erfahren, wie alle diese Elemente benutzt und konfiguriert werden.
2.5.1 Der Desktop von Windows 2000 Professional Nach der Installation erscheint der Desktop von Windows 2000 aufgeräumter als unter Windows 98.
2.5 Die Neuerungen der Benutzeroberfläche
53 Abbildung 2.1: Der Desktop von Windows 2000
Sie finden hier 6 Symbole vor, hinter denen sich die folgenden Funktionen verbergen: •
Arbeitsplatz Das Arbeitsplatz-Symbol beinhaltet alle Laufwerke (Netzwerk- als auch lokale Laufwerke) sowie die Systemsteuerung. Die Symbole »Drucker« und »DFÜ-Netzwerk« dagegen sind verschwunden. »Drucker« befindet sich in der Systemsteuerung. »DFÜ-Netzwerk« ist jetzt logischer Bestandteil des Windows 2000-Netzwerkes.
•
Eigene Dateien Der Verweis auf die eigenen Dateien eines Benutzers erscheint nun auch auf dem Desktop. Unter Windows NT 4.0 war dieser Ordner etwas versteckt im NT-Hauptverzeichnis untergebracht: %Systemroot%\Profiles\benutzername\Eigene Dateien Mit Windows 2000 Professional gibt es einen zentralen Ordner »Dokumente und Einstellungen« im Hauptverzeichnis der Festplatte, unter dem standardmäßig die nutzerspezifischen Daten abgelegt werden. »Eigene Dateien« befindet sich demzufolge in \ Dokumente und Einstellungen\ benutzername\Eigene Dateien Das Programm »Aktenkoffer« für die Synchronisierung von Dateien für die mobile Nutzung ist verschwunden. Stattdessen wird diese Funktionalität mittels der neuen IntelliMirror-Technologie zur Verfügung gestellt und kann direkt innerhalb von »Eigene Dateien« angewandt werden.
54
2 Die Neuerungen im Überblick Im Bereich »Eigene Dateien« gibt es noch einen neuen Ordner »Eigene Bilder«. Dieser ist vor allem im Hinblick auf die zunehmende Verbreitung von digitalen Kameras, die über USB angeschlossen werden, um zu einem großen Teil von Windows 2000 ohne weitere zusätzliche Software gesteuert zu werden, mit zusätzlichen Funktionen versehen. In diesem Ordner abgelegte Bilder werden im linken Fensterbereich angezeigt und können hier direkt zum Betrachten in der Größe verändert und auch ausgedruckt werden. •
Netzwerkumgebung Die Netzwerkumgebung hat sich mit Windows 2000 grundlegend verändert. Waren unter NT die LAN- und Remote Access-Bereiche (RAS – Remote Access Service) verwaltungstechnisch noch strikt getrennt, so werden nun in der »Netzwerkumgebung« alle Verbindungen verwaltet, die mit der Außenwelt kommunizieren. Für die Definition einer neuen Verbindung rufen Sie die Eigenschaften der »Netzwerkumgebung« oder in der Systemsteuerung »Netzwerk- und DFÜ-Verbindungen« auf. Dort werden Sie dann mit Hilfe eines Assistenten bei der Erstellung einer neuen Verbindung geführt. Ob Sie diese für ein LAN, das Internet, ein Virtuelles Privates Netzwerk (VPN) oder eine Direktverbindung via Parallelkabel benötigen, ist dabei gleich. Das Einrichten von Netzwerkverbindungen wird ab Seite 493 ausführlich beschrieben.
•
Papierkorb Der Papierkorb dient dem Löschen von Dateien per Drag&Drop und bewahrt gelöschte Dateien auf. Diese können Sie dadurch wieder zurückholen, falls das Löschen versehentlich erfolgt ist. Die Anzahl beziehungsweise der Umfang der hier aufbewahrten Dateien ist konfigurierbar.
•
Internet Explorer und Verbindung mit dem Internet herstellen Im Lieferumfang von Windows 2000 ist auch der Microsoft Internet Explorer enthalten. Für die Einrichtung einer InternetVerbindung können Sie auf einen Assistenten zurückgreifen, der mit dem Verweis auf dem Desktop Verbindung mit dem Internet herstellen gestartet werden kann. Der Assistent wird übrigens auch dann gestartet, wenn Sie das erste Mal den Internet Explorer oder Outlook Express aufrufen.
Integration des Internet Explorers
Die Integration des Internet Explorers in die Benutzeroberfläche von Windows 2000 ist eine wesentliche Veränderung gegenüber NT 4.0 und führt den mit Windows 98 eingeschlagenen Weg konsequent fort. Ziel der Verschmelzung der Browser-Technologien mit der normalen Benutzung des Computers ist die Vereinheitlichung von Bedienkonzepten. Dabei sollen die Unterschiede, die heute noch normalerweise
2.5 Die Neuerungen der Benutzeroberfläche
55
beim Umgang mit dem Betriebssystem und beim Surfen durchs Web in der Bedienung zu beachten sind, zunehmend aufgehoben werden.
2.5.2 Intelligente Menüs und das Startmenü Wie schon in Office 2000 haben jetzt auch in Windows die »intelligenten« Menüs Einzug erhalten. Das beginnt schon beim Startmenü, in dem nur die am häufigsten benötigten Einträge angezeigt werden. Wollen Sie zu einem Programm, welches versteckt ist, müssen Sie auf den Fortsetzungsbereich des Menüs gehen und einen Moment mit der Maus darauf verharren oder anklicken. Erst dann werden die restlichen Einträge sichtbar. Abbildung 2.2: »Intelligente« Menüs
So lässt sich die Anzahl der angezeigten Einträge minimieren. Falls Sie diese Form der Menüdarstellung nicht mögen, können Sie dies über die Einstellungen für die Taskleiste und das Startmenü auch ausschalten.
56
2 Die Neuerungen im Überblick Wenn Sie mit gedrückter Umschalttaste auf einem Programmeintrag im Startmenü mit der rechten Maustaste klicken, können Sie über das dann erscheinende Kontextmenü das Programm mit einer anderen Benutzerkennung aufrufen.
Abbildung 2.3: Aufruf eines Programms unter einer anderen Benutzerkennung
Somit können Sie auch von einem Arbeitsplatz eines normalen Benutzers als Administrator Managementaufgaben am System aufrufen, ohne sich aus- und wieder einloggen zu müssen und damit Zeit zu verlieren.
2.5.3 Neue Dateidialogfenster Mit der neuen Benutzeroberfläche besitzt Windows 2000 auch ein neues Dialogfenster zum Öffnen und Schließen von Dateien. Dieses ist komfortabler zu bedienen und bietet Ihnen im linken Fensterbereich die wichtigsten Anwahlpunkte der Benutzeroberfläche an. Abbildung 2.4: Neues Dialogfenster
2.5 Die Neuerungen der Benutzeroberfläche
57
2.5.4 Weborientierte Ordneransichten Auffällige Neuerung beim Öffnen eines Fensters sind die Hyperlinks auf der linken Seite, die zu logisch dazugehörenden Bereichen verweisen und die Sie per einfachem Mausklick auf diese aktivieren. Darüber hinaus werden hier auch weiterführende Informationen angezeigt, wenn ein Objekt im Ordner aktiviert wird. So können Sie auf einen Mausklick die Kapazität der Festplatte einzeigen lassen, indem Sie das Laufwerkssymbol anklicken. Abbildung 2.5: Fenster Arbeitsplatz mit Hyperlinks
Diese auch als Webansicht bezeichnete Darstellung der Ordner können Sie über EXTRAS | ORDNEROPTIONEN konfigurieren. Dort können Sie auch einstellen, dass sich Ihre Windows-Oberfläche komplett wie eine Website bedienen lässt. Dann reicht ein einziger Mausklick auf ein Objekt aus, um es zu starten oder zu öffnen. Es hat sich herausgestellt, dass gerade unbedarfte Benutzer mit dieser Art der Bedienung des Betriebssystems intuitiver und schneller zurechtkommen. Für gestandene Windows-Anwender dürfte dies allerdings etwas gewöhnungsbedürftig sein. Die Integration des Browsers geht soweit, dass Sie jederzeit in einem beliebigen Ordnerfenster unter ADRESSE eine Web-Adresse angeben können. Dieses Fenster wird dann automatisch zum Explorer-Fenster und die Seite wird angezeigt. Zum Wiederfinden schon einmal aufgerufener Dateien oder Webseiten wurde eine weitere Technologie aus dem Internet Explorer in Windows 2000 integriert: die Verlaufsfunktion. Über das Symbol VERLAUF im Ordnerfenster erhalten Sie schnell einen Überblick über die Historie aller Dokumente bzw. Webseiten. Dabei ist diese über-
58
2 Die Neuerungen im Überblick sichtlich nach den letzten Tagen bzw. Wochen sortiert. Schon einmal bearbeitete Dokumente oder interessante Webseiten, deren genaue Adresse Sie sich vielleicht nicht gemerkt haben, lassen sich so schnell wieder aufrufen.
2.5.5 Webinhalte auf dem Desktop Durch die Active Desktop-Technologie können Webinhalte direkt auf dem Desktop abgelegt werden, wie beispielsweise die Homepage der eigenen Firma. Dazu werden alle Elemente dieser Webseiten lokal auf den Computer kopiert und sind dann auch offline lesbar. Abbildung 2.6: Active Desktop mit Webseiten
Das Einrichten dieser Webseiten können Sie direkt in den Eigenschaften der Anzeige (über das Kontextmenü zum Desktop) unter dem Eintrag WEB einrichten. Hier legen Sie über die Eigenschaften zum Active Desktop auch fest: •
...ob und wann diese Seiten aktualisiert werden sollen. Dazu können Sie einen detaillierten Zeitplan ausarbeiten. So kann es sinnvoll sein, in einem Unternehmen die Arbeitsplatzcomputer so mit der Firmenhomepage zu verbinden und diese jeden Morgen zu aktualisieren. So können Sie sicherstellen, dass bestimmte Informationen auch wirklich bei allen Mitarbeitern ankommen.
•
...ob für die Aktualisierungen automatisch ein Internet-Zugang angewählt werden soll, falls zu dem Zeitpunkt keine Verbindung besteht;
2.5 Die Neuerungen der Benutzeroberfläche •
...die maximale Verschachtelungstiefe für über Hyperlink verbundene Seiten sowie die maximale Dateigröße (in MB);
•
...ggf. Zugangsdaten mit Benutzernamen und Kennwort, falls in die Seite eingeloggt werden muss;
•
...ob und an wen eine E-Mail gesendet werden soll, wenn sich die Seite durch eine Aktualisierung geändert hat;
59
Abbildung 2.7: Einrichten von Webseiten auf dem Desktop
Die Active Desktop-Technologie bietet umfassende Werkzeuge, um Webinhalte stets aktuell auf dem Desktop zu halten sowie die Aktualisierungsvorgänge individuell konfigurieren zu können. Dabei sind Sie nicht auf Inhalte aus dem Internet beschränkt, sondern können natürlich auch Informationen aus dem Intranet auf den Desktop bringen.
2.5.6 Erweiterte Suchfunktionen Eine wesentliche Funktion eines Betriebssystems ist heute die Verwaltung und das Wiederfinden von Informationen. Reichten früher noch Funktionen zum Auffinden von Dateien über die Angabe des Dateinamens (oder bekannter Fragmente davon wie beispielsweise »U*.TXT«) aus, so müssen die Suchfunktionen heute mehr bieten können. Das beginnt bei der gezielten Suche nach bestimmten Eigenschaften von Dokumenten, über die Suche nach Schlagwörtern aus dem Inhalt bis zur Unterstützung einer weitergehenden Suche im Internet.
60
2 Die Neuerungen im Überblick Die Suchfunktion von Windows 2000 (über das SUCHEN-Symbol in der Symbolleiste oder über STARTKNOPF | SUCHEN) wurde an diese Anforderungen angepasst und ist deutlich leistungsfähiger als seine Vorgänger. Sie können über den Suchdialog direkt nach Dokumenten, Computern, Druckern oder Personen suchen lassen. Dazu kommt der Start der Suchfunktion für das Internet.
Abbildung 2.8: Suchdialog in Windows 2000
Für die Suche nach Dokumenteninhalten kann eine Indizierung aktiviert werden. Dieser Indexdienst katalogisiert dabei regelmäßig im Hintergrund alle Dateien auf den angegebenen Laufwerken. Um auch die Inhalte für die Erstellung eines Index einbeziehen zu können, müssen für die Dokumentenarten geeignete Filter, sogenannte Dokumentfilter, bereitstehen. Über diese Filter werden die durchsuchten Dokumente nach ihrem Inhalt und ihren Eigenschaften katalogisiert. Beim Erstellen des Index über den Inhalt werden die Suchwörter unter Ausschluss von Ausnahmelisten (Wörter wie »über«, »bei«, »betreffs« etc., die mit dem eigentlichen Inhalt wenig zu tun haben) extrahiert. Dabei wird auch die Sprachversion des Dokuments erkannt, um die sprachspezifische Ausnahmeliste zu laden. Die Technologie der Suche über Dokumentfilter hat Microsoft offengelegt, sodass auch andere Software-Hersteller Filter für die Windows-Suchfunktion herstellen können.
2.5 Die Neuerungen der Benutzeroberfläche
61
Die Suche nach Computern und Druckern baut auf die bekannten Netzwerk-Suchfunktionen auf und integriert diese in den WindowsSuchdialog. Wichtiger als im kleinen, übersichtlichen LAN wird die Suchfunktion im Zusammenhang mit dem Active Directory (siehe auch Abschnitt 6.6 Einführung in Active Directory ab Seite 212), wo es darum gehen kann, aus einer Vielzahl von angeschlossenen Computern und Druckern den richtigen zu finden. Das trifft auch für die Suche nach Personen zu. Hier können Sie neben Suche nach der Suche im lokalen Adressbuch auch globale Suchen über das Acti- Personen ve Directory oder Internet-Suchdienste starten. Leider ist hier die Liste der Internet-Suchdienste begrenzt und kann nur durch Eingriff in die Registrierung erweitert werden. Das trifft auch auf die voreingestellten Internet-Suchdienste für die Suche im Internet Suche nach Web-Dokumenten zu. Da diese Liste aus einem ASPSkript erzeugt wird, das auf einem der Microsoft Webserver läuft, besteht keine Möglichkeit, diese zu erweitern. Die Autoren halten diesen Ansatz für bedenklich. Es drängt sich der Verdacht auf, dass mit dem Active Desktop den Benutzer nur noch Inhalte erreichen sollen, die von Microsoft oder einem seiner Partner geliefert werden. Abbildung 2.9: Die voreingestellten Suchdienste für die Internet-Suche
Falls Sie eine Suche mit Yahoo! oder Altavista ausführen möchten, bleibt Ihnen nur der Weg direkt über den Internet Explorer und ggf. die eingerichteten Favoriten.
62
2 Die Neuerungen im Überblick
2.6 Vereinfachungen für die Administration Windows 2000 bringt eine Reihe von neuen Ansätzen für eine einfachere Administration des Betriebssystems mit. Die Administration eines Windows NT-Systems ist gekennzeichnet durch die Verwendung verschiedener Tools, die aufgrund der historischen Weiterentwicklung von NT 4 und seinen Erweiterungen durch diverse Service Packs, nicht immer logisch aufeinander aufgebaut waren. In Windows 2000 wurde nun versucht, dies weitgehend zu vereinheitlichen sowie bestimmte Prozesse durch Assistenten zu vereinfachen. Darüber hinaus wurde ein neues Konzept für die Installation und Wartung von Softwarepaketen implementiert.
2.6.1 Die Managementkonsole Zentrale Administrationsschnittstelle
Die Microsoft Management Konsole (MMC) stellt die zentrale Administrationsschnittstelle für Windows 2000 dar. Ziel ist eine einheitliche Bedienung der Verwaltungswerkzeuge. Die Managementkonsole stellt dabei nur den einheitlichen Ausführungsrahmen für die Werkzeuge dar, welche als sogenannte Snap-Ins ausgeführt sind. Microsoft liefert mit Windows 2000 die Mehrzahl aller Verwaltungswerkzeuge als Snap-Ins mit. Diese sind in mehreren vorgefertigten Managementkonsolen zusammengefasst.
Nutzerspezifische Managementkonsolen
Sie können aber auch Ihre eigenen Managementkonsolen entwerfen und diese benutzerspezifisch anpassen. So können Sie beispielsweise Konsolen zusammenstellen, die nur ganz bestimmte Snap-Ins umfassen und durch sogenannte Taskpadansichten einen begrenzten Funktionsumfang aufweisen.
Remote Administration
Die Managementkonsole bietet auch eine Remote-Funktionalität. Wenn die eingesetzten Snap-Ins es unterstützen, können Sie über ein lokales Netzwerk oder eine Datenfernverbindung einen entfernten Windows 2000-Computer oder auch Server so administrieren, als ob Sie direkt vor ihm sitzen. Das kann die Verwaltung einer Vielzahl von Computern in einem größeren Netzwerk stark erleichtern.
Offene Schnittstellen
Die Schnittstellen zur Managementkonsole sind von Microsoft offengelegt worden und erlauben es anderen Herstellern, so ihre eigenen Werkzeuge in diese einheitliche Administrationsumgebung einzubinden. Das Konzept der Managementkonsole wird ausführlich ab Seite 355 behandelt.
2.7 Die Windows 2000 – Produktpalette
63
2.6.2 Assistenten Die Einrichtung von Systemkomponenten und die Administration von Vielzahl nützlicher Windows 2000 wird durch die Hilfe einer Vielzahl nützlicher Assis- Assistenten tenten erleichtert. Diese Hilfe reicht von der Druckerinstallation bis zum Einrichten des Internetzugangs. Trotzdem sind natürlich damit nicht alle Fallstricke beseitigt, die bei der Administration eines so komplexen Betriebssystems wie Windows 2000 auftauchen können. In diesem Buch werden die wichtigsten Assistenten jeweils bei den Erklärungen zu den einzelnen Administrationsschritten erwähnt und darüber hinaus Tipps gegeben, wie Sie diese jeweils steuern müssen, um das gewünschte Ziel zu erreichen.
2.6.3 Softwareinstallation Die Installation von Software wird über die SYSTEMSTEUERUNG im Programm SOFTWARE detailliert protokolliert. Damit haben Sie jederzeit einen Überblick, welche Applikationen oder auch Service-Packs auf Ihrem System installiert sind. Darüber hinaus wird auch angezeigt, wie häufig eine Software benutzt wird und wann der letzte Aufruf stattgefunden hat.
2.7 Die Windows 2000 – Produktpalette Microsoft unterteilt die Windows 2000-Familie in zwei grundsätzliche Einheiten: Zum einen die Professional-Variante als Desktop- und Notebook-Betriebssystem und zum anderen die Server-Versionen. Daraus abgeleitet ergeben sich heute vier verfügbare Produkte, jeweils zugeschnitten auf die besonderen Einsatzzwecke:
2.7.1 Windows 2000 Professional Diese Version steht im Mittelpunkt des ersten Bandes unserer Windows-2000-Reihe. Als direkten Nachfolger der Windows NT 4 Workstation sieht Microsoft die ideale Positionierung als DesktopBetriebssystem und im Einsatz auf Notebooks. In Windows 2000 Professional wurde die stabile Basis der NT 4-Workstation mit den Konzepten der Benutzerführung und der Unterstützung moderner Hardware (USB, IEEE 1394 etc.) von Windows 98 zusammengeführt. Windows 2000 Professional hat das Potential, sich noch stärker im umkämpften Markt der hochleistungsfähigen Arbeitsplatzcomputer für die Bereiche Grafik und 3D-Design durchzusetzen. Mit der imple-
64
2 Die Neuerungen im Überblick mentierten Unterstützung für den AGP (Accelerated Graphics Port) ist nun auch das Grafiksystem für anspruchsvolle Aufgaben gerüstet (und macht Windows 2000 auch als Spieleplattform einsetzbar). Hinzu kommt, dass im Vergleich zu Windows 98 deutlich mehr Leistung durch die Unterstützung von 2 Prozessoren und 4 GB RAM erreicht werden kann. Nicht zuletzt aufgrund der ausgereiften Power ManagementUnterstützung und der neuen Sicherheitsfeatures wie der sicheren Verschlüsselung von Dateien auf der Festplatte ist Windows 2000 das beste Notebook-Betriebssystem, das momentan verfügbar ist.
2.7.2 Windows 2000 Server Die kleinste Server-Variante von Windows 2000 wird von Microsoft als Netzwerkbetriebssystem für kleinere Arbeitsgruppen positioniert. Dazu kommt die Eignung als Plattform für Webseiten und ECommerce. Für den Einsatz auf Notebooks ist übrigens die gesamte Server-Familie von Windows 2000 nicht vorgesehen.
2.7.3 Windows 2000 Advanced Server Gegenüber der kleineren Server-Variante zeichnet sich der Advanced Server durch eine höhere realisierbare Leistungsfähigkeit und Verfügbarkeit aus. Es werden mehr Prozessoren und Hauptspeicher sowie Loadbalancing (bis zu 32 Server) und Server-Clustering (2 Server) unterstützt.
2.7.4 Windows 2000 Datacenter Server Als High-End-System vorrangig für den Rechenzentrumsbetrieb soll dieses Betriebssystem auch hohen Anforderungen an die Leistungsfähigkeit und Verfügbarkeit gerecht werden. Spezielle Systemkomponenten (wie beispielsweise Tools für Workload-Management) und eine noch weitergehende Unterstützung für Symmetrisches Multiprocessing) sollen eine noch höhere Leistungsfähigkeit ermöglichen.
2.7.5 Die vier Windows 2000-Versionen im Überblick In der Tabelle 2.1 sind die vier Windows 2000-Versionen mit ihren wichtigsten Merkmalen gegenübergestellt.
2.8 Zur Geschichte von Windows 2000 Professional Anz. CPUs
Server
65 Advanced Server
Datacenter Server
2
4
8
32
4 GB
4 GB
8 GB
64 GB
ACPI + APM
Plug & Play
USB, IrDA und IEEE1394, I2O, AGP
Encrypting File System (EFS)
Client
Server
Server
Server
IPSec
Internet Information Server
Active Directory Domänen Server
Netzwerk- und Applikationsserver
Terminal Services
IP-Load Balancing
32 Server
32 Server
FailoverClustering
2 Server
4 Server
RAM bis
Kerberos
2.8 Zur Geschichte von Windows 2000 Die Entwicklung von Microsoft zum heute größten Softwareunternehmen der Welt ist eng verbunden mit der Entwicklungsgeschichte von Windows. In diesem Abschnitt wird die historische Entwicklung vom grafischen DOS-Aufsatz zum richtigen Betriebssystem an den wesentlichen Etappen aufgezeigt.
Historische Entwicklung Die Geschichte von Windows wird immer eng mit der Person Bill Gates verknüpft sein. Bill Gates heißt eigentlich William Henry Gates III. Seinen ersten Schritt in die Welt der Computer unternahm er 1975 mit einer BASIC-Implementierung für den ersten für private Anwender
Tabelle 2.1: Die vier Windows 2000Versionen
66
2 Die Neuerungen im Überblick erschwinglichen Computer, den MITS Altair. Der Altair ist ein Selbstbauset mit dem 8088 als Mikroprozessor. Er verfügte über die damals üppige Speicherausstattung von immerhin 4 KByte. Noch Anfang der 80er Jahre startete der erste echte Homecomputer, der Sinclair ZX-80 mit 1 KByte Hauptspeicher.
1979
Erste Ansätze für grafische Oberflächen werden schon 1979 am PARC (Palo Alto Research Corp.) entwickelt. Namentlich beteiligt ist Steve Jobs, heute – nach einer wechselvollen Geschichte – CEO von Apple. Auch Bill Gates besuchte das PARC und war von der Idee einer grafischen Oberfläche begeistert.
1981
IBM hat die Entwicklung der kleinen Computer lange ignoriert. Erst 1981 wurde die Gefahr für das eigene Geschäft erkannt und schnell ein kleines, »Personal Computer« genanntes Gerät, entwickelt – der PC war geboren. Das Betriebssystem wurde allerdings nicht selbst entwickelt, sondern eingekauft – von Bill Gates. Gates schaffte es allerdings, die Rechte dabei nicht aus der Hand zu geben – statt den Quellcode mit allen Rechten zu verkaufen, kassierte er eine geringe Lizenzgebühr und vermarktete sein »DOS« getauftes Betriebssystem auch an andere Hersteller. In einem Markt, der damals Dutzende Betriebssysteme lieferte, war dies eine unglaubliche Vereinfachung für Programmierer – ein Betriebssystem für verschiedene Computer. Die PC-Architektur selbst setzte sich dagegen vor allem auf Grund der Marktmacht von IBM durch. DOS wurde nicht von Grund auf neu entwickelt – es basierte auf dem glücklosen Vorgänger CP/M von Digital Research. Digital Research war lange Zeit ein Wettbewerber von Microsoft (nicht zu verwechseln mit DEC, der Digital Equipment Corporation, die inzwischen von Compaq geschluckt wurde). CP/M lief auf Intel 8088, Zilog Z80 und mit einer Z80-Karte auch auf dem Apple II. Tim Paterson entwickelt 1978 eine Adaption von CP/M für den Intel 8086-Prozessor, 86DOS, für seine Firma Seattle Computer Products. Von dieser Firma kaufte Bill Gates Ende 1980 den Basiscode für sein DOS, das er bereits an IBM verkauft hatte. Hinzugefügt wurden Dateistrukturen ähnlich wie in Unix mit Dateiattributen und eine Verzeichnisstruktur für Disketten namens FAT (File Allocation Table). 1981 erscheint der erste IBM-PC mit PC-DOS als Betriebssystem. Alternativ war allerdings auch noch CP/M-86 lieferbar. Die ersten Verkaufserfolge waren nicht berauschend. IBM-PCs sind zu teuer, es gibt kaum Software und die Entwickler sind wenig begeistert, immer für zwei Betriebssysteme zu entwickeln. IBM startet eine Entwicklungsinitiative, um schnell native Software auf den Markt zu bringen, bevor ein anderes System das Rennen macht. IBM entscheidet sich für PC-DOS als das primäre Betriebssystem und lässt CP/M-86
2.8 Zur Geschichte von Windows 2000 fallen. Damit beginnt der Siegeszug von Microsoft und ihrem Betriebssystem MS-DOS. 1983 erscheint MS-DOS 2.0 mit hierarchischer Dateistruktur und File 1983 Handles. Kurze Zeit später kommt MS-DOS 2.1 mit der Unterstützung verschiedener Landessprachen auf den Markt. 1983 erscheint auch Windows 1.0, ein grafischer Aufsatz für MS-DOS 2.1. Durchsetzen kann sich diese Oberfläche ebenso wenig wie die vielen anderen Versuche, derartiges an den Markt zu bringen: GEM (von DR), Geoworks (von Geoworks, Inc.) oder DesqView (Quarterdeck). Viele Kernideen von Windows waren allerdings damals schon vorhanden wie aufklappende Menüs, Mausbedienung und ansatzweise eine WYSIWYG-Darstellung. 1984 erscheint der Intel 80286 am Markt und dazu MS-DOS 3.0. 1984 Merkwürdigerweise nutzt DOS 3.0 den 80286 nicht aus. Trotz eines inzwischen adressierbaren Adressraumes von 16 MByte kennt DOS nur die vom 8086 gesteckten Grenzen. Die alten Strukturen bleiben erhalten. Dafür wird der Funktionsumfang erweitert, MS-DOS 3.1 konnte ansatzweise mit Netzwerken umgehen. Einige Jahre später brachte IBM die PS/2-Modelle auf den Markt. IBM 1987 versuchte mit der veralteten PC-Architektur zu brechen und führte zugleich den 80386 von Intel ein. Als Betriebssystem wurde OS/2 entwickelt, das die neuen Features des 386er ausnutzte. Am Markt hatte die Kombination wenig Erfolg. 386er-Klone mit dem schlecht angepassten DOS 3.1 machten das Rennen bei Anwendern und Entwicklern. Der Grund ist in der Politik von Microsoft zu suchen, das Betriebssystem als offenes System zu betrachten. Geräteherstellern und Programmierern werden die Schnittstellen offengelegt. Mit Begeisterung nutzen dies auch Hobbyprogrammierer und kleinere Firmen, die sich die Lizenzgebühren von IBM nicht leisten können und wollen. Eine Invasion von Software setzte ein, die letztlich von den Anwendern honoriert wird – gekauft werden Computer mit DOS, nicht mit dem technisch besseren OS/2.
Windows entsteht OS/2 wurde in den Jahren 1983 bis 1987 von Microsoft und IBM gemeinsam entwickelt. Mangels Anwendungen bleibt der Erfolg aus und 1987 überwerfen sich Microsoft und IBM. Microsoft steigt aus der Entwicklung aus und nimmt den bereits entwickelten Code von OS/2 als Basis für ein eigenes, völlig neues Betriebssystem: NT (New Technology).
67
68
2 Die Neuerungen im Überblick
Abbildung 2.10: Windows auf der Zeitachse
1988
Parallel dazu wird die grafische Oberfläche Windows zur Version 2.0 weiterentwickelt. Mit dem 80386 erscheint eine angepasste Version mit dem Namen »Windows 386«. In Anbetracht der stiefmütterlichen Entwicklung von DOS, das damals noch einen überwältigenden Marktanteil hatte, kann man die bevorzugte Entwicklung von Windows eigentlich als geniale Vision von Bill Gates betrachten. In der Folgezeit kommt es zu Streitigkeiten zwischen den Anbietern anderer grafischer Oberflächen über die Urheberrechte (Apple und IBM), die mit der SAA-Spezifikation für grafische Oberflächen enden – mit der Folge, dass sich Apples OS, OS/2 und Windows 2/386 sehr ähnlich sehen. Ende 1988 holt Bill Gates ein ganzes Entwicklerteam von DEC und lässt Windows 3.0 entwickeln. Teamchef Dave Cuttler entwickelt das neue System mit der Erfahrung aus der Entwicklung von VMS, dem Betriebssystem der legendären PDP-11.
1990
1990 erblickt Windows 3.0 das Licht der Welt. Microsoft ist mit dem richtigen Produkt zur richtigen Zeit am richtigen Ort: Windows 3.0 wird ein durchschlagender Erfolg. Der Markt zieht mit und es entstehen in kurzer Zeit viele Anwendungen – ähnlich wie schon bei DOS ein K.O.-Kriterium für andere Systeme. OS/2 hat sich nie wieder von diesem Schlag erholt.
1991
Nur ein Jahr später bringt Microsoft mit dem LAN Manager 2.1 eine Lösung für heterogene Netzwerke. Eine Brücke zu den erfolgreichen
2.8 Zur Geschichte von Windows 2000 Netzwerkbetriebssystemen NetWare (Novell) und Unix entsteht. Sehr schnell wird auch Windows 3.1 auf den Markt geworfen, vor allem um das unfertige OS/2 2.0 zu torpedieren. Neu sind multimediale Eigenschaften. Während die Stammlinie Windows 3, inzwischen mit Netzwerkfunk- 1993 tionen ausgestattet als Windows für Workgroups 3.11 auf dem Markt, weiter entwickelt wird, ist die erste NT-Version fertig. Sechs Jahre hat Dave Cuttlers Team gebraucht, um Windows NT 3.1 fertig zu stellen. Die Versionsnummer wird der Windows-Linie angepasst, die Version 3.1 ist intern eine 1.0. Die Oberfläche ähnelt der von Windows 3.1. Ein Jahr später erscheint Windows NT 3.5 und kurz danach die Versi- 1994 on 3.51, die sich optisch an Windows 3.11 anpasst. Windows 3.11 wird dagegen kurze Zeit später gegen das lange ange- 1995 kündigte Windows 95 ausgetauscht – einer der weiteren ganz großen Erfolge von Microsoft. Im August 1996 kommt Windows NT 4.0 auf den Markt. Neben vielen 1996 technischen Verbesserungen auch mit der von Windows 95 her bekannten Oberfläche. NT ist deutlich stabiler und ausgereifter als Windows, was sich nicht zuletzt in den viel längeren Produktzyklen widerspiegelt. So erscheint schon 1998 eine weitere Windows-Version: Windows 98. 1998 Es dauert noch einmal zwei Jahre, bis auch Windows NT ein grundlegendes Update erfährt: Windows 2000. Alle Betriebsysteme, die es in dieser langen Zeit mit DOS und Win- 2000 dows aufnahmen, sind inzwischen bedeutungslos. Lediglich in den Schutzzonen der Universitäten wurde Unix gepflegt. Daraus entstand in den letzten Jahren das freie Derivat Linux (ein Kunstwort aus dem Vornamen des Entwicklers Linus Torwalds und Unix). Dieses System dürfte am ehesten eine Alternative zu Windows sein, wenngleich es bis zur Gesamtleistung von Windows 2000 noch ein weiter Weg ist. Denn diese besteht nicht nur aus unzähligen Features, sondern auch aus einer gigantischen Anzahl an Software von Drittherstellern. Trotz Windows 2000 und dem Versprechen, die Entwicklungslinien zusammenzuführen, erschien 2000 ein weiterer Nachfolger der Windows 9x-Reihe, Windows ME. ME steht für Millenium Edition. Die Bezeichnung »Edition« ist Programm, denn die Änderungen sind marginal und der Umstieg lohnt sich kaum. Die Aussagen zu Windows 98 gelten deshalb uneingeschränkt auch für Windows ME.
69
2.8 Zur Geschichte von Windows 2000
Teil II – Grundlagen
II Grundlagen
71
2.8 Zur Geschichte von Windows 2000
Kapitel 3 Die Windows-Systemarchitektur
3.1
Modularer Aufbau...................................................75
3.2
Innere Struktur – Windows Executive.................77
3.3
Netzwerkarchitektur ...............................................81
73
3.1 Modularer Aufbau
75
3 Die Windows-Systemarchitektur Die Systemarchitektur ist wesentlich für die Stabilität eines Betriebssystems verantwortlich. Mit Windows NT wurde deshalb auch bewusst eine neue Architektur gegenüber Windows 3.x/9x entworfen. Insgesamt konnte Windows NT dem Anspruch an hohe Ausfallsicherheit gerecht werden. Ein anderes Problem – das vor allem bei Servern kritisch ist – sind die Down-Zeiten des Systems. Hier hat sich bei Windows 2000 einiges getan. Die Anzahl an Neustarts nach Konfigurationsänderungen ist deutlich zurückgegangen, manche Applikation verlangt dies aber weiterhin.
3.1 Modularer Aufbau Windows 2000 ist stark modular aufgebaut. Der interne Aufbau ist zwar eher für Softwareentwickler interessant, hilft aber beim Verständnis des Gesamtsystems, vor allem auch im Hinblick auf den Einsatz von Treibern. Abbildung 3.1: Aufbau von Windows 2000
Die einzelnen Schichten liegen zwischen Hardware und den Anwendungsprogrammen, die der Benutzer ablaufen lässt. Sie haben folgende Bedeutung: •
Subsysteme Die Subsysteme führen Programme aus, die speziell für Windows 2000 geschrieben wurden und für den Benutzer als Teil des Be-
Subsysteme
76
3 Die Windows-Systemarchitektur triebssystems gelten. Es gibt auch Subsysteme für POSIX und OS/2, die aber nur eine geringe Bedeutung haben.
Dienste
•
Ausführende Dienste Dies ist die oberste Schicht im geschützten Kernel-Modus. Hier werden grundlegende Ein- und Ausgabeprozesse erledigt. Wichtige Bestandteile sind:
Treiber
•
-
Dateisystem- und I/O-Manager
-
Sicherheitsmonitor
-
Powermanagement
-
Speichermanagement
-
Plug&Play-Steuerung
-
IPC-(Interprozess-Kommunikation)-Manager
Gerätetreiber Gerätetreiber sind spezielle Programme, die den Zugriff auf Hardwareerweiterungen erlauben. Sie werden meist von den Hardwareherstellern geliefert. Für viele Standardgeräte bringt Windows Treiber mit.
Kernel
•
Mikrokernel Der Mikrokernel steuert den Prozessor und die elementarsten Abläufe bei der Prozesskommunikation. Hier werden Ausnahmefehler abgefangen (das heißt Blue Screens erzeugt) und die Threads der Programme aufgeteilt.
HAL
•
Hardware-Abstraction-Layer Um möglichst hardwareunabhängig zu sein, ist diese unterste Schicht für eine Abstraktion des Prozessors zuständig. Damit können leichter Windows 2000-Applikationen geschrieben werden, die auf verschiedenen Prozessoren laufen.
Bedeutung der Kernelemente Um zu verstehen, was mit den einzelnen Bezeichnungen gemeint ist, kann ein kleiner Ausflug in die Prozessorwelt helfen. IntelProzessoren lassen sich in verschiedenen Modi betreiben. Der sogenannte Ring-0-Modus ist für privilegierte Anwendungen reserviert. Die Daten in einigen Registern des Prozessors können nicht verändert werden, wenn der Prozessor im normalen Ring-3-Modus betrieben wird, in dem Anwendungsprogramme laufen. So kann ein Programm das System nicht völlig zum Absturz bringen, da der übergeordnete Prozess in den geschützten Ring-0 wechseln kann – Applikationen
3.2 Innere Struktur – Windows Executive können dies nicht. Dies ist übrigens eine der Situationen, in denen Windows die Applikation kontrolliert: die berüchtigte Fehleranzeige »Allgemeine Schutzverletzung« erscheint. Der in Abbildung 3.1 gezeigte Aufbau teilt sich in zwei Bereiche: Der Benutzermodus läuft im Ring-3 ab, der Kernel-Modus in Ring-0. Entsprechend hoch sind die Ansprüche an die Entwickler von Gerätetreibern – verhalten sich diese Programme fehlerhaft, hat das Betriebssystem nur noch wenige Schutzmöglichkeiten. Fehler auf dieser Ebene führen auch zu einer bekannten Erscheinung – dem Blue Screen.
3.2 Innere Struktur – Windows Executive Die innere Struktur des im Kernel-Modus betriebenen Kerns teilt sich in hardwarenahe und hardwareferne Teile. Durch die Teilung ist eine Adaption auf neue Hardware einfacher.
HAL Der Hardware Abstraction Layer ist die unterste Schicht von Windows zur Hardware. Hier wird direkt auf den verwendeten Prozessor und bestimmte Besonderheiten der Hardware bezug genommen – beispielsweise auch auf Abweichungen von der PC-Architektur. HAL selbst ist als DLL mit dem Namen HAL.DLL ausgeführt. Hersteller komplexer Server liefern einen eigenen HAL. Der Vorteil ist die Abstraktion der Gerätetreiber – Anbieter von Steckkarten mit Gerätetreibern müssen diese nur ein Mal entwickeln und können sie auf allen Systemen einsetzen – egal welcher HAL eingesetzt wird. Allerdings ist es möglich, das Gerätetreiber den HAL umgehen und direkt auf Hardware zugreifen.
Der Kernel Der Mikrokernel ist ein Kernbestandteil des Betriebssystems. Damit Der Mikrokernel soll gesichert werden, dass nur ein möglichst kleiner Teil des gesamten Systems im geschützten Modus abläuft. Dies dient der Stabilität. Je mehr Teile in den geschützten Bereich überführt werden, desto unsicherer wird das Gesamtsystem, denn mehr Code bedeutet immer auch mehr Fehlerquellen. Mit dem Mikrokernel werden nun elementare Prozesse geschützt abgewickelt, die große Masse der Vorgänge läuft aber in den Subsystemen ab. Der Kernel steuert den Prozessor. Hier werden die von Applikationen angeforderten Prozessorleistungen aufgeteilt (wenn mehrere Prozessoren verfügbar sind) oder so gesteuert, dass die Verteilung korrekt
77
78
3 Die Windows-Systemarchitektur verläuft (Multitasking). Der Kernel ist dafür verantwortlich, dass alle Prozessoren gleichmäßig beschäftigt werden. Auch die Einhaltung von Prioritäten wird hier entschieden. Der Kernel stellt weiterhin Schnittstellen und bestimmte interne Objekte zur Verfügung, die beispielsweise für die Interruptbehandlung verantwortlich sind. Der Kernel selbst ist für Anwender unsichtbar. Er wird nur aktiv (mit Bildschirmausgaben), wenn der grafische Teil des Startprozesses noch nicht gestartet wurde oder im Fehlerfall (Ausgabe des Blue Screen).
Gerätetreiber Gerätetreiber sind sicher für viele Anwender und Administratoren ein rotes Tuch. Fehler sind nicht durch die Schutzmechanismen des Betriebssystems abfangbar. Leider gibt es hier kaum Selbsthilfe. Vorteile verspricht aber das neue Windows Driver Model (WDM), das in den aktuellen und zukünftigen Windows-Versionen einheitliche Treiber erlaubt. Dadurch können Hersteller sich auf wenige Treiber konzentrieren und diese (hoffentlich) stabiler machen. WDM erlaubt die einfachere Entwicklung von Multimedia-Anwendungen, da spezielle Funktionen für Streaming-Anwendungen (Video, Audio, MPEG etc.) zur Verfügung stehen.
Objekt-Manager Objekte sind im Windows-Kern Abbildungen für Ressourcen. Das Betriebssystem verwaltet diese Objekte, das heißt, sie werden auf Anforderung erzeugt, ein Zeiger (so genanntes Handle) darauf erstellt und nach der Benutzung gelöscht.
Prozess-Manager Der Prozess-Manager verwaltet Prozesse und Threads. Auch dies erfolgt mit Objekten, die folgerichtig Prozess- und Thread-Objekte genannt werden. Jedes Programm, das startet, muss mindestens ein Prozess-Objekt verwenden. Viele Prozesse werden im Task-Manager angezeigt, einige können aber auch unsichtbar ablaufen.
3.2 Innere Struktur – Windows Executive
79 Abbildung 3.2: Die Prozessliste
Speichermanager Der Speichermanager teilt Anwendungen Speicher (RAM) zu und überwacht dessen Verwendung. Falls der physische Hauptspeicher nicht ausreicht, wird Speicher in der Auslagerungsdatei angefordert – sogenannter virtueller Speicher. Der Speichermanager heißt deshalb auch Virtual Memory Manager (VMM).
Prozesskommunikation Die Kommunikation zwischen Prozessen und Applikationen übernimmt die Prozesskommunikation, ausgeführt durch Local Procedure Call (LPC). Dies ist das Gegenstück zum Dienst Remote Procedure Call (RPC) und dient der Vermittlung zwischen externen Programmen und intern ablaufenden Prozessen.
80
3 Die Windows-Systemarchitektur
Abbildung 3.3: Angaben zum Speichermanagement im Taskmanager
I/O-Manager Der I/O-Manager stellt alle Ein- und Ausgabevorgänge zur Verfügung. Hier ist auch das Dateisystem implementiert. Treibern, die darunter liegen, wird eine einheitliche Schnittstelle zur Verfügung gestellt. Ein Gerätetreiber beispielsweise für ein SCSI-Gerät wird deshalb mit allen Dateisystemen funktionieren. Umgekehrt ist die Hardware für den I/O-Manager transparent. Der I/O-Manager selbst ist modular und in Schichten aufgebaut und deshalb sehr flexibel, was den Zugriff auf verschiedene Dateisysteme betrifft. Mit diesem Modell können beispielsweise mehrere Netzwerkprotokolle auf einer Netzwerkkarte ablaufen – der I/O-Manager »zerlegt« die Hardwaretreiber praktisch und setzt dann mehrere Protokolltreiber darauf.
Sicherheitsmonitor Der Sicherheitsmonitor dient der Kontrolle und Steuerung der »inneren« Sicherheit. Sowohl den Kernel- als auch den Benutzerdiensten werden Dienste zur Prüfung der Sicherheit zur Verfügung gestellt. Die Komponente selbst arbeitet im Kernel und führt beispielsweise den Anmeldeprozess aus, der für den Benutzer sichtbare Teil (das Anmeldefenster) wird dagegen im Benutzermodus ausgeführt.
3.3 Netzwerkarchitektur Graphical Device Interface Das Graphical Device Interface (GDI) ist unter anderem der Fenstermanager. Hier werden für Programme Fenster erzeugt und verwaltet. Die Platzierung im Kernel und damit treibernah sorgt unter anderem für die hohe Performance der Oberfläche. Neben der Steuerung der Fenster werden aber auch andere grafische Prozesse vom GDI erledigt, beispielsweise Druckprozesse.
3.3 Netzwerkarchitektur Die Netzwerkarchitektur ist fester Bestandteil des Betriebssystems. Sie ist ebenso wie der Kernel modular aufgebaut und erleichtert so die Integration verschiedenster Protokolle und Systeme. Die Netzwerkfunktionen sind Bestandteil des bereits beschriebenen I/O-Managers, für sich genommen aber so komplex, dass eine gesonderte Beschreibung lohnt. Im Band II der Reihe finden Sie dazu noch tiefergehende Ausführungen.
Schnittstellen Die Integration in den I/O-Manager hat den Vorteil, dass Zugriffe über das Netzwerk für den Nutzer (tatsächlich für die von ihm verwendete Applikation) transparent erfolgen. Wenn Sie beispielsweise in Word eine Datei öffnen, muss Word nicht wissen, ob die Datei über das lokale Netzwerk oder von der Festplatte geladen wird. Die Schnittstelle greift auf mehrere Kommunikationssysteme zurück, die spezielle Netzwerkfunktionen bearbeiten: •
Server; der Serverdienst SERVER.EXE und sein Treiber SRV.SYS emp- Server fängt Anrufe des Redirectors und führt diese dann in dem für ihn lokalen System aus.
•
Redirector; ausgeführt als RDR.SYS sorgt der Redirector für die Aus- Redirector führung von Dateioperationen auf einem entfernten System. Er nimmt dem lokalen Dateisystem also den Aufruf weg und sendet ihn an einen Server-Prozess.
•
Named Pipe File System; Named Pipes dienen dem verbindungsori- Named Pipe File entierten Datentransfer zwischen zwei Prozessen. Auf Named Pi- System pes greift beispielsweise RPC zurück.
•
Mail Slot File System; dies ist eine Weiterentwicklung der Named Mail Slot File System Pipes und dient unter anderem der Versendung von Broadcasts.
•
Programmierschnittstellen; diese dienen als Anlaufpunkt für Appli- Programmierkationen, die explizit Netzwerkfunktionen benötigen. Ein Beispiel schnittstellen
81
82
3 Die Windows-Systemarchitektur dafür sind die Windows Sockets, auf die Internet Browser aufsetzen. Diese Teile laufen im Kernel-Modus.
Transport-Treiber-Schnittstelle Die Transport-Treiber-Schnittstelle TDI (Transport Driver Interface) liegt zwischen den Kommunikationsschnittstellen und den Protokolltreibern. Sie stellt eine einheitliche Schnittstelle zur Verfügung, die die Wahl der Netzwerkprotokolle transparent macht. Aus Sicht der Applikation und auch aus Sicht der Schnittstelle spielt es keine Rolle, ob IPX/SPX oder TCP/IP eingesetzt wird.
Protokolle Unterhalb des TDI werden die Protokolle für den Transport der Daten generiert. Die TDI-Schicht liefert an die Applikation eine einheitliche Schnittstelle. So muss eine Applikation nicht wissen, ob TCP/IP oder NetBIOS für den Datentransport eingesetzt wird. Dritthersteller können eigene Protokolle einsetzen, wenn sie entsprechende Treiber schreiben – alle netzwerkfähigen Programme werden damit sofort laufen. Standardmäßig bringt Windows 2000 folgende Protokolle mit: •
TCP/IP
•
NWLink (Netware IPX/SPX)
•
NetBEUI (Microsoft proprietär, LAN Manager)
•
DLC
•
AppleTalk
Die Protokolltreiber greifen nicht direkt auf Netzwerkhardware, sondern auf eine universelle Treiberschnittstelle zu: NDIS 5.0.
NDIS 5.0 NDIS (Network Device Interface Specification) gilt als Standardschnittstelle für Netzwerkkarten. NDIS-Treiber bilden die unterste Schicht des Modells und kommunizieren direkt mit der Hardware. Zu einer Netzwerkkarte muss deshalb ein NDIS-Treiber für Windows 2000 mitgeliefert werden. Die meisten Karten werden aber von den Windows-eigenen Treibern bedient, denn trotz großer Vielfalt sind nur wenige verschiedene Chips im Einsatz. Vorteile
Die Verwendung von NDIS bietet einige Vorteile:
3.3 Netzwerkarchitektur •
Das Transportprotokoll ist unabhängig von der Hardware. Das heißt sie müssen sich beim Kauf einer Karte keine Gedanken über das später zu nutzende Protokoll machen.
•
Unterstützung mehrerer Protokolle. NDIS erlaubt Multiprotokollbetrieb, Sie können also im Netzwerk TCP/IP und beispielsweise IPX gleichzeitig einsetzen.
•
In einem Computer sind mehrere Netzwerkkarten erlaubt. Die Trennung der Hardware macht auch mehrere Karten für die Applikation transparent.
83
Wenn Netzwerkkarten und Protokolle getrennt werden, wie dies mit Bindung NDIS erfolgt, muss natürlich irgendein Prozess diese wieder so zusammenführen, sodass eine Kommunikation ermöglicht wird. Dieser Vorgang wird Bindung genannt. Wenn Sie sich die entsprechenden Dialoge in der Netzwerksteuerung ansehen, können Sie die Bindungen erkennen (NETZWERK- UND DFÜ-VERBINDUNGEN | ERWEITERT | ERWEITERTE EINSTELLUNGEN). Abbildung 3.4: Anzeige der Bindungen zwischen NDIS und TDI
NDIS 5.0 bietet gegenüber der in Windows NT 4.0 eingesetzten Vari- Erweiterte ante Unterstützung für die neuen Powermanagementfunktionen, für Funktionen Plug&Play und bessere Performance.
84
3 Die Windows-Systemarchitektur Interprozess-Kommunikation Interprozess-Kommunikation (IPC) ist eine Zusammenfassung der bereits beschriebenen Kommunikationswege, die speziell unter Windows zur Verfügung stehen: •
NetBIOS
•
NetDDE (Network DDE)
•
Remote Procedure Calls (RPC)
•
Named Pipes
•
Mailslots
•
Windows Sockets
3.3 Netzwerkarchitektur
85
Kapitel 4 Massenspeicherverwaltung
4.1
Neue Anforderungen ..............................................87
4.2
Das neue Volume Management............................88
4.3
Basisfestplatten ........................................................91
4.4
Dynamische Festplatten .......................................108
4.5
Konvertieren von Basisfestplatten .....................119
4.6
Der Indexdienst......................................................123
4.1 Neue Anforderungen
87
4 Massenspeicherverwaltung Mit Einführung von Windows NT im Jahre 1993 hatten gewöhnliche Arbeitsplatzcomputer nur wenige hundert MegaByte Festplattenkapazität. In erster Linie als Serverbetriebssystem konzipiert, entwickelte sich Windows NT bis zur letzten Version 4.0 zu einer leistungsfähigen Alternative im Bereich der kleineren bis mittleren Netzwerke. Ergänzend kam als Client-Betriebssystem die Workstation-Variante auf den Markt, die wesentlich sicherer und stabiler als seine kleinen Brüder Windows 95 und 98 war und sich vor allem im Firmenkunden-Umfeld durchsetzen konnte. Für die Weiterentwicklung der Massenspeicherverwaltung gab es die größten Impulse aber aus den gestiegenen Anforderungen an ein leistungsfähiges Serverbetriebssystem.
4.1 Neue Anforderungen Microsoft versucht mit Windows 2000 im prestigeträchtigen Enterpri- Server-Markt se-Servermarkt Anteile zu erringen, wo große Datenmengen gehalten werden und sich Betriebssysteme durch permanente Verfügbarkeit und größte Leistungsfähigkeit hinsichtlich der verarbeitbaren Transaktionen pro Zeiteinheit auszeichnen müssen. Dabei reicht eine hohe skalierbare Rechenleistung durch mehrere Prozessoren und gigantische Hauptspeicher im GigaByte-Bereich allein nicht aus, wichtig ist auch ein flexibles und fehlertolerantes Speichersystem. Die Mechanismen von Windows NT sind hier gegenüber seinen größten Konkurrenten aus dem UNIX-Lager klar unterlegen. Es fehlt seitens des Betriebssystems beispielsweise ein logisches Management von Datenträgern, bei dem auch Konfigurationsänderungen ohne Neustart erfolgen können oder die Unterstützung von Fibre Channel-Systemen. Hinzu kommen Forderungen nach einem Hierarchischen Speichermanagement (HSM) oder einem Verteilten Dateisystem (DFS – Distributed File System). Diese Funktionen und darüber hinausgehende wurden in der Windows 2000 Serverfamilie umgesetzt, teilweise mit Integration in das Active Directory (siehe auch Abschnitt 6.6 Einführung in Active Directory ab Seite 212). Von einem Teil dieser Neuerungen profitiert auch Windows 2000 Professional. In diesem Kapitel werden die für diese Version bedeutsamen Veränderungen beim Speichermanagement und die Bedeutung für Sie als Benutzer und Administrator näher betrachtet. Die Funktionen, die ausschließlich durch die Servervarianten unterstützt werden, sind ausführlich Inhalt des Bandes II dieser Buchreihe. Wenn es zum Verständnis des Gesamtsystems beiträgt, werden solche Funktionen aber auch hier kurz beschrieben.
Verbesserungen auch für die ProfessionalVariante
88 Administration in Kapitel 11
4 Massenspeicherverwaltung Wie Sie die beschriebenen Technologien anwenden und die Massenspeicher unter Windows 2000 administrieren, wird in Kapitel 11 behandelt. Die neuen Technologien im Zusammenhang mit Wechselspeichersystemen, im Mittelpunkt die Bandlaufwerke und die Verwaltung der dazugehörigen Medien in sogenannten Medienpools, sind Inhalt des Bandes II.
4.2 Das neue Volume Management Das Volume Management von Windows 2000 beinhaltet alle Verwaltungsfunktionen für die Massenspeicher. Gegenüber dem Vorgänger Windows NT wurde die Architektur des Volume Management und die implementierten Funktionen stark erweitert.
4.2.1 Grundlagen Die grundsätzliche Struktur des Volume Managements ist in der folgenden Abbildung dargestellt. Abbildung 4.1: Bestandteile des Volume Management
4.2 Das neue Volume Management
89
4.2.2 Begriffe Mit dem Volume Management von Windows 2000 werden zwei Basisfestplatten grundlegende neue Begriffe eingeführt: Basisfestplatten und Dynami- und Dynamische sche Festplatten. Dies sind verschiedene Konfigurationstypen für Fest- Festplatten platten. Basisfestplatten sind, vereinfacht gesagt, die Kompatibilitätsschnittstelle zur Partitions-basierten Festplattenverwaltung, wie sie auch unter MS-DOS, Windows 95/98 und Windows NT angewendet wird. Der Konfigurationstyp Dynamische Festplatte ist neu und nur unter Windows 2000 einsetzbar. Er basiert nicht mehr auf dem Partitions-orientierten Ansatz und bringt eine Reihe neuer Eigenschaften mit, die die Verwaltung, Leistung und Systemsicherheit verbessern. Sie können in einem Windows 2000-System beide Typen gemischt einsetzen. Basisfestplatten sind dabei unter Beibehaltung der Datenstrukturen in dynamische Festplatten umwandelbar. Das Zurückkonvertieren einer dynamischen in eine Basisfestplatte ist hingegen nur für eine leere Festplatte möglich (siehe dazu auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119). Als Basisdatenträger werden Datenträger bezeichnet, die auf einer Ba- Basisdatenträger sisfestplatte eingerichtet sind. Das können primäre Partitionen, logische Laufwerke in erweiterten Partitionen sowie übernommene Partitionsgruppen aus Windows NT (Datenträgersätze, Stripe Sets, Mirror Sets) sein. Dynamische Datenträger befinden sich auf Dynamischen Festplatten. Dynamische Wird eine Basisfestplatte mit vorhandenen Basisdatenträgern (bei- Datenträger spielsweise Partitionen) in eine dynamische umgewandelt, werden diese zu dynamischen Datenträgern konvertiert. Basisfestplatten und Dynamische Festplatten werden im Detail in den Abschnitten 4.3 Basisfestplatten ab Seite 91 und 4.4 Dynamische Festplatten ab Seite 108 behandelt. Der aus Windows NT bekannte Fault Tolerant Disk Manager (FT Disk), Aus Windows NT: der dort für die Verwaltung fehlertoleranter Partitionsgruppen ver- FT Disk antwortlich ist, findet sich in veränderter Form in Windows 2000 wieder (siehe Abbildung 4.3). Durch die Funktionalität von FT Disk werden die Basisfestplatten eingerichtet und verwaltet sowie die Kompatibilität zu bestehenden Partitionsgruppen wie Datenträgersätze, Stripe Sets und Mirror Sets gewahrt. Vorhandene Partitionsgruppen aus Windows NT können damit auch in Windows 2000 übernommen und gepflegt werden.
90
4 Massenspeicherverwaltung Eine Neuanlage von Partitionsgruppen (Datenträgersätze, Stripe Sets und Mirror Sets) auf Basisfestplatten ist unter Windows 2000 nicht mehr möglich; dies wird nur noch für Dynamische Datenträger auf Dynamischen Festplatten unterstützt.
Logischer Diskmanager
Der neue Logische Diskmanager (Logical Disk Manager – LDM) verwaltet die Dynamischen Festplatten und stellt die Funktionalität für Einfache Datenträger sowie für Übergreifende, Stripeset- und Gespiegelte Datenträger bereit. Auch werden hier die Fehlertoleranz-Funktionen für übernommene Partitionsgruppen ausgeführt, die durch FT Disk bereitgestellt wurden. Die Schnittstellen, über die der Logische Diskmanager implementiert wurde, sind offen gelegt und damit auch anderen Herstellern zugänglich, die damit eigene professionelle Massenspeicherlösungen für Windows 2000 entwickeln können.
Dateisystem
Über FT Disk und dem Logischen Diskmanager liegt das Dateisystem. Mit dieser Struktur wird deutlich, dass Funktionen für fehlertolerante Datenspeicherung oder übergreifende Datenträger nicht mehr vom verwendeten Dateisystem abhängig sind wie noch unter Windows NT. Jetzt können logische Datenträger mit jedem der unterstützten Dateisysteme FAT16, FAT32 oder NTFS betrieben werden. Für die Nutzung der Sicherheitsfunktionen und eine optimale Performance empfiehlt sich aber der Einsatz von NTFS auch unter Windows 2000 Professional. Insbesondere durch die Erweiterungen der Version 5 sind unter NTFS eine Reihe neuer Merkmale verfügbar, die ein flexibleres Datenmanagement erlauben. Windows 2000 unterstützt jetzt auch das FAT32-Dateisystem, welches mit Windows 95 OSR2 eingeführt worden ist und einen effektiveren Umgang mit großen Datenträgern erlaubt. Beachten Sie, dass Basisdatenträger, die Sie mit dem FAT32-Dateisystem anlegen, nicht mehr unter Windows NT genutzt werden können.
Datenträgerverwaltung
Über das Massenspeicherverwaltungs-Interface greifen Sie als Administrator auf die einzelnen Komponenten des Volume Management zu. Mit dem Snap-In Datenträgerverwaltung für die Managementkonsole (siehe auch Kapitel 10 Die Managementkonsole ab Seite 355) stellt Microsoft dazu ein umfassendes Werkzeug bereit. Sie können damit Basisfestplatten und Dynamische Festplatten erstellen sowie die Datenträger auf ihnen einrichten.
4.3 Basisfestplatten
91
Bestimmte Fehlertoleranz-Funktionen werden nur durch die ServerVarianten von Windows 2000 bereitgestellt. So können Sie Spiegelsätze oder RAID-5 Datenträger (Stripesetdatenträger mit Parität) nur auf einem Serversystem einrichten. Aufgrund der Remote-Unterstützung der Datenträgerverwaltung können Sie aber von einem Windows 2000 Professional-Arbeitsplatz auf diese Funktionen auf einem Server zugreifen. Wie Sie mit Hilfe der Datenträgerverwaltung die Massenspeicher eines Windows 2000-Systems administrieren, ist Inhalt des Kapitels 11 Administration der Massenspeicher ab Seite 387.
4.3 Basisfestplatten Die beiden grundlegenden Festplatten-Konfigurationstypen Basisfestplatten und Dynamische Festplatten stehen Ihnen zur Verfügung, wenn Sie eine neue Festplatte unter Windows 2000 in Betrieb nehmen wollen. Standardmäßig wird dabei eine neue Festplatte als Basisfestplatte eingerichtet.
4.3.1 Partitionen und Partitionstypen Eine leere Festplatte kann normalerweise nicht ohne weiteres durch Aufteilung der ein Betriebssystem benutzt werden. Bis zum Erscheinen von Windows Festplatte durch 2000 mussten Sie, egal ob unter MS-DOS, Windows 9x/ME oder Li- Partitionieren nux, die Festplatte mit einem speziellen Dienstprogramm partitionieren. Dabei wird die Festplatte in einen oder mehrere Bereiche (Partitionen) fest aufgeteilt. Das bedeutet, dass Sie sich vor der Einrichtung einer Festplatte Gedanken machen müssen, wie diese strukturiert werden soll. Die einfachste Variante ist, die gesamte Festplatte am Stück einzurichten und zu formatieren. Das bietet allerdings keine besondere Flexibilität und Sicherheit. Besser ist es, logische Bereiche zu trennen und beispielsweise das Betriebssystem und die Anwendungsprogramme separat in einer Partition zu speichern und die Daten in einer anderen. Bei der Partitionierung wird zwischen zwei verschiedenen Partitionstypen unterschieden: Primäre und Erweiterte Partition. Für Wechseldatenträger wird eine Partitionierung nicht unterstützt. Diese können Sie lediglich vollständig mit einem der unterstützten Dateisysteme formatieren. Auf einer Festplatte können Sie bis zu vier primäre Partitionen anlegen. Primäre Partition Eine primäre Partition kann nicht weiter unterteilt werden. Mit Hilfe Systempartition des Partitionierungstools können Sie auf einer der installierten Fest-
92
4 Massenspeicherverwaltung platten genau eine der primären Partitionen als aktiv markieren. Von dort beginnt der Startvorgang des Betriebssystems. Die aktive primäre Partition nennt man deshalb auch Systempartition.
Erweiterte Partition Reicht die Unterteilung in vier primäre Partitionen nicht aus, können und logische Lauf- Sie statt einer primären eine erweiterte Partition erstellen. Diese ist alwerke lein noch nicht weiter benutzbar. In einer erweiterten Partition können
Sie sogenannte Logische Laufwerke erstellen. Diese sind genau wie primäre Partitionen nicht weiter aufteilbar. Ein logisches Laufwerk kann allerdings nicht als aktiv gekennzeichnet werden und demzufolge auch nicht als Bootpartition dienen. Bootpartition
Als Bootpartition wird die Partition bezeichnet, welche die Betriebssystemdateien enthält. Unter Windows 2000 wird das betreffende Verzeichnis in %SystemRoot% hinterlegt (beispielsweise D:\WINNT) und muss nicht auf der Systempartition liegen. Es kann sich auch auf einer anderen primären oder in der erweiterten Partition in einem logischen Laufwerk befinden. Windows NT und Windows 2000 unterstützen bis zu vier primäre Partitionen oder drei primäre mit einer erweiterten Partition. MS-DOS und Windows 95/98 unterstützen nur genau eine primäre und eine erweiterte Partition. Unter Windows NT/2000 angelegte weitere primäre Partitionen werden nicht erkannt. Sie sollten dies berücksichtigen, wenn Sie Windows NT/2000 zusammen mit MS-DOS oder Windows 95/98 auf einer Festplatte betreiben wollen.
Zugriff über Laufwerksbuchstaben...
Der Zugriff auf primäre Partitionen und logische Laufwerke erfolgt über die Vergabe von Laufwerksbuchstaben. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden und es sind nur Buchstaben des englischen Alphabets erlaubt. Damit ist die maximale Anzahl von Laufwerken, die Sie über Buchstaben ansprechen können, in einem System auf 241 beschränkt. Mit dem Datenträgermanagement können Sie, außer für die Systempartition, die Laufwerksbuchstaben beliebig ändern. Viele Softwarepakete sind nach der Installation auf eine feste Zuordnung von Laufwerksbuchstaben zu ihren Installationsorten angewiesen. Änderungen an den Zuweisungen der Buchstaben zu Laufwerken, auf denen diese Programme oder Teile von ihnen installiert sind, können die korrekte Ausführung stören oder ganz verhindern.
... und Bereitstellungspunkte
Unter Windows 2000 haben Sie eine weitere Möglichkeit, mehr Übersichtlichkeit in Ihre Datenorganisation zu bringen, indem Sie ein Laufwerk als Bereitstellungspunkt innerhalb eines anderen Laufwerkes
1
A und B sind für Diskettenlaufwerke reserviert, die restlichen 24 Buchstaben stehen dann für weitere Datenträger zur Verfügung.
4.3 Basisfestplatten einbinden. Ein Bereitstellungspunkt ist dabei für den Benutzer nichts anderes als ein Ordner, der sich an einer beliebigen Stelle innerhalb eines NTFS-formatierten Laufwerks befinden kann (mehr zum NTFSDateisystem finden Sie in Abschnitt 5.4 NTFS im Detail ab Seite 152).
4.3.2 Partitionsgruppen und Fehlertoleranz unter Windows NT Windows NT zeichnete sich gegenüber dem alten Windows 3.1 auch dadurch aus, dass die Verwaltung von Festplatten neben dem neuen NTFS-Dateisystem Funktionen enthielt, die Datenträgersätze, Stripe Sets und Spiegelsätze direkt auf Betriebssystemebene unterstützen. In diesem Abschnitt werden diese Technologien, wie sie unter NT verfügbar waren, dargestellt. Mit Windows 2000 hat sich hier grundlegendes verändert (siehe auch Abschnitt 4.4 Dynamische Festplatten ab Seite 108).
Datenträgersatz Unter Windows NT 4.0 können Sie freie Partitionen auf einer oder Aufbau unter NT mehrerer physischer (bis zu 32) Festplatten zu einem Datenträgersatz zusammenfassen. Diese Teilbereiche werden durch NT als primäre Partitionen in der Partitionstabelle geführt und unterliegen dadurch auch der Beschränkung auf vier Partitionen pro einzelner Festplatte. Die Bereiche können sich aber auf verschiedenen Laufwerkstypen befinden (beispielsweise SCSI und IDE gemischt) und unterschiedliche Größen aufweisen. Einen Datenträgersatz unter Windows NT können Sie mit dem FAT- oder dem NTFS-Dateisystem formatieren. Wollen Sie einen Datenträgersatz erweitern und dabei die alten Dateien und Ordner behalten, muss dieser mit NTFS formatiert worden sein. Zu beachten ist, dass bei Ausfall einer Festplatte oder einer Teilpartition eines Datenträgersatzes alle enthaltenen Daten gefährdet sind. MS-DOS oder Windows 9x/ME unterstützen keine Datenträgersätze und können solche deshalb nicht erkennen. Unter Windows 2000 wird ein Datenträgersatz jetzt als Übergreifender Windows 2000: Datenträger bezeichnet und kann nur noch auf Dynamischen Festplatten Übergreifender erstellt werden. Von Windows NT übernommene Datenträgersätze Datenträger auf Basisfestplatten können Sie aber weiter verwenden. Mit der neuen DATENTRÄGERVERWALTUNG können Sie diese verwalten und löschen, aber nicht erweitern oder auf Basisfestplatten neu anlegen. Diese Möglichkeiten haben Sie nur auf Dynamischen Festplatten.
93
94
4 Massenspeicherverwaltung Stripe Sets Ein Stripe Set unter Windows NT ist ähnlich aufgebaut wie ein Datenträgersatz. Allerdings müssen sich die freien Bereiche auf verschiedenen Festplatten befinden (mindestens 2; bis zu 32 werden unterstützt). Bei einem Stripe Set sind die zusammengefassten Bereiche alle gleich groß, deshalb werden bei der Erstellung die Größen der Partitionen auf den kleinsten gemeinsamen Nenner gebracht.
Achtung: Keine Fehlertoleranz!
Hauptvorteil eines Stripe Sets ist die gesteigerte Performance, mit der die Daten gelesen und geschrieben werden, da diese gleichmäßig auf alle Festplatten – in sogenannten Streifen, daher der Name – verteilt werden. Dies bedeutet aber auch, dass beim Ausfall einer Festplatte oder einer Teilpartition des Stripe Sets zwangsläufig alle Daten verloren sind.
Fehlertoleranz beim Stripe Set mit Parität (nur Server)
Einen Ausweg daraus bietet das Stripe Set mit Parität, bei dem zusätzliche Fehlerkorrekturdaten gespeichert werden. Dies wird allerdings nur von Windows NT Server bzw. in seiner neuen Implementierung für dynamische Festplatten von Windows 2000 Server unterstützt und wird in Band II näher betrachtet. MS-DOS oder Windows 9x/ME unterstützen keine Stripe Sets und können auf diese nicht zugreifen.
Windows 2000: Stripesetdatenträger
In Windows 2000 werden diese Datenträger mit Stripesetdatenträger bezeichnet. Mit der DATENTRÄGERVERWALTUNG können Sie vorhandene Stripe Sets aus Windows NT übernehmen und verwalten. Neue Stripe Sets können Sie nur auf Dynamischen Festplatten erstellen (siehe auch 4.4 Dynamische Festplatten ab Seite 108).
Spiegelsätze Spiegelsätze werden nur von Windows NT Server unterstützt und bestehen aus gleich großen Partitionen auf genau zwei verschiedenen Festplatten. Es wird zwischen Haupt- und Spiegelpartition unterschieden, wobei die Daten gleichzeitig komplett auf beiden Bereichen gehalten werden. Das bedeutet, dass Sie mit einem Spiegelsatz genau die Hälfte der Kapazität zur Verfügung haben, die die zusammengefassten Partitionen eigentlich ergeben würden. Bei der reinen Softwareimplementierung unter NT leidet auch die Gesamtperformance. Hohe Fehlertoleranz
Vorteil ist aber die hohe Fehlertoleranz die Ihnen auch dann alle Daten erhält, wenn eine Festplatte oder Partition des Spiegelsatzes ausfällt. Hardwarebasierte Festplattenarrays unterstützen den Austausch einer ausgefallenen Festplatte bei laufendem Betrieb, so dass die Verfügbarkeit eines Servers drastisch gesteigert werden kann.
4.3 Basisfestplatten
95 Abbildung 4.2: Spiegelsätze unter Windows NT
Wie bei den Stripe Sets unterstützen MS-DOS oder Windows 9x/ME keine Spiegelsätze und können auf diese nicht zugreifen. Unter Windows 2000 werden diese Spiegelsätze jetzt Gespiegelte Windows 2000: Datenträger genannt. Die DATENTRÄGERVERWALTUNG von Windows Gespiegelte 2000 Server kann Ihre unter NT angelegten Spiegelsätze übernehmen Datenträger und verwalten; neu anlegen können Sie Gespiegelte Datenträger allerdings nur noch auf Dynamischen Datenträgern. Für Windows 2000 Professional wie schon für Windows NT Worksta- Spiegeln nur beim tion ist ein Spiegeln von Festplatten nicht vorgesehen. Dies bleibt den Server Server-Versionen vorbehalten. Das Thema Gespiegelte Datenträger ist in Band II ausführlich beschrieben.
4.3.3 Aufbau einer Basisfestplatte im Detail Der Aufbau einer Basisfestplatte unter Windows 2000 mit der Einteilung in eine oder mehrere primäre und gegebenenfalls eine erweiterte Partition entspricht der einer Festplatte unter Windows NT.
96
4 Massenspeicherverwaltung
Abbildung 4.3: Aufbau einer Basisfestplatte
In Abbildung 4.3 ist das Beispiel einer Basisfestplatte dargestellt, die drei primäre und eine erweiterte Partition enthält, in der zwei logische Laufwerke angelegt sind. Das gewählte Beispiel zeigt eine Festplattenaufteilung, die nur mit Windows NT und Windows 2000 kompatibel ist (siehe dazu auch Abschnitt 4.3.1 Partitionen und Partitionstypen ab Seite 91). Master Boot Record
Der Master Boot Record (MBR) befindet sich im ersten physischen Sektor einer Basisfestplatte. Er enthält den für den Start eines Computers wichtigen Masterbootcode sowie die Partitionstabelle. Beim Systemstart wird der Masterbootcode vom BIOS gestartet und durchsucht als erste Aktion die Partitionstabelle nach einer aktiven Partition . Als aktiv setzen Sie eine primäre Partition mit Hilfe des Partitionstools des Betriebssystems. Unter MS-DOS ist das Fdisk, unter Windows 2000 die Datenträgerverwaltung.
Systempartition
Die aktive primäre Partition wird auch als Systempartition bezeichnet. Wurde beim Start die aktive Partition identifiziert, im Beispiel die primäre Partition 1 (Abbildung 4.3), wird aus dem ersten Sektor dieser Partition der Bootsektor ausgelesen und ausgeführt . Dieser enthält die Information, welches Programm, auch Urlader genannt, von der Systempartition geladen werden soll. Bei Windows 2000 ist dies Ntldr. Dieser installiert ein Minidateisystem, um die Datei BOOT.INI auszulesen und die verfügbaren Betriebssysteme anzeigen zu können.
4.3 Basisfestplatten
97
Über die Datei BOOT.INI wird schließlich das Betriebssystem von der Bootpartition darin spezifizierten Partition gestartet . Im Beispiel ist die primäre Partition 2 die Bootpartition, auf der sich beispielsweise der Ordner \WINNT mit dem Windows 2000-System befindet. Die Bootpartition muss nicht mit der Systempartition übereinstimmen, sie kann sich sogar auf einer anderen physischen Festplatte befinden. Für den Fall, dass auf die Bootfestplatte nicht mit INT 13h über das BIOS des Computers oder des SCSI-Adapters zugegriffen werden kann, ist Ntldr auch für das Laden eines Gerätetreibers verantwortlich. Dieser verbirgt sich in der Datei NTBOOTDD.SYS und ist eine Kopie des entsprechenden Treibers, beispielsweise AIC78XX.SYS für den SCSI-Controller Adaptec 2940 UW. Windows 2000 kann nur auf Festplatten gestartet und installiert werden, die über eine Partitionstabelle verfügen. Damit kommen nur Basisdatenträger auf Basisfestplatten in Frage oder Basisdatenträger auf Dynamischen Festplatten, die aus Basisfestplatten konvertiert worden sind. Mehr zu diesem Konvertieren finden Sie in Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119. Der Aufbau des Bootsektors ist abhängig vom verwendeten Dateisys- Bootsektor tem und wird unter anderem in Kapitel 5 Dateisysteme ab Seite 129 näher beschrieben.
4.3.4 MBR und Partitionstabelle im Detail Der Master Boot Record (MBR) wird durch das Partitionsprogramm in den ersten physischen Sektor der Festplatte geschrieben und besteht aus drei Hauptbestandteilen: •
Masterbootcode
•
Datenträgersignatur
•
Partitionstabelle
Abgeschlossen wird der MBR durch eine 2 Byte große Kennung, die immer den Wert 0x55AA enthält und auch Signaturwort oder Ende der Sektormarkierung genannt wird. Die folgende Tabelle stellt die Bestandteile des MBR und ihre Orte auf der Festplatte durch Angabe des Adressoffsets mit ihren Funktionen vor:
Offset Wert / Bezeichnung 000h
Masterbootcode
Beschreibung Ermittelt die aktiven Partition, auch Systempartition genannt, und lädt von dieser den Bootsektor.
Tabelle 4.1: Aufbau des MBR
98
4 Massenspeicherverwaltung
Offset Wert / Bezeichnung
Beschreibung
1B8h
Datenträgersignatur
eindeutige Nummer zur Identifizierung der Festplatte im System
1BEh
Eintrag für 1. Partition
1CEh
Eintrag für 2. Partition
1DEh
Eintrag für 3. Partition
enthält die vier Einträge für die Partitionstabelle mit je 16 Bytes (insgesamt 64 Bytes)
1EEh
Eintrag für 4. Partition
1FEh
0x55AA Signaturwort, auch Ende der Sektormarkierung genannt
kennzeichnet das Ende des MBR
Die Partitionstabelle im MBR besteht aus einer 64 Byte großen Struktur und folgt einem Betriebssystem-unabhängigen Standard. Jeder der 4 Einträge ist 16 Byte lang. Die Struktur eines Eintrags der Partitionstabelle im MBR ist in der folgenden Tabelle dargestellt: Tabelle 4.2: Aufbau eines Partitionstabelleneintrages
Offset Feldlänge Bezeichnung Erklärung 00h
Byte
Bootanzeige
(8 Bit)
Gibt an, ob die Partition aktiv ist: 0x80
Partition aktiv
0x00
Partition nicht aktiv
01h
Byte
Startkopf
Nummer des ersten Kopfes der Partition
02h
6 Bit
Startsektor
Nummer des ersten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Startzylinder.
10 Bit
Startzylinder
Nummer des Startzylinders Mit den 10-Bit können Werte von 0 bis 1023 (insgesamt 1024 Zustände) gesetzt werden.
04h
Byte
Systemkennung
Mit diesem Feld wird der Partitionstyp definiert. In Tabelle 4.3 sind die Partitionstypen aufgeführt.
05h
Byte
Endkopf
Nummer des letzten Kopfes der Partition
4.3 Basisfestplatten
99
Offset Feldlänge Bezeichnung Erklärung 06h
6 Bit
Endsektor
Nummer des letzten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Endzylinder
10 Bit
Endzylinder
Nummer des Endzylinders Mit den 10-Bit können Werte von 0 bis 1023 (insgesamt 1024 Zustände) gesetzt werden.
08h
DWORD (32 Bit)
0Ch
DWORD
Relative Sekto- Mit dieser 32-Bit-Nummer wird ren der Offset vom Anfang der physischen Festplatte angegeben. Gesamtsektoren
Dieses Feld enthält die Gesamtzahl an Sektoren dieser Partition.
Dieser Aufbau trifft nur für die Partitionstabelle im MBR zu, mit der vier primäre Partitionen oder drei primäre und einer erweiterten Partition definiert werden können. Werden weniger als vier Partitionen angelegt, so ist der Rest der Partitionstabelle mit Nullen überschrieben. Der Aufbau der erweiterten Partitionstabellen der logischen Laufwerke ist in Abschnitt 4.3.5 Logische Laufwerke und erweiterte Partitionstabelle ab Seite 100 beschrieben. Die einzelnen Partitionstypen, die durch MS-DOS, Windows 9x, ME, NT und Windows 2000 verwendet werden, sind in Tabelle 4.3 aufgeführt. Mit ihnen wird festgelegt, mit welchem Dateisystem (siehe auch Kapitel 5 Dateisysteme ab Seite 129) die Partition oder das logische Laufwerk formatiert ist und ob er Teil einer Partitionsgruppe ist.
Typ
Beschreibung
0x01
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT12-Dateisystem
0x04
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT16-Dateisystem (bis 32 MB-Partitionen)
0x05
Erweiterte Partition
0x06
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem BIGDOS FAT16-Dateisystem (32 MB bis 4 GBPartitionen)
0x07
Partition oder logisches Laufwerk unter NTFS
0x0B
Partition oder logisches Laufwerk unter FAT32
0x0C
Partition oder logisches Laufwerk unter FAT32 mit BIOS Int 13h-
Tabelle 4.3: Partitionstypen
100
4 Massenspeicherverwaltung Typ
Beschreibung Erweiterungen (LBA)
0x0E
Partition oder logisches Laufwerk unter BIGDOS FAT16 mit BIOS Int 13h-Erweiterungen (LBA)
0x0F
Erweiterte Partition mit BIOS Int 13h-Erweiterungen (LBA)
0x12
EISA-Partition
0x42
Dynamischer Datenträger
0x86
mit FT Disk verwalteter FAT16-Datenträger, der Teil einer Partitionsgruppe ist
0x87
mit FT Disk verwalteter NTFS-Datenträger, der Teil einer Partitionsgruppe ist
0x8B
mit FT Disk verwalteter FAT32-Datenträger, der Teil einer Partitionsgruppe ist
0x8C
mit FT Disk verwalteter FAT32-Datenträger mit BIOS Int 13hErweiterungen, der Teil einer Partitionsgruppe ist
Andere Betriebssysteme können hiervon abweichende Partitionstypen verwenden.
4.3.5 Logische Laufwerke und erweiterte Partitionstabelle Die logischen Laufwerke in einer erweiterten Partition werden durch eine verkettete Liste von sogenannten erweiterten Partitionstabellen beschrieben. Diese Liste ist so aufgebaut, dass jede erweiterte Partitionstabelle einen Eintrag auf die des nächsten logischen Laufwerkes enthält. Beim letzten logischen Laufwerk endet diese Liste, indem der Zeiger auf das nächste Laufwerk leer bleibt. Die folgende Tabelle zeigt die Grundstruktur einer erweiterten Partitionstabelle. Die vier Einträge sind wie bei der primären Partitionstabelle je 16 Byte groß und enthalten die gleichen Felder wie diese (siehe Tabelle 4.2 auf Seite 98). Es werden allerdings nur die ersten beiden Einträge benutzt, Nummer drei und vier bleiben leer. Tabelle 4.4: Struktur der erweiterten Partitionstabelle
Tabelleneintrag
Inhalt
1
Daten des aktuellen logischen Laufwerks
2
Daten des nächste logischen Laufwerks; ist keins mehr vorhanden, bleibt der Eintrag leer
3
nicht verwendet
4
nicht verwendet
4.3 Basisfestplatten
101
Durch diese Konstruktion können Sie theoretisch beliebig viele logische Laufwerke anlegen – zumindest solange die 24 Buchstaben zur Vergabe eines Laufwerksbuchstabens ausreichen. Unter Windows 2000 haben Sie aber auch die Möglichkeit, auf Laufwerksbuchstaben zu verzichten und die logischen Laufwerke über Bereitstellungspunkte in NTFS-Datenträger einzubinden (siehe dazu auch Abschnitt 5.4.3 Analysepunkte und Bereitstellungen ab Seite 162).
4.3.6 Manipulieren von MBR und Partitionstabelle mit DiskProbe Versierte Systemtechniker können im Fehlerfall durchaus defekte MBRs oder beschädigte Partitionstabellen reparieren und so Systeme vor dem Datengau bewahren oder deutlich schneller wieder in Gang bringen. Eine regelmäßige Datensicherung ist immer noch die sicherste Methode, sich vor Datenverlusten durch Festplattenfehler zu schützen. Wenn eine Festplatte aufgrund eines physischen Schadens (beispielsweise durch einen Kopfaufsetzer) ausfällt, kann auch die Wiederherstellung des Master Boot Record oder der Partitionstabellen verlorene Daten meist nicht zurückbringen. Ein Werkzeug zum Editieren von Festplatten bietet Microsoft mit sei- DiskProbe nem im Windows 2000 Professional Resource Kit enthaltenen Programm DiskProbe. Dieses Programm ist eine 32 Bit-Anwendung mit einer grafischen Oberfläche und läuft unter Windows 2000 und mit eingeschränkter Funktionalität unter Windows 9x. Die folgende Aufstellung enthält die wichtigsten Features und Einschränkungen, die Sie beim Einsatz mit DiskProbe beachten sollten: DiskProbe ist ein Werkzeug für Administratoren, mit dem wichtige Nur für AdminiBereiche auf einer Festplatte manipuliert werden können, auf die über stratoren! das Dateisystem kein direkter Zugriff möglich ist. So können Sie beispielsweise Partitionstabellen oder den Bootsektor verändern oder in Dateien sichern und bei Bedarf zurückschreiben. Sie benötigen dazu die vollen Administratorrechte für den Zugriff auf die Datenträger. Der Einsatz von DiskProbe ist nur dann sinnvoll, wenn alle anderen Wann einsetzen? Reparaturmechanismen des Betriebssystems versagen und ein Zugriff auf Datensicherungen nicht möglich ist oder die gezielte Reparatur direkt an kleinen Strukturen auf der Festplatte einen deutlichen Zeitvorteil verspricht.
102
4 Massenspeicherverwaltung
Abbildung 4.4: Die Benutzeroberfläche von DiskProbe
Windows 9x
DiskProbe ist für den Einsatz unter Windows 2000 konzipiert worden. Unter Windows 9x können Sie mit dem Programm nicht direkt auf physische Festplatten zugreifen. Es ist allerdings möglich, unter Windows 9x/ME in Dateien gesicherte Daten zu editieren.
Kein FAT32
DiskProbe unterstützt in seiner aktuellen Fassung keine FAT32Bootsektoren. Damit kann auf logische Einheiten der Festplatte nicht zugegriffen werden. Das normale sektorweise Editieren ist natürlich möglich.
Keine Dynamischen Festplatten
DiskProbe unterstützt nur Basisfestplatten. Die Datenträgerverwaltungsdatenbank dynamischer Festplatten kann es nicht verwenden. Damit erlaubt das Programm keine Navigation zwischen den logischen Einheiten der Festplattenstruktur. Vorsicht ist auch bei konvertierten dynamischen Festplatten geboten (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119), da hier zwar parallel zur Datenträgerverwaltungsdatenbank noch Partitionstabellen geführt werden, diese aber nicht mehr in vollem Umfang aktualisiert werden. Ein sektorweises Editieren dynamischer Datenträger ist zwar möglich, sollte aber nur bei genauer Kenntnis der Arbeitsweise der Datenträgerverwaltungsdatenbank und den Zusammenhängen zu den noch geführten Partitionseinträgen erfolgen.
4.3 Basisfestplatten
103
DiskProbe verfügt über eine ausführliche Online-Dokumentation mit Online-DokumenErläuterungen zur Bedienung und zu grundlegenden Aspekten der tation Programmnutzung.
4.3.7 Die Datei BOOT.INI Die Datei BOOT.INI liegt auf der Systempartition und wird beim Start durch Ntldr ausgelesen (siehe auch Abschnitt 4.3.3 Aufbau einer Basisfestplatte im Detail ab Seite 95). Sie wird bei der Installation von Windows NT oder Windows 2000 im Stammverzeichnis angelegt und dient dazu, die Liste der verfügbaren Betriebssysteme beim Start anzubieten. Diese Datei ist eine normale Textdatei und lässt sich mit jedem Texteditor bearbeiten. Allerdings ist sie mit den Attributen System und Versteckt versehen, so dass Sie über EXTRAS | ORDNEROPTIONEN | ANSICHT im Explorer-Fenster die Option Alle Dateien und Ordner anzeigen aktivieren müssen, damit die Datei angezeigt wird. [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WIN2000
Abbildung 4.5: Beispiel einer BOOT.INI für Dualboot
[operating systems] multi(0)disk(0)rdisk(0)partition(1)\WIN2000="Microsoft Windows 2000 Professional" /fastdetect C:\="Microsoft Windows 98" Die oben dargestellte BOOT.INI enthält beispielsweise eine Dual-Boot Konfiguration für Windows 98 und Windows 2000. Im Teil [boot loader] der Datei BOOT.INI wird durch timeout die Zeit in [boot loader] Sekunden eingestellt, die das Auswahlmenü auf eine Benutzereingabe warten soll. Wird durch den Benutzer nicht eingegriffen, wird das Betriebssystem gestartet, welches bei default angegeben ist. Wird timeout auf einen Wert von –1 gesetzt, bleibt das Menü solange stehen, bis Sie eine Auswahl treffen und ein System starten. Im zweiten Teil [operating systems] sind die startbaren Betriebssysteme [operating mit ihrer Startposition, dem Verweis auf die Bootpartition, hinterlegt. systems] In Windows 2000 wird die erweiterte RISC-Namenskonvention benutzt, um einen Pfad zu der Windows Bootpartition bzw. -datenträger zu beschreiben. Diese auch ARC-Pfadnamen (ARC = Advanced RISC Computing) ge- ARC-Pfadnamen nannten Verweise werden in drei Syntax-Klassen eingeteilt: •
Multi-Syntax
104
Multi-Syntax
4 Massenspeicherverwaltung •
SCSI-Syntax
•
Signature-Syntax
Die für die Installation eines Windows 2000 Professional-Systems meistgenutzte Syntax ist die Multi-Syntax. multi(a)disk(b)rdisk(c)partition(d) Die einzelnen Parameter haben die folgende Bedeutung:
Tabelle 4.5: Parameter der Multi-Syntax
Parameter Bedeutung a
Nummer des Adapters (beginnend bei 0)
b
bei Multisyntax immer 0
c
Nummer der Festplatte am Adapter (0 bis 3)
d
Nummer der Partition (beginnend mit 1)
Die Multi-Syntax wird für alle Bootfestplatten durch das SetupProgramm von Windows 2000 eingerichtet, die das Booten über einen INT 13h-Aufruf durch das BIOS des Computers beziehungsweise des SCSI-Adapters ermöglichen. Damit wird diese Syntax nur unter den folgenden Bedingungen eingerichtet:
SCSI-Syntax
•
Im Computer wird ein IDE-Festplatteninterface mit bis zu zwei Kanälen und maximal 2 Festplatten pro Kanal benutzt.
•
Benutzen Sie einen Computer mit SCSI-Interface, so wird die Multi-Syntax für die ersten beiden Festplatten am ersten Adapter eingerichtet. Bedingung ist, dass der SCSI-Adapter ein eigenes BIOS mit INT 13h-Erweiterung zum Booten einsetzt.
•
Besitzt Ihr Computer sowohl IDE- als auch SCSI-Adapter, wird die Multi-Syntax nur für die Bootfestplatten eingerichtet, die am ersten IDE-Adapter beziehungsweise am ersten SCSI-Adapter angeschlossen sind.
Die SCSI-Syntax wird für den Zugriff auf die Bootfestplatte mittels Gerätetreiber (ohne INT 13h-Unterstützung) durch das SetupProgramm eingerichtet. scsi(a)disk(b)rdisk(c)partition(d) Die einzelnen Parameter haben die folgende Bedeutung:
Tabelle 4.6: Parameter der SCSI-Syntax
Parameter Bedeutung a
Nummer des SCSI-Adapters (beginnend bei 0)
b
Nummer der physischen Festplatte (beginnend bei 1) Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer).
4.3 Basisfestplatten
105
Parameter Bedeutung c
die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)
d
Nummer der Partition (beginnend mit 1)
Die SCSI-Syntax wird meist dann verwendet, wenn Ihr Computersystem über eine SCSI-Adapter ohne eigenes BIOS verfügt. Von der Systempartition bzw. dem Systemdatenträger oder der Bootdiskette wird zum Zugriff der entsprechende SCSI-Gerätetreiber geladen. Eine spezielle Form des Zugriffs auf Bootfestplatten mit SCSI-Interface Signature-Syntax stellt die Verwendung der Signature-Syntax dar. Dabei wird unabhängig von einer Adapter-Nummer die Bootfestplatte mit Hilfe ihrer eindeutigen Signature identifiziert. Diese Signature ist Bestandteil des Master Boot Records jeder Festplatte (siehe Abschnitt 4.3.4 MBR und Partitionstabelle im Detail ab Seite 97). Der grundsätzliche Aufbau einer Signature-Syntax lautet: signature(a)disk(b)rdisk(c)partition(d) Die einzelnen Parameter haben die folgende Bedeutung:
Parameter Bedeutung a
eindeutige Signatur der Festplatte (als hexadezimale Zahl)
b
Nummer der physischen Festplatte (beginnend bei 1)
Tabelle 4.7: Parameter der Signature-Syntax
Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer). c
die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)
d
Nummer der Partition (beginnend mit 1)
Die Signature-Syntax wird beispielsweise dann durch das SetupProgramm eingerichtet, wenn zwar ein INT 13h-BIOS für IDEFestplatten vorhanden ist, die Installation jedoch auf einer SCSIFestplatte vorgenommen wird. Der SCSI-Controller für diese Festplatte verfügt dabei über kein BIOS (beziehungsweise wurde deaktiviert). Hinter den ARC-Pfadnamen können Sie über Optionen das Startver- Optionen nach den halten von Windows 2000 beeinflussen. Allerdings müssen Sie einige ARC-Pfadnamen der wichtigsten Optionen nicht manuell in der Datei BOOT.INI setzen, sondern können diese über das F8-Menü (PROBLEMBEHEBUNG UND ERWEITERTE WINDOWS 2000-STARTOPTIONEN) aktivieren.
106
4 Massenspeicherverwaltung
Abbildung 4.6 Erweiterte Windows 2000 Startoptionen (F8-Menü)
In der folgenden Tabelle werden die durch das F8-Menü gesetzten Optionen erläutert: Tabelle 4.8: F8 Menü-Optionen in der BOOT.INI
Option
Bedeutung
/SAFEBOOT:
Startet Windows 2000 im abgesicherten Modus. Die folgenden Varianten bestehen durch Setzen eines zusätzlichen Parameters (direkt hinter dem Doppelpunkt):
MINIMAL
NETWORK
MINIMAL (ALTERNATESHELL)
Windows 2000 wird mit einer minimalen Anzahl an Gerätetreibern im VGA-Grafikmodus (16 Farben bei einer Auflösung von 640 x 480) gestartet. Zusätzlich zur MINIMAL-Konfiguration werden die Netzwerktreiber geladen. Es wird zwar in den VGA-Grafikmodus (mit 16 Farben bei einer Auflösung von 640 x 480) umgeschaltet, allerdings als einzige Anwendung nur CMD.EXE in einem Eingabeaufforderungs-Fenster gestartet.
/BOOTLOG
/BASEVIDEO
Beim Start wird eine Protokolldatei im Verzeichnis %SystemRoot%\NTBTLOG.TXT angelegt, in der das Laden aller Treiber festgehalten wird. Dies kann für die Fehlersuche nützlich sein. Lädt beim Umschalten in den Grafikmodus nur den Standard VGA-Treiber mit 16 Farben bei 640 x 480.
4.3 Basisfestplatten Option
Bedeutung
/DEBUG
Startet Windows 2000 im Debug-Modus mit der Standardeinstellung für COM-Port 1 bei einer Übertragungsrate von 19200 Baud.
107
Neben den Optionen, die in Tabelle 4.8 erläutert werden, gibt es weitere, die für die Administration und Fehlersuche für Windows 2000 Professional wichtig sein können und die Sie manuell in der BOOT.INI setzen.
Option /FASTDETECT
Tabelle 4.9: Andere wichtige Optionen Mit /fastdetect wird das Programm NTDETECT.COM, in der Boot.ini
Bedeutung
welches beim Systemstart ausgeführt wird, angewiesen, auf die Erkennung von parallelen und seriellen Geräten zu verzichten, da unter Windows 2000 dies spezielle Plug&Play-Gerätetreiber übernehmen.
Unter Windows NT 4 gibt es diese Plug&Play-Gerätetreiber nicht (ist Aufgabe von NTDETECT.COM) und diese Option hat keine Wirkung. Diese Option wird prophylaktisch durch das SetupProgramm gesetzt und berücksichtigt damit eine eventuelle Dual-Boot-Konfiguration, bei der NTDETECT.COM sowohl von Windows 2000 als auch von Windows NT benutzt wird. /NOGUIBOOT
Veranlasst Windows 2000 ohne grafische Ausgabe über den VGA-Treiber zu starten. Es werden keine Meldungen über den Boot-Fortgang gegeben, allerdings auch keine Blue Screens erzeugt, falls das System beim Start zusammenbricht.
/DEBUGPORT=
Kann alternativ zu /DEBUG angewandt werden, um den Debug-Modus zu starten. Dabei lässt sich der serielle Port angeben, beispielsweise COM2 (Standard bei Verwendung von /DEBUG ist COM1).
/BAUDRATE=
Startet Windows auch im Debug-Modus, dazu kann eine andere Baudrate eingestellt werden (Standard bei Verwendung von /DEBUG ist eine Baudrate von 19200).
/ONECPU
Veranlasst Windows 2000 Professional bei einer Mehrprozessormaschine mit nur einer der beiden Prozessoren zu starten.
/MAXMEM=
Limitiert den Hauptspeicher, den Windows nutzen soll, auf den Wert, den Sie (in MB) hinter dieser Option eintragen.
108
4 Massenspeicherverwaltung Option
Bedeutung
/BURNMEMORY= Limitiert den Speicher wie /MAXMEM, nur dass Sie hier angeben, um wie viel MB der physische Hauptspeicher für die Nutzung durch Windows 2000 reduziert werden soll. /SOS
Gibt die Namen der Treiberdateien aus, die während des Startprozesses geladen werden.
Die in den Tabellen auf den Seiten 106 und 107 dargestellten Optionen sind die wichtigsten, die Sie für den Einsatz mit Windows 2000 Professional vielleicht einmal benötigen könnten. Darüber hinaus gibt es weitere, die teilweise nur für die Serverversionen gelten oder solche, die spezielle Parameter des Betriebssystems beeinflussen, um Softwareentwicklern bei der Applikations- und Treiberprogrammierung zu helfen.
4.4 Dynamische Festplatten Die eigentliche Neuerung im Bereich der Massenspeicherverwaltung von Windows 2000 stellen die dynamischen Festplatten dar. Der bisherige partitionsorientierte Ansatz, der unter dem Begriff Basisfestplatten weiterhin fester Bestandteil des Systems bleibt, wurde zugunsten einer sehr viel flexibleren Struktur aufgegeben. Der Preis dafür ist allerdings Inkompatibilität zu anderen Betriebssystemen, auch zu Windows NT oder 9x aus dem eigenen Hause. Die Art der Einbindung der neuen dynamischen Strukturen von Festplatten und Datenträgern in Windows 2000 scheint im Moment darauf hinzudeuten, dass dieser Prozess noch nicht abgeschlossen ist. Windows 2000 in der vorliegenden Fassung kann beispielsweise noch nicht auf reinen dynamischen Datenträgern installiert (Bootdatenträger) oder von diesen gestartet (Systemdatenträger) werden. Wie Sie trotz der zu beachtenden Einschränkungen die Technologie der dynamischen Festplatten gewinnbringend für den Einsatz unter Windows 2000 Professional nutzen können, wird in diesem und im nächsten Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119 gezeigt.
4.4.1 Aufbau und Funktionen dynamischer Festplatten Wenn Sie eine neue Festplatte in Ihr System einbinden wollen, können Sie sich zwischen den zwei grundlegenden Typen Basisfestplatte und Dynamische Festplatte entscheiden. Standardmäßig richtet Windows 2000 eine neue Platte als Basisfestplatte ein. Über die Datenträgerver-
4.4 Dynamische Festplatten
109
waltung können Sie die neue, leere Basisfestplatte in eine dynamische überführen. Alle hier folgenden Erläuterungen beziehen sich auf leere Festplatten, die erst nach der Überführung in eine dynamische Festplatte in logische Einheiten, die sogenannten Dynamischen Datenträger, eingeteilt worden sind. Sie können über die Datenträgerverwaltung auch bereits bestehende Basisfestplatten mit eingerichteten Partitionen und logischen Laufwerken in dynamische Festplatten konvertieren. Die dabei entstehenden dynamischen Festplatten unterscheiden sich aber in ihren Eigenschaften deutlich von einer neu erstellten. Was Sie alles bei der Konvertierung bestehender Basisfestplatten beachten sollten, ist Inhalt des nächsten Abschnitts 4.5 Konvertieren von Basisfestplatten ab Seite 119. Dynamische Festplatten verfügen zur Verwaltung der auf ihnen eingerichteten dynamischen Datenträger über eine Datenträgerverwaltungsdatenbank. Diese Datenbank ist am physischen Ende der Festplatte untergebracht. In der Abbildung 4.7 ist der prinzipielle Aufbau von dynamischen Festplatten dargestellt. Die Datenträgerverwaltungsdatenbank der im System vorhandenen dynamischen Festplatten wird automatisch repliziert, sodass im Falle einer Beschädigung der Datenträgerinformationen diese durch die Windows 2000-eigenen Mechanismen wiederhergestellt werden können. Heute gebräuchliche Reparaturprogramme für Datenträger von Drittherstellern unterstützen in der Regel keine dynamischen Festplatten. Ihre Anwendung kann zu Datenverlusten führen!
Achtung: Dynamische und konvertierte dynamische Festplatten
110
4 Massenspeicherverwaltung
Abbildung 4.7: Aufbau einer dyamischen Festplatte
Dynamische Datenträger, die Sie auf dynamischen Festplatten mit Hilfe der Datenträgerverwaltung anlegen, können in die folgenden Gruppen eingeteilt werden: •
Einfacher Datenträger Entspricht der kleinsten Einheit eines logischen Laufwerks auf einer dynamischen Festplatte. Einfache Datenträger können erweitert werden. Liegt dabei der neue Bereich auf einer anderen physischen Festplatte, entsteht ein übergreifender Datenträger (siehe auch Seite 113).
•
Übergreifender Datenträger Ein übergreifender Datenträger entsteht, wenn mindestens zwei freie Bereiche zusammengefasst oder ein einfacher Datenträger erweitert wird. Logisch verhält sich dieser Datenträger wie eine einzige größere Einheit (siehe auch Seite 114).
•
Stripesetdatenträger Für eine Erhöhung der Performance können Sie mindestens zwei gleich große freie Bereiche, die sich auf verschiedenen physischen Festplatten befinden müssen, zu einem logischen Stripesetdatenträger verbinden. Die Daten werden zwischen diesen Bereichen aufgeteilt, sodass die Transferraten und Antwortzeiten beider
4.4 Dynamische Festplatten
111
Festplatten gebündelt zur Datenspeicherung genutzt werden können (siehe auch Seite 116). In der folgenden Tabelle finden Sie die Dateisysteme, mit denen diese dynamischen Datenträger formatiert werden können: FAT16
FAT32
NTFS
Einfacher Datenträger
Übergreifender Datenträger
Stripesetdatenträger
Bezeichnung
Die Serverversionen von Windows 2000 unterstützen darüber hinaus noch weitere, fehlertolerante Datenträgertypen (siehe Band II). Einen kurzen Überblick über Fehlertoleranz und Windows 2000 finden Sie im Abschnitt 4.4.3 Fehlertolerante Datenspeicherung ab Seite 112.
4.4.2 Notebooks, Wechseldatenträger und externe Speichermedien Dynamische Festplatten werden für die folgenden Systeme nicht unterstützt: •
Notebooks Wird ein tragbares Computersystem durch Windows 2000 erkannt, können Sie auf diesem mit der Datenträgerverwaltung keine dynamischen Festplatten erstellen. Unter Umständen kann es aber möglich sein, dass Sie auf älteren oder nicht voll ACPI-konformen Notebooks dynamische Festplatten einrichten können. Dies ist von Microsoft aber offiziell nicht vorgesehen und kann zu Datenverlusten führen.
•
Wechseldatenträger Wechseldatenträger wie beispielsweise Medien für große SCSIWechselplattenlaufwerke können Sie nicht als dynamische Festplatten einrichten. Diese unterliegen der Wechselmedienverwaltung von Windows 2000.
•
Externe Speichermedien Festplatten, die beispielweise über den USB oder FireWire an den Computer angeschlossen sind, können Sie nicht als dynamische Festplatten einrichten. Dies betrifft nicht externe SCSI-Festplatten.
Tabelle 4.10: Dynamische Datenträger und die einsetzbaren Dateisysteme
112
4 Massenspeicherverwaltung Unter bestimmten Umständen kann es vorkommen, dass Sie die oben genannten Einschränkungen für die Einrichtung dynamischer Datenträger, beispielsweise auf Wechselmedien, die aufgrund technischer Inkompatibilitäten als Festplatten erkannt werden, umgehen können. Für diese Fälle ist das Verhalten von Windows 2000 allerdings nicht vorhersehbar und kann Datenverluste zur Folge haben.
4.4.3 Fehlertolerante Datenspeicherung Fehlertoleranz
Die Datenspeicherung eines Computersystems wird dann als fehlertolerant bezeichnet, wenn der Ausfall oder die Störung eines Teilsystems des Datenspeichers die Gesamtfunktionalität nicht beeinträchtigt. Umgesetzt wird dies durch den redundanten Einsatz wichtiger Teilsysteme, beispielsweise mit mehreren physischen Festplatten. Bei der Implementierung fehlertoleranter Datenspeicherung folgt Microsoft der systemübergreifenden RAID-Spezifikation. RAID ist die Abkürzung von Redundant Arrays of Inexpensive Disks (Redundante Gruppen von preiswerten Platten) und beschreibt die Funktionen, die durch den Zusammenschluss von Festplatten zu logischen Gruppen erreicht werden. Dabei sind verschiedene Level definiert. Die für Windows 2000 (Server- und Professional-Version) in Frage kommenden Level werden in der folgenden Tabelle dargestellt:
Tabelle 4.11: RAIDLevel im Überblick
Level
Beschreibung
RAID 0
Dieses auch als Disk Striping bezeichnete Level beschreibt den Zusammenschluss von mindestens zwei physischen Festplatten zur Erhöhung der Performance zu einem sogenannten Stripesetdatenträger. Die Daten werden zwischen den Platten durch das Betriebssystem in gleich große Streifen aufgeteilt, wodurch praktisch gleichzeitig die Performance mehrerer Platten gebündelt zur Verfügung steht. Dieses Level bietet allerdings keine Fehlertoleranz. Das bedeutet, dass bei Ausfall einer Festplatte alle Daten des gesamten Stripesetdatenträgers verloren sind. Windows 2000 Professional unterstützt nur dieses RAID-Level.
RAID 1
Level 1 wird auch als Mirroring (Spiegelung) bezeichnet. Dabei werden die Daten parallel auf zwei Festplatten gehalten. Bei Ausfall einer Festplatte wird der Betrieb mit der verbleibenden fortgesetzt. Dieses Level wird nur von den Windows 2000-Serverversionen unterstützt.
4.4 Dynamische Festplatten
113
Level
Beschreibung
RAID 5
Bei Level 5 wird Mirroring und Striping kombiniert. Der Fehlerkorrekturcode wird über alle angeschlossenen Festplatten gleichmäßig verteilt. Damit erreichen Sie wieder den Geschwindigkeitszuwachs von Level 0, gepaart mit der Fehlertoleranz von Level 1. RAID 5 wird auch als Striping mit Parität bezeichnet. Level 5 wird nur von den Windows 2000-Serverversionen unterstützt.
Windows 2000 Professional verfügt standardmäßig über keine fehler- Fehlertoleranz nur tolerante Datenspeicherung. Allerdings haben Sie mit den Übergrei- beim Server fenden Datenträgern und den Stripesetdatenträgern die Möglichkeiten, die Flexibilität und die Performance Ihrer Windows 2000Installation zu erhöhen. Mehr zur Funktionsweise und dem Aufbau fehlertoleranter Speichersysteme im Serverbereich können Sie im Band II nachlesen.
4.4.4 Einfache Datenträger und ihre Erweiterung Einfache dynamische Datenträger können Sie während des laufenden Betriebes über die Datenträgerverwaltung erweitern. Dazu muss ein freier Bereich auf einer dynamischen Festplatte zur Verfügung stehen. •
Einfacher, erweiterter Datenträger Liegt der Bereich auf derselben physischen Festplatte, spricht man von einem Einfachen, erweiterten Datenträger.
•
Übergreifender Datenträger Wird der einfache Datenträger über einen Bereich erweitert, der auf einer anderen physischen Festplatte liegt, entsteht ein Übergreifender Datenträger.
Die Abbildung 4.8 zeigt ein Beispiel, in dem ein einfacher Datenträger, mit E: bezeichnet, um einen freien Bereich auf der gleichen dynamischen Festplatte erweitert wird. Es entsteht ein größeres Laufwerk E: mit jetzt 6 GB. Für den Benutzer ist dieser Vorgang transparent, die alten Datenstrukturen bleiben erhalten. Die Änderung wird durch die Datenträgerverwaltung in die Datenträgerdatenbank eingetragen. Ein Neustart ist nicht notwendig.
114
4 Massenspeicherverwaltung
Abbildung 4.8: Erweiterung eines einfachen Datenträgers
Die folgenden Bedingungen müssen erfüllt sein, damit Sie einen einfachen Datenträger erweitern können:
Löschen von Erweiterungen
•
Nur einfache Datenträger, die neu auf einer dynamischen Festplatte erstellt worden sind, lassen sich erweitern. Aus Basisdatenträgern konvertierte Datenträger sind nicht erweiterbar, das betrifft auch System- und Bootdatenträger (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119).
•
Als Dateisystem für eine Erweiterung wird nur NTFS unterstützt. FAT- und FAT32-formatierte dynamische Datenträger lassen sich nicht erweitern.
Erweiterungen einfacher Datenträger werden durch die Datenträgerverwaltung separat angezeigt. Trotzdem können Sie diese Erweiterungen nicht einzeln löschen, sondern nur den gesamten Datenträger. Möchten Sie den Datenträger nachträglich wieder verkleinern, bleibt nur die Sicherung aller Daten und die Neuerstellung des komplett gelöschten Datenträgers.
4.4.5 Übergreifende Datenträger Nur auf dynamischen Festplatten
Übergreifende Datenträger in Windows 2000 sind wie die Datenträgersätze unter NT über mehrere physische Festplatten verteilt. Unter Windows 2000 können Sie solche Datenträger auf dynamischen Fest-
4.4 Dynamische Festplatten
115
platten erstellen. Auf Basisfestplatten wird diese Funktion nicht unterstützt (zur Kompatibilität zu NT siehe Abschnitt 4.3.2 Partitionsgruppen und Fehlertoleranz unter Windows NT ab Seite 93). Auf zwei verschiedene Arten können Sie übergreifende Datenträger Übergreifenden Datenträger über die Datenträgerverwaltung einrichten: •
Sie erstellen direkt einen übergreifenden Datenträger, indem Sie mehrere freie Bereiche auf mindestens 2 physischen dynamischen Festplatten miteinander verbinden. Als Dateisystem können Sie FAT32 oder NTFS bei der Neuanlage auswählen.
•
Sie erweitern einen Einfachen Datenträger (siehe auch vorigen Abschnitt), indem Sie diesem freien Speicherplatz auf einer anderen dynamischen Festplatte für die Erweiterung zuordnen. Für die Erweiterung gilt die Beschränkung auf das Dateisystem NTFS.
erstellen
Ein übergreifender Datenträger kann sich über maximal 32 physische Festplatten erstrecken. Die Verknüpfung der physischen Teilbereiche zu einem logischen Datenträger wird transparent für den Benutzer in der Datenträgerverwaltungsdatenbank eingetragen. Die Einbindung des neuen Datenträgers erfolgt dynamisch bei laufendem Betrieb, ein Neustart ist nicht notwendig. Boot- und Systemdatenträger von Windows 2000 lassen sich nicht in System- und Booteinen übergreifenden Datenträger einbinden, da sich diese nur auf datenträger Basisfestplatten oder auf aus Basisfestplatten konvertierten dynamischen Festplatten (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119) befinden können. In Abbildung 4.9 ist das Prinzip dargestellt, nach dem aus verschiedenen physischen Bereichen (hier auf 2 Festplatten) eine logische Einheit hergestellt wird. Windows 2000 sorgt dafür, dass die Teilbereiche eines übergreifenden Datenträgers nacheinander mit Daten gefüllt werden.
116
4 Massenspeicherverwaltung
Abbildung 4.9: Prinzip eines übergreifenden Datenträgers
Erweiterung eines übergreifenden Datenträgers
Löschen von Teilbereichen
Einen übergreifenden Datenträger können Sie auch während des laufenden Betriebes erweitern. Die notwendigen Voraussetzungen dazu sind: •
Als Dateisystem des übergreifenden Datenträgers wird NTFS benutzt. FAT32-formatierte Datenträger können nicht erweitert werden.
•
Der freie Speicherplatz, um den der Datenträger erweitert werden soll, befindet sich entweder auf der gleichen oder auf einer anderen dynamischen Festplatte. Freier Speicher von Basisfestplatten kann nicht für eine Erweiterung genutzt werden.
Einmal zu einem übergreifenden Datenträger verbundene Teilbereiche lassen sich nicht wieder einzeln aus dem Verbund entfernen. Sie können in diesem Fall nur die gesamten Daten sichern, den übergreifenden Datenträger komplett löschen und danach nach Ihren Bedürfnissen neu anlegen.
4.4.6 Stripesetdatenträger Aufbau
Stripesetdatenträger in Windows 2000 entsprechen der RAIDSpezifikation Level 0 (siehe Tabelle 4.11 auf Seite 112). Wie übergreifende Datenträger setzt sich ein Stripeset aus Teilbereichen über mehrere physische (maximal 32) Festplatten zusammen. Die Teilbereiche
4.4 Dynamische Festplatten
117
müssen allerdings alle exakt gleich groß sein, da die Bereiche nicht nacheinander, wie beim übergreifenden Datenträger, sondern gleichzeitig mit Daten gefüllt werden. Die Datenpakete werden durch den Logischen Diskmanager in gleich große Stripes (Streifen – daher auch der Name Stripeset) aufgeteilt und nacheinander auf alle verbundenen Festplatten gespeichert. Diese Stripes werden in der Fachliteratur auch chunk size genannt, die chunk size und Anzahl der Festplatten im Set mit stripe width. Eine übliche, auch unter stripe width Windows 2000 verwendete chunk size ist 64 KB groß. Hauptvorteil gegenüber den normalen übergreifenden Datenträgern Vorteil: ist die höhere Performance des Stripesetdatenträgers. Daten, deren Performance Größe die chunk size übersteigen, werden von mehreren der angeschlossenen Festplatten verarbeitet. Beim Schreiben und Lesen dieser Daten kann die Datentransferrate der Festplatten gebündelt werden. Dies macht sich umso mehr bemerkbar, je größer die Daten sind. Insbesondere bei hohen Datenmengen, beispielsweise große Bilddateien bei einem Bildverarbeitungsarbeitsplatz, lassen sich signifikante Performancesteigerungen gegenüber der herkömmlichen Speicherung auf einer Festplatte erzielen. Die Abspeicherung und das Auslesen der chunks erfolgt über die angeschlossenen Festplatten sequentiell. Das erste Teilstück geht zur ersten Platte, das zweite zur zweiten usw. Damit müssen sich die Schreib-/Leseköpfe der einzelnen Festplatten bei einem großen Datenstrom nicht weit bewegen und die Latenzzeiten der Festplatten bleiben sehr klein. Durch die integrierte RAID 0–Unterstützung von Windows 2000 können Sie auch mit preiswerten, durchschnittlichen Festplatten ein Massenspeichersystem hoher Leistung aufbauen. Dabei muss es nicht immer SCSI sein. Moderne Arbeitsplatzcomputer mit einem IDEInterface und Ultra-DMA/66-Unterstützung erreichen heute bereits mit handelsüblichen, preiswerten Festplatten, die Sie in einem Stripesetdatenträger bündeln, sehr hohe Leistungswerte. Durch die neue dynamische Datenträgerverwaltung müssen Sie nach Verfügbar ohne dem Einrichten eines Stripesetdatenträgers keinen Neustart vorneh- Neustart men. Nach der Formatierung (es werden FAT, FAT32 und NTFS unterstützt) ist der Stripesetdatenträger sofort einsetzbar. In der folgenden Abbildung sehen Sie den prinzipiellen Aufbau eines Stripesetdatenträgers unter Windows 2000, der sich über zwei dynamische Festplatten erstreckt.
118
4 Massenspeicherverwaltung
Abbildung 4.10: Prinzip eines Stripesetdatenträgers
So könnte beispielsweise eine Konfiguration aussehen, die aus einer Systemfestplatte von 10 GB Kapazität (die gleichzeitig Bootfestplatte ist) und einer weiteren Festplatte von 9 GB besteht. Für das Betriebssystem Windows 2000 ist ein 3 GB großer Bereich abgeteilt, der jetzt auf einer konvertierten dynamischen Festplatte als ehemalige primäre Partition vorhanden ist (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119). Der Rest von 7 GB wird zusammen mit einem gleich großen freien Bereich auf Festplatte 2 zu einem 14 GB Stripesetdatenträger verbunden. Der für diese Konfiguration nicht nutzbare Rest verbleibt als ein Teilstück von 2 GB, hier eingerichtet als einfacher Datenträger E: Keine Fehlertoleranz!
Die Aufteilung der Daten in chunks über mehrer Festplatten bei RAID 0 erfolgt ohne Fehlertoleranz. Fällt eine der eingebundenen Festplatten eines Stripesetdatenträgers aus, sind alle Daten auf diesem verloren. Zwar zeichnen sich heutige Festplatten durch eine lange durchschnittliche fehlerfreie Funktionsdauer (MTBF – Mean Time Between Failure) aus, allerdings wird durch ein Stripeset mit zwei Festplatten die Ausfallwahrscheinlichkeit schon verdoppelt, bei drei Festplatten verdreifacht usw. Die Datensicherung gewinnt also bei der Verwendung von Stripesets an Bedeutung.
Fehlertoleranz nur beim Server
Fehlertoleranz für ein Stripeset erreichen Sie erst mit RAID Level 5 (siehe auch Tabelle 4.11 auf Seite 112). Dies wird aber nur von den
4.5 Konvertieren von Basisfestplatten
119
Windows 2000 Serverversionen unterstützt und wird ausführlich in Band II betrachtet. Stripesetdatenträger können Sie generell nach ihrer Erstellung nicht Ändern von mehr verändern. Wollen Sie weitere Festplatten zu einem bestehenden StripesetdatenStripesetdatenträger hinzufügen, bleibt Ihnen nur die Sicherung aller trägern Daten, die Löschung und Neuanlage des Stripesetdatenträgers. Das gilt auch, wenn Sie eine der Festplatten aus dem Stripeset entfernen möchten.
4.5 Konvertieren von Basisfestplatten Durch die Nutzung dynamischer Festplatten und Datenträger ergeben sich auch auf einem Windows 2000 Professional-Computer Vorteile hinsichtlich Flexibilität und Arbeitsgeschwindigkeit (beispielsweise durch Stripesetdatenträger). Was aber, wenn Sie diese auch für Festplatten nutzen wollen, die bisher in Ihrem System als Basisfestplatten eingerichtet sind? Sie haben grundsätzlich die Möglichkeit, aus vorhandenen Basisfestplatten mit ihren Partitionen und logischen Laufwerken dynamische Festplatten mit dynamischen Datenträgern zu machen. Allerdings ergeben sich dabei einige Besonderheiten und auch Einschränkungen bei der Konvertierung von Basisfestplatten in dynamische, die in diesem Abschnitt gezeigt werden.
4.5.1 Wie die Konvertierung funktioniert Mit Hilfe der Datenträgerverwaltung können Sie eine Basisfestplatte in eine dynamische Festplatte konvertieren. Aus den angelegten primären Partitionen und den ggf. vorhandenen logischen Laufwerken in einer erweiterten Partition werden Einfache Datenträger (siehe Abbildung 4.11).
120
4 Massenspeicherverwaltung
Abbildung 4.11 Beispiel der Konvertierung einer Basisfestplatte
In der Abbildung sehen Sie, wie die Konfiguration der Basisfestplatte aus dem Beispiel von Seite 96 nach einer Konvertierung aussehen würde. Aus den drei primären Partitionen sind nun drei Einfache Datenträger geworden, ebenso aus den beiden logischen Laufwerken in der vormals vorhandenen erweiterten Partition. Partitionstabelle bleibt erhalten
Eine Besonderheit bei der Umwandlung einer vorhandenen Basisfestplatte in eine dynamische besteht darin, dass die Partitionstabelle erhalten bleibt. Die Partitionseinträge in der Tabelle (siehe auch Seite 97) sind nun hinsichtlich ihres Partitionstyps als Dynamische Datenträger gekennzeichnet und werden unter Windows 2000 auch durch die Datenträgerverwaltungsdatenbank am Ende der physischen Festplatte verwaltet. Andere Betriebssysteme wie MS-DOS, Windows 9x/ME oder NT können nach einer Konvertierung einer Basisfestplatte nicht mehr auf die dynamische Festplatte zugreifen. Dies sollten Sie unbedingt berücksichtigen, bevor Sie beispielsweise eine System- oder Bootpartition, die auch eines der o.g. anderen Betriebssysteme enthält, in eine Konvertierung einbeziehen. Bedenken Sie auch, dass Datenträgerreparaturprogramme von Drittherstellern in der Regel dynamische Datenträger nicht unterstützen oder bei ihrem Einsatz unter Umständen Schaden anrichten können.
4.5 Konvertieren von Basisfestplatten
121
4.5.2 Zurückkonvertieren in eine Basisfestplatte Ein Zurückkonvertieren einer dynamischen in eine Basisfestplatte ist Zurückkonvertieren nur für eine leere Festplatte möglich. Das bedeutet, dass Sie zuerst alle nicht wirklich Daten sichern müssen, alle dynamischen Datenträger löschen und möglich! dann die Zurückkonvertierung vornehmen können. Einen wirklichen Weg zurück gibt es also nicht. Sie sollten sich gut überlegen, ob eine Konvertierung sinnvoll ist.
4.5.3 Änderungen an konvertierten dynamischen Datenträgern Änderungen an den konvertierten dynamischen Datenträgern werden Löschen wird in in der Partitionstabelle der konvertierten dynamischen Festplatte nicht Partitionstabelle mehr vollständig berücksichtigt. Wenn Sie einen konvertierten Basis- berücksichtigt datenträger, der vormals eine primäre Partition oder ein logisches Laufwerk in der erweiterten Partition war, in der dynamischen Festplatte löschen, wird dies in der intern noch vorhandenen Partitionstabelle berücksichtigt. Dies erkennen Sie beispielsweise daran, wenn Sie sich das Beispiel für eine konvertierte Festplatte (siehe Abbildung 4.11 auf Seite 120) mit einer Windows 2000-Installation im einfachen Datenträger 5 vorstellen. Wenn Sie nun den einfachen Datenträger 4 löschen, wird Windows trotzdem noch starten können. Das ist der Beweis, dass Windows für den Fall des Löschens die Partitionstabellen pflegt. Anders sieht es aus, wenn Sie im freien Bereich einer dynamischen Neuanlagen nur Festplatte, der beispielsweise entstanden ist, weil Sie einen konvertier- noch in Datenten Basisdatenträger gelöscht haben, einen neuen einfachen (jetzt rich- trägerdatenbank tig) dynamischen Datenträger erstellen. Dieser wird nicht mehr in den intern noch geführten Partitionstabellen berücksichtigt, sondern nur noch in die Datenträgerverwaltungsdatenbank am Ende der physischen Festplatte eingetragen. Deshalb hat dieser neue Datenträger dann alle Eigenschaften eines richtigen dynamischen Datenträgers. So können Sie diesen beispielsweise zu einem Übergreifenden Datenträger erweitern, was mit einem konvertierten Basisdatenträger nicht möglich wäre (siehe auch Abschnitt 4.4 Dynamische Festplatten ab Seite 108). Dies ist bedeutsam für die Installation und den Betrieb von Windows Achtung bei 2000. Das Betriebssystem kann nur dann auf richtige dynamische Da- System- und Boottenträger zugreifen, das heißt auf solche, die nur noch in der Daten- datenträgern trägerverwaltungsdatenbank gehalten werden, wenn es vollständig gestartet ist. Weder das Setup-Programm noch die Startroutinen von Windows 2000 erkennen vorher dynamische Datenträger.
122
4 Massenspeicherverwaltung Windows 2000 kann nur auf dynamischen Datenträgern installiert oder von diesen ausgeführt werden (System- und Bootdatenträger), die zuvor auf einer Basisfestplatte bestanden haben und von dieser konvertiert worden sind. Das bedeutet, dass Sie vor der Installation von Windows 2000 die Einrichtung der Festplatte gut planen müssen.
4.5.4 System- und Bootdatenträger konvertieren Bei all den Einschränkungen, die Sie beim Konvertieren von Systemoder Bootdatenträgern zu beachten haben, stellt sich Ihnen vielleicht die nicht unberechtigte Frage, warum Sie dies überhaupt vornehmen sollten. Schließlich verhalten sich konvertierte dynamische Festplatten keinen Deut anders als ganz normale Basisfestplatten – solange Sie nicht doch einen neuen dynamischen Datenträger in einem freien Bereich auf ihnen erstellen. Konvertierung eines reinen Windows 2000Systems
Unter folgenden Umständen ist eine Konvertierung von System- und Bootdatenträger bei einem reinen Windows 2000-System sinnvoll: •
Sie möchten auf Ihrem PC nur Windows 2000 betreiben.
•
Das Betriebssystem befindet sich auf einer eigenen Partition.
•
Eine oder mehrere Bereiche auf der Festplatte sind frei und werden als neue dynamische Datenträger nach der Konvertierung angelegt.
Das bedeutet, dass Sie nach der Installation des Betriebssystems auf einem Teil der Festplatte (einer primären Partition) den restlichen Teil nach der Konvertierung dynamisch angelegt und damit sehr viel flexibler verfügbar haben, als wenn Sie klassisch mit weiteren primären oder logischen Laufwerken in einer erweiterten Partition arbeiten würden. Diese neuen dynamischen Datenträger können Sie beispielsweise ebenso leicht zu Übergreifenden Datenträgern erweitern wie zum Teil eines Stripesetdatenträgers machen (siehe auch Abschnitt 4.4 Dynamische Festplatten ab Seite 108). Konvertierung bei einem DualbootSystem
Haben Sie eine Konfiguration im Einsatz, bei der Windows 2000 zusammen mit einem oder mehreren anderen Betriebssystemen wie MSDOS oder Windows 9x installiert ist, macht eine Konvertierung nur unter folgenden Voraussetzungen Sinn: •
Die Windows 2000-Bootpartition liegt auf einer anderen physischen Festplatte als die anderen Betriebssysteme.
•
Die Bootfestplatte von Windows 2000 verfügt neben der Bootpartition über freien Platz, der dann wiederum für neue dynamische Datenträger nach der Konvertierung genutzt werden kann.
4.6 Der Indexdienst •
123
Die anderen Betriebssysteme brauchen keinen Zugriff auf die Daten auf der Bootfestplatte von Windows 2000.
4.6 Der Indexdienst Die steigende elektronische Datenflut auf Arbeitsplatzcomputern und im Netzwerk, auch ausgelöst durch die immer weitere Verlagerung von Brief- und Fax-Schriftverkehr ins Internet, machen effiziente Methoden zum Finden von abgelegten Informationen notwendig. Dabei geht es um mehr als nur die Suche nach Dateinamen – wer erinnert sich schon an den Namen eines Briefes, den er vor Monaten vielleicht an einen Geschäftspartner geschrieben hat? Mit Hilfe des Indexdienstes können Sie Informationen auf Ihrem Win- Suche auch nach dows 2000-System katalogisieren lassen. Mit einbezogen werden dabei Inhalten auch weitergehende Informationen wie der Dateiinhalt. So können Sie auch über Schlüsselworte aus dem Inhalt nach Dateien suchen. Um den Indexdienst effektiv einsetzen zu können, ist es notwendig, Anpassungen diesen benutzerspezifisch anzupassen. Es ist meist wenig sinnvoll, auf notwendig einer Arbeitsstation alle Festplatten pauschal insgesamt zu indizieren. Da der Index selbst Festplattenkapazität benötigt und die Erstellung Rechenzeit in Anspruch nimmt, sollte nur die Dateien und Ordner indiziert werden, für die Suchanfragen auch Sinn machen. Die grundlegende Funktionsweise und die wesentlichen Komponen- Administration des ten des Indexdienstes werden in diesem Abschnitt behandelt. Wie Sie Indexdienstes den Indexdienst als Administrator individuell anpassen können, erfahren Sie in Abschnitt 11.12 Indexdienst einrichten ab Seite 479. Bei der ersten ausgelieferten Version von Windows 2000 (Professional und Server) gab es eine Sicherheitslücke im Zusammenhang mit dem Indexdienst. Bei installiertem Internet Information Server und aktivem Indexdienst kann es dazu kommen, dass Benutzer über die WebSuchmaschine des IIS auch an Daten kommen, die nicht für die Veröffentlichung freigegeben worden sind. Auf der folgenden Webseite können Sie den entsprechenden Patch laden, der die oben genannte Sicherheitslücke schließt: http://www.microsoft.com/windows2000/downloads/critical/ q253934/default.asp Sie müssen daran denken, nach jeder Installation von WindowsKomponenten diesen Patch erneut auszuführen.
Patch
124
4 Massenspeicherverwaltung
4.6.1 Überblick zur Indizierung Was ist Indizierung?
Unter Indizierung von Dateien versteht man die systematische Katalogisierung nach bestimmten Eigenschaften. Diese werden zusammen mit der Angabe des Dokumentenpfades in einem Katalog gespeichert. Bei der Suche wird dann auf diesen Katalog zugegriffen. Die Art des Aufbaus des Kataloges entscheidet darüber, wie effizient die Suche durchgeführt wird und wie viele relevante Informationen zu den verwalteten Daten enthalten sind.
Windows 2000Indexdienst
Der Windows 2000-Indexdienst wird bei der Professional-Version des Betriebssystems standardmäßig mit installiert. Er muss für die Nutzung allerdings aktiviert werden (siehe auch Abschnitt 11.12.1 Indexdienst aktivieren ab Seite 479). Voreingestellt ist ein Katalog System, in dem die Indizes aller Dateien der installierten festen Datenträger zusammengefasst sind. Die Aktivierung und Konfiguration des Indexdienstes ist Administratoren vorbehalten. Über die Gruppenrichtlinie Indexdienst können Sie festlegen, welche Benutzern Zugriff auf die Einstellungen des Indexdienstes über das entsprechende Snap-In gewährt wird.
Indizierung im Hintergrund
Die Indizierung erfolgt unter Windows 2000 Professional als Prozess im Hintergrund. Der Benutzer merkt im Allgemeinen nichts davon. Natürlich hängt dies auch von der Leistungsfähigkeit der eingesetzten Hardware und der Anzahl der zu indizierenden Dateien ab. Deshalb sollte der Indexdienst benutzerspezifisch eingestellt werden (siehe auch Abschnitt 11.12 Indexdienst einrichten ab Seite 479). Der Indexdienst arbeitet nur dann im Hintergrund, wenn ihm ausreichend Ressourcen an Rechenzeit und Speicherkapazität zur Verfügung stehen. Sind beispielsweise gerade Programme mit rechenintensiveren Aufgaben beschäftigt, hält der Indexdienst an und nimmt die Indizierung erst dann wieder auf, wenn der Hauptprozessor weniger zu tun hat. Das Verhalten des Indexdienstes kann angepasst werden. Sie können bestimmen, wie hoch die Performance des Indexdienstes sein soll und wie oft oder wie schnell Veränderungen an Dateien im Index aktualisiert werden sollen.
Was wird indiziert?
Nach Installation des Indexdienstes werden zunächst alle Dateien der existenten Festplatten indiziert. Sie können allerdings selbst bestimmen, welche Dateien und Ordner in die Indizierung einbezogen werden sollen. Meist ist es sinnvoll, nur ausgewählte Verzeichnisse zu indizieren. Das Dateisystem eines zu indizierenden Datenträgers spielt nur eine untergeordnete Rolle.
Vorteil bei Nutzung von NTFS
Die maximale Performance und mehr Einflussmöglichkeiten bietet allerdings NTFSv5 (siehe auch Kapitel 5 Dateisysteme ab Seite 129). Nur hier ist das NTFS-Änderungsjournal verfügbar, mit dem Änderungen an Dateien schnell auf Dateisystemebene erfasst werden. Da-
4.6 Der Indexdienst
125
durch kann der Indexdienst besonders bei großen Datenbeständen sehr schnell auf Änderungen reagieren. Entscheidend für die Performance ist hier nicht mehr, wie viele Dateien auf dem Datenträger existieren, sondern wie viele geändert worden sind. Als zweiter wichtiger Unterschied zu den FAT-Dateisystemen ist das Vorhandensein eines Attributes für die Indizierung (siehe auch Seite 161). Sie können damit beispielsweise bestimmen, welche Dateien und Ordner durch die Indizierung ausgenommen werden, obwohl diese im Katalog zunächst aufgenommen worden sind. Dateien, die durch das verschlüsselnde Dateisystem (EFS; siehe auch Verschlüsselung Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166) chiff- kontra Indizierung riert sind, werden nicht in den Index aufgenommen. Nachträglich verschlüsselte Dateien werden automatisch aus dem Index entfernt. Für eine maximale Sicherheit sollten Sie den Indexdienst deaktivieren. Sie können auch gezielt nur bestimmte Kataloge indizieren beziehungsweise ganze Verzeichnisse aus der Indizierung ausnehmen. Endergebnis der Indizierung ist der aktuelle Katalog System bezie- Kataloge hungsweise ein oder mehrere benutzerspezifische Kataloge, die einen kompletten Index mit den Verweisen und allen gewünschten Informationen zu den entsprechenden Dateien enthalten. Die Suche über das Suchendialogfenster im Windows Explorer wird dann automatisch auf die Kataloge ausgedehnt, die für den oder die betreffenden Datenträger existieren. Für den Benutzer läuft der Vorgang transparent ab; bei einer aufwändigeren Suche wird er nur deutlich schneller ein Ergebnis präsentiert bekommen. Eine Suche nach einem Textauszug aus dem Inhalt beispielsweise wird dann im aktuellen Katalog durchgeführt. Steht kein Katalog zur Verfügung beziehungsweise ist der Indexdienst inaktiv, erfolgt die Suche herkömmlich mit dem Durchforsten jeder einzelnen Datei. Das dauert länger und hat deutlich mehr Datenträgerzugriffe zur Folge.
4.6.2 Der Indizierungsvorgang Die nachfolgende Abbildung zeigt schematisch die einzelnen Schritte beim Indizieren einer Datei:
126
4 Massenspeicherverwaltung
Abbildung 4.12: Indizierung einer Datei
Im Hintergrund liest der Indexdienst, wenn er neu gestartet wurde oder neue Dateien hinzukommen, jedes einzelne Dokument ein. Für die Indizierung werden dann die folgenden Schritte durchgeführt: 1.
Es wird der Typ des Dokuments ermittelt. Existiert ein Dokumentfilter (siehe unten) für das Dateiformat, werden damit der Inhalt sowie die Dokumenteigenschaften extrahiert. Wird kein spezifischer Dokumentfilter gefunden, wird je nach Einstellung für den Katalog die Datei trotzdem in den Index aufgenommen oder davon ausgeschlossen. Bei Aufnahme einer solchen Datei in den Index werden über einen allgemeinen Filter nur die Merkmale extrahiert, die gewonnen werden können. Eine umfassende Volltextsuche kann dann allerdings nur eingeschränkt möglich sein.
2. Die Dokumenteigenschaften sowie der Pfad werden im Index gespeichert. 3. Der Inhalt des Dokuments wird analysiert und die verwendete Sprache ermittelt. Es wird eine Einzelwortliste erstellt, die um die Wörter aus der Ausnahmewortliste (siehe unten) bereinigt wird. Die verbliebene Wortliste zu dem Dokument wird im Index gespeichert.
4.6 Der Indexdienst
127
4.
Die ermittelten Dokumenteigenschaften werden im Eigenschaften- Eigenschaftencache abgelegt. Da die eingesetzten Dateifilter die verschiedensten cache Eigenschaften je Dateityp extrahieren können, gibt es damit die Möglichkeit zu bestimmen, welche Eigenschaften im Suchdialog für Abfragen benutzt werden können1.
5.
Die gewonnenen Informationen zu den Eigenschaften und zum Wortlisten Inhalt werden zunächst temporär im Arbeitsspeicher in so genannten Wortlisten gehalten. Diese werden dann in temporären Indizes auf dem Datenträger abgelegt.
6.
Nach einer definierten Zeitspanne (meist einmal am Tag) oder Zusammenführen einer bestimmten Menge an Wortlisten und temporären Indizes zum Masterindex werden diese zu einem sogenannten Masterindex zusammengeführt. Diese Zusammenführung können Sie auch manuell vornehmen, wenn Sie eine schnellere Aktualisierung des Masterindex wünschen.
Der Masterindex stellt die effizienteste Form des Index dar. Die Daten Masterindex sind hier hochkomprimiert und für die Suchfunktionen optimiert. Die Zusammenführung kann insbesondere bei umfangreichen Indizes einige Zeit in Anspruch nehmen und macht nur Sinn, wenn die Wortlisten beziehungsweise die gespeicherten temporären Indizes aktuell sind. Der Indexdienst in Windows 2000 extrahiert die Eigenschaftswerte Dokumentfilter von Dateien über Dokumentfilter, die auch als IFilter bezeichnet werden. Für die folgenden Dateitypen werden mit Windows 2000 Dokumentfilter mitgeliefert: •
HTML
•
Text (ASCII, ANSI, Unicode)
•
Microsoft Office Dokumente (Word, Excel etc.; ab Office 95)
•
Microsoft Outlook Dokumente (E-Mails, News etc.)
Sollen andere als die oben genannten Dokumente mit in den Index einbezogen werden, so benötigen Sie Dokumentfilter der entsprechenden Hersteller für den Indexdienst. Die Schnittstellen dazu hat Microsoft offen gelegt und bietet die Informationen dazu im Platform Software Development Kit an.
1
Für umfassende Abfragen kann eine hochkomplexe Abfragesprache genutzt werden, wobei die konkreten Eigenschaften der verschiedenen Dokumenttypen einbezogen werden können. Da dies weniger für eine lokale Arbeitsstation, sondern mehr im Netzwerk von Bedeutung ist, wird auf die Abfragesprache näher in Band II eingegangen.
128 Index ohne Dokumentfilter
Ausnahmewortlisten
4 Massenspeicherverwaltung Ist kein spezieller Dokumentfilter verfügbar, können die betreffenden Dokumente trotzdem in den Index aufgenommen werden. Es werden durch einen allgemeinen Filter die maximal möglichen Informationen extrahiert. Allerdings kann die Suche nach bestimmten Eigenschaften und Textinhalten stark eingeschränkt sein. Sie können allerdings auch festlegen, dass ausschließlich Dokumente indiziert werden, für die ein Dokumentfilter verfügbar ist. Für die Extrahierung des Dateiinhaltes in Text-Schlüsselwortlisten macht es sicher wenig Sinn, alle Wörter eines Textes zu erfassen. Es gibt in jeder Sprache allgemeine Wörter wie Artikel, Pronomen oder Verbindungsworte, die natürlich nicht in die Schlüsselwortlisten gehören. Diese sogenannten Ausnahmewörter werden in Textdateien zusammengefasst und je nach unterstützter Sprache angelegt. Die allgemeine Syntax dieser Dateien mit den Ausnahmewortlisten lautet: %Systemroot%\system32\Noise.xxx Für xxx steht die entsprechende Sprachen-Kennung. Die Datei %Systemroot%\system32\Noise.deu beispielsweise enthält die Ausnahmewortliste für die deutsche Sprache. Sie kann als normale Textdatei mit einem Editor bearbeitet und damit einfach erweitert werden.
4.6 Der Indexdienst
129
Kapitel 5 Dateisysteme
5.1
Unterstützte Dateisysteme ...................................131
5.2
Vergleich von FAT, FAT32 und NTFS...............132
5.3
Fragmentierung ......................................................140
5.4
NTFS im Detail ......................................................152
5.5
FAT und FAT32 im Detail....................................176
5.1 Unterstützte Dateisysteme
5 Dateisysteme Für den Zugriff auf Datenträger durch Anwendungsprogramme und Benutzer bietet das Dateisystem eines Betriebssystems eine definierte Schnittstelle. Windows 2000 unterstützt eine Reihe von Dateisystemen für den Zugriff auf Festplatten, Wechseldatenträgern wie CD/DVD, Diskettenlaufwerke u.a.
5.1 Unterstützte Dateisysteme Windows 2000 unterstützt verschiedene Dateisysteme für die Speicherung von Dateien auf Festplatten und Wechseldatenträgern.
FAT, FAT32 und NTFS Das sind die Standarddateisysteme für die Verwaltung von Festplatten und den meisten wiederbeschreibbaren Wechseldatenträgern. Diese drei Dateisysteme werden in diesem Kapitel ab Seite 132 näher betrachtet. Im vorliegenden Buch werden die FAT-Varianten FAT16 und FAT12 wie folgt unterschieden: Das FAT16-Dateisystem (ab Datenträgergrößen von 16 MB verwendet) wird generell mit FAT benannt, es sei denn, eine explizite Benennung ist erforderlich. Das FAT12Dateisystem wird generell als FAT12 bezeichnet.
CDFS Das Compact Disc File System ist das Standardformat nach ISO-9660 für die Verwendung von CD-ROMs unter Windows 2000. Es unterstützt lange Dateinamen entsprechend ISO 9660 Level 2. Die folgenden Einschränkungen gelten bei der Erstellung von CDROMs nach diesem Standard: •
Die Namen von Dateien und Ordnern dürfen höchstens 31 Zeichen lang sein und können nur Grossbuchstaben verwenden.
•
Die Ordnerstrukturen können maximal eine Tiefe von 8 Ebenen vom Hauptverzeichnis aufweisen.
Windows 2000 kann CDFS-Datenträger lesen. Das Erstellen von CDROMs mit diesem Format ist nur mit Zusatzsoftware von Drittherstellern möglich.
131
132
5 Dateisysteme UDF Das Universal Disc Format (ISO 13346) ist ein neues Standardformat für austauschbare Wechseldatenträger allgemein. Mit UDF formatierte CD-ROMs, MOs (Magnetooptische Medien) oder DVDs sollen so zwischen den verschiedensten Plattformen und Betriebssystemen kompatibel sein. Der Standard gilt als Nachfolger des CDFS und ist heute in den Versionen 1.02 und 1.50 verbreitet. Windows 2000 unterstützt von sich aus das Lesen UDF-formatierter Datenträger. Das Erstellen von Datenträgern mit diesem Format ist nur mit Zusatzsoftware von Drittherstellern möglich.
5.2 Vergleich von FAT, FAT32 und NTFS In diesem Abschnitt werden die von Windows 2000 unterstützten Dateisysteme für Festplattenspeicher in den wichtigsten Merkmalen miteinander verglichen. Das soll Ihnen helfen, die Auswahl des für Sie richtigen Dateisystems zu erleichtern. Im Detail werden dann die Dateisysteme NTFS, FAT32 und FAT in den nächsten Abschnitten ab Seite 152 erläutert.
5.2.1 Kompatibilität mit MS-Betriebssystemen Die in der Windows-Welt verbreiteten Dateisysteme FAT, FAT32 und NTFS können nicht von allen Microsoft-Betriebssystemen verwendet werden. Die folgende Tabelle zeigt die Unterstützung der MicrosoftBetriebssysteme für diese Dateisysteme. Tabelle 5.1: Kompatibilität der Microsoft-Betriebssysteme
Betriebssystem
FAT
FAT32
NTFS
NTFSv5
Windows 95
Windows 95 OSR2
Windows 98
Windows NT 3x/4x
Windows NT ab ServicePack 4
Windows 2000
MS-DOS; inkl. Windows (2x,3x)
5.2 Vergleich von FAT, FAT32 und NTFS
133
Windows 2000 ist das einzige Microsoft-Betriebssystem mit einer umfassenden Unterstützung aller in der Windows-Welt verbreiteten Betriebssysteme. Damit eignet sich Windows 2000 deutlich besser zum Upgrade eines Windows 9x-Systems als noch Windows NT 4 Workstation, da hier inzwischen das FAT32-Dateisystem stark verbreitet ist (ab Windows 95 OSR 2 und alle Versionen von Windows 98). Windows NT 4 ist erst ab Installation des Service Packs 4 in der Lage, Windows NT und auf NTFSv5-formatierte Datenträger zuzugreifen. Allerdings ist der NTFSv5 Zugriff unter Windows NT auf die bisher unter NTFSv4 bekannten Funktionen beschränkt. Neue Funktionen und Merkmale wie beispielsweise Datenträgerkontingente oder verschlüsselte Dateien sind nicht verfügbar. Windows 2000 verfügt über zuverlässige Mechanismen, die eine gemeinsame Nutzung NTFS-formatierter Datenträger mit Windows NT 4 ermöglichen. In Abschnitt 5.4.9 Zur Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 174 wird dieses Thema eingehender erörtert. Für das richtige Verständnis der Datenträgerverwaltung von Win- Dynamische dows 2000 unter maximaler Ausnutzung seiner Möglichkeiten emp- Festplatten fiehlt sich die Nutzung von dynamischen Festplatten. Allerdings gibt es gerade im Hinblick auf die Kompatibilität zu anderen Betriebssystemen und zu den Boot- beziehungsweise den Systemdatenträgern einiges zu beachten. In Abschnitt 4.4 Dynamische Festplatten ab Seite 108 wird die dynamische Datenträgerverwaltung von Windows 2000 im Detail behandelt. Für Multiboot-Konfigurationen, die neben Windows 2000 auch noch FAT/FAT32 und andere Betriebssysteme vorsehen, kann die Verwendung von FAT Multibootkonfioder FAT32 für den System- beziehungsweise Bootdatenträger Sinn gurationen machen. Das FAT-Dateisystem wird von vielen älteren Betriebssystemen unterstützt und eignet sich daher für die Formatierung maximal kompatibler Datenträger. FAT32 als Dateisystem für den Boot- beziehungsweise Systemdatenträger ermöglicht eine effiziente Datenverwaltung bei einer Windows 2000/Windows 98-Dualbootkonfiguration (beziehungsweise zusammen mit Windows 95 OSR2).
5.2.2 Speicherkapazität von Datenträgern Die nutzbare Kapazität eines Datenträgers wird erheblich durch das verwendete Dateisystem bestimmt. Zum einen betrifft das die verfügbare Größe des Datenträgers selbst, zum anderen, wie mit dem zur Verfügung gestellten Platz umgegangen wird.
134
5 Dateisysteme Maximale Datenträgergrößen Die maximale Größe eines Datenträgers, die durch ein Dateisystem verwaltet werden kann, hängt von der Anzahl der adressierbaren Cluster ab. Die Dateisysteme FAT, FAT32 und NTFS unterscheiden sich hierbei: FAT16, daher auch der Name, kann mit einem 16 BitDatenwort die Anzahl der Cluster adressieren. Damit beschränkt sich die maximale Anzahl auf 65.535 Cluster. FAT32 verfügt demgegenüber über ein 32 Bit-Feld. Da die ersten 4 Bits reserviert sind, stehen 228 Adressen (268.435.456 Cluster) zur Verfügung. Bei NTFS ist die Datenbreite nochmals auf 64 Bit verdoppelt, was einen Adressraum von 18.446.744.073.709.551.616 Clustern zur Folge hat. Da gemäß des heute etablierten Industriestandards die Sektorgröße eines Datenträgers 512 Byte beträgt, ergibt sich die maximale Datenträgergröße aus Clusteranzahl x Sektorgröße. Die folgenden Tabelle vermittelt einen Überblick über die Größenbeschränkungen für Datenträger und Dateien der Dateisysteme:
Tabelle 5.2: Größenbeschränkungen der Dateisysteme unter Windows 2000
FAT Maximale Datenträgergröße
4 GB
Maximale Dateigröße
Dateien je Datenträger Einträge im Stammverzeichnis
FAT32
NTFSv5
2 TB;
16,7 Mio TB;
praktisch: 32 GB
praktisch: 2 TB
2 GB
4 GB
durch Datenträgergröße begrenzt
216-12
222
232-1
=65.524
=4.194.304
=4.294.967.295
5121
unbegrenzt
unbegrenzt
FAT
Unter dem FAT-Dateisystem stehen maximal 65.524 Cluster (16 Bit = 65.535; abzüglich reservierter Platz) für die Speicherung von Dateien und Verzeichnissen zur Verfügung. Ab 2 GB Datenträgergröße belegen die Cluster hier allerdings 64 KB. Das bedeutet zum einen eine große Verschwendung von Speicherplatz bei vielen kleinen Dateien, zum anderen können MS-DOS und Windows 9x dann nicht mehr auf diesen Datenträger zugreifen.
> 2 GB: besser FAT32 oder NTFS
Um Kompatibilität sicherzustellen, sollten Sie deshalb bei größeren Datenträgern über 2 GB prüfen, ob die Verwendung von FAT32 oder
1
Die Verwendung langer Dateinamen im FAT-Stammordner kann die Anzahl der Einträge zusätzlich reduzieren. 1 Eintrag wird auch durch den Datenträgernamen beansprucht (wenn vorhanden).
5.2 Vergleich von FAT, FAT32 und NTFS NTFS auf dem entsprechenden Datenträger einsetzbar ist. Anderenfalls ist eine Aufteilung (Partitionierung) des Datenträgers in kleinere Einheiten anzuraten. Die Anzahl der verwaltbaren Cluster unter FAT32 ist 228 = 268.435.456. FAT32 Nach Abzug von Verwaltungsplatz verbleiben 268.435.445 Cluster für die Speicherung von Daten. Bei einer Clustergröße von 32 KB errechnet sich eine theoretisch maximale Größe eines Datenträgers von 8 TB. Aufgrund interner Limitierungen von Windows 95 OSR2 und Windows 98 ist die Größe der FAT selbst auf 16 MB beschränkt. Die Limitierung bedeutet eine maximale Anzahl der verwaltbaren Cluster von 4.177.920 (je Cluster 4 Byte). Bei einer maximalen Clustergröße von 32 KB ergibt sich eine nutzbare Kapazität von immerhin noch 127,53 GB. Dies ist auch die Größe, die Sie unter Windows 95 OSR2 und Windows 98 formatieren können. Unter Windows 2000 werden nur Datenträger bis zu 32 GB für FAT32 unterstützt. Für die Wahrung der Kompatibilität kann Windows 2000 auch größere, fremdformatierte FAT32-Datenträger benutzen. Nur neu formatieren können Sie diese dann mit FAT32 nicht. Die maximale Größe eines Datenträgers, den Sie mit NTFS unter Win- NTFS dows 2000 formatieren können, ist derzeit auf die noch recht theoretische Größe von 2 TB begrenzt (wohlgemerkt für einen Datenträger am Stück!). Diese Beschränkung liegt weniger an Windows 2000 oder Microsoft, sondern mehr an der heute üblichen Sektorgröße bei Festplatten von 512 Byte. Hinzu kommt die derzeitige Limitierung der Datenträgertabellen auf 232 Sektoren (als Industriestandard verankert). Damit ergibt sich eine maximale Größe von 232 x 512 Byte = 2 TB. Durch eine Vergrößerung der Sektorgröße beziehungsweise der Datenträgertabelle könnten hier in Zukunft noch Reserven aufgedeckt werden – vielleicht haben wir dann aber schon Speichermodule im TeraByte-Bereich, die sich aus kleinen Kristallwürfeln zusammensetzen...
Größe der Zuordnungseinheiten (Cluster) Die kleinste adressierbare Einheit auf einer Festplatte wird auch Zuordnungseinheit oder Cluster genannt. In Tabelle 5.3 sind die Clustergrößen der einzelnen Dateisysteme gegenübergestellt. Mit Hilfe der Windows 2000-Formatprogramme (siehe auch Abschnitt 11.5 Datenträger formatieren ab Seite 424) können Sie diese Clustergrößen an spezielle Bedürfnisse anpassen. Die Limitierungen, insbesondere des FAT-Dateisystems, können Sie damit natürlich trotzdem nicht überwinden. Das bedeutet auch, dass die minimale Clustergröße ab einer bestimmten Datenträgerkapazität nicht unterschritten werden kann.
135
136
5 Dateisysteme So können Sie keinen FAT16-Datenträger mit 3 GB und einer Clustergröße von beispielsweise 4 KB formatieren.
Tabelle 5.3: StandardClustergrößen der Windows 2000Dateisysteme
FAT
FAT32
NTFS
7 – 16 MB
2 KB (FAT121)
---2
512 Byte
17 – 32 MB
512 Byte
---
512 Byte
33 - 64 MB
1 KB
512 Byte
512 Byte
65 – 128 MB
2 KB
1 KB
512 Byte
129 – 256 MB
4 KB
2 KB
512 Byte
257 – 512 MB
8 KB
4 KB
512 Byte
513 – 1.024 MB
16 KB
4 KB
1 KB
1 GB – 2 GB
32 KB
4 KB
2 KB
2 GB – 4 GB
64 KB
4 KB
4 KB
4 GB – 8 GB
---
4 KB
4 KB
8 GB – 16 GB
---
8 KB
4 KB
16 GB – 32 GB
---
16 KB
4 KB
32 GB – 2 TB
---
---
4 KB
Datenträgergröße
Verschwendung unter FAT
Aus der Tabelle wird deutlich, dass für die Verwaltung großer Datenträger ab 1 GB die Verwendung von FAT als Dateisystem mit einer Clustergröße von 16 KB und mehr zu einer sehr ineffizienten Ausnutzung des Speicherplatzes führt. Dies wird besonders deutlich, wenn Sie auf so einem Datenträger viele kleine Dateien, beispielsweise kurze Texte, speichern, die allesamt nur wenige KB groß sind. Jede Datei belegt dabei mindestens einen Cluster. Bei einer Dateigröße von 2 KB bleiben so mit Clustern von 16 KB glatte 14 KB ungenutzt.
Bessere Ausnutzung bei FAT32 und NTFS
FAT32 erlaubt mit seinen kleineren Clustergrößen eine wesentlich effizientere Speicherung auch kleinerer Dateien. Die sparsamste Verwendung kann hier aber NTFS aufweisen. Kleine Dateien bis ca. 1.500 Bytes werden komplett mit den zugehörigen Indizierungsattributen in der Master File Table (MFT) untergebracht (siehe auch Abschnitt 5.4.2 Der interne Aufbau von NTFS ab Seite 154).
1
Bei kleinen Datenträgern bis 16 MB wird automatisch das FAT12Dateisystem mit einem 12-Bit-Eintrag in der Dateizuordnungstabelle (212 Cluster) benutzt. Für Datenträger ab 17 MB ist es dann FAT16.
2
Mit --- gekennzeichnete Felder in der Tabelle zeigen nicht unterstützte Konfigurationen an.
5.2 Vergleich von FAT, FAT32 und NTFS
137
5.2.3 Performance Neben der Größe eines Datenträgers und Aspekten der Zugriffssicherheit spielt bei einer lokalen Arbeitsstation auch die erreichbare Performance eine Rolle bei der Entscheidung für ein Dateisystem. Oberflächlich betrachtet erscheint NTFS zunächst nicht unbedingt schneller zu sein als FAT oder FAT32.
Kleine Datenträger Die Dateisysteme FAT12/16 und FAT32 haben auf kleineren Daten- FAT/FAT32 ist trägern in Sachen Performance die Nase vorn und sind schneller als schneller NTFS. Dies ist in der wesentlich einfacheren Struktur der FATDateisysteme begründet. Zudem gibt es unter FAT keine erweiterten Zugriffsberechtigungen für Benutzer, die für eine Datei oder einen Ordner mit verwaltet werden müssen. NTFS hat dadurch und durch seine interne Strukturierung einen größeren Overhead zu verwalten – und das kostet eben Zeit. Bis zu einer Datenträgergröße von 256 MB bei einer Clustergröße von 4 KB ist das Dateisystem FAT16 für eine maximale Performance zu bevorzugen. Das betrifft heute vor allem die Formatierung von Wechseldatenträgern mit meist 20, 100 oder 250 MB Kapazität. Aufgrund der größeren notwendigen Verwaltungskapazitäten des Disketten NTFS-Dateisystems wird eine Formatierung von Disketten mit NTFS erst gar nicht unterstützt. Hier ist nach wie vor das FAT12Dateisystem hinsichtlich der Effizienz der Speicherung die beste Wahl.
Große Datenträger Auf großen Datenträgern ab 1 GB mit vielen Dateien sieht die Sache NTFS im Vorteil schon ganz anders aus. Hier kann NTFS seine Trümpfe voll ausspielen. Die Organisation der Dateien in Ordnern in Form von B-Bäumen beschleunigt die Suche nach Dateien erheblich (unabhängig von der zusätzlichen Möglichkeit der Indizierung in Windows 2000). Die Suche nach einer bestimmten Datei wird durch wesentlich weniger Zugriffe möglich – im Gegensatz zu FAT, wobei immer der gesamte Ordner durchsucht wird. Dazu kommen die effizienteren Speichermethoden für kleine Dateien Kleine Dateien im NTFS-Dateisystem gegenüber dem Zeiger-basierten Modell bei FAT/FAT32, die eine deutlich schnellere Bereitstellung der Daten für Anwendungsprogramme ermöglichen. So werden kleine Ordner und Dateien direkt in der Master File Table (MFT) abgelegt. Unter den FAT-Dateisystemen enthalten die File Allocation Tables generell nur Zeiger auf Dateien und Ordner, unabhängig von deren Größe.
138
5 Dateisysteme Performanceverlust durch Fragmentierung Die Fragmentierung von Datenträgern und Dateien wirkt sich mit am stärksten auf die erreichbare Performance unter jedem der unterstützten Dateisysteme aus. Diesem Thema ist der Abschnitt 5.3 Fragmentierung ab Seite 140 gewidmet.
5.2.4 Dateisystemsicherheit Ein wesentliches Merkmal eines Dateisystems ist die Fähigkeit, mit Störungen umzugehen beziehungsweise Daten nach einem Systemausfall wiederherstellen zu können. In diesem Abschnitt werden die Dateisysteme FAT, FAT32 und NTFS in dieser Hinsicht gegenübergestellt.
Dateisystemsicherheit bei FAT Das einfache FAT-Dateisystem ist am anfälligsten gegenüber Datenträgerfehlern: •
Der Bootsektor wird nicht gesichert, sodass bei seiner Beschädigung kein Startvorgang möglich ist.
•
Wird die File Allocation Table (FAT) beschädigt, wird nicht automatisch die Sicherheitskopie benutzt. Diese kann erst ein externes Reparaturprogramm wie beispielsweise Chkdsk aktivieren.
•
Eine integrierte Dateisystemsicherheit wie bei NTFS steht unter FAT nicht zur Verfügung. Eine unterbrochene Schreibaktion, die beispielsweise eine alte Datei durch eine neue ersetzen soll, hat so den Verlust der alten und der neuen Datei zur Folge.
Demgegenüber steht die Möglichkeit, auf FAT-Datenträger mit Hilfe einer einfachen MS-DOS-Bootdiskette zugreifen zu können sowie die breite Palette an verfügbaren Datenträgerwerkzeugen.
Dateisystemsicherheit bei FAT32 Gegenüber FAT12/16 wurden bei FAT32 einige Verbesserungen hinsichtlich der Dateisystemsicherheit vorgenommen: •
Der Stammordner ist eine normale Clusterkette und kann an einer beliebigen Stelle im Dateisystem gespeichert werden. Dadurch ist dieser weniger empfindlich gegen Störungen des Datenträgers an einzelnen bestimmten Sektoren und es entfällt die Limitierung von FAT auf 512 Einträge.
5.2 Vergleich von FAT, FAT32 und NTFS •
139
FAT32 kann bei einer Beschädigung der File Allocation Table (FAT) automatisch die Sicherungskopie implementieren.
Wie auch unter FAT12/16 sind aber eine Reihe von Nachteilen hinsichtlich der Dateisystemsicherheit nicht behoben: •
Der Bootsektor wird auch hier nicht gesichert.
•
Eine integrierte Dateisystemsicherheit wie bei NTFS steht auch hier nicht zur Verfügung.
Dateisystemsicherheit bei NTFS •
Wiederherstellbares Dateisystem Das NTFS-Dateisystem bietet in Sachen Datensicherheit bedeutende Erweiterungen gegenüber FAT und FAT32. NTFS wird darum auch wiederherstellbares Dateisystem genannt.
Wiederherstellbares Dateisystem
Grundlage der Wiederherstellbarkeit ist die Verwendung von Transaktionen Standardmethoden zur Transaktionsprotokollierung, wie sie auch in Datenbanksystemen Anwendung finden. Jeder Datenträgervorgang wird dabei als Transaktion betrachtet. Vor einer Aktion, das kann beispielsweise das Lesen einer Datei oder das Schreiben einer bestimmten Anzahl von Datenblöcken sein, wird ein Starteintrag im Transaktionsprotokoll eingetragen. Dann wird die Transaktion durchgeführt und der erfolgreiche Abschluss wiederum protokolliert. Wird die Transaktion aufgrund eines Hardware-Fehlers oder Programmabsturzes nicht bis zu Ende geführt, wird mit Hilfe des Transaktionsprotokolls und spezieller Prüfpunkte die Datenträgerkonsistenz wiederhergestellt. Die transaktionsorientierte Arbeitsweise unter NTFS entspricht im Journaled File Prinzip der von Journaled File Systems, wie sie auch in verschiede- System nen UNIX-Versionen zum Einsatz kommen. Die Transaktionsprotokollierung ist übrigens nicht zu verwechseln mit dem Änderungsjournal (siehe Seite 173), welches ein neues Merkmal des NTFSv5 darstellt. •
Cluster-Remapping NTFS ist in der Lage, die Auswirkungen von auftretenden Sektorfehlern bei Datenträgern zu minimieren. Wird während des Betriebes ein defekter Sektor entdeckt, wird der entsprechende Cluster als defekt in der Datei $BADCLUS markiert und die zu schreibenden Daten werden auf einen unbeeinträchtigten umgeleitet. Tritt ein Sektorfehler bei einem Lesevorgang auf, können allerdings die betreffenden Daten nicht wiederhergestellt werden und werden, da sie nicht mehr konsistent sein können, verworfen.
Cluster-Remapping
140
5 Dateisysteme Für FAT und FAT32 werden defekte Sektoren nur beim Neuformatieren eines Datenträgers erkannt und berücksichtigt. Treten Sektorfehler hier während des Betriebes auf, können auch Schreiboperationen beeinträchtigt werden beziehungsweise die zu schreibenden Daten verloren gehen.
Defekte Sektoren bei FAT
BootsektorSicherung
•
Bootsektor-Sicherung Für den Bootsektor wird im Gegensatz zu FAT und FAT32 am Ende des Datenträgers eine Sicherungskopie angelegt.
5.2.5 Zugriffsrechte für Dateien und Ordner FAT und FAT32: lediglich Attribute
Für die Dateisysteme FAT und FAT32 lassen sich für Dateien und Ordner lediglich bestimmte Attribute setzen: Schreibgeschützt, Versteckt, Archiv und System. Diese Attribute lassen sich durch alle Benutzer setzen und löschen und stellen damit keinen wirksamen Schutz dar. Zugriffsrechte auf Benutzerebene werden von diesen Dateisystemen nicht unterstützt. Lediglich für die Freigaben in einem WindowsNetzwerk lassen sich verbindliche Attribute festlegen, die dann nicht mehr durch jeden Benutzer über das Netzwerk geändert werden können.
NTFS: Benutzerrechte
Unter NTFS lassen sich Dateiberechtigungen für Dateien und Ordner festlegen, die den Zugriff genau für die angelegten Benutzer und Gruppen regeln. Sie können festlegen, wer überhaupt Zugriff erhält und wenn, welche Aktionen im Detail zugelassen sind. Diese Dateiberechtigungen gelten sowohl lokal als auch für Benutzer, die über das Netzwerk angemeldet sind.
Vererbbare Berechtigungen
Neu unter NTFSv5 sind vererbbare Berechtigungen, die standardmäßig aktiviert sind. Durch die Festlegung der Berechtigungen für übergeordnete Ordner können Sie Berechtigungen für Dateien und Ordner, die in diesem enthalten sind, leicht ändern. Dies führt zu einer erheblichen Zeiteinsparung und zu drastisch verminderten Datenträgerzugriffen bei der Änderung der Berechtigungen für eine hohe Zahl von Dateien und Ordnern.
5.3 Fragmentierung Auswirkung auf Performance
Neben der Effizienz der Speicherung von Daten spielt auch die Fragmentierung hinsichtlich der erreichbaren Performance eine entscheidende Rolle. Bei der Arbeit mit einem Computersystem kommt es mit der Zeit zu einer fortschreitenden Fragmentierung der Dateien und Datenträger. Das ist übrigens unabhängig vom verwendeten Dateisys-
5.3 Fragmentierung
141
tem. Sowohl unter FAT, FAT32 als auch NTFS ist diese performancehemmende Eigenschaft zu verzeichnen. In diesem Abschnitt wird gezeigt, wie es zur Fragmentierung kommt und was Sie dagegen unternehmen können.
5.3.1 Was ist Fragmentierung? Unter Fragmentierung wird die physische Speicherung von Dateien in mehreren Teilstücken (Fragmenten) auf dem Datenträger verstanden. Normalerweise wird eine Datei als zusammenhängende Clusterkette auf dem Datenträger gespeichert. So liegen die Daten übrigens vor, wenn Sie Dateien auf einem leeren Datenträger speichern. Voraussetzung ist allerdings, dass die Dateien hintereinander geschrieben werden und zwischendurch nichts gelöscht wird. In der folgenden Abbildung wird der Vorgang der Fragmentierung deutlich. Abbildung 5.1: Schematische Darstellung der Fragmentierung
Durch ständiges Löschen von Dateien entstehen immer mehr nicht Datenträgerzusammenhängende freie Bereiche auf dem Datenträger. Man spricht Fragmentierung dann von der Fragmentierung des Datenträgers. Dateien werden übrigens nicht nur durch Benutzereingriff gelöscht. Auch viele Anwen-
142
5 Dateisysteme dungsprogramme gehen so vor, dass sie geöffnete Dateien zunächst temporär zwischenspeichern. Beim Sichern wird die Originaldatei dann durch eine neue Kopie ersetzt und die temporären Arbeitsdateien werden gelöscht.
Datei-Fragmentierung
Fragmentierte Dateien entstehen nur bei Schreiboperationen auf einen Datenträger. Steht für das Speichern einer Datei nicht genügend zusammenhängender freier Speicherplatz zur Verfügung, wird der nächste freie Bereich mit benutzt. Eine größerer Datei kann so leicht in vielen Fragmenten über den gesamten Datenträger verteilt liegen.
Performanceverlust
Festplatten erreichen ihren maximalen Datendurchsatz beim Lesen und Schreiben, wenn die betreffenden Daten hintereinander gelesen oder geschrieben werden können. Dann können auch intelligente Cache- und Speichermechanismen der Hardware voll zum Zuge kommen, wie beispielsweise Block-Mode oder Vorausschauendes Lesen. Wird eine fragmentierte Datei gelesen, ist mehr als eine Kopfpositionierung notwendig. Anstelle eines zusammenhängenden Datenstroms, der mit maximaler Geschwindigkeit von der Hardware geliefert werden kann, zerfällt der Transfer in mehrere komplette Teilübertragungen. So wird auch die schnellste Festplatte ausgebremst.
5.3.2 Clustergröße und Fragmentierung Kleine Clustergrößen = mehr Fragmente
Die Geschwindigkeit, mit der ein Datenträger fragmentiert wird, ist neben der Häufigkeit der Veränderung der Dateien auf ihm auch direkt abhängig von der Größe der Cluster. Kleinere Cluster erlauben zwar eine effizientere Ausnutzung des Speicherplatzes gerade für kleinere Dateien, führen aber bei größeren Dateien zu einer Zerlegung derselben in viele Einzelteile. Das begünstigt natürlich die Bildung von Fragmenten, wenn diese Dateien wieder gelöscht beziehungsweise verändert werden.
FAT im Vorteil
Die Clustergröße ist direkt vom verwendeten Dateisystem abhängig. Das Dateisystem FAT ist so auf größeren Datenträgern im Vorteil (siehe auch Tabelle 5.3 auf Seite 136), allerdings zu Lasten der Effizienz der Nutzung des Speicherplatzes. FAT32 und NTFS, welche bei größeren Datenträgern über 2 GB ohnehin nur in Frage kommen, neigen hier durch die Verwendung kleiner Cluster deutlich eher zur Fragmentierung.
5.3.3 Besonderheiten bei NTFS Für NTFS-Datenträger gibt es hinsichtlich der Fragmentierung einige Besonderheiten zu beachten:
5.3 Fragmentierung
143
NTFS-Datenträger fragmentieren auch Mit Einführung von Windows NT und dem Dateisystem NTFS kam NTFS fragmentiert die Mär in Umlauf, dass NTFS nicht fragmentieren würde. Das ist de- auch! finitiv falsch. Richtig ist, dass bei Vorliegen einer geringen Anzahl fragmentierter Dateien aufgrund der effizienten Speicherung mit Hilfe von Datenläufen und B-Baumstrukturen (siehe auch Abschnitt 5.4.2 Der interne Aufbau von NTFS ab Seite 154) weniger Performanceverluste zu verzeichnen sind als unter FAT oder FAT32.
Fragmentierung der MFT Die Master File Table (MFT) ist die wichtigste Datei im NTFSDateisystem (siehe Abschnitt 5.4.2 Der interne Aufbau von NTFS ab Seite 154). Für die MFT wird ein Bereich von ca. 12% auf dem Datenträger reserviert. Füllt sich der Datenträger, wird auch die MFT zunehmend fragmentiert. Das hat deutliche Auswirkungen auf die Performance. Wird die MFT zu stark fragmentiert, kann es sogar dazu kommen, dass Windows 2000 nicht mehr starten kann (siehe auch unter support.micosoft.com die FAQ Q228734). Für die Vermeidung der Fragmentierung der MFT bleibt Ihnen nichts Defragmentierung weiter übrig, als immer genügend Speicherplatz auf dem NTFS- der MFT Datenträger frei zu lassen (ca. 20%) oder eine DefragmentierungsSoftware einzusetzen, die auch die Defragmentierung der MFT beherrscht (siehe auch Abschnitt 5.3.6 Defragmentierungsprogramme ab Seite 148).
NTFS-Komprimierung Die unter NTFS verfügbare Komprimierung hat neben der geringen Effizienz (siehe auch Abschnitt 5.4.6 Komprimierung ab Seite 168) auch den Nebeneffekt, dass dabei zu einer erheblichen Fragmentierung von Dateien kommt.
144
5 Dateisysteme
Abbildung 5.2: Auswirkungen der Komprimierung
Starke Fragmentierung durch blockweises Arbeiten
Nach der Komprimierung kommt es zu einer starken Fragmentierung der Dateien und des Datenträgers. Der Grund dafür liegt in der Arbeitsweise der NTFS-Komprimierung. Es werden immer nur einzelne physische Blöcke auf dem Datenträger für sich genommen komprimiert. Der entstehende freie Platz bleibt dann leer und bildet ein Datenträgerfragment. Da die Komprimierung nicht Datei-orientiert arbeitet, werden auch nicht fragmentierte Dateien auseinandergerissen und liegen danach in einzelnen Fragmenten gespeichert vor.
Ergebnis: Schlechte Performance
Werden durch die Komprimierung auch noch die falschen Dateitypen behandelt, für die keine oder nur eine geringe Kompressionsrate erreicht werden kann, bleibt als einzige Auswirkung ein in der Performance deutlich eingebrochener Datenträger.
5.3.4 Defragmentierungsverfahren und -strategien Für die Wiederherstellung und Sicherung einer hohen Performance Ihrer Datenträger gibt es eine Reihe von Dienstprogrammen. Diese unterscheiden sich hinsichtlich ihrer Strategien und Verfahren sowie der letztlich erreichbaren Optimierung.
Strategien Bei der Defragmentierung kommen unterschiedliche Strategien zum Einsatz, die neben der Wiederherstellung nicht fragmentiert gespeicherter Dateien auch weitere Optimierungen umfassen können. Die folgenden Arbeitsmodi von Defragmentierungsprogrammen können unterschieden werden: Schnell...
•
Zeitoptimierte Zusammenführung fragmentierter Dateien Die Software versucht, innerhalb kürzester Zeit die Fragmente der Dateien zusammenzuführen. Dabei verbleibt immer noch eine ge-
5.3 Fragmentierung
145
wisse Fragmentierung des Datenträgers, was wiederum zu einer baldigen neuen Fragmentierung der Dateien führt. •
Reorganisation der Datenspeicherung
...oder gründlich ?
Für die Herstellung nicht fragmentierter Dateien und die Vermeidung einer baldigen neuen Fragmentierung werden die Datenstrukturen auf dem Datenträger umstrukturiert. Meist wird so vorgegangen, dass alle nicht veränderbaren Dateien wie Anwendungsprogramme, Hilfedateien etc. an den Anfang des Datenträgers verlegt werden. Alle veränderbaren Dateien wie Dokumente, Konfigurationsdateien usw. gelangen an das physische Ende. So kann später eine neue Defragmentierung effektiver arbeiten, da nur noch ein begrenzter Teil des Datenträgers bearbeitet werden muss.
Verfahren Unter MS-DOS ist die Defragmentierung noch verhältnismäßig einfach zu bewerkstelligen. Während die Defragmentierungssoftware arbeitet, kann der PC nicht verwendet werden. Die Software hat vollen Zugriff auf den gesamten Datenträger und kann auch Dateien des Betriebssystems bearbeiten beziehungsweise verschieben. Bei einem modernen Multitasking-Betriebssystem wie Windows 2000 sieht das vollkommen anders aus. Die Defragmentierungssoftware läuft parallel zu anderen Anwendungen und Prozessen. Darüber hinaus gibt es geschützte Dateien, auf die nur das Betriebssystem selbst Zugriff hat. Damit kommen zwei grundsätzlich verschiedene Verfahren in Frage: •
Online-Defragmentierung Der Datenträger bleibt während der Defragmentierung im Zugriff durch andere Anwendungen und das Betriebssystem. Dadurch können sich permanent wieder Dateien ändern, wodurch die Effektivität der Defragmentierung leidet. Dateien, die sich im Zugriff durch andere Anwendungen oder unter Kontrolle des Betriebssystems befinden, sind für den Zugriff gesperrt und können nicht defragmentiert beziehungsweise verschoben werden. Durch die nichtexklusive Verfügung des Datenträgers können immer nur kleinere Datenmengen bewegt werden. Das führt dazu, dass freie Bereiche auf der Festplatte schlechter zusammengefasst werden können. Eine Online-Defragmentierung sollten Sie am besten dann durchführen, wenn keine weiteren Anwendungen oder Benutzer über das Netzwerk auf den Datenträger zugreifen. Damit bieten sich die Nachtstunden oder das Wochenende an, auf die moderne Defrag-
Online
146
5 Dateisysteme mentierungsprogramme zum automatischen Start eingestellt werden können.
Offline
•
Offline-Defragmentierung Bei der Offline-Defragmentierung hat die Defragmentierungssoftware die volle Kontrolle über den Datenträger. Unter Windows 2000 muss diese Software dann vor dem Betriebssystem zum Zuge kommen, beispielsweise während des Bootprozesses. So kann dann neben der Defragmentierung auch eine komplette Optimierung des Datenträgers durch Reorganisation der Datenstrukturen (siehe oben) erfolgen. Nachteil ist die Nichtverfügbarkeit des Systems während des Programmablaufs. Für Server sollte die OfflineDefragmentierung einmal gründlich bei Inbetriebnahme erfolgen (inklusive kompletter Reorganisation) und dann durch regelmäßige Online-Defragmentierung ergänzt werden.
5.3.5 Tipps zur Sicherung der Performance Performanceeinbußen durch Fragmentierung können sich deutlich in einem längeren Bootprozess des Betriebssystems und lästigen Wartezeiten beim Start von Programmen oder beim Laden von Dokumenten bemerkbar machen. Die folgenden Tipps sollen Ihnen helfen, die Performance Ihrer Datenträger dauerhaft zu sichern:
Auslagerungsdateigröße festlegen Hauptspeicher + 11 MB
Die Auslagerungsdatei wird standardmäßig durch das System als eine in der Größe variable Datei PAGEFILE.SYS geführt. Legen Sie die Größe der Datei über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | SYSTEM fest. Als ein guter Richtwert für die Größe der Datei gilt Hauptspeichergröße + 11 MB.
Auslagerungsdatei an Festplattenanfang
Sie erreichen übrigens eine maximale Geschwindigkeit beim Zugriff auf die Auslagerungsdatei, wenn sich diese am physischen Anfang einer Festplatte befindet. Für die Planung einer Installation von Windows 2000 auf einem System mit einer Festplatte kann es sinnvoll sein, eine separate Partition für die Auslagerungsdatei anzulegen, die sich am Anfang der Festplatte befindet. Für die Sicherung einer späteren Erweiterbarkeit der Auslagerungsdatei sollte eine Partitionsgröße von ca. 512 MB für die meisten Fälle ausreichend sein. Haben Sie mehr als eine Festplatte im Computer installiert, können Sie die Auslagerungsdatei auch auf einer anderen als der Bootfestplatte anlegen. Zu empfehlen ist dabei natürlich die Auswahl der schnellsten Festplatte im System.
5.3 Fragmentierung
147
Haben Sie einen Stripesetdatenträger im Einsatz (siehe auch Abschnitt Auslagerungsdatei 4.4.6 Stripesetdatenträger ab Seite 116), können Sie die Auslagerungsda- auf Stripesetdatentei auch auf diesem erstellen. Die hohe Performance dieses dynami- träger schen Datenträgers ist dann auch für die Auslagerungsdatei nutzbar.
Defragmentierung und Optimierung nach der Installation Führen Sie eine grundlegende Optimierung des Datenträgers nach der Installation des Betriebssystems und aller Anwendungsprogramme durch. Dabei sollten mit Hilfe einer Offline- Defragmentierungssoftware statische Dateien wie Anwendungsprogramme, DLLs etc. an den physischen Anfang des Datenträgers verschoben werden.
Regelmäßige Online-Defragmentierung Zur Sicherung der Performance sollten Sie regelmäßig OnlineDefragmentierungen der Datenträger durchführen. Effektiv ist der Einsatz der entsprechenden Defragmentierungssoftware allerdings nur dann, wenn dabei keine Anwendungsdateien offen sind. Als gute Zeitpunkte für eine Defragmentierung können die Mittagspause oder die Nachstunden genutzt werden.
Genug Speicherkapazität freilassen Betreiben Sie insbesondere NTFS-Datenträger nicht an ihrer maximalen Kapazitätsgrenze. Als guter Wert kann 20% der Gesamtkapazität gelten, die frei bleiben sollte.
Protokollierung des letzten Zugriffs deaktivieren Das NTFS-Dateisystem (siehe auch Abschnitt 5.4.2 Der interne Aufbau Alles wird von NTFS ab Seite 154) protokolliert für jede Datei neben dem Erstel- protokolliert... lungs- und Änderungsdatum auch den Zeitpunkt des letzten Zugriffs. Selbst wenn eine Datei nur gelesen wird und unverändert bleibt, wird dies in der MFT verzeichnet. Da NTFS transaktionsorientiert arbeitet, wird vor das Schreiben der Information in einen neuen MFT-Eintrag vorgenommen. Nach erfolgreicher Beendigung des Vorgangs wird der alte MFT-Eintrag gelöscht. Zusätzlich erfolgt ein Eintrag im Änderungsjournal. Diese Vorgänge kosten natürlich Performance, auch wenn dies bei ...und kostet damit modernen PCs kaum ins Gewicht fällt. Zusätzlich wird allerdings die Performance! MFT dadurch wieder eher fragmentiert, insbesondere dann, wenn der Datenträger stark belegt ist.
148
5 Dateisysteme Sie können diese Funktion des NTFS-Dateisystems deaktivieren, indem Sie in der Registrierung den folgenden Eintrag manipulieren: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsDisableLastAccessUpdate=1 Ist dieser Wert in der Registrierung Ihres Systems nicht vorhanden, legen Sie ihn einfach neu an. Als Datentyp wird REG_DWORD erwartet. Wenn Sie die Protokollierung des letzten Zugriffs für NTFS deaktivieren, vermindern Sie die unter Windows 2000 mögliche Systemsicherheit Ihres Computers. Unzulässige Zugriffe auf Ihre Dateien können so beispielsweise unentdeckt bleiben.
5.3.6 Defragmentierungsprogramme Windows 2000 verfügt im Gegensatz zum Vorgänger NT über eine integrierte Defragmentierungs-Software der Firma Executive Software. Daneben gibt es aber auch eine Reihe von Programmen anderer Anbieter. Eines der bekanntesten Programme ist dabei Norton Speedisk (www.symantec.de). Erst seit 1998 auf dem Markt und trotzdem schon sehr erfolgreich ist auch die umfassende Defragmentierungslösung der Berliner Firma O&O Software GmbH (www.oo-software.de). Für das Durchführen des Defragmentierungsprozesses benötigen alle Lösungen genügend freien Speicherplatz auf dem Datenträger. Als Richtwert gilt hier ca. 15% von der Gesamtkapazität. Der konkret benötigte freie Speicherplatz hängt von der jeweiligen Defragmentierungssoftware ab. Steht nicht genügend Platz zur Verfügung, bricht das Programm entweder mit einer Fehlermeldung ab oder kann kein optimales Ergebnis erreichen.
Integrierte Lösung Das in Windows 2000 integrierte Programm von Executive Software (www.diskeeper.com) ist eine im Funktionsumfang beschränkte Version des Produkts Diskeeper. Dieses können Sie erwerben, um beispielsweise auch über das Netzwerk Datenträger auf anderen Windows 2000Systemen defragmentieren zu können.
5.3 Fragmentierung
149 Abbildung 5.3: Integrierte Defragmentierungslösung
Intern arbeitet dieser Online-Defragmentierer nach der Sliding Win- Hohe Geschwindow-Methode. Dabei wird immer nur ein kleiner Teil der Festplatte digkeit behandelt. Vorteil ist die damit erreichbare hohe Geschwindigkeit beim Defragmentieren. Eine weitergehende Optimierung erfolgt allerdings nicht. Möchten Sie eine umfassende Optimierung des Datenträgers vornehmen lassen, benötigen Sie die Vollversion Diskeeper 5.0 oder eine andere Defragmentierungssoftware. ®
O&O Defrag Eine der möglichen Alternativen ist die Softwarelösung der Berliner Firma O&O Software GmbH (www.oo-software.de). Als kostenlose Alternative können Sie hier übrigens ebenfalls eine abgespeckte Variante der Vollversion von O&O® Defrag herunterladen. Vorteil gegenüber der mitgelieferten Lösung von Executive Software ist die schon sehr gute Optimierung auch mit der frei verfügbaren Version O&O® Defrag Free. Der Vorgang nimmt zwar mehr Zeit in Anspruch, es werden aber die fragmentierten Dateien und der Datenträger ganzheitlich betrachtet. Volle Kontrolle über den Defragmentierungsprozess erlangen Sie allerdings auch hier erst mit der Vollversion.
150
5 Dateisysteme
Abbildung 5.4: O&O® Defrag
Offline-Defragmentierung verfügbar
Eine Besonderheit der Lösung ist die Möglichkeit, damit auch eine Offline-Defragmentierung durchführen zu können. Diese wird dann beim Systemstart durchgeführt. Damit hat die Software volle Kontrolle über den Datenträger und kann weitreichende Optimierungen und Umschichtungen der Dateien vornehmen. Neben anderen Tools von O&O-Software finden Sie das frei verfügbare Programm O&O® Defrag Free sowie eine 30-Tage Testversion von O&O® Defrag V.2 auf der beiliegenden CD. ®
O&O Defrag/MFT Eine spezielles Defragmentierungsprogramm für die MFT ist liefert O&O Software mit O&O® Defrag/MFT.
5.3 Fragmentierung
151 Abbildung 5.5: O&O® Defrag/MFT
Das Programm liegt zurzeit (Mitte 2000) als funktionsfähige Beta vor und ist frei verfügbar. Wird die MFT beschädigt, beispielsweise beim Versuch der Defragmentierung, kann das zu umfassenden Datenverlusten auf dem betreffenden Datenträger führen. Beachten Sie deshalb insbesondere bei Defragmentierungssoftware für die MFT die Hinweise des Herstellers. Die derzeit aktuelle Beta-Version von O&O® Defrag/MFT finden Sie auf der beiliegenden CD.
152
5 Dateisysteme
5.4 NTFS im Detail Im folgenden Abschnitt wird das NTFS-Dateisystem näher betrachtet sowie seine internen Zusammenhänge, soweit für den Administrator oder professionellen Benutzer für das Verständnis der Vorteile des Dateisystems nützlich, dargestellt.
5.4.1 Dateinamen Das NTFS-Dateisystem ermöglicht die Nutzung langer Dateinamen bis zu einer Länge von 255 Zeichen. Durch die Verwendung des 16 Bit-Unicode-Zeichensatzes können Sie auch bedenkenlos Umlaute wie ä, ö, ü, ß usw. verwenden. Nicht zulässig sind in Dateinamen die folgenden Zeichen: \/:*?"| Leerzeichen sind ebenfalls erlaubt. Wollen Sie über die Eingabeaufforderung auf eine Datei zugreifen, deren Name Leerzeichen enthält, müssen Sie den Namen in Anführungszeichen setzen: type "Das ist eine Beispiel-Textdatei.txt" Groß- und Kleinschreibung
Aufgrund der in NTFS implementierten POSIX-Kompatibilität wird grundsätzlich auch zwischen Groß- und Kleinschreibung unterschieden. Für das Erkennen der Dateien spielt dies aber keine Rolle. Die normalen Windows 32 Bit-Applikationen können die Unterschiede nicht wahrnehmen.
Mitführung kurzer 8.3-Dateinamen
Für die Anzeige der Dateinamen für ältere Anwendungen erstellt Windows 2000 automatisch MS-DOS kompatible Namen im 8.3Format. Diese kurzen Dateinamen werden standardmäßig immer erzeugt und mit den langen Namen gemeinsam für eine Datei abgespeichert. Bei der Bearbeitung von Dateien durch ältere, nur mit Namen im 8.3Format kompatible Software kann es vorkommen, dass die langen Dateinamen zerstört werden. Dies passiert hauptsächlich dann, wenn zum Speichern der Datei eine temporäre neue Datei angelegt wird, die das Anwendungsprogramm dann mit dem alten, kurzen Dateinamen umbenennt.
8.3-Schema
Bei der hauptsächlichen Benutzung von Dateien durch ältere Software, die nur mit den 8.3-Dateinamen umgehen können, empfiehlt sich die konsequente Bezeichnung dieser Dateien nach dem 8.3Schema:
5.4 NTFS im Detail
153
•
Es sind nur die Zeichen des ASCII-Zeichensatzes erlaubt. Die erweiterten Zeichen des Unicode-Zeichensatzes sind nicht zulässig.
•
Leerzeichen sowie Sonderzeichen (\ / : * ? " < > |) sind nicht zulässig.
•
Es ist nur die Verwendung eines Punktes mit einer Dateiendung von bis zu drei Buchstaben zugelassen, die den Dateityp näher spezifiziert (.TXT; .DOC usw.).
Bei der Erzeugung von kurzen Dateinamen in der 8.3-Notation aus Erzeugung von kurzen Dateinamen langen Namen geht Windows 2000 folgendermaßen vor: 1. Es werden alle Leerzeichen und Unicode-Sonderzeichen entfernt. 2. Bis auf den letzten Punkt im Dateinamen entfernt Windows 2000 alle anderen Punkte, falls vorhanden. 3. Ist der verbleibende Name vor einem eventuell vorhandenen Punkt länger als 6 Zeichen, kürzt Windows 2000 diesen Teil auf 6 Zeichen und hängt eine Tilde ~ mit einer Ziffer, beginnend bei 1, an. Danach kommt, falls vorhanden, der Punkt mit einer Dateiendung bis zu drei Zeichen. Alle innerhalb der verbleibenden ersten 6 Buchstaben eindeutigen Dateinamen enden also immer mit einer ~1. Auf der Eingabeaufforderung können Sie mit dem Befehl DIR / X Dateien mit ihren langen und kurzen Dateinamen gemeinsam anzeigen lassen.
Langer Dateiname
Kurzer 8.3-Dateiname
Das ist eine Datei.txt
DASIST~1.TXT
Eine andere Datei.txt
EINEAN~1.TXT
Noch eine Datei.txt
NOCHEI~1.TXT
Tabelle 5.4: Lange Dateinamen mit den erzeugten kurzen Namen
Befinden sich in einem Verzeichnis mehrere Dateien, deren erste 6 Mehrere Dateien Zeichen des erzeugten Kurznamens gleich lauten, wird die Ziffer nach mit gleichlauder Tilde hochgezählt. Dies geschieht aber nur mit den ersten vier Da- tenden Namen teien. Für die fünfte Datei wird der Dateiname auf zwei Buchstaben gekürzt und aus den anderen vier Zeichen nach mathematischen Regeln ein 4-Zeichencode ermittelt, der wieder mit einer Tilde und einer Ziffer beendet wird.
Langer Dateiname
Kurzer 8.3-Dateiname
Datei von Uwe.txt
DATEIV~1.TXT
Datei von Jörg.txt
DATEIV~2.TXT
Datei von Yvonne.txt
DATEIV~3.TXT
Datei von Haide.txt
DATEIV~4.TXT
Tabelle 5.5: Ergebnis bei gleichlautenden Dateinamen
154
Keine Eindeutigkeit!
5 Dateisysteme
Langer Dateiname
Kurzer 8.3-Dateiname
Datei von Janine.txt
DAEE4C~1.TXT
Datei von Clemens.txt
DA1CBE~1.TXT
Entscheidend für die Bildung des kurzen Dateinamens mit Erzeugung eines 4-Zeichencodes beziehungsweise der Auswahl der Ziffer nach der Tilde ist die Reihenfolge der Erzeugung oder Benennung der Dateien. Somit können Sie nicht zwingend davon ausgehen, dass ein kurzer Dateiname aus einem bestimmten langen Namen immer gleich lauten muss. Dies ist nur der Fall, wenn wenigstens vier Dateien im betreffenden Verzeichnis liegen.
Wollen Sie erweiterte Unicode-Zeichen in kurzen Dateinamen zulasErweiterte Unicode-Zeichen in sen, können Sie dies mit einer Änderung des folgenden Schlüssels in 8.3-Namen der Registrierung erzwingen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsAllowExtendedCharacterIn8dot3Name=1 Ist der Schlüssel NtfsAllowExtendedCharacterIn8dot3Name noch nicht in der Registrierung eingetragen, legen Sie ihn einfach neu an. Erzeugung kurzer Dateinamen verhindern
Möchten Sie die Erzeugung kurzer Dateinamen ganz unterdrücken, können Sie dies mit der Änderung des folgenden Eintrags in der Registrierung einstellen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsDisable8dot3NameCreation=1 Bedenken Sie dabei, dass dann durch alte Software, die diese Namen benötigt, unter Umständen nicht mehr ordnungsgemäß ausgeführt werden kann.
5.4.2 Der interne Aufbau von NTFS Der folgende Abschnitt beschäftigt sich mit dem internen Aufbau von NTFS, soweit dies für die Arbeit eines Administrators oder professionellen Anwenders von Belang sein könnte.
5.4 NTFS im Detail
155
Layout eines NTFS-Datenträgers Die Grundstruktur eines NTFS-Datenträgers wird in der folgenden Abbildung schematisch dargestellt. Abbildung 5.6: Layout eines NTFSDatenträgers
MFT-Datensätze $Mft $MftMirr $LogFile $Volume $AttrDef $ (Stammverzeichnis) $Bitmap $Boot $BadClus $Secure $Upcase $Extended
Bis auf den Bootsektor selbst können alle anderen Organisationsdaten Bis auf Bootsektor des NTFS variabel auf dem Datenträger abgelegt sein. Die Master File ist alles variabel Table – MFT als wichtigste Organisationsstruktur des NTFS-Dateisystems befindet sich an einer Position, deren Adresse im NTFSBootsektor hinterlegt ist. Aufgrund dieser sehr variablen Struktur ist ein NTFS-Datenträger, anders als ein FAT-Datenträger, auch dann brauchbar, wenn am Beginn des physischen Mediums Sektoren fehlerhaft sind. Nur die Daten im Bootsektor selbst dürfen nicht beschädigt sein.
Der NTFS-Bootsektor
Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
Tabelle 5.6: Aufbau des NTFS-Bootsektors
156
5 Dateisysteme
Offset Beschreibung
Länge
10h
immer 0 gesetzt
3 Byte
13h
reserviert
2 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
immer 0 gesetzt
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung)
4 Byte
20h
reserviert
4 Byte
24h
reserviert
4 Byte
28h
Anzahl der Gesamtsektoren des Datenträgers
8 Byte
30h
Adresse (log. Clusternummer) der Datei $Mft
8 Byte
38h
Adresse (log. Clusternummer) für $MftMirr
8 Byte
40h
Anzahl der Cluster pro Mft-Datensatz
4 Byte
44h
Anzahl der Cluster pro Indexblock
4 Byte
48h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
4 Byte
50h
Prüfsumme
4 Byte
54h
Bootstrapcode
1FEh
Ende der Sektormarkierung 0x55AA
426 Byte 2 Byte
Der Bootstrapcode ist nicht nur auf die 426 Byte im Bootsektor beschränkt, sondern wird auch als Eintrag in der Master File Table (MFT) geführt.
Die Master File Table (MFT) Die logische Organisationsstruktur von NTFS ist sehr flexibel. Es gibt bis auf den Bootsektor keine festen Positionen für bestimmte systemspezifische Daten. Dadurch kann es nicht dazu kommen, dass ein Datenträger aufgrund eines physischen Fehlers an einer bestimmten Stelle unbrauchbar wird. Alle NTFSStrukturen sind Dateien
Alle Strukturbestandteile des NTFS-Dateisystems sind selbst originäre NTFS-Dateien, ohne natürlich durch den Benutzer direkt im Zugriff zu stehen. Wichtigste Organisationseinheit ist die sogenannte MFT – Master File Table. Diese stellt für jede Datei einen Datensatz bereit. Die
5.4 NTFS im Detail
157
ersten 16 Datensätze sind dabei für die Dateien reserviert, welche die Dateisystemstruktur abbilden. Diese Dateien werden auch unter dem Begriff Metadaten zusammengefasst. Der erste Datensatz, die Datei $Mft, beschreibt den Aufbau der MFT selbst. Der zweite MFT-Datensatz enthält eine Sicherung der MFT, allerdings nur mit den wichtigsten Einträgen. Diese Datei hat den Namen $MftMirr. Die Speicherorte dieser beiden Dateien sind im Bootsektor des NTFS-Datenträgers eingetragen, sodass im Falle einer Beschädigung der MFT auf die Sicherungskopie zugegriffen werden kann. Je nach Größe des Datenträgers können übrigens noch weitere Sicherungen der MFT existieren. Die folgende Tabelle enthält die Liste der Metadaten eines NTFSDatenträgers:
Datensatz Dateiname
Beschreibung
0
$Mft
Das ist der Basisdatensatz der Master File Table selbst.
1
$MftMirr
Verweis auf die Sicherungs-MFT
In der Datei $MftMirr werden die ersten vier Datensätze der MFT (0 bis 3) aus Sicherheitsgründen gespiegelt. 2
$LogFile
Transaktions-Protokolldatei
Enthält eine Liste der Transaktionsschritte für die Wiederherstellung eines NTFS-Datenträgers. 3
$Volume
Datenträgerinformationen
Weitergehende Informationen zum Datenträger wie Bezeichnung etc. 4
$AttrDef
Attributdefinitionen
Eine Beschreibungstabelle mit den für den NTFS-Datenträger gültigen Attributen. 5
$
Stammordner
Enthält den Stammordner des Datenträgers (Stamm-Index der Dateinamen) 6
$Bitmap
Volume- oder Clusterbitmap
Zeigt die Cluster-Belegung des Datenträgers an.
Tabelle 5.7: Metadaten der MFT
158
5 Dateisysteme
Datensatz Dateiname 7
$Boot
Beschreibung Bootsektor
Enthält den Bootsektor des NTFSDatenträgers. 8
$BadClus
Fehlerhafte Cluster
Eine Tabelle mit dem Verzeichnis der fehlerhaften Cluster dieses Datenträgers. 9
$Secure
Sicherheitsdatei Enthält die Datenbank mit den eindeutigen Sicherheitsbeschreibungen für alle Dateien und Ordner des Datenträgers.
10
$Upcase
Umwandlung Klein-/Großschreibung
In dieser Tabelle stehen die Vorschriften zur Umwandlung der Kleinbuchstaben in langen Dateinamen in Großbuchstaben der 8.3-Notation. 11
$Extended
NTFS-Erweiterungen
Datei mit dem Verzeichnis der NTFSErweiterungen wie beispielsweise den Datenträgerkontingenten oder Analysepunkten (für Bereitstellungen). 12-15
reserviert
Raum für zukünftige Erweiterungen
ab 16
Beginn der Einträge für Dateien und Ordner
Der Beginn der MFT wird als Verweis im Bootsektor der Festplatte geführt und ist so nicht auf einen bestimmten Sektor festgelegt. Für den Bootsektor selbst gibt es eine Sicherungskopie am Ende des NTFSDatenträgers. MFT-Datensätze für Jeder MFT-Datensatz besitzt eine Größe von 2 KB. Für jede Datei und Dateien und Ordner jeden Ordner auf dem Datenträger wird so ein MFT-Datensatz einge-
richtet. Kleine Dateien bis ca. 1500 Bytes passen dabei direkt in einen einzelnen Datensatz. Das spart Platz und sorgt für einen sehr schnellen Zugriff, da lediglich der erste Datensatz verfügbar sein muss. Man spricht hier auch von der residenten Speicherung der Daten. Die folgende Abbildung zeigt den schematischen Aufbau eines MFT-Datensatzes für eine solche kleine Datei.
5.4 NTFS im Detail
159 Abbildung 5.7: MFT-Datensatz einer kleinen Datei
Für eine Datei, die größer ist als ein Datensatz aufnehmen kann, werden weitere Datensätze zugeordnet. Der erste Datensatz, Basisdatensatz Nichtresidente genannt, speichert die Zeiger auf die Speicherorte der weiteren, zuge- Speicherung ordneten Datensätze. Diese Daten werden auch als nicht resident gespeichert bezeichnet. Abbildung 5.8: Nichtresidente Speicherung einer Datei
Für große oder stark fragmentierte Dateien, für welche die Größe ei- Externe Attribute nes Basisdatensatzes zur Verwaltung der Zeiger nicht ausreicht, werden ein oder mehrere MFT-Datensätze für die Speicherung der entsprechenden Zeiger angelegt. Diese werden als sogenannte externe Attribute im Basisdatensatz bezeichnet, der dann die Funktion eines Stammverzeichnisses im Datenbaum übernimmt. Aufgrund dieser Baumstruktur ist eine Suche nach Dateien auch bei Effektive Suche einer starken Fragmentierung des Datenträgers noch vergleichsweise auch bei Fragmenschnell. Nur der sequenzielle Zugriff auf die Datei kann durch die tierung Fragmentierung verlangsamt werden, da dann viele Kopfneupositionierungen der Festplatte notwendig werden.
160
5 Dateisysteme
Abbildung 5.9: Speicherung großer Dateien
Organisationsstruktur von Verzeichnissen Ordner sind grundsätzlich nichts anderes als spezielle Dateien. Kleine Ordner bis ca. 1.500 Byte Größe belegen ebenso wie kleine Dateien nur einen MFT-Datensatz. Im Datensatz wird der entsprechende (residente) Ordner-Index gehalten. Der Index-Aufbau ist übrigens unter NTFS sehr flexibel. Statt des Dateinamens kann grundsätzlich auch ein anderes Dateiattribut verwendet werden. Neben dem Indizierungsattribut, meist der Dateiname, wird im Index der Zeiger auf den entsprechenden Eintrag der Datei in der MFT gespeichert (auch Dateinummer genannt). Abbildung 5.10: MFT-Datensatz bei kleinen Verzeichnissen
5.4 NTFS im Detail
161
Für größere Verzeichnisse, die nicht komplett in einen MFT-Datensatz B-Bäume bei gröpassen, wird eine B-Baumstruktur aufgebaut. In einem Knoten des ßeren VerzeichnisBaumes, welcher wiederum ein MFT-Record ist, sind dann sowohl sen Indexeintragungen als auch die Zeiger auf weitere Knoten enthalten. Mit diesem Schema können beliebig große Verzeichnisstrukturen aufgebaut werden, bei denen Sie nur bedenken sollten, die logische Übersicht nicht zu verlieren. Eine Suche nach Dateien in dem Baum erfolgt dadurch aber in jedem Fall sehr schnell und effektiv.
NTFS-Dateiattribute Attribute sind auf einem NTFS-Datenträger zentrales Organisations- Alles ist Attribut mittel. Jede Datei oder Ordner wird hier als Gruppierung von Dateiattributen betrachtet. Attribute sind beispielsweise der Datei- oder Ordnername, die Sicherheitsinformationen über Besitzverhältnisse oder Zugriffsmöglichkeiten bis hin zu den Daten selbst. Attribute, die vollständig in den MFT-Datensatz einer Datei passen, Residente und werden auch residente Attribute genannt. Von einer nichtresidenten nichtresidente Speicherung von Attributen wird dann gesprochen, wenn diese in Attribute weiteren MFT-Datensätzen abgelegt werden. In der folgenden Tabelle sind die möglichen Typen von NTFSDateiattributen aufgeführt, die derzeit für NTFSv5 definiert sind. Aufgrund der flexiblen und erweiterbaren Struktur von NTFS können hier zukünftig weitere Attribute hinzu kommen.
NTFS-Attribut
Beschreibung
Standard-Informationen
Enthält Standardattribute wie Zeitstempel, Verbindungszähler (Anzahl der Referenzierungen auf die Datei) sowie Felder für die Sicherstellung von Transaktionen
Attributliste
Liste der Attributdatensätze, die extern, also nichtresident gespeichert sind.
Dateiname
Der Name der Datei oder des Ordners, es werden die normale Lang- als auch die Kurzform in der 8.3-Notation gespeichert.
Sicherheitsbeschreibung
Hier werden die Besitzrechte (Eigentümer der Datei) und die Zugriffsberechtigungen gespeichert.
Daten
Enthält die eigentlichen Daten. Jede Datei kann ein oder mehrere Datenattribute enthalten.
Tabelle 5.8: Dateiattribut-Typen in NTFSv5
162
5 Dateisysteme
NTFS-Attribut
Beschreibung
Objektkennung
Eine vom Dateinamen unabhängige Objektkennung, die beispielsweise vom Überwachungsdienst für verteilte Verknüpfungen benutzt wird.
Logged Tool Stream
Eine spezielle Form eines Datenstroms, der auch der Protokollierung in der NTFSProtokolldatei unterliegt und beispielsweise durch das verschlüsselnde Dateisystem (EFS) benutzt wird.
Analysepunkt
Kennzeichnet die Datei für spezielle Funktionen. Dies wird beispielsweise für Bereitstellungspunkte verwendet, die dadurch spezielle Verzeichnisse für die Einbindung kompletter Datenträgerstrukturen in das Verzeichnissystem darstellen.
Indexstamm,
Dient bei Ordnern der Implementierung des Verzeichnisindex oder anderer Indizes.
Indexzuweisung und Bitmap Datenträgerinformation
Wird nur von der NTFS-Systemdatei $Volume benutzt zur Speicherung von Informationen zum Datenträger.
Datenträgername
Wird nur von der NTFS-Systemdatei $Volume benutzt zur Speicherung der Datenträgerbezeichnung.
5.4.3 Analysepunkte und Bereitstellungen Analyseattribute und Dateisystemfilter
Analysepunkte im NTFS-Dateisystem sind Dateien beziehungsweise Ordner, die über spezielle Analyseattribute verfügen. Diese werden durch spezifische Dateisystemfilter ausgewertet, mit Hilfe derer diese Dateien und Ordner bestimmte besondere Funktionen erhalten können. Der Funktionsumfang des Dateisystems kann so erweitert werden. Dabei werden die Funktionen so implementiert, dass die Nutzung transparent für Benutzer und Anwendungen möglich ist. So können beispielsweise über Ordner ganze Datenträger in eine Verzeichnisstruktur eingebunden werden (über Bereitstellungspunkte), ohne dass Benutzer oder Anwendungen davon etwas merken. Zwei Anwendungen der Analysepunkte im NTFS-Dateisystem sind Bereitstellungspunkte und Remotespeicher.
5.4 NTFS im Detail
163
Bereitstellungspunkte Über einen Bereitstellungspunkt können Sie einen Ordner in einer Verzeichnisstruktur eines NTFS-Datenträgers direkt mit einem anderen Datenträger verbinden. Dabei gibt es keine logischen Begrenzungen. Mit dieser Funktion können Sie theoretisch beliebig viele Datenträger unter einem Verzeichnisbaum miteinander verknüpfen und so über einen einzigen Laufwerksbuchstaben ansprechen. Abbildung 5.11: Über Bereitstellungspunkte verbundene Datenträger
In der Abbildung 5.11 sehen Sie an einem Beispiel, wie drei Datenträ- Beliebige Stelle im ger zu einer Verzeichniseinheit miteinander verbunden worden sind. Verzeichnissystem Dabei spielt es keine Rolle, in welcher Verzeichnistiefe sich die Bereitstellungen befinden. Sie können einen Datenträger an einer beliebigen Stelle im Dateisystem wie einen normalen Ordner einbinden. Als Bereitstellungspunkt kann nur ein leerer NTFS-Ordner eingerich- Alles lässt sich tet werden. Der einzubindende Datenträger kann allerdings mit einem einbinden! beliebigen, von NTFS unterstützten Dateisystem formatiert sein. Somit können Sie auch folgende Datenträger einbinden: •
NTFS, FAT32 und FAT-formatierte Datenträger
•
beliebige Wechseldatenträger (allerdings keine Disketten)
•
CD- und DVD-Laufwerke
Datenträger oder Laufwerke lassen sich ausschließlich mit ihrem Einbindung nur mit Stammverzeichnis über einen Bereitstellungspunkt einbinden. Der Stammverzeichnis Ordner selbst, über den die Bereitstellung erfolgt, kann sich wie ein
164
5 Dateisysteme normaler Ordner an einer beliebigen Stelle in der Verzeichnisstruktur des NTFS-Datenträgers befinden.
Stabil gegenüber Geräteänderungen
Im Falle eines Zugriffs auf einen Bereitstellungspunkt, der auf einen entfernten Datenträger zeigt, erhalten Sie eine Fehlermeldung. Der Bereitstellungspunkt behält allerdings seine logische Zuordnung bei, bis Sie ihn löschen.
Bereitstellungen ändern
Ändern lassen sich Zuordnungen in den Bereitstellungspunkten nicht. Wollen Sie einem Ordner einen anderen Datenträger zuweisen, müssen Sie zuerst über die Datenträgerverwaltung den Laufwerkpfad für den zuerst eingebundenen Datenträger löschen. Zurück bleibt ein leerer Ordner auf dem NTFS-Datenträger, der um sein AnalysepunktAttribut beraubt jetzt wieder ein ganz normales leeres Verzeichnis ist. Dieses können Sie einem anderen Datenträger als neuen Laufwerkpfad zuordnen und damit eine neue Bereitstellung an gleichem Ort erzeugen.
Remotespeicher Eine andere Anwendung der Analysepunkte stellen Remotespeicher dar. Dateien und Ordner, die entsprechend gekennzeichnet sind, können vom Server ausgelagert werden. Zurück bleiben nur Verweise auf die ausgelagerten Daten, die normal durch Benutzer oder Anwendungen gesehen und aufgerufen werden können. Die RemotespeicherMechanismen von Windows 2000 greifen dann automatisch auf die ausgelagerten Dateien zurück. Mit diesem Feature können Server entscheidend entlastet werden. Lange nicht benötigte Daten werden automatisch auf preiswerte Massenspeichermedien wie Streamer ausgelagert und können bei Bedarf transparent für Benutzer und Anwendungen wieder reaktiviert werden. Bis auf die etwas verzögerte Antwortzeit merkt der Benutzer nichts von diesem Vorgang. Nur Windows 2000 Server
Die Nutzung der Remotespeicher, beispielsweise für den Aufbau eines hierarchischen Speichermanagements, ist nur mit einer Serverversion von Windows 2000 möglich und wird eingehender in Band II besprochen.
5.4.4 NTFS-Zugriffsrechte für Dateien und Ordner Unter NTFS können Sie die Zugriffsrechte für Benutzer und Gruppen auf Dateien gezielt festlegen. Die NTFS-Zugriffsberechtigungen gelten sowohl lokal als auch für über das Netzwerk angemeldete Benutzer.
5.4 NTFS im Detail
165
Das NTFS-Dateiattribut Sicherheitsbeschreibung beinhaltet die soge- Attribut Sichernannte Access Control List (ACL). In dieser sind die Access Control Ent- heitsbeschreibung ries (ACE) enthalten, die einzelne Berechtigungen explizit erteilen oder entziehen. Dabei kommt es auf die Reihenfolge der ACE an. So werden die ACE einer Datei ausgewertet: 1. Auswertung der negativen ACE, das heißt welche Berechtigungen sind entzogen? 2. Auswertung der positiven ACE: Welche Berechtigungen sind zugelassen? Das bedeutet, dass das Entziehen von Berechtigungen Vorrang vor Entziehen von dem Zulassen hat. Haben Sie beispielsweise den Vollzugriff auf eine Berechtigungen Datei für alle Benutzer entzogen, können keine anderen Berechtigun- hat Vorrang gen mehr greifen. Das wird auch so durch die neue Oberfläche zur Einstellung der Sicherheitsbeschreibung abgebildet. Ist Vollzugriff erlaubt oder verweigert, können logischerweise keine anderen Optionen mehr gesetzt werden. Abbildung 5.12: Erteilen von Zugriffsberechtigungen
Das erleichtert den Umgang mit der Sicherheitsbeschreibung erheblich, da das Setzen unlogischer Kombinationen verhindert wird (beispielsweise zugelassener Vollzugriff mit verweigertem Leserecht). Neu in NTFSv5 sind die vererbbaren übergeordneten Berechtigungen. Das Vererbbare Übernehmen der übergeordneten Berechtigungen für Dateien ist stan- Berechtigungen dardmäßig aktiv. Wenn Sie neue Dateien erstellen, werden die Berech-
166
5 Dateisysteme tigungen des übergeordneten Ordners übernommen. Das funktioniert auch, wenn Sie Dateien in einen Ordner kopieren. Verschieben Sie Dateien zwischen NTFS-Ordnern desselben Datenträgers, behalten diese ihre ursprünglich eingestellten Sicherheitseinstellungen bei. Beim Verschieben zwischen unterschiedlichen Datenträgern hingegen wird dieser Prozess wiederum wie das Kopieren behandelt und die Berechtigungen werden übernommen. Für das Kopieren von Dateien und Ordnern zwischen NTFSDatenträgern lokal oder über das Netzwerk empfiehlt sich die Nutzung des Tools ROBOCOPY.EXE, welches auf der Begleit-CD der Technischen Referenz zu Windows 2000 Professional zu finden ist. Wie Sie die Sicherheitseinstellungen für Ordner und Dateien auf NTFS-Datenträgern richtig einsetzen, ist Inhalt des Abschnitts 11.9 NTFS-Zugriffsrechte einstellen ab Seite 453.
5.4.5 Das verschlüsselnde Dateisystem (EFS) Für den zuverlässigen Schutz von Daten reicht allein ein Betriebssystem nicht aus. Nicht erst seit dem Auftauchen des DOS-Tools NTFSDOS.EXE ist klar, dass die Sicherheit von auf NTFS-Datenträgern abgelegten Dateien spätestens dann nicht mehr gewährleistet ist, wenn die physischen Datenträger in die Hände unbefugter Personen gelangen. Leider lassen sich Datenträger, gerade in kleineren Unternehmen oder Filialen, nicht immer hundertprozentig verschließen. Server stehen nicht selten wenig abgeschirmt in Großraumbüros oder in kleinen Kammern, die mit normalen Türen gesichert sind. Ganz zu schweigen von Notebooks, die sensible Daten beherbergen können.
Der grundsätzliche Aufbau Dateisystem-Filter
Mit dem verschlüsselnden Dateisystem (EFS – Encrypting File System) können Sie diese Datenschutzprobleme lösen. Das verschlüsselnde Dateisystem ist als eine Erweiterung des NTFS implementiert. Diese Erweiterungen, im übrigen gilt dies auch für die Komprimierungsfunktionalität, werden auch als Dateisystem-Filter bezeichnet.
5.4 NTFS im Detail
167 Abbildung 5.13: Das verschlüsselnde Dateisystem als Dateisystemfilter
Der Dateisystem-Filter des verschlüsselnden Dateisystems arbeitet Transparente völlig transparent. Die Verschlüsselungs- und Entschlüsselungsvor- Verschlüsselung gänge laufen unsichtbar im Hintergrund ab. Der Anwender wird nicht der Dateien mit störenden Unterbrechungen, wie etwa die Aufforderung zur Eingabe von Kennwörtern, konfrontiert. Die direkte Integration in den Windows Explorer gestattet eine einfache Nutzung der Datenverschlüsselungsfunktion: Das Aktivieren des entsprechenden Kontrollkästchens reicht aus, um einen Ordner oder eine einzelne Datei von Windows 2000 verschlüsseln zu lassen. Alternativ steht auf Betriebssystemebene der Befehl Cipher zur Verfügung. Eine verschlüsselte Datei kann nur noch durch den berechtigten Benutzer geöffnet, umbenannt, kopiert oder verschoben werden. Alle anderen Benutzer werden abgewiesen. Der berechtigte Benutzer erhält über das Dateisystem den vollen Zugriff auf die entschlüsselte Datei. Beim Abspeichern einer solchen Datei wird sie automatisch wieder verschlüsselt. Beim Kopieren einer verschlüsselten Datei über das Netzwerk wird sie entschlüsselt und im Zielordner wieder verschlüsselt. Sie ist damit auf dem Transportweg über das lokale Netzwerk oder die Datenfernverbindung prinzipiell lesbar. Für einen sicheren Netztransfer gibt es beispielsweise mit IPSec geeignete Schutzmechanismen (siehe Abschnitt 8.4.5 Sicherheitsprotokolle für das Netzwerk ab Seite 273). Verloren geht die Verschlüsselung einer Datei selbstverständlich auch, Keine Verschlüswenn Sie diese auf einen FAT- oder FAT32-Datenträger kopieren. Das selung: FAT und gilt prinzipiell auch für Datensicherungs-Programme. Nur spezielle FAT32 Windows 2000-Datensicherungssoftware ist in der Lage, die korrekten
168
5 Dateisysteme NTFS-Attribute einschließlich der Verschlüsselung mit abzuspeichern und wiederherzustellen. Wie das verschlüsselnde Dateisystem intern funktioniert, können Sie in Abschnitt 8.3 Absicherung lokaler Daten ab Seite 267 nachlesen.
Arbeiten mit verschlüsselten Offline-Daten Dateien auf externen Datenträgern
Kopieren Sie verschlüsselte Dateien auf einen externen NTFSDatenträger, behalten die Dateien ihr Verschlüsselungs-Attribut bei. Für die Entschlüsselung auf einem anderen Windows 2000-Computer reicht es nicht, sich mit der gleichen Benutzerkennung anzumelden. Sie benötigen den privaten Schlüssel aus dem konkreten Schlüsselpaar, welches für die Verschlüsselung eingesetzt worden ist. Deshalb ist es wichtig, in so einem Fall auf das extern gespeicherte Zertifikat für die Dateiverschlüsselung zurückgreifen zu können, welches den Schlüssel enthält. Wichtig ist in diesem Fall, dass beide Windows 2000-Computer über die gleiche implementierte Schlüsselstärke verfügen. Haben Sie beispielsweise das verschlüsselnde System mit dem Enhanced CryptoPAK auf den 128 Bit-Schlüssel aufgerüstet, können die Dateien auf einem anderen System mit nur 40 Bit- oder 56 Bit-Schlüssel nicht dechiffriert werden. Umgekehrt gilt Abwärtskompatibilität – auf Systemen mit einem höheren Schlüssel können niedriger verschlüsselte Dateien entschlüsselt werden. Wichtigste Voraussetzung für das Entschlüsseln ist natürlich trotzdem immer die Verfügbarkeit des Schlüssels des Anwenders oder des berechtigten Wiederherstellungsagenten. Mehr zu Sicherheitsrichtlinien und Zertifikaten erfahren Sie in Kapitel 8 Grundlagen der Systemsicherheit ab Seite 263.
5.4.6 Komprimierung Unter NTFS können Sie für Dateien die integrierte Komprimierung aktivieren. Diese wird wie ein normales Dateiattribut betrachtet. Damit kann die Komprimierungsfunktion für bestimmte Dateien, Ordner oder ganze Datenträger separat eingestellt werden.
Der grundsätzliche Aufbau Wie das verschlüsselnde Dateisystem (siehe Seite 166) ist auch die Komprimierungsfunktion als Dateisystemfilter implementiert.
5.4 NTFS im Detail
169 Abbildung 5.14: Komprimierung als Dateisystemfilter
Die Kompression der Dateien erfolgt für den Benutzer oder das Anwendungsprogramm transparent. Beim Zugriff auf eine entsprechende Datei wird diese zuerst dekomprimiert und dann an die Anwendung übergeben. Beim Speichern erfolgt vor dem Schreiben auf den Datenträger wiederum die Kompression. Das trifft genauso auf die Nutzung komprimierter Dateien über das Kompression und Netzwerk zu. Vor dem Netzwerktransfer werden die Dateien auf dem Netzwerk Server dekomprimiert und dann versendet. Das bedeutet natürlich einerseits, dass die Leistung für Kompression und Dekompression auf dem Server zu erbringen ist. Andererseits verhilft die NTFSKompression nicht zu einer Verringerung der Netzwerklast – über das Netzwerk bewegen sich immer (NTFS-)unkomprimierte Dateien. Das Kompressionsverfahren ähnelt dem in den Kompressionstools Verfahren unter MS-DOS verwendeten DoubleSpace. Dabei handelt es sich auch um eine Lauflängencodierung, wobei statt des 2-Byte-Minimums ein 3-Byte-Minimumsuchlauf verwendet wird. Dieses Verfahren ist etwa doppelt so schnell wie unter DoubleSpace bei einer minimalen Verschlechterung der Kompressionsrate. Die Komprimierung wird nur für eine Clustergröße bis 4 KB unterstützt.
Erreichbare Kompressionsraten Die durchschnittlichen erreichbaren Kompressionsraten hängen stark von den verwendeten Dateitypen ab. In der folgenden Tabelle sind typische Dateien mit den in der Praxis durchschnittlich erreichbaren Kompressionsraten gegenübergestellt.
170
5 Dateisysteme
Tabelle 5.9: Beispiele Dateityp für erreichbare Kompressionsraten Textdateien
Größe nach Kompression in % 30 – 60 %
Microsoft Word-Dateien
30 – 60 %
Microsoft Excel-Tabellen
30 – 60 %
Layout-Dateien (Pagemaker)
25 – 50 %
Bilddateien
10 – 100 %
Ausführbare Dateien (EXE)
50 – 60 %
Die angegebenen Werte dienen nur als grobe Richtlinie. Generell lässt sich sagen, dass einfache Textdokumente oder Dateien aus Tabellenkalkulationsprogrammen wie Excel eine durchschnittlich gute Kompression ermöglichen. Allerdings sind diese Dateien meist verhältnismäßig klein und belegen damit auch in einer hohen Anzahl relativ wenig Speicherplatz. Schwachstelle: Komprimierung von Bilddateien
Sinnvoller ist der Einsatz einer wirkungsvollen Komprimierung bei großen Dateien, üblicherweise im lokalen Einsatz vor allem Bilddateien. Hier liegt aber genau die Schwachstelle der einfachen Komprimierungsalgorithmen, die bei NTFS zum Einsatz kommen. Hohe Kompressionsraten lassen sich hier nur dann erreichen, wenn die Bilddaten von ihren Inhalten her sehr homogen sind. Bilder mit vielen Details lassen sich so gut wie gar nicht komprimieren. Eine entsprechender Test mit 140 unkomprimierten Bilddateien der Typen TIFF und EPS, wie sie vor allem in Werbeagenturen und der Bildverarbeitung vorkommen, brachte bei einer unkomprimierten Gesamtkapazität von 640 MB keine nennenswerte Ersparnis an Speicherplatz. Ein zum Vergleich herangezogenes ZIP-Komprimierungstool erbrachte bei diesen Dateien immerhin eine Verkleinerung auf 85%. Wesentlich besser sah es hingegen bei einer größeren Sammlung von Screenshots aus. Diese Dateien waren gemischt abgelegt als BMP und TIF-Dateien (ohne LZW-Komprimierung) und brachten unter der NTFS-Komprimierung eine Verringerung auf 20% des ursprünglich benötigten Platzes. Das wieder zum Vergleich benutzte ZIPKomprimierungstool brachte es aber auf 5%.
Fazit
Die Online-Komprimierung, die sich für NTFS-Dateien aktivieren lässt, hat den Vorteil, für den Benutzer und die Anwendungen transparent zu arbeiten. Es werden keine weiteren externen Tools benötigt. Nachteil ist die im Vergleich zu speziellen Komprimierungsprogrammen erheblich schlechtere Leistung. Für komplexe große Bilddateien, wie sie beispielsweise in Werbeagenturen oder Verlagen anfallen, eignet sich die NTFS-Komprimierung kaum. Hinzu kommt, dass moderne Grafikprogramme in der Windows-Welt wie beispielsweise CorelDraw die Dateien selbst effizient komprimieren.
5.4 NTFS im Detail
171
Das trifft im übrigen auch auf Microsoft PowerPoint zu. Die Präsentationsdateien können durch die Verwendung vieler Grafiken und Bilder sehr groß werden. Aufgrund der guten Komprimierung, die in PowerPoint standardmäßig auf alle damit erzeugten Dateien beim Speichern angewandt wird, können diese durch die NTFSKomprimierung nicht weiter verkleinert werden. Diese Tatsachen sowie die stetige Weiterentwicklung im Bereich der Festplattentechnologien, die auch auf professionellen Arbeitsplatzrechnern Kapazitäten von 30 GB und mehr sehr preiswert ermöglichen, lassen den Einsatz der NTFS-Komprimierung als kaum lohnend erscheinen.
5.4.7 Datenträgerkontingente Datenträgerkontingente, in anderen Betriebssystemen schon länger verbreitet und teilweise Disk Quotas genannt, dienen der Zuteilung des verfügbaren Speicherplatzes auf Datenträgern an Benutzer und Gruppen. Unter Windows 2000 ist dieses Feature jetzt auch für die Professional- als auch für die Server-Versionen verfügbar. Der Haupteinsatzbereich wird sicher im Serverbereich zu finden sein, Haupteinsatzwo es darum geht, für eine größere Anzahl von Benutzern die verfüg- bereich: Server baren Serverkapazitäten gerecht aufzuteilen. Aber auch für eine Windows 2000 Arbeitsstation oder ein kleines lokales Netzwerk mit Windows 2000 Professional kann der Einsatz von Datenträgerkontingenten sinnvoll sein. Datenträgerkontingente können Sie beliebig je Benutzer oder Gruppen Kontingente gelten je Datenträger auf NTFS-Datenträgern einrichten. Die Kontingente gelten dabei je logischem Datenträger, unabhängig über wie viele Freigaben dieser verfügt. Ist für einen Benutzer oder eine Gruppe ein Kontingent eingerichtet, Anzeige von erfahren diese nicht mehr die wahre Größe des betreffenden Daten- Speicherplatz trägers. Stattdessen wird als Gesamtspeicherkapazität die Größe des Datenträgerkontingents angezeigt. Als belegter Speicherplatz erscheint die Gesamtsumme der Größe der Dateien, die dem jeweiligen Benutzer oder der Gruppe zugeordnet sind. Datenträgerkontingente haben keine Wirkung auf über Bereitstel- Achtung bei Bereitlungspunkte (siehe Abschnitt 5.4.3 Analysepunkte und Bereitstellungen stellungen! ab Seite 162) eingebundene Datenträger. Das Kontingent gilt nur für die Dateien und Ordner, die sich physisch auf dem betreffenden Datenträger befinden. Bereitgestellte Datenträger, auch wenn sie mit dem NTFS-Dateisystem formatiert sind, werden nicht berücksichtigt. Für diese bereitgestellten Datenträger müssten Sie wiederum eigene Kon-
172
5 Dateisysteme tingenteinträge definieren, wenn Sie eine Beschränkung des verwendeten Speichers benötigen.
NTFS-Komprimierung wirkungslos
Die Nutzung der NTFS-Komprimierung hat keinen Einfluss auf die Ausnutzung eines Kontingents. Bei der Berechnung des verwendeten Speicherplatzes wird immer die Größe der unkomprimierten Datei zugrundegelegt.
Besser: Externe Komprimierung
Anders sieht es aus, wenn Sie externe Komprimierungsprogramme wie beispielsweise WinZIP benutzen. Die damit erstellten Archive, die übrigens wesentlich höhere Komprimierungsraten erreichen, werden als normale Dateien im NTFS-Dateisystem abgelegt und für die Ausnutzung des Kontingents mit ihrer (komprimierten) tatsächlichen Größe berücksichtigt.
Warnschwelle und Verweigerung weiteren Speicherplatzes
Für die Erkennung einer baldigen Erreichung eines Kontingents durch einen Benutzer oder eine Gruppe können Sie eine Warnschwelle definieren, ab der ein Eintrag in das Ereignisprotokoll erfolgen soll. Wird das Kontingent erreicht, kann der Benutzer keine weiteren Dateien auf dem Datenträger speichern. Er kann nur noch Dateien löschen oder durch Bearbeitung verkleinern, oder Sie erhöhen als Administrator die Kontingentgrenze. Zur Verwaltung und Einrichtung von Datenträgerkontingenten erhalten Sie weitergehende Informationen in Abschnitt 11.11.4 Datenträgerkontingente festlegen ab Seite 473.
5.4.8 Weitere besondere Merkmale von NTFS In diesem Abschnitt werden einige weitere Merkmale von NTFS beschrieben, die Auswirkungen auf die Arbeitsweise und den internen Ablauf haben, für den Benutzer aber weitgehend transparent bleiben. Teilweise sind das Features, die erst durch spezielle Anwendungsprogramme ausgenutzt werden können und dann zu einer Erhöhung der Leistungsfähigkeit des Gesamtsystems führen.
Unterstützung für Dateien mit geringer Datendichte Ausschluss von Nulldaten
Eine sogenannte Datei mit geringer Dichte verfügt über ein spezielles Attribut, welches das I/O-System des NTFS-Dateisystems bei der Speicherung der Datei veranlasst, nur nichtleeren Daten physischen Speicherplatz zuzuweisen. Alle Nulldaten werden durch entsprechende Einträge ausgewiesen. Beim Aufruf der Datei durch ein Anwendungsprogramm werden dann die tatsächlichen Datenmengen wiederhergestellt, indem automatisch die Nulldaten als leerer Datenstrom erzeugt und übergeben werden.
5.4 NTFS im Detail
173
Sinn und Zweck dieses Verfahrens ist die drastische Einsparung von Speicherplatz bei dieser Art von Dateien. Die Anwendung ist allerdings sehr speziell und das NTFS-Attribut nur durch entsprechend programmierte Applikationen setzbar. Eine praktische Anwendung ist beispielsweise das Änderungsjournal Anwendung beim (siehe nächster Abschnitt) welches die Änderungen von Dateien mit Änderungsjournal Hilfe der Abbildung der logischen Struktur des gesamten Datenträgers erfolgt. Die hohe Effizienz dieses Journals auch bei sehr großen Datenträgern mit vielen Dateien wird dadurch erreicht, dass eine Datei gebildet wird, welche die gesamte Struktur wiederspiegelt. Die nichtleeren Daten, die physisch gespeichert werden, sind die Änderungseinträge. Der Zugriff auf die Datei erfolgt aber, als wäre die gesamte Struktur abgebildet. Da aber immer nur ein relativ kleiner Teil der Dateien Änderungen unterworfen ist, kann die Speicherung des Journals auf physisch kleinem Raum erfolgen.
Änderungsjournal Über das Änderungsjournal werden im NTFS-Dateisystem die Änderungen an Dateien ständig protokolliert. Die APIs dazu sind von Microsoft offengelegt und können durch Softwareanbieter beispielsweise für die Entwicklung von Programmen für die Datensicherung oder Antivirenchecks genutzt werden. Der Microsoft Indexdienst benutzt als eine der ersten Applikationen das NTFS-Änderungsjournal für die schnelle Aktualisierung der Indizes. Jede Änderung an einer Datei oder einem Ordner wird automatisch Verfahren im NTFS-Änderungsjournal erfasst. Das ermöglicht die effizientere Ausführung von Programmen, die Änderungen am Datenträger auswerten müssen. Pro Änderungsdatensatz fallen ca. 80 bis 100 Byte an Daten an, die dem Journal hinzugefügt werden. Da das Journal in seiner Größe begrenzt ist, verfallen bei dem Erreichen der maximalen Kapazität die ersten Einträge und werden durch neue überschrieben. Hauptvorteil bei der Nutzung des NTFS-Änderungsjournals durch Anwendungsprogramme ist die hohe Performance auch bei sehr großen Datenträgern mit vielen Dateien, mit der Änderungen an Dateien erfasst werden. Die Geschwindigkeit der Bearbeitung der Änderungen hängt nicht von der Anzahl der Dateien ab, sondern von der Anzahl der Änderungen. Technisch ist das Änderungsjournal als Datenstrom geringer Datendichte implementiert (siehe auch Seite 172).
174
5 Dateisysteme Überwachung verteilter Verknüpfungen
Überwachung über Objektkennung
Unter Windows 2000 stellt der Dienst zur Überwachung verteilter Verknüpfungen sicher, dass auf NTFS-Datenträger Änderungen an den Quelldateien verfolgt und bei den Verknüpfungen berücksichtigt werden. Grundlage dieser Überwachung ist die eindeutige Objektkennung, mit der Dateien unabhängig von ihren Dateinamen geführt werden. Der Überwachungsdienst verteilter Verknüpfungen kann Ihnen unter den folgenden Fällen sicherstellen, dass die Verknüpfungen weiterhin korrekt auf die zugeordneten Quelldateien verweisen: •
Sie haben die Quelldatei umbenannt.
•
Sie haben die Quelldatei innerhalb der Datenträger ihres lokalen Computers oder innerhalb der Arbeitsgruppe oder Domäne verschoben.
•
Die Netzwerkfreigabe beziehungsweise der freigebende Computer, der die Quelldatei enthält, wurden umbenannt.
5.4.9 Zur Kompatibilität von Windows NT 4 mit NTFSv5 Wird ein NTFS v5-Datenträger von Windows NT (ab Service Pack 4) und Windows 2000 gemeinsam benutzt, beispielsweise bei einer Dualbootkonfiguration, hat das Auswirkungen auf bestimmte NTFSFunktionen und -Merkmale. Die folgenden Funktionen sind unter Windows NT 4 nicht verfügbar beziehungsweise werden ignoriert: Datenträgerkontingente
•
Datenträgerkontingente Unter Windows 2000 definierte Datenträgerkontingente, die Benutzer und Gruppen zugewiesen sind, werden unter NT nicht erkannt beziehungsweise das entsprechende NTFS-Attribut wird ignoriert. Damit haben alle Benutzer hinsichtlich des Speicherplatzes keine Limitierung auf dem betreffenden Datenträger. Wird das Kontingent überschritten und der Datenträger wieder unter Windows 2000 bereitgestellt, kann der entsprechende Benutzer nur noch Daten verkleinern oder löschen, bis die Kontingentgrenze wieder unterschritten wird.
Objektkennungen für Dateien und Ordner
•
Objektkennungen für Dateien und Ordner Windows NT und 2000 kennen beide eindeutige Objektkennungen für Dateien und Ordner. Unter Windows 2000 wird allerdings zusätzlich die Kennung im Datenträgerindex mit verwaltet. Wird ein entsprechendes Objekt unter Windows NT gelöscht, muss Win-
5.4 NTFS im Detail
175
dows 2000 beim erneuten Bereitstellen des Datenträgers die Objektkennung nachträglich aus dem Index entfernen. •
Änderungsjournal
Änderungsjournal
Windows NT 4 kennt das Änderungsjournal nicht. Damit werden auch die Änderungen an Dateien und Ordnern nicht berücksichtigt, die während der Bereitstellung eines NTFSv5-Datenträgers unter NT vorgenommen werden. Beim erneuten Bereitstellen des Datenträgers unter Windows 2000 wird das Journal verworfen und neu aufgesetzt. •
Analysepunkte und Bereitstellungen Windows NT erkennt keine Analysepunkte. Damit sind auch Bereitstellungen von Datenträgern über Laufwerkpfade, die unter Windows 2000 eingerichtet worden sind, nicht nutzbar.
•
Verschlüsselte Dateien Das verschlüsselnde Dateisystem (EFS) ist als spezieller Dateisystemfilter unter Windows 2000 für die Erweiterung des NTFSDateisystems implementiert und damit unter NT nicht nutzbar. Verschlüsselte Dateien können deshalb hier nicht entschlüsselt werden.
•
Analysepunkte und Bereitstellungen
Verschlüsselte Dateien
Dateien mit geringer Datendichte
Dateien mit geringer Dateien mit geringer Datendichte werden unter Windows NT nicht Datendichte
erkannt und sind dort nicht zugänglich.
Für die Sicherstellung der NTFSv5-Funktionen, die unter Windows Aufräumaktionen NT umgangen werden können, wie beispielsweise das Änderungs- unter Windows journal oder die Datenträgerkontingente, werden unter Windows 2000 2000 automatisch Aufräumaktionen durchgeführt. Als Benutzer brauchen Sie sich deshalb um die Konsistenz der Datenträger, auch wenn sie zeitweise unter NT eingesetzt werden, keine Sorgen zu machen. Die Festplattentools von Windows NT 4 ab Service Pack 4, Chkdsk und Autochk, arbeiten nicht auf NTFSv5-Datenträgern. Reparatur- und Wiederherstellungsarbeiten sollten deshalb nur unter Windows 2000 durchgeführt werden. Aufgrund der Einschränkungen für NTFSv5 hinsichtlich des Funkti- Nicht empfohlen: onsumfangs und bei Wiederherstellungsoperationen nach einem Sys- Dauereinsatz unter temausfall wird ein Dauerbetrieb mit einer Dualkonfiguration von NT NT und 2000 und Windows 2000 nicht empfohlen. Die begrenzte NTFSv5Kompatibilität von NT ab Service-Pack 4 ist von Microsoft vorrangig für die Migration in der Übergangsphase von NT zu 2000 vorgesehen.
176
5 Dateisysteme
5.4.10 POSIX-Kompatibilität Portable Operating System Interface for UNIX
Für die Kompatibilität mit dem POSIX-Standard (Portable Operating System Interface for UNIX) nach IEEE 1003.1 muss unter Windows 2000 das NTFS-Dateisystem benutzt werden. Hier sind entsprechende Erweiterungen vorgenommen worden, um die Abarbeitung beziehungsweise Portierung von POSIX-Programmen zu gewährleisten:
Berücksichtigung von Groß- und Kleinschreibung bei Dateinamen
•
Berücksichtigung von Groß- und Kleinschreibung bei Dateinamen POSIX-Programme unterscheiden, wie in der UNIX-Welt üblich, zwischen Groß- und Kleinschreibung bei Dateinamen. Mit normalen Windows-Programmen können Sie keine gleichlautenden Dateinamen, die sich nur in der Schreibweise unterscheiden, erstellen. Wurden diese jedoch durch ein POSIX-Programm erstellt, kann es zu ungewollten Ergebnissen kommen. Bestehen beispielsweise die Dateien Beschreibung.txt BESCHREIBUNG.TXT, so löscht der Befehl
und
del Beschreibung.txt beide Dateien. Prüfen Sie in solchen Fällen immer erst mit dem Befehl dir, welche Dateien angezeigt und damit erkannt werden. Feste Verküpfungen (Links)
•
Zusätzliche Zeitstempel
•
Feste Verknüpfungen (Links) Die in der UNIX-Welt verbreiteten Links auf Dateien werden auch unter NTFS unterstützt. Eine physisch vorhandene Datei kann so über mehrere Namen von verschiedenen Orten auf Datenträgern angesprochen und normal verwendet werden. Zusätzliche Zeitstempel Zusätzlich zum Zeitpunkt der letzten Änderung wird auch der Zeitpunkt des letzten Zugriffs auf eine Datei angezeigt.
5.5 FAT und FAT32 im Detail Das Dateisystem FAT wurde ursprünglich für die Verwaltung von damals relativ kleinen Festplatten und einfachen Ordnerstrukturen entwickelt. In diesem Abschnitt werden die wichtigsten internen Zusammenhänge und Strukturen zu den FAT-Varianten, die unter Windows 2000 einsetzbar sind, dargestellt. Der Vergleich der FAT-Dateisysteme mit NTFS wird in Abschnitt 5.2 Vergleich von FAT, FAT32 und NTFS ab Seite 132 behandelt.
5.5 FAT und FAT32 im Detail
177
5.5.1 Die verschiedenen FAT-Dateisysteme Es gibt heute drei Varianten des FAT-Dateisystems, die Sie in Windows 2000 nutzen können: FAT12, FAT16 und FAT32.
FAT12 Die ursprünglich entwickelte Version des FAT-Dateisystems ist Kleine Datenträger FAT12. Die Anzahl der verwaltbaren Cluster in der Dateizuordnungstabelle beträgt 212 = 4.096. Damit ist nur die Verwaltung sehr kleiner Datenträger (bei 16 Sektoren á 512 Bytes pro Cluster ca. 16 MB) möglich und sinnvoll. Windows 2000 setzt das FAT12-Dateisystem automatisch beim Formatieren von Disketten und sehr kleinen Datenträgern bis ca. 16 MB ein.
FAT16 Das FAT16-Dateisystem ist die Weiterentwicklung von FAT12. Durch theoretisch bis zu die 16 Bit-Adressierung sind theoretisch 216 = 65.536 Cluster in der 4 GB verwaltbar Dateizuordnungstabelle verwaltbar. Für die Speicherung von Dateien verbleiben nach Abzug des Platzes für das Dateisystem selbst 65.524 Cluster. Theoretisch können Sie damit Datenträger bis zu 4 GB verwalten. große Datenträger: Dann wäre allerdings eine Clustergröße von 64 KB notwendig. Das Verschwendung bedeutet nicht nur eine große Verschwendung von Speicherplatz bei von Speicherplatz kleinen Dateien, auch Slack genannt, sondern führt auch zu Kompatibilitätsproblemen mit anderen Betriebssystemen und Anwendungssoftware. Aus Kompatibilitätsgründen sollten Sie nur Datenträger bis 2 GB mit FAT16 formatieren (bei einer Clustergröße von 32 KB). FAT16 ist bei großen Datenträgern bei der Ausnutzung des Speicher- bis 512 MB effizient platzes sehr ineffizient. Bei Datenträgern bis ca. 512 MB (dann bei einer Clustergröße von 8 KB) ist FAT16 als einfaches und sehr schnelles Dateisystem empfehlenswert.
FAT32 Das FAT32-Dateisystem wurde bei der zweiten überarbeiteten Win- Windows 95 OSR2 dows 95-Version OSR2 eingeführt und für die Verwaltung großer Festplatten stark erweitert. Für die Adressierung der Cluster sind jetzt 4 Byte (32 Bit) verfügbar, sodass mit kleinen Clustergrößen auch große Datenträger formatiert werden können.
178 FAT32 ab 32 MB
5 Dateisysteme Ein FAT32-Datenträger muss mindestens 65.527 Cluster aufweisen. Damit lassen sich erst Datenträger ab ca. 32 MB mit FAT32 formatieren. Diesen Wert erhalten Sie, wenn Sie die kleinste Clustergröße (entspricht der Größe eines Sektors = 512 Byte für heute gängige Festplatten) mit Mindestanzahl der verwaltbaren Cluster (65.527) multiplizieren. Die maximale Datenträgergröße, die durch Windows 2000 bereitgestellt werden kann, beträgt 127,53 GB. Formatieren können Sie Datenträger allerdings nur bis 32 GB mit FAT32 (siehe dazu auch Abschnitt 5.2.2 Speicherkapazität von Datenträgern ab Seite 133).
5.5.2 Layout von FAT16- und FAT32-Datenträgern Die FAT16- und FAT32-Datenträger sind prinzipiell ähnlich aufgebaut und unterscheiden sich nur in kleinen Details. In der folgenden Abbildung sind die beiden Dateisysteme in ihrer Grundstruktur gegenübergestellt. Abbildung 5.15: Layout von FATDatenträgern
Stammverzeichnis bei FAT16
Das Stammverzeichnis eines FAT16-Datenträgers befindet sich in einem festen Bereich nach den beiden Dateizuordnungstabellen (Original und Sicherungskopie) und ist auf 512 Einträge begrenzt. Wird ein Datenträgername vergeben, reduziert sich die Anzahl auf 511 Einträge. Eine weitere Reduktion findet statt, wenn Sie lange Dateinamen im Stammverzeichnis benutzen (siehe auch Abschnitt 5.5.6 Lange Dateinamen bei FAT-Datenträgern ab Seite 184).
5.5 FAT und FAT32 im Detail
179
Unter FAT32 wurde das Stammverzeichnis als ganz normale Cluster- Stammverzeichnis kette realisiert und kann sich mit beliebig vielen Einträgen irgendwo bei FAT32 auf der Festplatte befinden. Der Startpunkt des Stammverzeichnisses ist an einer bestimmten Adresse im Bootsektor hinterlegt.
5.5.3 FAT-Bootsektoren Der Bootsektor, auch Bootrecord genannt, liegt im ersten physischen Sektor eines Datenträgers. Der Aufbau des Bootsektoren unterscheidet sich zwischen FAT16 und FAT32.
FAT16-Bootsektor
Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
Anzahl der FAT-Kopien (in der Regel 1)
1 Byte
11h
Maximale Anzahl der Stammverzeichniseinträge
2 Byte
13h
Anzahl der Sektoren (Datenträger kleiner 32 MB mit bis zu 216 = 65535 Sektoren); ist bei größeren Datenträgern 0)
2 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
Sektoren pro FAT
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung des Stammverzeichnisses und des Datenbereichs)
4 Byte
20h
Anzahl der Sektoren (Datenträger größer 32 MB mit mehr als 216 = 65.535 Sektoren); ist bei kleineren Datenträgern 0)
4 Byte
24h
Laufwerksnummer; relevant nur beim Bootdatenträger (typische Werte: Festplatten 80h/81h)
1 Byte
Tabelle 5.10: Aufbau des FAT16Bootsektors
180
5 Dateisysteme
Offset Beschreibung
Länge
25h
Reserviert
1 Byte
26h
Erweiterte Signatur (Wert 29h)
1 Byte
27h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
4 Byte
2Bh
Datenträgerbezeichnung
11 Byte
36h
Dateisystemtyp (enthält den Bezeichner FAT16)
8 Byte
3Eh
Bootstrapcode (ausführbarer Code)
448 Byte
1FEh
Ende der Sektormarkierung 0x55AA
2 Byte
FAT32-Bootsektor Tabelle 5.11: Aufbau des FAT32Bootsektors
Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
Anzahl der FAT-Kopien (in der Regel 1)
1 Byte
11h
unbenutzt
4 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
unbenutzt
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung des Stammverzeichnisses und des Datenbereichs)
4 Byte
20h
Anzahl der Sektoren des Datenträgers
4 Byte
24h
Anzahl der Sektoren pro FAT
4 Byte
28h
Erweiterte Flags:
2 Byte
Bits 0 bis 3:
Anzahl aktiver FAT (Die Zählung startet bei 0)
Bits 4 bis 6:
Reserviert
5.5 FAT und FAT32 im Detail
Offset Beschreibung Bits 7:
181
Länge 0 = FAT wird gespiegelt; 1 = nur eine FAT aktiv
Bits 8 bis 15: reserviert 2Ah
Versionsnummer des FAT32-Dateisystems; Höheres Byte = Hauptversionsnummer; Niedrigeres Byte = Untergeordnete Versionsnummer
2 Byte
2Ch
Startadresse des Stammverzeichnisses
4 Byte
30h
Nummer des Sektors, der die FSINFO-Struktur enthält (Dateisystem-Informationen); meist mit dem Wert 1 belegt (zweiter Sektor; Zählung beginnt bei 0)
2 Byte
32h
Nummer des Sektors, der den Sicherungsbootsektor enthält
2 Byte
34h
reserviert
12 Byte
40h
Laufwerksnummer; relevant nur beim Bootdatenträger (typische Werte: Festplatten 80h/81h)
1 Byte
41h
reserviert
1 Byte
42h
Erweiterte Signatur (Wert 29h)
1 Byte
43h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
4 Byte
47h
Datenträgerbezeichnung
11 Byte
52h
Dateisystemtyp (enthält den Bezeichner FAT32)
8 Byte
5Ah
Bootstrapcode (ausführbarer Code)
420 Byte
1FEh
Ende der Sektormarkierung 0x55AA
2 Byte
5.5.4 Die Dateizuordnungstabelle (FAT) Zentraler Bestandteil eines FAT-Datenträgers ist die Dateizuordnungstabelle, auch File Allocation Table (FAT) genannt. In dieser werden die Zuordnungseinheiten (Cluster) des gesamten Datenträgers verwaltet.
Cluster-Kennzeichnung Jeder Cluster wird in der FAT durch eine der folgenden vier Eigenschaften gekennzeichnet:
182 Tabelle 5.12: Eigenschaften von Clustern
Markierung fehlerhafter Cluster
5 Dateisysteme
Eigenschaft
Beschreibung
Nicht verwendet
Dieser Cluster ist frei und kann für die Speicherung von Daten verwendet werden.
Verwendet
Der Cluster ist bereits durch Daten belegt.
Fehlerhaft
Der Cluster wurde aufgrund eines Sektorfehlers beim Formatieren als fehlerhaft gekennzeichnet. Auf ihm werden keine Daten gespeichert.
Letzter Cluster
Das ist der letzte Cluster einer Datei bzw. einer Clusterkette. Dieses Feld wird auch End Of File (EOF)-Kennung genannt und besitzt immer den Wert FFFFh.
Beim Kennzeichnen der fehlerhaften Sektoren beziehungsweise des davon betroffenen Cluster gibt es einen deutlichen Unterschied zu NTFS. Das FAT-Dateisystem kann defekte Sektoren ausschließlich beim Neuformatieren erkennen und betroffene Cluster markieren. Unter NTFS werden auch während des laufenden Betriebes auftretende defekte Sektoren des Datenträgers erkannt und die entsprechenden Cluster in der Systemdatei $BADCLUS erfasst (siehe auch Abschnitt 5.2.4 Dateisystemsicherheit ab Seite 138).
FAT16-Einträge für Dateien und Ordner Für jede Datei oder Ordner wird in der FAT ein Eintrag mit 32 Byte angelegt. Werden lange Dateinamen erzeugt, so kann sich ein Eintrag über mehrere FAT-Tabelleneinträge erstrecken. Tabelle 5.13: Offset Beschreibung FAT16-Eintrag für Dateien und Ordner 00h Dateiname (im 8.3-Format)
Länge 11 Byte
0Bh
Attribut
1 Byte
0Ch
Reserviert
1 Byte
0Dh
Erstellungszeit
3 Byte
10h
Erstellungsdatum
2 Byte
12h
Datum des letzten Zugriffs
2 Byte
14h
Reserviert
2 Byte
16h
Zeitpunkt der letzten Bearbeitung
4 Byte
18h
Startclusternummer
2 Byte
1Ah
Dateigröße in Bytes
4 Byte
5.5 FAT und FAT32 im Detail
183
Die Startclusternummer zeigt auf den ersten durch die Datei oder den Ordner verwendeten Cluster. Jeder verwendete Cluster verweist wiederum auf den nächsten Cluster beziehungsweise weist sich als letzter der Clusterkette aus (mit EOF – FFFFh).
FAT32-Einträge für Dateien und Ordner Die Einträge unter FAT32 unterscheiden sich von denen unter FAT16 kaum. Wichtigste Änderung ist natürlich die Umstellung von der 16 Bit-Adressierung der Cluster auf 32 Bit. Dazu werden die bisher bei FAT16 reservierten Bytes (Offset 14h) als höherwertige 2 Byte der 32 Bit-Adresse benutzt.
Offset Beschreibung
Länge
00h
Dateiname (im 8.3-Format)
11 Byte
0Bh
Attribut
1 Byte
0Ch
Reserviert
1 Byte
0Dh
Erstellungszeit
3 Byte
10h
Erstellungsdatum
2 Byte
12h
Datum des letzten Zugriffs
2 Byte
14h
Höherwertige Bytes der Startclusternummer
2 Byte
16h
Zeitpunkt der letzten Bearbeitung
4 Byte
18h
Niederwertige Bytes der Startclusternummer
2 Byte
1Ah
Dateigröße in Bytes
4 Byte
Wenn ein Cluster für die Speicherung nicht ausreicht, wird wie auch bei FAT16 für jede Datei eine Clusterkette gebildet, deren Ende der letzte Cluster mit FFFF FFFFh (EOF) markiert. In der Dateizuordnungstabelle werden die Einträge aller Dateien und Ordner erfasst.
5.5.5 FAT-Dateiattribute Das Attributbyte dient unter FAT der Verschlüsselung der Attribute der betreffenden Datei beziehungsweise Ordners.
Tabelle 5.14: FAT32-Eintrag für Dateien und Ordner
184 Tabelle 5.15: DateiAttribute bei FAT / FAT32
5 Dateisysteme
Attribut
Wert
Auswirkung
Schreibgeschützt
01h
Verhindert das Überschreiben der Datei.
Versteckt
02h
Verhindert die Anzeige der Datei mit Standardanzeigeprogrammen für Verzeichnisse (beispielsweise mit dir).
System
04h
Versteckt die Datei bei gleichzeitigem Schreibschutz. Soll als besonderer Schutz für Betriebssystemdateien dienen.
Volume-ID
08h
Dient der Kennzeichnung dieses Eintrags als Datenträgername.
Verzeichnis
10h
Kennzeichnet den Eintrag als Ordner.
Archiv
20h
Schränkt den Zugriff auf die Datei gar nicht ein. Wird beispielsweise von Datensicherungsprogrammen genutzt, um die Datei als gesichert zu markieren.
Zur Kodierung des Attributes werden nur die letzten 6 Bits des Attributbytes benutzt. Die beiden höchstwertigen Bits bleiben immer 0. Da die Attribute Schreibgeschützt, Versteckt und System durch jeden Benutzer einfach über den Windows Explorer gesetzt beziehungsweise gelöscht werden können, sind sie als wirksamer Schutz von Dateien unbrauchbar. Für einen wirkungsvollen Schutz von Dateien empfiehlt sich die Nutzung des NTFS-Dateisystems. Nur hier können Sie Benutzerrechte auf Dateien und Ordner differenziert festlegen.
5.5.6 Lange Dateinamen bei FAT-Datenträgern Ursprünglich war es unter FAT nur möglich, kurze Dateinamen nach der 8.3-Notation zu benutzen. Durch einen kleinen Trick wurde aber die Verwendung langer Dateinamen dennoch möglich: Lange Dateinamen über Tricks
Werden die Attribute Schreibgeschützt, Versteckt, System und Volume-ID für einen FAT-Eintrag gleichzeitig gesetzt (Wert 0Fh), wird dieser als normale Datei ignoriert und kann als Erweiterung für einen Teil eines langen Dateinamens dienen. Jeder sogenannte sekundäre Ordnereintrag eines langen Dateinamens kann 13 Zeichen im Unicode (16 Bit pro Zeichen) speichern. Mit bis zu 20 dieser versteckten Einträge können so lange Dateinamen im Unicode mit bis zu 255 Zeichen auch unter FAT benutzt werden.
5.5 FAT und FAT32 im Detail
185
Bei den langen Dateinamen dürfen prinzipiell alle Zeichen des 16 Bit- FAT-NamenskonUnicode-Zeichensatzes benutzt werden. Ausgenommen sind die fol- ventionen genden: " / \ [ ] : ; | = , Hinzu kommen die folgenden Datei-Bezeichner, die für interne Systemgeräte des Betriebssystems reserviert sind und daher nicht für normale Dateien verwendet werden dürfen: CON, AUX, COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, PRN, NUL Bei der Nutzung eines FAT-Datenträgers unter einer früheren MSDOS–Version (dann aber nur mit FAT12/16) werden diese Einträge ignoriert und nur der kurze Dateiname wird angezeigt. Bei Verwendung älterer Reparaturprogramme für Datenträger können Sie mit den Einträgen für lange Dateinamen Probleme bekommen, wenn diese Programme die Einträge als Fehler interpretieren und reparieren. Dadurch können lange Dateinamen auf FAT12/16Datenträgern verloren gehen. Die Algorithmen der Erzeugung langer Dateinamen unter FAT unter- Unterschiede zwischeiden sich zwischen Windows NT/2000 und Windows 9x. Aller- schen den Windings berührt das nicht den Benutzer, da die Betriebssysteme unter- dows-Versionen einander kompatibel sind und die Dateinamen dadurch trotzdem richtig angezeigt werden. Wollen Sie die Erzeugung von langen Dateinamen unter Windows Lange Dateinamen 2000 für FAT-Datenträger dennoch deaktivieren, ändern Sie den fol- deaktivieren genden Eintrag in der Registrierung: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \Win31FileSystem=1 Nach dem Setzen dieses Parameters werden keine neuen langen Dateinamen mehr erzeugt. Vorher bestandene lange Dateinamen bleiben jedoch unberührt.
5.5 FAT und FAT32 im Detail
Kapitel 6 Netzwerkgrundlagen
6.1
Das ISO/OSI-Referenzmodell.............................189
6.2
Die unterstützten Protokolle im Überblick......191
6.3
TCP/IP ......................................................................191
6.4
Andere Protokolle..................................................204
6.5
Netzwerkkonzepte ................................................206
6.6
Einführung in Active Directory ..........................212
187
6.1 Das ISO/OSI-Referenzmodell
189
6 Netzwerkgrundlagen Die Netzwerkfunktionen sind in Windows 2000 gegenüber den Vorgängerversionen nicht nur ausgebaut worden, sondern insgesamt auch konsistenter und logischer strukturiert. Trotzdem ist die korrekte Konfiguration, egal ob für den Einzelplatz mit Internetzugang oder als Client im lokalen Netz, nicht trivial. Die folgenden Grundlagen helfen, die Arbeitsweise der Netzwerkumgebung in Windows 2000 zu verstehen und sachgerechte Einstellungen vornehmen zu können. Sie sollten sich diese Ausführungen ansehen, wenn Sie vorher noch keine Netzwerke konfiguriert oder aufgebaut haben. Denn häufig sind Verständnisprobleme die Ursache für Konfigurationsfehler.
6.1 Das ISO/OSI-Referenzmodell Das ISO/OSI-Referenzmodell (reference model for open systems interconnection of the international organization for standardization) teilt Netzwerkverbindungen in sieben logische Schichten ein, die jeweils eine eigene Aufgabe übernehmen. Die Schichten werden nachfolgend beschrieben. Bei den Protokollbeschreibungen wird auf diese Schichten Bezug genommen.
6.1.1 Die 7 Schichten des Referenzmodells •
Schicht 1: Bitübertragungsschicht (physical layer). Hier wird die Bitübertragung physikalische Übertragung (elektrisch sowie mechanisch) definiert: das Medium (Kabel, Funk, Infrarot), die gesendeten Signale usw.
•
Schicht 2: Sicherungsschicht (data link layer, auch Verbindungs- Sicherung schicht oder MAC-Layer genannt). Hier werden die Daten in einzelne Rahmen aufgeteilt und gesichert übertragen. Beispiele für diese Schicht sind PPP, SLIP und HDLC.
•
Schicht 3: Netzwerkschicht (network layer, auch Vermittlungs- Vermittlung schicht). Zentrale Aufgabe ist die Bestimmung eines optimalen Weges durch ein Netzwerk. Ein wichtiges Protokoll auf dieser Ebene ist IP.
•
Schicht 4: Transportschicht (transport layer). Diese Schicht stellt ei- Transport nen gesicherten Kanal zwischen zwei Stationen her, sodass die Daten einfach seriell geschrieben bzw. gelesen werden können. Auf dieser Ebene ist TCP zu finden.
190
6 Netzwerkgrundlagen
Sitzung
•
Schicht 5: Sitzungsschicht (session layer, auch Kommunikationssteuerungsschicht). Diese Schicht synchronisiert das Zusammenspiel mehrerer Stationen. Es wird beispielsweise festgelegt, wie eine Sitzung zeitlich abzulaufen hat (Aufforderung zum Senden eines Kennwortes, Senden des Kennwortes, Bestätigung des Kennwortes usw. Hier arbeitet beispielsweise HTTP.
Darstellung
•
Schicht 6: Darstellungsschicht (presentation layer). Hier werden die Daten in ein einheitliches Format transformiert, zum Beispiel durch Alphabetumwandlungen oder Datenkompression. An dieser Stelle gehen oft die Umlaute verloren, wenn die Übertragung mit 7 Bit statt 8 Bit erfolgt. Verschiedene Kodierungsarten sichern dann die Übertragung, beispielsweise MIME.
Anwendung
•
Schicht 7: Anwendungsschicht (application layer). Diese Schicht beschreibt die Schnittstelle, über die Anwendungen auf Dienste eines anderen Systems zugreifen können. CGI-Programme beispielsweise nutzen diese Schicht.
6.1.2 Die Bedeutung des Schichtenmodells Kommunikationsprozesse
Jede Schicht kommuniziert mit der entsprechenden Schicht auf dem anderen System (logischer Datenfluss), indem sie Daten entweder an die darüber oder darunter liegende Schicht weiterleitet (physikalischer Datenfluss). Jede Schicht verfügt über Schnittstellen, die folgende Abläufe ausführen können: •
Austausch von Daten mit der darüber liegenden Schicht
•
Austausch von Daten mit der darunter liegenden Schicht
•
Entscheidung darüber, welche Daten an dieselbe Schicht im anderen System übermittelt werden
Wenn die Sitzung auf Schicht 5 ihre Daten an die Schicht 4 übergeben hat, wartet sie, bis die Antwort von Schicht 5 des anderen Systems zurückkommt. Wie diese Nachricht auf das andere System kommt, ist es Sache der Schicht 4, die sich wiederum nur mit Schicht 3 in Verbindung setzt, usw. Der wirkliche Datenaustausch findet nur auf Schicht 1 statt. Durch dieses Verfahren sind höhere Schichten völlig unabhängig von den physikalischen Gegebenheiten (Funknetz, ISDN, Glasfaser usw.). Andererseits können über eine funktionierende physikalische Verbindung (Schicht 1) alle Arten von Daten und Protokollen (höhere Schichten) benutzt werden.
6.2 Die unterstützten Protokolle im Überblick
191
6.2 Die unterstützten Protokolle im Überblick Die in Windows 2000 verfügbaren Protokolle werden nachfolgend vorgestellt. Dies kann und soll kein Netzwerklehrbuch ersetzen, gibt aber einen Einblick vor allem in TCP/IP und ist damit auch für den Administrator eines kleinen Netzwerks geeignet, der bislang auf den Einsatz dieses Protokolls verzichtet hat. Die von Windows 2000 standardmäßig unterstützten Netzwerkprotokolle werden in der folgenden Tabelle dargestellt:
Seite
Protokoll
Kurzbeschreibung
TCP/IP
TCP/IP ist ein Protokollpaar, das heute die Grundlage des Internet und lokaler Netzwerke bildet.
191
NetBEUI
Dies ist ein proprietäres Protokoll von Microsoft für Windows-Netzwerke.
204
IPX/SPX
Dies ist ein proprietäres Protokoll von Novell, das sich auch außerhalb weit verbreitet hat.
205
AppleTalk
Fehler! Ein von Apple entwickeltes proprietäres Netzwerkprotokoll, womit unter Windows 2000 Pro- Textmarke nicht fessional ausschließlich AppleTalk-Drucker im definiert. Netzwerk angesteuert werden können.
Mit dem modularen Aufbau von Windows 2000 können auch weitere Netzwerkprotokolle aufgesetzt werden, die in einer speziellen Umgebung verlangt werden. Bei einem neu zu errichtenden Netzwerk besteht jedoch kein Grund, andere Protokolle außer TCP/IP oder NetBEUI einzusetzen. Diese wichtigsten Protokolle für die Einbindung einer Windows 2000 Professional Arbeitsstation werden in den nachfolgenden Abschnitten vorgestellt.
6.3 TCP/IP TCP/IP ist spätestens seit der Verbreitung des World Wide Web weit bekannt, auch bei technisch weniger bewanderten Nutzern. Doch die Entwicklung ist älter und die korrekte Konfiguration keineswegs trivial.
Tabelle 6.1: Netzwerkprotokolle im Überblick
192
6 Netzwerkgrundlagen
6.3.1 Die geschichtliche Entwicklung TCP/IP ist das wichtigste Netzwerkprotokoll, das heute sowohl in großen, internationalen Netzwerken als auch in lokalen Netzen zum Einsatz kommt. Es ist auch das Protokoll des Internet. Die Zeit vor Windows
•
1976: Grundsteinlegung zu TCP/IP durch die International Federation of Information Processing.
•
1983: Das ARPANET wird endgültig auf das TCP/IP umgestellt. Die TCP/IP-Protokolle werden als MIL-Specs veröffentlicht.
•
1987: IBM unterstützt TCP/IP als optionalen Kommunikationsstandard.
•
1988: Das Simple Gateway Monitoring Protocol (SGMP) wird vollständig überarbeitet und als Simple Network Management Protocol (SNMP) veröffentlicht.
•
1990: DEC unterstützt TCP/IP unter VMS als Kommunikationsstandard.
•
1991: Das Netzwerk-Betriebssystem von Novell enthält ab Version 3 optionale TCP/IP-Unterstützung.
6.3.2 Bestandteile und verwandte Protokolle Die einzelnen Bestandteile und verwandten Protokolle von TCP/IP werden nachfolgend näher vorgestellt.
Von IP... IP, das auf der Ebene 3 des ISO/OSI-Referenzmodells angesiedelt ist, kümmert sich darum, dass Datenpakete von einem Rechner zu einem anderen gelangen. Es stellt den höheren Schichten im ISO/OSIReferenzmodell unter anderem folgende Dienste zur Verfügung: •
Adressfunktion: Jedes Datenpaket wird mit einer Absender- und Empfänger-Adresse versehen.
•
Routing zwischen Netzwerken: Es ist möglich, ein Datenpaket nicht nur in das eigene Netzwerk, sondern auch in benachbarte und weiter entfernte Netzwerke zu schicken.
•
Fragmentierung und Reassemblierung von Paketen: Bestimmte Netzwerke können nur bestimmte Größen von Datenpaketen bearbeiten. Das IP kann diese Datenpakete aufteilen und wieder zusammenfügen.
6.3 TCP/IP •
Vorrangsteuerung: Es besteht die Möglichkeit, bestimmte Arten von Daten vorrangig zu behandeln.
Das IP ist ein unzuverlässiger verbindungsloser Paketübermittlungs- Paketdienst (send and pray). Alle übertragenen Daten werden in (evtl. meh- übermittlungsrere) Pakete verpackt. Dadurch ist es möglich, über eine Verbindung dienst mehrere Datenströme gleichzeitig laufen zu lassen, indem Pakete von verschiedenen Datenströmen gemischt werden. Die Datenpakete müssen nicht in der Reihenfolge beim Empfänger ankommen, in der sie abgeschickt wurden. Es kann auch zur Doppelung oder zum Verlust von Datenpaketen kommen. Diese Fehler können vom IP nicht festgestellt oder korrigiert werden. Jedes Datenpaket wird unabhängig von den anderen übertragen. Dadurch ist kein einheitlicher Weg zwischen Sender und Empfänger festgelegt, er kann sich von Paket zu Paket ändern. Um die vorhandenen Unzulänglichkeiten auszugleichen, wird das IP meist in Verbindung mit dem TCP (Transmission Control Protocol) eingesetzt. Auf dieser Ebene gibt es mehrere Protokolle.
... bis TCP, UDP und ICMP TCP (Transmission Control Protocol) ist das bekannteste Protokoll auf TCP dieser Ebene. Es setzt auf IP auf und ist verbindungsorientiert. Bevor die eigentliche Datenübertragung beginnt, wird zunächst eine Verbindung zum Empfänger aufgebaut. Dann erst werden die Datenpakete abgeschickt und vom Empfänger quittiert. Bleibt diese Empfangsbestätigung aus, so wird das entsprechende Paket erneut versendet. Hierdurch wird sichergestellt, dass die Datenpakete in der richtigen Reihenfolge und vollständig beim Empfänger ankommen. Die Reihenfolge kann beim Versand verändert werden, da sich IP für jedes Paket einen anderen Weg durchs Netz suchen kann, mit eventuell unterschiedlichen Laufzeiten. Nach erfolgreicher Datenübertragung wird die Verbindung zwischen den Rechnern wieder abgebaut. Die Verwaltung der Verbindung kostet natürlich Zeit und Übertragungskapazität. Daher gibt es für weniger sensible Verbindungen weitere Protokolle. UDP (User Datagramm Protocol) ist ein verbindungsloses Protokoll. Es UDP dient zum Übertragen von kurzen Nachrichten. Eine NameserverAnfrage gehört beispielsweise zu den Dingen, die über UDP abgewickelt werden. Wenn keine Antwort kommt, dann wird einfach eine neue Anfrage gestellt, eventuell an einen anderen Nameserver. Auch Streaming-Video und Netzwerkspiele arbeiten oft mit UDP. Hier geht es vor allem um Performance. Dabei kann es toleriert werden, wenn vereinzelt Daten verloren gehen. Die Videowiedergabe würde lediglich an Qualität einbüßen.
193
194 ICMP
6 Netzwerkgrundlagen ICMP (Internet Control Message Protocol) dient zum Transport von Fehler- und Diagnosemeldungen im Netz. Versucht ein Rechner auf einen Port zuzugreifen, der nicht belegt ist, so wird die Fehlermeldung »Port unreachable« per ICMP zurückgeschickt. Auch RoutingInformationen und der bekannte Ping werden über ICMP weitergeleitet.
6.3.3 Die IP-Adresse Damit eine Verbindung von einem Rechner zu einem anderen aufgebaut werden kann, muss jedem Rechner eine eindeutige IP-Adresse zugewiesen werden.
Das heutige IPv4 Internet Protocol Version 4
Im derzeitigen Standard IPv4 (Internet Protocol Version 4) besteht diese Adresse aus 4 Oktetts. Jedes Oktett entspricht einem Byte (0-255). Damit lassen sich 2564 = 232 = 4.294.967.296 verschiedene Adressen darstellen. Langsam wird dieser Adressraum aber knapp. Im zukünftigen IPv6-Standard ist die Adresse deshalb vergrößert. Zur besseren Lesbarkeit der Oktetts werden sie dezimal ausgeschrieben und durch Punkte getrennt. Eine typische IP-Adresse sieht zum Beispiel so aus: 195.145.212.138
Die Zukunft: IP-Version 6 Internet Protocol Version 6
Das IP-Protokoll Version 6 (IPv6) steht kurz vor der Einführung. Erste Geräte unterstützen es bereits, der Großteil des Internets läuft aber noch unter der alten Version 4. Einige der wichtigsten Unterschiede zur alten Version sind hier aufgeführt.
Erweiterte Adressierungsmöglichkeiten
IPv6 erweitert die Größe einer IP-Adresse von 4 auf 16 Oktetts. Damit wird der derzeitigen Adressenverknappung massiv entgegengetreten (2128 statt 232 Adressen; 2128 entspricht etwa 3,4 x 1038). Außerdem gibt es zusätzliche Funktionen im Bereich des Multicastings, beispielsweise die Möglichkeit, bestimmte Gerätegruppen anzusprechen.
Genauer differenziertere Datentypen
Es lassen sich unterschiedliche Datentypen spezifizieren (zum Beispiel Video- oder Ton-Übertragungen), die gegenüber weniger zeitkritischen Datentypen (zum Beispiel E-Mails) bevorzugt bearbeitet werden, um Echtzeitanwendungen mit der nötigen Bandbreite ausführen zu können.
Sicherheit
IPv6 bietet Funktionen, mit denen sensible Daten sicher übertragen werden können. Erreicht wird dies durch Einbindung der IPsec-
6.3 TCP/IP Architektur (siehe RFC 2401). Durch das IPsec-Verfahren wird das Tunneling, also das Benutzen eines Protokolls innerhalb eines anderen (beispielsweise IPX über TCP/IP), möglich, was für den Aufbau von Virtuellen Privaten Netzwerken benutzt werden kann. •
www.isi.edu/in-notes/rfc2401.txt
Adressvergabe Jede IP-Adresse ist weltweit eindeutig und wird von der IANA an die drei Organisationen APNIC, ARIN und RIPE vergeben, die diese dann wiederum an Endkunden (Firmen oder Internetprovider) verteilen. Weitere Informationen gibt es bei den entsprechenden Organisationen unter folgenden Adressen: •
IANA (Internet Assigned Numbers Authority): http://www.iana.net
•
APNIC (Asia-Pacific Network Information Center): http://www.apnic.net
•
ARIN (American Registry for Internet Numbers): http://www.arin.net
•
RIPE NCC (Reseau IP Europeens): http://www.ripe.net
6.3.4 Domain Name System und DNS Sie kennen sicher Internet-Adressen in der Form www.microsoft.com. Für die Übertragung von Datenpaketen müssen diese aber mit IPAdressen versehen werden. Die Anwahl eines Servers kann also nur über Adressen erfolgen. Der DNS (Domain Name Service) setzt die Namen von der Form Nameserver www.microsoft.com in eine IP-Adresse der Form 207.46.130.45 um. Dazu wird ein sogenannter Nameserver benutzt. Alle Adressen liegen einer großen hierarchischen, weltweit verteilten Datenbank. Wenn ein Nameserver eine Adresse nicht umsetzen kann, gibt er die Anfrage an einen ihm übergeordneten Nameserver weiter. Durch dieses Verfahren sind die Adressen leichter zu merken (aussagekräftige Namen statt Zahlenkolonnen) und leichter zu administrieren. Wenn ein Rechner eine andere IP-Adresse bekommt, muss nur der Eintrag auf dem Nameserver geändert werden; der Name, unter dem er zu erreichen ist, bleibt gleich.
195
196
6 Netzwerkgrundlagen In Windows müssen Sie deshalb einen Nameserver angeben oder eine Möglichkeit des Zugriffs darauf schaffen. Mehr Details zur Administration im Zusammenhang mit DNS finden Sie im Abschnitt 12.3.2 DNS ab Seite 514 bei der Beschreibung der entsprechenden Windows 2000-Funktionen.
6.3.5 Subnetze Jede Adresse wird in einen Netzwerk- und einen Rechnerbereich (auch Hostbereich) aufgeteilt. Dafür wird eine so genannte Subnetzmaske eingerichtet, die angibt, wie viele Bits einer Adresse zum Netz und wie viele zum Rechner gehören. Hier ein Beispiel in dezimaler und binärer Notation. Tabelle 6.2: Netzwerk- und Hostadresse in dezimaler und binärer Form
Dezimal
Binär
Dez. Binär
Subnetzmaske:
255.255.255
11111111.11111111.11111111
000
00000000
IPAdresse:
192.168.000
11000000.10101000.00000000
101
01100101
Dieses Beispiel würde 254 Rechner im Netzwerk 192.168.0.x erlauben. Von den theoretisch verfügbaren 256 Werten geht eine (255) als Broadcast-Adresse weg, während die 0 das Netzwerk bezeichnet und als Hostadresse unzulässig ist. So kann für jede beliebige Adresse festgestellt werden, ob sie im eigenen Netzwerk oder in einem anderen Netzwerk liegt (wichtig für Router, Bridges und Internet-Gateways). Die Subnetzmaske muss aus einem durchgängigen Bereich von binären Einsen bestehen. Es hat sich eingebürgert, die Einsen zu zählen und in der Kurzform /n aufzuschreiben (n ist die Anzahl der Einsen). Eine Angabe von 192.168.0.0/24 bedeutet also Netzadressen im Bereich von 192.168.0.x mit einer Subnetzmaske von 255.255.255.0 (24 Einsen).
6.3.6 Netzklassen Bestimmte Standard-Subnetzmasken werden verschiedenen Netzklassen zugeordnet. Für jede dieser Klassen gibt es Bereiche, die nicht zentral vergeben werden und für jedermann frei verfügbar sind (zum Beispiel für das kleine Privatnetz zu Hause).
6.3 TCP/IP
197
Klasse-A-Netz Ein Klasse-A-Netz hat standardmäßig die Subnetzmaske 255.0.0.0. Das erste Bit der Adresse (ganz links) muss auf 0 gesetzt sein. Der Bereich 10.0.0.0/8 kann von jedermann frei verwendet werden. Abbildung 6.1: Aufbau eines Klasse-A-Netzes
Klasse-B-Netz Ein normales Klasse-B-Netz hat die Subnetzmaske 255.255.0.0. Die ersten beiden Bits der Adresse müssen 10 sein. Mit den Bereichen 172.16.0.0 bis 172.31.255.255 stehen 16 Klasse-B-Subnetze für jedermann zur Verfügung. Abbildung 6.2: Aufbau eines Klasse-B-Netzes
Klasse-C-Netz Ein Klasse-C-Netz hat die Subnetzmaske 255.255.255.0. Die ersten drei Bits der Adresse müssen 110 sein. Die 256 Klasse-C-Netze von 192.168.0.0/24 bis 192.168.255.0/24 sind frei verfügbar und sehr häufig in kleineren lokalen Netzen anzutreffen. Abbildung 6.3: Aufbau eines Klasse-C-Netzes
Klasse-D- und -E-Netze Daneben gibt es noch Klasse-D- (beginnt mit 1110) und Klasse-E-Netze (beginnend mit 1111). Diese dienen aber Spezialfällen und deshalb wird hier nicht weiter auf sie eingegangen.
198
6 Netzwerkgrundlagen Spezialadressen
BroadcastAdressen
Eine Broadcast-Adresse teilt dem Rechner mit, wie er alle Rechner in seinem Netz auf einmal erreichen kann (sog. Broadcast). Dabei werden einfach alle Bits im Rechnerbereich der Adresse auf Eins gesetzt (allgemeingültige Definition für ALL-ONE-Broadcasts). Die StandardBroadcast-Adresse für einen Rechner aus dem Netz 192.168.0.0/24 wäre demnach 192.168.0.255. Sie können deshalb Adressen, die auf 255 enden, nicht als reguläre Netzwerkadresse angeben.
Loopback
Mit einer Adresse, die im ersten Oktett eine 127 enthält, adressiert sich jeder Rechner selbst (Loopback), was zu Tests der Netzwerksoftware benutzt werden kann. Eine solche Adresse kann daher niemals auf dem Kabel zu sehen sein.
Reservierte Adressen
Adressen aus den Klasse-D- und -E-Netzen sind für bestimmte Zwecke reserviert. Die Adressen 224.x.x.x bis 255.x.x.x sollten deshalb nicht benutzt werden. Genauere Informationen dazu stehen im RFC 2236: •
www.isi.edu/in-notes/rfc2236.txt
6.3.7 Adressübersetzung Um Datenpakete aus Netzwerken weiterleiten zu können, werden Router eingesetzt. Wird in einem solchen Netzwerk ein privater Adressraum eingesetzt, muss die Adresse vor dem Weitertransport in das externe Netz übersetzt werden.
Routing Das Weiterleiten von Daten von einem in ein anderes Netzwerk wird Routing genannt. Zwangsläufig benötigt jeder Router deshalb wenigstens zwei verschiedene (logische) Netzanschlüsse. Die folgende Abbildung zeigt das:
6.3 TCP/IP
199 Abbildung 6.4: Position eines Routers im Netz
Der Gateway-Rechner (Router) home-win besitzt zwei Netzwerkgeräte: eine Netzwerkkarte zum lokalen Netz und eine ISDN-Karte zum Internet. Wenn jetzt ein Datenpaket bei home-win vorbeikommt, wird anhand des Vergleiches von Ziel-Adresse und Subnetzmaske entschieden, ob das Datenpaket für das lokale Netzwerk oder für das Internet bestimmt ist und dementsprechend weitergeleitet (über die Netzwerkkarte oder die ISDN-Karte). Wenn viele Rechner (oder viele Netze) zusammengeschlossen sind, gibt es mehrere Möglichkeiten, das Ziel zu erreichen. Deshalb wird anhand eines bestimmten Kriteriums (Leitungsauslastung, Übertragungskosten, Priorität der Daten usw.) eine Route ausgesucht. Die Aktualisierungshäufigkeit dieser Aktion bestimmt die Art des Routings: beim dynamischen Routing werden die Daten ständig automatisch aktualisiert (teilweise alle 30 Sekunden), beim statischen Routing werden die Daten von einem Systemadministrator gepflegt und beispielsweise halbjährlich überarbeitet. Durch die redundanten Wege zu einem bestimmten Ziel können partielle Ausfälle des Netzes umgangen werden.
Adressübersetzung Da die lokalen Adressräume wie 192.168.0.0/24 von jedermann be- NAT nutzt werden und mehrfach vergeben sind, stößt der Zusammen- Network Adress schluss von mehreren dieser Netzwerke zwangsläufig auf Probleme. Translation Gerade im Internet muss jeder Rechner eindeutig adressierbar sein. Man bedient sich der NAT (Network Address Translation), um dieses Problem zu beheben. Dabei wird ein Teilnetz versteckt und nach außen hin unsichtbar gemacht. In unserem Beispiel erhält home-win nun eine zweite, echte IP-Adresse, mit der er im Internet angesprochen werden kann:
200
6 Netzwerkgrundlagen
Abbildung 6.5: Router als Adressübersetzer
home-win tritt nun als Übersetzer in Aktion: Er übernimmt Verbindun-
gen aus dem lokalen Netz ins Internet und tut so, als ob er sie selber aufbaut. Damit tritt das gesamte Netz 192.168.0.0/24 nach außen hin nur als die eine Adresse 195.234.113.11 auf. win98pc und myPC sind von außen nicht direkt erreichbar.
6.3.8 TCP (Transmission Control Protocol) Wie bereits in Abschnitt 6.3.3 Die IP-Adresse ab Seite 194 gezeigt, ist die Ebene des IP unzuverlässig und verbindungslos. Damit eine sinnvolle und funktionierende Datenübertragung aufgebaut werden kann, kommt auf der Ebene 4 des ISO/OSI-Referenzmodells das TCP zum Einsatz. Auf dieser Schicht wird nicht mehr von Paketen, sondern von Segmenten gesprochen. Ein IP-Paket kann einem TCP-Segment entsprechen, dies muss aber nicht sein, denn das IP kann Segmente fragmentieren.
Eigenschaften Das TCP stellt eine bidirektionale, gesicherte Verbindung mit den folgenden Eigenschaften her: Fehlerkontrolle
•
Fehlerkontrolle. Um eine verlustfreie Übertragung zu erreichen, wird der Empfang aller Pakete quittiert (Acknowledgement).
Zeitüberwachung
•
Zeitüberwachung. Wird der Datenempfang nicht innerhalb einer bestimmten Zeit quittiert, so wird ein Übertragungsfehler vermutet und die Datenpakete werden automatisch noch einmal gesendet.
Flusskontrolle
•
Flusskontrolle. Durch Pufferbereiche kann zwischen verschieden schnellen Systemen vermittelt werden, ohne dass es zu Datenver-
6.3 TCP/IP
201
lust kommt. Dazu werden alle Datenpakete fortlaufend mit Sequenznummern nummeriert. Über einen Fenstermechanismus (Windowing) in Kombination mit den AcknowledgementMeldungen wird dafür gesorgt, dass nicht mehr Daten verschickt werden, als der Empfänger verarbeiten kann. •
Multiplexing. Ein Rechner kann mehrere TCP-Verbindungen Multiplexing gleichzeitig bearbeiten. Dafür werden verschiedene Ports definiert.
Multiplexing Damit ein Rechner gleichzeitig mehrere Verbindungen (Multiplexing) bearbeiten kann, müssen diese unterschieden werden. Dazu bedient sich das TCP der sogenannten Ports. Jeder Anwendung, die das TCP benutzen will, wird ein Port zugeordnet. Es gibt 65.536 verschiedene Ports, fortlaufend nummeriert. An dieser Stelle ist die Kenntnis folgender Definitionen sinnvoll: •
Ein Paar aus IP-Adresse und Port wird Socket genannt.
•
Eine Verbindung zwischen zwei Rechnern ist wiederum eindeutig durch zwei Sockets definiert.
Definitionen
Eine Portbezeichnung wird normalerweise hinter einem Doppelpunkt an die IP-Adresse oder den DNS-Namen gehängt: 192.168.0.101:80 oder home-win:80. Wenn Sie (home-win, Adresse 192.168.0.101) einen Webserver auf Port 80 laufen lassen und sowohl myPC (192.168.0.104) als auch win98pc (192.168.0.102) jetzt mit einem Browser über ihre lokalen Ports 80 Daten vom Webserver abrufen wollen, kommen die folgenden drei Sockets vor:
Rechner Adresse
Port
home-win 192.168.0.101 80 win98pc
192.168.0.102 80
myPC
192.168.0.104 80
home-win kommt auch dann nicht durcheinander, wenn beide Rechner
auf denselben Socket zugreifen. Dafür kommt das Multiplexing zum Einsatz: Es wird zwar auf denselben Socket zugegriffen, aber da eine Verbindung durch zwei Sockets definiert wird, kann home-win die beiden folgenden Verbindungen getrennt voneinander bearbeiten:
Tabelle 6.3: BeispielSockets
202
6 Netzwerkgrundlagen
Tabelle 6.4: Trennung der Socketadressen
Rechner Adresse
Port Rechner Adresse
Port
home-win 192.168.0.101 80
win98pc
192.168.0.102 80
home-win 192.168.0.101 80
myPC
192.168.0.104 80
Das ist aber noch nicht alles. myPC könnte in diesem Fall nur eine einzige Verbindung zu home-win aufbauen. Daher benutzt der Client (myPC) nicht den Standardport 80, um die Verbindungen zu einem Server aufzubauen. Vielmehr werden dynamische Portnummern verwendet, die für jede Verbindung neu erzeugt werden. So können beispielsweise im WWW gleichzeitig mehrere Bilder von einem Server geladen werden, indem die Verbindungen parallel bestehen. Das folgende Beispiel zeigt dies. Es sind folgende Sockets im Spiel, während myPC gleichzeitig eine HTML-Seite und zwei darin enthaltene Grafiken von home-win herunterlädt: Tabelle 6.5: Portadressierung
Rechner Adresse
Port
home-win 192.168.0.101 80 myPC
192.168.0.104 1111
myPC
192.168.0.104 1112
myPC
192.168.0.104 1113
Jetzt hat myPC also diese drei Verbindungen zu home-win geöffnet: Tabelle 6.6: Offene Verbindungen
Rechner Adresse
Port Rechner Adresse
Port
home-win 192.168.0.101 80
myPC
192.168.0.104 1111
home-win 192.168.0.101 80
myPC
192.168.0.104 1112
home-win 192.168.0.101 80
myPC
192.168.0.104 1113
Durch diese Verfahrensweise ist es einem Server möglich, durch einen definierten Port (also eine eindeutige, immer gleiche Adressangabe) gleichzeitig mit mehreren Clients in Verbindung zu stehen (und das auch noch mit mehreren Verbindungen pro Client).
Wichtige Ports Die Portnummern sind in der RFC 1700 aufgelistet, die Sie unter der folgenden Adresse finden: •
www.isi.edu/in-notes/rfc1700.txt
6.3 TCP/IP
203
Auf den meisten Systemen sind die Ports über 1024 für jede Anwendung offen, während die Ports 1 – 1024 nur Systemprozessen (oder Anwendungen, die über entsprechende Privilegien verfügen) zur Verfügung stehen. Die folgende Tabelle zeigt die wichtigsten Ports, mit denen Sie auch bei der Arbeit mit Windows 2000 konfrontiert werden können.
Dienst
Port
Erklärung
ftp-data
20
File Transfer [Default Data]
ftp
21
File Transfer [Control]
telnet
23
Telnet
smtp
25
Simple Mail Transfer
domain
53
Domain Name Server
finger
79
Finger
www-http
80
World Wide Web HTTP
pop3
110
Post Office Protocol - Version 3
uucp-path
117
UUCP Path Service
nntp
119
Network News Transfer Protocol
ntp
123
Network Time Protocol
netbios-ns
137
NETBIOS Name Service
netbios-dgm 138
NETBIOS Datagram Service
netbios-ssn
139
NETBIOS Session Service
imap2
143
Interim Mail Access Protocol v2
irc
194
Internet Relay Chat Protocol
ipx
213
IPX
imap3
220
Interactive Mail Access Protocol v3
uucp
540
uucpd
Tabelle 6.7: Wichtige Portnummern
204
6 Netzwerkgrundlagen
6.4 Andere Protokolle Neben TCP/IP existieren weitere Protokolle, die von verschiedenen Herstellern eingeführt wurden, um ihre Produkte netzwerkfähig zu machen. Die wichtigsten werden nachfolgend vorgestellt.
6.4.1 NetBIOS Network Basic Input/Output System
Das NetBIOS (Network Basic Input/Output System) war Grundlage des ersten lokalen Netzwerksystems von IBM und Microsoft. Es wurde 1984 für DOS vorgestellt. NetBIOS allein hat heute keine Bedeutung mehr, ist aber für viele spätere Entwicklungen die geistige Basis.
6.4.2 NetBEUI NetBIOS Extended User Interface
NetBIOS und NetBEUI (NetBIOS Extended User Interface) waren jahrelang die Grundlage der Netzwerkstrategie von Microsoft. Bisher war NetBEUI das Standardprotokoll auf allen Windows-Installationen. Das Protokoll TCP/IP konnte erst nachträglich installiert werden. Erst mit Windows 98 ist auch bei Microsoft TCP/IP das Standardprotokoll, ebenso wie bei Windows 2000. Dieser Umschwung hat damit zu tun, dass NetBEUI nicht für größere Netzwerke geeignet ist, da es kein Routing-Protokoll gibt und das ganze System mit Broadcasts arbeitet, was die Weiterleitung in größeren Netzen behindert. Mit NetBIOS über TCP/IP steht dieses Protokoll auch zur Verfügung, wenn NetBEUI nicht mehr eingesetzt wird. Die Besonderheit von NetBEUI sind:
Besonderheiten von NetBEUI
•
Name Support: In NetBEUI-Netzen wird jeder Rechner über einen Namen angesprochen. Dieser Name darf 16 Zeichen lang sein und muss im Netz eindeutig sein. Wird ein Rechner ans Netz gebracht, so schickt er per Broadcast seinen Namen an alle anderen Rechner und bittet um Registrierung. Wenn kein Rechner protestiert (beispielsweise weil er den Namen schon benutzt), dann kann der Rechner ins Netz und den Namen benutzen.
•
SMB-Protokoll: Das Service Message Block Protokoll (SMB) dient der Strukturierung der gesendeten und empfangenen Daten. Diese werden dann mittels NetBIOS übertragen.
•
Redirector: Der Redirector stellt Anwendungen Dienste wie Netzlaufwerke und Netzdrucker zur Verfügung. Greift der Anwender beispielsweise auf ein Netzlaufwerk zu, so wird diese Anfrage vom Redirector abgefangen und in eine SMB-Anfrage an den entsprechenden Dateiserver weitergeleitet.
6.4 Andere Protokolle
205
Diese Funktionen bietet TCP/IP indes auch. So gibt es auch keinen technischen Grund mehr NetBEUI einzusetzen.
6.4.3 IPX/SPX Während TCP/IP als offener Standard gilt, ist IPX/SPX ein proprietä- Internet Packet res Protokoll. Im Gegensatz zu anderen Standards ist es dem Erfinder eXChange / Sequenced Packet Novell gelungen, dieses Protokoll weitreichend zu etablieren. IPX/SPX steht für »Internet Packet eXChange/Sequenced Packet eXchange«. Es ist ein zweigeteiltes Protokoll. SPX basiert auf dem »Sequenced Packet Protocol« (SPP) der Firma Xerox und wurde von Novell weiterentwickelt. IPX ist in der Schicht 3 des OSI-Modells definiert. SPX kann dagegen der Schicht 4 zugeordnet werden.
eXchange
Für die Zukunft hat IPX keine Bedeutung, da Novell in seinen neueren Produkten Netware 4 und 5 TCP/IP als Standardprotokoll einsetzt.
6.4.4 AppleTalk Das AppleTalk beschreibt nicht nur die Software-Seite (das Protokoll), AppleTalk sondern auch einen Hardware-Standard. AppleTalk hat sich praktisch Software nur im Macintosh-Bereich durchgesetzt und ist in der PC-Welt quasi nicht vorhanden. Es gibt jedoch für fast alle Plattformen (Windows, Linux und UNIX) diverse Software-Emulationen, die es erlauben, AppleTalk in ein anderes, von der jeweiligen Plattform »verstandenes« Protokoll umzusetzen. AppleTalk (als Hardware) war sehr weit verbreitet, vor allem wegen AppleTalk der geringen Verkabelungskosten (serielles Kabel, Telefonkabel), da Hardware die Hardware im Rechner selbst (serielle Schnittstelle) bereits vorhanden war und die Software mit dem Betriebssystem automatisch installiert wurde. Es war also eine kostengünstige, einfache und komplette Lösung zur Datenübertragung zwischen Macintosh-Rechnern und Peripheriegeräten bzw. anderen Macintosh-Computern. Wird AppleTalk über die serielle Schnittstelle des Macintosh betrieben, so spricht man von LocalTalk, bei der Verwendung von Ethernet spricht man von EtherTalk. EtherTalk wird heute überwiegend verwendet, da es deutlich schneller als LocalTalk ist. Die ursprüngliche AppleTalk-Hardware war die serielle Schnittstelle Hardware des Macintosh, eine Connector Box und Kabel. Ein Kabel wurde von der Connector Box zur seriellen Schnittstelle (Drop Cable), je ein weiteres Kabel in die und aus der Connector Box geführt (Trunk Cables). Jeder Computer (serielle Schnittstelle) ist ein Knoten (node). AppleTalk Phase 1 unterstützt Kabellängen von bis zu 300 Metern, maximal
206
6 Netzwerkgrundlagen 256 Knoten (in der ersten Version maximal 32) und eine Übertragungsrate von etwa 230 kbps. AppleTalk Phase 2 schließt die Verwendung von Ethernet ein und hebt zugleich die Beschränkung auf 256 Rechner auf: Einem Ethernet-Subnetz wird eine Network Number Range zugeteilt, wodurch in jedem Subnetz 256 Rechner (Knoten) möglich sind. Die in dieser Bus-Topologie verwendeten Connector Boxes stellen sicher, dass auch beim Abstecken eines Rechners das Netzwerk immer noch intakt ist.
Protokolle
In der Schichten-Modell-Darstellung des AppleTalk-Protokoll stellt die oberste Schicht, der Presentation Layer, den interessantesten Teil für den Benutzer dar: Das AppleTalk Filing Protocol (AFP) und der Printer-Access über PostScript. AFP wird realisiert über File Sharing (Kontrollfelder »File Sharing« in Systemversionen vor 9 auch noch »Benutzer & Gruppen«; die Auswahlerweiterung »AppleShare« und die Systemerweiterung »File Sharing Erweiterung« mit dem zugehörigen Library). Das Drucken über AppleTalk wird realisiert über entsprechende Auswahlerweiterungen (Druckertreiber; etwa »LaserWriter 8«). Jeder Macintosh in einem AppleTalk-Netzwerk prüft in Abständen von zehn Minuten, ob noch alle Geräte vorhanden bzw. ob neue hinzugekommen sind. Dadurch hat jeder Rechner eine aktuelle Liste (entspricht den »Routing tables« beim Router) mit allen verfügbaren Geräten.
6.5 Netzwerkkonzepte Dieser Abschnitt zeigt die wichtigsten Netzwerkkonzepte, die in Windows 2000 Professional zum Einsatz kommen. Den Schwerpunkt unserer Betrachtungen bilden dabei kleine Netze, die auf einen Windows 2000 Server verzichten.
6.5.1 Netzwerkverbindungen Mit Hilfe von Netzwerkverbindungen können Sie Ihren Computer mit anderen Computern oder einem privaten Netzwerk verbinden. Wenn Sie Ihren Computer mit einem Netzwerk oder einem anderen Computer verbinden, stehen Ihnen folgende Möglichkeiten zur Verfügung: •
Sie können auf Dateien oder Ordner auf anderen Computern zugreifen.
•
Sie können anderen Personen den Zugriff auf Ihre eigenen Dateien und Ordner ermöglichen.
•
Sie können Drucker und andere Geräte verwenden, die an andere Computer angeschlossen sind.
6.5 Netzwerkkonzepte •
207
Sie können anderen Personen den Zugriff auf alle Drucker oder Geräte ermöglichen, die an Ihren eigenen Computer angeschlossen sind.
Es gibt viele unterschiedliche Methoden zum Herstellen einer Verbindung zwischen Ihrem Computer und einem anderen Computer oder einem Netzwerk. In Windows 2000 können Sie folgende Verbindungen herstellen: •
Verbindung mit einem anderen Computer über eine Direktverbindung mittels Link-Kabel
•
Verbindung mit einem privaten Netzwerk über ein Modem, eine ISDN-Karte oder eine Netzwerkkarte
•
Verbindung mit einem Netzwerk über ein virtuelles privates Netzwerk (VPN)
•
Verbindung mit einem anderen Computer über den Anruf eines anderen Computers per Modem
Die Herstellung dieser Verbindungen sowie die Konfiguration der Netzwerkprotokolle und -einstellungen erfolgen in der Systemsteuerung über die Option NETZWERK- UND DFÜ-VERBINDUNGEN. Verbindungen mit News-Servern, Netzwerken und anderen Computern können auch über die Dienstprogramme Telnet oder HyperTerminal hergestellt werden.
Anwendungsformen Windows 2000 wird heute in vielfältiger Weise vernetzt eingesetzt. Der private Nutzer wird sich in der Regel auf den Internetzugang beschränken (siehe Abschnitt 12.5.1 Konfiguration für DFÜ-Verbindungen ab Seite 531); der professionelle Nutzer dagegen verfügt über ein lokales Netzwerk, ein virtuelles privates Netz und zusätzlich über eine Internetverbindung. Die Arbeitsstation kann dabei selbst als kleiner Server dienen oder die Leistungen eines zentralen Servers nutzen. Die Netzwerkunterstützung ist in Windows 2000 fest ins Betriebssys- Feste Integration tem integriert. Die Funktionen des Netzwerks stehen deshalb überall ins Betriebssystem zur Verfügung, beispielsweise in allen vom Betriebssystem generierten Dateiauswahldialogen. Fast alle Ressourcen, die dem Betriebssystem zur Verfügung stehen, können auch über das Netzwerk genutzt werden.
208
6 Netzwerkgrundlagen Leistungsmerkmale Vor der Nutzung der technischen Möglichkeiten sollte sich der Administrator über die zur Verfügung stehenden Leistungen im Klaren sein. Nur so können die Funktionen optimal eingesetzt werden. Oft wird teure Software von Drittanbietern nur genutzt, weil die Funktionen in Windows nicht bekannt sind, deren Nutzung unklar ist oder einfach nicht gefunden wurden. Dies ist auch der in Windows NT spürbaren nachträglichen Integration einiger Funktionen anzurechnen, die nicht unbedingt logisch angeordnet wurden. In dieser Beziehung ist Windows 2000 nicht optimal aber deutlich verbessert.
Windows 2000 Professional
Die wesentlichen Leistungsmerkmale der Professional-Version sind: •
Komplette Unterstützung für Peer-to-Peer-Netzwerke einschließlich Benutzerverwaltung ohne Server oder Domänencontroller
•
Zusammenarbeit mit allen heute üblichen Netzwerkprotokollen, beispielsweise TCP/IP, NWLink/IPX, AppleTalk und DLC.
•
Optimierte Unterstützung von Internetfunktionen durch feste Integration des Browsers und der Nachrichtenfunktionen (Outlook Express) in das Betriebssystem.1
•
Software erhält vollen Zugriff auf Netzwerkfunktionen über Standard-API-Funktionen.
•
Strenges Sicherheitsmanagement zur Absicherung aller Funktionen
•
Alle Einstellungen lassen sich auf der grafischen Oberfläche vornehmen
•
Die Nutzung verteilter Applikationen ist möglich, DCOM und COM+ werden unterstützt.
6.5.2 Strukturierung eines Netzwerks Je nach Aufgabenstellung ist eine Strukturierung des Netzwerks notwendig oder zumindest sinnvoll. Der Administrator sollte sich vor der Installation der Arbeitstationen darüber Gedanken machen. Einige Begriffe sind aber vorab zu klären: •
Arbeitsgruppe (siehe ab Seite 209)
•
Domäne (siehe ab Seite 212)
1
Man mag das politisch verdammen; technisch ist das ein signifikanter Fortschritt und für den Anwender ungemein hilfreich.
6.5 Netzwerkkonzepte •
209
Active Directory (siehe ab Seite 212)
Arbeitsgruppen Ein Windows 2000-System kann entweder zu einer Arbeitsgruppe oder zu einer Domäne gehören, nicht aber zu beiden gleichzeitig. Im kleinen Netz werden Sie kaum auf einen Domänencontroller stoßen. Hier ist die Arbeitsgruppe von zentraler Bedeutung. Der einfachste Weg ist die Einrichtung einer Arbeitsgruppe für alle Computer. Aber warum sollte überhaupt mit Arbeitsgruppen gearbeitet werden? Nimmt man den Namen »Arbeitsgruppe« wörtlich, ergibt sich schon der erste Anwendungsfall. Teilen Sie den einzelnen Arbeitsgruppen des Unternehmens auch auf Seiten der Netzwerkkommunikation Teilnetze zu. Teilnetze entstehen durch Vergabe von Arbeitsgruppennamen. Abbildung 6.6 zeigt die Aufteilung nach Abteilungen. Auch eine Zuordnung nach Projekten wäre denkbar. Die Zuordnung vereinfacht den Zugriff auf Ressourcen der jeweiligen Arbeitsgruppe. Eine grundsätzliche, unüberbrückbare Trennung gibt es aber nicht. Auf die Sicherheitseinstellungen müssen Sie dennoch achten. Abbildung 6.6: Logische Struktur eines Netzwerks ohne Server
Eine Arbeitsstation mit Windows 2000 Professional ist keineswegs ein Client/Server dummes Terminal, sondern verfügt über eine ganze Reihe von Funktionen, die man eher bei einem Server vermutet. Entsprechend an-
210
6 Netzwerkgrundlagen spruchsvoll ist dann auch die Einrichtung im Netz. Wenn man die klassischen Begriffe Client und Server nimmt, so ist diese Zuordnung im Peer-to-Peer-Netz nicht gegeben. Jede Station kann die Position eines Clients oder eines Servers einnehmen – jederzeit und gleichzeitig.
Ressource
Die häufigste Anwendung ist die Freigabe lokaler Ressourcen, in Windows als Freigabe bezeichnet. Freigegeben werden können Drucker, Verzeichnisse und Modems. Drucker und Verzeichnisse sind über den Windows Explorer erreichbar und natürlich über den Arbeitsplatz. Dort kann auch eine Freigabe eingerichtet werden. Zuvor sollten Sie sich aber über die Sicherheitsbedingungen im Klaren sein.
Mitglieder der Arbeitsgruppe
Mitglieder der Arbeitsgruppe müssen nicht Windows 2000-Computer besitzen. Folgende Betriebssysteme unterstützten das Windows-Netzwerk: •
MS-DOS mit Netzwerkanbindung
•
LAN Manager-Client für DOS oder Windows
•
OS/2 über LAN-Manager
•
Windows 3.1 mit Netzwerkerweiterung
•
Windows for Workgroups 3.11
•
Windows 95
•
Windows 98
•
Windows NT 4 Workstation
•
Windows NT 3.51 Server
•
Windows NT 4 Server
•
Windows 2000 Professional
•
Windows 2000 Server, Advanced Server und Datacenter Server
Das ist schon eine beachtliche Auswahl, die Einbindung älterer Computer muss also nicht mit der Aufrüstung von Software – die ja oft auch eine Hardwareaufrüstung nach sich zieht – verbunden sein. Der Begriff »Peer-to-Peer« steht für »Gleicher unter gleichen«, wobei damit nicht gemeint ist, dass alle Computer identisch sein müssen, sondern sowohl die Rolle des Clients als auch des Servers übernehmen können. Nachteile der Arbeitsgruppen
Um die Probleme beim Einsatz der Arbeitsgruppen im Netzwerk erkennen zu können, sollten Sie sich ein bestimmtes Szenario ansehen. Wenn beispielsweise jeder Computer im Netzwerk jedem anderen Ressourcen zur Verfügung stellt, laufen im Falle eines Zugriffs vielfäl-
6.5 Netzwerkkonzepte
211
tige Authentifizierungsprozesse ab. Abgesehen von einem kleinen lokalen Netz, in dem jeder Nutzer Administratorrechte hat, stellt dies ein Problem dar. Abbildung 6.7 zeigt die gegenseitigen Authentifizierungsprozesse in einem kleinen Netzwerk. Jeder Rechner kommuniziert direkt mit dem anderen. Da auf jedem System die lokalen Benutzerrechte gespeichert sind, kann eine einfache Abfrage von Ressourcen zu einer Mehrfachbelastung des Netzes führen. Wenn einem Benutzer Rechte entzogen werden sollen und dieser Benutzer zuvor auf mehreren Computern Zugriffsrechte hatte, muss der Administrator diese Einstellung an jeder Station vornehmen. Auch die Einstellung der Rechte selbst, beispielsweise die Trennung von Schreib- und Leserechte ist möglich. Ändern sich hier die Bedingungen kann der Aufwand zur Pflege exponentiell steigen. Abbildung 6.7: Authentifizierungsprozesse im Peer-toPeer-Netz
Die dezentrale Verwaltung wirkt sich auch bei anderen typischen Bedingungen negativ aus. Ändert ein Benutzer sein lokales Kennwort, so muss dies in allen im Netzwerk für ihn verfügbaren Ressourcen bekannt sein. Sind im Netz mehrere freigegebene Ordner oder Drucker vorhanden, ist das ein hoher Aufwand, zumal der Benutzer immer wieder auf die Hilfe des Administrators angewiesen ist. Die beste Lösung ist der Einsatz eines zentralen Servers, der Nutzer Vorteile mit Hilfe des Domänenmodells oder Active Directory verwaltet. Dies setzt jedoch den Einsatz eines Windows 2000 Servers voraus. Neben den höheren Kosten ist aber auch ein gewisser Einarbeitungsaufwand in den weitaus komplexeren Server zu beachten, der je nach Vorkenntnissen erheblich sein kann.
212
6 Netzwerkgrundlagen Domäne Eine Domäne in einem Windows-Netzwerk ist eine logische Gruppierung von Computern, die über eine gemeinsame Datenbank mit Ressourceninformationen verfügen. Dazu gehören auch Benutzerkonten und Sicherheitsinformationen. Die Domäne entsteht, indem ein Computer als Domänencontroller installiert wird. Dies kann entweder ein Windows NT 4 Server oder ein Windows 2000 Server sein. Bei NT 4 muss die Entscheidung, den Computer als Domänencontroller einzusetzen, vor der Installation gefällt werden. Bei Windows 2000 ist dies auch nachträglich möglich. In beiden Systemen kann die Einrichtung nicht rückgängig gemacht werden. Auch wenn sich Windows 2000 Domänen im Netz als solche anbieten, basieren Sie dennoch intern auf Active Directory, das die gesamte Sicherheitsdatenbank enthält.
Active Directory Service Der Verzeichnisdienst
Active Directory Service (ADS) ist ein Verzeichnisdienst, der einen Ort zum Speichern von Informationen über netzwerkbasierte Ressourcen enthält. Dies können Anwendungen, Drucker, Speicher oder Benutzer sein. ADS bietet ein standardisiertes Verfahren für den Zugriff auf diese Ressourcen im Netzwerk und auf Informationen über diese. ADS ist die Implementierung eines Verzeichnisdienstes von Microsoft. Es gibt noch andere Verzeichnissysteme, wie NDS von Novell. ADS kann nur verwendet werden, wenn ein Windows 2000 Server als Domänencontroller eingerichtet wurde. Als Clients kommen dagegen Computer mit Windows 95, Windows 98, Windows ME, Windows 2000 Professional oder Unix in Frage. Eine ausführlichere Einführung in das Active Directory finden Sie im nächsten Abschnitt. Detailliert wird der Aufbau des Active Directory sowie seine Administration in Band II beschrieben.
6.6 Einführung in Active Directory Active Directory (AD) ist eine zentrale Komponente in Windows 2000. Das Verständnis über den Sinn und die Anwendung von Verzeichnisdiensten ist von großer Bedeutung für die Planung eines auf Windows basierenden Netzwerks.
6.6 Einführung in Active Directory 6.6.1
213
Anwendungsgebiete
Die Komplexität von Netzwerkarchitekturen, verteilter Anwendungen Komplexität in unternehmensweiten Umgebungen usw. stieg seit Anfang der Neunziger Jahre stetig an. Früher genügte es, wenn eine E-MailAnwendung Textnachrichten versenden konnte, heute muss sie Adressbücher verwalten, Verteilerlisten auflösen und die verschiedensten Protokolle unterstützen. Am Anfang wurden die hierfür benötigten Informationen in Dateien gespeichert. Diese Form der Speicherung und Verwaltung von Informationen erweist sich in größeren Umgebungen zunehmend als kritischer Faktor. Die Datenbestände sind isoliert, Inkonsistenzen treten auf, Systeme und Netze werden immer schwerer durchschaubar und administrierbar. Immer mehr unternehmensweite Dienste etablieren sich, ohne dass die von einem Dienst geführten Informationen einem anderen Dienst zugänglich sind oder administrative Vorgaben in einfacher Weise für mehrere Dienste gesetzt werden können. Es existiert keine gemeinsame »Informationsinfrastruktur«, die als Basisdienst von Anwendungen genutzt werden kann.
Was ist ein Verzeichnisdienst? Ein Verzeichnisdienst ist eine hierarchische Datenstruktur, die zur Eine hierarchische Darstellung komplexer Daten dient. Diese Struktur enthält Informati- Dateistruktur onen über im Netzwerk verfügbare Ressourcen, beispielsweise Anwendungsprogramme, Drucker, Personen, Dateien usw. Er liefert einen konsistenten Weg zum Benennen und Beschreiben, zum Suchen und Finden, zur Zugriffssteuerung und Administration und zur Speicherung sicherer Informationen über individuelle Ressourcen. Ein Verzeichnisdienst ist ein zentraler Informationspool im Netzwerk. Zentraler Er ist die zentrale Autorität zum Managen von Identitäten und zum Informationspool Verteilen von Beziehungen zwischen Ressourcen, sodass sie zusammen arbeiten können. Der Verzeichnisdienst ist idealerweise eng mit den Sicherheitsfunktionen des Betriebssystems verbunden, um Integrität und Sicherheit zu gewährleisten.
6.6.2 Geschichte der Verzeichnisdienste Obwohl mit dem X.500-Standard bereits 1988 ein vielversprechender Erste Ansätze Ansatz existierte, wurde das Konzept eines allgemeinen und offenen bereits 1988 Verzeichnisdienstes nur langsam angenommen. Ursprünglich als globales Routingverzeichnis für X.400 gedacht, fand es schließlich als leistungsfähiges, unternehmensweites Verzeichnis Anwendung, ohne dass jedoch Applikationen und Dienste X.500 als Basisdienst effektiv
214
6 Netzwerkgrundlagen hätten nutzen können. Die geringe Verbreitung, die höheren Kosten und ineffiziente Zugriffsstandards haben dies verhindert. Mit der Verbreitung des Verzeichniskonzeptes und insbesondere mit dem Durchbruch von LDAP als schlankes, offenes Zugriffsprotokoll gewannen offene Verzeichnisdienste wieder an Bedeutung.
Verzeichnisse in Standardprodukten
Die Hersteller von IT-Produkten sind nie in der Lage gewesen, einen gemeinsamen Standard zu etablieren. X.500 als technische Implementierung wird von einigen Herstellern (auch von Microsoft) mit der Begründung abgelehnt, dass die Verwendung des OSI-Stacks nicht gerade im Trend läge und OSI-Protokolle viel Overhead erzeugen. Schlankere LDAP-Verzeichnisse wären zwar besser, doch dann beschränkt man sich wieder auf den kleinsten gemeinsamen Nenner und verschenkt viele proprietäre Funktionalitäten. Die Hersteller gingen nun dazu über, eigene Verzeichnisdienste mit offenem Zugang in ihre Produkte zu integrieren. Dabei orientierten sie sich bei der Gestaltung des Verzeichnisses überwiegend am X.500Standard und unterstützen heute außer ihren proprietären Protokollen und APIs auch offene Ansätze wie beispielsweise LDAP.
Microsofts Weg
Als Hersteller vieler IT-Produkte in verschiedenen Ebenen hat Microsoft mit AD einen Verzeichnisdienst geschaffen, in dem alle Ebenen Informationen ablegen und verwalten können. Dies betrifft neben Windows 2000 auch Microsoft Exchange, Microsoft SQL Server und den Internet Information Server. Es kann über LDAP, HTTP und UNC zugegriffen werden. Als API propagiert Microsoft ADSI, eine abstrakte Schnittstelle, über die auf Verzeichnisse vieler Hersteller zugegriffen werden kann. Daneben werden die LDAP C-API und MAPI unterstützt.
Anwendungsbereiche Wie oben beschrieben, wurde der Grundstein für allgemeine Verzeichnisdienste mit X.500 gelegt. Der Anwendungsbereich bestand in einem Benutzerverzeichnis (organizational DIT) und einem Teilbaum für das Mailrouting (Routing tree). Daneben war es möglich, Organisationsstrukturen (Organigramme) im Verzeichnis abzubilden. Für lange Zeit verband sich mit dem Begriff Verzeichnisdienst die Anwendung des elektronischen Adressbuchs. Erst nach und nach entwickelten sich weitere Anwendungen, die jedoch vorwiegend in der Integration von Datenquellen bestanden, da existierende Applikationen nicht in der Lage waren, mit dem Verzeichnis zu kommunizieren. Single Sign On Konzept
So bestand der Wunsch nach einem Single Sign On Konzept, bei dem sich ein Benutzer nur noch einmal gegenüber dem Verzeichnis authentifiziert und dann Zugriff auf alle ihm zugeordneten Systeme besitzt.
6.6 Einführung in Active Directory
215
Der Verzeichnisdienst ist für diese Aufgabe prädestiniert. Es muss jedoch auch gewährleistet werden, dass alle angeschlossenen Systeme die Information aus dem Verzeichnisdienst beziehen können. Trotz dieser Schwierigkeiten fanden sich viele sinnvolle Einsatzgebiete für einen unternehmensweiten Verzeichnisdienst, etwa als E-Mail Masterdirectory für die mitunter vielen verschiedenen E-Mail Systeme in einem großen, heterogenen Unternehmen oder für die Realisierung eines Call-Centers. Mit der Integration der Verzeichnisdienste in infrastrukturelle Produkte verschiebt sich dieser Anwendungsbereich sehr deutlich. Durch das offene LDAP-Protokoll werden die meisten Applikationen in der Lage sein, auf den Verzeichnisdienst zuzugreifen. Durch directory enabled applications wird der Verzeichnisdienst fester Bestandteil von ITProdukten sein, wobei es unerheblich ist, welches Verzeichnisprodukt zum Einsatz kommt. Nicht nur auf der Applikationsebene, besonders auch auf der Betriebssystem- und Netzwerkebene hält der Verzeichnisdienst Einzug. Das Management von großen Netzwerkstrukturen, Ressourcen und Konfigurationen wird über den Verzeichnisdienst abgewickelt, nicht nur mit Hilfe grafisch orientierter Tools, sondern auch webbasiert über den Internet-Browser. Das Verzeichnis wird auch zur Schaltzentrale für das Sicherheitsmanagement. Einzelne Dienste und Systeme werden nicht mehr isoliert betrachtet, sondern in einen Anwendungszusammenhang gebracht. Sicherheitsdefinitionen werden, auf Richtlinien basierend für alle betroffenen Elemente gesetzt. Der Verzeichnisdienst dringt auch in das IT-Management ein, dient dort als Datengrundlage für das Management des Inventars und führt Benutzer- und Architekturinformationen zusammen.
Der Weg zum Internetverzeichnis: LDAP Version 3 Die gestiegene und weiterhin steigende Komplexität speicherungswürdiger Informationen in Netzwerk- und Anwendungsumgebungen jeglicher Skalierung erfordert einen angemessenen Speicherungs- und Distributionsmechanismus. Dies kann in heterogenen Umgebungen nur mit standardisierten und offengelegten Protokollen und Informationsmodellen erreicht werden. Der Client-Zugriff auf Verzeichnisdienste erfolgte bislang, wenn dies Der ursprüngliche standardisiert geschah, über ein einfaches TCP/IP-basierendes Inter- Ansatz: RFC 1487 netprotokoll. Das Lightweight Directory Access Protocol (LDAP) hatte zu Beginn der 90er Jahre zunächst seine Rechtfertigung aus der Tatsache gewonnen, dass der Zugriff auf den Verzeichnisdienst (damals rein X.500) mit handelsüblichen Clients über das X.500-DAP nicht sinnvoll und zu vertretbaren Kosten zu bewerkstelligen war. Die Abbildung des DAP auf eine einfache, den verwandten Protokollen SMTP oder FTP ähnliche Internet-Kommunikation bildete das Kern-
216
6 Netzwerkgrundlagen stück des Lightweight Directory Access Protocols. Das RFC, das LDAP spezifiziert ist RFC 1487 »X.500 Lightweight Directory Access Protocol«. Für die Implementation von LDAP war insbesondere gewollt, dass die eigentliche Verzeichnisimplementation nicht verändert werden sollte, dass also durch Zufügung einer weiteren Komponente, die über vorhandene Protokolle kommuniziert, neue Funktionalität zugefügt wird. LDAP in dieser Version (LDAPv2) korrespondiert direkt mit dem Entwicklungsstand des OSI-Verzeichnisses X.500 zu diesem Zeitpunkt. Eine Änderung und Erweiterung am Standard X.500 zieht auch die Weiterentwicklung am Lightweight Directory Access Protocol nach sich. Die Änderungen, die das Verzeichnis mit der zweiten Revision 1993 erfuhr, waren jedoch so umfassend, dass auch für LDAP eine Erweiterung notwendig wurde.
Abbildung 6.8: Der Verzeichnisstammbaum von X.500 und LDAP
LDAPv3 Details
Der fortschreitende Siegeszug von LDAP und die Unterstützung durch alle relevanten Softwareanbieter veranlasste die ASIDArbeitsgruppe (Access, Searching and Indexing of Directories) der IETF,
6.6 Einführung in Active Directory den Rahmen für LDAP zu erweitern und eine Emanzipation von der zugrundeliegenden Verzeichnisarchitektur X.500 zu betreiben. Diese Entwicklung war bereits bei der freien Implementation des Lightweight Directory Access Protocols (Version 2) durch die University of Michigan abzusehen. Schon diese wurde, ohne formale Definition durch ein Standarddokument der IETF, mit einem sogenannten SLAPD (Standalone LDAP Server) ausgeliefert. Der Wechsel des maßgeblichen Autoren Tim Howes von der University of Michigan zu Netscape gemeinsam mit der Tatsache, dass eben dieser Tim Howes der Chairman der IETF-ASID-Working Group ist, sind die Grundlage für den Weg, den die Entwicklung des Lightweight Directory Access Protocols genommen hat. Dazu gehört auch die Tatsache, dass der erste Anbieter mit LDAP-Produkten Netscape war, interessanterweise vor Verabschiedung des Standards im Dezember 1997. Hieraus lässt sich direkt eine der Neuerungen ableiten, nämlich die Loslösung von X.500 als Protokollbasis und die Ermöglichung des Einsatzes des LDAP auf Fremdverzeichnissen und dedizierten LDAPVerzeichnisservern. Hand in Hand mit dieser Aussage geht aber auch die Beantwortung der Frage, welches eigenständige Verzeichniskonzept LDAP zugrunde liegt – nämlich keines. Das Lightweight Directory Access Protocol verlässt sich bei der Verwendung auf die Implementation des zugrunde liegenden Dienstes. Diese Dienste umfassen heute natürlich weiterhin X.500, aber auch ursprünglich proprietäre Verzeichnisse, wie etwa das Namens- und Adressbuch von Lotus Notes, das Microsoft Exchange-Verzeichnis, Novell Directory Services oder dedizierte LDAP-Verzeichnisserver, wie etwa der Netscape Directory Server oder der IBM DSSeries LDAP Directory Server. Das bei der ursprünglichen Konzeption als gegeben vorausgesetzte X.500-Informationsmodell ist aber bei der Behandlung von solcherart Fremdverzeichnissen immer gegenwärtig.
Auswirkungen Die Auswirkungen, die sich aus der Metamorphose von LDAP vom reinen Zugriffsprotokoll zum vollständigen Verzeichnisentwurf unter rücksichtsloser »Wiederverwendung« von X.500-Konzepten ergeben, sind auf mehreren Ebenen zu betrachten. Die Unterstützung eines einheitlichen Zugriffsprotokolls als Basis für einheitliche Kommunikation durch alle relevanten Anbieter ist für den Anwender uneingeschränkt positiv zu beurteilen. Auch wenn LDAP ursprünglich für das X.500-Informationsmodell konzipiert wurde, reduziert es für den Nutzer von heterogenen Umgebungen den Implementations- und Ausbildungsaufwand, wenn etwa Informationen aus einem Lotus Notes Namens- und Adressbuch ohne einen dedizierten
217
218
6 Netzwerkgrundlagen Notes Client abfragbar werden. Mit einfachen, für Verzeichnisdienste vorbereiteten Applikationen, lässt sich nun auf Informationen aus vormals abgeschotteten Bereichen einheitlich zugreifen. Dies ist um so mehr der Fall, wenn es sich um Informationsquellen handelt, die so in die Anwendungsumgebungen integriert sind, dass sie sich auch auf längere Sicht nicht durch ein wie auch immer geartetes, offenes Verzeichnis integrieren lassen. Problematischer wird es, wenn man den Protokollkomplex Lightweight Directory Access Protocol als Gegenentwurf zum 1993er X.500 positioniert und betrachtet. Macht dies in einer kleinen Organisation noch Sinn, so ergeben sich durch die Prozesse großer und potentiell stark verteilter und internationaler Unternehmen Anforderungen in Bezug auf Verwaltbarkeit, Lastverteilung und Sicherheit, deren Erfüllung nur mit einem leistungsfähigen Verzeichnis-Backbonesystem gewährleistet werden kann. Der auf den ersten Blick verführerisch wirkende Ansatz, viele LDAPServer zu haben, die bei Nachfrage nach ihnen nicht verfügbaren Informationen auf den korrekten Server per client-side referral verweisen, birgt unabschätzbare Datenmanagement-Probleme. Solange man von disjunkten Datenmengen ausgehen kann, mag das eine angemessene Strategie sein, aber in der Realität sind Informationen etwa zu ein und derselben Person in unterschiedlichen Systemen hinterlegt (Datenbanken, Benutzerverwaltung, Messaging System, Personalwesen). Wie ein Client die jeweils für ihn relevanten Informationen finden soll und wie er bei Inkonsistenzen die korrekte Information identifiziert, ist unklar und ohne zusätzlichen Verwaltungs- und Regelaufwand nicht handhabbar.
6.6.3 Microsoft Active Directory Service Microsofts Implementierung eines Verzeichnisdienstes ist eng an Standards angelehnt, verzichtet aber dennoch nicht auf proprietäre Erweiterungen. Konzepte und Ideen dahinter werden nachfolgend vorgestellt.
Bedeutung und Auswirkungen Auf die gestiegenen Anforderungen und das breitere Anwendungsspektrum von Verzeichnisdiensten reagierte Microsoft mit der Entwicklung des Active Directory Services. Ziel war es, einen integrierten Verzeichnisdienst zur Verfügung zu stellen, mit dessen Hilfe Informationen auf verschiedenen Ebenen (Netzwerk, Betriebssystem, Dienste, Anwendungen) zugänglich werden. Der Verzeichnisdienst ist durch die Ablage und Verknüpfung von Informationen aus den angeschlos-
6.6 Einführung in Active Directory
219
senen Komponenten zum Dreh- und Angelpunkt der Systemadministration, des Netzwerkmanagements und einigen Bereichen des ITManagements (Architektur- und Inventarmanagement, Helpdesk) geworden.
Konzepte Mit ADS sind die folgenden Konzepte möglich:
Die Konzepte
•
Einmalige Netzwerkanmeldung. Der Benutzer meldet sich nur einmal Einmalige im Netzwerk an und hat dann aufgrund der Zugriffsrechte, die im NetzwerkVerzeichnis gespeichert sind, Zugang zu allen für ihn freigegebe- anmeldung nen Netz-Ressourcen, Diensten und Anwendungen. Durch Replikation wird dabei ein Zugriff auch dann möglich, wenn ein Verzeichnisknoten ausfällt.
•
Zentraler Administrationspunkt. Da das Verzeichnis die zentrale Ab- Zentraler lage darstellt, müssen Änderungen nur an einer Stelle vorgenom- Administrationsmen werden. Dies gilt nicht nur für die Administration der Kom- punkt ponenten im Netzwerk, sondern auch für Dateien, Verbindungen, Datenbanken, Web-Access, Benutzer, Netzwerknamen, E-Mail Adressen, Zertifikate und andere Objekte, Dienste oder Ressourcen.
•
Veröffentlichung von Teilbereichen. Einige Informationen können ge- Veröffentlichung zielt freigegeben werden, so dass sie aus anderen Netzen, auch aus von Teilbereichen dem Internet, über ein offenes Zugriffsprotokoll abrufbar sind. Dieses Protokoll ist LDAP.
•
Einheitliches Sicherheitsmodell. Alle Informationen im Verzeichnis Einheitliches werden durch ein unteilbares, konsistentes Sicherheitssystem ge- Sicherheitsmodell schützt.
ADS ist ein sinnvolles Konzept zur Skalierbarkeit von Windows NTNetzarchitekturen. Aufgrund der hohen Marktmacht von Microsoft und der Zusammenarbeit mit bedeutenden Partnern wie beispielsweise Cisco ist eine hohe Verbreitung und Anwendung von ADS abzusehen. Trotz der propagierten Offenheit und der Unterstützung vielfältiger Protokolle und Mechanismen bleiben aber Schwächen. So ist beispielsweise das Replikationssystem von ADS proprietär und nicht mit standardisierten Replikationsverfahren wie X.500 interoperabel.
Das neue Domänenmodell Eine Domäne im Kontext von Windows NT ist ein Windows NTNetzwerk mit gemeinsamen Sicherheitsdefinitionen, das sich unter Umständen auch über mehrere, physikalische Standorte erstrecken kann. Mehrere Domänen mit einem gemeinsamen Schema können in ADS durch Vertrauensbeziehungen (trusts) zu einem Domänenbaum
220
6 Netzwerkgrundlagen verbunden werden. Die Domänen im Domänenbaum bilden eine vollständige Baumstruktur. Mehrere Domänenbäume mit einem gemeinsamen Schema, die aber keine vollständige Baumstruktur bilden, können zu einem Wald (forest) zusammengefasst werden.
Abbildung 6.9: Domäne, Domänenbaum und Wald
Zwischen den Domänenbäumen in einem Wald bestehen, wie innerhalb des Domänenbaumes auch, Vertrauensbeziehungen auf der Basis des Kerberos-Sicherheitsprotokolls. In ADS wird eine Domäne durch eine Partition des Verzeichnisses abgebildet. Eine Domäne kann dabei weiter in einzelne organizational Units (OU) unterteilt werden. Diese entsprechen jedoch nicht der gleichnamigen Objektklasse in X.500. Einfache Migration
Bestehende NT 4-Domänen werden auf Windows 2000 migriert, indem zunächst ein Upgrade des Primary Domain Controllers (PDC) durchgeführt wird. Es existiert nun eine gemischte NT 4/Windows 2000-Domäne, der PDC verhält sich nach außen jedoch wie ein NT 4System. Anschließend werden alle Backup Domain Controller (BDC) nach und nach migriert. Nun liegt eine vollständige Windows 2000Domäne vor. Mehrere migrierte Domänen können dann zu einem Domänenbaum verbunden werden.
6.6.4 Architektur Um ADS besser zu verstehen, sollten Sie sich die Struktur ansehen. Diese wird im folgenden Abschnitt beschrieben.
Logische Struktur Alle Ressourcen, die Active Directory verwaltet, werden in einer logischen Struktur untergebracht. Damit wird der tatsächliche Standort im
6.6 Einführung in Active Directory
221
Netzwerk in seiner Bedeutung zurückgedrängt und die Adressierung erfolgt mit Hilfe des Namens und komfortabler Suchfunktionen. Die bereits angesprochenen Gruppierungen lassen sich bis auf Objektebene auflösen. Eine vollständige Liste finden Sie nachfolgend: •
Wald (forest)
•
Baum (tree)
•
Domäne (domain)
•
Organisatorische Einheit (organizational unit)
•
Objekt (object)
Die englischen Bezeichnungen sind in der Literatur gebräuchlich, so dass Sie mit beiden Begriffswelten umgehen können sollten. Der Wald ist die Gesamtstruktur eines Active Directory. Er enthält Wald (forest) mehrere Domänenbäume. Durch die Integration mehrerer Domänen wird zwar kein einheitlicher Namensraum erreicht, dies ist aber auch nicht immer sinnvoll. Gerade in größeren Unternehmen sind oft verschiedene Einheiten zu finden, die sich auch namentlich unterscheiden und trotzdem einheitlich organisiert werden können. Die Einheit wird durch bestimmte Merkmale erreicht, die für Wälder gelten: •
Die Bäume haben eine einheitliche Struktur
•
Alle Domänen greifen auf einen globalen Katalog zu
So sind die Domänen einerseits unabhängig voneinander, können aber miteinander kommunizieren. Ein Baum ist eine hierarchische Anordnung einer Domänenstruktur. Baum (tree) Er besitzt also – wie in der Natur auch – einen Stamm, Äste und Blätter. Die Blätter bilden die Domänen. Alle Domänen eines Baumes haben ein identisches Schema und einen gemeinsamen globalen Katalog. Die Domäne bildet den eigentlichen Grundbereich innerhalb des Acti- Domäne (domain) ve Directory. Innerhalb einer Domäne werden Objekte definiert und nur in dieser Domäne werden sie gespeichert. Domänengrenzen sind nur schwer zu überwinden: sie gelten auch als Sicherheitsgrenze. Innerhalb der Domäne werden die Zugriffsrechte gesteuert. Jede Domäne kann einen eigenen Domänenadministrator haben, der in anderen Domänen keine Rechte besitzt. Eine organisatorische Einheit ist eine willkürlich festgelegte Gruppe von Objekten. Dabei müssen die Objekte nicht miteinander in irgendeiner Beziehung stehen. Es ist sinnvoll, hier logische Zusammenhänge zu bilden. So gehören die Computer, Benutzer, Drucker und Scanner einer Abteilung zusammen. Sie bilden eine organisatorische Einheit. Solche Einheiten können in beliebiger Zahl gebildet werden. Die
Organisatorische Einheit OU (organizational unit)
222
6 Netzwerkgrundlagen Struktur ist frei wählbar, sowohl innerhalb einer Domäne als auch im gesamten Kontext. Jede Einheit kann weitere enthalten und diese können beliebig tief geschachtelte Hierarchien bilden. Allerdings gibt es Probleme mit der Performance, wenn die Verschachtelung sehr weit geht. Idealerweise ist die Struktur flach. In mittleren Netzwerken wird die Objektzahl ohnehin keinen Anlass zu einer tiefen Struktur geben.
Objekt (object)
Jede organisatorische Einheit besteht aus Objekten oder weiteren organisatorischen Einheiten. Objekte repräsentieren Ressourcen, beispielsweise Computer oder Benutzer. Objekte bestehen dabei nicht nur aus einem Namen, sondern auch aus Attributen, die das Objekt näher beschreiben. Deshalb kann man auch nach Objekten suchen, deren Namen man nicht kennt – die Auswahl erfolgt durch Angabe bestimmter Eigenschaften. Für Benutzer kann es beispielsweise ein Attribut »E-Mail-Adresse« geben, für einen Drucker dagegen wird das Attribut »Color« von Interesse sein.
Objektklassen (classes)
Da sich bestimmte Arten von Objekten immer wieder finden, wäre es mühevoll, immer dieselben Attribute zu definieren. Um eine hohe Fehlerquote zu vermeiden, werden Objektklassen definiert. Die Klasse »Printer« enthält dann das Attribut »Color«, das mit 1 (Farbdrucker) oder 0 (S/W-Drucker) belegt werden kann. Ohne Klassen würde der Administrator vielleicht einmal das Attribut »Color« und ein andermal »No-Color« mit gegensätzlicher Bedeutung nennen – was ein Auffinden fast unmöglich macht. Typische Objektklassen sind beispielsweise Benutzer oder Gruppen. So lassen sich die bereits ohne Active Directory im Netzwerk existierenden Objekte leicht abbilden. Wenn man über Gruppen und Benutzer nachdenkt, fällt auch dort eine Abhängigkeit auf – Gruppen können Benutzer enthalten. Um solche Abhängigkeiten mit Active Directory-Objekten einfacher zu definieren, werden weitere Strukturelemente benötigt, sogenannte Behälter (container).
Behälter (container)
Ein Behälter entspricht einer Gruppe – er kann weitere Objekte, beispielsweise Benutzer enthalten. Die Einführung ist zur logischen Strukturierung notwendig. Denn organisatorische Einheiten können ohnehin weitere Elemente enthalten. Um dies nun gezielt erlauben oder verbieten zu können, werden die Behälter eingeführt. Nur Objekte, die Behälter sind, dürfen andere Objekte enthalten. Ein Druckerobjekt dürfte beispielsweise kein Behälter sein, ein Druckerpool dagegen ist nur als Behälter sinnvoll.
Namen (names)
Jedes Objekt im AD besitzt einen eindeutigen Namen. Dieser Name qualifiziert es im gesamten Verzeichnis – gegebenenfalls weltweit. Der Name entspricht den LDAP-Spezifikationen. Er ist naturgemäß relativ lang. Dies gilt für andere Verzeichnisdienste auch. Im Active Directory hat jedes Objekt außerdem eine GUID (global unique identifier), die es eindeutig repräsentiert. Programme, die damit umgehen können, er-
6.6 Einführung in Active Directory
223
reichen Objekte so auch ohne Kenntnis des Namens. Die GUID ist eine 128-Bit-Zahl.
6.6.5 Die physikalische Abbildung Das Active Directory wird zwar anhand der logischen Struktur des Unternehmens aufgebaut, die eigentliche Speicherung der Kataloge erfolgt jedoch zwangsläufig in einer physikalischen Form. Denn wenn ein AD ein weltweites Unternehmen verwaltet, kann nicht jeder Computer auf einen zentralen Katalog zugreifen. Der Administrator muss sich deshalb auch über die physikalische Struktur im Klaren sein. Eine Einheit der physikalischen Struktur sind Standorte. Diese Namen Standorte (sites) werden nicht im Namensraum des AD abgebildet, ein Zugriff auf Ressourcen über den Standort widerspräche dem Konzept. Wenn Sie den Namen dennoch verwalten möchten, fügen Sie ihn als Attribut den Objekten hinzu. Ein Standort wird als ein oder mehrere zusammenhängende Subnetze definiert, wobei die Ressourcen des Netzwerks mit einer Hochgeschwindigkeitsverbindung zusammengeschlossen sind. Es gibt zwar keine allgemeingültige Definition, was dies in der Praxis bedeutet, aber vereinfachend gesprochen bildet ein lokales Netzwerk (LAN) normalerweise einen Standort. Domänen können durchaus mehrere Standorte umfassen, beispielsweise die Filialen eines Unternehmens. Zu jedem Standort werden zusätzlich Computer- und Kommunikati- Replikation onsobjekte gespeichert. Mit Hilfe dieser Objekte wird die Replikation gesteuert – die Synchronisation der Kataloge. Das Active Directory wird auf einem Domänencontroller gespeichert. Da sich jeder Computer schnell orientieren soll, wird der Anmelde- und Auswahlprozess kaum über WAN-Verbindungen geführt. Jedes lokale Netz erhält deshalb einen eigenen Domänencontroller. Diese verteilten Datenbanken müssen permanent synchronisiert werden – der dazu notwendige Vorgang wird Replikation genannt. AD enthält dazu entsprechende Mechanismen. Jeder Domänencontroller enthält eine Kopie des AD. Diese Kopie wird Domänencontroller Replik genannt. Es gibt in AD kein zentrales Verzeichnis, von dem alle Domänencontroller ihre Kopie beziehen. Alle Kopien sind administrierbar und Änderungen werden sofort in alle anderen Controller repliziert. Es ist auch leicht möglich, an einem Standort mehrere Domänencontroller parallel zu betreiben und damit die Ausfallsicherheit zu erhöhen. Immerhin kann ein Ausfall des AD ein Unternehmen zum Erliegen bringen. Die Domänencontroller übernehmen auch die Authentifizierungsaufgaben, prüfen also beispielsweise Benutzernamen und Kennwörter.
224
6 Netzwerkgrundlagen Um die Replikation koordiniert ablaufen lassen zu können, errichtet AD einen Ring aus Domänencontrollern. Dieser Ring legt fest, in welcher Richtung repliziert wird. Der Ring ist aber so konstruiert, dass ein Ausfall eines Domänencontrollers nicht zur Unterbrechung führt. Beim Hinzufügen oder Entfernen von Domänencontrollern wird der Ring automatisch rekonfiguriert.
6.6.6 Konzeptionelle Aspekte Bei der Installation und Konfiguration des AD sind einige Begriffe von Bedeutung. Sie werden nachfolgend kurz aufgezeigt. Im Detail werden diese Konzepte im Band II der Reihe zu Windows 2000 behandelt.
Schema des Active Directory Das Schema (schema)
Die grundlegende Definition des AD erfolgt über ein sogenanntes Schema. Dort werden folgenden Einheiten beschrieben: •
Klassen
•
Attribute
•
Attribute der Klassen
Alle Objekte werden normalerweise aus Klassen abgeleitet. Damit es nicht zu kompliziert wird, erzeugt Windows 2000 Server bei der Installation des Active Directory ein Beispiel-Schema. Einmal definierte Klassen und Attribute eines Schemas können nicht wieder gelöscht werden. Statt dessen besteht die Möglichkeit, die betroffenen Schemen zu deaktivieren.
Der globale Katalog Der globale Katalog (global catalog)
Der globale Katalog ist ein spezieller Dienst des ADS, der alle Einträge verwaltet. Über den globalen Katalog werden die Suchfunktionen ausgeführt. Dies ist notwendig, um auch Objekte in anderen Domänen finden zu können, die normalerweise nicht sichtbar sind. Ob der Zugriff anschließend überhaupt möglich ist, ist dabei nicht interessant – die Sicherheitsgrenzen können mit dem globalen Katalog nicht übergangen werden. Globale Kataloge werden auf speziellen Katalogservern ausgeführt – diese können mit den Domänencontrollern übereinstimmen – müssen aber nicht.
6.6 Einführung in Active Directory Namensräume Als Namensraum wird eine Definition für die Bildung von Namen Namensraum bezeichnet, die so ausgeführt wird, dass anhand eines Namens er- (namespace) kannt werden kann, zu welcher Domäne der Name gehört. Dies gilt in ganz besonderem Maß auch für ADS. ADS-Namen basieren auf DNSNamen, wie Sie sie aus dem Internet kennen. Zwei Arten von Namensräumen kann man unterscheiden: •
Benachbarte Namensräume
•
Getrennte Namensräume
Getrennte Namensräume bilden einen Wald, benachbarte dagegen distinguished einen Baum. Die Identifizierung von Objekten innerhalb des Namens- name (DN) raumes erfolgt durch sogenannte vollständig qualifizierte Namen (distinguished name), die mit DN abgekürzt werden. Der DN wird durch eine Liste von Bezeichnungen dargestellt, die dem Pfad in der Hierarchie des Verzeichnisses entsprechen: /DC=net/DC=icon/OU=private/CN=users/CN=Joerg Krause Diese Adressen mögen gegenüber einer E-Mail-Adresse unhandlich erscheinen, für die Adressierung einer großen Anzahl von Objekten ist es jedoch von Vorteil. Wichtig ist zu wissen, dass AD keine doppelten Namen erlaubt, der DN muss eindeutig sein. Neben den DN gibt es noch eine Variante, die relative distinguished na- relative me (RDN). Damit können Namen auch dann adressiert werden, wenn distinguished nur ein Teil bekannt ist. Als RDN wird immer ein Teil des DN ver- name (RDN) wendet, meist der Name (CN). Die dritte Variante ist der user principal name (UPN). Darunter wird user principal eine Kombination aus Nutzernamen und Domäne verstanden. name (UPN) Normalerweise entstehen daraus Gebilde, die E-Mail-Adressen sehr ähnlich sehen und oft auch dafür verwendet werden. Dies ist von Vorteil, wenn administrative Prozesse automatisiert werden. Der UPN wird dann anhand der Stammdaten des Nutzers erstellt und als EMail-Adresse verwendet. Da die DN eindeutig sind, gilt dies implizit auch für die daraus abgeleiteten UPN.
6.6.7 Vergleich mit anderen Verzeichnisdiensten Microsofts AD wurde von Anfang an als großer Fortschritt gegenüber dem alten Domänenmodell gefeiert – meist nicht ohne den Hinweis, dass Novells NDS fortschrittlicher und effizienter sei. Falls die Frage des Einsatzes des einen oder anderen Systems steht, sollten Sie sich die Vor- und Nachteile genau anschauen. Völlig unkritisch kann man nämlich auch die Kritik nicht stehen lassen.
225
226
6 Netzwerkgrundlagen Arbeitsweise der Replikation Durch die Replikation kann ein AD sehr ineffizient erscheinen, da die Datenbanken relativ groß werden. Das zu übertragende Datenvolumen ist auch für schnelle Netzwerke erheblich. In der Praxis ist das Verhältnis zwischen Anfragen an das AD – die von der Verteilung profitieren – und Replikationen etwa 100:1. In Novells NDS kann man sich damit behelfen, Standorte in Partitionen zu unterteilen. Ändert sich ein Objekt, wird nur die Partition repliziert. Das vermindert das Datenvolumen signifikant. Allerdings bietet AD die Möglichkeit, mehrere Domänen zu verwalten und diesen jeweils einen Teil der Struktur zuzuordnen. Bei der Replikation wird dann nur eine Domäne repliziert. Der Nachteil ist die Notwendigkeit zusätzlicher Domänencontroller. Die Vorteile überwiegen jedoch in der Praxis. Die Domänenbäume können verschieden strukturiert sein – Partitionen können es nicht. Mehr Server bedeutet auch mehr Fehlertoleranz. Will man dies mit NDS erreichen, muss man auch mehr Server einsetzen, eine echte Einsparung an Hardware ist also nicht gegeben. Übrigens verwendet die Replikation ein proprietäres Protokoll. Damit ist die Zusammenarbeit mit anderen Verzeichnisdiensten nicht gegeben. Die Migrationswerkzeuge sind »One-Way«, es gibt also keinen Weg zurück. In Anbetracht der Komplexität einer solchen theoretisch denkbaren heterogenen Umgebung ist dies aber kaum von Bedeutung.
Funktionsweise der Update-Steuerung Ein anderer Kritikpunkt ist der Verzicht auf Zeitstempel für die Synchronisation. Wenn die Domänencontroller nicht exakt die gleiche Zeit haben, kommt es zu schweren Defekten in einem Verzeichnis bei der Replikation. Unter Unix ist das nicht unbedingt ein Problem, da durch Atomuhren gesteuerte Zeitsender oft standardmäßig im Netzwerk verfügbar sind. Zeitserver sind unter Windows aber wenig verbreitet und auf PC-Hardware nicht so bekannt. Microsoft verwendet deshalb Update-Sequence-Numbers (USN) zur Kontrolle. Dies funktioniert ähnlich den Seriennummern im DNS (domain name system). Jedes Objekt bekommt eine Nummer und bei jedem Update wird diese erhöht. Jeder Domänencontroller speichert die USN und kann später feststellen, ob ein Objekt neuer oder älter ist – je nach dem, ob die USN sich erhöht hat oder nicht. Die Zeit spielt dabei keine Rolle. Die USN wird übrigens auch für jedes Attribut gespeichert, sodass auch Änderungen an den kleinsten Einheiten des AD nicht verloren gehen. Dies führt – um auch die Nachteile zu erwähnen – zu einem größeren Overhead und ist damit möglicherweise langsamer als die Replikationssteuerung über Zeitstempel.
6.6 Einführung in Active Directory Definitionen der Schemas Kritisiert wird an AD auch die Tatsache, dass sich die Definitionen eines Schemas nicht wieder löschen lassen. Was nicht benötigt wird, stört aber auch wenig und kann auch jederzeit deaktiviert werden. Darüber hinaus wird die Bedeutung eines »perfekten« Schemas oft überschätzt. Eine Klasse mehr oder weniger spielt nicht wirklich eine Rolle – Schemata definieren eher eine Obermenge von Möglichkeiten.
Zusammenfassung Insgesamt bestehen nur wenige Bedenken gegen den Einsatz eines AD im Unternehmen. Die Integration in die Microsoft-Welt ist eng und gelungen. So lassen sich beispielsweise Exchange-Verzeichnisse dort abbilden. Wird ein neuer Benutzer angelegt, erhält er implizit eine Mailbox – eine drastische Einsparung an Administrationsaufwand. Wird der Benutzer gelöscht, verschwindet auch sein Postfach. Dies lohnt sich unter Umständen sogar bei kleineren Unternehmen, die nur wenige Dutzend Arbeitsplätze haben. Üppig ausgestattete Server und schnelle Netzwerke sind dabei immer noch die geringste Investition.
227
6.6 Einführung in Active Directory
Kapitel 7 Drucken
7.1
Überblick.................................................................231
7.2
Der Druckvorgang .................................................232
7.3
Logische und physische Drucker .......................239
7.4
Lokale Anschlussmöglichkeiten.........................242
7.5
Drucken im Netzwerk ..........................................245
7.6
Farbmanagement....................................................251
229
7.1 Überblick
231
7 Drucken Drucken ist eine der wichtigsten Aufgaben bei der täglichen Arbeit mit Windows 2000. Die Möglichkeiten des Druckens wurden gegenüber dem Vorgänger NT deutlich erweitert. Der Umgang mit Druckern ist sowohl für den Benutzer als auch für den Administrator einfacher geworden. In diesem Kapitel werden die Grundlagen der Druckunterstützung von Windows 2000 Professional behandelt. Im Kapitel 13 Drucker einrichten und verwalten ab Seite 556 finden Sie alles, was Sie zum Einrichten und Administrieren von Druckern lokal und im Netzwerk benötigen.
7.1 Überblick Das Drucken unter Windows 2000 wurde um einige neue Funktionen erweitert. Einige sind den Serverversionen vorbehalten und werden hier nur vorgestellt. Eine ausführliche Darstellung finden Sie in Band II. Die folgende Tabelle zeigt die wichtigsten neuen Druckfunktionen im Überblick:
Funktion Plug&Play
Tabelle 7.1: Neue Druckfunktionen in Drucker werden nun wie unter Win- Professional Windows 2000
Beschreibung
Version
dows 9x beim Start beziehungsweise Server durch den Hardwareassistenten erkannt und bei Verfügbarkeit eines Treibers automatisch eingebunden. Internet Printing Protocol (IPP)
Via IPP bereitgestellte Drucker können Professional direkt über eine URL angesteuert wer- Server den.
Unidriver 5
Der universelle Druckertreiber (Unidri- Professional ver) liegt nun in der Version 5 vor und Server bietet unter anderem erweiterte Möglichkeiten für den Farbdruck.
Postscript-Treiber
Der neue Postscript-Treiber bietet jetzt Professional Postscript 3-Unterstützung sowie Kom- Server patibilität zu Adobes PPDs (Version 4.3).
232
7 Drucken
Funktion
Beschreibung
Version
Farbmanagement ICM 2.0
Das in Windows 2000 ICC-konforme Professional integrierte Farbmanagement ICM Server (Image Color Management) bietet in der Version 2.0 verbesserte Leistungsmerkmale für qualitativ hochwertige Farbdrucke.
DruckserverClustering
Im Rahmen der Clustering- Server Möglichkeiten für Server können auch Druckserver zusammengefasst werden, um bei einem Ausfall eines Systems die Druckfunktionalität im Netzwerk aufrechtzuerhalten.
Integration in Active Directory
Drucker können direkt als Objekte ins Server Active Directory integriert werden.
Neben den neuen Funktionen, die Windows 2000 gegenüber dem Vorgänger NT auszeichnet, sind in der folgenden Tabelle weitere wichtige Merkmale aufgeführt: Tabelle 7.2: Weitere Druckfunktionen
Funktion
Beschreibung
Version
DruckerserverFunktionen
Einfache Druckserverfunktionen bietet Professional bereits Windows 2000 Professional. Bis Server zu 10 Netzwerkbenutzer können gleichzeitig bereitgestellte Druckdienste nutzen.
Logische Drucker Mehrere logische Drucker können einen Server und Druckerpools physischen ansteuern sowie mehrere (gleichartige) Drucker können zu einem Pool zusammengefasst werden.
7.2 Der Druckvorgang Die Druckdienste sind in Windows 2000, wie viele andere Systembestandteile, modular aufgebaut. Jeder Teil übernimmt eine spezifische Funktion bei der Abwicklung des Druckauftrages.
7.2.1 Ablaufschema des lokalen Druckens Das Zusammenspiel der einzelnen Komponenten soll die folgende Abbildung verdeutlichen.
7.2 Der Druckvorgang
233 Abbildung 7.1: Ablauf beim lokalen Drucken
Das Graphical Device Interface (GDI) ist die zentrale universelle Schnitt- GDI stelle für die Aufbereitung der Daten der Anwendung für die Ausgabe auf dem Bildschirm oder einem Drucksystem. Für die Druckaufbereitung kommuniziert die Graphics Engine über das GDI mit dem Druckertreiber. Diese enge Verbindung zwischen den technischen Merkmalen des Druckertreibers und der Bildschirmdarstellung können Sie immer dann registrieren, wenn nach dem Wechsel des aktuellen Dru-
234
7 Drucken ckertreibers beispielsweise eine Anwendung wie Microsoft Word beginnt, das Dokument neu umzubrechen1. Andere Anwendungen, etwa professionelle Satzprogramme wie Quark XPress oder Adobe Pagemaker, kennen diese Probleme nicht, indem sie für die Aufbereitung der Daten für die Bildschirmanzeige eigene Routinen zwischenschalten.
Verbesserte Grafik- In Windows 2000 ist ein gegenüber NT weiterentwickeltes GDI impausgabe auch auf lementiert worden. Verbesserungen betreffen beispielsweise die Perdem Bildschirm formance und Funktionalität, auch für die Grafikausgabe auf dem
Bildschirm. So können unter anderem Cursor in Echtfarben oder TextAntialising hardwareunterstützt programmiert werden. Ein deutliches Erkennungszeichen des neuen GDI ist übrigens der schattiert dargestellte Cursor. Hier wird eine Alpha-Blending-Technologie des neuen GDI genutzt. Installieren Sie Grafiktreiber von Drittherstellern, die noch nicht diese Funktion des GDI nutzen, erscheint der WindowsCursor wie gewohnt ohne Schatten. GDI+
Für die nächste Generation von Betriebssystemen nach Windows 2000 ist von Microsoft eine GDI+ genannte Weiterentwicklung des GDI geplant. Ziel soll eine deutliche Verbesserung beim Zusammenspiel von 2D- und 3D-Grafik mit einer Erhöhung der Performance sein. So sollen sowohl aufwändige Multimediaanwendungen als auch neue Benutzeroberflächen möglich werden, die weit über das heute gewohnte Look and Feel von grafisch orientierten Betriebssystemen hinausgehen.
DDI
Zurück zum Drucken: Die Anwendung übergibt die zu druckenden Daten über GDI-Aufrufe an das Device Driver Interface (DDI), welches für den Druckprozess natürlich mit dem Druckertreiber (siehe auch Abschnitt 7.2.3 Druckertreiber ab Seite 236) verbunden ist. Über den Druckertreiber erfolgt dann die Umsetzung der anwendungsspezifischen Daten in die geräteabhängigen Daten, die das jeweilige Drucksystem versteht. So werden beispielsweise die GDI-Aufrufe in Postscript-Code für Belichter oder PCL-Code für Bürolaserdrucker umgesetzt.
Der Druckspooler
Die nächste Stufe ist die Übergabe der über das DDI generierten Druckdaten an den Spooler. Dieser ist als typische Client-ServerAnwendung implementiert und besteht aus zwei Teilen. Clientseitig arbeitet Winspool.drv, der die fertigen Druckdaten entgegennimmt. Serverseitig wird Spoolsv.exe eingesetzt, um die gespoolten Daten zu
1
Es gibt eine Funktion in MS Word 2000, die dieses Problem ein wenig minimiert, aber nicht vollständig beseitigt: Über EXTRAS | OPTIONEN KOMPATIBILITÄT deaktivieren Sie in den Optionen den Eintrag Druckermaße für Dokumentlayout verwenden.
7.2 Der Druckvorgang
235
übernehmen. Wird lokal gearbeitet, laufen beide Programme auf dem gleichen Windows 2000-System. Wenn der Spooler auf dem Server die Daten übernommen hat, sorgt der Druckrouter für die Weiterleitung an die Schnittstellen. Die Schnittstellen werden aber auch hier noch nicht direkt angesprochen, sondern von einer logischen Schicht verwaltet – dem Local Print Provider (LPP). Falls sich der Drucker im Netzwerk befindet, stellt der Netzwerkserver den LPP bereit. Der LPP verwaltet die Druckprozessoren, dass sind niedere Treiber für spezielle Druckformate. Der Druckprozessor sorgt auch für den Einbau von Trennseiten oder das Hinzufügen der abschließenden Seitenumbrüche beim Datentyp RAW [FF APPENDED]. Ist der Druckauftrag vom Druckprozessor fertiggestellt, wird er an die Portmonitore weitergeleitet. Diese Komponenten überwachen die physikalische Schnittstelle zum Drucker. Falls es sich um eine bidirektionale Schnittstelle handelt, wird der Druckauftrag mit dem Sprachmonitor (Print Job Language Monitor) bedient. So kann er mit dem Drucker kommunizieren und dessen Status abfragen. Fallen Daten an, werden diese bis zum Druckerdialog weitergereicht und stehen dort zur Verfügung oder werden als Popup-Dialog angezeigt. Wird eine unidirektionale Schnittstelle verwendet, werden die Daten einfach zum Port gesendet, auch das übernimmt der Portmonitor.
7.2.2 Die Spool-Datenformate Für die Übergabe der Druckaufträge an den Spooler stehen die folgenden Formate unter Windows 2000 zur Verfügung:
EMF EMF (Enhanced Metafile) ist das Standardformat. Hierbei wird der Enhanced Metafile Druckauftrag beim Client zusammengestellt. Die eigentliche Verarbeitung, beispielsweise das Erzeugen von Kopien oder die Umdrehung der Druckreihenfolge, erfolgt im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet. Wenn Sie nur unter Windows 2000 arbeiten, sollten Sie die Grundeinstellung (EMF) nicht ändern. Die Steuerung erfolgt dann vom Druckertreiber und ist normalerweise ideal.
Raw-Druckformat Raw ist das Standardformat für alle Clients, die nicht unter Windows Raw 2000 laufen. Die Daten werden im Spooler nicht verändert und direkt
236
7 Drucken an den Drucker weitergeleitet. Es gibt zwei Modifikationen des Datentyps:
Raw [FF appended]
•
Raw [FF appended]. Hierbei wird bei jedem Druckauftrag ein Seitenvorschub angehängt. Laserdrucker und andere Seitendrucker geben die letzte Seite nicht aus, wenn sie nicht vollständig ist. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch.
Raw [FF auto]
•
Raw [FF auto]. Mit dieser Option prüft der Spooler, ob die letzte Seite bereits mit einem Seitenumbruch abgeschlossen wird. Ist das der Fall, unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehängt.
PSCRIPT1 Apple Macintosh
Hinter diesem Datentyp verbirgt sich ein einfacher PostscriptInterpreter, der in Windows 2000 vor allem für die Verarbeitung von Druckaufträgen von Apple Macintosh-Clients vorgesehen ist. Es wird nur einfarbiges Postscript Level I unterstützt. Seitens des Apple Clients können Sie einen standardmäßigen Laserwriter-Postscripttreiber mit der entsprechenden PPD verwenden. Damit wird die Ausgabe von Postscript-Code auch auf Nicht-Postscriptdruckern ermöglicht. Die Qualität des Interpreters beschränkt die Möglichkeiten auf Text und einfache Strichgrafiken, Halbtonbilder werden nur sehr grob umgesetzt.
Windows 2000 Server
Die Druckserver-Funktionen von Windows 2000 Professional lassen allerdings keine direkte Freigabe von Druckern für Apple-Clients zu. Es wird zwar das AppleTalk-Protokoll selbst unterstützt, dieses kann aber nur für die Anbindung externer AppleTalk-Netzwerkdrucker an einen Windows 2000 Client verwendet werden.
Text Text
Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die nicht vom Spooler modifiziert werden. Der Drucker druckt in seiner Standardschriftart.
7.2.3 Druckertreiber Die Funktion von Druckertreibern wurden schon im vorhergehenden Abschnitt kurz beschrieben: Die Umwandlung der geräteunabhängigen GDI-Aufrufe in die Befehle oder Codes, die das jeweilige Drucksystem versteht. Dabei werden mehrere Grundtypen von Druckertrei-
7.2 Der Druckvorgang
237
bern unterschieden, deren drei wichtigste in den folgenden Abschnitten beschrieben sind.
Universeller Druckertreiber Der Universelle Druckertreiber wird für die meisten Druckertypen Unidriver eingesetzt, die sich im typischen Geschäfts- oder Heimumfeld befinden. Dieser Treibertyp wird auch als Rastertreiber bezeichnet, da er das Drucken von Rastergrafiken direkt übernehmen kann. Für den Farbdruck werden verschiedene Farbtiefen und eine Reihe von Rasterverfahren unterstützt. Für den Druck von reinem Text sind druckerspezifische Schriftarten einsetzbar. Diese haben aber heute mit Truetype und Opentype nahezu an Bedeutung verloren, garantieren doch diese unabhängigen Formate erst einen gleichartigen Ausdruck auf den verschiedensten Druckern mit einer weitgehenden Übereinstimmung zum Bildschirm (What you see is what you get – WYSIWYG). Der Unidriver unterstützt diese drei Arten von Schriften. Als eine Untermenge der durch den Unidriver unterstützten Drucker- PCL sprachen findet sich auch die von Hewlett Packard entwickelte Printer Control Language (PCL) wieder, heute neben Postscript ein Standard für viele Drucksysteme im geschäftlichen Umfeld. Der Unidriver wird mit einer Beschreibungsdatei für das jeweilige BeschreibungsDruckmodell vom Druckerhersteller versorgt, in der die druckerspezi- datei *.gpd fischen Merkmale wie beispielsweise Papierformate, Farbfähigkeit oder Auflösung vermerkt sind. Daneben wird es sicher nach wie vor auch komplexe Druckertreiber Treiber mit Signavon Herstellern geben, die über die standardmäßig gebotenen Fea- tur verwenden! tures des Unidriver hinausgehen wollen und eigene weitergehende Komponenten mitliefern. Dabei sollten Sie auch hier das oberste Gebot für Treiber in Windows 2000 durchaus ernst nehmen: Niemals ohne Signatur! Sonst kann es durchaus passieren, dass eine Reihe der neuen Eigenschaften wie beispielsweise das Internet-Drucken auf einmal nicht mehr nutzbar sind. Haben Sie keinen entsprechenden Druckertreiber für Ihr konkretes Drucksystem, ist es für die Sicherstellung eines reibungslosen Betriebes besser, einen in Windows 2000 enthaltenen, kompatiblen Treiber zu wählen als auf einen älteren Treiber des Herstellers zurückzugreifen.
Postscript-Druckertreiber Der Standard in der grafischen Industrie schlechthin ist heute Post- Postscript script. Die bislang eher mäßige Unterstützung dieser Seitenbeschreibungssprache in Windows NT wurde jetzt deutlich verbessert. So ist ein in Zusammenarbeit mit Adobe entwickelter moderner Postscript-
238
7 Drucken Treiber in Windows 2000 enthalten, der unter anderem auch Postscript 31 unterstützt. Der Postscript-Treiber bildet das universelle Grundsystem für die Generierung der Befehle dieser Seitenbeschreibungssprache.
Applikationsabhängig
Die Qualität des Postscriptcodes wird aber keineswegs allein durch den Postscript-Treiber bestimmt. Vielmehr muss die Anwendung entsprechend die Ausgabe der Daten für Postscript optimiert steuern können. Moderne Grafik- oder Satzprogramme bieten deshalb für die Ausgabe auf einem Postscript-Drucksystem erweiterte Einstellmöglichkeiten an und greifen ihrerseits auch direkt auf die PPD-Dateien zurück.
PPD-Dateien
Diese PPD-Dateien (Postscript Printer Description) enthalten die druckerspezifischen Merkmale wie Auflösung, Farbfähigkeit oder Papierformate. In diesen Textdateien sind die entsprechenden DruckerParameter in spezieller Postscript-Syntax eingebettet.
PostscriptSchriften
Wollen Sie neben den standardmäßig in Windows 2000 unterstützten Truetype und Opentype-Schriftarten auf die heute erhältliche breite Palette von Postscript-Schriften zurückgreifen, müssen Sie diese mit Hilfe erhältlicher spezieller Schriftartenverwaltungsprogramme wie beispielsweise Adobe TypeManager einbinden.
HPGL/2-Druckertreiber HPGL/2
Der Ausgabe auf Plottern mit der Beschreibungssprache HPGL (Hewlett Packard Graphics Language) dient dieser Druckertreibertyp. Dabei wird nur noch die Version HPGL/2 unterstützt.
Druckertreibertypen und ihre Systemdateien In der folgenden Tabelle finden Sie die drei Grundtypen in einer Übersicht mit ihren wesentlichen Windows-Systemdateien.
1
Im Gegensatz zu Postscript Level I und II spricht man bei der neuen Version 3 nicht mehr von einem Level. Diese Postscript 3 genannte und geschützte Terminologie hat Adobe eingeführt, damit Postscript-CloneHersteller bei der Bezeichnung ihrer Produkte nicht mehr mit einer Level-Kompatibilität werben können. Sei´s drum – jeder weiß trotzdem, was mit PS Level 3 gemeint ist.
7.3 Logische und physische Drucker
Treibertyp Systemdatei
Funktion
Unidriver
UNIDRV.DLL
Druckertreiber
UNIDRV.HELP
Hilfedatei
UNIDRVUI.DLL
Benutzeroberfläche (User Interface)
< DRUCKER>.GPD
Drucker-Beschreibungsdatei
PSCRIPT5.DLL
Druckertreiber
PSCRIPT.HLP
Hilfedatei
PS5UI.DLL
Benutzeroberfläche (User Interface)
.PPD
Postscript Printer Description
.BPD
enthält die benutzerspezifischen Einstellungen wie ausgewähltes Papierformat etc.
PLOTTER.DLL
Druckertreiber
PLOTTER.HLP
Hilfedatei
PLOTUI.DLL
Benutzeroberfläche (User Interface)
.PCD
Plotter-Beschreibungsdatei
Postscript
HPGL/2
Je nach Druckermodell können hier noch weitere Dateien benötigt werden.
7.3 Logische und physische Drucker Windows 2000 kennt die Unterscheidung in logische und physische Drucker.
Logischer Drucker Den Drucker, den der Benutzer in seinem Anwendungsprogramm auswählt und an den er letztlich den Druckauftrag sendet, bezeichnet man als logischen Drucker. Die Einstellmöglichkeiten für den Benutzer wie Papierformat, Auflösung etc. werden dabei durch den dem logischen Drucker zugeordneten Druckertreiber bereitgestellt.
Physischer Drucker Den logischen Drucker, den Sie mit Hilfe der Druckerverwaltung von Windows 2000 einrichten und administrieren, können Sie wiederum einen oder mehreren physischen Druckern oder auch einem virtuellen Port, beispielsweise für die Ausgabe in eine Datei oder die Übergabe
239 Tabelle 7.3: Systemdateien der Treibertypen
240
7 Drucken an eine Faxsoftware, zuordnen. Als physischer Drucker wird das konkrete technische Gerät bezeichnet, auf dem der Druck hergestellt wird.
Hohe Flexibilität
Diese konsequente Trennung von physischen Geräten und der Benutzerschnittstelle, dem logischen Drucker, verhilft zu einer hohen Flexibilität bei der Einbindung und Organisation von Druckressourcen. Bei einem Computersystem mit einem lokal angeschlossenen Arbeitsplatzdrucker ist meist ein logischer Drucker mit dem lokalen Anschlussport LPT1 verbunden, über den der physische Drucker mit Daten versorgt wird.
Abbildung 7.2: Logischer und physischer Drucker
Offline drucken
Einen logischen Drucker können Sie auch dann für die Druckausgabe benutzen, wenn der physische Drucker nicht vorhanden ist. So haben Sie die Möglichkeit, den Anschlussport des logischen Druckers auf FILE umzustellen und den Druckdatenstrom in eine Datei umzuleiten und dann bei einem anderen, kompatiblen Drucksystem zu laden. Oder Sie stellen den logischen Drucker auf Offline verwenden. Im zugeordneten Spooler werden die Druckdaten dann solange aufbewahrt, bis Sie den logischen Drucker wieder Online schalten. So können Sie beispielsweise mit einem Notebook unterwegs Unterlagen aufbereiten und auch schon fertig an den Drucker senden, um sie dann bei Verfügbarkeit des physischen Druckers auszugeben.
Mehrere logische Drucker verwenden Für bestimmte Anwendungsfälle kann es auch sinnvoll sein, für einen physischen Drucker mehrere logische Drucker einzurichten. Sie sind da in der Entscheidung völlig frei. Unter Windows 2000 können Sie beliebig viele logische Drucker einrichten, die einzige Bedingung ist die eindeutige Unterscheidbarkeit durch den gewählten Namen.
7.3 Logische und physische Drucker
241 Abbildung 7.3: Zwei logische Drucker für ein physisches Gerät
In Abbildung 7.3 sehen Sie einen möglichen Anwendungsfall für die Verwendung mehrerer logischer Drucker für den Betrieb eines physischen Gerätes. Das angenommene Drucksystem versteht zwei Druckersprachen: PCL und Postscript. Der PCL-Druckertreiber verfügt gegenüber dem Postscript-Treiber über mehr Funktionen, beispielsweise um aus einem mehrseitigen Dokument elektronisch eine fertige Broschüre zu erstellen und auszugeben. Mit dem Postscript-Treiber können Sie wiederum aus Layout-Programmen wie PageMaker oder Quark XPress zum Offsetdruck standverbindliche Probedrucke herstellen. Um die Vorteile beider Druckertreiber jeweils nutzen zu können, installieren Sie diese und erhalten im Ergebnis zwei logische Drucker, die mit einem physischen Gerät verbunden sind.
Druckerpools Eine weitere Anwendungsmöglichkeit dieses flexiblen Konzepts der Druckerpools Druckereinbindung ist die Bildung sogenannter Druckerpools. Darun- fassen mehrere ter versteht man die Zusammenfassung mehrerer physischer Geräte Geräte zusammen für die Ansteuerung über einen logischen Drucker. Das kann beispielsweise dann sinnvoll sein, wenn ein hohes Druckvolumen abgedeckt werden soll, mit dem ein Drucker überfordert wäre.
242
7 Drucken
Abbildung 7.4: Druckerpool
In einem kleineren Netzwerk können Sie so eine Windows Professional-Arbeitsstation als Druckserver einrichten, die einen freigegebenen logischen Drucker den anderen Netzwerkarbeitsplätzen zur Verfügung stellt. Anfangs kann hier beispielsweise ein physischer Drucker dahinter stehen. Steigt das zu bewältigende Druckvolumen, ist es ein einfaches, einen weiteren physischen Drucker, der allerdings mit dem ersten Modell kompatibel sein muss, hinzuzunehmen und nun die Ausgabe des logischen Druckers auf dem Druckerpool vornehmen zu lassen. Der Windows Druckmanager steuert dabei automatisch die Verteilung der Druckaufträge auf das jeweils freie Gerät. Für den Client ändert sich nichts, er sieht nach wie vor einen einzigen (logischen) Drucker.
7.4 Lokale Anschlussmöglichkeiten Für den physischen Anschluss eines normalen lokalen Arbeitsplatzdruckers gibt es heute praktisch drei Möglichkeiten: Parallelport, USB oder die Infrarot-Schnittstelle (IrDA), wie sie viele moderne Notebooks mitbringen.
7.4.1 Parallele Schnittstelle Parallelport
Der klassische Parallelport erlebte in den letzten Jahren mit EPP/ECP und DMA-Datentransfer noch einmal eine Renaissance. Neben einer verbesserten Datentransferrate ist nun auch eine einfache bidirektionale Kommunikation mit dem Drucker möglich. Entsprechende Drucksysteme können sich bei der Abfrage durch das Betriebssystem identifizieren und damit die Treibereinbindung vereinfachen. Zudem über den Abarbeitungsstand des Druckauftrages gegeben werden.
7.4 Lokale Anschlussmöglichkeiten
243
Die wichtigsten Standards, die heute den Parallelport kennzeichnen, werden in den folgenden Abschnitten vorgestellt.
Standard Parallel Port Der Standard Parallel Port (SPP) wurde in den ersten XT-Computern SPP eingeführt und bringt es auf eine vergleichsweise bescheidene Datentransferrate von 50 bis 150 KB pro Sekunde.
Enhanced Parallel Port Der Enhanced Parallel Port (EPP) ist gekennzeichnet durch eine gestei- EPP gerte Performance bei der Datenübertragung gegenüber SPP. Aktuelle Implementierungen erreichen durch bidirektionalen BlockmodusDatentransfer 2 MB pro Sekunde, was in der Praxis etwa mit einer Geschwindigkeit in einem 10 MBit Netzwerk vergleichbar ist. Zu älteren, nicht EPP-fähigen Drucksystemen wird Kompatibilität sichergestellt, sodass diese problemlos an diesem Port funktionieren sollten.
Extended Parallel Port Gegenüber EPP verfügt der Extended Capabilities Port (ECP), wie der ECP Name schon verspricht, über erweiterte Funktionen. Um eine höhere Bandbreite für anspruchsvolle Endgeräte zu erreichen, wurden gemäß den Konventionen des Standards IEEE P1284 die folgenden Erweiterungen implementiert: •
Hochgeschwindigkeitskanäle in beiden Richtungen (jeweils halbduplex)
•
Protokolldefinitionen für höchstmöglichen Datentransfer, unter anderem für Datenkompression (Single Bit RLE-Kompression)
•
Eingebaute Peer-to-Peer Netzwerkfähigkeiten
Wichtig ist, dass die angeschlossenen Drucker ebenfalls diese erwei- Möglichkeiten der terten EPP- beziehungsweise ECP-Funktionen beherrschen, um von Drucker den Fortschritten zu profitieren. Die meisten Geräte sind derzeit nicht in der Lage, die Druckdaten in der maximal möglichen Transferrate von 1 bis 2 MB pro Sekunde abzunehmen. In der Praxis sind aber Beschleunigungen gegenüber dem Standard-Parallelport um den Faktor 2 bis 15 realisierbar. Eine Weiterentwicklung wird es in diesem Bereich angesichts der überlegenen Möglichkeiten des Universal Serial Bus’ (USB) aber nicht mehr geben (siehe weiter unten in diesem Abschnitt).
244 Erkennung durch Windows 2000
7 Drucken Windows 2000 erkennt und konfiguriert EPP/ECP-Parallelports weitgehend automatisch. Für die Erkennung und Einbindung eines Druckers, der ebenfalls Plug&Play-Fähigkeiten mitbringt, muss allerdings entweder Windows 2000 neu oder die Hardwareerkennung manuell gestartet werden. Allein durch einen physischen Anschluss an den Port des laufenden Computers, anders als bei USB, passiert noch nichts.
7.4.2 Universal Serial Bus USB
Der eigentliche Fortschritt beim Anschluss eines Arbeitsplatzdrucker zeigt sich, wenn Sie ein modernes Gerät an einen USB-Port anschließen. Das Peripheriegerät wird sofort erkannt und kann auch bei laufendem Betrieb wieder problemlos entfernt werden. Neben dieser auch Hot Plug bezeichneten Fähigkeit des USB ist für das Drucken vor allem interessant, dass Sie ohne weiteres mehrere Geräte gleichzeitig anschließen können. Moderne PC verfügen von Hause aus meist über zwei Schnittstellen, über einfache USB-Hubs können leicht 4 oder mehr (theoretisch bis zu 127) gemeinsam betrieben werden. Die auf dem USB erreichbare Transferrate von ca. 1,2 MB pro Sekunde wird dann aber unter den Systemen aufgeteilt, wenn sie gleichzeitig Daten übertragen wollen. Trotzdem ist das ganze so flexibel ausgelegt, dass Peripherie mit verschiedenen Transferraten und sowohl asynchroner aus auch synchroner Übertragungsart koexistieren können.
7.4.3 IrDA Infrarot
Die Infrarot-Schnittstelle eignet sich für die schnurlose Anbindung von Druckern, vor allem im Hinblick auf das Drucken aus Notebooks heraus. IrDA steht für Infrared Data Association, einer internationalen Organisation mit Sitz in Walnut Creek, Kalifornien (USA). Sie wurde 1993 zur Entwicklung von Standards für die InfrarotDatenübertragung gegründet (Siehe auch www.irda.org). Das sind die wesentlichen Merkmale der IrDA-Schnittstelle: •
Abdeckung eines Bereichs von ca. 1 m (2 m in der Praxis erreichbar); Voraussetzung ist natürlich, dass sich Sender und Empfänger direkt gegenüber befinden (sehen können).
•
Eine Variante, die besonders sparsam mit Energie umgeht (verbraucht etwa 10 mal weniger Strom), erreicht laut Spezifikation eine Entfernung von ca. 20 cm zwischen zwei gleichartigen LowPower-Geräten.
7.5 Drucken im Netzwerk •
Die erreichbare Datentransferrate beträgt momentan maximal 4 MegaBit pro Sekunde; in der Praxis sind damit Werte zu erzielen, die einer EPP/ECP-Parallelschnittstelle kaum nachstehen.
Die IrDA-Schnittstelle ist wie auch USB voll Plug&Play-tauglich. Ein Drucker, der durch das Betriebssystem am aktiven IrDA-Port erkannt wird, kann damit automatisch eingebunden werden (passende Druckertreiber vorausgesetzt).
7.4.4 IEEE 1394 Der Vollständigkeit halber sei hier noch der auch FireWire genannte FireWire Anschlussport genannt. Diese Hochgeschwindigkeitsschnittstelle ist momentan auf Standard-PCs noch selten anzutreffen. Allerdings wird sie zunehmend in Geräte implementiert, wo sie durch ihre geringe Baugröße der Anschlüsse und die trotzdem gegebene hohe Transferrate von bis zu 50 MB/s punkten kann: In Notebooks und digitale Camcorder. Bei Druckern hingegen ist sie noch kaum vertreten. Trotzdem würde sie, insbesondere bei Farbdruckern, wo es beim Ausdruck von Bitmaps eine hohe Menge an Daten zu verarbeiten gibt, einen enormen Geschwindigkeitsvorteil gegenüber anderen lokalen Schnittstellen bringen. Bei Anschluss eines Gerätes an den FireWire-Port wird dieses, wie auch bei USB, sofort erkannt und bei Vorhandensein von Treibern auch automatisch installiert.
7.4.5 Seriell Als weiterer möglicher Anschluss für einen Drucker kann theoretisch Seriell der serielle Port eines PC genutzt werden. Dieser hat jedoch heute aufgrund seiner geringen möglichen Datentransferrate für die Druckausgabe keine Bedeutung mehr. Das praktische Einrichten lokaler Arbeitsplatzdrucker ist Inhalt des Abschnittes 13.1 Installation lokaler Drucker ab Seite 559.
7.5 Drucken im Netzwerk Bereits Windows 2000 Professional bringt eine umfassende Unterstüt- Clientseite im zung für die Ansteuerung von Netzwerkdruckern mit. Die clientseiti- Vordergrund ge Einbindung dieser Netzwerkressourcen steht in diesem Abschnitt dabei im Vordergrund. Daneben wird auf die Druckserverfunktionen der Professional-Version eingegangen.
245
246
7 Drucken
7.5.1 Freigabe und Nutzung im Windows-Netzwerk Die gemeinsame Nutzung von einem oder mehreren Druckern ist die am weitesten verbreitete Ressourcenteilung im Netzwerk. Für die einfache Vernetzung weniger Computer, beispielsweise in einem kleineren Büro, wird dazu noch nicht einmal ein dedizierter Server benötigt. Mit einem Windows 2000 Professional-System haben Sie die Möglichkeit, einen leistungsfähigen Druckserver für ein kleineres Netzwerk zu implementieren. Windows 2000 Professional als Druckserver
Dabei wird, wie auch schon seit den Zeiten von Windows for Workgroups oder Windows 9x, ein Drucker auf dem System freigegeben und so den anderen Nutzern im Netzwerk sichtbar gemacht. Für die Verwendung von Windows 2000 Professional als Druckserver gilt es allerdings zu beachten, dass der Zugriff auf den freigegeben Drucker auf gleichzeitig 10 Clients beschränkt ist. Haben Sie ein höheres Netzwerkdruckaufkommen zu bewältigen, sollten Sie auf eine der Windows 2000 Servervarianten umsteigen. Bei der Nutzung eines Windows 2000 Systems als Druckserver können Sie bei der Verwendung von Windows 9x, NT oder 2000 Clients von den folgenden technischen Merkmalen profitieren:
Installation per Mausklick Wie bereits beim Vorgänger NT können Sie bei einem freigegebenen Drucker alle notwendigen Windows-Clienttreiber mit installieren. Möchten Sie einen neuen Netzwerkdrucker auf einem WindowsClient zur Nutzung einrichten, reicht es, diesen über NETZWERKUMGEBUNG zu finden und per Doppelklick die Installation zu starten. Alle notwendigen Treiberdateien werden dann vom Druckserver übertragen und auf den Client kopiert.
Suchen nach Druckern im Netzwerk Die Suche im Windows-Netzwerk kann auch nach Druckern erfolgen. Haben Sie Active Directory (AD) im Einsatz, können Sie, einen ADClient vorausgesetzt, auch nach ganz speziellen Merkmalen von Drucksystemen suchen. So ist es beispielsweise möglich, auch in einem großen Unternehmensnetz einen Farbdrucker zu finden oder ein Drucksystem, welches eine ausreichend hohe Geschwindigkeit für einen umfangreichen Druckjob aufweist.
7.5 Drucken im Netzwerk Einsicht in die Druckerwarteschlange Die Liste der Druckjobs, die sich auf einem freigegebenen Netzwerkdrucker befinden, wird den Clients direkt angezeigt. Die entsprechenden Rechte vorausgesetzt, können Benutzer Jobs aus dieser Liste wieder entfernen oder die Druckreihenfolge ändern.
Beschleunigung des Druckvorgangs Bei Verwendung des Druckdatenformats EMF für das Spoolen im Windows-Netzwerk erfolgt eine Entlastung für den Client (siehe auch Seite 235). Die Einrichtung von Windows 2000 Professional als Druckserver ist in Abschnitt 13.2 Windows 2000 als Druckserver ab Seite 570 beschrieben.
7.5.2 Das Internet Printing Protocol Neu in Windows 2000 ist die Implementierung des Internet Printing Protocol (IPP). Damit ergeben sich neue Möglichkeiten, Druckdienste über Betriebssystemgrenzen, und über das Internet als Übertragungsmedium auch über Ländergrenzen hinweg einsetzen zu können.
Historisches Das Internet Printing Protocol (IPP) wurde von der Internet Engineering Task Force (IETF) entwickelt, um auch Druckvorgänge über das Internet ausführen zu können. Vor allem Dienstleister des Druckgewerbes könnten davon profitieren. Die Initiative zu IPP stammt schon aus dem Jahre 1996, in dem die Printer Working Group (PWG) erste Vorschläge dazu machte. An der PWG waren alle großen Hersteller beteiligt. Zu den Gründern gehörten IBM, Novell und Xerox. Mehr Informationen sind unter folgenden Links zu finden: •
Zu IPP: www.pwg.org/ipp
•
Zur PWG: www.pwg.org
•
Zur IETF: www.ietf.org
Grundsätzlich erlaubt IPP das Drucken über eine Webverbindung, also über HTTP. Bestimmte Funktionen werden durch das darauf aufsetzendes IPP realisiert: •
Erlaubt Nutzern herauszufinden, welche Druckparameter der Drucker hat
•
Erlaubt Nutzern, Druckaufträge an den Drucker zu senden
247
248
7 Drucken •
Ermittelt den Status des Druckers
•
Nutzer können gesendete aber noch nicht gedruckte Aufträge stornieren
Die praktische Umsetzung wurde vor allem von Microsoft und Hewlett Packard vorangetrieben, die diese Arbeiten im Simple Web Printing-Papier (SWP) veröffentlichten. Die Erfüllung dieses Papiers liegt nun mit den Internetdruckdiensten in Windows 2000 vor.
Aktueller Status RFC zu IPP
IPP/1.1
IPP liegt derzeit in der offiziellen Version 1.0 vor. Die Version 1.1 ist als Draft veröffentlicht. IPP/1.0 ist bereits im Status der RFCs. Folgende RFCs geben detaillierte Auskunft: •
RFC 2568: Rationale for the Structure of the Model and Protocol for the Internet Printing Protocol
•
RFC 2567: Design Goals for an Internet Printing Protocol
•
RFC 2566: Internet Printing Protocol/1.0: Model and Semantics
•
RFC 2565: Internet Printing Protocol/1.0: Encoding and Transport
•
RFC 2569: Mapping between LPD and IPP Protocols
•
RFC 2639: Internet Printing Protocol/1.0: Implementers Guide
IPP/1.1 ist in Windows 2000 noch nicht implementiert. Erwartet werden folgende Erweiterungen: •
Spezielle Funktionen für die Administration
•
Nachrichtenübertragung vom Server zum Client
•
Abrechnungsfunktionen, beispielsweise Feststellung von Druckvolumen
•
Kopplung mit kommerziellen Transaktionen, beispielsweise Bezahlvorgängen
Anwendungen Benutzer aus dem Internet können per Browser direkt auf Drucker zugreifen. Hotels könnten ihren Gästen Drucker zur Verfügung stellen, die diese Dokumente empfangen. Copyshops können ihre Kapazitäten im Internet anbieten und Druckaufträge nach Bezahlung direkt vom Kunden ausführen lassen. Im Intranet können auch Benutzer exotischer Betriebssysteme auf Drucker zugreifen, was die Migration erleichtert. Zusammen mit den Sicherheitsfunktionen unter Windows
7.5 Drucken im Netzwerk
249
2000 ist der Druck sehr sicher möglich – jeder Drucker ist so abgesichert wie ein klassisches Windows 2000-System. Umgekehrt ist IPP ein offener Standard, der beispielsweise auch in Linux implementiert werden kann. So können auch Drucker an anderen Systemen angesprochen werden, ohne die üblichen Probleme beim Umgang mit heterogenen Systemen in Kauf nehmen zu müssen. Gerade Unix, bei dem die Druckerunterstützung eher unterentwickelt ist, dürfte am stärksten von IPP profitieren.
Verfügbare Clients Derzeit ist ein IPP-Client nur für Windows 2000 verfügbar. Weitere Clients Clients für Windows 9x werden in Kürze von Microsoft folgen. Für Linux und Apples MAC OS sind ebenfalls Clients angekündigt beziehungsweise schon im Betateststadium.
Einrichtung eines IPP-Servers Windows 2000 Professional bringt bereits alle notwendigen Tools und Windows 2000 Treiber mit, damit Sie IPP einrichten können. Notwendige Vorausset- Professional IPPServer zungen dazu sind: •
Installation der Internet Information Services
•
TCP/IP als Netzwerkprotokoll
•
Freigabe eines Druckers
Die konkreten Installations- und Administrationsschritte zum Einrichten von IPP unter Windows 2000 Professional können Sie in Abschnitt 13.2.3 Einrichten als IPP-Druckserver ab Seite 578 nachlesen.
7.5.3 TCP/IP-Druckunterstützung Für die Einbindung von Netzwerkdrucksystemen über das TCP/IPProtokoll bietet Windows 2000 zwei grundlegende Möglichkeiten:
Standard TCP/IP Port Monitor Mit Hilfe des Standard TCP/IP Port Monitors (SPM) können Sie Drucker SPM und SNMP einbinden, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und sich dabei an die Standards gemäß RFC 1759 halten. Dieser auch Simple Network Management Protocol (SNMP) genannte Standard definiert, wie entsprechende Drucker im Netzwerk kommunizieren. Ziel ist eine möglichst einfache Einbindung auf Clientseite und eine
250
7 Drucken einfache Administration. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Typische Geräte, die über SMP in Windows 2000 eingebunden werden können, sind moderne Drucksysteme von HP (inklusive der HP JetDirect-Karten) oder auch Netzwerkports von Intel (Intel NetPort). Die Einrichtung von TCP/IP-Druckern finden Sie in Abschnitt 13.3.3 Einbinden von TCP/IP-Druckern ab Seite 584.
LPR-Anschlussmonitor (Line Printer) UNIX-Druckserver
Der LPR-Anschlussmonitor dient in erster Linie zum Einbinden von Druckern, die auf Unix-Druckservern bereitgestellt werden. Gegenüber SMP ist die Einbindung weniger komfortabel und es werden weniger detaillierte Rückmeldungen zum Druckerstatus geliefert. Für die Einrichtung eines über LPR ansprechbaren Druckers muss dessen Hostname oder IP-Adresse sowie der Name des Druckers (standardmäßig meist lp) angegeben werden. Zusätzlich kann es notwendig sein, dass das Zugriffsrecht auf den Drucker am UNIX-System explizit für den Benutzer eingerichtet werden muss.
Windows 2000 als LPR-Druckserver
Mit Installation der UNIX-Druckdienste sind automatisch auch alle freigegebenen Drucker unter Windows 2000 über LPR von anderen Unix-Computern über das Netzwerk erreichbar. Als Druckername dient exakt der Name der entsprechenden Druckfreigabe. Die Einrichtung der UNIX-Druckdienste finden Sie Abschnitt 13.3.4 UNIX-Druckdienste über LPR ab Seite 587.
7.5.4 AppleTalk-Drucker AppleTalk-Drucker
Unter Windows 2000 Professional können Sie als Netzwerkprotokoll AppleTalk installieren. Damit sind alle Drucksysteme einbindbar, die im Netzwerk mit diesem Protokoll kommunizieren. Allerdings ist AppleTalk als Netzwerkprotokoll ziemlich ineffizient und langsam und erreicht aufgrund seines hohen Protokolloverheads nicht einmal die Hälfte der Übertragungsrate von TCP/IP. Es sollte für die Druckereinbindung wirklich nur dann verwendet werden, wenn der Drucker kein anderes Protokoll beherrscht.
AppleTalkDruckserver
Freigegebene Drucker über AppleTalk im Netzwerk bereitstellen können Sie nur mit einer der Windows 2000 Serverversionen. Unter Windows 2000 Professional sind die Macintosh-Druckdienste nicht verfügbar.
7.6 Farbmanagement
251
Die Einbindung von AppleTalk-Druckern ist Inhalt des Abschnitts 13.3.5 AppleTalk-Druckunterstützung ab Seite 590.
7.6 Farbmanagement Mit Windows 2000 sind alle Voraussetzungen gegeben, die Farbausgabe auf den Monitor und auf Drucksysteme optimal steuern zu können. In diesem Abschnitt soll Ihnen ein Überblick über das moderne Farbmanagement an sich sowie über die Technologien und Standards gegeben werden, die dazu in Windows 2000 implementiert worden sind. Eine umfassende Behandlung eines so komplexen Themas wie Farbmanagement würde allerdings den Rahmen dieses Buches sprengen. Deshalb müssen bestimmte Grundlagen wie elementare Kenntnisse in der Farbenlehre vorausgesetzt werden. Trotzdem kann diese Einführung in das Farbmanagement einige Fragen klären helfen, die sich immer wieder im Zusammenhang mit dem Farbdruck allgemein ergeben, wie beispielsweise die, warum Bildschirmfarben oft von den Druckfarben abweichen.
7.6.1 Einführung Die Verarbeitung von Bilddaten, aufwändigen Vektorgrafiken und Traditionell: komplexen Layouts stellt hohe Anforderungen an Hard- und Software Apple Macintosh eines Computersystems. Bis heute sind in diesem Bereich vorrangig Macintosh-Computer der Firma Apple zu finden. Das hat seine Begründung in der traditionellen Verbreitung dieser Rechner bei den kreativen Werbeleuten und in der Verfügbarkeit der professionellen Grafiksoftware, die bis vor wenigen Jahren nur auf dieser Plattform zu finden war. Hinzu kommt, dass bestimmte Systemwerkzeuge für das Farbmanagement zunächst ausschließlich für das MacintoshBetriebssystem MacOS entwickelt worden sind. Diese Gründe bestehen heute nicht mehr. Der Windows-PC unter Heute: WindowsWindows 98 oder 2000 kann heute, eine richtige Systemkonfiguration PCs gleichwertig vorausgesetzt, leistungsmäßig durchaus mit den Apple Macintosh mithalten. Praktisch die gesamte Softwarepalette für Bildbearbeitung, Grafik und Layout ist inzwischen auch für Windows verfügbar. Das betrifft auch die Erweiterung des Betriebssystems für professionelles Farbmanagement, die Microsoft erstmals in Windows 98 vollständig umsetzte. In diesem Abschnitt sollen Macintosh-Computer nicht schlecht gemacht werden, aber es ist Zeit, mit alten Vorurteilen aufzuräumen. Kreativität ist nicht abhängig vom benutzten Werkzeug. Sie sind heute aber in der Auswahl des Werkzeuges freier. So musste es früher oft
252
7 Drucken ein verhältnismäßig teurer Macintosh-Computer sein. Professionelles Farbmanagement können Sie heute auch ohne Abstriche auf einer Windows 2000-Arbeitsstation einsetzen. Die folgenden Abschnitte geben zu den theoretischen Grundlagen des Farbmanagements eine Einführung.
7.6.2 Farbe und Farbdruck Licht und Farbe
Für das Verstehen des Prinzips eines Farbmanagementsystems ist es wichtig, sich über die Entstehung von Farbe Gedanken zu machen. Farbe ist nämlich keine physikalische Eigenschaft eines Gegenstandes, sondern entsteht im Auge des Betrachters. Die wesentliche Rolle dabei spielt das Licht. Licht, das von der Sonne kommend die Erde erreicht, hat eine ganz bestimmte Zusammensetzung. Die Licht-Wellenlängen werden in Nanometer (nm) angegeben und reichen von 400 nm (Violett) bis zu 700 nm (Rot). Man nennt das auch den sichtbaren Teil des elektromagnetischen Spektrums. Sichtbar bezieht sich hierbei auf uns, den Durchschnittsmenschen. Es gibt bekanntlich Tiere, die einen ganz anderen sichtbaren Bereich haben, wie beispielsweise viele Nachttiere, die im Dunkeln deutlich besser sehen als wir.
Weißes Licht
Sonnenlicht oder das Licht einer Lampe wird meist auch als Weißes Licht bezeichnet. Weiß ist es deshalb, weil alle Bestandteile des sichtbaren Spektrums zusammengefasst unserem Auge weiß beziehungsweise sehr hell erscheinen. Dass es dabei meist Unterschiede zwischen unserer Bürobeleuchtung, die manchmal eher kalt wirkt, und dem Sonnenlicht gibt, ist der abweichenden Zusammensetzung des Lichtes künstlicher Quellen zum Sonnenlicht geschuldet.
Farbe entsteht aktiv...
Farbe wird an einem Monitor aktiv erzeugt. Dabei regt beispielsweise ein Kathodenstrahl drei nebeneinander liegende Farbpigmente Rot, Grün und Blau zum Leuchten an. Werden alle drei Punkte gleich stark angesteuert, entsteht im Ergebnis ein weißer Punkt. Bei keiner Ansteuerung der Punkte bleibt der Ort auf dem Bildschirm schwarz. Die Färbung der Bildröhrenoberfläche bestimmt dabei allein die Tiefe dieser Schwärzung. Rot und Grün zusammen angesteuert ergibt dann Gelb, Blau und Rot den Farbton Magenta usw. Je nach Verhältnis der Grundfarben zueinander entstehen dabei die Mischfarben. Dieses Prinzip wirkt übrigens genauso auch bei Flachdisplays, nur dass hier kein Kathodenstrahl mehr notwendig ist, sondern, wie beim TFTDisplay, die Farbpunkte wie eigenständige Transistoren selbst geschaltet werden können. Diese aktive Farberzeugung wird auch additive Farbmischung genannt, da durch Addition der Grundfarben Rot, Grün und Blau die Mischfarben erzeugt werden.
7.6 Farbmanagement
253
Papier hat leider keine selbstleuchtenden Eigenschaften, die uns die ...oder passiv Farben als Lichtstrahlen erzeugen könnten. Deshalb muss die Farbinformation hier anders entstehen. Das zugrundliegende Prinzip funktioniert genau entgegengesetzt zur aktiven Farberzeugung auf dem Monitor. Während am Monitor Farbe als Ergebnis der Ansteuerung aktiv entsteht, müssen dem auf das Papier auftreffenden (weißen) Licht Bestandteile entzogen werden, bevor sie unser Auge wieder erreichen. Das erreicht man, indem als Grundfarben die Komplementärfarben von Rot, Grün und Blau eingesetzt werden: Cyan, Magenta und Gelb. Schwarz wird deshalb noch als separate Farbe für den Druck hinzugenommen, weil Cyan, Magenta und Gelb auf einem Punkt zusammen kein reines Schwarz ergeben würden. Der Grund dafür ist, dass die Druckfarben nicht 100% chemisch rein herstellbar sind und somit keine vollständige Absorbtion der gewünschten Lichtbestandteile erreicht werden kann. Schwarz wird auch als Key (K) bezeichnet, womit sich die Abkürzung CMYK für das Farbmodell ergibt. Die Umwandlung von RGB nach CMYK erfolgt auf Basis mathemati- Transformation scher Berechnungen. Allerdings ist der darstellbare Farbumfang mit RGB CMYK CMYK stark abhängig vom verwendeten Druckverfahren und dem Bedruckstoff (Papier). Mit den vier Standarddruckfarben Cyan, Magenta, Gelb und Schwarz, die auch in der Druckindustrie1 und vielen Bürofarblaserdruckern verwendet werden, kann nur ein Teil des Monitorfarbraumes RGB abgebildet werden. Das bedeutet, dass Sie grundsätzlich auf dem Monitor mehr Farben in einer höheren Leuchtkraft darstellen können, als der Drucker aufs Papier bringen kann. Damit sind eine Reihe von Problemen vorprogrammiert. Die am Mo- CMYK-Farbraum nitor entworfene farbenfrohe und leuchtende Präsentation verliert im kleiner als RGB Ausdruck deutlich an Brillanz, oft werden sogar die Farbtöne verfälscht. Geben Sie die Daten auf zwei verschiedenen Farbdruckern aus, werden Sie feststellen, dass Sie dann auch noch zwei verschiedene Druckergebnisse in der Hand halten. Haben Sie keine anderen Technologien zur Verfügung, bleibt dann nur der Weg über manuelles Feintuning an Einstellungen am Drucker, an den Bilddaten oder am Druckertreiber. Bis zur Schaffung eines einheitlichen Standards wurde auch in der Farbmanagement professionellen Druckindustrie viel mit »Trial and Error« gearbeitet als Ausweg ? und Werkzeuge verwendet, die speziell bestimmte Probleme lösen halfen. Um einen einheitlichen Lösungsansatz zu finden, wurde unter
1
Für die Druckindustrie in Europa sind die Grundfarben Cyan, Magenta und Gelb nach der sogenannten Euroskala standardisiert. Ein anderer Standard sind beispielsweise die amerikanischen Specifications for Web Offset Publications (SWOP), die im Vergleich zur Euroskala leuchtendere Farben definieren.
254
7 Drucken Mitwirkung namhafter Firmen das International Color Consortium (ICC) gegründet (siehe nächster Abschnitt). Das Prinzip, was dem ICC-konformem Farbmanagementansatz zugrunde liegt, wird in seinen Grundzügen in Abschnitt 7.6.4 Prinzip des ICC-Farbmanagements ab Seite 256 vorgestellt.
7.6.3 Historische Entwicklung 1193: Gründung des ICC
Im Jahre 1993 wurde auf Initiative der Münchner Forschungsgesellschaft Druck e.V. (FOGRA) und unter Beteiligung der folgenden Firmen das International Color Consortium (ICC) gegründet: •
Adobe Systems Incorporated
•
Agfa-Gevaert N.V.
•
Apple Computer, Inc.
•
Eastman Kodak Company
•
Microsoft Corporation
•
Silicon Graphics Inc.
•
Sun Microsystems, Inc.
•
Taligent, Inc.
Link: www.color.org
Mittlerweile umfasst das ICC 77 Mitglieder, Firmen und Organisationen auf der ganzen Welt. Aufgabe des Gremiums ist die Schaffung allgemeingültiger technischer Standards und Richtlinien für die Farbreproduktion. In der Spec ICC.1:1998-09 finden Sie die ICCSpezifikation für die Farbreproduktion mittels sogenannter Farbprofile. Der Aufbau dieser Profile ist ein offener Standard und kann von allen Firmen dazu benutzt werden, darauf aufbauend Farbmanagementlösungen zu entwickeln.
Colorsync
Eine ICC-konforme Farbmanagementlösung sieht die Implementierung der wesentlichen Transformationsfunktionen in das Betriebssystem vor. Erstmals wurde das auf dem Apple-Betriebssystem MacOS mit dem Einzug von Colorsync umgesetzt.
ICM
Microsoft implementierte Farbmanagement als sogenanntes Image Color Management (ICM) das erste Mal unter Windows 98. Die Profile sind dabei mit den unter Colorsync verwendeten voll kompatibel. Das bedeutet, dass Sie Profile, die beispielsweise mit einer Profilierungssoftware auf dem MAC erstellt worden sind, auch unter Windows 2000 einbinden können.
1996: Gründung der ECI
1996 wurde die European Color Initiative (ECI) ins Leben gerufen, auf Initiative dieser vier bedeutenden deutschen Verlagshäuser:
7.6 Farbmanagement •
Heinrich Bauer Verlag
•
Hubert Burda Media Gruppe
•
Gruner+Jahr
•
Axel Springer Verlag
255
Die Expertengruppe unter Vorsitz von Prof. Dr. Stefan Brües befasst Link: www.eci.org sich mit der medienneutralen Verarbeitung von Farbdaten in digitalen Publikationssystemen unter Beachtung der ICC-Spezifikationen. Die ECI-Richtlinien liegen als sogenanntes ECI White Paper allgemein zugänglich zum Download bereit. Die wichtigsten Ziele der ECI1 sind: 1. Medienneutrale Aufbereitung, Verarbeitung und Austausch von Farbdaten auf der Basis der Color-Management-Standards des International Color Consortiums (ICC). 2. Harmonisierung von Datenaustauschformaten zwischen Kunden und Dienstleistern im Publikationsprozess. 3. Festlegung von Richtlinien (beispielsweise Farbraum, Datenformat) zum Austausch von Farbdaten für Printmedien. 4. Kooperation mit nationalen und internationalen Organisationen und Standardisierungsgruppen; das beinhaltet beispielsweise Formulierungen von Praxisanforderungen für das ICC oder die International Standardization Organisation (ISO). 5. Verpflichtung aller Mitglieder zur Veröffentlichung für sie gültiger Farbprofile, Unterstützung des ICC-Standards und der ECIEmpfehlungen. 6. Veröffentlichung der ICC-Farbprofile von ECI-Mitgliedern und interessierter Unternehmen sowie von Tools und zielkonformen Informationen. 7. Etablierung von ICC-basierten Proofprozessen. 8. Erfahrungsaustausch, Schulungsmaßnahmen, Unterstützung und Verbreitung von ICC-basierten Color-Management-Prozessen. 9. Zusammenarbeit mit relevanten Hard- und Softwareherstellern, insbesondere Herstellern von Standard-Applikationen (beispielsweise Adobe, Quark, Macromedia, Anbieter von ColorManagement-Tools).
1
Quelle: ECI
256
7 Drucken Die Bestrebungen der ECI als auch des ICC sind darauf gerichtet, die Standards für das professionelle Farbmanagement weiter zu verbreiten und in die Werkzeuge und Verfahrensweisen in der Praxis zu verankern.
7.6.4 Prinzip des ICC-Farbmanagements In diesem Abschnitt sollen die Grundprinzipien des ICCFarbmanagements übersichtsweise vorgestellt werden. Es wird dabei versucht, diese Prozesse auch dem Nicht-Reprofachmann näher zu bringen. Für weitergehende Informationen muss auf spezielle Fachliteratur beziehungsweise auf die entsprechenden Quellen im Internet hingewiesen werden: •
www.fogra.org
•
www.color.org
•
www.eci.org
Anforderungen an den Farbreproduktionsprozess Die Anforderungen, die an einen Farbreproduktionsprozess gestellt werden, können in den folgenden Punkten zusammengefasst werden: •
Beim Digitalisieren eines Bildes (Scanner, Digitalkamera) sollen die Farbinformationen nicht verfälscht werden.
•
Die Anzeige der Bildinformationen soll auf allen Monitoren gleich erscheinen. Das betrifft auch am Computer erzeugte Farbinformationen, beispielsweise mit Vektor- oder Präsentationsgrafikprogrammen.
•
Der Ausdruck von Bild- und anderen Farbinformationen soll auf allen Drucksystemen gleich sein.
Probleme bei der Farbreproduktion Leider sind aber nicht alle Geräte in ihren technischen Merkmalen hinsichtlich der Erfassung von Farbe oder bei der Farbwiedergabe gleich. Selbst zwischen zwei baugleichen Monitoren oder Scannern kann es Abweichungen geben, die zu unterschiedlichen Ergebnissen führen. Hinzu kommen die Probleme bei der Umrechnung der RGBFarben in die Druckfarben CMYK (siehe Abschnitt 7.6.2 Farbe und Farbdruck ab Seite 252). Aber nicht nur die Geräte zur Farberfassung und –ausgabe sind Ursachen für Farbverfälschungen. Auch die Anwendungsprogramme, wenn sie ohne Farbmanagementunterstützung
7.6 Farbmanagement
257
arbeiten, benutzen für die Anzeige und Ausgabe ihre eigenen Routinen. So kann es passieren, dass ein und dasselbe Bild, geladen in zwei verschiedene Anwendungsprogramme, unterschiedlich angezeigt und ausgedruckt wird. Abweichungen zur Originalfarbe der gescannten Bildvorlage und zu Abweichungen: den in der Software erzeugten entstehen an den folgenden Stellen: •
Im Scanner bei der Bilddigitalisierung aufgrund technischer Ab- Scannen weichungen und Alterung der CCD-Elemente und der Lampe, welche die Vorlagen beleuchtet;
•
Bei der Anzeige am Monitor durch technische Abweichungen von Anzeige am der eigentlich zugrunde liegenden Norm und unterschiedlichen Monitor Einstellungen am Monitor für Farbtemperatur, Helligkeit und Kontrast etc. sowie durch unterschiedliche Darstellungsweisen der Anwendungsprogramme bei Verwendung eigener Anzeigeroutinen;
•
Beim Ausdruck auf einem Farbdrucksystem bei nicht genormter Ausdruck Umrechnung der RGB-Farbinformationen in die Druckfarben CMYK. Das betrifft auch Unterschiede zwischen zwei verschiedenen Farbdrucksystemen.
ICC-Profile Abhilfe schafft hier nur ein Farbmanagementsystem, in das alle Kom- Geräteabhängig: ponenten, Hardware und Software, integriert sind. Grundlage dabei RGB und CMYK ist ein allgemein gültiger Bezugspunkt für die Definition der Farbdarstellung. RGB und CMYK sind zunächst geräteabhängige Farbbeschreibungsmodelle. Der RGB-Farbraum eines Monitors kann beispielsweise zu einem anderen Monitor abweichend sein. Das trifft natürlich auch auf die Farbräume von Druckern zu. Als geräteunabhängige Instanz wird beim Farbmanagement auf den Geräteunabhängig: in seinen Grundzügen bereits 1931 definierten CIE-Farbraum zurück- CIE-Farbraum gegriffen. Die Variante CIELAB ist heute die Grundlage für die Bestimmung und Umrechnung der Farbräume im ICCFarbmanagement. Das Farbverhalten jedes Ein- und Ausgabegerätes wird in einem so- ICC-Profile genannten ICC-Profil erfasst. Dieses Profil beschreibt genau, wie sich das System im CIE-Farbraum verhält. Die Definition des Profilformats ist offengelegt und kann beim ICC (www.color.org) abgerufen werden. Ein Profil kann mit einer speziellen Profilierungssoftware, beispielsweise ProfileMaker von Gretag Macbeth, erstellt werden. Dabei werden Messwerte mit den tatsächlichen Sollwerten verglichen. So werden für die einzelnen Geräteklassen ICC-Profile erzeugt:
258 ICC-Profile erzeugen
7 Drucken •
Scanner Ein Scanner wird profiliert, indem unter Standardbedingungen ein exakt vermessenes Referenz-Testchart eingelesen wird und die ermittelten Farbwerte mit den gemessenen Originalwerten verglichen werden.
•
Drucker Für die Profilierung eines Drucksystems erfolgt die Ausgabe eines Referenzdruckes. Dieser wird dann mit Hilfe eines Spektralphotometers vermessen.
•
Monitore Monitore kann man mit einem speziellen Messgerät vermessen. Eine Software erzeugt dabei Referenzfarbfelder, die durch das Messgerät, welches auf der Monitoroberfläche angebracht wird, erfasst werden.
Aus der Differenz zwischen Soll und Ist errechnet die Software dann das jeweilige Profil. Mitgelieferte Profile Die Erzeugung von Profilen setzt Messtechnik und spezielle Software
voraus. Diese individuell erzeugten Profile haben natürlich die höchste Genauigkeit für die Farbwiedergabe. Für die meisten Benutzer, die im Büro- oder Heimumfeld mit Farbe arbeiten wollen, ist die Erstellung von ICC-Profilen allerdings derzeit nicht praktikabel. Deshalb liefern viele Hersteller Profile für ihre Systeme mit oder stellen diese im Internet zum Download bereit. Sie sollten bei Verwendung dieser Profile allerdings bedenken, dass diese nur eine Annäherung an Ihre konkreten Bedingungen darstellen. Für die Farbwiedergabe müssen Sie dabei mit Kompromissen leben.
Interne Arbeitsweise Die entscheidenden Funktionen beim ICC-konformen Farbmanagement spielen sich im Betriebssystem ab. Die folgende Abbildung soll dies verdeutlichen:
7.6 Farbmanagement
259 Abbildung 7.5: Farbmanagement intern
Zentrale Schaltstelle ist das Color Matching Module (CMM), welches CMM die Umrechnung der Eingangsfarbdaten in die Ausgangsdaten über die zugrunde liegenden ICC-Profile vornimmt. Das CMM ist als Bestandteil des Betriebssystems für alle Anwendungen erreichbar. Eine Anwendung ruft das CMM auf, um die Farben auf dem Bildschirm über das richtige Monitorprofil optimal darstellen zu können. Das gilt auch für die Druckausgabe. Für die richtige Umrechnung der Farbbilder in die Zielprofile müssen dabei die jeweiligen Quellprofile bekannt sein. Bei der Umrechnung von Farbdaten von einem Quellprofil in ein Ziel- Rendering Intents profil stehen vier grundlegende Umrechnungsmethoden zur Verfügung, auch Rendering Intents genannt: •
Wahrnehmung (Perceptual)
Fotos
Diese Einstellung eignet sich vor allem für die Wiedergabe von Fotos. Bei der Umwandlung durch das CMM wird darauf geachtet, dass die relativen Bezüge zwischen den Farbanteilen eines Bildes gewahrt bleiben, auch wenn beispielsweise der Drucker den Farbumfang nicht genau wiedergeben kann. Farben können sich, absolut gesehen, verändern. Der Zusammenhang zwischen den Farben im Bild bleibt aber bestmöglich erhalten. Die Einstellung Wahrnehmung versucht, unsere Sehgewohnheiten bei der Farbwiedergabe mit einzubeziehen und kann als Standard für die Umrechnung von Fotos und Bildern eingesetzt werden. •
Sättigung (Saturation) Bei der Wiedergabe von Farbgrafiken stehen meist weniger die absoluten Farbwerte als mehr die Farbigkeit an sich im Mittelpunkt. Bei dieser Einstellung werden die Sättigungswerte erhalten. Farbwerte, die im Farbraum des Ausgabeprofils nicht mehr enthalten
Grafiken
260
7 Drucken sind, werden durch Farbwerte ersetzt, die darstellbar sind und die gleiche Sättigung aufweisen. Damit ist diese Einstellung vor allem für die Wiedergabe von Präsentationsgrafik geeignet. •
Relativ farbmetrisch (Relative Colorimetric) Diese Einstellung verändert Farben in ihren Absolutwerten nicht. Farben, die im Farbraum des Ausgabeprofils nicht mehr enthalten sind, werden durch die nächstgelegene enthaltene ersetzt, welche die gleiche Helligkeit aufweist. Diese Einstellung kann manchmal helfen, eine absolut gesehen etwas exaktere Übereinstimmung zu den Originalfarbdaten zu erhalten als mit der Methode Wahrnehmung.
•
Absolut farbmetrisch (Absolute Colorimetric) Bei dieser Einstellung wird durch das CMM versucht, eine größtmögliche absolute Übereinstimmung zwischen Original- und Reproduktion zu erhalten. Maßstab ist dabei aber nicht die menschliche Sehgewohnheit, sondern dass messtechnisch die geringsten Abweichungen feststellbar sind. Der Weißpunkt einer gescannten Vorlage bleibt dabei auch unverändert, sodass beispielsweise die Farbe des Fotopapiers einer gescannten Aufsichtsvorlage auch wiedergegeben wird – der Bildhintergrund sieht dann in der Regel etwas gelblich oder bläulich aus.
Die beiden letztgenannten Methoden haben in der Praxis meist eine untergeordnete Bedeutung. Welche für Ihre Zwecke am besten geeignet ist, hängt neben den konkreten Farbdaten nicht zuletzt auch von Ihrem persönlichen Empfinden ab. Hersteller-spezifische CMM
Die Integration des CMM ist modular ausgeführt und kann durch das eines anderen Herstellers ersetzt oder ergänzt werden. In Windows 2000 ist die LinoColorCMM integriert. Eine andere CMM wird beispielsweise durch den Hersteller Kodak bereitgestellt und könnte zusätzlich in Windows eingebunden werden.
Profile richtig einsetzen FarbmanagementVoraussetzungen
Um von den Vorteilen des modernen ICC-Farbmanagements profitieren zu können, müssen die folgenden Voraussetzungen gegeben sein: •
Sie verfügen über die richtigen Profile für alle relevanten Ein- und Ausgabesysteme.
•
Die Anwendungen, die Sie für die Erstellung und Ausgabe von Farbdokumenten verwenden, müssen sich an die ICCSpezifikationen für die Farbausgabe halten und damit auf die Betriebssystemfunktionen zurückgreifen.
7.6 Farbmanagement •
261
Externe Farbdaten, die Sie bekommen, bringen die benötigten Profile mit, die für Ihre Erzeugung benutzt worden sind (beispielsweise die richtigen Scanner-Profile) oder liegen in einem standardisierten Format vor.
Insbesondere der letzte Punkt ist im Zusammenhang mit der Einbin- Problem: Externe dung externer Daten in der Praxis oft besonders problematisch. Wenn Daten kein Profil vom erzeugenden System (in der Regel Scanner) verfügbar ist, kann die Weiterverarbeitung nur noch mit Näherungswerten erfolgen – mit den bekannten Folgen für die Genauigkeit der Reproduktion. Es gibt zwei Möglichkeiten, dieses Problem zu entschärfen: 1. Einbettung der Profile
Profileinbettung
Gemäß ICC-Standard können Profile auch in Bilddateien (beispielsweise im Tagged Image Format, TIFF) eingebettet werden. Beim Öffnen oder Weiterverarbeiten solcher Daten muss die Applikation allerdings in der Lage – also richtig konfiguriert – sein, damit die korrekte Umrechnung in den Zielfarbraum erfolgen kann. 2. Bilddaten im standardisierten Format weitergeben
Standard-RGB
Einfacher ist es natürlich, wenn alle Bilddaten bereits in einem allgemein anerkannten Standard-Farbformat vorliegen. Ein solches international anerkanntes Format ist Standard-RGB, auch mit sRGB bezeichnet. Windows 2000 unterstützt standardmäßig sRGB. Für die Weitergabe eines Bildes muss dieses nach dem Scannen durch die entsprechende Bildverarbeitungssoftware unter Nutzung des speziellen Scanner-Profils in das sRGB-Format konvertiert werden. Dieser zweite Weg scheint sich in der Praxis als erfolgversprechender sRGB durchzusetzen. sRGB ist auch mittlerweile das Standard-Farbformat für die Ausgabe im Internet auf den Webseiten und in Adobes Portable Document Format (PDF) und somit universell einsetzbar. Für die professionelle Druckvorstufe wurde von der European Color ECI-RGB Initiative (ECI; siehe auch Abschnitt 7.6.3 Historische Entwicklung ab Seite 254) das Standard-RGB-Format ECI-RGB entwickelt und veröffentlicht. Vorteil ist der gegenüber sRGB größere Farbraum und damit die Eignung für die Erstellung hochwertiger Druckvorlagen. Hinweise zur praktischen Anwendung von ICM, der in Windows 2000 Praktische integrierten ICC-konformen Farbmanagementunterstützung, finden Anwendung Sie in Abschnitt 13.5 Farbmanagement einsetzen ab Seite 602.
7.6 Farbmanagement
263
Kapitel 8 Grundlagen zur Systemsicherheit
8.1
Einführung ..............................................................265
8.2
Sicherheitsanforderungen in der Praxis............266
8.3
Absicherung lokaler Daten mittels EFS ............267
8.4
Sicherheit im Netzwerk........................................270
8.5
Absicherung von Internet- und WANVerbindungen ........................................................276
8.1 Einführung
8 Grundlagen der Systemsicherheit Die Ansprüche an die Systemsicherheit sind in den letzten Jahren deutlich gestiegen. Windows 2000 trägt dem Rechnung, indem das gesamte Sicherheitskonzept umfassender und konsistenter gemacht wurde.
8.1 Einführung Einen großen Anteil am Sicherheitskonzept nehmen digitale Zertifikate ein. Damit können Benutzer sicherer autorisiert werden als nur mit Benutzername und Kennwort. Zertifikate bilden aber nur ein Teil des Sicherheitsgerüstes von Windows 2000.
8.1.1 Zugriffssicherheit Für den Einsatz im Netzwerk und auch als lokaler Computer ist die Zugriffssicherheit von zentraler Bedeutung. Grob gesagt geht es um die Kontrolle des Zugriffs durch autorisierte Benutzer. Nicht autorisierten Benutzern soll dagegen unter allen Umständen der Zugriff auf Daten verweigert werden. Das betrifft sowohl den Zugang zum System über das Netzwerk als auch die lokale Anmeldung.
8.1.2 Der C2-Sicherheitsniveau C2 ist ein Sicherheitstandard der NSA (National Security Agency), der als Anforderung vieler amerikanischer Behörden an die Systemsicherheit dient. Windows 2000 besitzt die C2-Zertifizierung. Daraus kann aber primär nicht abgeleitet werden, dass allein der Einsatz von Windows 2000 zu einem sicheren System führt. Die C2-Definitionen sind in zwei Büchern zusammengefasst, die Sie unter folgenden Adressen finden: •
www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
•
www.radium.ncsc.mil/tpep/library/rainbow/NCSC-TG-005.html
Die gesamte Bibliothek der sogenannten Rainbow-Series finden Sie unter: •
www.radium.ncsc.mil/tpep/library/rainbow/
Spannender ist die praktische Umsetzung mit Windows 2000. Denn C2-Sicherheit besteht nicht nur aus der Wahl des Betriebssystems, sondern betrachtet den gesamten Komplex aus Hardware, Software,
265
266
8 Grundlagen der Systemsicherheit Anwendungsprogrammen und Netzwerkdiensten. Zu den wesentlichen Merkmalen des C2-Sicherheitsniveaus gehören unter anderem: •
Zugriffskontrolle. Damit wird die Möglichkeit definiert, das Besitzer von Daten den Zugriff auf diese kontrollieren können.
•
Objektverwendung. Werden Objekte, wie beispielsweise Benutzerkonten, gelöscht, so darf zwischen den alten und neuen Objekten kein Zusammenhang bestehen. Auch Speicherobjekte werden so vor Zugriffen anderer Prozesse geschützt. Objekte im Speicher werden nach der Verwendung zuverlässig gelöscht, ein »Scannen« des Speichers darf nicht dazu führen, dass bereits deaktivierte Objekte Daten freigeben. Eine endgültig gelöschte Datei darf sich nicht wieder herstellen lassen.
•
Authentifizierung. Jeder Benutzer muss eindeutig identifiziert werden können. Anhand der Anmeldung kann das System alle Aktivitäten protokollieren und Rechte kontrollieren
•
Überwachung. Jede Aktion kann durch den Administrator des Systems überwacht werden. Alle Prozesse sind später nachvollziehbar. Zugriff auf Protokolle haben nur autorisierte Personen.
8.2 Sicherheitsanforderungen in der Praxis Die C2-Anforderungen in ihrer gesamten Breite dürften für viele Anwender zu hoch gesteckt sein. In der Praxis werden nicht alle Ansprüche erfüllbar oder sinnvoll sein. Dennoch ist ein einfach installiertes Windows 2000-System keinesfalls vollkommen sicher. In jedem Fall sind Gedanken zu den Sicherheitskonzepten notwendig. Der nächste Abschnitt geht auf theoretische Überlegungen zur Sicherheit ein. Die praktische Umsetzung finden Sie in den folgenden Abschnitten.
Planung der Sicherheitsanforderungen Zuerst sollten Sie sich natürlich über die Sicherheitsanforderungen Ihres Unternehmens im Klaren sein. Verwenden Sie Windows 2000 privat, müssen Sie selbst einschätzen, wie wertvoll Ihre Daten für andere Nutzer sind.
Fragen zur Sicherheit •
Hardware Konfiguration und Installation
•
Installation des Betriebssystem
8.3 Absicherung lokaler Daten mittels EFS •
Auswahl des Dateisystems
•
Entfernen der nicht benötigten Subsysteme
•
Deaktivierung von DirectX
•
Deaktivierung des Gastkontos
•
Sicherheitskonfiguration für Benutzer
•
Verzeichnisse und wichtige Dateien absichern
•
Sicherung temporärer Daten
267
8.3 Absicherung lokaler Daten mittels EFS Für die Absicherung gespeicherter Daten, sei es auf einem Server, einer Arbeitsstation oder einem mobilen Computer, wurde von Microsoft das verschlüsselnde Dateisystem (EFS) entwickelt. Über einen Dateisystemfilter werden damit die Dateien verschlüsselt auf dem Datenträger abgelegt. In diesem Abschnitt geht es darum zu zeigen, wie dieses Verfahren intern funktioniert. Allein die Anwendung der EFS-Verschlüsselung bietet noch keinen ausreichenden Schutz vor unbefugtem Zugriff. Lesen Sie in Abschnitt 16.3.3 Hinweise zur maximalen Absicherung mit EFS ab Seite 730, wie Sie Ihr System wirksam absichern können. Die Einbettung von EFS in das NTFS-Dateisystem ist unter anderem Inhalt des Grundlagen-Abschnittes 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166.
8.3.1 Das verschlüsselnde Dateisystem Das verschlüsselnde Dateisystem (EFS) basiert auf einem Hybridverfahren, bei dem nacheinander mehrere Verschlüsselungsverfahren nacheinander zum Einsatz gelangen. Zusätzlich zu einer symmetrischen Verschlüsselung findet auch eine Chiffrierung mit öffentlichenprivaten Schlüsseln statt. Betrachten wir zunächst den Verschlüsselungsvorgang: Dabei wird Verschlüsselung die betreffende Datei zunächst mit Hilfe eines DES-Algorithmus symmetrisch verschlüsselt. Der Schlüssel dazu, FEK – File Encryption Key genannt, wird per Zufallsgenerator erzeugt. Die Verschlüsselung der Datei mit einem generierten symmetrischen Schlüssel als FEK wird aus Performancegründen einer Verschlüsselung durch öffentlich zertifizierte Schlüssel vorgezogen.
268
8 Grundlagen der Systemsicherheit
Abbildung 8.1: Die Verschlüsselung
Data Decryption Field - DDF
Der FEK selbst wird wiederum mit dem öffentlichen Schlüssel aus dem öffentlichen/privaten Schlüsselpaar des Anwenders verschlüsselt. Der so chiffrierte FEK wird als EFS-Attribut der Datei im Data Decryption Field – DDF abgelegt.
Data Recovery Field - DRF
Um eine Wiederherstellung verschlüsselter Daten auch ohne den privaten Schlüssel des Anwenders zu ermöglichen, beispielsweise nach einem Verlust des Schlüssels oder um an Daten ausgeschiedener Mitarbeiter zu gelangen, wird der zufällig generierte FEK auch mit dem öffentlichen Schlüssel des öffentlichen/privaten Schlüsselpaars des Wiederherstellungsagenten verschlüsselt. Dieser so chiffrierte FEK wird dann als EFS-Attribut im Data Recovery Field – DRF abgelegt.
Entschlüsselung
Bei der Abspeicherung im NTFS-Dateisystem werden also zur symmetrisch verschlüsselten Datei noch zwei chiffrierte Schlüssel mit abgespeichert. Diese mit den öffentlichen Schlüsseln des Anwenders beziehungsweise des Wiederherstellungsagenten chiffrierten Schlüssel müssen für eine Entschlüsselung zunächst selbst wieder mit den dazugehörigen privaten Schlüsseln dechiffriert werden. Zugriff erhalten also nur der berechtigte Anwender sowie der Wiederherstellungsagent.
8.3 Absicherung lokaler Daten mittels EFS
269 Abbildung 8.2: Die Entschlüsselung
Als Wiederherstellungsagent wird standardmäßig unter Windows Wiederherstel2000 Professional der Administrator eingesetzt. Dieser besitzt das Zer- lungsagent tifikat mit dem dazugehörigen privaten Schlüssel, um auf die verschlüsselten Dateien aller Benutzer des seiner Verwaltung unterstehenden Systems zugreifen zu können. Für eine höhere Sicherung von verschlüsselten Dateien vor dem Sicherheit vor dem Zugriff des Administrators (standardmäßig der Wiederherstellungs- Administrator agent) könnten Sie das Wiederherstellungs-Zertifikat des Administrators löschen. Dann sind die verschlüsselten Dateien eines Benutzers nur noch mit dessen Zertifikat zu entschlüsseln. Geht dieses verloren, bleiben auch die Daten für immer verschlossen. Da der Administrator aber Benutzerkennwörter jederzeit zurücksetzen kann, ist dieser Weg untauglich. Lesen Sie in Abschnitt 16.3.3 Hinweise zur maximalen Absicherung mit EFS ab Seite 730, wie Sie Ihre Daten wirksam schützen können.
8.3.2 Schlüsselstärke Wann immer es um die Kryptographie in Verbindung mit Schlüsseln geht, stellt sich die Frage nach der Stärke der Verschlüsselung – je größer ein Schlüssel ist, desto schwerer fällt es einem Angreifer, den Code zu knacken. Durch die Gesetzeslage in den USA hinsichtlich des Exports von Verschlüsselungsalgorithmen tritt auch beim EFS die
270
8 Grundlagen der Systemsicherheit Problematik der kleineren Schlüssellänge in allen Ländern außerhalb der USA auf. Während das Verschlüsselnde Dateisystem innerhalb der USA mit 56-Bit-Schlüsseln arbeitet, kommen bislang in der internationalen Ausführungen von Windows 2000 lediglich schwächere 40Bit-Schlüssel zum Einsatz.
Enhanced CryptoPAK
Allerdings sind seit Anfang 2000 die Exportbestimmungen gelockert und auch die stärkeren Schlüssel für den Export nach Westeuropa freigegeben worden. Dementsprechend können Sie das sogenannte Enhanced CryptoPAK nachinstallieren, mit dem die Verschlüsselung über einen 128 Bit-Schlüssel durchgeführt wird. Das Enhanced CryptoPAK ist den meisten Windows 2000-Paketen (Professional wie Server-Varianten) beigelegt oder kann über das Internet von der Microsoft Homepage geladen werden. Mit der Verschlüsselung über einen 128 Bit-Schlüssel ist es heute praktisch unmöglich, mit einem vertretbaren Aufwand gesicherte Daten zu dechiffrieren.
8.4 Sicherheit im Netzwerk In Bezug auf die Netzwerksicherheit wurde Windows 2000 konsequent weiterentwickelt. Sowohl der Anmeldevorgang als auch die Übertragungswege können mit allen heute technisch realisierbaren Mitteln geschützt werden.
8.4.1 Sichere Authentifizierung Bei der Anmeldung eines Nutzers an einem Windows 2000-System können zwei verschiedene Vorgänge ausgeführt werden. Zum einen wird ein interaktiver Anmeldevorgang ausgeführt, um den Nutzer und seine zur Identifizierung eingesetzten Daten zu kontrollieren. Dies erfolgt durch einen entsprechend eingerichteten Windows 2000Server oder -Professional oder durch Active Directory und den Domänencontroller. Alternativ erfolgt eine Netzwerkauthentifizierung, bei der sich Benutzer direkt an einer Ressource anmelden und von dieser der Zugriff autorisiert wird. Da die Authentifizierung über das Netzwerk kritisch ist – immerhin können Kennwörter über öffentliche Leitungen geleitet werden – sind hier umfangreiche Sicherheitsmaßnahmen möglich. Zu den einsetzbaren Maßnahmen gehören Kerberos 5, SSL (Secure Socket Layer) und aus Kompatibilitätsgründen LAN Manager-Sicherheit.
8.4 Sicherheit im Netzwerk
271
8.4.2 Der interaktive Anmeldevorgang Bei diesem Anmeldevorgang erfolgt die Bestätigung eines Benutzers Interaktiver durch ein Domänenkonto auf einem Domänencontroller oder durch Anmeldevorgang die lokale Benutzerdatenbank eines Windows 2000-Computers. Dabei spielt es primär keine Rolle, ob der Domänencontroller mit oder ohne Active Directory arbeitet. Wie dieser Vorgang abläuft, wird nachfolgend beschrieben, auf die technischen Grundlagen der eingesetzten Protokolle wird anschließend eingegangen.
Anmeldung an einem Domänenkonto Wenn sich ein Benutzer an einem Domänenkonto anmelden möchte, kann er dies technisch auf zwei Wegen tun: •
Durch Eingabe von Benutzername und Kennwort im LoginBildschirm
•
Durch Einlesen einer Smartcard
Die Anmeldeinformationen werden im Active Directory gespeichert. Durch die Anmeldung erlangt der Benutzer Zugriff auf die Ressourcen dieser Domäne. Ist ein Kennwort erforderlich – was normalerweise der Fall sein dürfte – wird Kerberos 5 zur Authentifizierung eingesetzt. Kerberos stellt sicher, dass das Kennwort nicht im Klartext übertragen wird. Wird eine Smartcard eingesetzt, basiert Kerberos auf Zertifikaten, die auf der Smartcard gespeichert werden.
Anmeldung an einem lokalen Computer Auf Windows 2000-Computern werden die Anmeldeinformationen in der Sicherheitskontenverwaltung SAM (Security Accounts Manager) gespeichert. SAM ist eine Datenbank, in der die Informationen abgelegt sind, die zur Authentifizierung benötigt werden. Diese Datenbank kann auf jedem lokalen Computer existieren. Eine solche einfache Form der Anmeldeüberwachung wird in Peer-to-Peer-Netzwerken verwendet. Für den Zugriff auf einen anderen Computer im Netzwerk ist dann allerdings eine erneute Authentifizierung erforderlich.
8.4.3 Anmeldung mit Zertifikaten und Smartcards Zertifikate werden in einem speziellen Speicher gehalten: dem Zertifikatspeicher. Falls dies der Fall ist oder Smartcards eingesetzt werden, kann das Extensible Authentication Protocol (EAP) eingesetzt werden, um die Anmeldung zu Verschlüsseln. Smartcards verhalten sich dabei
272
8 Grundlagen der Systemsicherheit für das System weitestgehend transparent – sie sind lediglich ein elegant handhabbarer Speicher für Zertifikate.
Das Zertifikat Ein Zertifikat beschreibt seinen Besitzer in einer für die Authentifizierung geeigneter Weise. Zertifikate für Webserver enthalten beispielsweise Daten über die Identität des Betreibers der Site – gekoppelt mit dem Domainnamen. Auch Personen können sich durch Zertifikate authentifizieren. Solche Zertifikate enthalten neben dem Namen und Kennwort auch eine Signatur des Herausgebers. Diese Signatur ist mit dem Inhalt gekoppelt. So sind Zertifikate verfälschungssicher – jede Änderung an den Daten macht die Signatur unbrauchbar. Andererseits kann sich ein Benutzer ohne Hilfe des Herausgebers kein neues Zertifikat beschaffen. Im Rahmen der Authentifizierung sendet der Benutzer (bzw. das Anmeldeprogramm des Computers) das Zertifikat an den Server, der die Authentifizierung bestätigen muss. Der Server sendet nun seinerseits ein Zertifikat an den Computer des Benutzers. Dort wird die Signatur anhand eines Schlüssels geprüft. Dieser Schlüssel ist in einem Stammzertifikat gespeichert, dass die Echtheit der Herausgeber sicher stellt. Stammzertifikate können nur von vertrauenswürdigen Herausgebern geliefert werden. Wer »vertrauenswürdig« ist, muss jeder Systembetreiber natürlich selbst festlegen – dieser Vorgang kann nur vom Administrator ausgeführt werden. Einige solcher Stammzertifikate sind bereits standardmäßig installiert.
Smartcards Smartcards sind checkkartengroße Plastikkarten mit einem Chip. Dieser Chip kann Daten speichern. Da Zertifikate auch nur »Daten« sind, können diese auch auf Smartcards gespeichert werden. Der Computer muss dann über ein passendes Lesegerät verfügen. Lesegeräte gibt es einzeln, mit Anschluss an die serielle Schnittstelle oder als Teil der Tastatur. Es ist möglich, externe Verbindungen so einzurichten, dass eine Authentifizierung mit Smartcard erzwungen wird.
8.4.4 Vorgang der Netzwerkauthentifizierung Bei der Netzwerkauthentifizierung werden die Benutzerinformationen dem Netzwerkdienst gegenüber bestätigt, auf den der Benutzer zugreifen möchte. Für diese Art der Authentifizierung werden verschiedene Authentifizierungsmechanismen unterstützt, beispielsweise
8.4 Sicherheit im Netzwerk
273
Kerberos 5, SSL und TLS (Secure Socket Layer, Transport Layer Security) sowie LAN Manager. Wird die normale Authentifizierung verwendet, ist die Netzwerkauthentifizierung nicht sichtbar. Sind dennoch Netzwerkressourcen vorhanden, sie selbst eine Authentifizierung verlangen, muss den Benutzer immer wieder seinen Namen und das Kennwort eingeben.
8.4.5 Sicherheitsprotokolle für das Netzwerk Neu in Windows 2000 sind zwei Sicherheitsprotokolle, die Übertragungswege und Anmeldeprozesse schützen: IPSec und Kerberos. Beide werden nachfolgend vorgestellt.
IPSec IP Security (IPSec) ist eine neuere Technik, die PPTP langfristig als RFC 1825 - 1829 VPN-Standard ablösen soll, da sie ein höheres Maß an Sicherheit als PPTP (Point-to-Point-Tunneling Protocol) garantieren kann. IPSec arbeitet auf IPv4 und soll fester Bestandteil von IPv6 werden. Bei IPSec handelt es sich um ein Paket von Protokollen, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb des VPN zuständig sind. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus. Im Tunnelmodus (siehe Abbildung 8.3) wird das komplette IP-Paket Tunnelmodus verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket größer als im Transportmodus. Der Vorteil besteht hier darin, dass in den LANs, die zu einem VPN verbunden werden sollen, je ein Gateway so konfiguriert werden kann, dass es IP-Pakete annimmt, sie in IPSec-Pakete umwandelt und dann über das Internet dem Gateway im Zielnetzwerk zusendet, dass das ursprüngliche Paket wiederherstellt und weiterleitet. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den Gateways IPSec implementiert sein muss. Außerdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen. Der IPSec-Kopf wird hinter dem IP-Kopf eingefügt. Er kann zwei Komponenten enthalten, die einzeln, unabhängig voneinander oder zusammen eingesetzt werden können: den Authentifizierungskopf (Authentification Header, AH) und den Encapsulating Security Payload (ESP). Der AH sichert die Integrität und Authentizität der Daten und der statischen Felder des IP-Kopfes. Er bietet jedoch keinen Schutz der Vertraulichkeit. Der AH benutzt eine kryptographische Hashfunktion (keyed-hash function) und keine digitale Signatur, da diese Technik zu langsam ist und den Datendurchsatz im VPN stark
274
8 Grundlagen der Systemsicherheit reduzieren würde. Der ESP schützt die Vertraulichkeit, die Integrität und Authentizität von Datagrammen. Er schließt aber die statischen Felder des IP-Headers bei einer Integritätsprüfung nicht ein.
Abbildung 8.3: Aufbau von IPSecPaketen im Tunnelmodus
Transportmodus
Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu transportierenden IP-Paketes. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt (siehe Abbildung 8.4).
Abbildung 8.4: Aufbau von IP-SecPaketen im Transportmodus
Der Vorteil dieser Betriebsart ist, dass jedem Paket nur wenige Bytes hinzugefügt werden. Dem gegenüber steht, dass jede Station im VPN IPSec beherrschen muss, was eine Neukonfiguration von bestehenden Netzen nötig macht. Außerdem ist es für Angreifer möglich, den Datenverkehr im VPN zu analysieren, da die IP-Header nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, so dass man nur feststellen kann, welche Stationen wie viele Daten austauschen, aber nicht welche Daten. Verwendete Verschlüsselungsverfahren
IPSec verwendet das Diffie-Hellman Schlüsselaustauschverfahren zur Identitätsprüfung. Die benutzten kryptographischen Hashfunktionen sind unter anderem HMAC, MD5 und SHA. Als Verschlüsselungsalgorithmen dienen zum Beispiel DES und IDEA, Blowfish und RC4.
8.4 Sicherheit im Netzwerk
275
Kerberos Kerberos ist ein Protokoll, das am MIT (Massachusetts Institute of Technology) entwickelt wurde. Es ist in der RFC 1510 definiert: •
www.ietf.org/rfc/rfc1510.txt
RFC 1510
Eine etwas anschaulichere Darstellungen finden Sie auf der »Kerberos Homepage des MIT«: •
web.mit.edu/kerberos/www/index.html
Speziell für die in Windows 2000 eingesetzte Version gibt es ein Draft: •
www.ietf.org/internet-drafts/draft-brezak-win2k-krb-rc4-hmac01.txt
Der Einsatz erfolgt, damit Kennwörter nicht offen über das Netzwerk übertragen werden. Normalerweise ist dies notwendig, denn vor der ersten Authentifizierung können sich Sender und Empfänger noch nicht auf ein gemeinsames Verschlüsselungsverfahren und die passenden Schlüssel verständigt haben. Kerberos verwendet zum einen ein Verschlüsselungsverfahren für Schlüssel, zum anderen sogenannte Zeittickets, die den Ablauf der Übertragung kontrollieren. Microsoft hat den Kerberos-Standard weiter entwickelt, so dass nun auch Zertifikate mit öffentlichen Schlüsseln eingesetzt werden können. Diese Schlüssel werden mit dem Zertifikatserver erstellt, der nur in der Windows 2000 Server-Familie verfügbar ist. Vorteil ist der mögliche Verzicht auf die Beschaffung von Zertifikaten von einem öffentlichen Herausgeber, der in der Regel Geld für die Dienstleistung verlangt. Kerberos baut im Wesentlichen auf einen zentralen Schlüsselserver auf. Wenn nun ein Benutzer A mit einem Server B Kontakt aufnehmen möchte, setzt er einen privaten Schlüssel K ein. Damit wendet er sich an den Schlüsselserver S. A und S können nun verschlüsselt kommunizieren. Der Schlüsselserver versieht die Nachricht nun mit einem Zeitstempel und einem Schlüssel für die Kommunikation mit B. Diese Information kann jedoch von A nicht entziffert werden, da nur B über den entsprechenden Schlüssel zur Entschlüsselung verfügt. A kann diesen Schlüssel auch nicht selbst erzeugen, weil er den privaten Schlüssel von B nicht kennt. Dieses Paket sendet A nun an B. B entschlüsselt es (denn er verfügt über den passenden privaten Schlüssel). Nun weiß B, das A Nachrichten senden will und auch dazu in der Lage ist. B versieht deshalb die Nachricht mit einem neuen Zeitstempel, verschlüsselt sie erneut und sendet sie an A zurück. A prüft nur noch, ob der zweite Zeitstempel größer als der erste ist, der Weg also tatsächlich über B ging. Außerdem ist der gesamte Vorgang zeitlich begrenzt, die Tickets für den Austausch sind nur eine begrenzte Zeit gültig. Nachteilig ist, dass die Partner über exakt die gleiche Zeit verfügen müssen, sonst stimmen die Zeitstempel nicht. Vor allem im WAN ist
Nachrichtenübertragung über einen zentralen Schlüsselserver
276
8 Grundlagen der Systemsicherheit dies unter Umständen problematisch. Außerdem wird immer ein Server benötigt, der die Benutzer mit dem Tickets versorgt. Als Verschlüsselungsalgorithmus selbst wird beispielsweise DES benutzt. Der Vorteil ist die Verwendung immer neuer Schlüssel, die Decodierung macht nicht sehr viel Sinn. Wird Kerberos zur Authentifizierung eingesetzt, ist der Inhalt der Nachricht die Anmeldeinformation.
8.5 Absicherung von Internet- und WANVerbindungen Im WAN (Wide Area Network) sollten höhere Sicherheitsansprüche erfüllt werden als im LAN. Der Übertragungsweg kann nur selten überwacht werden und Angriffe auf solche Wege sind nicht selten. Betrachten Sie die Welt außerhalb Ihres Computers als feindliche Umgebung und sichern Sie sich so, als ob Sie angegriffen werden.
8.5.1 Kennwortauthentifizierung Eine Ebene ist die Kennwortauthentifizierung und die Übertragungsverschlüsselung. Die folgenden möglichen Sicherheitsprotokolle sind für die Authentifizierung zuständig: •
PAP. Password Authentication Protocol
•
SPAP. Shiva Password Authentication Protocol
•
CHAP. Challange Handshake Authentication Protocol
•
MS-CHAP. Microsoft-spezifische Version von CHAP
•
EAP. Extensible Authentication Protocol
PAP PAP
PAP (Password Authentication Protocol). Kennwörter werden im Textformat und unverschlüsselt übertragen. Das ist einfach und schnell, aber nicht sicher. PAP wird oft verwendet, wenn die Gegenstelle nicht bekannt ist und ein sicheres Protokoll nicht ausgehandelt werden kann.
8.5 Absicherung von Internet- und WAN-Verbindungen SPAP SPAP (Shiva Password Authentication Protocol). Dies ist eine Modifikati- SPAP on von PAP für die Verbindung mit Shiva-Clients. Shiva ist ein Hersteller von Netzwerkgeräten (www.shiva.com). SPAP verwendet eine entschlüsselbare Zweiwege-Verschlüsselung für das Kennwort.
CHAP CHAP (Challange Handshake Authentication Protocol). Dieses Protokoll CHAP nutzt eine sichere Übertragung der Kennwörter. Verwendet wird der Hash-Algorithmus MD 5 (Message Digest 5). MD 5 ist ein Datentransformationsalgorithmus, der nur in einer Richtung arbeitet, also nicht wieder entschlüsselt werden kann. Beide Seiten transformieren das Kennwort mit MD 5 und vergleichen es dann. Wird das Kennwort abgefangen, ist es wertlos, weil nur der transformierte Code über den Übertragungsweg geht.
MS-CHAP MS-CHAP. Dies ist eine spezielle Implementierung von CHAP, die MS-CHAP über dieselben Eigenschaften verfügt, dem Nutzer aber den Komfort einer LAN-basierten Anmeldung innerhalb einer reinen MicrosoftUmgebung erlaubt. Aktuell in Windows 2000 ist die Version 2.
EAP EAP (Extensible Authentication Protocol) ist eine Erweiterung von PPP EAP (Point-to-Point Protocol). EAP bietet zusätzliche Sicherheitsfunktionen innerhalb von PPP. Die Definition erfolgt in RFC 2284. Eine Erweiterung ist TLS (Transport Layer Security), definiert in der RFC 2716. PPP selbst stellt nur die Verbindung her, besitzt also keinen Authentifizierungsmechanismus, wie Sie in dieser Auflistung beschrieben werden.
8.5.2 Verschlüsselung Ist das Kennwort erfolgreich ausgetauscht, beginnt die Datenübertragung. Auch hier gilt – je länger die Verbindung, um so unsicherer der Weg. Eine Verschlüsselung der Übertragung ist immer zu empfehlen. Windows 2000 bietet dafür zwei Wege: •
MPPE. Microsoft Point-To-Point Encryption
•
IPSec. Internet Protocol Security
277
278
8 Grundlagen der Systemsicherheit MPPE MPPE (Microsoft Point-To-Point Encryption). Diese Version unterstützt 40-, 56- und 128-Bit-Schlüssel und nutzt den RSA-RC4-Algorithmus über PPP. RSA steht für Rivest, Shamir und Adlemen – die Namen der Erfinder.
IPSec IPSec (Internet Protocol Security). Diese Dienstesammlung basiert auf der DES- oder 3DES (Triple DES)-Verschlüsselung. DES steht für Data Encrpytion Standard. IPSec kann auch auf getunnelte Verbindungen aufsetzen, wie beispielsweise auf L2TP (siehe oben).
8.5.3 Rückruf Der Rückruf ist eine ebenso einfache wie wirkungsvolle Sicherheitsmaßnahme. Bei der Verwendung einer direkten Verbindung zu einem entfernten Computer, beispielsweise per Telefon, kann der Rückruf feindliche Zugriffe massiv erschweren. Der entfernte Computer, der sich mit einem Server verbinden möchte, meldet sich dort an und bittet um Rückruf. Der Server trennt sofort die Verbindung und baut nun seinerseits die Verbindung – basierend auf der Nummerninformation. Ein Anruf von einem nicht zuvor autorisierten Telefonanschluss ist daher zwecklos.
8.5 Absicherung von Internet- und WAN-Verbindungen
Teil III – Installation und Administration
III Installation und Administration
279
8.5 Absicherung von Internet- und WAN-Verbindungen
Kapitel 9 Installation
9.1
Überlegungen zur Hardware...............................283
9.2
Gedanken zum Installationsverfahren..............289
9.3
Hinweise zur Notebook-Installation .................294
9.4
Inhalt der Installations-CD..................................301
9.5
Installation mit bootfähigem CD-Laufwerk ....304
9.6
Installation mit Hilfe der Bootdisketten...........305
9.7
Installation mit WINNT.EXE/WINNT32.EXE.......307
9.8
Die weiteren Installationsschritte ......................315
9.9
Automatisierte Installation..................................316
9.10 Die Remoteinstallationsdienste..........................343
281
9.1 Überlegungen zur Hardware
283
9 Installation Die Installation von Windows 2000 ist heute dank ausgeklügelter Hardwareerkennungsmechanismen und einer im Vergleich zu Windows NT deutlich breiteren Unterstützung gängiger Technologien und Systemkomponenten eigentlich sehr schnell und einfach zu bewerkstelligen. Es gibt aber trotzdem einige Fallen, die es durch gute Planung und Vorbereitung zu vermeiden gilt. Deshalb sollten Sie sich vor der Installation ein wenig Zeit nehmen und die folgenden Gedanken und Anregungen prüfen, die wir und befreundete Kollegen durch viele praktische Erfahrungen mit dem System gewonnen haben.
9.1 Überlegungen zur Hardware Windows 2000 ist hinsichtlich seiner Anforderungen an die Hardware Ihres PC ähnlich anspruchsvoll wie Windows NT 4 Workstation. In diesem Abschnitt werden wir uns einige Gedanken machen zur optimalen Hardwarekonfiguration einer professionellen Arbeitsstation. Das Hauptaugenmerk legen wir dabei auf den Einsatz in kommerziellen Umgebungen.
9.1.1 Übersicht über die Mindestvoraussetzungen Die folgende Tabelle zeigt die Mindestvoraussetzungen, die Microsoft definiert sowie die Empfehlungen für eine Konfiguration, die ein flüssiges Arbeiten gewährleistet.
Hardware
Minimum
Empfohlen
CPU
133 MHz Pentium
233 MHz Pentium II
RAM
64 MB
128 MB
Festplatte
1 GB; min. 700 MB Frei
ab 2 GB
Netzwerk
ISA 10 MBit
PCI 100 MBit
Grafikkarte
PCI-Grafikkarte
AGP-Grafikkarte
CD-ROM
12-fach
32-fach
Floppy
1.44 MB
1.44 MB
Tabelle 9.1: Hardware-Voraussetzungen
Die Maus als Zeigegerät zu erwähnen ist aus unserer Sicht überflüs- Maus erforderlich sig – Windows 2000 ist ohne praktisch unbedienbar.
284
9 Installation
9.1.2 Die Hardware-Kompatibilitätsliste HCL im Internet
Microsoft hat eine Hardware-Kompatibilitätsliste veröffentlicht, die Sie auf der Installations-CD finden (siehe auch Abschnitt 9.4 Inhalt der Installations-CD ab Seite 301). Deutlich aktueller und bequemer zum Suchen finden Sie die HCL im Internet unter www.microsoft.com/hcl.
Abbildung 9.1: Die HCL im Internet
Auf dieser Seite können Sie für jede Produktgruppe alle von Microsoft getesteten und bewerteten Produkte übersichtlich mit der Angabe der Kompatibilität zu den gängigen Microsoft-Betriebssystemen ab Windows 95 finden. Für weitergehende Hinweise können auch die folgenden Links empfohlen werden: windows.microsoft.com/windows2000/reskit/webresources www.microsoft.com/windows2000/upgrade/compat/search/devices.asp HCL als Textdatei
Die HCL lässt sich aber auch komplett als Textdatei win2000hcl.txt herunterladen. Unter der folgenden FTP-Adresse steht die Datei zum Download bereit: ftp.microsoft.com/services/whql/win2000hcl.txt Vor der Installation von Windows 2000, insbesondere vor einem Upgrade von Windows 9x, empfiehlt sich ein Studium der HCL. Allerdings ist die HCL immer noch sehr beschränkt. Würde Sie nur die hier gefundene Hardware zum Einsatz bringen, hätten Sie zwar sicherlich
9.1 Überlegungen zur Hardware
285
ein sagenhaft stabiles System (zumindest nach Microsoft-Kriterien), wären aber auf eine kleine Anzahl von Herstellern festgelegt und könnten womöglich bestimmte Aufgaben gar nicht mit Windows 2000 erledigen. Neben der HCL von Microsoft ist deshalb auch ein Blick auf die Web- Hersteller-Websites sites der betreffenden Hardwarehersteller hilfreich, die zunehmend zu Windows 2000 explizit Stellung nehmen oder bereits aktuelle Treiber anbieten. Theoretisch gibt es heute im Hinblick auf die Treiberverfügbarkeit WDM einen verlockenden Standard – das universelle Windows Device Driver Model. Derart entwickelte Treiber sollten sowohl unter Windows 98 als auch unter Windows 2000 lauffähig sein. Bevor Sie allerdings solche Treiber einzusetzen versuchen, sollten Sie sicherheitshalber nach einer expliziten Versicherung des Herstellers Ausschau halten, die auch die Lauffähigkeit unter Windows 2000 beinhaltet. Die Praxis hat gezeigt, dass es mit der Kompatibilität solcher Treiber oft noch nicht zum besten bestellt ist.
9.1.3 Prozessor Windows 2000 unterstützt wie Windows NT erst Prozessoren ab dem Intel 80486. Allerdings ist ein sinnvolles Arbeiten erst mit einem Pentium oder einem vergleichbaren Prozessor, beispielsweise von AMD, möglich. Interessanterweise heißt das Verzeichnis, welches die Installationsdateien auf der CD enthält, noch immer i386. Auf einem Intel 80386 laufen Windows NT und auch 2000 allerdings definitiv nicht... Windows 2000 unterstützt im übrigen wie auch schon NT 4 bis zu zwei Prozessoren für symmetrisches Multitasking.
9.1.4 Hauptspeicher Viel hilft viel – gerade beim RAM trifft das zu. Hier sehen Sie auch Nichts geht über eine der Stärken von Windows 2000 gegenüber den kleineren Brüdern Hubraum! der 9x-Reihe: Während bei diesen eine RAM-Kapazität von mehr als 128 MB nichts mehr bringt, beginnt sich Windows 2000 da gerade erst wohl zu fühlen. Für den professionellen Einsatz in der grafischen Bildverarbeitung können Sie problemlos bis zu 4 GB in Ihrem System einsetzen, vorausgesetzt, Ihre Hardware hält da mit.
9.1.5 Festplattenspeicher Windows 2000 neigt insbesondere bei weniger RAM zu ständigem Auslagern auf die Festplatte – allerdings brächte dann mehr Haupt-
286
9 Installation speicher mehr als eine besonders schnelle Platte wieder hereinholen könnte. Für den Workstation-Einsatz reichen heutige schnelle IDEFestplatten vollkommen aus, allerdings empfehlen sich hier moderne Modelle ab 7.200 Umdrehungen je Minute. SCSI-Festplatten ab 10.000 Umdrehungen erreichen allerdings noch höhere Leistungswerte bei gleichzeitig geringerer Belastung für die CPU, sind aber auch teurer.
Gedanken zur Partitionierung sind wichtig!
Neben der eigentlichen Geschwindigkeit und Größe der Festplatte (heute, Stand Mitte 2000, sind Festplatten unter 15 GB praktisch nicht mehr zu bekommen) sollte vor allem die Aufteilung, sprich Partitionierung, eine Rolle in Ihren Überlegungen spielen. Hier können Sie aufgrund der professionellen Features, die bereits in Windows 2000 implementiert sind, einiges an Flexibilität und Geschwindigkeit gewinnen, wenn Sie sich vor der Installation Gedanken über die Aufteilung Ihrer Festplatten machen.
Neu: Dynamische Erweiterbarkeit von Datenträgern Windows 2000 unterstützt eine neue Art der Festplattenverwaltung – die dynamische Datenträgerverwaltung. Dynamische Datenträger können Sie jederzeit durch die Hinzunahme weiterer physischer Festplatten erweitern. Wird beispielsweise Ihr Datenlaufwerk D: zu klein, könnten Sie durch Installation einer weiteren Festplatte den logischen Datenträger D: vergrößern. Dabei spielt das Dateisystem noch nicht einmal die entscheidende Rolle, das wird sowohl für FAT, FAT32 als auch für NTFS unterstützt. Viel wichtiger ist allerdings, dass ein Datenträger, der später einmal unter Beibehaltung aller bisher gespeicherten Dateien erweiterbar sein soll, neu auf einer sogenannten dynamischen Festplatte erstellt worden sein muss. Dabei ist zu beachten, dass sich der System- als auch der Bootdatenträger von Windows 2000 grundsätzlich nicht dynamisch erweitern lassen. Frühzeitig Voraus- Eine Abtrennung einer ausreichend großen Bootpartition, welche das setzungen schaffen Betriebssystem selbst enthält, empfiehlt sich allein schon deshalb. Mit
ca. 2 GB ist eine solche Partition für die meisten Anwendungsfälle ausreichend dimensioniert. Sie sollten später nur darauf achten, dass dann die Anwendungsprogramme auf einem anderen logischen Datenträger installiert werden. Wie Sie vielleicht merken, vermeiden wir für den Rest der logischen Laufwerke, wenn wir von dynamischer Erweiterbarkeit sprechen, den Begriff Partition. Dynamische Datenträger auf einer dynamischen Festplatte sind nämlich keine Partitionen mehr. Deshalb sollten Sie diese dann auch nicht schon während der Installation anlegen. Vorgehen bei der Installation
Während der Installation legen Sie ausschließlich eine ausreichend dimensionierte Bootpartition für Windows 2000 an. Den Rest der Festplatte, so sie noch nicht mit Daten belegt ist, lassen Sie zunächst
9.1 Überlegungen zur Hardware
287
unpartitioniert. Erst wenn Windows 2000 läuft, wandeln Sie die Festplatte mit Hilfe der Datenträgerverwaltung in eine dynamische Festplatte um und erstellen dann einen oder mehrere neue dynamische (logische) Datenträger auf diesen. Warum müssen diese dynamischen Datenträger neu installiert werden? Sie haben sicherlich schon gehört oder gelesen, dass Sie auch bisherige normale sogenannte Basisfestplatten mit Partitionen in dynamische Festplatten umwandeln können. Das ist vollkommen richtig. Sie haben dann eine dynamische Festplatte mit logischen Datenträgern auf dieser, die in ihrem früheren Leben einmal ganz normale Partitionen oder logische Laufwerke in einer erweiterten Partition waren. Der Witz ist nur – erweiterbar sind diese nicht. Alles, was einmal über eine Partitionstabelle geführt worden ist, kann auch auf einer dynamischen Festplatte nachher nicht mehr direkt erweitert werden. Warum dies so ist und was die technischen Grundlagen der neuen Wo es im dynamischen Datenträgerverwaltung sind, können Sie im Kapitel 4 Buch steht Massenspeicherwaltung ab Seite 85 nachlesen. Die Einrichtung und Administration von Datenträgern sind Inhalt des Kapitels 11 Administration der Massenspeicher ab Seite 387.
Erhöhung der Festplattenleistung durch Stripe Sets In Bereichen, in denen es um die Bearbeitung großer lokaler Datenmengen geht, beispielsweise in der Bild- und Videobearbeitung, werden sehr hohe Anforderungen an das Festplattenspeichersystem gestellt. Windows 2000 bietet hier eine implementierte und damit kostengünstige Softwarelösung zur Verbindung mehrerer physischer Festplatten zu sogenannten Stripe Sets. Die Grundlagen dazu sind Inhalt des Abschnitts 4.4.6 Stripesetdatenträger ab Seite 116. Wie auch schon bei den dynamisch erweiterbaren Datenträgern wird Neuanlage nur auf die Neuanlage von Stripe Sets, in der Windows 2000 Terminologie dynamischen dann Stripesetdatenträger genannt, nur über freie Bereiche auf dynami- Festplatten schen Festplatten ermöglicht. System- und Bootdatenträger können dabei grundsätzlich nicht einbezogen werden. Für die Neuinstallation von Windows 2000 empfiehlt es sich auch hier, Vorgehen bei der nur eine ausreichend große Bootpartition für das Betriebssystem anzu- Installation legen und den Rest aller anderen Festplatten unpartitioniert zu lassen. Erst nach dem Start von Windows 2000 können Sie die Bootfestplatte in eine dynamische Festplatte umwandeln und mit der Implementierung des Stripesetdatenträgers beginnen. Das Vorgehen dabei wird in Abschnitt 11.4.3 ab Seite 420 erklärt.
288
9 Installation
9.1.6 Netzwerkhardware Windows 2000 kommt mit den meisten moderneren ISA Plug&Play Netzwerkadaptern zurecht. Allerdings empfiehlt sich bei einer Umstellung auf Windows 2000 der konsequente Einsatz von PCI-Karten, auch für die Netzwerkhardware. Vorsicht bei ACPI
Hinsichtlich des Einsatzes mehrerer PCI-Karten auf einem ACPISystem ist insbesondere zu beachten, dass es durch unsaubere Treiber, die heute noch gar nicht so selten trotzdem mit einem Windows 2000 Kompatibel! – Aufkleber ausgeliefert werden (dann aber ohne Signatur), zu einem sehr instabilen System kommen kann. Die ACPIImplementierung von Microsoft in Windows 2000 erzwingt einen gemeinsamen Interrupt für alle PCI-Geräte und benötigt damit absolut sicher laufende Treiber. Schert nur ein Gerätetreiber hier aus, und meist sind die der Netzwerkkarten dabei nicht ganz unbeteiligt, kommt es zu seltsamen Phänomenen bis hin zu plötzlichen Neustarts (natürlich immer vor dem Sichern des wichtigen Dokuments). Für einen sicheren Betrieb, der vielleicht ein wenig mehr Strom kostet, empfiehlt sich beim Einsatz mehrerer PCI-Erweiterungskarten heute eher ein Verzicht auf ACPI.
9.1.7 Grafikkarte AGP empfohlen
Windows 2000 unterstützt im Gegensatz zu Windows NT den Accelerated Graphics Port (AGP) vollständig und profitiert direkt von der höheren Geschwindigkeit gegenüber PCI. Falls noch nicht geschehen, sollten Sie bei der Überlegung für den Umstieg auf Windows 2000 gleich Ihre Grafikhardware auf den neuesten Stand bringen, wenn man einmal davon absieht, dass auch dieser in 6 Monaten wieder völlig veraltet sein wird...
Hohe 3D-Leistung
Wichtig übrigens auch für 3D-Grafikentwickler und Spielefreaks: Windows 2000 verfügt mit DirectX 7 und einer hardwarenahen Grafikansteuerung über die besten Voraussetzungen, moderne 3DAnwendungen mit maximaler Geschwindigkeit ausführen zu können. Zusammen mit der deutlich besseren Hauptspeicherausnutzung ab 128 MB aufwärts und der Möglichkeit, mit Stripesetdatenträgern eine viel höhere Festplattenleistung erreichen zu können, wird hier Windows 9x abgehängt. Voraussetzung dazu sind allerdings neueste Grafikkartentreiber der großen 3D-Chiphersteller. Die in Windows 2000 mitgelieferten sind in der Hinsicht noch wenig optimiert und lassen auch bei den unterstützten 3D-Features noch einige Wünsche offen.
9.2 Gedanken zum Installationsverfahren
289
9.1.8 Powermanagement und ACPI Windows 2000 unterstützt neben dem Advanced Power Management (APM) das modernere Advanced Configuration and Power Interface (ACPI) – im Gegensatz zu Windows 98 angeblich richtig. Allerdings empfiehlt es sich dringend, einen gründlichen Blich in die HCL (siehe Abschnitt 9.1.2) zu werfen und zu überprüfen, ob die eingesetzte Hardware dazu in der Lage ist. Windows 2000 checkt beim Installieren zwar selbst und installiert bei den kleinsten Zweifeln automatisch nur APM, allerdings haben sich in der Praxis die Klagen über unzuverlässig laufende ACPI-Systeme gehäuft. Die Vorteile eines sauber laufenden ACPI-Systems sind allerdings bes- Nur bei modernsere Plug&Play- und Stromsparfähigkeiten. Der Einsatz empfiehlt sich sten Systemen mit aber nur dann, wenn Sie über neueste Hardware und saubere Treiber sauberen Treibern mit Signatur verfügen. Anderenfalls fahren Sie besser, wenn Sie während der Installation auch einen durch Windows 2000 erkannten ACPI-PC auf APM umstellen.
9.2 Gedanken zum Installationsverfahren Bevor es konkret an die Installation von Windows 2000 geht, sollten noch ein paar Gedanken den Möglichkeiten gewidmet werden, die Sie zur Installation haben. Das betrifft die Frage nach den Upgrademöglichkeiten oder wie Sie die Installation möglichst schnell und effizient durchführen können.
9.2.1 Neuinstallation oder Upgrade ? Entscheidend für den Erfolg einer Windows 2000 Installation ist die gründliche Überlegung, ob eine Neuinstallation oder ein Upgrade einer bestehenden Windows-Installation der bessere Weg ist. In diesem Abschnitt wollen wir einige Gedanken darüber diskutieren, beispielsweise welche Hürden bei einem Upgrade auftauchen können oder wann eine komplette Neuinstallation der bessere Weg sein kann.
Upgrademöglichkeiten für Windows 2000 Windows 2000 Professional können Sie von einer Reihe alter Microsoft-Windows-Betriebssysteme upgraden. Die folgende Tabelle zeigt Ihnen alle Windows-Versionen, die dafür in Frage kommen:
290 Tabelle 9.2: Upgrademöglichkeiten für Windows 2000
9 Installation
Windows-Version
Upgrade möglich
Windows 3.x
Windows 9x
Windows NT 3.1
Windows NT Workstation 3.51/4.0
Ein Upgrade von der ersten Windows NT-Version ist generell nicht möglich. Es bleibt Ihnen nur der Weg des umständlichen Updates auf NT 3.51 oder 4.0 oder die Neuinstallation, welche dringend zu empfehlen ist. Upgrade: Kein Weg Sie sollten beachten, dass Windows 2000 kein Uninstall kennt. Einmal zurück! als Upgrade installiert, gibt es keinen Weg mehr zurück. Im schlimms-
ten Fall kann so eine zuvor gut funktionierende Konfiguration zerstört werden. Sichern Sie deshalb besser Ihre alte Bootpartition mit einem Tool wie beispielsweise Norton Ghost (www.symantec.de) oder Drive Image von PowerQuest (www.powerquest.com). Im Falle eines fehlgeschlagenen Upgrades können Sie so die alten Strukturen vollständig wieder herstellen und sich dann doch an eine Neu- oder Parallelinstallation machen.
Upgrade von Windows 9x Windows 2000 bietet sich mit seiner Unterstützung des FAT32Dateisystems (siehe auch Kapitel 5 Dateisysteme ab Seite 129) und der im Vergleich zu Windows NT breiteren Treiberverfügbarkeit geradezu an, Windows 9x im professionellen Umfeld direkt abzulösen. Upgrade-Voraussetzungen
Überprüfen mit APCOMPAT.EXE
Ein Upgrade empfiehlt sich allerdings nur, wenn die folgenden Voraussetzungen gegeben sind: •
Sie haben Windows 9x nur zusammen mit normaler WindowsStandardsoftware auf Ihrem System im Einsatz.
•
Sie haben sich vergewissert, dass für Ihre installierten Hardwarekomponenten Windows 2000-Treiber existieren (siehe auch Abschnitt 9.1.2 Die Hardware-Kompatibilitätsliste ab Seite 284).
•
Eventuell im Einsatz befindliche ältere DOS-Software haben Sie zuvor praktisch auf seine Lauffähigkeit unter Windows 2000 überprüft. Gerade alte Software, die vom DOS Protected Mode Interface (DPMI) regen Gebrauch macht, kann sich unerwartet als inkompatibel erweisen.
Für die Überprüfung Ihres Systems steht ein Dienstprogramm auf der Installations-CD zur Verfügung. Mit diesem lassen sich die installierten Anwendungen auf Kompatibilität mit Windows 2000 kontrollie-
9.2 Gedanken zum Installationsverfahren
291
ren. Anwendungen, die als inkompatibel erkannt werden, sollten Sie, wenn Sie dennoch ein Upgrade durchführen wollen, zuvor deinstallieren und nach dem erfolgreichen Upgrade in einer aktuellen, Windows 2000 konformen Version neu installieren. Haben Sie diese Gegebenheiten Ihrer Windows 9x-Installation zu be- Wann ein Upgrade vermeiden? rücksichtigen, sollte ein Upgrade vermieden werden: •
Sie benutzen Tools wie beispielsweise Schriftverwaltungsprogramme oder spezielle Kommunikationssoftware, auf die Sie angewiesen sind und nicht verzichten können.
•
Sie haben Multimedia-Hardware im Einsatz wie beispielsweise Video-Framegrabber oder DVD-Dekoderhardware, für die momentan nur wenig Windows 2000-Treiber existieren.
•
Sie benutzen CD-Brenner, für die Sie nicht explizit Angaben zu neuen Treibern für Windows 2000 und vor allem Updates zur Brennersoftware vom Hersteller bekommen. So werden beispielsweise noch immer modere USB-Brenner zu einfachen CD-Readern degradiert, weil die Entwicklung passender Treiber und Brennsoftwareupdates hinterherhinkt.
Besser ist es dann, Windows 2000 parallel zu installieren. Mit der Un- Parallele Installaterstützung des FAT32-Dateisystems kann es, ausreichend Speicher- tion statt Upgrade platz vorausgesetzt, in einem anderen Verzeichnis oder auf einem anderen logischen Datenträger zusammen mit Windows 9x auf dem Computer gehalten werden. Das automatisch von Windows 2000 installierte Bootmenü erlaubt dann wahlweise den Start eines der Betriebssysteme. So können Sie übergangsweise die fehlenden Funktionen von Windows 2000 durch Start Ihrer alten Windows 9xKonfiguration ersetzen.
Upgrade von Windows NT Ein Upgrade von Windows NT ist im Vergleich zu Windows 9x deutlich einfacher. Hier wird es deutlich weniger der Fall sein, dass Programme oder Hardwarekomponenten, die unter NT liefen, mit Windows 2000 Probleme machen. Für die Überprüfung Ihres Systems sollten Sie auch hier das Dienst- Überprüfen mit programm APCOMPAT.EXE von der Installations-CD ausführen. Mit APCOMPAT.EXE diesem lassen sich die unter NT installierten Anwendungen auf Kompatibilität mit Windows 2000 kontrollieren. Anwendungen, die als inkompatibel erkannt werden, sollten Sie, wenn Sie dennoch ein Upgrade durchführen wollen, zuvor deinstallieren und nach dem erfolgreichen Upgrade in einer aktuellen, Windows 2000 konformen Version neu installieren.
292 Achtung bei Kommunikationstreibern
Parallele Installation statt Upgrade
9 Installation Besondere Aufmerksamkeit verdienen Kommunikationstreiber wie beispielsweise für ISDN-Geräte. Diese wurden unter NT umständlich über den Remote Access Service (RAS) eingebunden und werden unter Windows 2000 endlich richtig unterstützt. Allerdings sollten Sie sich vergewissern, dass es aktuelle Treiber für Ihr Gerät gibt, anderenfalls kann es nach dem Upgrade ein böses Erwachen geben, wenn Sie plötzlich aus der Internet- und E-Mailwelt ausgesperrt sind. Auch mit Windows NT können Sie eine Parallelinstallation durchführen. Haben Sie als gemeinsames Dateisystem NTFS (Windows NT ab Service Pack 4 notwendig!), sollten Sie allerdings den möglichen Aufwand berücksichtigen, den Windows 2000 bei jedem Neustart für die Aktualisierung des NTFSv5-Eigenschaften aufwenden muss (siehe auch Abschnitt 5.4.9 Zur Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 174).
Vorteile einer Neuinstallation Besser: Neuinstallation
Vorteile von NTFS berücksichtigen
Falls irgend möglich, sollten Sie einer Neuinstallation von Windows 2000 den Vorzug geben. Dabei macht es Sinn, gleich die bisher verwendete Hardware einer kritischen Prüfung zu unterziehen (siehe auch Seite 283) und hoffnungslos veraltete Komponenten wie beispielsweise ISA-Karten auszutauschen. Für das sichere und problemlose Arbeiten von Windows können die folgenden optimalen Bedingungen gelten, denen Sie über eine Neuinstallation meist am besten gerecht werden können: •
Prüfen Sie, ob Ihr PC den Mindestvoraussetzungen für die Hardware genügt; achten Sie vor allem auf ausreichend Hauptspeicher.
•
Verwenden Sie für alle Hardwarekomponenten wie Erweiterungskarten oder externe Geräte neueste Treiber, die explizit für Windows 2000 geeignet sind. Am besten sind natürlich Geräte und Treiber, die Sie in der HCL (siehe Seite 284) wiederfinden.
•
Machen Sie sich vor der Installation Gedanken über die (Neu-)Aufteilung der Bootfestplatte. Eine Bootpartition von 500 MB macht genauso wenig Sinn wie ein Bereich am physischen Ende einer Festplatte.
•
Wollen Sie eine spätere dynamische Erweiterbarkeit Ihrer Datenträger schon heute berücksichtigen, müssen Sie diese neu auf dynamischen Festplatten anlegen. Übernommene Partitionen und logische Laufwerke in erweiterten Partitionen sind dazu prinzipiell nicht geeignet (siehe dazu auch Seite 286).
•
Berücksichtigen Sie, dass erst das Dateisystem NTFS (siehe auch Kapitel 5 Dateisysteme ab Seite 129) in der Version 5 jetzt mit mehr Möglichkeiten Ihnen alle Vorteile bringt, die Windows 2000 bieten
9.2 Gedanken zum Installationsverfahren
293
kann. Erst mit NTFS arbeitet beispielsweise der Indexdienst (siehe Seite 123) richtig effizient oder funktioniert die Wiederherstellung nach einem Systemabsturz deutlich zuverlässiger. Nicht zu vergessen die Möglichkeit, mit dem verschlüsselnden Dateisystem (EFS; siehe Seite 166) Daten wirkungsvoll schützen zu können. •
Sie können zwar jederzeit FAT- oder FAT32-Datenträger nach Nachteile bei nachNTFS konvertieren, allerdings gibt Microsoft für diese Datenträger träglicher Umwaneine geringere Leistungsfähigkeit im Vergleich zu direkt mit NTFS dlung in NTFS erstellten an.
9.2.2 Mögliche Installationsverfahren Für die Installation von Windows 2000 Professional haben Sie verschiedene Möglichkeiten. Diese reichen von einer einfachen Installation über ein bootfähiges CD-ROM-Laufwerk bis hin zum vollautomatisierten Setup über einen RIS-Server (Remote Installation Service) mit einer bootfähigen Netzwerkkarte. In diesem Abschnitt wollen wir Ihnen diese Möglichkeiten vorstellen, um Ihnen eventuell bei der Auswahl des für Sie optimalen Verfahrens helfen zu können.
Installation über ein bootfähiges CD-ROM-Laufwerk Windows 2000 wird auf einer bootfähigen CD geliefert. Kann Ihr Computersystem den Bootvorgang über eine CD durchführen, steht der einfachen Installation meist nichts mehr im Wege. Nach Aktivierung der entsprechenden Boot-Sequenz im BIOS-Setup wird beim Systemstart das Setup direkt von der CD geladen und die Installation kann beginnen. Weitere Hinweise zum Installationsvorgehen über ein bootfähiges CDROM-Laufwerk finden Sie in Abschnitt 9.5 Installation mit bootfähigem CD-Laufwerk ab Seite 304.
Installation mit den Windows 2000 Bootdisketten Für Konfigurationen ohne bootfähigem CDROM-Laufwerk gibt es auch Windows 2000 Startdisketten. Diese vier Disketten sind nicht im Lieferumfang enthalten, können aber mit einem Dienstprogramm, welches sich auf der Windows 2000 Professional-CD befindet, einfach erstellt werden. Wie Sie diese Disketten erzeugen können und was es dabei sonst noch zu beachten gibt, können Sie in Abschnitt 9.6 Installation mit Hilfe der Bootdisketten ab Seite 305 nachlesen.
294
9 Installation Installation über den Aufruf von WINNT.EXE / WINNT32.EXE Diese eigentlichen Setup-Programme für Windows 2000 befinden sich im Ordner der Installationsdateien, auf der CD unter \I386 (siehe auch Abschnitt 9.4 Inhalt der Installations-CD ab Seite 301). Bei einer PCKonfiguration, die nicht über ein bootfähiges CDROM-Laufwerk verfügt oder bei der die Installationsdateien lokal auf der Festplatte vorliegen, können Sie Setup über der Aufruf von WINNT.EXE beziehungsweise WINNT32.EXE starten. Diese Programme können über eine Reihe von zusätzlichen Optionen für ein angepasstes Setup beeinflusst werden. Die Optionen und weitere Hinweise zum Ausführen dieser Programme finden Sie in Abschnitt 9.7 Installation mit WINNT.EXE/WINNT32.EXE ab Seite 307.
Installation über das Netzwerk Für die Installation von Windows 2000 auf NetzwerkArbeitsplatzrechnern bieten sich verschiedene Wege an. In Abschnitt 9.7.4 Aufruf über das Netzwerk ab Seite 314 werden Ihnen diese vorgestellt und Hinweise für deren effektive Nutzung gegeben.
Automatisierte Installation Sind eine große Anzahl von Arbeitsplatzrechnern mit Windows 2000 zu versehen oder sollen möglichst effiziente Methoden implementiert werden, die bei einem Ausfall eines Rechners einen schnellstmöglichen Ersatz gewährleisten können, bieten sich verschiedene Werkzeuge und Wege für ein automatisiertes Setup an. Die wichtigsten werden in Abschnitt 9.9 Automatisierte Installation ab Seite 316 vorgestellt.
9.3 Hinweise zur Notebook-Installation Um alle Möglichkeiten zu nutzen, die Windows 2000 bietet, sollte das Notebook bestimmte technische Merkmale aufweisen. Beim Kauf eines Notebooks kann jedoch aus vielfältigen Gründen darauf selten Rücksicht genommen werden. Dieser Abschnitt beschreibt, wie Sie Windows 2000 trotzdem erfolgreich installieren können.
9.3.1 Kompatibilitätscheck Wichtig: aktuelles BIOS
Es ist sinnvoll, das BIOS des Notebooks auf den neuesten Stand zu aktualisieren. Bei allen modernen Notebooks ist das BIOS in einem
9.3 Hinweise zur Notebook-Installation
295
Flash-Speicherbaustein untergebracht, dessen Inhalt zwar permanent ist, von außen aber überschrieben werden kann. Es geht im wesentlichen um die Unterstützung der Stromsparfunktionen APM und ACPI. Es lohnt, einen Blick auf die Hardwarekompatibilitätsliste (siehe auch Abschnitt 9.1.2 Die Hardware-Kompatibilitätsliste ab Seite 284) zu werfen.
9.3.2 Upgrade von Windows 9x Notebooks werden häufig mit einem vorinstallierten Windows 98 oder Windows 95 geliefert. Wenn Sie Windows 2000 Professional später als Update oder Vollversion kaufen, ist eine Strategie zum Upgrade gefragt. Moderne Notebooks verfügen über eine ganze Palette von Leistungs- Zusätzliche merkmalen, wie sie auf vielen Desktop-Computern nicht bekannt Leistungsmerksind. Dazu gehören spezielle Treiber für das Mousepad, Sondertasten male für schnellen Funktionszugriff oder das integrierte Sound- und DVDSystem. Es gibt kaum einen sicheren Weg, die Lauffähigkeit der Notebook- Sicher: Parallele Software unter Windows 2000 vorher festzustellen. Am sichersten ist Installation deshalb eine Installation parallel zu Windows 9x. Dann können Sie in Ruhe eine Applikation nach der anderen nachinstallieren und sich gegebenenfalls im Internet neuere Versionen beschaffen, die auch Windows 2000 unterstützen. Abschnitt 9.3.3 Software-Upgrade für Spezialhardware ab Seite 297 geht speziell auf Treiber für spezielle Notebook-Hardware ein.
Das sichere Upgrade Das sicherste Upgrade ist eine Neuinstallation von Windows 2000 auf den Notebook. Um jedoch ein laufendes System dabei nicht zu verlieren, ist folgende Upgrade-Strategie zu empfehlen: •
Partitionieren Sie die Festplatte in mindestens zwei Bereich
•
Belassen Sie Windows 98 auf der einen Partition
•
Installieren Sie Windows 2000 Professional auf der anderen
Sie können so ohne Rücksicht auf Windows 98 alle Treiber und Software beschaffen und installieren und Funktionen der Hardware trotzdem weiter verwenden. Auch die Formatierung der Partition für Windows 2000 mit NTFS bereitet keine Probleme, bei einer gemeinsamen Partition mit Windows 98 müssten Sie bei FAT32 bleiben.
296 Partition Magic
9 Installation Zum Partitionieren bietet sich beispielsweise das Werkzeug Partition Magic 5.0 an. Der einfachste Weg besteht aus folgenden Schritten: 1.
Verringern Sie die Größe der bestehenden Partition
2.
Erstellen Sie in dem frei gewordenen Platz eine neue Partition
Nach der Eingabe der Änderungen wird der Vorgang gestartet. Ist die Festplatte sehr voll und fragmentiert, kann das einige Zeit dauern. Bei Festplattengrößen von 12 GByte und mehr sind Repartitionierungszeiten von mehr als 1 Stunde keine Seltenheit. Abbildung 9.2: Schritt 1: Reduzieren Sie den Platz der alten Partition
Nach dem Reduzieren der ursprünglichen Partition legen Sie in dem frei gewordenen Bereich eine neue Partition an. Abbildung 9.3: Schritt 2: Erstellen einer neuen Partition
9.3 Hinweise zur Notebook-Installation
297
Den Dateityp können Sie gleich als NTFS festlegen oder später vom Windows 2000-Setup verändern lassen. Partition Magic eignet sich übrigens nicht nur für die Vorbereitung einer Installation von Windows 2000. Wenn Sie beim Umstieg auch eine Blick auf Linux werfen möchten, können Sie das im gleichen Arbeitsgang tun. Abbildung 9.4: Multiple Persönlichkeit: Computer mit drei Betriebssystemen
Nach dieser Prozedur installieren Sie Windows 2000 Professional ganz normal. Sie müssen natürlich auf die Auswahl der richtigen Partition achten und – das ist ganz wichtig – mehrfach den Vorschlag wegklicken, Windows 98 zu aktualisieren. Diese von Microsoft mit dem netten Hinweis (EMPFOHLEN) gekennzeichnete Option ist bei modernen Notebooks nur selten so erfolgreich, wie man es erwarten könnte.
9.3.3 Software-Upgrade für Spezialhardware Notebooks zeichnen sich oft durch eine besonders aufeinander abge- Probleme bei der stimmte Komposition aus Hard- und Software aus. Die mitgelieferten Installation auf Softwarepakete sind meist OEM-Versionen, die für Windows 98 ent- Notebooks wickelt worden sind. Abgesehen davon sind auch die installierten Programme nur selten auf CD separat verfügbar. Eine nachträgliche Installation kann oft nur aus einem vorbereiteten Backup-Verzeichnis heraus erfolgen.
298
9 Installation Dieser Abschnitt zeigt, mit welcher Strategie Sie Ihr Notebook dennoch unter Windows 2000 Professional zur Höchstform auflaufen lassen. Gezeigt wird das exemplarisch an einem Notebook1, welches standardmäßig mit Windows 98 geliefert wird und für den vom Hersteller momentan keine Upgrademöglichkeit auf Windows 2000 Professional vorgesehen ist.
Erkennen von Komponenten Generell sollten Sie nicht erst Windows 98 löschen und dann mit installiertem Windows 2000 auf Treibersuche gehen. Analysieren Sie zuerst die Komponenten des Computers. Standardbausteine
Auch ein Notebook wird aus Standardbausteinen zusammengebaut. Der Fakt, dass die Chips der einzelnen Bauteile nicht auf Steckkarten sitzen und nicht ausgetauscht werden können, ändert nichts an der Tatsache, dass Standardtreiber eingesetzt werden. Der erste Schritt besteht also in einer Analyse der vorhandenen Hardware.
Windows 98 analysiert die Hardware
Starten Sie dazu den GERÄTEMANAGER (über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | SYSTEM). Öffnen Sie hier alle Einträge und analysieren Sie die Anzeige. Abbildung 9.5 zeigt diese Liste für das BeispielNotebook.
1
Als Testobjekt diente ein Compaq Presario 1800.
9.3 Hinweise zur Notebook-Installation
299 Abbildung 9.5: Anzeige der Komponenten im Gerätemanager von Windows 98
Bei allen Einträgen, in denen Angaben wie »Standard...« oder »GENERIC« stehen, können Sie normalerweise davon ausgehen, dass auch Windows 2000 geeignete Standard-Treiber mitbringt. Wenn Sie sich nicht sicher sind, doppelklicken Sie den Eintrag und suchen Sie in dem folgenden Dialog nach den Eintrag HERSTELLER.
300
9 Installation
Abbildung 9.6: Standardkomponenten haben keinen Hersteller
Ist dort nichts, der Eintrag MICROSOFT oder, wie in Abbildung 9.6 (Standardanschlusstypen) angegeben, brauchen Sie sich um diese Elemente nicht weiter kümmern. Windows 2000 wird diese Bausteine erkennen und den richtigen Treiber installieren. Wenn bei Hersteller ein anderer Name eingetragen ist, konsultieren Sie noch die Registerkarte Treiber. In der folgenden Abbildung sehen Sie die Treiber-Angabe für eine Intel-Netzwerkkarte. Der Treiber-Hersteller ist hier Microsoft.
9.4 Inhalt der Installations-CD
301 Abbildung 9.7: Eigenschaften-Anzeige für eine Netzwerkkarte
Anders sieht es mit den Bausteinen aus, für die der Hersteller des No- Spezielle Treiber tebooks spezielle Treiber mitliefert. Standardtreiber genügen zwar oft, notwendig nutzen aber die Leistungen nicht unbedingt bis zuletzt aus. Für die Suche nach geeigneten Treibern und Informationen über deren Verfügbarkeit helfen oft die Websites der Notebook-Hersteller. Darüber hinaus empfehlen sich die folgenden Sites: www.driverguide.com www.driverzone.com www.drivershq.com www.heise.de/ct/treiber/ www.treiber.de www.treiber-shop.de Auf diesen Seiten finden Sie meist nicht direkt die Treiber, sondern Links zu den Herstellern der Bauteile. Mit den bereits aus dem Gerätemanager gewonnenen Angaben können Sie oft die richtigen Treiber finden und herunterladen.
9.4 Inhalt der Installations-CD Die Installations-CD der aktuellen deutschen Professional-Version von Windows 2000 enthält neben den Dateien für das Setup einige weitere recht interessante Informationsquellen und Hilfsprogramme. Die fol-
302
9 Installation gende Tabelle zeigt ein Abbild der aktuellen Microsoft-CD der Vollversion:
Tabelle 9.3: Inhalt der Windows 2000 Professional-CD
Verzeichnis
Inhalt
\BOOTDISK
Enthält Images der vier Bootdisketten von Windows 2000 sowie die dazugehörigen Dienstprogramme, mit denen die Images auf Disketten übertragen werden können: MAKEBOOT.EXE (16 Bit) und MAKEBT32.EXE (32 Bit)
\DISCOVER
Die Entdeckungstour durch Windows 2000; erstellt als HTML-Werbesite und aufrufbar über einen Webbrowser (Datei DEFAULT.HTM).
\I386
Das eigentliche Installationsverzeichnis; enthält alle benötigten Windows 2000-Installationsdateien.
\SETUPTXT
Enthält zwei Textdateien, die Hinweise zur Installation geben: PRO1.TXT und PRO2.TXT. Es sind nur deshalb zwei Dateien, damit sie mit dem Texteditor Notepad.exe von Windows 9x geöffnet werden können.
\SUPPORT
Unterverzeichnis TOOLS Enthält verschiedene Support-Tools; diese können mit dem enthaltenen Programm SETUP.EXE installiert werden. Diese Tools stellen eine Untermenge der Tools des Windows 2000 Professional Ressource Kit dar. Programm APCOMPAT.EXE Ein Dienstprogramm zum Auffinden inkompatibler Applikationen unter Windows NT 4 (ab Service Pack 3) und Windows 9x. Textdatei HCL.TXT Enthält die Hardware Compatibility List für Windows 2000; die aktuelle Fassung ist auf der Website von Microsoft zu finden.
\VALUEADD
Enthält zusätzliche Tools und Infos von Drittherstellern und von Microsoft (siehe nächste Tabellen). Datei VALUEADD.HTM HTML-Datei mit Hinweisen zu diesen Programmen.
Die zusätzlichen Tools und Informationen im Verzeichnis \VALUEADD verdienen Beachtung und sind in der folgenden Tabelle in einer Übersicht zusammengefasst:
9.4 Inhalt der Installations-CD
Verzeichnis CA_ANTIV
Tabelle 9.4: Tools und Infos in Enthält die Antivirensoftware InoculateIT AntiVirus \VALUEADD\ AVBoot 1.1 der Firma Computer Associates Internatio- 3DPARTY\
Inhalt
nal, Inc. Beachten Sie die Hinweise der Datei README.TXT in diesem Verzeichnis. Das Programm ist ausgelegt zum Erkennen der wichtigsten Bootsektor- und speicherresidenter Viren. Es bietet keine Suchfunktionen zum Erkennen infizierter Dateien auf einem Datenträger und stellt keinen Ersatz für professionelle Antivirensoftware dar. Link: www.cai.com LEVEL8
Enthält das Programm Message Queuing Connector der Firma Level 8 Systems, Inc. Das Programm dient der Implementierung der Microsoft Message Queue (MSMQ) API in heterogenen Systemwelten zur Verbindung mit Betriebssystemen anderer Hersteller. Link: www.level8.com
MGMT\AGENTS
Die Datei README.HTM ist eine HTML-Seite und enthält einen Link auf Agenten, welche die Windows Management Instrumentarien über das Web unterstützen.
MGMT\CITRIX
Enthält die Citrix ICA-Clients für Windows 3x, Windows 9x, Windows NT und 2000. Diese erlauben die Ausführung von Programmen über den Windows Terminal Server mit Citrix MetaFrame. Link: www.citrix.com
MGMT\INTELDMI Tools für Intels Desktop Management Interface (DMI) zur Inventarisierung und Systemüberwachung über das Netzwerk Link: www.intel.de MGMT\WINSTLE
303
Enthält den WinInstall LE (Limited Edition) von Veritas Software, mit dem sich normale WindowsSetupprogramme in das Windows 2000 InstallerFormat bringen lassen. Link: www.veritas.com/products/wile
In der letzten Tabelle zum CD-Inhalt wird das Verzeichnis \VALUEADD\MSFT betrachtet, in welchem Microsoft zusätzliche Tools und Informationen liefert:
304 Tabelle 9.5: Inhalt in \VALUEADD\ MSFT\
9 Installation
Verzeichnis
Inhalt
FONTS
Enthält zwei zusätzliche TrueType-Fonts: Arial Alternative Symbol und Arial Alternativ Regular.
MGMT\ADC
Enthält den Active Directory Connector, mit welchem Sie Microsoft Exchange Server 5.5 MailKonten, Benutzereinstellungen und Verteilungslisten mit Windows 2000-Benutzern, -Gruppen und -Kontakten synchronisieren können.
MGMT\IAS
Hier finden Sie das Snap-In für den Windows NT 4 Internet Authentication Service (IAS), den Sie so direkt von Windows 2000 über eine Managementkonsole administrieren können.
MGMT\MS_SMS
Enthält das Systems Management Installationsprogramm, mit welchem Sie ein Windows 2000 Professional-System zu einem Client des Systems Management Servers machen können.
MGMT\MSTSC_HPC
Enthält den Microsoft Terminal Server Client für Handheld PC (HPC), Version 2.11 und 3.0
MGMT\PBA
Enthält den Telefonbuchadministrator von Windows 2000
MGMT\WBEMODBC Enthält einen Adapter für das Windows Management Instrumentarium (WMI), mit welchem Sie über eine Standard-API mit ODBC-basierten Programmen auf die Daten der WMI Common Information Management (CIM) zugreifen können, als wäre es eine relationale Datenbank. XTRADOCS\SCRIPTS Vier zusätzliche Hilfedateien, die Dokumentationen enthalten zu
XTRADOCS\SERK
•
JScript
•
VBScript
•
Windows Scripting Components
•
Windows Scripting Host
Das Frontpage 2000 Server Extensions Ressource Kit. Die HTML-Datei DEFAULT.HTM ist der Ausgangspunkt für das Lesen und Benutzen der Dokumentation für die Installation.
9.5 Installation mit bootfähigem CD-Laufwerk Windows 2000 wird auf einer startfähigen CD-ROM geliefert. Die Installation sollte somit auf Standard-PCs heute kein Problem sein.
9.6 Installation mit Hilfe der Bootdisketten
305
Installation auf PCs mit IDE-Interface Verfügt Ihr PC ausschließlich über CD-ROM und Festplatten mit IDEInterface sowie ein moderneres BIOS, steht einer einfachen Installation nichts im Weg. Das BIOS muss lediglich die Einstellung der Systemstartreihenfolge ermöglichen auf 1. CD-ROM 2. Laufwerk C Dann sollte der Start direkt von den Installations-CD mit Aufruf des Windows 2000 Setups funktionieren.
Installation auf PCs mit SCSI-Interface Verfügt Ihr System über ein SCSI-Hostadapter für die Ansteuerung Reine SCSIder Festplatten und des CDROM-Laufwerks, bleibt nur der Weg über Umgebung das BIOS des Adapters. Unterstützt dieses das Booten von CD, haben Sie gewonnen. Auf den verbreiteten NCR-Adaptern, die über eine SMS-BIOSErweiterung des Mainboards angesprochen werden, gibt es diese Möglichkeit leider meist nicht. Manchmal verfügt dann aber das BIOS des PC über eine entsprechende Auswahlmöglichkeit. Eine weit verbreitete Konfigurationsvariante bei professionellen PCs CD am IDE-Kanal ist der Anschluss preiswerter CD-ROM-Laufwerke an einem der heute standardmäßig auf den meisten Mainboards vorhandenen IDE-Kanäle und der Betrieb der Festplatten an einem SCSI-Adapter. In einem solchen Fall haben Sie es wieder besonders leicht. Sie brauchen nur im BIOS des PC die Startreihenfolge einstellen auf: 1. CD-ROM 2. SCSI Das weitere Vorgehen bei der Installation ist Inhalt des Abschnittes 9.8 Die weiteren Installationsschritte ab Seite 315.
9.6 Installation mit Hilfe der Bootdisketten Verfügen Sie nicht über ein bootfähiges CD-ROM-Laufwerk beziehungsweise gibt es keine Möglichkeit zu einer entsprechenden Konfiguration im BIOS des Mainboards oder des eventuell verwendeten SCSI-Adapters, können Sie die Installation mit Hilfe der Windows 2000 Bootdisketten versuchen. Mitgeliefert werden diese nicht physisch, sind aber als Image-Dateien auf der Installations-CD nebst dazugehörigem Kopierprogramm vorhanden.
306 Langsamster Weg!
9 Installation Der Weg über die Bootdisketten ist so ziemlich der aufwändigste, über den Sie Windows 2000 installieren können und empfiehlt sich nur dann, wenn es keine Möglichkeit gibt, die Installationsdateien aus dem Verzeichnis \I386 auf den PC zu bekommen.
Voraussetzungen zum Erstellen der Bootdisketten Für die Erstellung der Bootdisketten benötigen Sie Zugriff auf die Installations-CD sowie eines der Betriebssysteme MS-DOS (beziehungsweise kompatibel) oder Windows 3.x/9.x/ME/NT/2000. Dazu brauchen Sie vier leere, formatierte 1.44 MB, 3.5"-Disketten. CD am Installations-PC lesbar?
Haben Sie an Ihrem PC, auf den Windows 2000 installiert werden soll, bereits Zugriff auf die CD, können nur nicht von ihr starten, ist es einfacher, direkt von der CD oder nach dem Kopieren aller relevanten Dateien das Setup lokal von der Festplatte zu starten (siehe Abschnitt 9.7 Installation mit WINNT.EXE/WINNT32.EXE ab Seite 307).
Die Tools MAKEBOOT.EXE und MAKEBT32.EXE Microsoft liefert für die Erstellung der Bootdisketten zwei Tools mit, die sich auf der Installations-CD im Verzeichnis \BOOTDISK befinden: 1. MAKEBOOT.EXE Das ist ein einfaches DOS-Programm für 16 Bit-Umgebungen und eignet sich so für die Erstellung direkt unter MS-DOS. 2. MAKEBT32.EXE Dieses Programm arbeitet völlig identisch, ist allerdings als 32 BitAnwendung geschrieben. Beide Programme verfügen nicht über eine grafische Oberfläche, sondern arbeiten rein textorientiert. Die Bedienung ist denkbar einfach: 4 Disketten 3.5" 1.44 MB
Rufen Sie eines der Programme über den Windows Explorer oder direkt an der Kommandozeile auf. Sie können als einzige Option den Laufwerkbuchstaben des entsprechenden Diskettenlaufwerks angeben. Haben Sie das nicht getan, können Sie dies nach dem Start des Tools auch noch eingeben. Danach kopiert das Tool die vier ImageDateien nacheinander auf die Disketten. Sie sollten nicht vergessen, diese von 1 bis 4 zu nummerieren, da das Setup sich nachher auf die Disketten bezieht. Für den Start des Setups brauchen Sie nur den PC mit eingelegter erster Diskette neu starten. Vergewissern Sie sich aber, ob in der Startreihenfolge im BIOS des PC das Diskettenlaufwerk an erster Stelle steht.
9.7 Installation mit WINNT.EXE/WINNT32.EXE
307
Das schrittweise Vorgehen bei einer normalen Installation wird in Abschnitt 9.8 Die weiteren Installationsschritte ab Seite 315 behandelt.
9.7 Installation mit WINNT.EXE/WINNT32.EXE Haben Sie kein bootfähiges CDROM-Laufwerk zur Verfügung oder wollen Sie das Setup lokal aus dem Installationsverzeichnis \i386 starten, haben Sie dazu die Möglichkeit über den Aufruf von WINNT.EXE und WINNT32.EXE. Diese beiden Applikationen sind die eigentlichen Setup-Programme von Windows 2000. Die Verwandtschaft mit Windows NT wird dabei nicht geleugnet. Haben Sie direkten Zugriff auf das Installationsverzeichnis, ist der Zugriff auf die Aufruf des Setups über eines der beiden Programme kein Problem. Installationsdateien Wie Sie die Installationsdateien auf die lokale Festplatte des zu installierenden PCs bekommen, wenn auf diesem noch kein Betriebssystem installiert ist, können Sie in Abschnitt 9.7.3 Installation von einem lokalen Verzeichnis ab Seite 312 erfahren. Die Installation mit WINNT.EXE beziehungsweise WINNT32.EXE über einen Netzwerkpfad ist unter anderem Inhalt des Abschnitts 9.7.4 Aufruf über das Netzwerk ab Seite 314. WINNT.EXE ist die 16 Bit-Version des Setups und lässt sich so aus 16 Bit: WINNT.EXE MS-DOS oder Windows 3.x heraus aufrufen. Ein Upgrade einer bestehenden Windows-Konfiguration (siehe Tabelle 9.2 ab Seite 290) ist mit WINNT.EXE grundsätzlich nicht möglich; Sie können nur eine Neuinstallation durchführen. WINNT32.EXE ist das 32 Bit-Gegenstück und für den Start aus Win- 32 Bit: WINNT32.EXE dows 9x und NT gedacht. Es eignet sich sowohl zum Upgrade eines bestehenden Windows-Systems als auch zur Neuinstallation.
9.7.1 Kommandozeilen-Optionen von WINNT.EXE Die Kommandozeilen-Optionen, mit denen Sie das Verhalten des Setups über WINNT.EXE von der MS-DOS Kommandozeile oder bei einem Aufruf von Windows 3.x beeinflussen können, finden Sie in der folgenden Tabelle.
Option /a
Tabelle 9.6: Optionen für Aktiviert für das Setup die Eingabehilfen für WINNT.EXE
Bedeutung
behinderte Menschen
308
9 Installation Option
Bedeutung
/e:
Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise: /e:befehle.txt
/r:
Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows 2000Stammverzeichnis erhalten.
/rx:
Entspricht exakt der Option /r:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.
/s:
Sie können die Position des Verzeichnisses der Windows 2000-Installationsdateien \i386 explizit angeben. Der Pfad muss vollständig angegeben werden, beispielsweise C:\INSTALL\I386 und kann sich auch auf Netzwerkfreigaben beziehen, beispielsweise \\DISTSERV\INSTALL\I386.
/t:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.
/u:
Geben Sie eine Textdatei an, welche die Antwort-Konfiguration für ein unbeaufsichtigtes Setup enthält. Diese Option erfordert auch die Angabe der Option /s.
9.7 Installation mit WINNT.EXE/WINNT32.EXE Option
309
Bedeutung
/udf:[,] Mit dieser Option können Sie die unter /u angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.
Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installa- Unbeaufsichtigtes tion einrichten können, erfahren Sie in Abschnitt 9.9.2 Antwortdateien Setup ab Seite 318.
9.7.2 Kommandozeilen-Optionen von WINNT32.EXE Die Kommandozeilen-Optionen von WINNT32.EXE entsprechen in großen Teilen denen für WINNT.EXE. Zusätzlich haben Sie Optionen, die für das Upgrade Bedeutung haben.
Option /checkupgradeonly
Tabelle 9.7: Optionen für Setup führt nur eine Überprüfung auf Kompati- WINNT32.EXE
Bedeutung
bilität Ihres Systems für ein Upgrade durch. Das Ergebnis finden Sie im Installationsordner in der Datei UPGRADE.TXT (Windows 9x) beziehungsweise WINNT32.LOG (Windows NT). /cmd:
Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise: /e:befehle.txt
/cmdcons
Fügt dem Bootmenü in der Datei BOOT.INI (siehe auch Abschnitt 4.3.7 Die Datei Boot.ini ab Seite 103) einen Eintrag für den Start der Wiederherstellungskonsole hinzu.
/copydir:
Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows 2000Stammverzeichnis erhalten.
310
9 Installation Option
Bedeutung
/copysource:
Entspricht exakt der Option /copydir:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.
/debug:
Erstellt während der Installation ein Protokoll in der Datei mit dem angegebenen Level. Die möglichen Level sind: 0 – Schwere Fehler 1 - Fehler 2 - Warnungen 3 - Informationen 4 – Detaillierte Informationen Beispiel: /debug3:C:\INSTALL.LOG
/m:
Sie können einen alternativen Ordner für die Installationsdateien angeben. Dort sucht Setup nach seinen Dateien dann zuerst, dann im Ursprungsverzeichnis \I386. Damit können Sie beispielsweise im unter /m angegebenen Verzeichnis Dateien des aktuellen Service Packs ablegen, welche so immer garantiert installiert werden. Alle anderen Dateien, die nicht im Service Pack enthalten sind, übernimmt Setup aus dem Ursprungsverzeichnis.
/makelocalsource
Setup kopiert alle Installationsdateien auf die lokale Festplatte, sodass die eventuell benutzte Installations-CD nach dem ersten Neustart nicht mehr benötigt wird.
/noreboot
Setup wird veranlasst, nach der ersten Initialisierungsphase nicht automatisch neu zu starten, so dass Sie eventuell weitere Einstellungen manuell vornehmen beziehungsweise Befehle ausführen können.
/s:
Mit können Sie eine oder mehrere alternative Quellen der Installationsdateien angeben; der Parameter kann mehrfach verwendet werden. Die Pfadangabe muss dabei vollständig erfolgen mit :\ beziehungsweise der kompletten Netzwerkangabe: \\<server> \ So kann die Netzwerkinstallation beispielsweise beschleunigt werden, wenn verschiedene Installationsdateien von mehreren Servern bereitgestellt werden.
9.7 Installation mit WINNT.EXE/WINNT32.EXE Option
Bedeutung
/syspart:
Präpariert eine mit angegebene Festplatte für eine anschließende Montage in einen anderen PC, um dort die Installation zu beenden. Die Bootpartition dieser Festplatte wird als aktiv gekennzeichnet und alle für das Setup benötigten Dateien werden temporär abgelegt. Dann wird die erste Phase des Setups ausgeführt. Nach dem Umbau der Festplatte kann der neue PC direkt von dieser starten und führt die Installation zu Ende.
311
Das Setup mit dieser Option kann nur auf einem Windows NT oder 2000-System ausgeführt werden und erfordert zusätzlich die Angabe der Option /tempdrive: (siehe unten). /tempdrive:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSISystemen erreichen Sie dann ein schnelleres Setup.
/unattend
Startet das Setup im unbeaufsichtigten Modus. Ohne eine weitere Angabe wird ein Upgrade unbeaufsichtigt durchgeführt; mit Optionen können Sie das Verhalten während einer Neuinstallation festlegen: <sec>:
/unattend [optionen]
<sec>
Wartesekunden vor Neustart beim Setup
Name der Antwortdatei /udf:[, Mit dieser Option können Sie die unter ] /unattend angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.
Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installa- Unbeaufsichtigtes tion einrichten können, erfahren Sie in Abschnitt 9.9.2 Antwortdateien Setup ab Seite 318.
312
9 Installation
9.7.3 Installation von einem lokalen Verzeichnis Sie können das komplette Verzeichnis \I386 auf die Festplatte in ein lokales Installationsverzeichnis kopieren und von hier aus die Installation mit dem Aufruf von WINNT.EXE oder WINNT32.EXE starten. Kopieren von \i386 auf die Festplatte
Das Kopieren dieses Verzeichnisses auf die lokale Festplatte von der CD kann sich dabei manchmal als recht hinderlich erweisen, insbesondere dann, wenn es sich um ein nacktes System handelt, auf dem weder MS-DOS mit CD-Zugriff noch Windows installiert sind. Nützlich kann dann eine MS-DOS-Startdiskette sein, mit welcher Sie den Computer starten und danach auf das CDROM-Laufwerk zugreifen können. Da sich in diesen Momenten die wenigsten an die genaue Konfiguration einer solchen Diskette erinnern können (abgesehen von einigen DOS-Freaks), hier ein paar Tipps, wie Sie an eine solche Diskette kommen und was Sie dabei beachten sollten:
Festplatte einrichten
1. Richten Sie die Festplatte mit FDISK und FORMAT ein, falls dies noch nicht geschehen ist. Denken Sie an eine ausreichend große Bootfestplatte für Windows 2000. Um das Dateisystem (nur FAT oder FAT32 sind je nach DOS-Version möglich) brauchen Sie sich noch keine Gedanken machen, während des Setups können Sie dann entscheiden, ob dieses in NTFS umgewandelt werden soll.
Windows 98Startdiskette
2. Eine Startdiskette, die einen Zugriff auf die meisten CD-ROMLaufwerke ermöglicht, ist die von Windows 98! Haben Sie eine solche zur Verfügung, brauchen Sie nur von dieser zu starten. Wenn Sie nur ein Windows 98-System auf einem anderen Computer laufen haben, können Sie auch eine solche Diskette selbst erzeugen. Gehen Sie dazu in das Verzeichnis \WINDOWS\COMMAND und starten Sie die Stapelverarbeitungsdatei BOOTDISK.BAT. oder
Eigene Startdiskette
2. Eine eigene MS-DOS-Startdiskette sollte die folgenden Programmdateien enthalten und könnte über diese Einträge in der Autoexec.bat und Config.sys verfügen: ASPICD.SYS
ASPIDOS.SYS
CDROM.SYS
FDISK.EXE
FORMAT.COM
HIMEM.SYS
KEYB.COM
KEYBOARD.SYS
MSCDEX.EXE
SMARTDRV.EXE
XCOPY.EXE
CDROM.SYS und ASPIDOS.SYS/ASPICD.SYS stehen symbolisch für die konkreten Treiber für das CDROM-Laufwerk beziehungsweise den SCSI-Controller. Config.sys
Hier das Beispiel einer CONFIG.SYS für eine IDE-Konfiguration:
9.7 Installation mit WINNT.EXE/WINNT32.EXE device=himem.sys dos=high device=cdrom.sys /D:cdrom1 Haben Sie einen SCSI-Controller im Einsatz, könnte die Config.sys folgendermaßen aussehen: device=himem.sys dos=high device=aspidos.sys device=aspicd.sys /D:cdrom1 Die dazugehörige Autoexec.bat könnte für beide Konfigurationen Autoexec.bat gelten und diesen Aufbau haben: @echo off prompt $p$g keyb gr,,keyboard.sys mscdex.exe /D:cdrom1 /L:E smartdrv.exe 4000 c+ Mit der Option /L: bei mscdex.exe vergeben Sie den Laufwerkbuchstaben für das CD-ROM-Laufwerk. Es empfiehlt sich übrigens dringend, für ein schnelleres Kopieren auch den DOSFestplattencache smartdrv.exe mit einzubinden. Mit c+ ist im obigen Beispiel der Schreibcache auf die Festplatte C: aktiviert. Haben Sie noch weitere Laufwerke auf der Festplatte, fügen Sie einfach deren Buchstaben dahinter an. 3. Haben Sie nach dem Booten von der Startdiskette Zugriff auf das xcopy.exe CD-ROM-Laufwerk, können Sie alle Dateien und Ordner in ein Installationsverzeichnis auf der Festplatte kopieren. Auf der Kommandozeile eignet sich dazu am besten das Programm xcopy.exe. Hier das Beispiel für den Aufruf, mit dem Sie das Verzeichnis \i386 vom CD-ROM-Laufwerk E: nach C:\INSTALL kopieren: xcopy e:\i386 c:\install /E Nach erfolgtem Kopieren können Sie Setup mit dem Aufruf von Setup starten WINNT.EXE aus dem Installationsverzeichnis starten. Die möglichen Optionen für das Programm können Sie der Tabelle 9.6 auf Seite 307 entnehmen. Das weitere Vorgehen bei einer Installation wird in Abschnitt 9.8 ab Seite 315 behandelt.
313
314
9 Installation
9.7.4 Aufruf über das Netzwerk WINNT.EXE beziehungsweise WINNT32.EXE können Sie auch aus einem freigegebenen Netzwerkverzeichnis heraus starten. Die Installationsdateien des \I386-Ordners befinden sich dann einfach nicht lokal auf der Festplatte (siehe auch Abschnitt 9.7.3), sondern in einer durch einen Server oder anderen Windows-Computer freigegebenen Netzwerkressource. Distributionsserver
So ein Server wird auch Distributionsserver genannt und kann prinzipiell unter einem beliebigen Betriebssystem laufen. Voraussetzung ist nur, dass ein entsprechender Client für eines der Betriebssysteme MS-DOS, Windows 3x/9x/ME/NT/2000 zur Verfügung steht. Für den Zugriff auf die Installationsdateien brauchen neben einem Laufwerkbuchstaben nur Leserechte definiert sein.
32 Bit: WINNT32.EXE
WINNT32.EXE können Sie als 32 Bit-Anwendung unter Windows 9x sowie Windows NT und 2000 starten. Die Frage des passenden Netzwerk-Clients stellt sich meist nicht und so ist die Installation von Windows 2000 Professional über diesen Weg genauso einfach wie über ein lokales Installationsverzeichnis.
16 Bit: WINNT.EXE
Windows for Workgroups ab Version 3.11 lieferte schon eine passable Netzwerkeinbindung in die Windows Welt. Auch für Novells Netware gab es einen leistungsfähigen Client, so dass der Aufruf von WINNT.EXE über das Netzwerk auch hier kein Problem darstellen sollte.
Problemfall DOS
Anders kann das bei einem Computer aussehen, der ohne Betriebssystem ausgestattet ist oder auf dem nur MS-DOS installiert ist. In diesem Fall können Sie folgendermaßen vorgehen: 1. Richten Sie zuerst die Festplatte des PC mit einem ausreichend großen Bootdatenträger ein. Ein ca. 1-2 GB großer Datenträger auf der Festplatte ist für die meisten Fälle ausreichend. Als Dateisystem sind FAT oder FAT32 zulässig, während des Setups können Sie später dann entscheiden, ob dieses in NTFS umgewandelt werden soll. 2. Starten Sie über eine entsprechend präparierte Startdiskette einen geeigneten Netzwerk-Client und richten den Zugriff auf das Serverlaufwerk über einen Laufwerkbuchstaben ein. 3. Starten Sie nun aus dem Installationsverzeichnis vom Server das Programm WINNT.EXE (siehe auch Abschnitt 9.7 Installation mit WINNT.EXE/WINNT32.EXE ab Seite 307).
Windows NT MSDOS-Client
Für den Zugriff auf einen NT-Server gibt es von Microsoft einen MS-DOS Client. Die Installationsdateien für diesen Client befinden sich auf der Windows NT 4.0 Server-CD im Verzeichnis H:\CLIENTS\MSCLIENT. Entsprechende Hinweise, wie Sie direkt
9.8 Die weiteren Installationsschritte unter Windows NT 4.0 Server eine entsprechende Startdiskette herstellen und den Server einrichten können, finden Sie unter http://www.microsoft.com/TechNet/msdos/technote/dosnet.asp Für Windows 2000 Server gibt es diesen DOS-Client nicht, ein Zugriff auf das Active Directory ist mit diesem auch nicht möglich. Für Windows 2000 Server setzt Microsoft auf die Remoteinstallationsdienste (siehe dazu Abschnitt 9.10 Die Remoteinstallationsdienste ab Seite 343). Das weitere generelle Vorgehen bei einer Installation wird im nächsten Abschnitt behandelt.
9.8 Die weiteren Installationsschritte Die Windows 2000 Installation geschieht dank ausgeklügelter Assistenten und Plug&Play-Technologie weitgehend automatisch. Sie läuft in den folgenden Schritte bei der Standardinstallation von CD ab. Dabei wird zwischen dem Textmodusabschnitt und dem des grafischen Teils des Setups, auch GUI-Modus (Graphical User Interface) genannt, unterschieden. Im Textmodus des Setups werden alle grundlegenden Systemtreiber Textmodus geladen und die Treiber für die Festplattenansteuerung des Computers erkannt. Die Lizenzbestimmungen von Microsoft sind durch den Benutzer zu lesen und er muss ihnen zustimmen. Danach können Sie die Partition wählen, auf der Windows 2000 installiert werden soll. Das Auswählen oder Umkonfigurieren der Partitionen wird durch ein Partition leistungsfähiges Tool ermöglicht. Sie können sämtliche bestehende auswählen Partitionen löschen und neue erstellen. Nach Auswahl der Installationspartition können Sie noch bestimmen, ob das bestehende Dateisystem beibehalten werden soll oder nach NTFS konvertiert werden soll. Beachten Sie, dass Windows 9x nur FAT beziehungsweise FAT32Datenträger erkennen kann. Weitergehende Informationen zu Dateisystemen finden Sie in Kapitel 5 Dateisysteme ab Seite 129. Nach Auswahl beziehungsweise Formatieren einer neu angelegten Partition werden Installationsdateien auf die Festplatte übertragen und der Computer neu gestartet. Nach dem Neustart wird die Installation im grafischen Modus (GUI- GUI-Modus Modus) fortgesetzt. Es werden die folgenden Informationen von Ihnen benötigt: •
Seriennummer Ihres Windows 2000 Professional Systems
•
Erweiterte Einstellungen wie die verwendeten Sprachen und eventuell notwendige Eingabehilfen für Behinderte
315
316
9 Installation •
Gebietsschema und Ländereinstellungen
•
Name der Person und der Organisation der lizensierten WindowsVersion
•
Name des Computers und Administratorkennwort
•
Einstellen beziehungsweise Bestätigen von Datum und Uhrzeit
•
Netzwerkeinstellungen Die Standardvoreinstellungen für das Netzwerk sind mit Windows 2000 für viele Anwendungsfälle die richtige Wahl. Es wird TCP/IP als alleiniges Protokoll mit automatischem Bezug der IP-Adresse eingerichtet. Sie können aber auch eine abweichende Einstellung vornehmen, um beispielsweise die Einbindung in ein Novell Netzwerk zu ermöglichen.
•
Arbeitsgruppe oder Domäne Sie können sich bereits während des Setups entscheiden, ob Sie den Computer in eine Domäne oder eine Arbeitsgruppe einbinden wollen. Diese Einstellung können Sie aber bei Bedarf jederzeit wieder ändern.
9.9 Automatisierte Installation Zeit ist Geld!
Albtraum jedes Administrators ist die komplette Installation vieler identischer Computer. Immer wieder müssen Fragen des Setups beantwortet oder Lizenznummern eingegeben werden. Das bedeutet einen hohen zeitlichen Aufwand mit entsprechend hohen Kosten.
Ersatz bei Ausfall
Ein anderer Aspekt ist der schnellstmögliche Ersatz bei Ausfall eines Computersystems in einem Unternehmen. Hier kann es darum gehen, den ausgefallenen PC schnellstmöglich durch einen Ersatz-PC zu ersetzen, der bestenfalls über die gleiche Windows-Installation und identische Anwendungsprogramme verfügen sollte. Darüber hinaus wäre es natürlich optimal, wenn der Benutzer seine gewohnte Benutzeroberfläche wiederfindet. Windows 2000 verfügt über eine breite Palette an Technologien und Werkzeugen, mit denen diese Anforderungen adressiert werden können. In diesem Abschnitt werden wir Ihnen diese vorstellen und im Rahmen der Betrachtungen zu Windows 2000 Professional soweit ins Detail gehen, wie es für die lokale Einrichtung des Betriebssystems sinnvoll erscheint.
Windows 2000 Server
Eine Reihe von Werkzeugen stehen allerdings ausschließlich in einer Windows 2000 Server-Umgebung zur Verfügung. Diese werden detailliert in Band II betrachtet.
9.9 Automatisierte Installation
317
9.9.1 Übersicht über die Möglichkeiten In einer Windows 2000 Professional-Umgebung haben Sie die folgenden Möglichkeiten, ein automatisiertes Setup durchzuführen:
Antwortdatei für WINNT.EXE/WINNT32.EXE Über Kommandozeilen-Optionen lässt sich das Setup durch den Start Antwortdatei von WINNT.EXE beziehungsweise WINNT32.EXE steuern. Dabei können Sie auch den Modus für das unbeaufsichtigte Setup wählen und eine zuvor erstellte Antwortdatei angeben. Die praktische Anwendung von Antwortdateien ist Inhalt des Abschnitts 9.9.2 Antwortdateien ab Seite 318.
Verteilung von Disk-Images Für die Erstellung einer Standardkonfiguration von Windows 2000 Disk-Images Professional eignet sich das Microsoft-Tool Sysprep. Diese Konfiguration können Sie dann über Drittsoftware in ein binäres Disk-Image, ein bitweises Abbild des logischen Datenträgers, überführen und auf dem Zielrechner wieder auf die Festplatte übertragen. Zum Verteilen der Imagedatei gibt es verschiedene Möglichkeiten, wie beispielsweise über das Netzwerk oder CD. Die Erstellung und Verteilung von Disk Images wird in Abschnitt 9.9.3 Automatisierte Installation mit Disc Images ab Seite 339 näher betrachtet.
Remoteinstallationsdienste von Windows 2000 Server Die Windows 2000 Serverversionen verfügen mit den Remoteinstalla- Remoteinstallatiosdiensten (Remote Installation Services – RIS) über ein leistungsfähi- tionsdienste ges Werkzeug für die automatisierte Installation über das Netzwerk. Der zu installierende Client-PC wird über eine bootfähige Netzwerkkarte oder eine spezielle Bootdiskette gestartet und kann nach Verbindung mit dem RIS-Server mit Windows 2000 installiert werden. Die gesamte Installationsvorgang selbst läuft dabei vollautomatisch ab. Die Einrichtung des Remoteinstallationsdienstes sowie weitergehende Hinweis finden Sie in Abschnitt 9.10 Die Remoteinstallationsdienste ab Seite 343. Nicht betrachtet werden in diesem Zusammenhang die erweiterten Nicht näher Möglichkeiten des Systems Management Server (SMS). Als Bestandteil betrachtet: SMS der Backoffice Suite für Applikationen würde es den Rahmen des vorliegenden Bandes sprengen.
318
9 Installation Zusammenfassung der Möglichkeiten In der folgenden Tabelle sind die Möglichkeiten dieser oben genannten Methoden für eine Neuinstallation oder ein Upgrade auf Windows 2000 zusammengefasst:
Tabelle 9.8: Methode Möglichkeiten für Neuinstallation und WINNT.EXE mit Antwortdatei Upgrade
Neuinstallation
Upgrade
WINNT32.EXE mit Antwortdatei
Verwendung von Disk Images
Remoteinstallation
9.9.2 Antwortdateien verwenden Vorgefertigte Antworten
Über Antwortdateien steuern Sie das Setup von Windows 2000. In diesen normalen Textdateien tragen Sie in einer bestimmten Syntax die Antworten ein, die während des Setups normalerweise durch den Benutzer eingegeben werden. Ein automatisch ablaufendes Setup verkürzt die benötigte Zeit für die Installation erheblich und bedarf keiner weiteren Beaufsichtigung. Durch den Administrator können so bei Bedarf automatisierte Installationen gleichzeitig auf mehreren Computern vorgenommen werden. Eine andere Anwendung kann beispielsweise die Vorbereitung einer Installation von Windows 2000 Professional für in EDV-Fragen unbedarfte Anwender oder Konsumenten sein.
Arten von Antwortdateien Windows 2000 kennt zwei verschiedene Arten von Antwortdateien, die Sie für bestimmte Einsatzzwecke nutzen können: Automatisierte CD-Installation
•
WINNT.SIF für CD-Installation Für die unbeaufsichtigte Installation von der Windows 2000 Professional CD über den CD-ROM-Bootprozess nutzen Sie eine Diskette, auf der sich die Textdatei WINNT.SIF befinden muss. Dieser Dateiname ist festgelegt und kann nicht geändert werden. Achten Sie nur darauf, dass die Diskette während des Bootprozesses mit anschließendem Start des Windows 2000-Setups in Laufwerk A: verfügbar ist. Das Setup liest diese dann aus und fährt gemäß den Einstellungen in der Antwortdatei mit der Installation selbständig fort.
9.9 Automatisierte Installation •
UNATTEND.TXT im Installationsverzeichnis
319 WINNT.EXE und
Starten Sie die Installation über den Aufruf von WINNT.EXE be- WINNT32.EXE ziehungsweise WINNT32.EXE, können Sie die Antwortdatei, die sich mit im Installationsverzeichnis befindet, explizit angeben. Damit können Sie ihr natürlich auch prinzipiell einen anderen Namen geben als UNATTEND.TXT. Der Aufbau dieser beiden Arten von Antwortdateien ist vollkommen Aufbau identisch identisch. Wollen Sie eine unbeaufsichtigte Installation mit Hilfe der Windows 2000 Installations-CD durchführen, können Sie nur den Weg über WINNT.SIF gehen. Für den Start des unbeaufsichtigten Windows 2000-Setups über Start mit WINNT.EXE aus einer 16 Bit-Umgebung wie MS-DOS oder Windows WINNT.EXE 3.x heraus verwenden Sie die folgende Syntax: winnt /s:E:\INSTALL\I386 /u:UNATTEND.TXT Es empfiehlt sich, den genauen Ort der Quelldateien mit dem Parameter /s mit anzugeben. Die genaue Beschreibung der Syntax für WINNT.EXE finden Sie in Tabelle 9.6 auf Seite 307. Starten Sie das Windows 2000-Setup hingegen über eine 32 Bit- Start mit Umgebung wie Windows 9x oder NT, verwenden Sie WINNT32.EXE WINNT32.EXE mit der folgenden Option: winnt32 /s:E:\INSTALL\I386 /unattend:UNATTEND.TXT Es empfiehlt sich, den genauen Ort der Quelldateien mit dem Parameter /s mit anzugeben. Die genaue Beschreibung der Syntax für WINNT32.EXE finden Sie in Tabelle 9.7 auf Seite 309.
Anpassungen von Antwortdateien während des Setups Für ein unbeaufsichtigten Setup auf einem Computersystem kann es UDF-Dateien notwendig sein, dass Sie dennoch individuelle Konfigurationseinstellungen, beispielsweise für den konkreten Benutzer des Systems, vornehmen wollen. Über den Schalter /udf beim Start des Setups über WINNT.EXE beziehungsweise WINNT32.EXE können Sie eine spezielle UDF-Textdatei (Uniqueness Database File) angeben, in der für einen bestimmten Parameter in der Antwortdatei alternative Werte stehen. Die korrekte Syntax dieses Schalters lautet: winnt ... /udf:[,] ist der eindeutige Identifikator eines Schlüsselwertes in der Antwortdatei, der durch den entsprechenden Wert in der UDF-Datei ersetzt werden soll. Geben Sie beispielsweise UserData als ID an, wird die UserData–Sektion in der Antwortdatei durch die aus der entsprechenden UDF-Datei ersetzt. Voraussetzung für ein Gelingen der Er-
320
9 Installation setzung sind Schreibrechte auf das Verzeichnis der Installationsdateien. Ein Setup von CD ist damit nicht möglich.
$UNIQUE$.UDB
Geben Sie zum ID-Wert keine UDF-Datei an, wird der Benutzer aufgefordert, während der Installation eine Diskette einzulegen, auf der sich die Datei $UNIQUE$.UDB befinden muss. Diese wird dann ausgelesen und für die Ersetzung des entsprechenden Schlüsselwertes in der Antwortdatei benutzt. So können Sie beispielsweise StandardKonfigurationen für automatische Setup-Prozeduren entwickeln, die über individuelle Anpassungen auf Diskette personalisiert werden.
Das Dienstprogramm SETUPMGR.EXE \SUPPORT\TOOLS\ DEPLOY.CAB
Im Verzeichnis \SUPPORT\TOOLS befindet sich die Datei DEPLOY.CAB. In dieser Kabinett-Datei, die Sie durch Doppelklick öffnen können, finden Sie unter anderem das Dienstprogramm SETUPMGR.EXE. Hier finden Sie auch weitere Informationen zum unbeaufsichtigten Setup in der Datei UNATTEND.DOC.
Assistent
Das Programm SETUPMGR.EXE ist ein leistungsfähiger Assistent zur Erstellung einer Antwortdatei. Darüber hinaus hilft es, diese Antwortdatei interaktiv so zu gestalten, dass die Installation lokal von CD oder über eine Netzwerkressource beziehungsweise von einer lokalen Quelle erfolgen kann.
Abbildung 9.8: Assistent für Erstellung einer Antwortdatei
Nach dem Start des Assistenten bestimmen Sie das weitere Vorgehen: Neue Antwortdatei
•
NEUE ANTWORTDATEI ERSTELLEN Mit diese Option führt Sie der Assistent Schritt für Schritt interaktiv durch die Beantwortung aller relevanten Fragen zur Installation
9.9 Automatisierte Installation
321
von Windows 2000 Professional und generiert daraus eine neue Antwortdatei. •
EINE ANTWORTDATEI ZUM DUPLIZIEREN ... ERSTELLEN Mit dieser Option können Sie eine Antwortdatei erstellen, welche die Konfiguration der aktuellen Windows 2000 Installation berücksichtigt. Um eine wirkliche Duplizierung Ihres gesamten Systems einschließlich der Anwendungsprogramme handelt es sich demzufolge nicht. Das ist Inhalt des Abschnitts 9.9.3 Automatisierte Installation mit Disc Images ab Seite 339.
•
VORHANDENE ANTWORTDATEI ÄNDERN Haben Sie bereits Antwortdateien angelegt, können Sie diese auch wieder mit Hilfe des Assistenten überarbeiten. Dabei werden bisher getroffene Einstellungen berücksichtigt und zur Änderung angeboten.
Duplizieren der Konfiguration
Vorhandene Antwortdatei
Bei der Erläuterung des Vorgehens des Assistenten wird sich hier auf die Erstellung einer neuen Antwortdatei beschränkt. Das Überarbeiten einer vorhandenen Antwortdatei beziehungsweise das Einbeziehen aktueller Konfigurationsdaten durch den Assistenten ist wenig spektakulär und entspricht dem folgenden weitgehend.
Eine neue Antwortdatei erstellen Nach dem Start des Assistenten für die Erstellung einer neuen Antwortdatei über das Programm SETUPMGR.EXE müssen Sie sich für eine der für Windows 2000 Professional in Frage kommenden Installationsarten entscheiden. Abbildung 9.9: Auswahl der Installationsart
322 Lokale Neuinstallation
9 Installation •
Unbeaufsichtigte Windows 2000-Installation Die Antwortdatei dient für die Neuinstallation eines Windows 2000-Systems über die System-CD oder den Aufruf von WINNT.EXE oder WINNT32.EXE (siehe auch Seite 318). Das weitere Vorgehen mit dem Assistenten für diese Installationsart erfahren Sie weiter unten in diesem Abschnitt.
Duplizieren von Imagedateien
•
Remoteinstallation über das Netzwerk
•
Systemvorbereitungsinstallation Bei der Systemvorbereitung wird eine Konfigurationsdatei SYSPREP.INF für das Dienstprogramm SYSPREP.EXE erzeugt, mit welchem eine vorhandene Windows 2000-Installation für das Duplizieren vorbereitet werden kann. Dieses Dienstprogramm wird unter anderem im Abschnitt 9.9.3 Automatisierte Installation mit Disc Images ab Seite 339 behandelt. Remoteinstallationsdienste Für die automatische Installation über das Active Directory mit Hilfe der Remoteinstallationsdienste können Sie hier eine entsprechende Antwortdatei erstellen. Die Remoteinstallationsdienste sind Inhalt des Abschnitts 9.10 Die Remoteinstallationsdienste ab Seite 343.
Für das weitere Vorgehen bei Auswahl der ersten Installationsart im Assistenten geben Sie nun an, für welche Windows 2000-Plattform Sie die Antwortdatei erstellen wollen. Abbildung 9.10: Auswahl der Windows-Plattform
Meist wird dies wohl Windows 2000 Professional sein. Dass man auf einen Streich mehrere hundert Server zu installieren hat (welches EDV-Systemhaus träumt nicht davon?), die mit diesen Mitteln effektiver über die Bühne zu bringen sind, wird sicher seltener der Fall sein.
9.9 Automatisierte Installation
323
Im nächsten Dialogfenster des Assistenten können Sie definieren, in- Benutzereingriff wieweit der Benutzer, der die Installation durchführt, noch in den Prozess eingreifen soll oder nicht. Abbildung 9.11: Benutzereingriff definieren
Der Benutzer kann während der Installation alle Standardeinstellun- Standardeinstelgen wie Zeitzone, Computername etc. angeben. Diese Variante stellt lungen angeben praktisch keine automatische Installation dar. Auch Werte, die Sie in der Antwortdatei belegt haben, werden angezeigt und können durch den Benutzer überschrieben werden. Diese Option eignet sich aber beispielsweise für den Fall, dass Sie keine restriktive Richtlinie für die Installation eines Windows 2000-Systems verfolgen und stattdessen dem weniger erfahrenen Benutzer bestimmte Werte vorschlagen wollen, die dieser aber bei Bedarf noch ändern kann. Das ist die Standardeinstellung für die häufigsten Konfigurationen Vollautomatisiert einer unbeaufsichtigten Installation. Der Benutzer wird während des Setups generell nicht zu irgendeiner Eingabe aufgefordert. Das setzt aber voraus, dass Sie auch wirklich alle relevanten Einstellungen in der Antwortdatei vorgenommen haben. Lesen Sie dazu unbedingt die Hinweise im Abschnitt Notwendige manuelle Eingriffe in die Antwortdatei auf Seite 335. Diese Option entspricht der Einstellung zu VOLLAUTOMATISIERT. Dar- Seiten ausblenden über hinaus werden die Anzeigen des Setups während des Installationsprozesses auf ein Minimum reduziert. Diese weitgehend überflüssige Option sichert nur, dass während des Schreibgeschützt Setups auftretende Dialogfenster auch wirklich nicht durch den Benutzer überschrieben werden können. Für die Vorbereitung einer möglichst reibungslosen Installation, bei GUI gesteuert der nur die Hardware-Installation ohne Eingriffe automatisch durch-
324
9 Installation geführt werden sollen, wählen Sie diese Option. Der Benutzer soll dann aber die Abfragen, die im grafischen Teil des Setups kommen, selbst beantworten.
Weiter: Vollautomatische Installation
Im folgenden Teil dieses Abschnittes werden die weiteren Einstellungen des Assistenten für die Erstellung einer Antwortdatei für eine VOLLAUTOMATISCHE INSTALLATION behandelt.
Lizenzvertrag
Im nächsten Dialogfenster geht es um den Endbenutzer-Lizenzvertrag (EndUser License Agreement - EULA) von Microsoft. Da die Installation vollautomatisch vonstatten gehen soll, kann der installierende Benutzer diesen ja nicht selbst bestätigen.
Abbildung 9.12: Microsoft-Lizenzvertrag annehmen
Hier müssen Sie als einrichtender Administrator sozusagen im Voraus stellvertretend für den Endbenutzer des Windows 2000 den Bestimmungen des Lizenzvertrages zustimmen, anderenfalls können Sie mit dem Assistenten nicht fortfahren. Übrigens juristisch gesehen eine interessante Frage, was passiert, wenn besagter Endbenutzer gegen den Vertrag verstößt und nicht haftbar gemacht werden kann, weil er diesem ja nicht persönlich zugestimmt hat... Im nächsten Fenster bestimmen Sie Standard-Namen und -Organisation für die zu installierenden Windows 2000-Systeme.
9.9 Automatisierte Installation
325 Abbildung 9.13: Standard-Name und -Organisation
Da diese Angaben meist nicht wichtig sind, geben Sie am besten einfache unverbindliche Angaben ein, die für alle PC gleichermaßen gelten können. Das darauf folgende Dialogfenster des Assistenten hat für die Vorbe- Computernamen reitung für die Installation vieler Windows-Systeme dagegen eine wichtige Bedeutung: Abbildung 9.14: Definition der Computernamen
Hier können Sie alle Computernamen eingeben, für die diese Antwortdatei für die automatische Installation gelten soll. Für eine große Zahl an zu installierenden Systemen haben Sie die bequemere Möglichkeit des Imports der Namen über eine Textdatei. In dieser müssen die Namen untereinander fortlaufend eingegeben worden sein.
326
9 Installation Von der automatischen Vergabe der Computernamen während des Setups kann nur abgeraten werden. Hier würden dann basierend auf dem Organisationsnamen teilweise seltsam anmutende Namen kreiert werden, unter denen man sich im allgemeinen wenig vorstellen kann.
Anlage einer UDFDatei
Für die Installation der Systeme mit vordefinierten Computernamen legt der Assistent nach Abschluss aller Einstellungen eine entsprechende UDF-Datei für die benutzerspezifischen Installationsvorgänge an. Lesen Sie dazu weiter hinten in diesem Abschnitt ab Seite 335, wie diese aufgebaut ist und von Hand modifiziert wird.
Administratorkennwort
Anschließend definieren Sie für das neue Windows 2000-System das Administratorkennwort.
Abbildung 9.15: Administratorkennwort festlegen
Darüber hinaus können Sie hier festlegen, ob die erste Anmeldung an dem betreffenden PC automatisch mit dem Administratorkonto erfolgen soll. Das Administratorkennwort wird unverschlüsselt im Klartext in der Antwortdatei abgelegt und kann damit potenziell in falsche Hände geraten. Legen Sie deshalb hier kein sicherheitsrelevantes reales Passwort fest, sondern definieren nur eines für den jeweiligen lokalen Zugriff auf die Computer. Für die Wahrung der Sicherheit im Active Directory sollten Sie die entsprechende primäre Netzwerkanmeldung, verbunden mit den betreffenden Gruppenrichtlinien, konfigurieren. Anzeigeeinstellungen
Weiter geht es mit der Voreinstellung für die Einstellungen von Auflösung, Farbtiefe und Bildwiederholfrequenz für die Ausgabe auf dem Monitor.
9.9 Automatisierte Installation
327 Abbildung 9.16: Festlegen der Anzeigeeinstellungen
Ist die verfügbare Hardware bereits bekannt, sind hier sinnvolle Werte den Windows-Standardeinstellungen unbedingt vorzuziehen. Im nächsten Assistenten-Dialogfenster können Sie die Einstellungen Netzwerk für die Netzwerkkonfiguration der zu installierenden Computer festlegen. Abbildung 9.17: Festlegen der Netzwerkeinstellungen
Die Voreinstellung unter Standardeinstellungen bietet eine Konfiguration, mit der ein problemloses Einbinden in ein Windows Netzwerk in den meisten Einsatzfällen möglich ist. Hier erkennen Sie die Ausrichtung von Microsoft auf das Active Directory, bei welchem DHCP und das Protokoll TCP/IP zum Standard gehören. Allerdings können Sie über die BENUTZERDEFINIERTEN EINSTELLUNGEN auch problemlos eine alternative Netzwerkkonfiguration festlegen.
328 Art der Netzwerkeinbindung
9 Installation Legen Sie dann die Art der Einbindung des Computers in das Netzwerk fest. Meist wird es sich um den Anschluss an eine Windows 2000 Domäne im Active Directory handeln.
Abbildung 9.18: Einbindung ins Netzwerk festlegen
Dabei wird der Computer im Active Directory registriert. Auch dazu ist nur ein berechtigter Benutzer oder Administrator zugelassen. Sie können aber, da auch dieses Passwort im Klartext in der Antwortdatei hinterlegt wird, einen speziellen Benutzer anlegen, der lediglich neue Computer zur Domäne hinzufügen darf und sonst keine weiteren Rechte zugewiesen bekommt. Das Vorgehen dazu ist unter anderem im Abschnitt 9.10.3 Einrichtung des RIS-Servers auf Seite 350 beschrieben. Zusätzliche Einstellungen:
Nach Festlegung der korrekten Zeitzone für die neuen Computersysteme können Sie entscheiden, ob weitere zusätzliche Konfigurationseinstellungen in der Antwortdatei vorgenommen werden sollen. Diese Einstellungen werden im folgenden Text behandelt. Wollen Sie diese nicht definieren, können Sie ab Seite 331 weiterlesen.
Wahleinstellungen
•
Wahleinstellungen für Modem oder Telefon Da im Netzwerk meist nicht direkt mit einem Modem von einem Arbeitsplatz-PC nach außen kommuniziert wird, kann diese Einstellung meist unbeachtet bleiben. Ausnahmen können aber beispielsweise spezielle Netzwerk-Faxlösungen bilden, welche die Festlegung der Wahlparameter am lokalen PC verlangen.
Ländereinstellungen •
Ländereinstellungen Die Ländereinstellungen werden in der Regel standardmäßig durch die lokalisierte Sprachversion von Windows 2000 richtig voreingestellt und brauchen meist nicht geändert zu werden.
9.9 Automatisierte Installation •
Zusätzliche Sprachen
329 Sprachen
Windows 2000 ist multilingual ausgelegt. So können Sie über die installierten Sprachen jederzeit Tastaturlayout und andere Anzeigeeigenschaften bequem umschalten. •
Einstellungen zum Internet Explorer Wollen Sie den mit Windows 2000 gelieferten Internet Explorer beispielsweise für die richtige Netzwerkeinstellung vorkonfigurieren, haben Sie hier eine günstige Gelegenheit dazu. So wird nicht jeder Benutzer separat über den Internet-Verbindungsassistenten zur Angabe der richtigen Werte aufgefordert.
Internet Explorer einrichten
Abbildung 9.19: Festlegen der ExplorerKonfiguration
Haben Sie feste Einstellungen für den verwendeten Proxy sowie Proxy und die Startseite, die für alle Benutzer der neu installierten Computer Startseite gelten sollen, tragen Sie diese über die dritte Option dieses Assistenten-Dialogfensters ein. •
Einen anderen Installationsordner anstelle \WINNT
Installationsordner
Bei der automatischen Installation verwendet das Windows 2000 Setup standardmäßig die erste verfügbare Bootfestplatte. Das können Sie auch leider nicht beeinflussen. Sie können aber festlegen, in welchen Ordner Windows 2000 seine Systemdateien ablegt, beispielsweise in \Win2000 anstelle in \WINNT. •
Eingabe von Netzwerkdruckern Sie können bereits hier die Netzwerkdrucker angeben, die beim ersten Start automatisch installiert werden sollen.
Netzwerkdrucker
330
9 Installation
Abbildung 9.20: Netzwerkdrucker angeben
Achten Sie darauf, dass der Netzwerkpfad und die Bezeichnung wirklich korrekt sind, da keine Gegenprüfung erfolgt. Der Benutzer muss übrigens auch die erforderlichen Rechte besitzen, wenn er die Drucker dann bei der ersten Anmeldung installieren können soll. Weitere Befehle
•
Weitere Befehle nach der ersten Anmeldung Für die erste Anmeldung eines Benutzers nach der automatischen Installation können Sie Befehle beziehungsweise Skripte angeben, die hier einmalig abgearbeitet werden sollen.
Abbildung 9.21: Befehle für einmalige Ausführung definieren
9.9 Automatisierte Installation
331
Der Assistent fügt hier beispielsweise auch die Einrichtung der Drucker über den Befehl ADDPRINTER hinzu, die Sie eventuell im vorhergehenden Dialogfenster eingegeben haben. Nach dem Definieren zusätzlicher Einstellungen, oder wenn Sie diese Distributionsordner überspringen, können Sie festlegen, von welcher Quelle die Installation ausgeführt werden soll. Abbildung 9.22: Auswahl Distributionsordner oder CD-Installation
Wenn Sie die Option DISTRIBUTIONSORDNER wählen, kopiert der Assistent alle erforderlichen Installationsdateien in ein von Ihnen bestimmtes Verzeichnis auf einem beliebigen Datenträger. Abbildung 9.23: Distributionsordner erstellen
Der Assistent schlägt einen Ort für einen neuen Distributionsordner vor, im allgemeinen C:\WIN2000DIST mit der dazugehörenden Netz-
332
9 Installation werkfreigabe. In diesen Ordner werden alle Installationsdateien des Verzeichnisses \I386 von der Windows 2000 Installations-CD kopiert.
OEM SCSI-Treiber
Zuvor können Sie noch über den Assistenten eventuell benötigte SCSITreiber oder andere Massenspeichertreiber von Drittherstellern einbinden. Benutzen Sie nur Standardtreiber, übergehen Sie dieses Dialogfenster des Assistenten mit WEITER.
HAL
Für bestimmte Computer, beispielsweise bei speziellen Mehrprozessormaschinen, wird die HAL (Hardware Abstraction Layer – Hardwareabstraktionsschicht, siehe auch Kapitel 3 Die WindowsSystemarchitektur ab Seite 75) vom Hersteller mitgeliefert und sollte anstelle der Standard-HAL von Windows 2000 verwendet werden. Im entsprechenden Dialogfenster des Assistenten können Sie die HAL angeben, die dann beim automatischen Setup installiert werden soll. Für die meisten Windows 2000 Professional Installationen, welche hier im Vordergrund der Betrachtungen stehen, werden Sie diese Option nicht benötigen und können sie mit WEITER übergehen.
Zusätzliche Befehle Sie können nach der automatischen Installation weitere Befehle aus-
führen lassen, für die keine Anmeldung am System notwendig ist. Das bedeutet, dass diese Befehle oder Dienstprogramme ohne Benutzerinteraktion über das Systemkonto abgearbeitet werden. Beispielsweise sind damit abschließende Kopier- oder Sicherungsaktionen realisierbar. OEM Branding
Für OEMs (Original Equipment Manufacturer), die über das automatische Setup eigene PC-Systeme vorinstallieren lassen wollen, besteht die Möglichkeit, das eigene Logo sowie den während der Installation angezeigten Bildschirmhintergrund anzupassen. Dazu müssen nur die entsprechenden Bilddateien im Windows BMP-Format angegeben werden. Dabei sollte nur die VGA-Bildschirmauflösung von 640 x 480 Punkten beachtet werden, unter der die grafischen Teile des Setups ausgeführt werden.
Zusätzliche Dateien Abschließend können Sie über den Assistenten noch weitere Kopierund Ordner vorgänge für Dateien und Ordner einrichten, die für das Setup benö-
tigt werden oder nach der Installation dem Benutzer zur Verfügung stehen sollen.
9.9 Automatisierte Installation
333 Abbildung 9.24: Zusätzliche Daten kopieren
Unter BENUTZERDATEIEN befinden sich drei Untergeordnete Verzeichnisse für zu kopierende Dateien und Ordner: •
Systemlaufwerk Geben Sie hier Dateien oder Ordner an, die in das Systemlaufwerk der neuen Windows 2000 Installation kopiert werden sollen. Haben Sie beispielsweise bestimmte DLL-Dateien (Dynamic Link Library), die für die korrekte Arbeitsweise einer bestimmten Software erforderlich sind, können Sie diese schon durch das automatische Setup in den System32-Ordner kopieren lassen. Markieren Sie dazu den Eintrag SYSTEM32 und geben Sie über Hinzufügen die Dateien an, die durch das Setup in diesen Windows Systemordner kopiert werden sollen. Die gleiche Verfahrensweise können Sie auch anwenden, wenn Sie spezielle Plug&Play-Hardware verwenden, für die Windows 2000 keine eigenen Treiber mitbringt. So können Sie Ihre Windows 2000 Installation auch zukünftigen Neuerungen anpassen. Achten Sie beim Hinzufügen von Treibern von Drittherstellern, dass diese über die entsprechende Microsoft-Signatur verfügen. Ältere Treiber, die signiert in Windows 2000 enthalten sind, können während des Setups nicht durch unsignierte neuere Treiber ersetzt werden. Unsignierte neue zusätzliche Treiber können Sie durch das Setup hinzufügen lassen, indem Sie in die Antwortdatei in der Sektion [UNATTENDED] folgenden Schlüssel hinzufügen:
334
9 Installation [Unattended] ... DriverSigningPolicy = ignore ... Neben Treibern und Systemdateien können Sie selbstverständlich auch andere Dateien und Ordner auf den neuen PC in das Windows-Systemlaufwerk kopieren lassen. Beispielsweise haben Sie so die einfache Möglichkeit, allgemeine Benutzerdateien und -vorlagen, die sich lokal auf jedem neuen Arbeitsplatzcomputer befinden sollen, mitzugeben. Prüfen Sie aber, ob sich diese Aufgabenstellungen nicht eleganter mit Hilfe der IntelliMirror-Technologien umsetzen lassen. Dabei können Sie beispielsweise ein Netzwerkverzeichnis auch als offline verfügbar deklarieren, womit diese Daten nur einmal zentral gepflegt werden müssen und trotzdem immer aktuell auch lokal auf den Arbeitsplätzen vorliegen.
Achtung: IntelliMirror
Alle hier angegebenen Dateien werden durch den Assistenten beim Erstellen des Distributionsordners mit in diesen kopiert, sodass sie auch während des Setups zur Verfügung stehen. •
Andere Laufwerke Hier können Sie weitere Dateien und Ordner hinzufügen, die nach Abschluss der Installation auf den neuen Computer übertragen werden sollen. Standardmäßig werden vom Assistenten allerdings nur zwei Festplattenlaufwerke auf den Zielcomputern angenommen, C: und D:. Wollen Sie auch Kopiervorgänge zu anderen Datenträger einrichten, müssen Sie die zum Schluss erstellte Antwortdatei manuell editieren.
•
Temporäre Dateien In dieser Verzeichnisstruktur können Sie Dateien und Ordner angeben, die nur für die automatische Installation selbst benötigt werden. Nach der Installation werden diese wieder vom Datenträger auf dem Zielcomputersystem gelöscht. Im Abschnitt TEXTMODUS legen Sie Dateien wie SCSI-Treiber oder HAL ab, die nur im ersten Teil des Setups benötigt werden.
Name und Ort der Antwortdatei
Nach Abschluss der oben beschriebenen Einstellungen im Assistenten geben Sie den Namen und den Ort der Antwortdatei an, die durch den Assistenten erstellt wird.
Geben Sie abschließend die Quelle der Windows 2000Quelle für Installationsdateien Installationsdateien an. Diese können sich auf einem entsprechenden (Netzwerk-)Laufwerk oder auf der Windows 2000 CD befinden. Der
9.9 Automatisierte Installation Assistent wird dann die Antwortdatei sowie gegebenenfalls die UDFDatei erzeugen und alle benötigten Dateien in den Distributionsordner kopieren. Zum Kopieren der Dateien in den Distributionsordner muss der Netzwerkzugriff über den Freigabenamen des Distributionsordners möglich sein. Anderenfalls bricht der Assistent mit einer Fehlermeldung den Vorgang ab. Nach erfolgreichem Kopieren aller Daten müssen Sie normalerweise noch ein wenig Hand an die erstellte Antwortdatei legen, damit die Installation auch wirklich vollautomatisch abläuft.
Notwendige manuelle Eingriffe in die Antwortdatei Die durch den Assistenten erstellte Antwortdatei ist in der Regel schon recht brauchbar. Für eine vollautomatische Installation ohne Benutzereingriff müssen Sie aber noch die folgenden Ergänzungen vornehmen: •
Produkt-Seriennummer integrieren Wenn schon vollautomatisiert, muss natürlich auch die Eingabe der Produkt-Seriennummer dem Benutzer abgenommen werden. Dies können Sie in der Sektion [UserData] der Antwortdatei vornehmen: [UserData] ... ProductID="XXXXX-XXXXX-XXXXX-XXXXX-XXXXX" ...
•
Unsignierte Treiber zulassen Installieren Sie zusätzliche Treiber, die nicht signiert sind, durch das automatische Setup, kommt es bei standardmäßiger Einstellung der Antwortdatei zu einer Unterbrechung. Diese vermeiden Sie durch Angabe des folgenden Parameters: [Unattended] ... DriverSigningPolicy = ignore ... Beachten Sie aber, dass signierte ältere Treiber nicht durch unsignierte neuere ersetzt werden können.
•
Partitionen erweitern und mit NTFS-formatieren
335
336
9 Installation Für die automatische Neuinstallation eines Computersystems kann man selten vorhersehen, welche konkrete Festplattenkonfiguration installiert wird. Die verfügbaren Kapazitäten wachsen heute permanent, so dass hier die Installation flexibel gestaltet werden sollte. Mit den folgenden beiden Optionen in der Antwortdatei stellen Sie sicher, dass die Partition auch bei Vorliegen einer größeren Festplatte auf dem Zielsystem automatisch vergrößert wird. Diese Vergrößerung funktioniert aber nur bei NTFS-Partitionen, womit die Konvertierung nach NTFS sicherheitshalber mit aktiviert werden sollte: [Unattended] ... FileSystem=ConvertNTFS ExtendOemPartition=1 ...
Verwendung von UDF-Dateien Uniqueness Database File
Über eine UDF-Datei können Sie die automatische Installation von Windows 2000 beeinflussen. UDF hat hier nichts zu tun mit gleichnamigem Format für DVD-Datenträger, sondern bedeutet Uniqueness Database File. In dieser Datei können Sie über eindeutige Identifikatoren Teile der Antwortdatei zur Laufzeit des automatischen Setups anpassen. So sind beispielsweise spezifische Angaben für Benutzernamen oder Netzwerkeinstellungen anpassbar. Sehen Sie sich ein einfaches Beispiel einer UDF-Datei näher an:
Beispiel UDF-Datei
[UniqueIds] ws1 = UserData,params.MS_TCPIP.Adapter1 ws2 = UserData,params.MS_TCPIP.Adapter1 [ws1:UserData] FullName = "Jörg Krause" ComputerName = GF_1 ProductID = 12345-12345-12345-12345-12345 [ws1:params.MS_TCPIP.Adapter1] IPAddress=192.168.1.10
9.9 Automatisierte Installation
337
[ws2:UserData] FullName = "Uwe Bünning" ComputerName = GF_2 ProductID = 54321-54321-54321-54321-54321 [ws2:params.MS_TCPIP.Adapter1] IPAddress=192.168.1.11 Mit dieser UDF-Datei legen Sie individuelle Einstellungen für jeden zu installierenden Computer fest. Die dazugehörige Antwortdatei für ein vollautomatisches Setup könnte folgendermaßen aussehen: [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=No TargetPath=\WINNT [GuiUnattended] … [UserData] FullName=PC-Arbeitsplatz OrgName="Muster AG" ComputerName=* … [SetupMgr] ComputerName0=GF_1 ComputerName1=GF_2 …
Beispiel Antwortdatei
338
9 Installation [Identification] JoinDomain=DOMÄNE DomainAdmin=AddPCAdmin DomainAdminPassword=admin [Networking] InstallDefaultComponents=No … [params.MS_TCPIP] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=192.168.1.10 SubnetMask=255.255.255.0 WINS=No NetBIOSOptions=0 In dieser Darstellung sind für eine bessere Übersichtlichkeit diverse Zeilen in der Antwortdatei weggelassen worden.
Aufruf mit Antwortdatei und UDF
Den Aufruf dieser Antwortdatei mit der zugehörigen UDF-Datei über WINNT.EXE könnten Sie wie folgt ausführen: winnt /s:E:\I386 /u:ANTW.TXT /udf:ws1,ANTW.UDF Für WINNT32.EXE müsste der Aufruf dann entsprechend so aussehen: winnt32 /s:E:\I386 /unattend:ANTW.TXT /udf:ws1,ANTW.UDF
UDF auf Diskette
Geben Sie keine UDF-Datei explizit an, wird diese auf Diskette während des Setups verlangt. Auf dieser Diskette muss die UDF-Datei dann als $UNIQUE$.UDB im Stammverzeichnis abgelegt sein.
9.9 Automatisierte Installation
339
Weitergehende Informationen zum automatisierten Setup Sie finden eine ausführliche Beschreibung aller möglichen Einträge in UNATTEND.DOC der Antwortdatei in der Datei UNATTEND.DOC in der Kabinettdatei \SUPPORT\TOOLS\DEPLOY.CAB.
9.9.3 Automatisierte Installation mit Disc Images Eine bequeme Möglichkeit, zu einem voll installierten Windows 2000 Disc Images System inklusive aller notwendigen Anwendungsprogramme zu kommen, besteht im Duplizieren einer fertigen Installation auf andere Computer. Dafür gibt es spezielle Programme von Herstellern wie Symantec oder Powerquest. Diese erzeugen ein bitweises Abbild (Image) der spezifizierten Partition und können es auf einem anderen Computersystem wieder auf der Festplatte implementieren. Das Ergebnis ist ein vollkommen identisches System mit allen Programmen, Dateien und Einstellungen des Ursprungscomputers. Wichtige Voraussetzung ist bei diesem Vorgehen zunächst eine Über- Übereinstimmung einstimmung der verwendeten Hardwarekomponenten bei Ur- bei der Hardware sprungs- und Zielcomputern. Zwar verfügt insbesondere Windows 2000 über ein ausgefeiltes Plug&Play-Management, um neue oder geänderte Komponenten zuverlässig zu erkennen, aber es gibt auch hier Grenzen, denen wir uns später noch widmen werden. Zunächst geht es um die wichtigste Einschränkung, die Sie im Um- Security IDentifier gang mit Festplattenduplizierern und Windows 2000 kennen sollten: bei Windows 2000 Windows 2000 benutzt zur Identifikation eines Computersystems eine eindeutige Identifikation, auch SID (Security Identifier) genannt. Diese ID kennzeichnet jeden Computer und damit auch seine Benutzer und deren Rechte eindeutig im Netzwerk. Solange Sie beispielsweise einen duplizierten PC standalone betreiben, werden Sie keine Probleme beim Betrieb feststellen können. Existieren allerdings zwei Windows 2000 Computer im Netzwerk, die sich eine SID teilen, kann es zu schwerwiegenden Sicherheitsproblemen kommen. Das gilt übrigens genauso in Bezug auf Windows NT.
Das Tool Sysprep Um dieses Problem zu adressieren, haben Hersteller von Software für das Duplizieren von Festplatten mittlerweile zusätzliche Tools im Programm, die für eine korrekte neue Vergabe einer SID nach Neustart eines durch Duplizieren entstandenen Systems sorgen. Mit Windows 2000 wird auch ein entsprechendes Dienstprogramm von Microsoft mitgeliefert, das Programm Sysprep.exe.
340 Funktionen:
9 Installation Sysprep kann die folgenden Aufgaben für die Installation von Windows 2000 erfüllen: •
Sie können zuverlässig die Festplattenduplizierung, natürlich unter Beachtung der Microsoft-Lizenzbestimmungen, zum Vervielfältigen einer vollständig vorinstallierten Windows 2000 Installation benutzen. Dazu generiert Sysprep eine eindeutige SID für den neuen Computer, so dass dieser problemlos ins Netzwerk eingebunden werden kann.
Festplattenduplizierung
•
Mini-Setup Sysprep erlaubt die Generierung eines Mini-Setups, welche einen neuen Benutzer, der beispielsweise ein vorinstalliertes Windows 2000 inklusive einer Reihe von Anwendungsprogrammen nach dem Einschalten vorfindet und nur noch ergänzende Angaben wie die Eingabe der Seriennummer oder seines Namens tätigen muss.
Mini-Setup
• Auslieferungszustand herstellen
Festplattenduplizierung
Auslieferungszustand herstellen Eine dritte Funktion von Sysprep besteht darin, dass es sich auch eignet, eine fertige Windows 2000 Installation zu überprüfen und zurück in den Auslieferungszustand zu versetzen. Dabei kommt es nicht auf das Generieren einer neuen SID an, was in einem solchen Fall unterdrückt wird, sondern darauf, dass der Benutzer beim Inbetriebnehmen des Computers über das Mini-Setup (siehe oben) nur noch vervollständigende Angaben zur Installation vornimmt.
Bei den folgenden Ausführungen geht es hier um die Betrachtung von Sysprep im Zusammenhang mit dem Duplizieren von Festplatten. Weitergehende Hinweise entnehmen Sie bitte der Quellenangabe auf Seite 343.
Wo liegt Sysprep auf der Installations-CD? DEPLOY.CAB
Das Programm finden Sie auf der Installations-CD von Windows 2000 Professional in der Datei DEPLOY.CAB im Verzeichnis \SUPPORT\TOOLS. Diese Kabinett-Datei können Sie unter Windows 2000 durch Doppelklick öffnen. Die folgenden Komponenten gehören zum Programm Sysprep:
9.9 Automatisierte Installation
Komponente Sysprep.exe
341
Tabelle 9.9: Komponenten von Das eigentliche Tool, welches Sie für den Aufruf ver- Sysprep
Funktion
wenden. Für die Beeinflussung der Abarbeitung sollten Sie die Kommandozeilenoptionen beachten, welche weiter unten in diesem Abschnitt aufgeführt sind. Setupcl.exe
Ein fester Bestandteil des Tools, der nicht selbständig funktioniert. Sysprep benötigt dieses Programm zwingend im selben Verzeichnis, um korrekt arbeiten zu können.
Sysprep.inf
Eine Konfigurationsdatei, mit der Sie das Verhalten von Sysprep für die automatische Ausführung beeinflussen können.
Allgemeine Voraussetzungen für das Festplattenduplizieren Bevor Sie an das Duplizieren einer Windows 2000 Installation gehen, sollten Sie prüfen, ob die folgenden Voraussetzungen gegeben sind: •
Keine Unterstützung für Domänen Sysprep kann nicht auf einem Windows 2000 Computer ausgeführt werden, der Mitglied einer Domäne oder selbst Domänencontroller ist. Falls nicht gegeben, sollten Sie Ihr Windows 2000 Professional aus der Domäne entfernen und zeitweise einer beliebigen Arbeitsgruppe zuordnen. Öffnen Sie dazu das Kontextmenü des Arbeitsplatz-Symbols und ändern die entsprechenden Einstellungen im Bereich Netzwerkidentifikation.
Keine Domäne!
342
9 Installation
Abbildung 9.25: Netzwerkidentifikation ändern
Nach Inbetriebnahme des neuen PC können sie dann auf die gleiche Art und Weise die Verbindung zur Domäne wieder aufnehmen. Hardware
•
Identische Hardware Das Duplizieren von Festplattenpartitionen funktioniert nur bei weitgehend identischer Hardware zwischen Ursprungs- und Zielcomputersystem. Hier die wichtigsten Punkte dazu: -
Die zu verwendende HAL (Hardware Abstraction Layer) der Computersysteme muss übereinstimmen beziehungsweise kompatibel zueinander sein. So sind die HAL APIC und HAL MP (Multiprozessorsysteme) zueinander kompatibel, wohingegen eine verwendete HAL PIC (Programmierbarer Interruptcontroller) auch eine HAL PIC auf dem Zielsystem erfordert.
-
Der Typ des verwendeten Festplattencontrollers, IDE oder SCSI, muss auf beiden Computersystemen übereinstimmen.
-
Die Partition beziehungsweise die Festplatte des Zielcomputersystems muss mindestens genau so groß sein wie die auf dem Ursprungscomputer. Zum Umdefinieren der Größe können heute in der Regel die Duplizierprogramme selbst helfen, es lässt sich aber auch der Parameter ExtendOemPartition in der Datei Sysprep.inf setzen.
9.10 Die Remoteinstallationsdienste
343
Aufruf von Sysprep Der Aufruf des Programms Sysprep gestaltet sich unspektakulär. Be- Festplatte reiten Sie zuerst Ihre Windows Installation entsprechend vor. Löschen aufräumen Sie dabei alle unbenötigten Dateien, insbesondere die folgenden: •
HIBERFIL.SYS Diese Datei wird für den Ruhezustand benötigt und belegt genau- Datei für Ruheso viel Platz auf dem Systemlaufwerk wie Hauptspeicher im Com- zustand puter installiert ist. Ist der Ruhezustand auf Ihrem System eingestellt, deaktivieren Sie ihn über START | SYSTEMSTEUERUNG | ENERGIEOPTIONEN. Damit wird auch die Datei Hiberfil.sys gelöscht.
•
PAGEFILE.SYS Entfernen Sie die Auslagerungsdatei vom zu duplizierenden Sys- Auslagerungsdatei temlaufwerk (über START | SYSTEMSTEUERUNG | SYSTEM). Da Windows 2000 insbesondere bei relativ wenig Hauptspeicher ohne Auslagerungsdatei nicht richtig arbeiten kann, können Sie diese auch einfach auf einen anderen Datenträger verlagern. Eine nicht durch Windows 2000 selbst gelöschte Auslagerungsdatei wird übrigens beim nächsten Systemstart selbständig wieder hergestellt.
Nachdem die Festplatte für das Duplizieren vorbereitet ist, brauchen Sie nur noch Sysprep.exe aufrufen. Danach können Sie das Disk Image herstellen und auf dem Zielcomputer wieder implementieren. Sysprep sorgt dort dann dafür, dass das System eine neue, eindeutige SID zugewiesen bekommt.
Weitergehende Hinweise zu Sysprep Sie finden weitere Hinweise zu Sysprep in der Word-Datei UNATTEND.DOC UNATTEND.DOC, welche sich zusammen mit dem Programm in der Kabinettdatei \SUPPORT\TOOLS\DEPLOY.CAB befindet.
9.10 Die Remoteinstallationsdienste Die Remoteinstallationsdienste (Remote Installations Services – RIS) sind Windows 2000 Bestandteil der Serverfamilie von Windows 2000 (Server und Advan- Server ced Server). In diesem Abschnitt werden diese vorgestellt und die Implementierung einer einfachen RIS-Konfiguration praktisch gezeigt. In Band II werden die Remoteinstallationsdienste tiefergehend behandelt. Die weitreichenden Konfigurationsmöglichkeiten, mit denen Sie zusammen mit anderen Microsoft-Technologien wie IntelliMirror automatisierte und hocheffiziente Verfahren zur benutzerdefinierten In-
344
9 Installation stallation und Datenhaltung umsetzen können, würden den Rahmen des vorliegenden Bandes sprengen. Dieser Abschnitt wird die Installation und Konfiguration der Remoteinstallationsdienste soweit erklärt, dass es Ihnen möglich sein wird, diese auf einem bestehenden Windows 2000 Server in einem Active Directory zu implementieren und für die einfache Installation von Windows 2000 Professional über das Netzwerk zu nutzen.
9.10.1 Das Grundprinzip Neuinstallation über das Netzwerk
Über die Remoteinstallationsdienste können Sie Windows 2000 Professional auf einem neuen Computer über das Netzwerk installieren. Die Hardwareanforderungen sind hinsichtlich der Speichermedien bei Verfügbarkeit einer bootfähigen Netzwerkkarte minimal. So können gerade in Unternehmen die Netzwerk-Arbeitsplatzcomputer ohne Floppy und CD-ROM-Laufwerk ausgestattet werden. Der Clientcomputer benötigt für den Installationsprozess kein eigenes Betriebssystem. Befinden sich Daten auf der Festplatte werden diese durch das Setup-Programm allerdings gelöscht.
Start über Netzwerkkarte oder Diskette
Beim Startvorgang des Clients über eine bootfähige Netzwerkkarte oder eine spezielle RIS-Diskette wird über DHCP eine IP-Adresse vom Windows 2000 DHCP-Server bezogen (welcher nicht mit dem RISServer identisch sein muss) und die Verbindung mit dem RIS-Server hergestellt.
Anmeldung eines berechtigten Benutzers
Nach der Anmeldung eines für die Installation berechtigten Benutzers im Active Directory kann die Installation beginnen. Die Bootfestplatte des Clientcomputers wird neu eingerichtet und alle Installationsdateien werden vom RIS-Server bezogen. Nach der Installation steht ein neu eingerichteter Arbeitsplatzcomputer mit Windows 2000 Professional zur Verfügung. Für die benutzerspezifischen Anpassungen des Installationsprozesses kann der RISServer weitreichend konfiguriert werden. Der Installationsprozess selbst kann so automatisiert werden beziehungsweise es können beispielsweise weitere Anwendungsprogramme mit installiert werden.
9.10.2 Technische Voraussetzungen Serverseitige Voraussetzungen
Die folgenden Voraussetzungen müssen serverseitig erfüllt sein, damit Sie die Remoteinstallationsdienste für die Einrichtung von neuen Clientcomputern über das Netzwerk nutzen können:
9.10 Die Remoteinstallationsdienste •
DNS-Server
345 DNS-Server
Die Remoteinstallationsdienste benötigen einen verfügbaren DNSServer (Domain Name Service) für die Lokalisierung des Active Directory (AD). •
DHCP-Server
DHCP-Server
Für den Installationsprozess wird ein aktiver DHCP-Server (Dynamic Host Configuration Protocol) benötigt. Dieser weist den Clientcomputern während des Bootprozesses die entsprechende IP-Adresse zu. •
Active Directory
Active Directory
Die Remoteinstallationsdienste müssen auf einem Windows 2000 Server installiert sein, welcher Zugriff zum Active Directory hat. Der RIS-Server kann ein Domänencontroller oder einfach ein Mitglied einer Domäne im Active Directory sein. •
Speicherplatz für Remoteinstallationsdateien Auf dem RIS-Server muss neben dem Systemdatenträger ein weiterer ausreichend groß dimensionierter Datenträger existieren, der die Remoteinstallationsdateien beherbergt. Eine Speicherung dieser Daten auf dem Systemdatenträger ist grundsätzlich nicht möglich, auch wenn dort vielleicht noch genug Platz vorhanden ist.
Speicherplatz für RIS-Dateien
In einem lokalen Netzwerk mit nur einem Windows 2000 Server kann dieser die Funktionen des DNS-, DHCP- und RIS-Servers in sich vereinigen. Für den Clientcomputer sollten die folgenden Voraussetzungen erfüllt Clientseitige Voraussetzungen sein, um auf einen RIS-Server zugreifen zu können: •
Netzwerkkarte
Netzwerkkarte
Für den Bootprozess wird eine PXE-kompatible Netzwerkkarte benötigt, die über ein entsprechendes BIOS zum Booten über das Netzwerk verfügt. Dazu muss das BIOS des Computers explizit den Netzwerkbootprozess unterstützen. Je nach Hersteller stellen Sie im BIOS-Setup die Startsequenz entsprechend auf Netzwerkboot ein. •
Floppy-Laufwerk Haben Sie keine entsprechende Netzwerkkarte, können Sie über die Remoteinstallationsdienste eine spezielle Bootdiskette erstellen, welche eine Reihe der wichtigsten Netzwerkkarten unterstützt.
Floppy-Laufwerk
346 Festplatte
9 Installation •
Festplatte Der Clientcomputer muss über eine ausreichend dimensionierte Festplatte verfügen, welche durch das Windows 2000-Setup neu eingerichtet und formatiert wird. Dabei spielt es keine Rolle, ob es sich um eine IDE- oder eine SCSI-Festplatte handelt.
Prüfen Sie vor einer Installation über die Remoteinstallationsdienste, ob sich noch wichtige Daten auf der Festplatte des Clientcomputers befinden. Die Boot- und Systemfestplatte wird durch das Setup grundsätzlich neu eingerichtet und formatiert.
9.10.3 Einrichtung des RIS-Servers Die Einrichtung des RIS-Servers erfolgt auf einem Windows 2000 Server, indem Sie über das Windows-Setup die Remoteinstallationsdienste hinzufügen. Abbildung 9.26: Remoteinstallationsdienste hinzufügen
Assistent
Nach dem Installieren des Dienstes und Neustart des Servers können Sie über den entsprechenden Assistenten den Remoteinstallationsdienst für die erste Konfiguration starten. Diesen bekommen Sie automatisch über die Startseite Windows 2000 Server konfigurieren angeboten, wenn Sie sich lokal am Server als Administrator anmelden.
RISETUP.EXE
Sie können diesen Assistenten auch manuell über START | AUSFÜHREN mit dem Aufruf des Programms Risetup starten. Zuerst fragt der Assistent nach dem Speicherort für die Remoteinstallationsdateien.
9.10 Die Remoteinstallationsdienste
347 Abbildung 9.27: Remoteinstallations ordner angeben
Da die Remoteinstallationsdateien gewöhnlich viel Speicherplatz einnehmen, wird aus Sicherheitsgründen zwingend verlangt, dass diese auf einem anderen Datenträger als dem Systemdatenträger installiert werden. Nach der Angabe des Speicherortes können Sie schon über den Assistenten definieren, wie sich der RIS-Server bei Clientanfragen verhalten soll. Abbildung 9.28: Clientunterstützung festlegen
Soll generell auf Clientanfragen geantwortet werden, aktivieren Sie das entsprechende Kontrollkästchen. Lassen Sie dieses hier inaktiv, wird der RIS-Server solange nicht einsetzbar sein, bis Sie ihn über die entsprechende Managementkonsole aktiviert haben. Für einer erhöhte Sicherheit kann es sinnvoll sein, nur im Active Di- Unbekannte Clients rectory registrierte Clientcomputer für eine Remote Installation zuzulassen. Dazu müssen Sie allerdings schon vorher die Clientcomputer
348
9 Installation mit ihrer Hardware-ID, der Netzwerk-MAC-Adresse, im Active Directory eintragen. Meist sind diese Informationen vorher nicht bekannt, da es sich die wenigsten Unternehmen leisten wollen, für einen eventuellen Ausfall Ersatzcomputer ins Lager zu stellen. Somit ist es für den Standard-Einsatzfall ausreichend, diese Option deaktiviert zu lassen. Die Sicherheit wird auch dann gewährleistet, da die Installation generell nur durch einen dafür autorisierten Benutzer durchgeführt werden kann.
Mehrere RIS-Server Anders kann das aussehen, wenn mehrere RIS-Server im Netzwerk
verfügbar sind. Es gibt leider keine Möglichkeit für den ClientComputer, einen spezifischen RIS-Server auszuwählen. Eine Möglichkeit zur Kontrolle besteht in der Definition der berechtigten Clients im Active Directory mit logischer Zuordnung zu den betreffenden RISServern. Installationsquelldateien
Geben Sie dann den Pfad zu den Installationsquelldateien für das betreffende Windows 2000 Professional an. Im Normalfall werden Sie die Installations-CD am RIS-Server einlegen und den Pfad dazu eingeben (beispielsweise E:\). Von dieser Quelle werden dann die Installationsdateien in den entsprechenden Installationsabbildordner auf dem RIS-Server kopiert.
Installationsabbildordner
Die Bezeichnung für den Installationsabbildordner geben Sie dann im nächsten Eingabefenster des Assistenten an. Der Ordner wird durch den Assistenten dann automatisch in der Verzeichnisstruktur des RISServers angelegt.
Beschreibung und Hilfetext
Für das Installationsabbild auf dem RIS-Server können Sie eine erklärende Beschreibung und einen Hilfetext angeben. Haben Sie mehrere Installationen auf dem RIS-Server abgelegt, kann der betreffende Nutzer, der die Remote Installation über das Netzwerk auswählt, so eine Hilfestellung zur Unterscheidung der betreffenden Installationen erhalten.
Letzter Check
Nach Abschluss der Einstellungen erhalten Sie eine Übersicht über die Konfiguration für den RIS-Server. Brechen Sie hier ab, wird der Assistent keinerlei Änderungen am System vornehmen.
9.10 Die Remoteinstallationsdienste
349 Abbildung 9.29: Letzter Check der Einstellungen
Nach Bestätigung der Einstellungen werden die Konfigurationsänderungen vorgenommen und alle Installationsdateien auf den RIS-Server kopiert. Das kann je nach verfügbarer Hardware und gegebenenfalls Geschwindigkeit des CD-ROM-Laufwerks einige Zeit in Anspruch nehmen. Bevor der RIS-Server überhaupt im Netzwerk aktiv werden kann, RIS-Server müssen Sie ihn im Active Directory autorisieren. Dies können Sie über autorisieren das DHCP-Snap-In an einem Domänencontroller oder remote von einer Arbeitsstation durchführen. Im Kontextmenü zum Wurzeleintrag DHCP finden Sie die entsprechende Option. Damit ein Benutzer einen Computer über RIS installieren kann, muss Benutzerrechte dieser mit den notwendigen Rechten versehen werden. Diese können vergeben Sie als Domänenadministrator über die Managementkonsole ACTIVE DIRECTORY BENUTZER UND GRUPPEN einrichten. Im Kontextmenü des Wurzeleintrags der betreffenden Domäne wählen Sie den Punkt OBJEKTVERWALTUNG ZUWEISEN.
350
9 Installation
Abbildung 9.30: Benutzerrechte für Objektverwaltung einrichten
Ein Assistent führt Sie dann durch die weitere Einrichtung. Geben Sie zuerst die Benutzer oder Gruppen an, für die Sie das Recht zur Objektverwaltung vergeben wollen. Abbildung 9.31: Benutzer und/oder Gruppen bestimmen
Soll jeder registrierte Benutzer in dieser Domäne grundsätzlich das Recht bekommen, Computer über die Remoteinstallationsdienste einzurichten, geben Sie die Gruppe JEDER an.
9.10 Die Remoteinstallationsdienste
351
Im nächsten Dialogfenster des Assistenten bestimmen Sie, dass die betreffenden Benutzer oder Gruppen Computer zur Domäne hinzufügen dürfen. Abbildung 9.32: Aufgabe Computer hinzufügen zuweisen
Nach Abschluss des Assistenten können die betreffenden Benutzer grundsätzlich die Installation von Windows 2000 Professional über den RIS-Server durchführen.
9.10.4 Erstellen einer RIS-Bootdiskette Für Clientcomputer ohne bootfähige Netzwerkkarte können Sie eine RBFG.EXE spezielle RIS-Bootdiskette erstellen. Diese simuliert einen PXEBootprozess für Computer ohne ein entsprechendes Boot-ROM auf der Netzwerkkarte. Das Dienstprogramm zum Erzeugen der entsprechenden Bootdiskette heißt RBFG.EXE und befindet sich im folgenden Verzeichnis auf dem RIS-Server: \RemoteInstall\admin\i386\RBFG.EXE Nach dem Start des Programms vergewissern Sie sich zunächst, ob Unterstützte Ihre betreffende Netzwerkkarte auch unterstützt wird. Die Liste der Netzwerkkarten unterstützten Adapter ist nicht sehr lang und kann derzeit auch nicht erweitert werden.
352
9 Installation
Abbildung 9.33: Das Programm RBFG.EXE
Nach Erstellung der Diskette können Sie diese benutzen, um vom Laufwerk A: des Clientcomputers zu starten und auf den RIS-Server zuzugreifen.
9.10.5 Starten der RIS-Installation über das Netzwerk Einstellungen auf der Netzwerkkarte
Einfacher und bequemer als über eine Bootdiskette ist das Starten über den PXE-Boot-ROM der Netzwerkkarte. Stellen Sie dazu im BIOSSetup des Clientcomputers die Bootsequenz auf die Netzwerkkarte an erster Stelle ein. Hinzu kommen eventuell noch weitere Einstellungen auf der Netzwerkkarte. Je nach Modell und Hersteller unterschiedlich implementiert sind die Zugriffsmöglichkeiten auf das eigene Setup der Karten. Hier sollten Sie, falls einstellbar, das PXE-Protokoll installieren sowie den Netzwerkbootprozess aktivieren.
Nach Start: F12
Nach dem Starten des Computers sendet die Netzwerkkarte zunächst unter anderem ihre eigene eindeutige Identifikationsnummer, auch MAC-Adresse genannt, aus. Über den RIS-Server bekommt der Client dann eine eigene IP-Adresse vom DHCP-Server zugewiesen. Dann beginnt die Kommunikation mit dem RIS-Server mit Übertragen der Bezeichnungen der verfügbaren Installationsabbilder. Vor dem Start des Installationsassistenten wird vom Benutzer ein Druck auf die Funktionstaste F12 verlangt.
9.10.6 Der RIS-Installationsprozess Vor der eigentlichen Installation wird zunächst der Benutzername sowie die Domäne abgefragt. Nur entsprechend eingerichtete Benutzer und Administratoren können Computer über die Remoteinstallationsdienste einrichten.
9.10 Die Remoteinstallationsdienste
353 Abbildung 9.34: Abfrage der Benutzerinformationen
Danach wird die Festplatte des Clientcomputers neu eingerichtet und formatiert. Eine entsprechende Meldung wird durch das Setup abgegeben. Der Remoteinstallationsservice ist generell für die Neuinstallation von Windows 2000 vorgesehen und löscht damit alle bestehenden Daten auf der Bootfestplatte des Clientcomputers. Durch Druck auf F3 können Sie letztmalig den Vorgang abbrechen Abbruch mit F3 und den Computer neu starten. Vor dem Start der eigentlichen Installation erfolgt eine Meldung mit Angabe der eindeutigen ID des Computers. Nach Bestätigung beginnt die Installation von Windows 2000 auf dem Clientcomputer. Unterbrochen wird diese nur durch die Eingabe der Seriennummer. Eintrag der S/N in Diese Unterbrechung können Sie vermeiden, indem Sie die entspre- die TXTSETUP.INF chende Seriennummer in der Datei TXTSETUP.INF im Verzeichnis der Installationsdateien auf dem RIS-Server eintragen. Der Rest der Installation läuft automatisiert ab. Nach erfolgreichem Abschluss steht Ihnen ein Windows 2000 Professional-Computer in Ihrem Netzwerk zur Verfügung. Die Nutzeranmeldung erfolgt dabei über die zugrunde liegende Domäne im Active Directory.
9.10 Die Remoteinstallationsdienste
Kapitel 10 Die Managementkonsole
10.1 Das Prinzip der Managementkonsole ...............357 10.2 Wichtige Funktionen.............................................361 10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«..........................................................362 10.4 Wichtige Snap-Ins .................................................383
355
10.1 Das Prinzip der Managementkonsole
10 Die Managementkonsole (MMC) Die Administration von Windows 2000 hat sich gegenüber Windows NT 4.0 grundlegend geändert. Windows NT 4.0 wird mit Hilfe einer Vielzahl verschiedener Administrationstools verwaltet. So gibt es einen Benutzermanager, einen Festplattenmanager, einen Dienstemanager usw., die alle mit einer anderen Bedienoberfläche ausgestattet sind. Falls Sie als Administrator an Windows NT gewöhnt sind, werden Sie eventuell von der neuen Logik der Verwaltung eines Windows 2000–Systems verwirrt sein. Aber bei genauer Betrachtung werden Sie feststellen, dass Windows 2000 endlich über ein (fast) einheitliches Verwaltungsmodell verfügt. Die meisten der bisher verschiedenartig aufgebauten Administrationswerkzeuge von NT wurden in Windows 2000 modular als sogenannte Snap-Ins aufgebaut. Diese Snap-Ins können über eine einheitliche Bedienoberfläche, der sogenannten Managementkonsole (Microsoft Management Console – MMC), arrangiert und von dieser aus aufgerufen werden. Ziel ist eine Vereinheitlichung in der Benutzung der Werkzeuge bei gleichzeitig hoher Flexibilität und Erweiterbarkeit. Für die wichtigsten Verwaltungsarbeiten sind in Windows 2000 bereits eine Reihe von Managementkonsolen vorkonfiguriert, so zum Beispiel für wesentliche Teile der Computerverwaltung und das Benutzermanagement. Es gibt aber noch Raum für Anpassungen und Erweiterungen. Sie können dabei frei bestimmen, welche Managementwerkzeuge Sie wem mit welchen Zugriffrechten zuordnen. In den folgenden Abschnitten werden wir von dem grundlegenden Aufbau bis hin zur individuellen Konfiguration die Technologie der Managementkonsolen näher betrachten.
10.1 Das Prinzip der Managementkonsole Die Managementkonsole ist eine Windows-Anwendung, die einen einheitlichen Rahmen für verschiedene Verwaltungstools bildet. Die einzelnen Verwaltungstools von Windows 2000 sind als Snap-Ins aufgebaut, die nicht selbständig aufgerufen werden können. Die Snap-Ins können dabei selbst wieder aus mehreren Objekten, eigenständigen Snap-Ins oder von Snap-Ins abhängigen Erweiterungen, bestehen. Die Schnittstellen der Snap-Ins und ihrer Erweiterungen sind von Microsoft offengelegt und erlauben es auch Drittherstellern, Administrationstools für ihre Hard- bzw. Software zu entwickeln, die sich so nahtlos in das Konzept der Managementkonsole einfügen. Die Bedienung und Konfiguration von Hard- und Software kann dadurch unter Windows 2000 vereinheitlicht werden.
357
358
10 Die Managementkonsole (MMC) In einer Managementkonsole werden übrigens nicht die Snap-Ins selbst abgespeichert, sondern nur Verweise auf diese. Dadurch sind die Managementkonsolen an sich nur sehr kleine Konfigurationsdateien (mit der Endung MSC), die Sie beispielsweise leicht via E-Mail austauschen oder verteilen können.
10.1.1 Das Programm mmc.exe Wenn Sie über START | AUSFÜHREN das Programm MMC starten, erhalten Sie eine leere Managementkonsole. Abbildung 10.1: Eine leere Managementkonsole
Eine leere Managementkonsole besteht zunächst nur aus dem Konsolenrahmen. Über das Menü KONSOLE können Snap-Ins hinzugefügt oder gelöscht werden, Konsolen geladen oder gespeichert und grundlegende Optionen festgelegt werden. Das Fenster Konsolenstamm stellt den eigentlichen Ausführungsrahmen Ihrer Managementkonsole dar. Unter dem Konsolenstamm werden wie in einem hierarchischen Verzeichnis die Snap-Ins verwaltet, die Sie in dieser Managementkonsole anordnen. Baumstruktur
Im linken Teil des Fensters einer Managementkonsole befinden sich die in einer hierarchischen Baumstruktur organisierten Snap-Ins bzw. Ordner, im rechten Teil dann die Einstellungen bzw. Ausgaben (beispielsweise bei Protokollen) der einzelnen Komponenten. Über das Kontextmenü (erreichbar über die linke Maustaste oder das Menü VORGANG) können die jeweiligen Aktionen für die betreffende Komponente ausgelöst werden.
10.1 Das Prinzip der Managementkonsole
359 Abbildung 10.2: Managementkonsole Benutzer und Gruppen; geöffnetes Kontextmenü zur Komponente »Benutzer«
Die Komponente BENUTZER des Snap-Ins LOKALE BENUTZER UND GRUPPEN bietet mit seinem Kontextmenü folgerichtig den Eintrag NEUER BENUTZER. Im rechten Teil des Fensters können Sie die einzelnen Benutzer wiederum über das entsprechende Kontextmenü umbenennen, Kennwörter festlegen oder auch löschen. Wie ein Benutzer die Managementkonsole sieht, können Sie festlegen. Das Aussehen Im oben abgebildeten Beispiel der Managementkonsole LOKALE kann verändert BENUTZER UND GRUPPEN sieht der Benutzer nur das gleichnamige werden Snap-In mit den beiden Objekten BENUTZER und GRUPPEN. Den äußeren Ausführungsrahmen mit den Menüoptionen KONSOLE und FENSTER, mit dem weitere Fenster mit Ansichten geöffnet werden könnten, hat er nicht im Zugriff. Ebenso stellt das Snap-In den Ursprung (vergleichbar mit der Verzeichniswurzel) in dieser Managementkonsole dar; der Konsolenstamm selbst erscheint nicht. Wie Sie das für Ihre Managementkonsolen konfigurieren können ist Inhalt des Abschnitts 10.3.1 Benutzerspezifische Managementkonsolen ab Seite 364. Zuvor sollten Sie jedoch eine Möglichkeit kennen lernen, wie Sie Ihre Managementkonsolen optisch attraktiver und übersichtlicher gestalten können: die Taskpadansichten.
10.1.2 Taskpadansichten Managementkonsolen können durch den Einsatz von Taskpadansich- Ansichten sind ten noch einfacher bedienbar werden. In diese Ansichten integrieren definierbar Sie alle die Komponenten, die für den beabsichtigten Funktionsbereich oder einen bestimmten Benutzer beziehungsweise Gruppe notwendig sind. Dabei können Sie die Konsole so konfigurieren, dass der Benutzer nur auf die für ihn wichtigen Komponenten zugreifen kann.
360
10 Die Managementkonsole (MMC)
Abbildung 10.3: Managementkonsole mit Taskpadansicht
Verweise
Diese auch Tasks bezeichneten Verweise müssen nicht nur Komponenten aus der Managementkonsole sein. Es lassen sich beispielsweise auch Verweise auf Webadressen, Assistenten, Menübefehle oder der Aufruf von Eigenschaftsseiten bestimmter Komponenten einbauen. Dabei können diese Verweise auch Funktionen ansprechen, die außerhalb der eigentlichen Managementkonsole liegen. Stark vereinfachen lassen sich auch Prozesse, die aus mehreren einzelnen Programmen oder Scripten zusammengesetzt sind und regelmäßig von einem Benutzer ausgeführt werden müssen. Sie können dafür einen einzigen Eintrag in einer Taskpadansicht einrichten. Es lassen sich für eine Managementkonsole auch mehrere Taskpadansichten erstellen, die gruppiert nach Funktionen oder Benutzer, organisiert sein können. Somit können Sie auch komplexe Managementkonsolen übersichtlicher strukturieren, als wenn alle Snap-Ins in ihrer herkömmlichen Anordnung eingebunden wären. Mit den Taskpadansichten haben Sie ein mächtiges Werkzeug in der Hand, mit dem Sie die Administration eines Computers oder eines Netzwerkes ganz spezifisch nach Ihren Bedürfnissen und vor allem auch den konkreten Kenntnisständen von Benutzern gestalten können. Eine ausführliche Beschreibung, wie Sie Managementkonsolen, auch mit Taskpadansichten, anlegen und konfigurieren, finden Sie im Abschnitt 10.3.1 Benutzerspezifische Managementkonsolen ab Seite 364.
10.2 Wichtige Funktionen
361
10.2 Wichtige Funktionen Der folgende Abschnitt befasst sich mit speziellen Funktionen der Managementkonsole und deren Einsatz für eigene Erweiterungen.
10.2.1 Modi der Benutzung einer Managementkonsole Über die Optionen zu einer Managementkonsole lassen sich verschiedene Modi für eine Managementkonsole festlegen: •
Im AUTORENMODUS können alle Änderungen an einer Manage- Autorenmodus mentkonsole vorgenommen werden, einschließlich der Möglichkeit, Snap-Ins hinzuzufügen oder zu entfernen.
•
In den drei verschiedenen Stufen des BENUTZERMODUS können die Benutzermodus Rechte für die Anwendung der Managementkonsole so weit eingeschränkt werden, dass keine inhaltlichen Änderungen vorgenommen werden können bzw. der Benutzer nur Zugriff auf für ihn vorgesehene Snap-Ins mit speziellen Einstellungen hat.
Durch diese Modi können Sie sicherstellen, wie Managementkonsolen durch den Anwender beeinflusst werden können und welche Sicht er auf die Werkzeuge erhält.
10.2.2 Hilfefunktion Die Hilfefunktion für eine Managementkonsole erreichen Sie über das jeweilige Kontextmenü (oder mit Druck auf F1). Dabei enthält die Online-Hilfedatei neben der allgemeinen Beschreibung der Bedienung einer Managementkonsole auch die speziellen Hilfethemen zu dem speziellen Snap-In, wenn der Hersteller desselben damit einen Hilfetext verbunden hat.
10.2.3 Browser-Unterstützung Die Managementkonsole selbst kann nicht aus einem Internet-Browser Web-based heraus aufgerufen werden. Dazu dienen andere Technologien wie das Enterprise Web-based Enterprise Management (WBEM). Allerdings können Management Snap-Ins so erstellt werden, dass diese auch über einen Browser zu steuern sind. Die standardmäßig mit Windows 2000 gelieferten SnapIns sind leider nicht fähig, über einen Browser zu laufen. Microsoft begründet dies damit, dass die heutigen Browser noch nicht die Fülle an Funktionen bereitstellen kann, die die Managementkonsole für die Administration mitbringt.
362
10 Die Managementkonsole (MMC) Da doch aber die Snap-Ins die eigentliche Funktionalität mitbringen, erscheint dieses Argument den Autoren nicht ganz schlüssig und soll, so scheint es, vielmehr wieder ausschließlich eine von Microsoft bestimmte Sicht auf die Dinge, hier bezüglich der Administration von Computern, etablieren.
10.2.4 Weiterführende Informationen zur Managementkonsole Im Internet hat Microsoft ein umfassendes Informationsangebot zu seiner Managementkonsolen-Technologie: •
www.microsoft.com/management/MMC/
Hier finden sich umfassende Informationen sowohl für Anwender und Entwickler als auch für Administratoren. In der SNAP-IN GALLERY stehen Ihnen Infos und Downloads von Snap-Ins für die Managementkonsole zur Auswahl bereit. Microsoft ist bestrebt, hier auch externen Softwareentwicklern für die Windows 2000/NT-Plattform ein Forum geben, die eigenen Verwaltungs-Snap-Ins zum Download anzubieten. Damit soll sich die Managementkonsole als StandardKonfigurationswerkzeug in der gesamten Windows-Welt etablieren.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung« In Windows 2000 sind eine Reihe von Managementkonsolen bereits vorkonfiguriert, mit denen Sie die wichtigsten Administrationsaufgaben erledigen können. Sie finden diese in SYSTEMSTEUERUNG | VERWALTUNG. Diese Auswahl ist keinesfalls vollständig. Windows 2000 wird mit viel mehr Werkzeugen und Konsolen geliefert, als in der Systemsteuerung zu sehen ist. Wenn Sie an anderen Stellen im Buch Hinweise auf die Installation von solchen Snap-Ins finden, ist dies normal – diese Komponenten werden bei der Standardinstallation nicht automatisch verfügbar sein.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
363 Abbildung 10.4: Werkzeuge der Verwaltung
Wie Sie sehen können, sind diese Bestandteile der VERWALTUNG nur Verknüpfungen; im Falle der Managementkonsolen Verweise auf Konfigurationsdateien (mit der Endung MSC). In der folgenden Tabelle sehen Sie die Komponenten der VERWALTUNG in einer Übersicht, welche Managementkonsolen darstellen:
Managementkonsole Komponentendienste
Tabelle 10.1: ManagementkonDient der Konfiguration der Dienste, die die solen der COM- und COM+-Komponenten für die VERWALTUNG
Beschreibung
gemeinsame Nutzung auf einem Server bereitstellen; vor allem für Programmierer wichtig Computerverwaltung
Funktionen für die Verwaltung des Computers wie Systemtools (Ereignisanzeige, Protokolle, Gerätemanager), Konfiguration und Wartung der Massenspeicher und die Betriebssystem-Dienste
Dienste
Allein für die Konfiguration der Betriebssystem-Dienste; auch enthalten in der MMC COMPUTERVERWALTUNG
Ereignisanzeige
Eine MMC ausschließlich mit dem Snap-In EREIGNISANZEIGE, auch in der MMC COMPUTERVERWALTUNG enthalten
364
10 Die Managementkonsole (MMC) Managementkonsole
Beschreibung
Lokale Sicherheitsrichtlinie MMC für die individuelle Anpassung der lokalen Sicherheitsrichtlinien für den Computer; wichtig ist bei einem Netzwerkeinsatz nur zu beachten, dass diese durch die Sicherheitsrichtlinien der übergeordneten Domäne wieder aufgehoben werden können. Systemmonitor
Eine MMC mit den Snap-Ins SYSTEMMONITOR und die LEISTUNGSDATENPROTOKOLLE; können Aufschluss über die Ressourcenauslastung und die Optimierung der Rechnerperformance geben
Leider hat Microsoft das MMC-Konzept nicht bis zum Ende durchgehalten, so sind die Konfiguration der ODBC (Open Database Connectivity) und des Telnet-Servers aus unerfindlichen Gründen als eigenständige Applikationen umgesetzt, dazu im Falle des Telnet-Servers auch noch mit einer anachronistisch anmutenden zeichenorientierten DOS-Oberfläche. Bei ODBC ist zumindest zu vermuten, dass sich die Implementierung als Snap-In wegen der Ablösung des Datenbankzugriffes durch OLE-DB nicht mehr lohnt. Abbildung 10.5: TelnetserverVerwaltung und ODBC aus »Verwaltung« der Systemsteuerung
Wie Sie eigene Managementkonsolen einrichten oder bestehende verändern können, ist Inhalt des folgenden Abschnitts.
10.3.1 Benutzerspezifische Managementkonsolen Die vorkonfigurierten Managementkonsolen (siehe vorigen Abschnitt) decken nur einen begrenzten Teil der Administrationsaufgaben ab.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
365
Windows 2000 bietet die Möglichkeit, eigene Konsolen anzulegen und mit den Funktionen zu versehen, die auch wirklich benötigt werden.
Eine eigene Managementkonsole anlegen Um eigene Managementkonsolen zusammenzustellen, können Sie folgendermaßen vorgehen: Starten Sie eine leere Managementkonsole, indem Sie über START |AUSFÜHREN das Programm MMC ausführen. Über SNAP-IN HINZUFÜGEN/ENTFERNEN des Hauptmenüpunkts KONSOLE können Sie aus den verfügbaren Snap-Ins das gewünschte aussuchen. Abbildung 10.6: Leere Managementkonsole
Im dann folgenden Dialogfenster erreichen Sie über HINZUFÜGEN die Liste der verfügbaren Snap-Ins. Für das folgende Beispiel wird eine Managementkonsole mit dem Snap-In COMPUTERVERWALTUNG angelegt und individuell eingerichtet.
366
10 Die Managementkonsole (MMC)
Abbildung 10.7: Die verfügbaren SnapIns
Wählen Sie aus der Liste das gewünschte Snap-In, für unser Beispiel COMPUTERVERWALTUNG, aus. Viele Snap-Ins für die Administration bieten die Funktionalität, auch entfernte Arbeitsstationen mit Windows 2000 zu verwalten. Sie werden dazu nach Auswahl eines SnapIns aufgefordert, den zu verwaltenden Computer anzugeben. Abbildung 10.8: Auswahl zur Verwaltung eines lokalen oder entfernten Computers
Remote Administration möglich
Für eine Reihe von Snap-Ins können Sie diese Zuordnung zum lokalen oder einem entfernten Computer auch innerhalb der Managementkonsole jederzeit ändern, allerdings nicht bei allen. Großer Vorteil dieser Technologie ist, dass Sie so ein Netzwerk von Windows 2000Arbeitsstationen remote administrieren können
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
367
Im Fenster für die Konfiguration der zu dieser Managementkonsole gehörenden Snap-Ins können Sie für bestimmte Snap-Ins noch weitere Konfigurationen vornehmen. Snap-Ins können aus mehr als einer Komponente bestehen. Diese werden dann im Fenster unter ERWEITERUNGEN aufgeführt. Abbildung 10.9: Erweiterungen des Snap-Ins Computerverwaltung
Erweiterungen benötigen zum Funktionieren ein zugehöriges Basis- Erweiterungen von Snap-In oder stellen selbst ein eigenständiges Snap-In dar. In unserem Snap-Ins Beispiel enthält die COMPUTERVERWALTUNG mehrere eigenständige Snap-Ins wie das DEFRAGMENTIERUNGSPROGRAMM oder LOKALE BENUTZER UND GRUPPEN. Durch das Konzept der Erweiterbarkeit können auch Dritthersteller Erweiterbarkeit von Hard- bzw. Software für Windows 2000 ihre Erweiterungen für durch existierende Snap-Ins liefern und diese so mit den benötigten Funktio- Dritthersteller nen versehen. In diesem Beispiel wird das Defragmentierungsprogramm deaktiviert, um vielleicht dem Programm eines anderen Herstellers den Vorzug zu geben. Die so konfigurierte Managementkonsole präsentiert sich zunächst wie in der folgenden Abbildung dargestellt:
368
10 Die Managementkonsole (MMC)
Abbildung 10.10: Die erstellte Managementkonsole
Im linken Bereich sehen Sie die Baumstruktur der eingebundenen Snap-Ins, ausgehend vom Konsolenstamm, in unserem Fall die COMPUTERVERWALTUNG mit all ihren Komponenten (allerdings jetzt ohne das Defragmentierungsprogramm). Im rechten Teil werden die Objekte der gerade aktivierten Komponente eingeblendet. Es ist ratsam, Managementkonsolen mit nicht zu vielen Snap-Ins zu versehen, da sonst die Übersichtlichkeit stark leiden kann. Vereinfachen können Sie den Zugriff für komplexere Managementkonsolen dennoch mit zwei Mitteln: Favoriten
•
Favoriten Häufig benutzte Komponenten fügen Sie einfach über das Kontextmenü zu den Favoriten hinzu, so haben Sie diese ähnlich wie mit den Favoriten im Internet-Explorer immer im schnellen Zugriff.
Taskpadansichten
•
Taskpadansichten Mit den Taskpadansichten können Sie wichtige Komponenten oder andere Tasks über einfache grafische Symbole verfügbar machen.
Wie Sie das Aussehen einer Managementkonsole noch weiter beeinflussen können, welche Menüeinträge sichtbar sein sollen oder ob die Konsolenstruktur überhaupt angezeigt wird, ist Inhalt des nächsten Abschnitts.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
369
Erstellen von Taskpadansichten Taskpadansichten lassen sich für die Managementkonsolen recht einfach mit Hilfe von Assistenten einrichten. Am Beispiel der im vorangegangenen Abschnitt erstellten Managementkonsole soll für die Komponente BENUTZER eine Taskpadansicht erstellt werden, die die folgenden Funktionen zur einfachen Benutzerverwaltung enthält: •
Neuen Benutzer anlegen
•
Benutzer löschen
•
Kennwort ändern
Aktivieren Sie in der Konsolenstruktur im linken Teil der MMC die Komponente BENUTZER und klicken Sie im Kontextmenü, welches sich mit der rechten Maustaste öffnen lässt, auf NEUE TASKPADANSICHT. Daraufhin startet ein hilfreicher Assistent, der Sie bei der Erstellung der Taskpadansicht unterstützt. Nach dem obligatorischen Willkommen-Fenster gelangen Sie in ein erstes Konfigurationsfenster: Abbildung 10.11: Definieren der Taskpadanzeige
Hier bestimmen Sie zunächst das grundsätzliche Aussehen der Taskpadansicht. Die zu setzenden Optionen haben dabei die folgende Bedeutung: •
Format für Detailfenster Sollen die einzelnen Komponenten des betreffenden Snap-Ins (in Listenform) angezeigt werden, so können Sie zwischen einer vertikalen oder horizontalen Anordnung der Liste auswählen. Die
Format für Detailfenster
370
10 Die Managementkonsole (MMC) Ausdehnung der Liste in der Ansicht lässt sich dabei über das Auswahlmenü LISTENGRÖßE einstellen. Möchten Sie hingegen in der Taskpadansicht ausschließlich mit selbst definierten Symbolen den Zugriff auf bestimmte Funktionen (»Tasks«) definieren, wählen Sie KEINE LISTE aus.
Format für Taskbeschreibung
•
Format für Taskbeschreibung Hierbei können Sie bestimmen, wie die Taskbeschreibungen, wenn Sie welche angelegt haben, angezeigt werden sollen. Eine elegante Variante stellt INFOTIPP dar, da dann der Beschreibungstext automatisch über dem Symbol eingeblendet wird, wenn die Maus darüber verharrt. Wählen Sie TEXT, wenn die Beschreibung neben dem Symbol fest angezeigt werden soll.
Nach dem Definieren des grundsätzlichen Aussehens der Taskpadansicht bestimmen Sie, wieweit diese in Ihrer Managementkonsole verwendet werden soll: Abbildung 10.12: Taskpadziel bestimmen
Sie können in diesem Auswahlfenster festlegen, ob Ihre Taskpadansicht nur auf das ausgewählte Strukturelement oder auf alle desselben Typs angewendet werden soll. Haben Sie beispielsweise in Ihrer Managementkonsole mehrmals eine bestimmte Komponente verwendet, für die Sie in dieser eine Taskpadansicht entworfen haben, würde diese Ansicht automatisch immer wieder für diese Komponente angezeigt werden. Gleichzeitig können Sie in diesem Fenster einstellen, dass diese definierte Taskpadansicht generell als Standardanzeige verwendet werden soll, wenn die Komponente ausgewählt wird.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
371
Jetzt fehlen in Ihrer Taskpadansicht nur noch die Tasks. Sie werden dazu beim Erstellen einer neuen Ansicht vom Assistenten gleich weiter geführt. Abbildung 10.13: Auswahl des Befehlstyps für den neuen Task
Es gibt drei Befehlstypen für Tasks: •
Menübefehl
Menübefehl
Sie können einen Task definieren, der einen Menübefehl abbildet. Dabei können Sie einen Befehl aus dem Kontextmenü zu einem Element der Detailansicht (hier zum Kontextmenü eines Benutzers, wie KENNWORT FESTLEGEN) oder zur ganzen Komponente (hier zur Komponente BENUTZER; beispielsweise NEUER BENUTZER) auswählen. •
Shellbefehl
Shellbefehl
Es lassen sich auch Aufrufe von externen Programmen in Ihre Taskpadansicht einsetzen. So können Sie bestimmte Funktionen in Ihre Managementkonsole integrieren, die Sie allein durch das Snap-In und seine Erweiterungen vielleicht nicht realisieren könnten. •
Navigation Für den schnelleren Zugriff auf häufig benötigte Funktionen können Sie diese in die Liste der Favoriten aufnehmen. Mit einem Navigationstask lässt sich ein Favorit direkt in Ihre Ansicht einsetzen.
Navigation
372
10 Die Managementkonsole (MMC) Für das Beispiel, für das der Task NEUER BENUTZER benötigt wird, setzen Sie mit der Definition eines Tasks als MENÜBEFEHL fort.
Abbildung 10.14 Kontextmenübefehl für einen Task auswählen
Als Befehlsquelle wird dabei STRUKTURELEMENTTASK benötigt, da sich dieser Menübefehl auf die Komponente BENUTZER bezieht (und nicht auf den einzelnen Benutzer). Haben Sie hier den Befehl NEUER BENUTZER ausgewählt, geht es mit WEITER zur Auswahl eines geeigneten grafischen Symbols für diesen Task. Leider sind die von Microsoft hier angebotenen Symbole nur schwarz-weiß verfügbar und bislang nicht erweiterbar.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
373 Abbildung 10.15 Grafische Symbole für Tasks
Jetzt haben Sie eine Taskpadansicht, die die Benutzer in einer Liste zur Auswahl anzeigt und über einen Task verfügt, mit dem Sie einen neuen Benutzer hinzufügen können. Weitere Tasks können Sie hinzufügen, wenn Sie über das Kontextmenü zu BENUTZER den Menüpunkt TASKPADANSICHT BEARBEITEN gehen. TASKPADANSICHT BEARBEITEN ist nur dann verfügbar, wenn für die betreffende Komponente die Taskpadansicht sichtbar ist. Ist nur die normale Strukturansicht im Vordergrund, können nur neue Taskpadansichten definiert werden. Wenn Sie nun auf die gleiche Weise noch die zwei fehlenden Tasks KENNWORT ÄNDERN und LÖSCHEN hinzufügen, beachten Sie, dass Sie bei der Auswahl des Kontextmenübefehls als Befehlsquelle Im DETAILFENSTER AUFLISTEN auswählen. Sie können für ein Element in einer Managementkonsole mehrere Taskpadansichten definieren. Das Wechseln der Ansichten wird dann über die Navigationsregisterkarten ermöglicht.
374
10 Die Managementkonsole (MMC)
Abbildung 10.16: Die neue Taskpadansicht für BENUTZER
Möchten Sie diese Taskpadansicht als alleinige Ansicht für die Managementkonsole einrichten, können Sie folgendermaßen vorgehen:
Abbildung 10.17: Optionen für eine eingeschränkte Konsole
•
Öffnen Sie über das Kontextmenü zu BENUTZER ein NEUES FENSTER.
•
Schließen Sie das dahinter liegende Fenster, welches die komplette Managementkonsole enthält.
•
Nehmen Sie über KONSOLE | OPTIONEN die folgenden Einstellungen vor (siehe Abbildung 10.17):
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung« •
Vergrößern Sie das Fenster mit der Taskpadansicht auf die volle verfügbare Größe innerhalb der Konsole und blenden Sie die Konsolenstruktur auf der linken Seite aus.
•
Deaktivieren Sie über ANSICHT | ANPASSEN alle Ansichtsoptionen zu dieser Managementkonsole.
375
Detailliert werden die Ansichtsoptionen und Benutzermodi in den folgenden beiden Abschnitten erläutert. Speichern Sie über KONSOLE | SPEICHERN die Konsole unter einem eigenen Namen ab; als Standardverzeichnis wird Ihnen dabei das STARTMENÜ | PROGRAMME | VERWALTUNG angeboten (zu den Speicherorten für Managementkonsolen siehe auch Seite 382). Wenn Sie diese Managementkonsole aus dem Startmenü wieder aufrufen, erscheint diese nun nur noch mit Ihrer Taskpadansicht. Abbildung 10.18: Die neue Managementkonsole
Mit dieser Managementkonsole können nur noch die angezeigten Funktionen ausgeführt werden, um neue Benutzer anzulegen, Kennwörter zu ändern oder Benutzer zu löschen. Voraussetzung dazu ist natürlich, dass der Benutzer dieser Konsole die erforderlichen Rechte dazu hat. Ein normaler Benutzer kann auch mit dieser Konsole lediglich sein eigenes Kennwort ändern. Dieses Beispiel soll aber zeigen, wie Sie eigene Managementkonsolen mit Hilfe der Taskpadansichten zu übersichtlichen, spezifischen Werkzeugen verwandeln können.
376
10 Die Managementkonsole (MMC) Taskpadansichten miteinander verknüpfen Wollen Sie mehrere Taskpadansichten miteinander verknüpfen, also eine Managementkonsole anlegen, die dem Benutzer ausschließlich die Bedienung über Taskpadansichten erlaubt, gehen Sie folgendermaßen vor: 1. Erstellen Sie zuerst für jedes betreffende Strukturelement eine eigene Taskpadansicht mit allen erforderlichen Tasks. Die Taskpadansicht muss dabei als Standardansicht für das Strukturelement eingerichtet sein. 2. Fügen Sie diese Taskpadansichten zu den Favoriten hinzu. Achten Sie dabei darauf, dass die Taskpadansicht aktiv ist (und nicht die normale Strukturansicht). 3. Erstellen Sie nun eine Start-Taskpadansicht für Ihre Konsole. Dies sollte das Wurzel-Strukturelement Ihrer Konsole sein. In diese Startansicht sollten Sie keine Liste für das Detailfenster anlegen, sondern nur Navigationstasks zu den angelegten Favoriten. Über diese Tasks kommen Sie dann direkt in die Taskpadansichten der anderen Strukturelemente. 4. Sie benötigen jetzt noch einen ZURÜCK-Task für die Strukturelemente-Ansichten, um damit immer wieder in das Startfenster zurück zu kommen. Dazu fügen Sie die Startansicht zu den Favoriten hinzu und erstellen in jeder untergeordneten Ansicht einen Navigationstask, den Sie ZURÜCK nennen können. Benutzen Sie als Navigationstasks die Favoriten, die Sie aus den Taskpadansichten generiert haben, nicht die der Strukturelemente selbst. Beachten Sie das nicht, wird der Verweis immer wieder in der normalen Ansicht landen, anstatt die Taskpadansicht aufzurufen, auch wenn Sie zuvor die Taskpads als Standardansichten definiert haben.
Anpassen von Managementkonsolen-Ansichten Das Aussehen der Managementkonsole können Sie weiter beeinflussen, indem Sie im Hauptmenü ANSICHT | ANPASSEN auswählen. Sie erhalten ein Fenster mit einer Auflistung der Ansichts-Optionen für das Erscheinungsbild der Managementkonsole.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
377 Abbildung 10.19: Ansicht einer MMC anpassen
Das Verhalten der einzelnen Optionen können Sie sehr gut erkennen, da die im Hintergrund geöffnete Managementkonsole gleich auf die Änderungen reagiert. In der folgenden Abbildung sehen Sie die einzelnen Bestandteile der Bedienoberfläche einer Konsole im Überblick. Abbildung 10.20: Die Ansichtsobjekte einer MMC
Im Bereich MMC des Optionsfensters ANSICHT ANPASSEN bestimmen Sie das Aussehen der Managementkonsole selbst, das heißt des äußeren Rahmens, in den die Snap-Ins eingebettet sind (siehe Abbildung 10.20):
378 Konsolenstruktur
10 Die Managementkonsole (MMC) •
Konsolenstruktur Diese Option bestimmt, ob im linken Teil des Konsolenfensters die Konsolenstruktur angezeigt wird. Ist diese Option deaktiviert, bleiben hier nur die Favoriten, wenn angelegt, sichtbar.
Standardmenüs
•
Standardmenüs (Vorgang und Ansicht) Mit dieser Option lassen sich die beiden Standardmenüeinträge VORGANG und ANSICHT ausblenden.
Standardsymbolleiste
•
Standardsymbolleiste Die Standardsymbolleiste dient zum Navigieren und dem schnellen Aufruf von Funktionen zur aktivierten Komponente der Managementkonsole. Diese Funktionen lassen sich über die folgenden Symbole aufrufen: Orientierungspfeile – dienen zum Vorwärts- und Rückwärtsblättern zwischen schon einmal aufgerufenen Seiten bzw. Ansichten Geht in der Verzeichnis- bzw. Baumstruktur der Komponenten eine Ebene höher Blendet in der Fensteransicht die Strukturansicht (mit Favoritenliste) ein- oder aus Öffnet die Eigenschaften der ausgewählten Komponente Druckt die Ausgabe der betreffenden Komponente aus Aktualisiert die Ansicht, beispielsweise wichtig, um die Ausgaben des Ereignisprotokolls aufzufrischen Exportiert die Liste der Komponenten, die in der aktuellen Ansicht sichtbar sind Ruft die Hilfefunktion auf; ggf. mit Auswahl des entsprechenden Hilfetextes zur ausgewählten Komponente
Statusleiste
•
Statusleiste In dieser Leiste erscheinen Meldungen der Konsole zum Programmablauf, beispielsweise wenn Komponenten längere Auswertungen ausführen.
Beschreibungsleiste
•
TaskpadNavigationsregisterkarten
•
Beschreibungsleiste Es werden hier Hinweise gegeben, welche Komponente gerade aktiv ist; insbesondere dann wichtig, wenn die Struktur der Komponenten rechts ausgeblendet ist. Taskpad-Navigationsregisterkarten Diese Register dienen der Umschaltung der Ansichten im rechten Fensterbereich, wenn mehrere definiert worden sind, beispielsweise mit Hilfe der Taskpadansichten.
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
379
Im SNAP-IN-Bereich des Optionsfensters ANSICHT ANPASSEN definieren Sie zwei Ansichtsoptionen für das Verhalten der Snap-Ins in der Managementkonsole: •
Menüs
Menüs
Snap-Ins können eigene Menüerweiterungen mitbringen, die dann neben den Standardmenüs VORGANG und ANSICHT erscheinen. Wird diese Option deaktiviert, werden diese Menüs nicht eingeblendet. •
Symbolleisten
Symbolleisten
Wie schon bei den Erweiterungen für Menüs können Snap-Ins auch ihre eigenen Symbole mitbringen, die dann neben oder unter der Standardsymbolleiste sichtbar werden. Deaktivieren Sie diese Option, wenn sich diese nicht zeigen sollen. Umfangreiche Detailansichten von Strukturelementen als Liste im rechten Teil der Managementkonsole können Sie ebenfalls in ihrem Darstellungsumfang beeinflussen. So gewinnen Detailansichten an Übersichtlichkeit, wenn nur die Spalten angezeigt werden, die Sie für den konkreten Zusammenhang als wichtig erachten. Über ANSICHT | SPALTEN wählen erhalten Sie ein Auswahlfenster, mit dem Sie die gewünschten Spalten der Anzeige beeinflussen können. Abbildung 10.21 Spaltenanzeige beeinflussen
ENTFERNEN Sie einfach alle in dieser Ansicht nicht benötigten Spalten. Diese erscheinen dann im linken Bereich unter AUSGEBLENDETE SPALTEN. Die Reihenfolge der Spalten können Sie im übrigen auch leicht ändern, indem Sie im rechten Teil eine Spalte markieren und mit NACH OBEN und NACH UNTEN neu positionieren. Bestimmte Spalten lassen sich nicht verschieben oder entfernen, das hängt von der Programmierung des jeweiligen Snap-Ins ab.
380
10 Die Managementkonsole (MMC) Benutzermodi für Managementkonsolen Managementkonsolen, die Sie für den Zugriff durch normale Benutzer erstellen, möchten Sie natürlich auch absichern. Benutzer sollen schließlich nur die Werkzeuge in die Hand bekommen, die sie auch benötigen und beherrschen. Damit das gewährleistet werden kann, gibt es Zugriffsoptionen, die Sie für jede Konsole individuell einstellen können. Über das Hauptmenü KONSOLE | OPTIONEN erhalten Sie ein Auswahlfenster, mit dem Sie den beabsichtigten Benutzermodus für die Konsole einstellen können.
Abbildung 10.22: Auswahl des Konsolenmodus für eine MMC
Sie können für Ihre Managementkonsole einen der vier Modi für die Benutzung auswählen: Autorenmodus
•
Autorenmodus Dieser Modus ist der Standard für eine neue Konsole. Sie können, auch als Benutzer, beliebig Änderungen an der Konsole vornehmen, Snap-Ins hinzufügen oder löschen bzw. die Erweiterungen für Snap-Ins anpassen. Möchten Sie angepasste Managementkonsolen Ihren Benutzern zur Verfügung stellen, sollten Sie diese auf keinen Fall im Autorenmodus belassen.
Benutzermodus – Vollzugriff
•
Benutzermodus – Vollzugriff In diesem Modus ist die Managementkonsole an sich geschützt. Benutzer können keine weiteren Snap-Ins aufnehmen oder vorhandene modifizieren bzw. löschen. Es ist aber erlaubt, für Komponenten andere Fensteransichten zu starten oder sich frei in allen
10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«
381
installierten Komponenten zu bewegen. Dieser Modus eignet sich für erfahrene Benutzer, denen Sie bestimmte Administrationsaufgaben vollständig übertragen haben. •
Benutzermodus – beschränkter Zugriff, mehrere Fenster
Benutzermodus – beschränkter Sie können für eine Komponente einer Managementkonsole ein Zugriff, mehrere weiteres Sichtfenster öffnen (über das Kontextmenü). Schließen Sie Fenster
jetzt alle weiteren Fenster außer das soeben erzeugte, stellen Sie mit diesem Benutzermodus sicher, dass der Anwender beim nächsten Öffnen der Konsole nur das zuletzt geöffnete sehen kann. Die anderen, übergeordneten Komponenten bleiben ihm verborgen. So können Sie gezielt Verwaltungsaufgaben für einen beschränkten Bereich, beispielsweise eines komplexen Snap-Ins wie die »Computerverwaltung«, an Benutzer übertragen bzw. diesen zugänglich machen. Der Benutzer kann jedoch noch weitere Fenster für die Komponenten öffnen, die Sie ihm zugeteilt haben. •
Benutzermodus – beschränkter Zugriff, Einzelfenster
Benutzermodus – beschränkter Dieser Modus einer Managementkonsole bietet die meiste Absi- Zugriff, cherung vor Veränderungen durch den Benutzer. Es bleibt nur ge- Einzelfenster
nau das Fenster sichtbar, welches beim Abspeichern sichtbar bzw. bei mehreren Fenstern der Konsole aktiv war. Weitere Fenster für eine Komponente können benutzerseitig nicht erzeugt werden. Für die drei Benutzermodi können Sie noch weitere Einstellungen vornehmen: •
Kontextmenüs auf Taskpads dieser Konsole aktivieren Kontextmenüs für Komponenten erhalten Sie mit Druck auf die rechte Maustaste. Wenn Sie nicht wünschen, dass diese in der Taskpadansicht aufgerufen werden können, deaktivieren Sie diese Option.
•
Änderungen für diese Konsole nicht speichern Falls die betreffende Managementkonsole immer im gleichen Erscheinungsbild sichtbar sein soll, aktivieren Sie diese Option. Damit werden Änderungen, die ein Benutzer der Konsole vornimmt, beim Schließen der Konsole nicht gespeichert.
•
Anpassen von Ansichten durch Benutzer zulassen Deaktivieren Sie diese Option, wenn es dem Benutzer nicht erlaubt werden soll, das Aussehen der Managementkonsole zu beeinflussen.
Wenn Sie die Konsole abspeichern und das nächste Mal aufrufen, dann sehen Sie diese nur noch im eingestellten Modus, auch wenn Sie als Administrator angemeldet sind. Möchten Sie nachträglich Ände-
382
10 Die Managementkonsole (MMC) rungen an der Konsole vornehmen, öffnen sie diese einfach wieder mit dem folgenden Aufruf von der Eingabeaufforderung: mmc /a Sie können auch zuerst nur MMC / A starten und über das Hauptmenü KONSOLE | ÖFFNEN die gewünschte Konfigurationsdatei laden.
10.3.2 Abspeichern der Managementkonsolen – Speicherorte Wenn Sie die individuell konfigurierte Managementkonsole abspeichern, wird als Standard das Verzeichnis STARTMENÜ / PROGRAMME / VERWALTUNG des aktuellen Benutzers angeboten. Dort befinden sich auch die Verweise zu den vorkonfigurierten Managementkonsolen (siehe auch Abschnitt 10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung« ab Seite 362), die Sie, wenn nötig, durch Ihre eigenen ersetzen können. Managementkonsolen für andere Benutzer anlegen
Wenn Sie als Administrator Managementkonsolen für andere Benutzer anlegen, müssen Sie diese auch in deren persönlichen Startmenüs unterbringen. Die Startmenüs befinden sich unter \DOKUMENTE UND EINSTELLUNGEN des entsprechenden Laufwerks in den folgenden Verzeichnissen: •
ALL USERS\STARTMENÜ Das Startmenü, welches die Standardeinträge für alle Benutzer enthält. Alle Programme und Managementkonsolen, die auch wirklich allen Benutzern zur Verfügung stehen sollen, können Sie hier unterbringen. Managementkonsolen werden dabei üblicherweise im Startmenü unter PROGRAMME\VERWALTUNG abgelegt.
•
ADMINISTRATOR\STARTMENÜ Das Startmenü des Administrators. Es empfiehlt sich, hier alle für das System relevanten Werkzeuge unterzubringen. Über die Eigenschaft des Startmenüs, mit gedrückter Umschalttaste und Klick auf die rechte Maustaste ein Programm mit einer anderen Benutzerkennung aufzurufen, können Sie aber auch Verwaltungswerkzeuge vom Arbeitsplatz eines normalen Nutzers aus dessen Startmenü benutzen.
•
\STARTMENÜ Das individuelle Startmenü des Benutzers . Bringen Sie hier unter PROGRAMME\VERWALTUNG die Managementkonsolen unter, die dieser Benutzer allein benötigt.
10.4 Wichtige Snap-Ins
383
10.4 Wichtige Snap-Ins Hier werden Ihnen die wichtigsten Snap-Ins für die Verwaltung vorgestellt, die in der Professional-Version von Windows 2000 enthalten sind. Die Server-Varianten bringen noch eine Reihe zusätzlicher SnapIns mit, die in diesem Band nicht Gegenstand der Betrachtung sind.
10.4.1 Snap-Ins für die remote Verwaltung Eine ganze Reihe der Snap-Ins können Sie auch für die Verwaltung eines entfernten Computers einsetzen. Gehen Sie dabei über das Menü VORGANG der Managementkonsole oder das Kontextmenü zum jeweiligen Snap-In und wählen den Punkt VERBINDUNG ZU ANDEREM COMPUTER HERSTELLEN. Abbildung 10.23 Verbindung zu anderem Computer herstellen
Wählen Sie hier einen Computer aus, der im Netzwerk erreichbar sein muss (im lokalen Netzwerk oder über eine Fernverbindung). Nicht alle Snap-Ins lassen sich mit ihrer vollen Funktionalität für einen entfernten Computer einsetzen. Bestimmte Funktionen, beispielsweise Änderungen an der Hardwarekonfiguration, lassen sich nur lokal vornehmen.
10.4.2 Computerverwaltung Dieses Snap-In enthält die wichtigsten Komponenten, mit denen Sie Windows 2000 Professional konfigurieren können. Dieses Snap-In besteht selbst aus einer ganzen Reihe von Snap-Ins und zusätzlichen Erweiterungen. Die Komponenten werden hier vorgestellt; die genaue Beschreibung eines Snap-Ins finden Sie dann in dessen separatem Abschnitt weiter unten.
384
10 Die Managementkonsole (MMC) Mit der EREIGNISANZEIGE, den SYSTEMINFORMATIONEN und den LEISTUNGSPROTOKOLLEN verfügen Sie über ausgefeilte und umfassende Werkzeuge, mit denen Sie das Leistungsverhalten und das Zusammenspiel der vielfältigen Hard- und Softwarekomponenten des gesamten Systems kontrollieren können. Über FREIGEGEBENE ORDNER sehen Sie, welche Freigaben zurzeit aktiv sind und wer welche Dateien im Zugriff hat. Sie können hier auch neue Freigaben einrichten und bestehende verändern oder löschen. Im GERÄTE-MANAGER finden Sie alle installierten Hardwarekomponenten des Systems und können diese hier verwalten (beispielsweise neue Treiber für ein Gerät installieren). LOKALE BENUTZER UND GRUPPEN erlaubt die Verwaltung von Benutzerund Gruppenkonten. Die Komponente DATENSPEICHER beinhaltet alle wichtigen Werkzeuge für das Konfigurieren und Warten von Fest- und Wechselspeichermedien wie Funktionen zum Partitionieren und Formatieren oder das Organisieren von Datenbeständen auf externen Datenträgern. In DIENSTE UND ANWENDUNGEN sehen Sie unter anderem die Dienstesteuerung, die unter Windows NT noch als alleinige Anwendung in der Systemsteuerung integriert war. Das Snap-In COMPUTERVERWALTUNG finden Sie auch in der gleichnamigen vorgefertigten Managementkonsole unter START | PROGRAMME | VERWALTUNG, die lediglich aus diesem Snap-In besteht.
10.4.3 Datenträgerverwaltung Die Datenträgerverwaltung ersetzt den alten Festplattenmanager von Windows NT. Dieses Dienstprogramm wurde von der Firma VERITAS Software Corporation (www.veritas.com) hergestellt und in Windows 2000 integriert. Hier finden Sie auch die Konfigurationsmöglichkeiten für die neuen Features von Windows 2000 wie beispielsweise logische und dynamische Laufwerke. Ein weiteres Merkmal dieses neuen Dienstprogramms ist, dass Sie nach den meisten Änderungen an den Datenträgern Ihres Systems dieses nicht mehr neu starten müssen, wie es oft noch unter NT erforderlich war. Dazu kommt, dass Sie jetzt auch entfernte Computer über dieses Tool administrieren können. Eine ausführliche Beschreibung aller notwendigen administrativen Werkzeuge zum Thema Massenspeicher, deren Bestandteil auch die Datenträgerverwaltung ist, finden Sie ab Seite 387.
10.4 Wichtige Snap-Ins
10.4.4 Ereignisanzeige Die Ereignisanzeige können Sie als Snap-In für Ihren lokalen Computer oder für einen im Netzwerk befindlichen einbinden, auf dem Windows 2000 (auch als Server-Version) läuft. Die Meldungen zu Systemereignissen werden in die folgenden Kategorien eingeteilt: •
Anwendungsprotokoll Hier werden Meldungen aufgezeichnet, die von Anwendungsprogrammen ausgegeben werden. Das können beispielsweise Meldungen zu bestimmten Problemen sein, die Anwendungen haben oder es werden erfolgreich abgeschlossene Installations- oder Deinstallationsvorgänge protokolliert. Was alles aufgezeichnet wird, bestimmt der Entwickler der Anwendungssoftware. Das Anwendungsprotokoll kann durch jeden normalen Benutzer eingesehen werden. Die Ereignisse löschen kann jedoch ausschließlich der Administrator (oder ein autorisierter Benutzer).
•
Systemprotokoll Im Systemprotokoll finden Sie alle Meldungen, die WindowsKomponenten, wie beispielsweise Gerätetreiber und Dienstprogramme, ausgeben. Sie finden hier auch Informationen, die die Systemsicherheit betreffen können. So wird aufgezeichnet, wann der Ereignisprotokolldienst gestartet oder beendet worden ist (wann also im Normalfall der Computer hoch- beziehungsweise heruntergefahren wurde) oder wann welcher Benutzer wie lange eine Verbindung mit dem Internet über eine Fernverbindung hatte. Auch dieses Protokoll kann normalerweise durch jeden Benutzer eingesehen werden, das Löschen von Einträgen ist jedoch nur dem Administrator oder einem autorisierten Benutzer vorbehalten.
•
Sicherheit In diesem Protokoll werden sicherheitsrelevante Ereignisse aufgezeichnet, die Sie nur als Administrator (oder autorisierter Benutzer) einsehen können. Sie können beispielsweise ungültige Anmeldeversuche oder bestimmte Ressourcennutzungen zurückverfolgen.
Die Meldungen für alle Protokollarten werden eingeteilt in: •
Informationen
•
Warnungen
•
Fehler
385
386
10 Die Managementkonsole (MMC) Als Administrator können Sie aus diesen Meldungen wertvolle Hinweise erhalten, wie Sie Ihr System optimal einrichten müssen. Eine ausführliche Beschreibung aller Funktionen der Ereignisanzeige finden Sie in Abschnitt 16.2 Ereignisanzeige ab Seite 715.
10.4 Wichtige Snap-Ins
387
Kapitel 11 Administration der Massenspeicher
11.1 Die Verwaltungswerkzeuge im Überblick.......389 11.2 Die Datenträgerverwaltung im Detail...............391 11.3 Basisfestplatten einrichten...................................396 11.4 Dynamische Festplatten einrichten....................404 11.5 Datenträger formatieren .......................................424 11.6 Umwandeln von FAT/FAT32 in NTFS ..............432 11.7 Datenträgerzugriff ändern ...................................435 11.8 Erweiterte NTFS-Attribute...................................442 11.9 NTFS-Zugriffsrechte einstellen ..........................453 11.10 Dateiattribute bei FAT und FAT32 ...................463 11.11 Weitere Eigenschaften von Datenträgern ........467 11.12 Indexdienst einrichten.........................................479
11.1 Die Verwaltungswerkzeuge im Überblick
11 Administration der Massenspeicher In diesem Kapitel wird detailliert die Einrichtung und Verwaltung von Festplatten unter Windows 2000 behandelt. Dabei werden die Administrationswerkzeuge vorgestellt und die einzelnen Schritte bei der Einrichtung von Festplatten praxisnah erläutert. Wichtig für das volle Verständnis dieser Administrationsfunktionen sind genaue Kenntnisse über die neue Datenträger-Technologie von Windows 2000 für Basisfestplatten und Dynamische Festplatten. Es empfiehlt sich, vor einer Einrichtung der Festplatten die Grundlagen im Kapitel 4 Massenspeicherverwaltung ab Seite 85 zu lesen. Die Erläuterung der Einrichtung und Verwaltung von Wechselmedien in sogenannten Medienpools, vor allem im Hinblick auf hierarchisches Speichermanagement und Streamer-Backup, ist vor allem für den Server-Einsatz relevant und wird in Band II behandelt.
11.1 Die Verwaltungswerkzeuge im Überblick Für die Verwaltung der Massenspeichersysteme wie Festplatten oder Wechseldatenträger sowie für Einrichtung und Wartung der logischen Datenträger bringt Windows 2000 eine Reihe von Systemwerkzeugen mit. Dabei können Sie den größten Teil der Aufgaben mit komfortablen grafischen Werkzeugen erledigen. Einige Tools gibt es auch als Kommandozeilenprogramme, die sich insbesondere für den Einsatz in Stapelverarbeitungsdateien eignen.
11.1.1 Grafische Verwaltungswerkzeuge Unter Windows 2000 sind die grafischen Verwaltungswerkzeuge für die Speichersysteme Ihres Computers wie Festplatten und Wechseldatenträger in der vorgefertigten Managementkonsole COMPUTERVERWALTUNG integriert (mehr zur Managementkonsole siehe Seite 355). Am einfachsten erreichen Sie die COMPUTERVERWALTUNG, indem Sie im Kontextmenü von ARBEITSPLATZ (über die rechte Maustaste) den Punkt VERWALTEN wählen. Sie können aber auch über das Startmenü PROGRAMME | VERWALTUNG | COMPUTERVERWALTUNG gehen. In der Computerverwaltung finden Sie in der Strukturansicht unter DATENSPEICHER eine Reihe wichtiger Snap-Ins, die Sie für die Administration der Speichermedien nutzen können:
389
390
11 Administration der Massenspeicher •
DATENTRÄGERVERWALTUNG Die Datenträgerverwaltung ist das zentrale Werkzeug für die Einrichtung und Wartung der physischen und logischen Datenträger.
•
DEFRAGMENTIERUNGSPROGRAMM Mit Hilfe dieses integrierten Programms des Herstellers Executive Software International Inc. können Sie Datenträger defragmentieren. Die Defragmentierung von Datenträgern wird in Abschnitt 5.3.4 Defragmentierungsverfahren und -strategien ab Seite 144 behandelt.
•
LOGISCHE LAUFWERKE Dieses Snap-In ermöglicht einen beschränkten Zugriff auf die definierten logischen Laufwerke. Sie können damit nur Datenträgerbezeichnungen und Sicherheitseinstellungen ändern.
•
WECHSELMEDIEN Unter Wechselmedien ist eine Reihe nützlicher Werkzeuge für die Verwaltung aller Arten von Wechselspeichermedien (wie Magnetbänder und optischer Speichermedien) und der dazugehörigen Hardwarekomponenten vereinigt.
11.1.2 Kommandozeilen-Tools Die folgende Tabelle enthält alle Kommandozeilen-Tools für die Verwaltung und Einrichtung von Datenträgern beziehungsweise für die Nutzung spezieller Funktionen des NTFS-Dateisystems. Nicht alle Tools sind nur für die Nutzung durch Administratoren bestimmt; allerdings werden die wenigsten normalen Benutzer sich mit Kommandozeilenoptionen herumschlagen wollen. Deshalb sind hier alle wichtigen Tools aufgeführt, die Sie unter Windows 2000 für Administrationsarbeiten auf Datenträgern nutzen können. Dazu gibt es für jedes Tool den Verweis auf die Seite, auf der dieses näher erläutert wird. Tabelle 11.1: KommandozeilenTools im Überblick und wo sie beschrieben werden
Seite
Name
Funktion
cacls.exe
Ändert Zugriffsberechtigungen von Dateien und Ordnern (NTFS)
461
chkdsk.exe
Dient der Fehlersuche und –behebung auf Datenträgern
472
cipher.exe
Ermöglicht die Ver- und Entschlüsselung von Dateien und Ordnern (NTFS)
451
11.2 Die Datenträgerverwaltung im Detail
391
Seite
Name
Funktion
compact.exe
Ermöglicht die Komprimierung und Dekomprimierung von Dateien und Ordnern (NTFS)
446
convert.exe
Konvertiert einen FAT-Datenträger zu NTFS
433
mountvol.exe
Ermöglicht die Erstellung und Löschung von Bereitstellungspunkten
440
11.2 Die Datenträgerverwaltung im Detail Das grafische Dienstprogramm DATENTRÄGERVERWALTUNG erlaubt Ihnen die Administration der Datenträger Ihres Computersystems oder eines Fremdsystems, welches über eine Netzwerk- oder DFÜVerbindung erreichbar ist. Die Anwendung ist als Managementkonsolen-Snap-In aufgebaut und ersetzt den alten Festplattenmanager von Windows NT.
11.2.1 Funktionsumfang der Datenträgerverwaltung Die folgenden Administrationsaufgaben können Sie mit Hilfe der Da- Direkt am tenträgerverwaltung auf einem Windows 2000 Professional-System Computer durchführen: •
Abruf von Informationen über alle physischen und logischen Datenträger
•
Neu einlesen der Datenträgerkonfiguration nach Entfernen oder Hinzunahme externer Geräte ohne Neustart
•
Überprüfung und Reparatur von Datenträgern
•
Einrichtung und Änderung von Sicherheitseinstellungen für den Zugriff auf Datenträger
•
Einrichtung und Löschung von Partitionen und logischen Laufwerken auf Basisfestplatten
•
Umwandlung von Basisfestplatten in dynamische Festplatten und umgekehrt
•
Erstellung, Erweiterung und Löschung von Einfachen Datenträgern auf dynamischen Festplatten
•
Erstellung, Erweiterung und Löschung von Übergreifenden Datenträgern auf dynamischen Festplatten
392
Remote auf dem Server
11 Administration der Massenspeicher •
Erstellung und Löschung von Stripesetdatenträgern auf dynamischen Festplatten
•
Löschung von unter Windows NT erstellten Datenträgersätzen, Stripe Sets und Mirror Sets
Sind Sie remote mit einem Windows 2000 Server verbunden, können Sie diese zusätzlichen Administrationsaufgaben, vorausgesetzt Sie haben die erforderlichen Administratorrechte, erledigen: •
Erstellung und Löschung von Spiegelsätzen auf dynamischen Festplatten des Servers
•
Erstellung und Löschung von RAID-5-Datenträgern auf dynamischen Festplatten des Servers
Diese Server-Administrationsaufgaben sind Inhalt des Bandes II und werden an dieser Stelle nicht näher betrachtet.
11.2.2 Aufbau der Benutzeroberfläche Die grafische Oberfläche der Datenträgerverwaltung erlaubt Ihnen eine sehr einfache Anwendung der vielfältigen Funktionen dieses Programms (siehe auch Kapitel 10 Die Managementkonsole ab Seite 355). Abbildung 11.1: Benutzeroberfläche der Datenträgerverwaltung
11.2 Die Datenträgerverwaltung im Detail
393
Im oberen Fensterteil werden standardmäßig die logischen Datenträ- Ansichten ger dargestellt, im unteren erscheint die grafische Ansicht der physi- einstellen schen Datenträger. Diese Anordnung können Sie aber frei nach Ihren Bedürfnissen verändern. Über ANSICHT | ANZEIGE OBEN und ANZEIGE UNTEN lassen sich die Fensterbereiche einrichten als: •
Liste der Festplatten
•
Liste der Datenträger
•
Grafische Ansicht
Die Größe der Anzeigenbereiche lassen sich einfach mit Hilfe der Maus einstellen. Der untere Bereich kann auch ganz ausgeblendet werden. Über ANSICHT | ALLE LAUFWERKPFADE sehen Sie die eingerichteten Laufwerkpfade Bereitstellungspunkte, auch Laufwerkpfade genannt, über die logische anzeigen Datenträger in einem anderen NTFS-formatierten Datenträger eingebunden sind (siehe auch Abschnitt 11.7 Datenträgerzugriff ändern ab Seite 435). Abbildung 11.2: Anzeige der Laufwerkpfade
Die grafische Ansicht eignet sich hervorragend zur Einrichtung und Grafische Ansicht Verwaltung der physischen und logischen Datenträger. Sie sehen hier anpassen auf einen Blick, welchen Typ die Festplatte hat und welche Arten von Datenträgern eingerichtet oder wo freie Bereiche verfügbar sind. Die grafische Ansicht können Sie über das Hauptmenü ANSICHT | EINSTELLUNGEN hinsichtlich der verwendeten Farben und grafischer Skalierung frei anpassen.
394
11 Administration der Massenspeicher
Abbildung 11.3: Ändern der Farben und Muster für die grafische Anzeige
Über dieses Auswahlmenü können Sie jedem Objekttyp auf einem Datenträger eine beliebige Farbe und ein Hintergrundmuster zuordnen. Abbildung 11.4: Ändern der Skalierungseigenschaften
Im Bereich SKALIERUNG beeinflussen Sie, wie die Größenverhältnisse der Festplatten und Datenträger untereinander dargestellt werden sollen:
11.2 Die Datenträgerverwaltung im Detail •
395
LOGARITHMISCHE SKALIERUNG Diese Skalierung erlaubt eine übersichtliche Darstellung der Größenverhältnisse auch bei sehr unterschiedlich großen Festplatten. Würden Sie beispielsweise eine 1 GB- und eine 36 GB-Festplatte in Ihrem System betreiben, wäre bei einer linearen Darstellung die kleinere kaum noch zu sehen.
•
LINEARE SKALIERUNG Bei der linearen Skalierung werden Festplatten und Datenträger stets in ihren tatsächlichen Größenverhältnissen zueinander dargestellt. Diese Einstellung empfiehlt sich, wenn die Festplatten beziehungsweise Datenträger in ihren Größen nicht zu sehr differieren.
•
GLEICHE GRÖßE Bei dieser Einstellung werden die Festplatten oder Datenträger unabhängig von ihren tatsächlichen Größenverhältnissen zueinander gleich groß dargestellt.
Alle Skalierungsoptionen können Sie unabhängig voneinander für Festplatten und Datenträger getrennt einstellen. So kann es beispielsweise Sinn machen, für die Festplattenanzeige die logarithmische Skalierung zu wählen. Für die Anzeige der Datenträger in dieser kann dann eine lineare Skalierung die Übersichtlichkeit verbessern. Die Funktionen für die Administration eines Objekts erreichen Sie ü- Objektfunktionen ber das entsprechende Kontextmenü (rechte Maustaste) oder über das Hauptmenü VORGANG | ALLE TASKS. Abbildung 11.5: Objektfunktionen über das Kontextmenü
Es werden nur die für den konkreten Kontext gültigen Funktionen angezeigt, nicht verfügbare Funktionen sind hellgrau dargestellt.
11.2.3 Datenträger aktualisieren und neu einlesen Haben Sie in ein Wechselplattenlaufwerk einen neuen Datenträger Aktualisieren eingelegt oder nur über den Auswurfknopf des Laufwerks entfernt, wird dies nicht sofort automatisch in der Datenträgerverwaltung be-
396
11 Administration der Massenspeicher rücksichtigt. Über das Hauptmenü VORGANG | AKTUALISIEREN lösen Sie manuell den Aktualisierungsvorgang der Software aus und die Liste der Datenträger entspricht wieder dem momentanen Stand.
Festplatten neu einlesen
Wird die Datenträgerkonfiguration während des Betriebes geändert, kommen beispielsweise externe SCSI-Datenträger hinzu oder werden entfernt, können Sie ohne Neustart die Datenträgerliste aktualisieren. Gehen Sie dazu im Hauptmenü auf VORGANG | FESTPLATTEN NEU EINLESEN. Dieser Vorgang führt neben der oben beschriebenen Aktualisierung auch ein Neueinlesen aller verfügbaren Bussysteme (SCSI, IDE etc.) durch und dauert dadurch etwas länger.
11.3 Basisfestplatten einrichten AdministratorRechte erforderlich
Basisfestplatten unter Windows 2000 entsprechen in Ihrem Aufbau den Festplatten in anderen Betriebssystemen. Sie können diese Festplatten in Partitionen und logische Laufwerke einteilen. Alle Konfigurationsarbeiten an Partitionen und logischen Laufwerken sind auf Administratoren oder Benutzer mit entsprechenden Rechten beschränkt. Ausführlich wird der Aufbau von Basisfestplatten und ihre Unterschiede zu den dynamischen Festplatten in Abschnitt 4.2 auf Seite 88 behandelt.
11.3.1 Partitionierungswerkzeuge fdisk format
Abbildung 11.6: Partitionieren mit Fdisk unter DOS und Windows 9x
Partitionen legen Sie unter MS-DOS oder Windows 95/98 mit dem Programm FDISK an, einem wenig komfortablen Werkzeug, das noch ohne grafische Oberfläche auskommen muss.
11.3 Basisfestplatten einrichten
397
Einer der größten Nachteile bei der Anwendung von FDISK ist, dass nach jeder Änderung an der Partitionstabelle ein Neustart erforderlich ist. Danach muss die neue Partition mit einem Dateisystem formatiert werden, entweder mit dem noch aus DOS-Zeiten bekannten Dienstprogramm FORMAT oder über den Explorer von Windows 9x. Mit Windows NT trat der Festplattenmanager auf den Plan. Dieser ist Der Festplattendank seiner grafischen Oberfläche nicht nur deutlich komfortabler zu manager bedienen, sondern umfasst neben der Partitionierung auch weitere Funktionen wie beispielsweise das Formatieren oder das Umbenennen der Laufwerksbuchstaben. Abbildung 11.7: Festplattenmanager von NT 4.0
Mit Hilfe des Festplattenmanagers von NT können Sie Partitionen und Logische Laufwerke in erweiterten Partitionen anlegen, ohne dass ein Neustart erforderlich wird. Möchten Sie allerdings Partitionsgruppen wie Datenträgersätze oder Stripe Sets einrichten, erfordert auch Windows NT einen Neustart.
398
11 Administration der Massenspeicher
Abbildung 11.8: Die Windows 2000Datenträgerverwaltung
Kein Neustart mehr Das hat sich unter Windows 2000 geändert. Sie können mit der Datenunter Windows trägerverwaltung, die als Snap-In für die Microsoft Management Kon2000! sole ausgeführt ist, Partitionen anlegen sowie Datenträgersätze auf
dynamischen Festplatten einrichten, ohne dass dazu ein Neustart notwendig wäre. Partitionen oder logische Laufwerke können unter Windows 2000 nur auf Basisfestplatten eingerichtet werden. Für die Anlage von Partitionen gelten, auch im Hinblick auf die Kompatibilität zu eventuell anderen parallel installierten Betriebssystemen, die folgenden Einschränkungen:
Kompatibilität zu MS-DOS uns Windows 9x
•
Sie können maximal 4 primäre Partitionen pro Festplatte anlegen. Wenn Sie noch mehr Teilbereiche benötigen, müssen Sie statt einer primären eine erweiterte Partition (statt 4 primäre dann 3 primäre und eine erweiterte) anlegen, in der Sie logische Laufwerke definieren können.
•
Wenn Sie eine Konfiguration benötigen, die auch kompatibel zu Windows 9x oder MS-DOS sein soll, dürfen Sie die Festplatte maximal in eine primäre und eine erweiterte Partition mit logischen Laufwerken aufteilen.
11.3.2 Anlegen von primären und erweiterten Partitionen Zum Anlegen einer Partition auf einem leeren Datenträger oder in einem freien Bereich wählen Sie im Kontextmenü dieses Datenträgers PARTITION ERSTELLEN.
11.3 Basisfestplatten einrichten
399 Abbildung 11.9: Kontextmenü einer leeren Basisfestplatte
Es wird der Assistent zum Erstellen von Partitionen gestartet, der Sie durch die Einrichtung führt. Abbildung 11.10: Assistent zum Erstellen von Partitionen
Wählen Sie hier aus, ob Sie eine primäre oder eine erweiterte Partition Partitionstyp erstellen wollen. In der folgenden Tabelle sehen Sie, wann Sie welchen wählen Partitionstyp einsetzen sollten:
Partitionstyp
Beschreibung / Einsatzzweck
Primäre Partition
Nicht weiter teilbare Einheit, in die Sie eine Festplatte gliedern können. Wollen Sie den gesamten Speicherplatz einer Festplatte am Stück nutzen, richten Sie eine primäre Partition ein. Nur eine primäre Partition kann im übrigen als Systempartition eingerichtet werden, von der ein Betriebssystem starten kann (siehe auch Seite 91).
Erweiterte Partition
In weitere logische Laufwerke teilbare Einheit auf einer Festplatte. Sie können theoretisch beliebig viele logische Laufwerke einrichten.
Nach Auswahl des Partitionstyps können Sie im nächsten Fenster bestimmen, wie viel Speicherplatz der Partition oder dem logischen Laufwerk zugeordnet werden soll.
Tabelle 11.2: Partitionstypen
400
11 Administration der Massenspeicher
Abbildung 11.11: Partitionsgröße festlegen
Teilen Sie die maximale Datenträgergröße zu, kann die Festplatte danach nicht weiter partitioniert werden. Nach der Einstellung der Datenträgergröße können Sie den Zugriff auf den neuen Datenträger festlegen. Abbildung 11.12: Laufwerkszugriff einstellen
Für den Zugriff auf einen Datenträger haben Sie unter Windows 2000 die folgenden zwei Möglichkeiten: Zugriff über Laufwerkbuchstaben
•
Laufwerkbuchstaben Die traditionelle Art, auf einen Datenträger zuzugreifen, stellen Laufwerkbuchstaben dar. Es sind alle 24 Buchstaben des engli-
11.3 Basisfestplatten einrichten
401
schen Alphabets erlaubt. Zwischen Groß- und Kleinschreibung wird nicht unterschieden. •
Laufwerkpfade In anderen Betriebssystemen wie beispielsweise UNIX sind sogenannte Verzeichnis-Links schon lange verbreitet; in Windows 2000 werden sie Laufwerkpfade genannt. Mit einem Laufwerkpfad können Sie einen Datenträger innerhalb einer Ordnerstruktur eines anderen Datenträgers einbinden. Voraussetzung dazu ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundenen Datenträgers kann allerdings auch FAT oder FAT32 sein.
Zugriff über Laufwerkpfade
Beachten Sie, dass bei Einbindung eines FAT oder FAT32formatierten Datenträgers in einen NTFS-Datenträger die erweiterten Benutzerrechte und Eigenschaften wie Verschlüsselung oder Komprimierung für diesen nicht gelten. Die Einstellung der Zugriffsmöglichkeiten auf das Laufwerk können Sie über die Datenträgerverwaltung nachträglich wieder ändern. Außer für den Boot- und den Systemdatenträger, wo ein unveränderbarer Laufwerkbuchstabe erforderlich ist, können Sie für jeden anderen Datenträger die Buchstaben jederzeit ändern, ganz entfernen und beliebig viele Laufwerkpfade einrichten.
Nachträgliches Ändern der Zugriffsmöglichkeiten
Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers. Abbildung 11.13: Partition formatieren
Direkt nach dem Erstellen der Partition kann der neue Datenträger durch den Assistenten formatiert werden. Möchten Sie die Formatierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESE
402
11 Administration der Massenspeicher PARTITION NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den Windows-Arbeitsplatz oder die Datenträgerverwaltung formatieren. Das genaue Vorgehen beim Formatierprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 ab Seite 424.
Letzte Kontrollmöglichkeit!
Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen der Partition noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird.
Abbildung 11.14: Zusammenfassung des Assistenten
Hier können Sie die getroffenen Einstellungen überprüfen. Haben Sie einen Fehler festgestellt, können Sie den Prozess mit Klick auf ABBRECHEN stoppen und die Festplatte bleibt unverändert
11.3.3 Logische Laufwerke erstellen Für die weitere Unterteilung eines Datenträgers können Sie auf einer Basisfestplatte eine erweiterte Partition erstellen (siehe auch Abschnitt 11.3.2) und in dieser logische Laufwerke definieren. Über das Kontextmenü zu einer erweiterten Partition oder das Hauptmenü VORGANG | ALLE TASKS | LOGISCHES LAUFWERK ERSTELLEN starten Sie den entsprechenden Assistenten. Abbildung 11.15: Kontextmenü einer erweiterten Partition
11.3 Basisfestplatten einrichten
403
Solange noch freier Platz in der erweiterten Partition existiert, können Sie logische Laufwerke definieren. Theoretisch ist die Zahl der logischen Laufwerke unbegrenzt (siehe dazu auch Abschnitt 4.3.1 auf Seite 91). Der Assistent ist derselbe, den Sie auch für das Erstellen von primären und erweiterten Partitionen benutzen. Innerhalb einer erweiterten Partition sind nur logische Laufwerke definierbar, sodass die Menüpunkte für die Partitionen deaktiviert sind (siehe Abbildung 11.16). Abbildung 11.16: Assistent zur Erstellung von Partitionen und logischen Laufwerken
Der nächste Schritt ist die Definition der Größe des neuen logischen Laufwerks. Sie können den gesamten zur Verfügung stehenden freien Speicherplatz in der erweiterten Partition benutzen oder nur einen Teil davon. Abbildung 11.17: Größe des logischen Laufwerks festlegen
404
11 Administration der Massenspeicher Nach der Einstellung der gewünschten Größe des neuen logischen Laufwerks können Sie die Zugriffsmöglichkeiten auf den Datenträger einstellen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.
Letzte Kontrollmöglichkeit!
Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des logischen Laufwerks noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird.
Abbildung 11.18: Zusammenfassung des Assistenten
Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit Druck auf ABBRECHEN noch stoppen. An der Festplatte werden dann keine Änderungen vorgenommen.
11.4 Dynamische Festplatten einrichten Administratorrechte erforderlich
Um die neuen Funktionen und Vorteile dynamischer Datenträger unter Windows 2000 nutzen zu können, müssen Sie die Festplatten entsprechend einrichten. Alle Konfigurationsarbeiten an Datenträgern sind auf Administratoren oder Benutzer mit entsprechenden Rechten beschränkt. Nur diese können vorhandene dynamische Datenträger erweitern und löschen oder neue Datenträger erstellen. Standardmäßig werden Festplatten unter Windows 2000 zunächst als Basisfestplatten eingerichtet. Über die Datenträgerverwaltung können Sie eine Basisfestplatte in eine dynamische Festplatte umwandeln.
11.4 Dynamische Festplatten einrichten
405
Vor der Umwandlung sollten Sie berücksichtigen: •
Dynamische Festplatten können von anderen Betriebssystemen wie beispielsweise MS-DOS, Windows 9x und Windows NT nicht erkannt und genutzt werden.
•
Das Umwandeln einer Basisfestplatte in eine dynamische Festplatte lässt sich nur bedingt rückgängig machen. Während sich eine Basisfestplatte mit vorhandenen Daten in eine dynamische umwandeln lässt, ist die Rückumwandlung in eine Basisfestplatte nur für eine leere dynamische Festplatte möglich.
Mehr zu den Grundlagen zu Basisfestplatten und dynamischen Festplatten finden Sie in Kapitel 4 Massenspeicherverwaltung ab Seite 85. Die Umwandlung starten Sie in der Datenträgerverwaltung über das Kontextmenü zur Festplatte oder über das Hauptmenü VORGANG | ALLE TASKS | IN DYNAMISCHE FESTPLATTE UMWANDELN. Abbildung 11.19: Dynamische Festplatte erstellen
Befinden sich Daten auf der Basisfestplatte wie Partitionen und logi- Umwandlung bei sche Laufwerke, werden diese bei der Umwandlung in Datenträger vorhandenen Daten auf der dynamischen Festplatte konvertiert. Konvertierte Datenträger auf einer dynamischen Festplatte verfügen gegenüber neu erstellten dynamischen Datenträgern über einige Einschränkungen. Beachten Sie dazu bitte unbedingt die Hinweise in Abschnitt 4.5 ab Seite 119. Die folgenden Abschnitte befassen sich mit den dynamischen Datenträgern, die Sie neu auf dynamischen Festplatten mit Windows 2000 Professional einrichten können. Spezielle Datenträgertypen wie Spiegelsätze oder Stripesetdatenträger mit Parität, die nur von den Windows 2000–Serverversionen unterstützt werden, werden in Band II erläutert.
11.4.1 Einfache Datenträger und ihre Erweiterung Ein einfacher Datenträger besteht auf einer physischen dynamischen Festplatte und ist zunächst mit einer primären Partition oder einem logischen Laufwerk auf einer Basisfestplatte vergleichbar. Gegenüber diesen verfügt ein einfacher dynamischer Datenträger über die folgenden Eigenschaften:
406
11 Administration der Massenspeicher •
Erweiterbarkeit Einfache Datenträger können Sie während des laufenden Betriebes erweitern. Voraussetzung dazu sind das Dateisystem NTFS und freier Speicherplatz auf der dynamischen Festplatte. Die Grundlagen dazu sind Inhalt des Abschnitts 4.4.4 Einfache Datenträger und ihre Erweiterung ab Seite 113, das Vorgehen beim Erweitern erfahren Sie weiter unten in diesem Abschnitt.
•
Erweiterung zu einem übergreifenden Datenträger Einfache Datenträger können zu übergreifenden Datenträgern (zu den Grundlagen siehe Abschnitt 4.4.5 Übergreifende Datenträger ab Seite 114) erweitert werden. Voraussetzung dazu sind das Dateisystem NTFS und freier Speicherplatz auf einer anderen physischen dynamischen Festplatte. Das Vorgehen dazu ist Inhalt des Abschnitts 11.4.2 Übergreifende Datenträger ab Seite 413.
Erstellen eines einfachen Datenträgers Einen einfachen Datenträger auf einer dynamischen Festplatte erstellen Sie mit Hilfe eines komfortablen Assistenten. Diesen starten Sie über das Kontextmenü der dynamischen Festplatte oder über das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.20: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps.
11.4 Dynamische Festplatten einrichten
407 Abbildung 11.21: Auswahl des Datenträger-Typs
Wählen Sie hier den Typ EINFACHER DATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physische dynamische Festplatte, auf welcher der einfache Datenträger erstellt werden soll. Abbildung 11.22: Festplatte für einfachen Datenträger auswählen
Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatte, die ausgewählt worden ist. Es kann hier nur genau eine Festplatte erscheinen. Möchten Sie ihre Auswahl ändern und die angezeigte Festplatte aus der Liste löschen, markieren Sie diese und klicken auf ENTFERNEN. Eine andere Festplatte können Sie in die Auswahl aufnehmen, indem Sie diese markieren und über HINZUFÜGEN gehen.
408
11 Administration der Massenspeicher Für die Erstellung eines einfachen Datenträgers können Sie im Assistenten nur genau eine Festplatte angeben. Solange im rechten Fensterbereich ein Eintrag steht, bleibt die Schaltfläche HINZUFÜGEN ohne Funktion. Dynamische Datenträger können sich aber auch auf mehrere Festplatten ausdehnen, so beispielsweise die unter Windows 2000 Professional unterstützten Übergreifenden Datenträger oder die Stripesetdatenträger. Wie Sie diese über den Assistenten erstellen, ist Inhalt der entsprechenden Abschnitte auf den Seiten 413 und 420.
Größe bestimmen
Im Dialogfenster des Assistenten bestimmen Sie neben der Zielfestplatte auch die Größe, die der einfache Datenträger einnehmen soll. Wählen Sie die maximal verfügbare Größe, können Sie den Datenträger auf dieser Festplatte nachträglich nicht mehr erweitern. Es bleibt dann aber noch der Weg, den einfachen Datenträger über Hinzufügen von freiem Speicherplatz auf einer anderen Festplatte zu einem Übergreifenden Datenträger zu erweitern (siehe Seite 413).
Zugriffsmöglichkeiten
Nach der Einstellung der gewünschten Größe können Sie die Zugriffsmöglichkeiten auf den Datenträger einstellen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.
Abbildung 11.23: Zugriffsmöglichkeiten einstellen
Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers.
11.4 Dynamische Festplatten einrichten
409 Abbildung 11.24: Datenträger formatieren
Direkt nach dem Erstellen des einfachen Datenträgers können Sie den Optional: Format neuen Datenträger durch den Assistenten formatieren lassen. Dieser direkt nach der Schritt kann auch ausgelassen werden. Möchten Sie die Formatierung Erstellung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESEN DATENTRÄGER NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den WindowsArbeitsplatz oder die Datenträgerverwaltung neu formatieren. Das genaue Vorgehen beim Formatprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 Datenträger formatieren ab Seite 424. Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des einfachen Datenträgers noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird.
410
11 Administration der Massenspeicher
Abbildung 11.25: Zusammenfassung des Assistenten
Letzte Kontrollmöglichkeit!
Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An der Festplatte werden dann keine Änderungen vorgenommen.
Datenträger erweitern
Den erstellten einfachen Datenträger können Sie jederzeit erweitern. Bedingung ist dabei das Dateisystem NTFS sowie freier Speicherplatz auf einer dynamischen Festplatte. Die genaue Beschreibung des Vorgehens dazu finden Sie im nächsten Abschnitt beziehungsweise für einen übergreifenden Datenträger in Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Kapitel 4.4 Dynamische Festplatten ab Seite 108 nachlesen.
Erweitern eines einfachen Datenträgers Einen einfachen dynamischen Datenträger können Sie jederzeit mit freiem Speicherplatz auf einer dynamischen Festplatte erweitern. Dieser Vorgang erfordert keinen Neustart des Computers. Die folgenden Voraussetzungen müssen dazu gegeben sein: Keine konvertierten • Datenträger!
Der einfache Datenträger wurde ursprünglich auf einer dynamischen Festplatte erstellt und ist nicht Ergebnis einer Konvertierung einer Basisfestplatte mit Partitionen beziehungsweise logischen Laufwerken in eine dynamische Festplatte. Mehr zu den Einschränkungen, die eine Konvertierung einer Basisfestplatte mit vorhandenen Datenstrukturen in eine dynamische Festplatte bedeuten, können Sie in Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119 nachlesen.
11.4 Dynamische Festplatten einrichten
411
•
Das Dateisystem des einfachen Datenträgers ist NTFS. Datenträger, Dateisystem NTFS die mit den Dateisystemen FAT oder FAT32 formatiert worden sind, lassen sich nicht erweitern.
•
Es steht kein freier Speicherplatz auf der gleichen physischen Festplatte zur Verfügung. Sie können den einfachen Datenträger aber auch mit freiem Speicherplatz auf einer anderen dynamischen Festplatte erweitern. Dann entsteht ein Übergreifender Datenträger (siehe Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413). Dynamische Datenträger können nicht mit freiem Speicherplatz auf Basisfestplatten erweitert werden.
Den Assistenten für die Erweiterung eines einfachen Datenträgers starten Sie über das entsprechende Kontextmenü des Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERWEITERN. Abbildung 11.26: Kontextmenü eines einfachen Datenträgers
Nach dem Einführungsfenster des Assistenten gelangen Sie in das Dialogfenster zur Auswahl der physischen Festplatten, durch die der Datenträger erweitert werden soll. Abbildung 11.27: Festplatte für die Erweiterung auswählen
412
11 Administration der Massenspeicher Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Wollen Sie den einfachen Datenträger nur mit freiem Speicherplatz auf der gleichen physischen Festplatte erweitern, wählen Sie nur eine entsprechende Festplatte aus. Wenn Sie eine oder mehrere andere physische Festplatten in die rechte Liste über HINZUFÜGEN eintragen, erzeugen Sie einen Übergreifenden Datenträger. Möchten Sie ihre Auswahl ändern und bestimmte Festplatten aus der rechten Auswahlliste löschen, markieren Sie diese und klicken auf ENTFERNEN.
Größe der Erweiterung
Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, die vom jeweils verfügbaren Speicherplatz für die Erweiterung genommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GESAMTGRÖßE DES DATENTRÄGERS können Sie die endgültige Größe nach der Erweiterung ablesen.
Sehr flexible Erweiterungsmöglichkeiten
Um einen einfachen Datenträger zu erweitern, können Sie also beliebig viele freie Bereiche auf der gleichen oder auf bis zu 31 anderen physischen Festplatten zusammenfassen. Alle diese Erweiterungsvorgänge erfordern keinen Neustart des Computers. Nach erfolgter Auswahl der physischen Festplatten für die Erweiterung zeigt der Assistent abschließend die getroffenen Einstellungen an.
Abbildung 11.28: Zusammenfassung des Assistenten
11.4 Dynamische Festplatten einrichten
413
Hier können Sie die getroffenen Einstellungen überprüfen und, falls Letzte Kontrollnotwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An möglichkeit! der Festplatte werden dann keine Änderungen vorgenommen. Einen einmal erweiterten Datenträger können Sie mit dem geschilderten Verfahren immer weiter vergrößern (siehe auch Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413). In der Datenträgerverwaltung wird die Erweiterung in der grafischen Anzeige durch die Unterteilung in die einzelnen physischen Teile deutlich. Abbildung 11.29: Erweiterter Datenträger Der erweiterte Datenträger verhält sich für den Benutzer wie eine einzige große Festplatte. Die einzelnen Teile sind dabei nicht sichtbar. Der logische Diskmanager von Windows 2000 stellt sicher, dass intern die Speicherung der Daten auf die einzelnen neuen Teile ausgedehnt wird. So einfach und flexibel Sie einen dynamischen Datenträger auch er- Unmöglich: weitern können, so unmöglich ist es, leider, Erweiterungen wieder zu Erweiterungen entfernen. Wenn Sie die physische Struktur eines dynamischen Daten- entfernen trägers nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Abschnitt 4.4 Dynamische Festplatten ab Seite 108 nachlesen.
11.4.2 Übergreifende Datenträger Einen übergreifenden Datenträger in Windows 2000 kennzeichnet die Zusammenfassung von Speicherbereichen auf mindestens zwei physischen dynamischen Festplatten. Ein übergreifender Datenträger mit praktisch beliebig vielen Teilen kann sich maximal auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem für einen übergreifenden Datenträger können Sie FAT, FAT32 oder NTFS verwenden. Erweitert werden kann ein Datenträger allerdings nur dann, wenn er mit NTFS formatiert worden ist.
414
11 Administration der Massenspeicher Unter Windows NT können Sie Datenträgersätze erstellen, die sich als Partitionsgruppe über mehrere Basisfestplatten erstrecken. Diese Datenträgersätze können Sie auch in Windows 2000 übernehmen und nutzen. Es ist allerdings nicht möglich, solche Datenträgersätze neu zu erstellen oder zu erweitern. Das ist nur mit neu erstellten Übergreifenden Datenträgern auf dynamischen Festplatten möglich. Einen übergreifenden Datenträger können Sie auf zwei verschiedene Arten erzeugen: 1. Sie erzeugen den Datenträger komplett neu über die Datenträgerverwaltung, indem Sie freien Speicherplatz auf mindestens zwei physischen dynamischen Festplatten zusammenführen. 2. Sie erweitern einen einfachen Datenträger (siehe auch Seite 405) um mindestens einen freien Bereich auf einer anderen physischen dynamischen Festplatte. Bedingung für die Erweiterung ist das Dateisystem NTFS.
Einen neuen übergreifenden Datenträger erstellen Den Assistenten für die Erstellung eines neuen übergreifenden Datenträgers starten Sie über das entsprechende Kontextmenü eines freien Bereichs einer dynamischen Festplatte oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.30: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps.
11.4 Dynamische Festplatten einrichten
415 Abbildung 11.31: Auswahl des Datenträger-Typs
Wählen Sie hier den Typ ÜBERGREIFENDER DATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physischen dynamischen Festplatten, über die sich der übergreifende Datenträger erstrecken soll. Abbildung 11.32: Festplatten für übergreifenden Datenträger auswählen
Im linken Fensterbereich werden nur die dynamischen Festplatten Festplatte angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfest- auswählen platten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Für einen übergreifenden Datenträger müssen Sie mindestens zwei Festplatten bestimmen. Möchten Sie ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und klicken auf
416
11 Administration der Massenspeicher ENTFERNEN. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und auf HINZUFÜGEN klicken.
Größe bestimmen
Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, die vom jeweiligen verfügbaren Speicherplatz für die Erstellung des übergreifenden Datenträgers genommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GESAMTGRÖßE DES DATENTRÄGERS können Sie die endgültige Größe nach der Erstellung ablesen. Um einen übergreifenden Datenträger zu erstellen, können Sie beliebig viele freie Bereiche auf bis zu insgesamt 32 physischen Festplatten zusammenfassen. Der Erstellungsvorgang erfordert keinen Neustart des Computers.
Zugriffsmöglichkeiten
Nach der Auswahl der Festplatten und der Einstellung der gewünschten Größe des Datenträgers können Sie die Zugriffsmöglichkeiten bestimmen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.
Abbildung 11.33: Zugriffsmöglichkeiten einstellen
Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers.
11.4 Dynamische Festplatten einrichten
417 Abbildung 11.34: Datenträger formatieren
Direkt nach dem Erstellen des übergreifenden Datenträgers können Optional: Format Sie den neuen Datenträger durch den Assistenten formatieren lassen. direkt nach der Dieser Format-Schritt kann auch ausgelassen werden. Möchten Sie die Erstellung Formatierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESEN DATENTRÄGER NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den WindowsArbeitsplatz oder die Datenträgerverwaltung neu formatieren. Das genaue Vorgehen beim Formatprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 Datenträger formatieren ab Seite 424. Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des übergreifenden Datenträgers noch einmal zusammen. Abbildung 11.35: Zusammenfassung des Assistenten
418 Letzte Kontrollmöglichkeit!
11 Administration der Massenspeicher Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An den Festplatten werden dann keine Änderungen vorgenommen.
Einen übergreifenden Datenträger erweitern Erweiterung nur bei NTFS möglich
Einen übergreifenden Datenträger können Sie jederzeit erweitern. Voraussetzung ist dafür das Dateisystem NTFS sowie freier Speicherplatz auf mindestens einer dynamischen Festplatte. Den Assistenten für die Erweiterung starten Sie über das Kontextmenü eines übergreifenden Datenträgers oder über das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERWEITERN.
Abbildung 11.36: Kontextmenü eines übergreifenden Datenträgers
Nach dem Einführungsfenster des Assistenten gelangen Sie in das Dialogfenster zur Auswahl der physischen Festplatten, durch die der übergreifende Datenträger erweitert werden soll. Abbildung 11.37: Festplatte für die Erweiterung auswählen
Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfest-
11.4 Dynamische Festplatten einrichten
419
platten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden ist. Möchten Sie ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und klicken auf ENTFERNEN. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und auf HINZUFÜGEN klicken. Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede Größe der ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, Erweiterung die vom jeweiligen verfügbaren Speicherplatz für die Erweiterung genommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GRÖßE FÜR ALLE AUSGEWÄHLTEN FESTPLATTEN können Sie die endgültige Größe nach der Erweiterung ablesen. Um einen übergreifenden Datenträger zu erweitern, können Sie also Sehr flexible beliebig viele freie Bereiche von bis zu 30 anderen physischen Festplat- Erweiterungsten hinzufügen. Alle diese Erweiterungsvorgänge erfordern keinen möglichkeiten Neustart des Computers. Nach erfolgter Auswahl der physischen Festplatten für die Erweiterung zeigt der Assistent abschließend die getroffenen Einstellungen an. Abbildung 11.38: Zusammenfassung des Assistenten
Hier können Sie die getroffenen Einstellungen überprüfen und, falls Letzte Kontrollnotwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An möglichkeit! den betreffenden Festplatten und dem bestehenden übergreifenden Datenträger werden dann keine Änderungen vorgenommen.
420
11 Administration der Massenspeicher Lassen Sie die Erweiterung durch den Assistenten durchführen, werden die neuen Teile mit dem bestehenden übergreifenden Datenträger verbunden und automatisch mit dem bestehenden Dateisystem formatiert. Einen übergreifenden Datenträger können Sie mit dem geschilderten Verfahren immer weiter vergrößern.
Abbildung 11.39: Der erweiterte übergreifende Datenträger
Unmöglich: Erweiterungen entfernen
Einmal getätigte Erweiterungen eines dynamischen Datenträgers können leider nicht mehr entfernt werden. Wenn Sie die physische Struktur eines dynamischen Datenträgers nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Abschnitt 4.4 Dynamische Festplatten ab Seite 108 nachlesen.
11.4.3 Stripesetdatenträger Einen Stripesetdatenträger in Windows 2000 kennzeichnet die Zusammenfassung von gleich großen Speicherbereichen auf mindestens zwei physischen dynamischen Festplatten. Durch die Aufteilung des Datenstroms in kleine Einheiten gleicher Größe und die parallele Speicherung wird ein teilweise sehr hoher Performancegewinn bewirkt. Mehr zu den Grundlagen können Sie in Abschnitt 4.4.6 Stripesetdatenträger ab Seite 116 nachlesen. Ein Stripesetdatenträger kann sich auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem können Sie FAT32 oder NTFS verwenden, nicht jedoch FAT. Erweitert werden kann ein Stripesetdatenträger generell nicht. Unter Windows NT können Sie Stripe Sets erstellen, die sich als Partitionsgruppe über mehrere Basisfestplatten erstrecken. Diese Stripe Sets können Sie auch in Windows 2000 übernehmen und nutzen. Es ist allerdings nicht möglich, solche Stripe Sets neu zu erstellen. Stripesetdatenträger erstellen
Den Assistenten für die Erstellung eines neuen Stripesetdatenträgers starten Sie über das entsprechende Kontextmenü eines freien Bereichs
11.4 Dynamische Festplatten einrichten
421
einer dynamischen Festplatte oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.40: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps. Abbildung 11.41: Auswahl des Datenträger-Typs
Wählen Sie hier den Typ STRIPESETDATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physischen dynamischen Festplatten, über die sich der Stripesetdatenträger erstrecken soll. Im linken Fensterbereich (siehe Abbildung 11.42) werden nur die dy- Festplatte namischen Festplatten angezeigt, die freien Speicherplatz zur Verfü- auswählen gung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Für einen Stripesetdatenträger müssen Sie mindestens zwei Festplatten bestimmen. Möchten Sie ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und drücken auf den Knopf Entfernen. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und über den Knopf Hinzufügen gehen.
422
11 Administration der Massenspeicher
Abbildung 11.42: Festplatten für übergreifenden Datenträger auswählen
Größe bestimmen
Ein Stripesetdatenträger besteht aus exakt gleich großen physischen Teilen auf verschiedenen Festplatten. Im Feld GRÖSSE des AssistentenDialogfensters wird die kleinste gemeinsame Größe der freien Speicherbereiche angezeigt. Sie können diese Größe der Anteile auf einen gewünschten Wert reduzieren. Auf einzelnen Festplatten des Stripesetdatenträgers, die mehr freien Speicherplatz zur Verfügung haben, verbleibt jeweils ein Rest. Diese Reste können Sie jedoch nutzen, indem Sie diese beispielsweise zu einem übergreifenden Datenträger zusammenfassen (siehe dazu Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413). Um einen Stripesetdatenträger zu erstellen, können Sie also jeweils einen freien Bereich auf bis zu insgesamt 32 physischen Festplatten zusammenfassen Der Erstellungsvorgang erfordert keinen Neustart des Computers.
Zugriffsmöglichkeiten
Nach der Auswahl der Festplatten und der Einstellung der gewünschten Größe des Datenträgers können Sie die Zugriffsmöglichkeiten bestimmen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.
11.4 Dynamische Festplatten einrichten
423 Abbildung 11.43: Zugriffsmöglichkeiten einstellen
Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers. Abbildung 11.44: Datenträger formatieren
Direkt nach dem Erstellen des Stripesetdatenträger können Sie den Optional: Format neuen Datenträger durch den Assistenten formatieren lassen. Dieser direkt nach der Format-Schritt kann auch ausgelassen werden. Möchten Sie die For- Erstellung matierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESEN DATENTRÄGER NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den WindowsArbeitsplatz oder die Datenträgerverwaltung neu formatieren. Das genaue Vorgehen beim Formatprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 Datenträger formatieren ab Seite 424.
424
11 Administration der Massenspeicher Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des Stripesetdatenträgers noch einmal zusammen.
Abbildung 11.45: Zusammenfassung des Assistenten
Letzte Kontrollmöglichkeit!
Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit Druck auf ABBRECHEN noch stoppen. An den Festplatten werden dann keine Änderungen vorgenommen.
Keine Erweiterungsmöglichkeiten
Stripesetdatenträger können nicht erweitert werden. Wenn Sie die physische Struktur eines Stripesetdatenträger nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Abschnitt 4.4 Dynamische Festplatten ab Seite 108 nachlesen.
11.5 Datenträger formatieren Um Datenträger, dazu zählen u.a. Partitionen und logische Laufwerke auf Basisfestplatten, dynamische Datenträger und Wechselspeichermedien, nutzen zu können, müssen diese zuerst mit einem Dateisystem formatiert werden. In diesem Abschnitt geht es darum, die konkreten Administrationsschritte dazu zu zeigen. Die Grundlagen der Dateisysteme, die durch Windows 2000 unterstützt werden, sind Inhalt des Kapitels 5 Dateisysteme ab Seite 129. Administratorrecht erforderlich zum Formatieren!
Datenträger können Sie mit einem Dateisystem formatieren, wenn Sie als Administrator angemeldet sind beziehungsweise die erforderli-
11.5 Datenträger formatieren
425
chen Rechte besitzen. Eine Ausnahme bildet das Formatieren von Disketten, für welches Sie keine gesonderten Rechte benötigen. Generell ist es nicht möglich, System- oder Bootdatenträger zu formatieren. Wollen Sie das Dateisystem von FAT oder FAT32 auf NTFS ändern, ohne Windows 2000 neu zu installieren, bleibt ihnen der Weg über das Dienstprogramm CONVERT (siehe Seite 433).
11.5.1 Wahl des Format-Werkzeuges Unter Windows 2000 können Sie Datenträger auf drei verschiedene Arten formatieren: •
im Windows-Explorer
•
in der Datenträgerverwaltung
•
mit dem Kommandozeilen-Programm FORMAT
Bei den beiden ersten Varianten wird jeweils ein grafisches FormatDienstprogramm von Windows 2000 gestartet. Diese erlauben durch ihre einfache Bedienoberfläche eine problemlose Einstellung aller notwendigen Parameter. Die Datenträgerverwaltung unterstützt nicht das Formatieren von Disketten nicht in Disketten. Das können Sie nur im Windows-Explorer oder mit dem der DatenträgerKommandozeilen-Programm FORMAT erledigen. Andere Wechsel- verwaltung datenträger werden allerdings auch in der Datenträgerverwaltung direkt unterstützt. Das Kommandozeilen-Programm FORMAT ist ohne grafische Oberfläche zur Bedienung ausgestattet und eignet sich auch für die Einbindung in Stapelverarbeitungsdateien. Die Bedienung dieses Programms und die Parameter dazu werden auf Seite 431 ausführlich erklärt.
11.5.2 Formatieren mit einem grafischen Dienstprogramm Ein grafisches Dienstprogramm zum Formatieren starten Sie über das Kontextmenü eines Datenträgers unter Arbeitsplatz oder in der Datenträgerverwaltung (siehe auch Abschnitt 11.1.2 auf Seite 390).
426
11 Administration der Massenspeicher
Abbildung 11.46: Formatsoftware im Windows-Explorer
Das Formatprogramm aus der Datenträgerverwaltung unterscheidet sich ein wenig von dem aus dem Windows Explorer. Abbildung 11.47: Formatsoftware in der Datenträgerverwaltung
Option Speicherkapazität für Disketten
Nur über den Windows Explorer haben Sie die Option SPEICHERKAPAZITÄT zur Verfügung. Diese dient ausschließlich dem Formatieren von Disketten, um beispielsweise neben dem normalen 1.44 MB Disketten auch 2.88 MB oder 720 KB-Datenträger erstellen zu können. Für andere Datenträger hat diese Option keine Bedeutung. Teilweise können Sie hier die Kapazität des Datenträgers sehen, manchmal wird auch nur Unbekannte Kapazität angezeigt.
Dateisystem auswählen
Für die Formatierung wählen Sie dann das gewünschte Dateisystem aus. Windows 2000 unterstützt die drei Dateisysteme FAT, FAT32 und NTFS. In der folgenden Tabelle sehen Sie die Merkmale dieser Systeme gegenübergestellt:
11.5 Datenträger formatieren
427
FAT
FAT32
NTFSv5
mittel
hoch
sehr hoch
schlecht
gut
sehr gut
nicht integriert
nicht integriert
integriert; auf Benutzerebene und Dateiebene
Maximale Datenträgergröße
4 GB
2 TB1
16,7 Mio TB2
Maximale Dateigröße
2 GB
4 GB
nur durch Datenträgergröße begrenzt
Kompatibilität
MS-DOS
Performance Unterstützung großer Medien Sicherheit
Windows 9x
Windows 95 SR2 Zugriff für Windows NT (jedoch Windows 98 keine neuen Windows 2000Features nutzbar) ab Service Pack 4
Für eine reine Windows 2000 Arbeitsstation empfiehlt sich uneingeschränkt der Einsatz des Dateisystems NTFS. Nur auf Systemen, die neben Windows 2000 noch andere Betriebssysteme beherbergen, ist FAT oder FAT32 auf den System- beziehungsweise Bootpartitionen sinnvoll. Datenträger größer als 2 GB, die Sie mit dem FAT16-Dateisystem unter Windows 2000 formatieren, können von Betriebsystemen wie MSDOS, Windows 9x und vieler anderer Hersteller nicht erkannt werden. Für diese Datenträger sollten Sie FAT32 vorziehen oder die Festplatte in kleinere Einheiten bis 2 GB partitionieren. Die Grundlagen der Dateisysteme sind ausführlich Inhalt des Kapitels 5 Dateisysteme ab Seite 129.
1
In Windows 2000 können Sie Datenträger nur bis zu einer Größe von 32 GB mit dem FAT32-Dateisystem formatieren. Größere FAT32Datenträger, die mit anderen Betriebssystemen erstellt worden sind, sind aber unter Windows 2000 normal les- und beschreibbar.
2
Das ist kein Schreibfehler: Aufgrund der Verwendung einer 64-BitAdressierung ist die maximale Datenträgergröße Sechzehn Millionen Terabyte (= 264 Byte; auch EB oder ExaByte genannt). Allerdings unterstützt Windows 2000 derzeit nur Datenträger bis zu 2 TB (siehe auch Kapitel 1 ab Seite 129).
Tabelle 11.3: Übersicht über die Dateisysteme
428
11 Administration der Massenspeicher Für das Formatieren können Sie neben der Auswahl des Dateisystems eine Reihe von weiteren Optionen festlegen (siehe Abbildung 11.13):
Zuordnungseinheit
•
Größe der Zuordnungseinheit Die Verwendung des Standardwertes wird empfohlen. Sie können bei Bedarf aber den Wert selbst festlegen. Die Zuordnungseinheit, auch Cluster genannt, ist die kleinste Einheit, die für die Speicherung von Daten verwendet wird. Je kleiner der Wert ist, desto effizienter kann der Speicherplatz für eine Datei ausgenutzt werden, es sinkt aber auch die Performance und die Fragmentierung des Speicherplatzes wird gefördert. Große Cluster erlauben eine hohe Performance, da die Daten in großen Blöcken gelesen und geschrieben werden können. In Tabelle 5.3 auf Seite 136 sind die Standard-Clustergrößen für die Dateisysteme FAT, FAT32 und NTFS zusammengefasst. Die manuelle Einstellung kleiner Clustergrößen zwischen 1 und 4 KB für eine Partition kann für Datenträger sinnvoll sein, die viele kleine Dateien beherbergen sollen, beispielsweise Textdateien oder kleine Tabellen ohne die Verwendung eingesetzter Grafiken. Große Cluster von 16 KB bis 64 KB oder darüber hinaus kann die Performance beispielsweise von Bildverarbeitungscomputern steigern. Erstellen Sie mit diesen Clustergrößen aber nur spezielle Arbeitsdatenträger, auf die große Bilddateien abgelegt werden oder die als temporäre Speicher für Bildverarbeitungssoftware dienen.
Anwendungsbeispiel eigener Clustergrößen
Die Komprimierungsfunktionalität von NTFS wird nur für Clustergrößen bis 4 KB unterstützt. Für NTFS-Datenträger mit größeren Clustern steht die Komprimierung nicht zur Verfügung. Nur die Dateisysteme FAT32 und NTFS erlauben auch die manuelle Einstellung sehr kleiner Cluster für große Datenträger. FAT ist hier aufgrund seiner internen Adressierung sehr begrenzt (siehe auch Kapitel 5 Dateisysteme ab Seite 129).
Beschränkungen für FAT
Quickformat
•
Formatieren mit Quickformat Die Quickformatierung war schon unter MS-DOS ab Version 6 eingeführt worden und beschleunigte den Formatiervorgang deutlich. Voraussetzung war hier jedoch, dass der Datenträger bereits mit dem gleichen Dateisystem einmal formatiert worden war.
Risiko beachten
Unter Windows 2000 ist das jetzt komfortabler geworden. Egal ob der Datenträger nagelneu oder bereits mit irgendeinem anderen Dateisystem formatiert ist, können Sie die Quickformatierung einsetzen. Bei der Quickformatierung wird auf eine Überprüfung der Sektoren auf physische Fehler verzichtet. Das bedeutet aber auch ein erhöhtes Risiko, da eventuelle Defekte nicht erkannt werden und später zur Beeinträchtigung oder dem Verlust von Daten füh-
11.5 Datenträger formatieren
429
ren können. Allerdings hält sich das Risiko bei modernen Festplatten in Grenzen, da IDE-Festplatten beispielsweise automatisch defekte Sektoren ausblenden können. Zeigt eine IDE-Festplatte trotzdem nach einer Formatierung defekte Sektoren an, sollten Sie diese schnellstens austauschen, da dies auf ernstere Beschädigungen des Laufwerks hinweisen kann. Zusammenfassend kann gesagt werden, dass die Quickformatierung Ihnen nur dann einen Vorteil bringt, wenn Sie sicher sein können, dass der Datenträger keine Defekte aufweist. •
Datenträgerbezeichnung festlegen Die Datenträgerbezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf einen Datenträger werden nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe Seite 400).
Datenträgerbezeichnung
FAT-Datenträger können Sie mit einer bis zu 11 Zeichen umfassenden Bezeichnung versehen. Ausgenommen sind die folgenden Zeichen: * ? / \ | . , ; : + = [ ] < > " Die Datenträgerbezeichnung für NTFS-Datenträger hingegen kann 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen. •
Komprimierung für Dateien und Ordner Nur dem Dateisystem NTFS vorbehalten ist eine integrierte Komprimierungsfunktion für die gespeicherten Daten. Aktivieren Sie diese schon beim Formatieren für einen Datenträger, werden standardmäßig alle Dateien und Ordner, die Sie auf diesem anlegen oder kopieren, komprimiert. Komprimierte Dateien können nicht für einen abgesicherten Zugriff verschlüsselt werden. Ebenso lassen sich verschlüsselte Daten nicht nachträglich komprimieren. Die Komprimierung auf Ebene des Dateisystems macht nur für Dateien Sinn, die eine hohe Kompressionsrate erlauben. Das sind beispielsweise Textdateien und Dateien von Tabellenkalkulationsprogrammen oder unkomprimierte Bilddaten (BMP, TIF ungepackt etc). Nicht oder nur schlecht komprimieren lassen sich hingegen ausführbare Programmdateien (EXE, COM, DLL). Dazu kommen spezielle Dokumentenformate wie PDF, Corel Draw oder Microsofts Powerpoint-Dateien, die an sich schon hoch komprimiert abgespeichert werden und für die eine weitere Komprimierung nichts bringt.
Komprimierung
430
11 Administration der Massenspeicher Da die Komprimierung neben der Nichtverschlüsselbarkeit auch einen kleinen Performanceverlust bedeutet, empfiehlt sich die Einstellung nur auf Ordnerebene oder für ausgewählte einzelne Dateien.
Zurücksetzen der Bereitstellungen
Durch das Formatieren werden alle gesetzten Bereitstellungen für den Datenträger über Laufwerkpfade zurückgesetzt. Nach Ende des Formatiervorgangs werden die Bereitstellungen automatisch wiederhergestellt. Der Fortschritt des Formatiervorganges wird in der Datenträgerverwaltung direkt in der grafischen Anzeige für den Datenträger angezeigt.
Abbildung 11.48: Anzeige des Fortgangs Ist der Vorgang beendet, erfolgt keine separate Meldung mit Angabe des Formatiererfolges. Beim Formatieren über den Windows Explorer sehen Sie den Fortgang mit einem grafischen Balken im Fenster des Formatprogramms. Nach erfolgter Formatierung werden Sie in jedem Fall benachrichtigt. Diese Nachricht sehen Sie auch, wenn Sie die Formatierung im Hintergrund vornehmen (modales Dialogfenster). Parallel mehrere Datenträger formatieren
Haben Sie den Formatprozess über die Datenträgerverwaltung gestartet, können Sie in dieser keinen weiteren Datenträger formatieren, solange der letzte nicht abgeschlossen ist. Das ist insofern unlogisch, da diese Software sonst andere Prozesse parallel ausführen kann. Möchten Sie einen anderen Datenträger dennoch in der Datenträgerverwaltung formatieren, erhalten Sie nur eine Fehlermeldung.
Abbildung 11.49: Fehlermeldung beim Versuch des parallelen Formatierens Leider hilft es auch nicht, zwei Managementkonsolen für die Datenträgerverwaltung parallel zu starten. Einen Ausweg gibt es dennoch, indem Sie die Formatierung über den Windows Explorer benutzen. Hier können Sie mehrere Formatprozesse parallel laufen lassen.
11.5 Datenträger formatieren
431 Abbildung 11.50: Parallel formatieren im Windows Explorer
Zusätzlich können Sie natürlich auch mehrere Eingabeaufforderungen öffnen und das Kommandozeilenprogramm FORMAT mehrfach parallel starten (siehe nächster Abschnitt).
11.5.3 Das Kommandozeilen-Programm FORMAT Das Kommandozeilen-Programm FORMAT.COM starten Sie über die Eingabeauforderung, erreichbar über START | PROGRAMME | ZUBEHÖR. Die Syntax für den Aufruf des Programms lautet: format /FS:<sys> [/V:] [/Q] [/A:Größe] [/C] [/X] Für das Formatieren von Disketten gibt es spezielle Optionen, die Sie in diesen Zusammenstellungen benutzen können: format [/V: ] [/Q] [/F:] format [/V: ] [/Q] [/T:<spuren> /N:<sektoren>] format [/V: ] [/Q] [/1] [/4] format [/Q] [/1] [/4] [/8] Unter geben Sie den Laufwerkbuchstaben, den Laufwerkpfad oder die Datenträgerbezeichnung an. Sie müssen, außer beim Formatieren von Disketten, immer die /FS-Option mit dem gewünschten Dateisystem angeben. Alle Optionen für FORMAT.COM sind in der folgenden Tabelle aufgeführt:
Formatieren von Disketten
432 Tabelle 11.4: Optionen von format.com
11 Administration der Massenspeicher
Option
Bedeutung
/FS:<sys>
Für <sys> geben Sie das Dateisystem an: FAT, FAT32 oder NTFS.
/V:
Datenträgerbezeichnung, die zugewiesen werden soll. Für eine FAT-Datenträger kann diese 11 Zeichen, bei NTFS 32 Zeichen lang sein.
/Q
Führt die Formatierung mit Quickformat durch. Dies geschieht sehr viel schneller als die Standardformatierung, da auf eine sektorweise Überprüfung verzichtet wird.
/C
Schaltet die standardmäßige Komprimierung für den Datenträger ein.
/X
Führt die zeitweise Aufhebung der Laufwerkpfade ohne Rückfrage für den zu formatierenden Datenträger durch.
/A:
Ändert die Standardgröße für die Zuordnungseinheiten (siehe auch Tabelle 5.3 auf Seite 136).
/F:
Diskettenkapazität: 160, 180, 320, 360, 640, 720, 1.2, 1.23, 1.44, 2.88 oder 20.8.
/T:<spuren> Anzahl der Spuren (Tracks) je Seite der Diskette /N:Sektoren Anzahl der Sektoren pro Spur /1
Nur die erste Seite der Diskette wird formatiert.
/4
Dient der Formatierung von 360 KB-Diskette in einem 1.2 MB-Laufwerk.
/8
Jede Spur wird mit 8 Sektoren formatiert.
Eine genauere Beschreibung der einzelnen Formatoptionen wie Dateisystem, Quickformat oder Komprimierung finden Sie in Abschnitt Formatieren mit einem grafischen Dienstprogramm ab Seite 425.
11.6 Umwandeln von FAT/FAT32 in NTFS Komfortabler Übergang möglich
FAT und FAT32-Datenträger können Sie in das NTFS-Dateisystem überführen. Dabei bleiben alle bisher gespeicherten Dateien und Ordner erhalten. Die dazu notwendigen Schritte sowie wichtige Hinweise, die Sie vor der Konvertierung beachten sollten, sind Inhalt dieses Abschnitts. Das NTFS-Dateisystem wird im Detail in Abschnitt 5.4 ab Seite 152 behandelt.
11.6 Umwandeln von FAT/FAT32 in NTFS
433
11.6.1 Generelle Hinweis zur Konvertierung Die Konvertierung eines bestehenden FAT- oder FAT32-Datenträgers können Sie mittels des Kommandozeilen-Tools CONVERT.EXE durchführen. Die bisher auf dem Datenträger gespeicherten Daten bleiben dabei zwar unberührt, allerdings sollten Sie folgendes beachten: •
Kompatibilität zu Windows 9x und MS-DOS Auf einen NTFS-Datenträger können Sie von Windows 9x oder Kompatibilität MS-DOS sowie von den meisten anderen Betriebssystemen aus beachten nicht zugreifen. Das ist insbesondere für den System- und Bootdatenträger dieser Betriebssysteme bedeutsam. Die Systemdateien von Windows 9x oder MS-DOS werden zwar ordnungsgemäß mit konvertiert, ein Starten dieser Betriebssysteme ist dann allerdings nicht mehr möglich.
•
Keine Rückumwandlung Für die Umwandlung in das FAT- oder FAT32-Dateisystem gibt es Kein Weg zurück! keinen Rückweg – eine Rückumwandlung unter Beibehaltung aller Dateien ist nicht möglich. Es bleibt Ihnen dann nur der Weg der Datensicherung und der Neuformatierung des Datenträgers.
11.6.2 Das Tool CONVERT.EXE Die Konvertierung in das NTFS-Dateisystem ist unter Windows 2000 Exklusiver Zugriff nur mittels des Kommandozeilen-Tools CONVERT.EXE möglich. Das erforderlich Programm benötigt für die Konvertierung exklusiven Zugriff auf den Datenträger. Das bedeutet, dass während der Konvertierung keine weiteren Programme oder Betriebssystembestandteile auf den Datenträger zugreifen können. Beachten sollten Sie das insbesondere bei Partitionen, auf denen im Netzwerk freigegebene Verzeichnisse eingerichtet sind. Datenträger, auf die durch CONVERT.EXE nicht exklusiv zugegriffen Besonderheit: werden kann, werden nicht sofort konvertiert. Stattdessen wird ein System- bzw. Vermerk gesetzt, der CONVERT.EXE automatisch beim nächsten System- Bootdatenträger start ausführt. Insbesondere System- beziehungsweise Bootdatenträger, auf die das Betriebssystem den ständigen Zugriff braucht, können nur auf diese Weise konvertiert werden. CONVERT.EXE
benötigt für die Konvertierung ausreichend freien Spei- Freier Speichercherplatz auf dem Datenträger. Sie sollten sicherheitshalber noch ca. platz 20-25 % der Kapazität zur Verfügung haben.
434
11 Administration der Massenspeicher Microsoft gibt an, dass konvertierte NTFS-Datenträger über eine geringere Leistungsfähigkeit als direkt mit NTFS erstellte Datenträger verfügen. Somit empfiehlt es sich, vor einer Installation von Windows 2000 zu prüfen, ob nicht NTFS von Anfang an konsequent eingesetzt werden sollte.
Aufruf von convert.exe
Das Tool CONVERT.EXE starten Sie direkt von der Kommandozeile. Dabei ist die folgende Aufrufsyntax zu beachten: convert /FS:NTFS [/V] Die Optionen für CONVERT sind in der folgenden Tabelle aufgeführt:
Tabelle 11.5: Optionen von convert.exe
Option
Bedeutung
Der zu konvertierende FAT oder FAT32-Datenträger; gültig sind die Angabe von:
- Laufwerksbuchstaben, gefolgt von Doppelpunkt - Bereitstellungspunkt1 - Datenträgername /FS:NTFS /V /NAMETABLE
Fehlschlag der Konvertierung beim Systemstart
Gibt lediglich nochmals zusätzlich an, dass der Datenträger auf NTFS konvertiert werden soll. Es werden ausführliche Meldungen während der Konvertierung angezeigt. Wichtige Option für eine Umwandlung, falls diese zuvor wegen unzulässiger Dateinamen fehlgeschlagen ist (siehe weiter unten im Text).
Schlägt die automatische Konvertierung beim Systemstart durch CONVERT.EXE fehl, wird dies mit einem Eintrag in der Ereignisanzeige im Anwendungsprotokoll unter WINLOGON festgehalten. Falls die Ursache des Abbruchs auf unzulässige oder ungewöhnliche Dateinamen zurückzuführen ist, kann ein Neustart von CONVERT.EXE mit der Option /NAMETABLE veranlasst werden. Das Programm benutzt dann beim nächsten Systemstart die beim ersten Mal angelegte Namentabelle und wird damit die Konvertierung meist erfolgreich zu Ende bringen können.
1
Zur Einrichtung der Zugriffsmöglichkeiten auf Datenträger siehe auch Abschnitt 11.7 Datenträgerzugriff ändern ab Seite 435.
11.7 Datenträgerzugriff ändern
435
11.7 Datenträgerzugriff ändern Für den Zugriff auf eingerichtete Datenträger auf dynamischen oder Basisfestplatten haben Sie unter Windows 2000 verschiedene Möglichkeiten: •
Laufwerkbuchstaben Die traditionelle Art, auf einen Datenträger zuzugreifen, stellen Laufwerkbuchstaben dar. Dies war schon seit den ersten Versionen von MS-DOS möglich und wurde bis in die heutigen WindowsVersionen hinübergerettet.
Laufwerkbuchstaben
Es sind alle 24 Buchstaben des englischen Alphabets erlaubt. Zwischen Groß- und Kleinschreibung wird nicht unterschieden. Für einen Datenträger kann nur jeweils genau ein Laufwerkbuchstabe definiert werden. Das genaue Vorgehen zum Einrichten und Ändern von Laufwerkbuchstaben ist Inhalt des nächsten Abschnitts. •
Laufwerkpfade Mit einem Laufwerkpfad können Sie einen Datenträger innerhalb einer Ordnerstruktur eines anderen Datenträgers einbinden. Voraussetzung dazu ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundene Datenträgers kann allerdings auch FAT oder FAT32 sein. Beachten Sie, dass bei Einbindung eines FAT oder FAT32formatierten Datenträgers in die Verzeichnisstruktur eines NTFSDatenträgers die erweiterten Benutzerrechte und Eigenschaften wie Verschlüsselung oder Komprimierung von NTFS für diesen nicht gelten. Das genaue Vorgehen zum Definieren und Ändern von Laufwerkpfaden ist Inhalt des Abschnitts 11.7.2 Laufwerkpfade einrichten und ändern ab Seite 437.
11.7.1 Laufwerkbuchstabe zuweisen und ändern Den Laufwerkbuchstaben definieren oder ändern Sie in der Datenträgerverwaltung über das Kontextmenü des entsprechenden Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | LAUFWERKBUCHSTABEN UND –PFAD ÄNDERN.
Laufwerkpfade
436
11 Administration der Massenspeicher
Abbildung 11.51: Kontextmenü eines Datenträgers
Sie gelangen dann zu einem Dialogfenster für die Definition und Änderung der Zugriffsmöglichkeiten zu diesem Datenträger. Abbildung 11.52: Zugriffsmöglichkeiten zu einem Datenträger
Hier werden, falls vorhanden, der aktuell eingestellte Laufwerkbuchstabe und die eventuell definierten Laufwerkpfade angezeigt. Ist noch kein Laufwerkbuchstabe für den Datenträgerzugriff eingerichtet, können Sie über Hinzufügen einen definieren. Zum Ändern eines Laufwerkbuchstaben markieren Sie den bisher gesetzten (siehe Abbildung 11.53) und gehen über die Schaltfläche ÄNDERN. Sie kommen in ein weiteres Dialogfenster, in dem nur die Option LAUFWERKBUCHSTABEN ZUORDNEN aktiv ist. Abbildung 11.53: Ändern des Laufwerkbuchstaben
Wenn schon eingerichtet, wird der aktuell zugewiesene Laufwerkbuchstabe angezeigt. Ist noch kein Buchstabe für diesen Datenträger definiert, wird der nächste freie angeboten. Ändern Sie den Buchstaben nach Ihren Bedürfnissen durch Auswahl aus der Liste.
11.7 Datenträgerzugriff ändern
437
Das Ändern von Laufwerkbuchstaben kann weitreichenden Einfluss auf installierte Anwendungen haben. Führen Sie Änderungen an Datenträgern, die installierte Programme enthalten, deshalb nur mit Bedacht durch. Anderenfalls kann es zu Störungen in Programmfunktionen von Anwendersoftware oder zur generellen Nichtausführbarkeit von Programmen kommen. Windows 2000 schützt sich übrigens wirkungsvoll gegen ungewollte Eingriffe. Für System- und Bootdatenträger lassen sich Laufwerkbuchstaben nachträglich nicht mehr ändern. Es werden nur die Buchstaben zur Auswahl angeboten, die noch verfügbar sind. Wollen Sie einen Laufwerkbuchstaben einem Datenträger zuordnen, der schon verwendet wird, müssen Sie erst bei diesem anderen Datenträger den Buchstaben ändern. Bevor die Änderung des Laufwerkbuchstabens für den Datenträgers in Kraft tritt, werden Sie mit einer Sicherheitsabfrage daran erinnert, dass Auswirkungen an Anwendungsprogrammen auftreten können. Abbildung 11.54: Sicherheitsabfrage
Sind Sie sich über eventuelle Auswirkungen nicht sicher, sollten Sie besser hier mit Klick auf NEIN abbrechen. Wird der Laufwerkbuchstabe des Datenträgers geändert, wird dies gleich durch die Datenträgerverwaltung aktiviert. Ein Neustart des Betriebssystems ist nicht erforderlich.
11.7.2 Laufwerkpfade einrichten und ändern Einen Laufwerkpfad können Sie für beliebige Datenträger, die FAT-, FAT32- oder NTFS-formatiert sein können, einrichten. Nur der Bereitstellungsordner muss sich auf einem NTFS-Datenträger befinden, d.h. der Laufwerkpfad kann nur in eine NTFS-Struktur eingebunden werden. Laufwerkpfade definieren oder ändern Sie in der Datenträgerverwaltung über das Kontextmenü des entsprechenden Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | LAUFWERKBUCHSTABEN UND –PFAD ÄNDERN.
438
11 Administration der Massenspeicher
Abbildung 11.55: Kontextmenü eines Datenträgers
Sie gelangen dann zu einem Dialogfenster für die Definition und Änderung der Zugriffsmöglichkeiten zu diesem Datenträger. Abbildung 11.56: Anzeige der Zugriffsmöglichkeiten zu dem Datenträger
Neuen Laufwerkpfad einrichten Einen neuen Laufwerkpfad erzeugen Sie über HINZUFÜGEN im Dialogfenster. Im folgenden Dialogfenster können Sie den Laufwerkpfad zu einem NTFS-Datenträger eingeben. Abbildung 11.57: Laufwerkpfad hinzufügen
Zu beachten ist, dass Sie hier einen leeren Ordner innerhalb eines anderen, NTFS-formatierten Datenträgers, angeben müssen. Sie können sich die Arbeit ein wenig erleichtern, indem Sie über DURCHSUCHEN komfortabler diesen Ordner aussuchen beziehungsweise erstellen können.
11.7 Datenträgerzugriff ändern
439 Abbildung 11.58: Durchsuchen nach Bereitstellungsordner
Es werden hier nur die NTFS-Festplattendatenträger Ihres Computers angeboten. Wählen Sie einen beliebigen leeren Ordner aus. Sie können über NEUER ORDNER auch einen neuen leeren Ordner erstellen. Eine kleine Falle hat Microsoft bei den Laufwerkpfaden gelegt. Sie Achtung Falle! können einen Laufwerkpfad für einen NTFS-Datenträger innerhalb desselben physischen Datenträgers erstellen. Verzweigen Sie dann rekursiv innerhalb der (sinnlos) verknüpften Datenstrukturen und ändern Dateien, so kann es zu unerwünschten Effekten kommen. Eben geänderte Dateien werden beispielsweise plötzlich nicht mehr wiedergefunden. Abbildung 11.59: Laufwerkpfad eines Datenträgers auf sich selbst
Im Dateisystem NTFS-formatierter Wechseldatenträger können keine WechseldatenLaufwerkpfade anderer Datenträger eingebunden werden. Allerdings träger können Sie für Wechseldatenträger Laufwerkpfade innerhalb anderer NTFS-Datenträger definieren. Nach Abschluss der Definition steht der Laufwerkpfad sofort zur Verfügung. Für den Benutzer oder Applikationen geschieht dies völlig transparent. Es ist praktisch nur ein Ordner hinzugekommen, hinter dem sich real ein weiterer Datenträger mit seiner gesamten Dateistruktur verbirgt.
440
11 Administration der Massenspeicher Beachten Sie, dass die Sicherheitseinstellungen, die Sie für NTFSDatenträger definieren können, sich nicht auf durch Laufwerkpfade eingebundene Datenträger ausdehnen, die mit dem FAT- oder FAT32Dateisystem formatiert sind. Das Erstellen von Laufwerkpfaden erfordert keinen Neustart des Systems.
Laufwerkpfad löschen Einen gesetzten Laufwerkpfad löschen Sie über ENTFERNEN im Dialogfenster für die Änderung der Zugriffsmöglichkeiten. Abbildung 11.60: Sicherheitsabfrage vor dem Löschen
Bevor der Vorgang durch die Datenträgerverwaltung ausgeführt wird, erhalten Sie eine letzte Sicherheitsabfrage. Die Löschung des Laufwerkpfads eines Datenträgers kann Auswirkung auf das richtige Funktionieren von Anwendungsprogrammen haben. Die Löschung des Laufwerkpfades wird sofort – ohne einen Neustart zu benötigen – wirksam. Dabei wird der Bereitstellungsordner nicht physisch gelöscht, sondern steht weiterhin als jetzt leerer Ordner zur Verfügung.
Laufwerkpfad ändern Einmal gesetzte Laufwerkpfade können nachträglich leider nicht geändert werden. Es bleibt Ihnen nur der Weg, den Laufwerkpfad zu löschen und einen neuen zu definieren (siehe oben).
11.7.3 Das Kommandozeilen-Tool Mountvol.exe Alternativ zu den grafischen Tools über die Datenträgerverwaltung können Sie Bereitstellungspunkte auch mit dem Programm MOUNTVOL.EXE ändern.
11.7 Datenträgerzugriff ändern
441
mountvol [] mountvol [] /D mountvol [] /L Der Aufruf von MOUNTVOL ohne eine weitere Angabe bringt eine kurze Erklärung der Syntax sowie eine Liste aller eingerichteten Bereitstellungspunkte auf den Bildschirm. Die folgende Tabelle enthält die Erklärung aller Optionen:
Option
Erklärung Gibt den Laufwerksbuchstaben an, unter dem der Datenträger verfügbar sein soll (siehe Hinweis unten)
Tabelle 11.6: Optionen von Mountvol.exe
oder Gibt den Laufwerksbuchstaben des Datenträgers an, auf dem die Bereitstellung in dem unter abgegebenen Ordner eingerichtet werden soll.
Angabe des Laufwerkspfades, der als Bereitstellungsort eingerichtet werden soll. Dieser muss bereits als leerer Ordner auf dem NTFS-Datenträger bereitstehen.
Ist die eindeutige Bezeichnung des Datenträgers, für den die Bereitstellung erzeugt werden soll. /D
Löscht den angegebenen Bereitstellungspunkt. Zurück bleibt ein normaler leerer Ordner.
/L
Zeigt den Namen des bereitgestellten Datenträgers an.
Die folgenden Beispiele zeigen die praktische Nutzung des Pro- Beispiele gramms MOUNTVOL: mountvol d:\laufwerkc\ \\?\Volume{0e856d12-bd ... 07-2696f}\ Hier wird auf dem NTFS-Datenträger D: im Verzeichnis \laufwerkc der Datenträger C: eingebunden. Die genaue Datenträgerbezeichnung entnehmen Sie einfach der Ausgabe, die Sie mit dem Aufruf von MOUNTVOL ohne Optionen erhalten. Der folgenden Aufruf löscht den eingerichteten Bereitstellungspunkt wieder: mountvol d:\laufwerkc /D Das nächste Beispiel richtet für den angegebenen Datenträger den Laufwerkbuchstaben H: ein: mountvol h: \\?\Volume{70b58f1b- … -404e57434431}\ Für jeden Datenträger lässt sich nur genau ein Laufwerkbuchstabe einrichten. Wollen Sie den Zugriff für einen Datenträger über einen
442
11 Administration der Massenspeicher anderen Laufwerkbuchstaben ermöglichen, müssen Sie zuvor den vorhandenen Laufwerkbuchstaben entfernen. mountvol H: /D Dieser Aufruf entfernt den Zugriff über den Laufwerkbuchstaben für den entsprechenden Datenträger.
11.8 Erweiterte NTFS-Attribute Die folgenden erweiterten NTFS-Attribute können Sie für Dateien und Ordner und teilweise auch für ganze Datenträger setzen: Tabelle 11.7: Erweiterte NTFSAttribute
Attribut
Beschreibung
zu setzen für
Komprimierung
Komprimiert Dateien mit dem NTFS- Datenträger, Kompressionsalgorithmus (siehe auch Dateien und Abschnitt 5.4.6 Komprimierung ab Seite Ordner 168).
Indizierung
Bezieht gekennzeichnete Dateien und Datenträger, Ordner mit in den Indexdienst ein Dateien und (siehe auch Abschnitt 4.6 Der Index- Ordner dienst ab Seite 123).
Verschlüsselung
Verschlüsselt gekennzeichnete Datei- Dateien und en über das Verschlüsselnde Dateisys- Ordner tem (siehe auch Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166).
In den folgenden Abschnitten wird erläutert, wie Sie diese Attribute setzen und entfernen können und was es dabei zu beachten gilt.
11.8.1 Aktivieren der Komprimierung Für Datenträger, die mit dem Dateisystem NTFS formatiert sind, können Sie eine integrierte Komprimierungsfunktion für Dateien nutzen. Diese Komprimierung ist als Dateiattribut transparent für Anwendungen implementiert. Dabei können Sie entscheiden, ob nur für bestimmte Dateien beziehungsweise Ordner oder den gesamte Datenträger die Komprimierungsfunktion des Dateisystems eingesetzt werden soll. Die Komprimierung können Sie, immer ausreichend Speicherplatz vorausgesetzt, auch jederzeit teilweise oder ganz rückgängig machen. Grafisch oder mit compact.exe
Die Komprimierung von Dateien beziehungsweise das Setzen des Attributs für ganze Ordner wird über die entsprechenden Eigenschaften-
11.8 Erweiterte NTFS-Attribute
443
Fenster der Datenträger, Dateien und Ordner ermöglicht oder mit dem Kommandozeilen-Tool COMPACT.EXE (siehe Seite 446). Für mehr Übersichtlichkeit lassen sich komprimierte Dateien und Farbige Anzeige Ordner im Windows Explorer farbig hervorgehoben darstellen. Öff- komprimierter nen Sie dazu im Explorerfenster über das Hauptmenü EXTRAS die Dateien Ordneroptionen und aktivieren Sie dort im Abschnitt ANSICHT den Eintrag KOMPRIMIERTE DATEIEN UND ORDNER IN ANDERER FARBE ZEIGEN. Abbildung 11.61: Einstellen der andersfarbigen Anzeige komprimierter Objekte
Aktivieren der Komprimierung über das EigenschaftenFenster Der einfachste Weg für das Aktivieren der Komprimierung ist das Setzen des entsprechenden Kontrollkästchens im EigenschaftenFenster. Die folgende Abbildung zeigt das Fenster für einen Datenträger. Bei Dateien und Ordner finden Sie das Kontrollkästchen in den erweiterten Eigenschaften.
444
11 Administration der Massenspeicher
Abbildung 11.62: Allgemeine Eigenschaften eines NTFS-Datenträgers
Aktivieren Sie die Komprimierung für einen Datenträger als Ganzen oder in einem Verzeichnis, erscheint ein Dialogfenster, um das weitere Vorgehen zu bestimmen. Abbildung 11.63: Einstellen des Komprimierungsziels
Bestimmen Sie, ob das Komprimierungsattribut nur für das Stammverzeichnis des Datenträgers beziehungsweise des aktuelle Verzeichnis gesetzt werden soll oder ob die darunter liegenden Objekte gleich mit einbezogen werden sollen. •
Übernehmen der Änderung für das (Stamm-)verzeichnis Es werden keine bisher in dem Verzeichnis befindlichen Dateien oder Ordner komprimiert. Neue Dateien oder Ordner, die Sie darin speichern beziehungsweise kopieren, werden hingegen standardmäßig mit dem Komprimierungsattribut versehen und komprimiert.
11.8 Erweiterte NTFS-Attribute •
445
Übernehmen der Änderung für alle Dateien und Verzeichnisse Für alle bisher bestehenden Dateien und Unterverzeichnisse werden die Attribute gesetzt und die Dateien komprimiert. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen. Abbildung 11.64: Fortschrittsanzeige beim Komprimieren bestehender Daten
Nach dem Komprimieren der bestehenden Daten werden auch zukünftig alle neu in das betreffende Verzeichnis gespeicherten oder kopierten Daten komprimiert.
Nachteile der Komprimierung für einen ganzen Datenträger Die Aktivierung der Komprimierung für den gesamten Datenträger kann auch Nachteile mit sich bringen: •
Sind viele Dateien dabei, die sich nur schlecht oder gar nicht weiter komprimieren lassen, kosten die Komprimierungsanstrengungen des Betriebssystems lediglich Performance, ohne einen Nutzen zu erbringen. Beispielsweise lassen sich diese Dateitypen meist nur schlecht bis gar nicht komprimieren, da sie durch die Anwendungsprogramme, die sie erzeugt haben, bereits komprimiert worden sind:
•
Adobe PDF
•
CorelDraw (DRW)
•
Microsoft Powerpoint (PPT) Hinzu kommen ausführbare Programme (EXE, DLL).
•
Komprimierte Dateien können durch das Verschlüsselnde Dateisystem (siehe auch Abschnitt 11.8.3 Aktivieren der Verschlüsselung ab Seite 449) nicht für einen geschützten Zugriff verschlüsselt werden. Ebenso lassen sich verschlüsselte Dateien nicht nachträglich komprimieren.
Zu empfehlen ist die Prüfung, inwieweit eine Aktivierung der Komp- Teilweise rimierung nur für bestimmte Ordner, die vorrangig gut komprimier- Komprimierung bare Dateien enthalten, der bessere Weg ist.
446
11 Administration der Massenspeicher Überprüfung der Kompressionsrate Die erreichte Kompressionsrate können Sie dem Eigenschaften-Fenster der entsprechenden Datei oder des Ordners entnehmen.
Abbildung 11.65: Angabe der komprimierten Größe
Im Feld GRÖßE AUF DATENTRÄGER wird der Speicherplatz angegeben, den die Datei tatsächlich auf dem Datenträger einnimmt. Dekomprimierung
Die Dekomprimierung erfolgt analog zur Komprimierung, nur dass dann das Attribut gelöscht wird. Ebenso können Sie wieder entscheiden, ob dieser Vorgang für das Stammverzeichnis oder für den gesamten Datenträger (entspricht Abbildung 11.63 auf Seite 444) gelten soll. Bereits vorhandene, komprimierte Daten werden dabei nicht komprimiert, neue dagegen werden schon.
Aktivieren der Komprimierung mit compact.exe Das Kommandozeilen-Tool COMPACT.EXE erlaubt die Aktivierung beziehungsweise Deaktivierung der NTFS-Komprimierung über die Kommandozeile. Damit haben Sie eine einfache Möglichkeit, die Komprimierung über eine Stapelverarbeitungsdatei zu steuern. Der Aufruf von COMPACT ohne weitere Angaben listet den Status der Komprimierung der Dateien und Ordner im aktuellen Verzeichnis auf. Weitere mögliche Varianten des Aufrufs sind die folgenden: compact [/C | /U] compact [/C | /U] compact [/C | /U] [/S[:]] Die ersten Variante des Aufrufs setzt das Komprimierungsattribut für die spezifizierten Dateien. Dabei werden diese entsprechend gleich komprimiert beziehungsweise dekomprimiert. Die zweite Variante setzt oder löscht das Komprimierungsattribut für ein Verzeichnis. Eventuell in diesem Verzeichnis enthaltene Dateien werden so aber nicht berührt. Wird das Komprimierungsattribut akti-
11.8 Erweiterte NTFS-Attribute
447
viert, so werden alle Dateien, die in das Verzeichnis neu aufgenommen werden, automatisch komprimiert. Die dritte Variante setzt das Komprimierungsattribut für das spezifizierte Verzeichnis und bearbeitet dabei alle darin enthaltenen Dateien mit. Dateien, bei den die Attribute Versteckt, System oder Schreibgeschützt gesetzt sind, werden beim Abarbeiten von COMPACT trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /A erreichen. In der folgenden Tabelle finden Sie alle Optionen des Programms compact.exe in einer Übersicht:
Option /C
Tabelle 11.8: Optionen von Setzt das Komprimierungsattribut für die angegebenen Compact.exe
Erklärung
Dateien oder Verzeichnisse. /U
Löscht das Komprimierungsattribut für die angegebenen Dateien oder Verzeichnisse.
/S
Führt die Komprimierungs- beziehungsweise Dekomprimierungsvorgänge für alle Dateien des aktuellen (ohne Angabe) oder des spezifizierten Verzeichnisses durch (bei Angabe hinter /S).
Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen.
Name des entsprechenden Verzeichnisses oder Pfades. /A
Anzeige auch der Dateien, die über die Attribute Versteckt oder System verfügen.
/I
Ignoriert auftretende Fehler und setzt Komprimierungen oder Dekomprimierungen trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.
/F
Es werden bei einem Komprimierungsvorgang auch die Dateien neu komprimiert, die schon komprimiert vorliegen. Standardmäßig würde diese übersprungen werden.
/Q
Die Anzeige des Programms Compact.exe wird auf wenige Details beschränkt.
Das Komprimierungsattribut lässt sich natürlich auch mit COMPACT Rechte beachten nur für die Datenträger, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer die Zugriffsrechte besitzen.
448
11 Administration der Massenspeicher
11.8.2 Setzen des Index-Attributs Im NTFS-Dateisystem haben Sie die Möglichkeit, mit einem speziellen Attribut eine Datei, ein Verzeichnis oder einen ganzen Datenträger als indizierbar oder nicht indizierbar zu markieren. Dieses NTFS-Attribut bestimmt allerdings lediglich, dass die betreffenden Dateien und Verzeichnisse explizit durch den Indexdienst erfasst werden dürfen oder nicht. Um diese Dateien in den Index aufnehmen zu können, müssen Sie zuerst natürlich die entsprechenden Kataloge mit dem Indexdienst einrichten. Die Konfiguration des Indexdienstes ist Inhalt des Abschnitts 11.12 Indexdienst einrichten ab Seite 479. Index-Attribut nur bei NTFS
Dateien und Ordner auf anderen Datenträgern, die nicht mit NTFS formatiert sind, können natürlich trotzdem durch den Indexdienst bearbeitet werden. Es steht dort allerdings kein derartiges IndexAttribut zur Verfügung, mit dem Sie den Indexdienst gezielt steuern können. Die Einbeziehung eines Datenträgers, eines Verzeichnisses oder einer Datei durch den Indexdienst können Sie über das entsprechende Eigenschaften-Fenster aktivieren.
Abbildung 11.66: Indizierung aktivieren
Setzen Sie das Attribut für einen Datenträger oder ein Verzeichnis, können Sie bestimmen, ob bisher darin untergeordnet gespeicherte Daten mit einbezogen werden sollen. •
Übernehmen der Änderung für das (Stamm-)verzeichnis
11.8 Erweiterte NTFS-Attribute
449
Es werden keine bisher gespeicherten Dateien oder Ordner in den Vorgang einbezogen. Neue Dateien oder Ordner, die Sie auf den Datenträger oder in das betreffende Verzeichnis speichern beziehungsweise kopieren, werden hingegen standardmäßig indiziert (bei Setzen des Attributs) oder nicht mehr im Index berücksichtigt (beim Löschen). •
Übernehmen der Änderung für alle Dateien und Verzeichnisse Für alle bisher bestehenden Dateien und Unterverzeichnisse wird das Indexattribut gesetzt beziehungsweise entfernt. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen.
Nur wenn der Indexdienst auch ausgeführt wird, können das NTFSAttribut der entsprechenden Dateien und Ordner ausgewertet und die Vorteile der Indizierung genutzt werden. Der Indexdienst und seine Einrichtung sind Inhalt des Abschnittes 11.12 Indexdienst einrichten ab Seite 479.
11.8.3 Aktivieren der Verschlüsselung Jeder Benutzer kann seine Dateien und Ordner auf einem NTFSDatenträger über das Verschlüsselnde Dateisystem (EFS) vor unerlaubtem Einblick durch Verschlüsselung schützen. Diese Funktion ist als Dateiattribut transparent für Anwendungen implementiert und kann nicht zusammen mit der Komprimierung eingesetzt werden (siehe Abschnitt 11.8.1 Aktivieren der Komprimierung ab Seite 442). Sie können entscheiden, ob das Attribut nur für bestimmte Dateien oder ganze Ordner beziehungsweise Datenträger gesetzt werden soll. Bedenken Sie, dass die Verschlüsselung letztendlich auch Performance kostet und nur für Dokumente Sinn macht, die auch wirklich geschützt werden müssen. Mehr zu den Grundlagen des Verschlüsselnden Dateisystems erfahren Sie in Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166. Allein das Setzen des EFS-Verschlüsselungsattributs reicht für eine EFS anwenden wirklich sichere Ablage von Dateien noch nicht aus. Lesen Sie in Ab- reicht nicht! schnitt 8.3 Absicherung lokaler Daten ab Seite 267, wie Sie Ihr System maximal absichern können. Die Verschlüsselung von Dateien beziehungsweise das Setzen des Att- Grafisch oder mit ributs für ganze Ordner wird über die entsprechenden Eigenschaften- cipher.exe Fenster ermöglicht. Alternativ dazu können Sie auch das Kommandozeilen-Tool CIPHER.EXE (siehe Seite 451) benutzen.
450
11 Administration der Massenspeicher Setzen der Verschlüsselung über das Eigenschaften-Fenster Der einfachste Weg für das Setzen des Verschlüsselungsattributs ist über das entsprechende Kontrollkästchen im Eigenschaften-Fenster. Die folgende Abbildung zeigt das Fenster für einen Ordner.
Abbildung 11.67: Setzen der Verschlüsselung für einen Ordner
Aktivieren Sie die Verschlüsselung für einen Ordner über das Eigenschaften-Fenster und bestätigen mit OK oder ÜBERNEHMEN, erscheint das folgende Dialogfenster, um das weitere Vorgehen zu bestimmen: Abbildung 11.68: Optionen zum Setzen des Verschlüsselungs-Attributs
Sie können entscheiden, ob das Setzen des Attributs nur für den angegebenen Ordner oder auch für alle darin bisher enthaltenen Objekte übernommen werden soll. Funktionen verschlüsselter Ordner
Ordner, die über das gesetzte Verschlüsselungsattribut verfügen, verschlüsseln automatisch alle Dateien und Ordner, die in diese kopiert oder verschoben werden. Komprimierte Dateien werden dabei dekomprimiert und ebenfalls verschlüsselt. Dies kann je nach Größe der
11.8 Erweiterte NTFS-Attribute
451
Datei auch einen Moment dauern, da das EFS dann eine temporäre Datei anlegt, in welche die dekomprimierte Datei übertragen und verschlüsselt wird. Die Entschlüsselung der entsprechenden Dateien und Ordner ge- Entschlüsselung schieht für den Benutzer transparent. Beim Öffnen einer Datei wird diese automatisch entschlüsselt und dann an die Anwendung übergeben. Das betrifft auch das Kopieren einer verschlüsselten Datei zwischen Datenträgern. Vor dem Kopieren wird diese entschlüsselt und in Abhängigkeit von der Fähigkeit des Dateisystems des Zieldatenträgers wieder verschlüsselt. Auf einem FAT- oder FAT32-Datenträger wird die Datei also unverschlüsselt abgelegt. Für den Netzwerktransport trifft dies allerdings auch zu. Über das EFS heißt nicht Netzwerktransportmedium (beispielsweise Kabel oder Funk) wan- sicherer Netzwerkdern nur die unverschlüsselten Daten. Wollen Sie eine sichere Verbin- transport! dung aufbauen, die für eine Chiffrierung des Datenstroms sorgt, müssen Sie andere Tools wie beispielsweise IPSec zum Einsatz bringen (siehe auch Kapitel 12 Administration von Netzwerken ab Seite 493). Das Löschen des Verschlüsselungs-Attributs erfolgt analog dem Set- Löschen des zen. Sie können das über die erweiterten Eigenschaften des Eigen- Verschlüsselungsschaften-Fenster der betreffenden Dateien oder Ordner oder mit Hilfe Attributs des Kommandozeilen-Tools CIPHER.EXE vornehmen. Mit dem Löschen des Attributs werden die betreffenden Dateien gleich entschlüsselt.
Aktivieren der Verschlüsselung mit CIPHER.EXE Das Kommandozeilen-Tool CIPHER.EXE erlaubt die Aktivierung beziehungsweise Deaktivierung des Verschlüsselungsattributs über die Kommandozeile. Damit haben Sie eine einfache Möglichkeit, die Verschlüsselung über eine Stapelverarbeitungsdatei zu steuern. Der Aufruf von CIPHER ohne weitere Angaben listet den Status der Verschlüsselung der Dateien und Ordner im aktuellen Verzeichnis auf. Die möglichen Varianten des Aufrufs sind die folgenden: cipher cipher [/E | /D] /S: [] cipher [/E | /D] [] cipher [/E | /D] /A [] cipher /K Die zweite Variante setzt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Dateien und Unterordner.
452
11 Administration der Massenspeicher Die dritte Variante setzt die Verschlüsselung nur für das angegebene Verzeichnis. Die vierte Variante setzt die Verschlüsselung für die angegebene Datei; Sie können auch mehrere Dateien oder Platzhalter wie *.* angeben. Beachten Sie, dass Sie die Option /A angeben, damit der Vorgang für Dateien überhaupt durchgeführt wird. Dateien, bei denen die Attribute VERSTECKT, SYSTEM oder SCHREIBGESCHÜTZT gesetzt sind, werden beim Abarbeiten von CIPHER trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /H erreichen.
Neuen Schlüssel erzeugen
Die Option /K in der fünften Variante erzeugt einen neuen Schlüssel für den Benutzer, der aktuell angemeldet ist und CIPHER aufruft. Dies macht eigentlich nur dann Sinn, wenn Sie den alten Schlüssel mit dem bisherigen Zertifikat aus Sicherheitsgründen entfernen möchten. Beachten Sie, dass Sie zuvor alle mit dem alten Schlüssel verschlüsselten Dateien entschlüsseln, da Sie sonst nicht mehr in der Lage sein werden, diese Dateien zu dechiffrieren. In der folgenden Tabelle finden Sie alle Optionen des Programms CIPHER in einer Übersicht:
Tabelle 11.9: Optionen von cipher.exe
Option
Erklärung
/E
Setzt das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.
/D
Löscht das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.
/S: Setzt oder entfernt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Objekte.
Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen.
Name des entsprechenden Verzeichnisses oder Pfades.
/A
Setzt oder entfernt das Verschlüsselungsattribut sowohl bei Verzeichnissen als auch bei Dateien.
/I
Ignoriert auftretende Fehler und setzt den Vorgang trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.
/F
Es werden bei einem Verschlüsselungsvorgang auch die Dateien neu verschlüsselt, die schon verschlüsselt vorliegen. Standardmäßig würden diese übersprungen werden.
11.9 NTFS-Zugriffsrechte einstellen
Option
453
Erklärung
/Q
Die Anzeige des Programms cipher wird auf wenige Details beschränkt.
/H
Zeigt während der Abarbeitung auch versteckte oder Dateien an, für die das Systemattribut gesetzt ist.
/K
Es wird ein neuer EFS-Schlüssel für den aktuellen Benutzer erstellt.
Das Verschlüsselungsattribut lässt sich natürlich auch mit CIPHER nur Rechte beachten für die Datenträger, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer die Besitzrechte besitzen.
11.9 NTFS-Zugriffsrechte einstellen Unter Windows 2000 können Sie für Dateien und Ordner die entsprechenden NTFS-Sicherheitsattribute setzen und Überwachungen von Dateien und Ordnern aktivieren.
11.9.1 Setzen von Benutzerrechten Nur mit dem NTFS-Dateisystem können Sie gezielt Benutzerrechte für Dateien und Ordner vergeben. Im Attribut SICHERHEITSBESCHREIBUNG einer Datei oder eines Ordners sind die Zugriffsrechte hinterlegt. Diese sogenannte Access Control List (ACL) legt genau fest, wer in welchem Umfang welche Rechte besitzt. Mehr zu den Grundlagen zur NTFS-Zugriffsrechten erfahren Sie in Abschnitt 5.4.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 164. Sie können diese Sicherheitseinstellungen über das EigenschaftenFenster einer Datei oder eines Ordners oder über das Kommandozeilen-Tool CACLS.EXE (siehe Seite 461) setzen. Im Eigenschaften-Fenster, erreichbar über das Kontextmenü zu einer Datei oder einem Ordner, finden Sie die gesetzten Zugriffsberechtigungen.
454
11 Administration der Massenspeicher
Abbildung 11.69: Ändern der Sicherheitseinstellungen
Im Feld NAME sind die Benutzer und Gruppen aufgelistet, für die Zugriffsrechte definiert worden sind. Im Feld BERECHTIGUNGEN sehen Sie die aktuellen Einstellungen für den oben ausgewählten Eintrag. Vererbte Berechtigungen
Bevor Sie mit dem Ändern der Berechtigungen beginnen, ist es wichtig, die Sicherheitsprinzipien richtig verstanden zu haben. Standardmäßig werden im NTFS-Dateisystem die Berechtigungen vom übergeordneten Verzeichnis geerbt. Damit können Sie Änderungen an Berechtigungen deutlich einfacher und schneller durchführen. Sie müssen lediglich die oberste Organisationseinheit ändern. Alle enthaltenen Verzeichnisse und Dateien erben dann diese Einstellungen und brauchen nicht separat geändert zu werden.
Vererbte Berechtigungen ändern
Das bedeutet aber auch, dass Sie dies bei der spezifischen Änderung von Zugriffsrechten an bestimmten Dateien und Ordnern beachten müssen. Werden die Kontrollkästchen grau schattiert dargestellt (siehe Abbildung 11.69), sind diese Berechtigungen vom übergeordneten Objekt geerbt worden. Möchten Sie diese ändern, aktivieren Sie das entsprechende Kontrollkästchen für die Verweigerung der bestimmten Rechte. Verweigerungen haben immer Vorrang vor der Zulassung eines Rechts. Entziehen Sie beispielsweise der Gruppe Jeder alle Zugriffsrechte, kann niemand mehr, auch nicht der Administrator, auf die betreffende Datei zugreifen. Lediglich der Besitzer kann die Zugriffsrechte dann wieder ändern. Möchten Sie generell ein geerbtes Zugriffsrecht entfernen, beispielsweise den Eintrag JEDER, um einer bestimmten Gruppe den Zugriff zu
11.9 NTFS-Zugriffsrechte einstellen
455
erteilen, so müssen Sie die Vererbung vom übergeordneten Objekt deaktivieren. Beim Deaktivieren der Vererbung, stellt sich die folgende Frage: Sollen Vererbung alle bisher geerbten Sicherheitseinstellungen entfernt werden, das Ob- deaktivieren jekt also enterbt werden? Oder ist es besser, die geerbten Sicherheitseinstellungen zu behalten, um sie dann entsprechend zu modifizieren? Das Dialogfenster, was sich beim Deaktivieren des Kontrollkästchens für die Vererbung öffnet, weist Sie auf diese Problematik hin. Abbildung 11.70: Entfernen übergeordneter Berechtigungen
Meist ist es besser, die bisher geerbten Sicherheitseinstellungen auf das Objekt zu kopieren, um sie dann entsprechend anzupassen. So können Sie beispielsweise aus dem übernommenen Vollzugriff für Jeder eine Leseberechtigung und einen Vollzugriff für die Benutzer der Gruppe Management machen. Sie sollten dabei aber vorrangig mit Zulassungen arbeiten, da Verwei- Verweigerungen gerungen immer Vorrang haben. Verweigern Sie beispielsweise expli- haben Vorrang zit das Schreibrecht für Jeder, so kann niemand mehr, auch nicht der Administrator, die Datei ändern.
11.9.2 Erweiterte Einstellungen und Überwachung Über die Schaltfläche ERWEITERT der Sicherheitseinstellungen können Sie die erweiterten Zugriffseinstellungen und die Überwachung festlegen sowie die Besitzrechte für Dateien und Ordner ändern.
Erweiterte Zugriffseinstellungen Die erweiterten Zugriffseinstellungen erlauben Ihnen eine sehr differenzierte Festlegung aller Benutzerrechte zum aktuellen Objekt.
456
11 Administration der Massenspeicher
Abbildung 11.71: Erweiterte Einstellungen
Die folgenden Punkte finden Sie auf der ersten Seite BERECHTIGUNGEN dieses Dialogfensters: •
BERECHTIGUNGSEINTRÄGE Hier sehen Sie die Liste der Benutzer und Gruppen, für die explizite Zugriffsrechte beziehungsweise -verweigerungen definiert sind. Sie können bestehende entfernen oder ändern (siehe auch Seite 457) sowie neue hinzufügen. Entfernen Sie alle Einträge aus der Liste, sind die betreffenden Daten durch niemanden mehr erreichbar. Lediglich der Besitzer kann dann die Zugriffsrechte neu definieren.
•
VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN Aktivieren Sie diese Option, wenn Sie für das aktuelle Objekt die Rechte des übergeordneten Objekts erben wollen (siehe auch weiter oben im Text).
•
BERECHTIGUNGEN IN ALLEN UNTERGEORDNETEN OBJEKTEN... Wollen Sie für alle untergeordneten Objekte die eventuell individuell gesetzten Zugriffsrechte wieder zurücksetzen, aktivieren Sie diese Option. Dazu muss das aktuelle Objekt ein Verzeichnis sein. Dabei wird nach dem Zurücksetzen bei allen untergeordneten Objekten die Vererbung der Zugriffsrechte vom aktuellen, übergeordneten Objekt aktiviert.
11.9 NTFS-Zugriffsrechte einstellen
457
So können Sie beispielsweise für alle Dateien und Ordner, die sich unterhalb des aktuellen Verzeichnisses befinden, die Zugriffsrechte wieder auf einheitliche Werte setzen. Die Berechtigungseinträge in den erweiterten Zugriffseinstellungen Erweitert: können Sie sehr differenziert konfigurieren. Sie haben die Möglichkeit, Berechtigungsfür jeden Benutzer und jede Gruppe explizit Rechte zuzulassen oder einträge ändern zu verweigern. Abbildung 11.72: Erweiterte Berechtigungseinträge
Die folgenden Parameter können Sie für einen Berechtigungseintrag setzen: •
NAME Legen Sie die Gruppe oder den Benutzer fest, für den der Eintrag erstellt werden soll.
•
ÜBERNEHMEN FÜR Legen Sie fest, inwieweit die eingestellten Berechtigungen für diesen Eintrag auch auf untergeordnete Objekte übertragen werden sollen. Wollen Sie beispielsweise einen Berechtigungseintrag nur durch die untergeordneten Verzeichnisse erben lassen, so ändern Sie hier die Option auf DIESEN ORDNER, UNTERORDNER. Dateien bleiben dann von diesem Eintrag unberührt.
•
BERECHTIGUNGEN
458
11 Administration der Massenspeicher Die Liste der Berechtigungen ist hier ausführlicher in die einzelnen Unterberechtigungen zerlegt. Sicher ist es wenig sinnvoll, diese alle speziell für einzelne Dateien einzustellen. Aber für einen übergeordneten Ordner, der diese Berechtigungen dann vererbt, können Sie so sehr genau festlegen, was erlaubt ist und was nicht. •
BERECHTIGUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER... Aktivieren Sie diese Option, wenn die gesetzten Sicherheitseinstellungen nur auf die erste Ebene der direkt in diesem Verzeichnis befindlichen weiteren Verzeichnisse oder Dateien vererbt werden sollen. Wollen Sie hingegen, dass sich die Einstellungen auf alle anderen untergeordneten Dateien und Verzeichnisse des ganzen Baumes vererben, was im Normalfall gewünscht wird, lassen Sie diese Option deaktiviert.
Überwachung von Dateien und Ordnern definieren Überwachungseinträge im Ereignisprotokoll
Für NTFS-Dateien und Ordner können Sie Überwachungen einrichten. Dabei wird der Zugriff auf die spezifizierten Objekte im EREIGNISPROTOKOLL (siehe auch Abschnitt 16.2 Ereignisanzeige ab Seite 715) unter SICHERHEIT protokolliert. Da dies auch Performance kostet, sollten Sie gut überlegen, welche Dateien und Ordner wirklich überwacht werden müssen. Damit die Überwachung überhaupt stattfinden kann, muss die Überwachungsrichtlinie OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN entsprechend aktiviert werden.
Abbildung 11.73: Überwachungsrichtlinie aktivieren
Mit Doppelklick auf OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN aktivieren Sie die lokale Sicherheitsrichtlinie.
11.9 NTFS-Zugriffsrechte einstellen
459 Abbildung 11.74: Objektszugriffsversuche überwachen
Für die Überwachung lässt sich definieren, ob diese bei erfolgreicher oder fehlgeschlagener Aktion (oder beides) auf die zu überwachenden Objekte eine entsprechende Ereignismeldung generieren soll. Für die Überwachung von hochsensiblen Dateien und Ordnern kann beides wichtig sein. Für die Einrichtung einer Überwachung fügen Sie einfach einen neuen Eintrag zu der Liste der Überwachungen hinzu. Abbildung 11.75: Überwachungen einrichten
Geben Sie zunächst das Konto des Benutzers, der Gruppe oder ein Systemkonto an, für welches die Überwachung gelten soll. Danach spezifizieren Sie die zu überwachenden Aktionen.
460
11 Administration der Massenspeicher
Abbildung 11.76: Festlegen der Überwachungsaktion
Legen Sie bei der Aktion fest, ob eine erfolgreiche Durchführung oder ein fehlgeschlagener Versuch (oder beides) protokolliert werden soll. Weitere Einstellungen in diesem Dialogfenster sind: •
ÜBERNEHMEN FÜR Legt fest, inwieweit die eingestellten Überwachungen für diesen Eintrag auch auf untergeordnete Objekte übertragen werden sollen. Wollen Sie beispielsweise einen Überwachungseintrag nur durch die untergeordneten Verzeichnisse erben lassen, so ändern Sie hier die Option auf DIESEN ORDNER, UNTERORDNER. Dateien bleiben dann von diesem Eintrag unberührt.
•
ÜBERWACHUNGEN Die Liste der Überwachungen ist dabei ausführlicher in die einzelnen Unter-Überwachungen zerlegt. Sicher ist es wenig sinnvoll, alle speziell für einzelne Dateien einzustellen. Aber für einen übergeordneten Ordner, der diese Überwachungen dann vererbt, können Sie so sehr genau festlegen, was erlaubt ist und was nicht.
•
ÜBERWACHUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER... Aktivieren Sie diese Option, wenn die gesetzten Überwachungseinstellungen nur auf die erste Ebene der direkt in diesem Ver-
11.9 NTFS-Zugriffsrechte einstellen
461
zeichnis befindlichen weiteren Verzeichnisse oder Dateien vererbt werden sollen. Wollen Sie hingegen, dass sich die Überwachungseinstellungen auf alle anderen untergeordneten Dateien und Verzeichnisse des ganzen Baumes vererben, was im Normalfall gewünscht wird, lassen Sie diese Option deaktiviert.
Besitzrechte ändern Grundlage der Zugriffssteuerung im NTFS-Dateisystem über Benut- Besitz ist alles zerberechtigungen sind die Eigentumsverhältnisse an Dateien und Ordnern. Die Besitzrechte sowie die Vergabe des Rechtes auf Übernahme des Besitzes sind strikt geregelt. Haben Sie die Berechtigung zum Ändern der Besitzrechte, können Sie über das EigenschaftenFenster und die erweiterten Zugriffseinstellungen den Besitz an dem betreffenden Objekt übernehmen. Abbildung 11.77: Übernahme des Besitzes
Sie können den Besitz nur jeweils auf sich selbst übertragen, das heißt, auf den aktuell angemeldeten Benutzer. Dieser muss dazu allerdings das Recht auf Besitzübernahme haben.
11.9.3 Das Kommandozeilen-Tool CACLS.EXE Mit dem Kommandozeilen-Tool CACLS.EXE können Sie die Zugriffsberechtigungen (Access Control List – ACL) von Dateien und Ordnern
462
11 Administration der Massenspeicher setzen oder ändern. Nicht beeinflussen können Sie damit allerdings Überwachungen oder Besitzverhältnisse. Die Syntax für den Aufruf des Programms lautet: cacls cacls [] /G <user>: cacls [] /P <user>: cacls /E [] /R <user> cacls [] /D <user> In der folgenden Tabelle finden Sie die Erläuterungen zu den Bestandteilen der Syntax:
Tabelle 11.10: Optionen von cacls.exe
Option
Bedeutung
Die zu bearbeitenden Dateien oder Ordner; es sind auch Platzhalter wie *.* zulässig. Der Aufruf allein mit zeigt die gesetzten ACLs für die betreffenden Dateien und Ordner an.
/G <user>:
Die folgenden Optionen beeinflussen CACLS: /T
Änderung der ACLs im aktuellen und in allen untergeordneten Verzeichnissen
/E
Bearbeitet die bestehende ACL der betreffenden Dateien und Ordner, ohne sie zu ersetzen
/C
Fährt mit der Abarbeitung von cacls fort, auch wenn Fehler aufgetreten sind (beispielsweise Zugriffsverletzungen); eignet sich damit für den Einsatz in Stapelverarbeitungsdateien
Gewährt einem Benutzer oder einer Gruppe bestimmte in festgelegte Benutzerrechte; kann die folgenden Werte annehmen: R
Read-Only (Lesezugriff)
C
Change (Ändern; Schreiben); beinhaltet R
F
Full (Vollzugriff); beinhaltet R und C
11.10 Dateiattribute bei FAT und FAT32
Option /P <user>:
463
Bedeutung Ersetzt die Zugriffsrechte eines Benutzers oder einer Gruppe; die folgenden Rechte könne bei angegeben werden: N
None (keine Rechte)
R
Read-Only (Lesezugriff)
C
Change (Ändern; Schreiben); beinhaltet R
F
Full (Vollzugriff); beinhaltet R und C
/R <user>
Entfernet (Remove) komplett eine Zugriffsberechtigung für einen Benutzer oder eine Gruppe; muss immer zusammen mit /E angegeben werden
/D <user>
Verweigert explizit den Zugriff für einen bestimmten Benutzer oder eine Gruppe
Um CACLS in Stapeldateien zum automatisierten Abarbeiten von Auf- Einsatz in Stapelgaben einsetzen zu können, benötigen Sie eine Möglichkeit, auftreten- dateien de Bestätigungsfragen mit J (Ja) beantworten zu können. CACLS bietet dazu leider keine entsprechende Option. Sie können dazu aber den Befehl ECHO oder eine ja-Textdatei einsetzen: echo j|cacls … type ja.txt|cacls … Die Datei ja.txt hat nur einen einzigen Buchstaben J als Inhalt sowie einen Zeilenvorschub. Beachten Sie, dass sich vor und nach dem PipeSymbol (|) keine Leerzeichen befinden.
11.10 Dateiattribute bei FAT und FAT32 Die erreichbare Sicherheit für Dateien und Ordner ist auf FAT- bezie- Keine Sicherheit hungsweise FAT32-Datenträgern minimal. Generell können alle Attri- auf FAT/FAT32 bute durch alle Benutzer gesetzt und gelöscht werden. Lediglich bei Netzwerkfreigaben auf FAT/FAT32-Datenträgern sind für alle Benutzer gültige Restriktionen anwendbar. Es lassen sich die folgenden Attribute setzen:
Attribut SCHREIBGESCHÜTZT
Tabelle 11.11: Attribute bei Verhindert das Überschreiben der Datei. Viele An- FAT/FAT32
Auswirkung
wendungsprogramme setzen aber nach einer Rückfrage einfach das Attribut außer Kraft und können dann trotzdem die Datei überschreiben.
464
11 Administration der Massenspeicher
Attribut
Auswirkung
VERSTECKT
Verhindert die Anzeige der Datei mit Standardanzeigeprogrammen für Verzeichnisse (beispielsweise mit DIR). Über manche Anwendungsprogramme oder über eine entsprechende Einstellung des Windows Explorer können diese Dateien aber trotzdem sichtbar werden.
SYSTEM
Versteckt die Datei bei gleichzeitigem Schreibschutz. Soll als besonderer Schutz für Betriebssystemdateien dienen. Vorteil dieses Attributs ist, dass es sich nicht über das Eigenschaften-Fenster der Datei deaktivieren lässt (siehe weiter unten im Text).
ARCHIV
Hat keine Auswirkung auf den Zugriff; wird beispielsweise von Datensicherungsprogrammen genutzt, um die Datei als gesichert zu markieren.
Diese Attribute lassen sich in Windows 2000 über das EigenschaftenFenster oder mittels des Kommandozeilen-Tools ATTRIB.EXE setzen.
Setzen der FAT-Attribute über das Eigenschaften-Fenster Im Eigenschaften-Fenster zu einer Datei oder einem Verzeichnis können Sie die folgenden Attribute setzen oder löschen:
Attribut System
•
SCHREIBGESCHÜTZT
•
VERSTECKT
•
ARCHIV
Eine Ausnahme bildet das Attribut SYSTEM. Da dieses dem besonderen Schutz von Betriebssystemkomponenten dienen soll, wird es dem normalen Benutzer etwas schwerer gemacht, dieses zu ändern. Das ist nur mit dem Kommandozeilen-Tool ATTRIB.EXE möglich und damit dem Gesichtskreis des normalen mausverwöhnten Benutzers zunächst entzogen.
11.10 Dateiattribute bei FAT und FAT32
465 Abbildung 11.78: Setzen der FAT/ FAT32-Attribute
Das Kommandozeilen-Tool attrib.exe Das Dienstprogramm ATTRIB.EXE ermöglicht das Setzen und Löschen von FAT-Attributen von der Kommandozeile aus und ist damit auch für den Einsatz in Stapelverarbeitungsdateien geeignet. Das Tool ATTRIB.EXE funktioniert ausschließlich auf FAT/FAT32Datenträgern. NTFS-Attribute können Sie mit dem Tool CACLS.EXE setzen oder entfernen. Der Aufruf von ATTRIB ohne eine weitere Angabe zeigt die gesetzten Attribute aller Dateien im aktuellen Verzeichnis. Für das Setzen und Entfernen von Attributen gilt die folgende Syntax: attrib ± [[] [] ] [/S [/D]] In der folgenden Tabelle finden Sie die möglichen Optionen zu ATTRIB.EXE:
466 Tabelle 11.12: Optionen zu attrib.exe
11 Administration der Massenspeicher
Option ±
Erklärung Folgende Attribute sind möglich; ein »+« vor dem Attribut setzt dieses, ein »–« entfernt es: R
- Schreibschutz (Read-Only)
A
- Archiv
S
- System
H
- Versteckt (Hidden)
Geben Sie kein Attribut an, werden die aktuell gesetzten Attriburte der entsprechenden Dateien oder Verzeichnisse angezeigt. Beachten Sie die Hinweis auch weiter unten im Text.
Der Datenträger, angegeben über seinen Laufwerkbuchstaben, gefolgt von einem Doppelpunkt
Das Verzeichnis, für das ein Attribut gesetzt werden soll.
Die zu ändernde Datei; Sie können auch Platzhalter wie beispielsweise *.* oder *.txt einsetzen.
/S
Setzt oder entfernt Attribute in untergeordneten Verzeichnissen
/D
Setzt oder entfernt Attribute auch für Ordner selbst
Beim Entfernen von Attributen spielt die Reihenfolge eine Rolle. So ist Reihenfolge beim Entfernen beachten es nicht möglich, für eine Datei, die VERSTECKT und SCHREIBGESCHÜTZT gesetzt ist, allein das Attribut SCHREIBGESCHÜTZT zurückzusetzen. Beispiel
Für die Datei Dokument.txt werden mit ATTRIB.EXE alle Attribute gesetzt: attrib +R +S +H dokument.txt Beim Setzen spielt die Reihenfolge, mit der Sie die Attribut-Optionen angeben, noch keine Rolle (Sie hätten auch +H +R +S eingeben können). Beim Löschen müssen Sie beachten: •
SYSTEM geht vor alle anderen Attribute und muss zuerst entfernt werden
•
VERSTECKT geht vor SCHREIBGESCHÜTZT und muss davor entfernt werden
Für das Entfernen aller Attribute unserer Datei Dokument.txt müssen Sie den Aufruf in der Reihenfolge tätigen:
11.11 Weitere Eigenschaften von Datenträgern
467
attrib -S dokument.txt attrib -H dokument.txt attrib -R dokument.txt Alternativ können Sie auch folgendes schreiben: attrib -S -H -R dokument.txt Wenn Sie alle drei Attribute auf einmal entfernen, ist auch folgende Reihenfolge möglich: attrib -S –R -H dokument.txt Im letzten Beispiel ist darauf zu achten, dass –S am Anfang steht.
11.11 Weitere Eigenschaften von Datenträgern Eigenschaften eines Datenträgers definieren oder ändern Sie in der Datenträgerverwaltung über das entsprechende Kontextmenü oder das Hauptmenü VORGANG | ALLE TASKS | EIGENSCHAFTEN. Sie können die Eigenschaften auch über das Kontextmenü im Windows Explorer aufrufen. Abbildung 11.79: Eigenschaften eines Datenträgers aufrufen
Es öffnet sich das Eigenschaften-Dialogfenster. Hier sind neben allgemeinen Informationen zum Datenträger weitere Funktionen für das Datenträgermanagement erreichbar.
468
11 Administration der Massenspeicher
Abbildung 11.80: EigenschaftenDialogfenster
Die folgenden Funktionen können Sie über das EigenschaftenDialogfenster ausführen: •
Umbenennen eines Datenträgers
•
Bereinigen des Datenträgers von temporären Dateien und Deinstallation von Software
•
Aktivieren der generellen Komprimierung für den Datenträger
•
Indizierung für schnellere Dateisuche aktivieren
•
Überprüfung des Datenträgers auf logische und physische Datenfehler
•
Start der Datensicherung
•
Start des Defragmentierungsprogramms
•
Änderung von Hardwareeinstellungen zu Datenträgern und Hilfe für die Problembehandlung
•
Einrichten der Netzwerkfreigaben und Offline-Verfügbarkeit von Daten
•
Einstellen von benutzerorientierten Sicherheitseinstellungen
•
Aktivieren und Konfigurieren von Datenträgerkontingenten
11.11 Weitere Eigenschaften von Datenträgern Alle diese Funktionen verbergen sich hinter den sechs Registerkarten des Eigenschaften-Fensters und werden in den folgenden Abschnitten detailliert erklärt. Das Ändern der Eigenschaften eines Datenträgers ist dem Administra- AdministratorRechte tor oder einem entsprechend berechtigten Benutzer vorbehalten.
11.11.1
Umbennen eines Datenträgers
Die Datenträgerbezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf einen Datenträger werden allerdings nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe auch Abschnitt 11.7 Datenträgerzugriff ändern auf Seite 435). Eine Datenträgerbezeichnung können Sie über die folgenden Verfahren ändern: •
Im Windows Explorer über Arbeitsplatz Gehen Sie über die Option UMBENENNEN des Kontextmenüs des Datenträgers, wird die Datenträgerbezeichnung zu einem editierbaren Feld und kann geändert werden.
•
Im Eigenschaften-Dialogfenster (siehe Seite 467) In der Allgemeinen Übersichtsseite des Eigenschaften- Dialogfenster des Datenträgers können Sie die Datenträgerbezeichnung direkt ändern.
FAT-Datenträger können Sie mit einer bis zu 11 Zeichen umfassenden Bezeichnung versehen. Ausgenommen sind die folgenden Zeichen: * ? / \ | . , ; : + = [ ] < > " Die Datenträgerbezeichnung für NTFS-Datenträger hingegen kann 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen.
11.11.2
Bereinigen des Datenträgers
Über den Punkt LAUFWERK BEREINIGEN in der allgemeinen Auswahl zu den Datenträgereigenschaften können Sie ein nützliches Werkzeug aufrufen, welches Ihnen hilft, überflüssige Daten zu finden. Dies können beispielsweise temporäre Internet-Dateien oder offline abgelegte Datenbestände sein, auf die Sie vielleicht verzichten könnten. Sinnvoll ist der Einsatz dieser Bereinigung insbesondere dann, wenn Sie nur noch wenig Speicherplatz auf dem Datenträger zur Verfügung haben.
469
470 cleanmgr.exe
11 Administration der Massenspeicher Das eigentliche Dienstprogramm für die Datenträgerbereinigung ist CLEANMGR.EXE, welches Sie auch direkt über START | AUSFÜHREN aufrufen können. Geben Sie hier den gewünschten Datenträger für die Bereinigung an.
Abbildung 11.81: Auswahl des Datenträgers bei cleanmgr.exe
Nach der Auswahl des Datenträgers oder dem direkten Start über das Eigenschaften-Fenster erfolgt eine Überprüfung des Datenträgers auf entfernbare Dateien, die je nach Datenumfang relativ lange dauern kann. Nach erfolgter Überprüfung wird das Ergebnis präsentiert. Bei intensiver Internetnutzung wird bei vielen Nutzern der Eintrag mit den temporären Internetdateien einen größeren Umfang einnehmen. Abbildung 11.82: Ergebnis der Überprüfung
Vorsicht bei temporären Internetdateien
Insbesondere die temporären Internetdateien können Sie bedenkenlos löschen. Gegenüber solchen Dateien ist sowieso Vorsicht geboten. Unter den durch den Internet Explorer temporär abgelegten Dateien können sich auch Webseiten befinden, die beispielsweise Kontostände oder andere vertrauliche Informationen enthalten. Sicherer ist es, keine Speicherung von Webseiten und Webelementen temporär zuzulas-
11.11 Weitere Eigenschaften von Datenträgern
471
sen. Das kann allerdings ein wenig Performance kosten, da bestimmte Elemente wiederholt über das Web geladen werden müssen. Aktivieren Sie die Einträge (siehe Abbildung 11.82), die gelöscht werden sollen. Über DATEIEN ANZEIGEN haben Sie die Möglichkeit, noch einmal zu überprüfen, ob die ausgewählten Daten auch wirklich gelöscht werden können.
11.11.3
Überprüfung eines Datenträgers auf Fehler
Unter Windows 2000 haben Sie Dienstprogramme, mit denen Sie die Datenträger auf Fehler untersuchen beziehungsweise Fehlerbehebung durchführen können. Dabei haben Sie die Auswahl zwischen einem grafischen und einem textorientierten Programm. Damit eine Fehlerbehebung durchgeführt werden kann, ist generell Exklusiver Zugriff exklusiver Zugriff auf den entsprechenden Datenträger notwendig. notwendig Das bedeutet, dass keine Dateien geöffnet sein dürfen. Während der Fehlerprüfung und –korrektur im exklusiven Zugriff können keine anderen Anwendungen oder Benutzer, die beispielsweise über Netzwerkfreigaben Zugang haben, den Datenträger benutzen. Für den Bootdatenträger von Windows 2000, auf dem sich ständig Überprüfung mit eine ganze Reihe von wichtigen Systemdateien im Zugriff durch das chkdsk.exe beim Betriebssystem befinden, kann damit keine direkt Fehlerbehebung Systemstart erfolgen. Datenträger, auf die nicht exklusiv zugegriffen werden kann, werden durch das jeweilige benutzte Dienstprogramm für die Fehlerbehebung markiert. Beim nächsten Systemstart erfolgt dann automatisch die Überprüfung und Fehlerkorrektur mittels des Kommandozeilen-Tools CHKDSK.EXE.
Grafisches Programm für die Fehlersuche und -behebung Über den Punkt EXTRAS des Eigenschaften-Fensters eines Datenträgers können Sie das grafische Dienstprogramm für die Überprüfung auf Fehler starten. Abbildung 11.83: Auswahl zur Art der Überprüfung
472
11 Administration der Massenspeicher Für den Umfang und die Art der Überprüfung können Sie dabei aus zwei Voreinstellungen auswählen: •
DATEISYSTEMFEHLER AUTOMATISCH KORRIGIEREN Es werden auftretende Fehler im Dateisystem automatisch korrigiert. Es erfolgt jedoch keine sektorenweise Überprüfung des Datenträgers. Diese Option spart Zeit und reicht für eine normale Prüfung aus, wenn Sie sicher sein können, dass das Speichermedium keine physischen Defekte aufweist.
• Vorteil bei NTFS
NACH FEHLERHAFTEN SEKTOREN SUCHEN UND WIEDERHERSTELLUNG ... Diese Option können Sie alternativ zur ersten benutzen und enthält bereits die Überprüfung auf Dateisystemfehler. Zusätzlich erfolgt aber auch eine sektorweise Überprüfung des Speichermediums. Nur das NTFS-Dateisystem ist in der Lage, auftretende Sektorfehler durch Kennzeichnung und Umadressierung von Clustern wirksam zu beheben.
Das Auftreten von Sektorfehlern, die sich mit der Zeit eventuell häufen, deutet auf ein ernstes Problem mit dem Speichermedium hin. Es empfiehlt sich ein baldiger Austausch des Mediums. Die Merkmale und Eigenschaften des NTFS-Dateisystems werden unter anderem näher in Kapitel 5 Dateisysteme ab Seite 129 behandelt.
Das Kommandozeilen-Programm chkdsk.exe Mit Hilfe des Kommandozeilen-Programms CHKDSK.EXE können Sie mit Einstellung verschiedener Parameter die Überprüfung eines Datenträgers mehr beeinflussen als mit dem grafischen Tool. NTFS-Datenträger
Die Syntax für den Aufruf der Überprüfung eines NTFS-Datenträgers lautet: chkdsk
FAT-Datenträger
[] [/F] [/V] [/R] [/X] [/I] [/C] [/L[:]]
Für die Prüfung und Fehlerbehebung eines FAT beziehungsweise FAT32-Datenträgers können Sie folgende Syntax benutzen: chkdsk
[ [[]]]] [/F] [/V] [/R] [/X]
In der folgenden Tabelle finden Sie alle Optionen zu CHKDSK.EXE:
11.11 Weitere Eigenschaften von Datenträgern Tabelle 11.13: Optionen von Der zu überprüfende FAT oder FAT32-Datenträger; gül- chkdsk.exe
Option
Erklärung
tig sind die Angabe von: - Laufwerksbuchstaben, gefolgt von Doppelpunkt - Bereitstellungspunkt - Datenträgername und
Sie können ein bestimmtes Verzeichnis oder ausgewählte Dateien überprüfen lassen (nicht bei NTFS).
/F
Es wird die Fehlerbehebung mit durchgeführt. Das ist allerdings nur dann möglich, wenn der Datenträger für den exklusiven Zugriff durch chkdsk.exe gesperrt werden kann. Anderenfalls erfolgt eine Meldung mit der rückfrage, ob beim nächsten Systemstart eine automatische Prüfung mit Fehlerbehebung veranlasst werden soll. Ohne diese Option wird der Datenträger lediglich überprüft.
/V
Es werden ausführliche Meldungen während der Konvertierung angezeigt.
/R
Es wird auch eine Überprüfung auf fehlerhafte Sektoren vorgenommen und versucht, Daten wieder herzustellen. Diese Option bedingt den Schalter /F.
/L:
Verändert die Größe der NTFS-Protokolldatei. Ohne Größenangabe wird die aktuelle Größe angezeigt.
/X
Beendet selbständig vorübergehend die Bereitstellung des Datenträgers in einem NTFS-Ordner; damit zum vollautomatischen Ablauf in Stapelverarbeitungsdateien geeignet.
/I
Überprüfung ohne Berücksichtigung von NTFSIndexeinträgen; damit schnellerer Durchlauf möglich
/X
Überprüfung ohne Berücksichtigung von Zyklen innerhalb der NTFS-Ordnerstruktur; damit wie bei /I ein schnellerer Durchlauf möglich
11.11.4
Datenträgerkontingente festlegen
Die Einrichtung von Datenträgerkontingenten können Sie lokal auch unter Windows 2000 Professional benutzen, um Speicherplatz auf Datenträgern für bestimmte Benutzer zu beschränken. Die folgenden Voraussetzungen müssen gegeben sein, damit Datenträgerkontingente erstellt werden können:
473
474 AdministratorenRecht Nur für NTFSDatenträger!
11 Administration der Massenspeicher •
Diese Einrichtungsfunktion ist nur Administratoren oder entsprechend autorisierten Benutzern gestattet.
•
Es können nur für NTFS-Datenträger Kontingente eingerichtet werden, die sich auf dynamischen oder Basisfestplatten befinden.
Datenträgerkontingente sind Bestandteil der Eigenschaften eines logischen NTFS-Datenträgers (siehe Seite 467). Sie können im Eigenschafts-Dialogfenster unter KONTINGENT die allgemeinen Einstellungen zu den Datenträgerkontingenten bestimmen. Abbildung 11.84: Allgemeine Einstellungen zu Kontingenten
Die folgenden Optionen stehen hier zur Verfügung: •
KONTINGENTVERWALTUNG AKTIVIEREN Hier bestimmen Sie, ob die Datenträgerkontingente für diesen Datenträger überhaupt verwaltet werden sollen. Ist diese Option deaktiviert, stehen alle weiteren Optionen nicht zur Verfügung.
•
SPEICHER BEI KONTINGENTÜBERSCHREITUNG VERWEIGERN Legen Sie fest, was bei einer Kontingentüberschreitung durch einen Benutzer, für den ein Datenträgerkontingent eingerichtet wurde, passieren soll. Lassen Sie diese Option deaktiviert, kann der Benutzer weitere Daten speichern. Sie können aber die Überschreitung im Ereignisprotokoll registrieren lassen (siehe weiter unten in diesem Abschnitt).
11.11 Weitere Eigenschaften von Datenträgern
475
Ist diese Option aktiv, kann bei Kontingentüberschreitung der betreffende Benutzer keine weiteren Daten mehr auf diesem Datenträger abspeichern. •
SPEICHERPLATZ BESCHRÄNKEN Geben Sie hier an, ob eine Standardbeschränkung für diesen Da- Standardbetenträger eingerichtet werden soll. Diese Standardbeschränkung schränkung gilt dann automatisch für alle neuen Benutzer des Datenträgers. Eine Standardbeschränkung muss nicht definiert werden, wenn Sie für jeden Benutzer individuell eine Beschränkung einrichten. Für die übersichtlichere Darstellung können Sie als Speichermaß zwischen den folgenden Einheiten auswählen: KB = 1.024 Byte MB = 1.024 KB GB = 1.024 MB TB
= 1.024 GB
PB
= 1.024 TB
EB
= 1.024 PB
Zusätzlich zur Standardbeschränkung können Sie auch eine Warnstufe festlegen, bei der Sie eine Speichergröße angeben, mit deren Erreichen ein Eintrag im Ereignisprotokoll vorgenommen werden soll. •
ANMELDEOPTIONEN DES KONTINGENTS Hier können Sie festlegen, dass ein Eintrag bei Überschreitung des Eintrag in das Kontingents beziehungsweise der Warnstufe in das Ereignisproto- Ereignisprotokoll koll vorgenommen werden soll. Eine Meldung auf den Bildschirm hingegen erfolgt nicht, auch wenn dies die Option missverständlich suggeriert.
Neben den allgemeinen Einstellungen können Sie auch die Kontingente für jeden Benutzer individuell einrichten. Öffnen Sie dazu die Kontingentverwaltung über die Schaltfläche KONTINGENTEINTRÄGE. Abbildung 11.85: Kontingenteinträge verwalten
476
11 Administration der Massenspeicher Es werden alle eingerichteten Kontingente angezeigt. Mit Hilfe der Pfeiltasten können Sie in der Liste der Einträge nach oben und nach unten scrollen.
Ein neues Kontingent einrichten Über das Hauptmenü oder in der Symbolleiste fügen Sie einen neuen Kontingenteintrag hinzu. Es öffnet sich ein Dialogfenster für die Erstellung von Kontingenteinträgen. Abbildung 11.86: Neuen Kontingenteintrag definieren
Suchen in...
Unter SUCHEN IN können Sie den lokalen Computer oder ein anderes Netzwerk-Containerobjekt bestimmen, für welches Kontingente eingerichtet werden sollen. Hier werden wir uns nur auf die lokalen Einstellungen für eine Windows 2000 Professional-Arbeitsstation beschränken. Die für Netzwerk relevanten Einstellungen werden ausführlich in Band II beschrieben.
Hinzufügen von Benutzern
Im oberen Bereich des Fensters sehen Sie die Benutzer, die für diese Arbeitsstation eingerichtet sind. Markieren Sie einen oder mehrere Benutzer, für die ein Kontingenteintrag für diesen Datenträger eingerichtet werden soll. Über HINZUFÜGEN erscheint der oder die betreffenden Benutzer im unteren Teil des Fensters.
Namen überprüfen
Sie können einen Benutzernamen inklusive Netzwerk-Notation auch per Hand in den unteren Auswahlbereich eintragen. Mit NAMEN ÜBERPRÜFEN werden die Einträge dann durch Windows 2000 auf Richtigkeit kontrolliert. Dies macht vor allem für Netzwerkobjekte Sinn,
11.11 Weitere Eigenschaften von Datenträgern
477
die nur über langsame Fernverbindungen erreichbar sind oder bei umfangreichen Benutzerlisten. Nach der Bestimmung der Benutzer können Sie die Größe des beschränkten Speicherplatzes festlegen. Abbildung 11.87: Speicherplatzbeschränkung festlegen
Haben Sie mehrere Benutzer bestimmt, erscheint unter BENUTZER nur Speicherplatz der Eintrag MULTIPLE. Bei nur einem Benutzer steht hier der Benutzer- beschränken name. Unter SPEICHERPLATZ BESCHRÄNKEN geben Sie die Limitierung des Speicherplatzes auf dem Datenträger in der gewünschten Einheit (siehe in diesem Abschnitt weiter oben) an. Dazu können Sie eine Warnstufe festlegen, ab der das System einen Eintrag in das Ereignisprotokoll vornehmen soll. Entsprechende Einträge in das Ereignisprotokoll werden nur dann vorgenommen, wenn in den allgemeinen Einstellungen dies auch eingestellt ist (siehe Seite 474). Geben Sie in diesem Dialogfenster keine Beschränkung an, indem Sie Benutzer mit unbedie Option SPEICHERPLATZ NICHT BESCHRÄNKEN aktivieren, bekommen schränktem Zugriff die betreffenden Benutzer einen hinsichtlich des Speicherplatzes unbeschränkten Zugriff auf den Datenträger. Das ist dann sinnvoll, wenn Sie beispielsweise aus einer Anzahl normaler Benutzer einige auswählen wollen, die Sie explizit keinen Beschränkungen aussetzen wollen. Haben Sie in der Liste der Benutzer eines neuen Kontingenteintrages Keine doppelte Benutzer aufgenommen, für die bereits ein Kontingent auf diesem Da- Kontingent-Vertenträger besteht, wird dies durch eine entsprechende Fehlermeldung gabe! angezeigt. Abbildung 11.88: Fehlermeldung: Benutzer hat schon ein Kontingent
Diese Fehlermeldung ist nicht weiter tragisch. Es wird nur das Kontingent desjenigen Benutzers nicht neu eingetragen, für den bereits eines existiert. Alle anderen Kontingente werden installiert.
478
11 Administration der Massenspeicher Kontingente ändern Einen Kontingenteintrag ändern Sie durch Doppelklick der in der Symbolleiste. Sie können dann für den Eintrag die Speicherplatzbeschränkungen entsprechend modifizieren.
Kontingente für mehrere Benutzer ändern
Sie können die Kontingente auch gleichzeitig für mehrere Benutzer anpassen. Markieren Sie einfach die gewünschten Einträge (gedrückte Maustaste + SHIFT- beziehungsweise STRG-Taste) und klicken Sie dann auf das oben gezeigte Symbol. Geben Sie im dann folgenden Dialogfenster die gewünschten neuen Speicherbeschränkungen ein.
Abbildung 11.89: Gleichzeitiges Ändern mehrerer Kontingente
Kontingent löschen Wollen Sie ein Datenträgerkontingent für einen Benutzer entfernen, markieren Sie dieses und drücken einfach die ENTF-Taste. Sie können gleichzeitig auch mehrere Einträge markieren. Für ein generelles Deaktivieren der Kontingente reicht aber auch die Abschaltung der entsprechenden Option in den allgemeinen Einstellungen (siehe Seite 474).
Datenträgerkontingente im Netzwerkbetrieb Die Einrichtung von Datenträgerkontingenten als Teil der Benutzereinstellungen im Active Directory für den Windows 2000 Serverbetrieb ist Inhalt des Bandes II.
11.12 Indexdienst einrichten
479
11.12 Indexdienst einrichten Der Indexdienst von Windows 2000 ermöglicht eine effiziente Suche nach Dateien über Angaben zu speziellen Eigenschaften und Inhalten (siehe zu den Grundlagen auch Abschnitt 4.6 ab Seite 123). Im Allgemeinen macht es für eine professionelle Nutzung von Windows 2000 als Betriebssystem wenig Sinn, alle Dateien auf allen Datenträgern zu indizieren. In der Regel haben Sie spezielle Verzeichnisse, die der Datenspeicherung dienen. Der vorliegende Abschnitt soll Ihnen helfen, den Indexdienst für eine effektive Nutzung einzurichten. Für die Einrichtung über das Snap-In benötigen Sie Administratorrechte.
11.12.1
Indexdienst aktivieren
Standardmäßig wird der Indexdienst bei Windows 2000 mit installiert, ist jedoch nicht aktiv. Sie aktivieren den Indexdienst, indem Sie in der Computerverwaltung (erreichbar über ARBEITSPLATZSYMBOL | VERWALTEN) für den Indexdienst das Kontextmenü aufrufen und den Befehl Starten auslösen. Abbildung 11.90: Starten des Indexdienstes
Voreingestellt ist ein Katalog System, der eine Konfiguration für die Indizierung aller Dateien der angeschlossenen Festplatten-Datenträger beinhaltet.
480 Indexdienst und IIS
11 Administration der Massenspeicher Ist der Internet Information Server (IIS) installiert, erstellt der Indexdienst auch automatisch einen Katalog Web, der die Indizierung für alle Dateien und Ordner des Webordners \INETPUB vorsieht. Bei der ersten ausgelieferten Version von Windows 2000 (alle Versionen) gibt es eine Sicherheitslücke im Zusammenhang mit dem Indexdienst. Bei installiertem Internet Information Server und aktivem Indexdienst kann es dazu kommen, dass Benutzer über die WebSuchmaschine des IIS auch an Daten kommen, die nicht für die Veröffentlichung freigegeben worden sind. Auf der folgenden Webseite können Sie den entsprechenden Patch laden, der die oben genannte Sicherheitslücke schließt:
Patch
www.microsoft.com/windows2000/downloads/critical/q253934/defau lt.asp Denken Sie nur daran, nach jeder Installation von WindowsKomponenten diesen Patch erneut auszuführen.
Anpassung empfehlenswert
Es empfiehlt sich, voreingestellte Katalog-Konfigurationen an die tatsächlichen Erfordernisse anzupassen. Unnötig große Indizes verbrauchen nur unnötig Speicherplatz und Prozessorleistung. Die Anpassung beziehungsweise Neuanlage von Katalogen ist Inhalt des Abschnittes 11.12.3 Kataloge einrichten und konfigurieren ab Seite 484.
11.12.2
Indexdienst anpassen
Für den Indexdienst selbst können Sie eine Reihe von Einstellungen festlegen, die sich stark auf die Performance und den Leistungsumfang auswirken.
Eigenschaften des Indexdienstes Über das Kontextmenü zum Snap-In Indexdienst erhalten Sie über EIGENSCHAFTEN das entsprechende Dialogfenster:
11.12 Indexdienst einrichten
481 Abbildung 11.91: EigenschaftenFenster des Indexdienstes
Für alle durch den Indexdienst verwalteten Kataloge können Sie ver- Vererbbare erbbare Einstellungen definieren. Das erleichtert die Arbeit bei großen Einstellungen Organisationsstrukturen, die eine Vielzahl von Katalogen enthalten können, erheblich. Grundlegende Einstellungen brauchen Sie so nur einmal festzulegen. Alle weiteren Kataloge können dann darauf zugreifen. Alle globalen Einstellungen zum Indexdienst sind als vererbbare Einstellungen ausgelegt. Die folgende Aufstellung gibt Ihnen einen Überblick über diese Einstellungen: •
DATEIEN MIT UNBEKANNTER ERWEITERUNG INDIZIEREN Bei der Indizierung von Dateien spielen Dokumentfilter eine wichtige Rolle (siehe auch Abschnitt 4.6.2 ab Seite 125). Die Liste der zurzeit verfügbaren Dateifilter ist im Moment noch sehr übersichtlich. Dateitypen, für die kein spezieller Dokumentfilter verfügbar ist, können nur mit einem allgemeinen Filter indiziert werden. Dabei werden nur bestimmte Standardeigenschaften und mit Einschränkungen Inhalte extrahiert. Wollen Sie verhindern, dass Dateien, für die keine Dokumentfilter installiert sind, indiziert werden, deaktivieren Sie diese Option. Allerdings können diese Dateien über eine Textsuche dann gar nicht mehr gefunden werden.
•
ZUSAMMENFASSUNG ERZEUGEN Für die Ausgabe des Suchergebnisses können Sie bestimmen, ob eine Textzusammenfassung mit generiert werden soll. Die Größe dieser Zusammenfassung können Sie dabei in Zeichen angeben.
Indizierung ohne Dokumentfilter
482
11 Administration der Massenspeicher Standardmäßig wird eine Größe von 320 Zeichen angenommen (4 Zeilen á 80 Zeichen). •
ALIAS FÜR NETZWERKFREIGABEN AUTOMATISCH HINZUFÜGEN Werden Verzeichnisse für die Indizierung konfiguriert, die für den Zugriff über das Netzwerk freigegeben sind, wird bei Aktivierung dieser Option der Alias der Freigabe automatisch an den Benutzer mit zurückgegeben.
Diese Optionen können Sie für jeden Katalog individuell einstellen. Die Standardvorgabe für Kataloge ist die Übernahme der Eigenschaften (Vererbung), die Sie für den Indexdienst global festgelegt haben.
Leistung des Indexdienstes anpassen Schnellere Aktualisierung
Der Indexdienst läuft vorrangig im Hintergrund. Sie können aber bestimmen, wie stark dieser Dienst den Hauptprozessor in Anspruch nehmen darf. Möchten Sie eine hohe Leistungsfähigkeit des Indexdienstes, die sich darin ausdrückt, dass geänderte Dokumente schnellstmöglich aktualisiert im Index erscheinen und mehr Ressourcen für Abfragen vorgehalten werden, geben Sie dem Indexdienst mehr Priorität. Das geht aber zu Lasten der Performance anderer Applikationen.
Mehr Power für Applikationen
Geht es hingegen darum, anderen Anwendungsprogrammen maximale Rechenkapazität zur Verfügung zu stellen, geben Sie dem Indexdienst weniger Priorität. Änderungen an Dokumenten werden dann aber deutlich später im Index Berücksichtigung finden. Diese Einstellungen zur Leistung des Indexdienstes können Sie nur vornehmen, wenn dieser nicht aktiv ist. Beenden Sie über das entsprechende Kontextmenü in der Managementkonsole COMPUTERVERWALTUNG den Indexdienst. Über das Kontextmenü des Indexdienstes ALLE TASKS | LEISTUNG OPTIMIEREN oder über das Hauptmenü VORGANG | ALLE TASKS | LEISTUNG OPTIMIEREN öffnen Sie das Dialogfenster für die Leistungseinstellungen.
11.12 Indexdienst einrichten
483 Abbildung 11.92: Leistung des Indexdienstes einstellen
Das Dialogfenster für die Leistungseinstellung bietet Ihnen drei vorgefertigte Leistungsprofile sowie die Möglichkeit der benutzerdefinierten Einstellung. Abbildung 11.93: Benutzerdefinierte Leistungseinstellung
Die vorgefertigten Einstellungen haben die folgende Bedeutung:
484
11 Administration der Massenspeicher •
HÄUFIG Der Indexdienst wird häufig in Anspruch genommen. Das bedeutet, dass Änderungen an Dokumenten schnellstmöglich im Index aktualisiert sowie Abfragen schnell beantwortet werden müssen. Damit ist der Indexdienst stets aktiv und benötigt dementsprechend viel Rechenleistung sowie hält Ressourcen vor für häufige und parallele Abfragen. Auf leistungsschwachen Computern oder bei wenig verfügbarem physischen Hauptspeicher sollten Sie diese Option nicht benutzen.
•
NUR GELEGENTLICH Der Indexdienst wird seltener in Anspruch genommen. Aktualisierungen des Index werden nur dann vorgenommen, wenn gerade viel freie Rechenkapazität zur Verfügung steht, beispielsweise wenn Sie nicht am System arbeiten und die CPU nur mit dem Bildschirm schonen beschäftigt ist. Änderungen an Dokumenten sind so erst nach einer Verzögerung im Index erfasst.
Noch nie = Deaktivierung
•
Benutzerdefinierte Einstellung
Die benutzerdefinierte Einstellung erlaubt eine feinere Anpassung des Leistungsverhaltens des Indexdienstes. Sollen an einem Einzelplatzcomputer beispielsweise geänderte Dokumente möglichst schnell im Index aufgenommen werden, sollten Sie hier den Schieber im Feld INDIZIERUNG auf SOFORT stellen. Führt der Benutzer nur lokal an seinem Rechner Volltextsuchen in Dokumenten durch, reicht eine Einstellung des Schiebers im Feld ABFRAGEN auf einen Wert zwischen NIEDRIGE KAPAZITÄT und Mittelstellung.
Indexdienst neu starten
Nach der Einstellung des Leistungsverhaltens muss der Indexdienst wieder neu gestartet werden (über den Punkt STARTEN des Kontextmenüs).
NOCH NIE Diese Option kann ein wenig in die Irre führen. Eine bessere Übersetzung hätte heißen können: Indexdienst deaktivieren. Die einzige Auswirkung dieser Option auf den Indexdienst ist nämlich dessen Abschaltung.
11.12.3
Kataloge einrichten und konfigurieren
Für die Nutzung des Indexdienstes können Sie sogenannte Kataloge anlegen. Diese enthalten Einträge für die lokalen Verzeichnisse oder im Netzwerk freigegebenen Ordner, die in die Indizierung eingeschlossen oder explizit von dieser ausgeschlossen werden sollen. Dazu können Sie weitere Parameter zum Verhalten des Indexdienstes einstellen.
11.12 Indexdienst einrichten
485
Die Festlegungen, welche Dateien und Ordner wie zu indizieren sind, Anpassung oder können Sie folgendermaßen treffen: Neuanlage 1. Sie passen den voreingestellten Katalog System nach Ihren Bedürfnissen an. 2. Sie erstellen alternativ zu System einen oder mehrere neue Kataloge. Dann sollten Sie aber den voreingestellten System-Katalog deaktivieren oder entfernen.
Einen neuen Katalog erstellen Einen neuen Katalog erstellen Sie über das Kontextmenü des Snap-Ins Indexdienst NEU | KATALOG oder über das Hauptmenü VORGANG | NEU | KATALOG. Geben Sie im dann folgenden Dialogfenster einen Namen für den Katalog sowie seinen Speicherort an. Abbildung 11.94: Neuen Katalog anlegen
Als Speicherort kann ein beliebiger Ort auf einem Datenträger dienen. Speicherort Aus Gründen der Sicherheit und der Performance empfiehlt es sich, hier ausschließlich NTFS-Datenträger zu benutzen. Der Katalog selbst kann allerdings auch Indizes für FAT-formatierte Datenträger aufnehmen.
486
11 Administration der Massenspeicher Kataloge, die Sie auf FAT beziehungsweise FAT32-Datenträgern erstellen, können von allen Benutzern eingesehen werden. Nur Kataloge auf NTFS-Datenträgern können aufgrund der NTFS-Benutzerrechte zuverlässig geschützt werden.
Verzeichnisse für die Indizierung konfigurieren Verzeichnisse anlegen
Der neue Katalog ist leer und enthält noch keine Konfigurationsinformationen über zu indizierende Verzeichnisse. Fügen Sie über das entsprechende Kontextmenü nun die Verzeichnisse hinzu, für die eine Indizierung erfolgen soll.
Abbildung 11.95: Verzeichnis hinzufügen
Im darauf folgenden Dialogfenster können Sie den Pfad zu dem zu indizierenden Verzeichnis angeben. Dabei sind Sie nicht auf lokale Verzeichnisse beschränkt. Sie können über Durchsuchen auch ein freigegebenes Verzeichnis auf einem im Netzwerk befindlichen PC oder Server mit in Ihren Katalog aufnehmen. Abbildung 11.96: Verzeichnis in Katalog aufnehmen
11.12 Indexdienst einrichten
487
Für die Aufnahme eines Netzwerkverzeichnisses in den Index Ihres NetzwerkverzeichKataloges können Sie ein spezielles Konto mit zugehörigem Kennwort nisse indizieren angeben. Zu beachten ist allerdings, dass durch die Indizierung eines Netzwerkverzeichnisses Datenverkehr im Netz erzeugt wird. Wesentlich besser ist eine Indizierung auf dem bereitstellenden Win- Client-Serverdows 2000-Computer beziehungsweise dem Windows 2000-Server. Prinzip Die Abfragen werden dann über das Client-Server-Prinzip über den Index des bereitstellenden Computers beantwortet. Die Netzwerklast wird dabei sowohl für die Erstellung und Aktualisierung des Index als auch für die Abfragen signifikant verringert. Mehr zu den Einstellungen und Optimierungen des Indexdienstes auf einem Windows 2000 Server-System erfahren Sie in Band II. Für jeden Katalog können Sie auch die Verzeichnisse spezifizieren, die Ausschluss von Sie nicht indizieren lassen möchten. Priorität hat dabei immer der Verzeichnissen Ausschluss. Das bedeutet, dass ein Verzeichnis, welches explizit von der Indizierung ausgeschlossen worden ist, keine Unterverzeichnisse enthalten kann, die Sie indizieren möchten. Haben Sie beispielsweise ein Verzeichnis D:\Daten\Texte zur Indizie- Ein Beispiel rung in Ihren Katalog aufgenommen, für D:\Daten allerdings einen Eintrag mit explizitem Ausschluss aus dem Indexdienst angelegt, wird auch D:\Daten\Texte nicht indiziert. Mit dem expliziten Ausschluss von Verzeichnissen sollten Sie deshalb sorgsam umgehen. Besser ist eine gezielte Auswahl nur der Verzeichnisse, die indiziert werden sollen.
Verzeichnisse auf Änderungen überprüfen Neben dem automatischen Prüfen des Indexdienstes können Sie auch Manuelle eine manuell eine Überprüfung von Verzeichnissen auf Änderungen Prüfung starten durchführen. Dies ist beispielsweise dann sinnvoll, wenn dem Indexdienst eine niedrige Priorität eingeräumt wurde und dieser deshalb regelmäßig bei Benutzeraktivitäten anhält (siehe auch Seite 482). Über das Kontextmenü zu einem Verzeichnis können Sie im Snap-In des Indexdienstes diese Überprüfung starten.
488
11 Administration der Massenspeicher
Abbildung 11.97: Verzeichnisse explizit auf Änderungen überprüfen
Art der Überprüfung
Sie haben die Möglichkeit, die Überprüfung inkrementell oder vollständig durchführen zu lassen:
Inkrementell
•
Inkrementelle Überprüfung Bei der inkrementellen Überprüfung werden nur die Dokumente erneut indiziert, die noch nicht im Katalog verzeichnet sind oder als verändert erkannt worden sind. Dabei haben Sie bei der Verwendung eines NTFS-Datenträgers einen entscheidenden Vorteil: Hier wird zur Erkennung der geänderten Dateien das NTFSÄnderungsjournal genutzt. Insbesondere bei großen Datenbeständen wird damit diese Funktion drastisch beschleunigt, da nur noch das Änderungsjournal durchsucht werden muss und nicht das gesamte Verzeichnis.
Vollständig
•
Vollständige Überprüfung Bei der vollständigen Überprüfung werden alle im Verzeichnis befindlichen Dateien erneut indiziert. Dies kann je nach Datenmenge sehr viel Zeit in Anspruch nehmen und sollte nur unter bestimmten Voraussetzungen durchgeführt werden: -
Sie haben einen neuen Dokumentfilter installiert oder einen bestehenden entfernt, beziehungsweise ein Filter wurde geändert oder aktualisiert (siehe auch Abschnitt 4.6.2 ab Seite 125).
-
Sie haben Katalogeigenschaften geändert (siehe Seite 485).
-
Sie haben Einstellungen des Eigenschaftencache geändert.
11.12 Indexdienst einrichten -
Sie haben eine oder mehrere Ausnahmewortlisten geändert.
-
Sie haben eine oder mehrere weitere Sprachen installiert.
11.12.4
489
Dateien, die nicht indiziert werden
Die folgenden Dateien werden nicht indiziert, auch wenn sie sich in einem zu indizierenden Verzeichnis befinden: •
Verschlüsselte Dateien Dateien, die Sie durch das verschlüsselnde Dateisystem (EFS; siehe Sicherheit geht auch Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite vor! 166) chiffriert worden sind, können nicht indiziert werden.
•
Dateien ohne gesetztes Index-Attribut Benutzen Sie den Indexdienst für Dateien auf NTFS-Datenträgern, NTFS-Attribut beachten Sie, dass hier ein Indizierungsattribut existiert. Ist dieses beachten erweiterte NTFS-Attribut nicht gesetzt, wird diese Datei auch nicht indiziert.
•
Dateien, die sich momentan in Benutzung befinden Dateien, die gerade bearbeitet werden und von Anwendungsprogrammen gesperrt sind, werden solange nicht neu indiziert, solange diese Sperre besteht. Erst nach Beendigung der Bearbeitung erfolgt die Neuindizierung.
11.12.5
Meldungen des Indexdienstes
Das Steuerungsfenster des Indexdienstes erreichen Sie über die Managementkonsole COMPUTERVERWALTUNG oder das SUCHEN-Fenster im Windows Explorer (über INDEXDIENST | ERWEITERT). Sie sehen dann das Detailfenster des Snap-Ins INDEXDIENST. Abbildung 11.98: Detailfenster des Indexdienstes
Die Bedeutung der einzelnen Spalten in der Detaildarstellung sind in der folgenden Tabelle aufgeführt:
490 Tabelle 11.14: Spalten der Detaildarstellung
11 Administration der Massenspeicher Spalte
Bedeutung
Katalog
Name des Kataloges
Pfad
Speicherort des Kataloges auf einem Datenträger
Größe (MB)
Aktuelle Größe des Kataloges in MB
Dokumente insgesamt
Aktuelle Anzahl der indizierten Dokumente im Katalog über alle enthaltenen Verzeichnisse
Zu indizierende Dokumente
Anzahl der Dokumente, die noch indiziert werden müssen
Zurückgestellt zwecks Indexerstellung
Anzahl der Dokumente, die noch indiziert werden müssen aber wegen Benutzung gesperrt sind
Wortlisten
Anzahl der angelegten Wortlisten im Arbeitsspeicher
Gespeicherte Indizes
Anzahl der gespeicherten Indizes (temporäre und Masterindex)
Status
Aktueller Status des Kataloges
Zu den Bedeutungen von WORTLISTEN und TEMPORÄREN beziehungsweise MASTERINDIZES erfahren Sie mehr im Abschnitt 4.6.2 Der Indizierungsvorgang ab Seite 125. Aus der Anzeige des Status erhalten Sie wichtige Informationen zum Verhalten des Indexdienstes. In dieser Tabelle sind die wichtigsten Statusmeldungen zusammengefasst: Tabelle 11.15: Statusmeldungen des Indexdienstes
Statusmeldung
Bedeutung
Gestartet
Indexdienst ist aktiv und wurde gestartet
Nur abfragen, Gestartet
Indexdienst ist manuell angehalten worden; Eine Aktualisierung des Index findet nicht mehr statt, es können aber Abfragen über den Index durchgeführt werden
Untersuchen (NTFS), Gestartet
Ein NTFS-Datenträger wird auf neue und geänderte Dateien untersucht; Indizierung wird durchgeführt
Untersuchen, Gestartet
Ein FAT/FAT32-Datenträger wird auf neue und geänderte Dateien untersucht; Indizierung wird durchgeführt
Zusammenführen
Temporäre Indizes werden zu einem Masterindex zusammengefasst
11.12 Indexdienst einrichten Statusmeldung
Bedeutung
Indexerstellung wurde angehalten (Benutzer aktiv)
Indexdienst wurde aufgrund von Benutzeraktivität angehalten; eine niedrige Priorität des Indexdienstes veranlasst diesen zu stoppen, um dem Benutzer maximale Rechenkapazität zukommen zu lassen
Indexerstellung wurde angehalten
Das Anhalten des Indexdienstes kann neben Benutzeraktivität auch weitere Ursachen haben: - Hohe Nutzeraktivität - Unzureichender Arbeitsspeicher - Energieverwaltung Die ersten beiden Punkte deuten auf zu knappe Systemressourcen hin, letzterer wird vor allem auf Notebooks vorkommen können1.
Wiederherstellen
Nach einem unerwarteten Ende des Indexdienstens beispielsweise durch einen Systemabsturz stellt dieser automatisch seine Indizes wieder her
Überprüfung erforderlich
Inkonsistenz zwischen Index und den Dokumenten wurde erkannt; bleibt diese Meldung längere Zeit stehen, können Datenträgerprobleme verantwortlich sein
1
Auf Notebooks empfiehlt sich die Nutzung des Indexdienstes nicht, wenn Sie auf eine lange Akkulebensdauer Wert legen.
491
11.12 Indexdienst einrichten
Kapitel 12 Administration von Netzwerken
12.1 Installation von Netzwerkressourcen................495 12.2 Konfiguration von TCP/IP-Netzwerken ...........506 12.3 Namensauflösung..................................................513 12.4 Kommandozeilen-Tools für TCP/IP ..................518 12.5 WAN-Verbindungen.............................................531 12.6 Administration von Peer-To-Peer-Netzwerken ....548
493
12.1 Installation von Netzwerkressourcen
495
12 Administration von Netzwerken Dieser Abschnitt geht detailliert auf lokalen Netzwerke und insbesondere auf die Besonderheiten in TCP/IP-Netzwerken aus Sicht des Windows 2000-Administrators ein.
12.1 Installation von Netzwerkressourcen Der Ordner NETZWERK- UND DFÜ-VERBINDUNGEN ist die zentrale Stelle in Windows 2000, wo die Netzwerkkonfigurationen vorgenommen werden. Falls eine Netzwerkkarte vorhanden ist und diese während der Installation durch Plug&Play erkannt wurde, können Sie das entsprechende Symbol dort bereits sehen. Weitere Verbindungen lassen sich mit dem Symbol NEUE VERBINDUNG ERSTELLEN vornehmen. Nachfolgend wird überblicksartig der Umgang mit einer bereits installierten LAN-Verbindung gezeigt, danach werden die folgenden Komponenten einzeln vorgestellt: •
Dienste (ab Seite 498)
•
Protokolle (ab Seite 499)
•
Clients (ab Seite 500)
•
Netzwerkhardware (ab Seite 501)
•
Bindungen (ab Seite 504)
Dienste, Protokolle und Clients installieren Sie über die Option Installieren einer spezifischen Verbindung. Abbildung 12.1: Hinzufügen weiterer Netzwerkfunktionen
496
12 Administration von Netzwerken
12.1.1 LAN-Verbindungen Plug&Play
LAN-Verbindungen stehen automatisch für jeden Netzwerkadapter zur Verfügung, den Windows 2000 durch Plug&Play erkennt. Die Adapter werden im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN angezeigt. Die Funktion NEUE VERBINDUNG ERSTELLEN steht für Netzwerkadapter nicht zur Verfügung, da der Installation immer die physikalische Verfügbarkeit vorausgeht. Wenn Sie keine Adapter sehen können, sind diese entweder defekt, mit einem falschen Treiber ausgestattet oder nicht eingeschaltet.
Alte Adapter
Wenn Sie einen alten Adapter haben, der mit Plug&Play nicht erkannt wird, müssen Sie die Installation im Gerätemanager vornehmen. Voraussetzung ist allerdings, dass ein in Windows 2000 standardmäßig verfügbarer Treiber verwendet wird. Dass ein sehr alter Adapter noch mit neuen Windows 2000-Treibern beliefert wird, ist eher unwahrscheinlich. Ein Blick auf die Homepage des Herstellers lohnt aber allemal.
Funktionen der LAN-Verbindung Eine LAN-Verbindung kann mit folgender Funktionalität ausgestattet werden, als Beispiel wird die jeweils standardmäßig installierte Funktion angeführt: Clients
•
Clients: Diese Funktion bestimmt, welche Clienteigenschaften der Computer bekommt. Wenn Sie auf im Netzwerk freigegebene Drucker zugreifen möchten, installieren Sie den CLIENT FÜR MICROSOFT-NETZWERKE.
Dienste
•
Dienste: Diese Funktion stellt umgekehrt Clients Leistungen zur Verfügung. Der Dienst DATEI- UND DRUCKFREIGABE FÜR MICROSOFTNETZWERKE stellt beispielsweise lokale Drucker im Netzwerk bereit.
Protokolle
•
Protokolle: Damit Clients und Server kommunizieren können, müssen sie dasselbe Protokoll verwenden, beispielsweise TCP/IP.
Konfiguration der LAN-Verbindung Wählen Sie das Symbol LAN-VERBINDUNG im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN aus. Im Kontextmenü haben Sie Zugriff auf folgende Funktionen: •
EIGENSCHAFTEN. Zugriff auf die Funktionen des Adapters.
•
STATUS. Zeigt an, in welchem Zustand sich der Adapter befindet.
12.1 Installation von Netzwerkressourcen •
497
DEAKTIVIEREN. Unterdrückt die LAN-Verbindung, ohne dass die Einstellungen gelöscht werden.
Auf der Eigenschaftsseite können Sie auf die treiberspezifische Konfi- Eigenschaften guration des Adapters zugreifen und Clients, Dienste und Protokolle installieren und modifizieren. Die Konfiguration des Standardprotokolls TCP/IP wird in Abschnitt 12.2 Konfiguration von TCP/IPNetzwerke ab Seite 506 vorgestellt. Abbildung 12.2: Eigenschaften eines LAN-Adapters
Der Status gibt an, in welchem Zustand sich der Adapter befindet. Status Dies kann zum einen durch Auswahl der Funktion STATUS aus dem Kontextmenü des Adapters erfolgen, zum anderen durch Klick auf das Symbol selbst. Wenn die Verbindung in der Taskleiste angezeigt wird, kann der Status auch dort im Kontextmenü abgerufen werden.
498
12 Administration von Netzwerken
Abbildung 12.3: Status eine LANVerbindung
WAN-Adapter, die eine permanente Verbindung ins Internet herstellen, beispielsweise Frame Relay, ATM oder DSL, werden ebenfalls als »LAN-Verbindung« betrachtet. Die Entfernung ist für den Computer nicht von Bedeutung und manche moderne WAN-Verbindung ist schneller als ein lokal eingesetzter Ethernet-Adapter.
12.1.2 Dienste Dienste sind Dienstprogramme, die der Netzwerkverbindung zur Verfügung stehen und über den Dienstmanager kontrolliert werden können. Um einen Dienst zu installieren, gehen Sie folgendermaßen vor: •
Öffnen Sie die Verbindung, die einen bestimmten Dienst akzeptieren soll.
•
Wählen Sie INSTALLIEREN, dann den Eintrag DIENSTE und dann HINZUFÜGEN.
•
Wählen Sie einen der Dienste aus.
12.1 Installation von Netzwerkressourcen
499 Abbildung 12.4: Auswahl zusätzlicher Dienste
Standardmäßig stehen nur zwei Dienste zur Verfügung: •
QOS-PAKETPLANER. Der QoS-(Quality of Service)-Paketplaner bestimmt die Reihenfolge der Auslieferung von Paketen in der Paketwarteschlange.
•
SAP-AGENT. Der SAP-(Service Advertising Protocol)-Dienst dient der Bekanntmachung von Servern und Diensten in einem Netware-Netzwerk. Der Dienst wird automatisch aktiviert, wenn die GATEWAY- UND CLIENT-SERVICEES FOR NETWARE installiert wurden.
Weitere Netzwerkdienste können auch über die normale Softwareinstallation von Windows installiert werden. Dies liegt im Wesentlichen daran, dass diese Dienste weitere Hilfsprogramme und Dialogfelder benötigen und nicht als reiner Dienst auftreten.
12.1.3 Protokolle Auch die verwendbaren Protokolle können jeder Verbindung zugeordnet werden. Ebenso wie bei den Diensten gehen Sie folgendermaßen vor: •
Öffnen Sie die Verbindung, die ein bestimmtes Protokoll akzeptieren soll.
•
Wählen Sie INSTALLIEREN, dann den Eintrag PROTOKOLLE und dann HINZUFÜGEN.
•
Wählen Sie eines der Protokolle aus.
500
12 Administration von Netzwerken
Abbildung 12.5: Verfügbare Protokolle
Folgende Protokolle stehen hier zur Verfügung, wobei nur die noch nicht installierten angezeigt werden: •
AppleTalk-Protokoll
•
DLC-Protokoll
•
NetBEUI-Protokoll
•
Netzwerkmonitortreiber
•
NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll
•
Streams-Umgebung
•
TCP/IP-Protokoll
Einige Protokolle können anschließend konfiguriert werden. Auf das besonders wichtige TCP/IP wird in 12.2 Konfiguration von TCP/IPNetzwerken ab Seite 506 detailliert eingegangen.
12.1.4 Clients Clients sind Funktionen, die Windows zur Verfügung stehen, um sich selbst mit anderen Computern im Netzwerk zu verbinden. Standardmäßig wird der CLIENT FÜR MICROSOFT-NETZWERKE installiert. Weitere Clients installieren Sie folgendermaßen: •
Öffnen Sie die Verbindung, die einem bestimmten Client zur Verfügung gestellt werden soll.
•
Wählen Sie INSTALLIEREN, dann den Eintrag CLIENTS und dann HINZUFÜGEN.
12.1 Installation von Netzwerkressourcen •
501
Wählen Sie einen der Clients aus. Abbildung 12.6: Auswahl weiterer Clients
Standardmäßig werden nur die CLIENT SERVICES FÜR NETWARE angeboten. Damit ist die Verbindung zu einem Netware-Server möglich. Andere Clients müssen von Diskette oder CD installiert und gesondert beschafft werden.
12.1.5 Netzwerkhardware Voraussetzung für jede Netzwerkverbindung ist entsprechende Hardware. Solange es sich um Plug&Play-Geräte handelt und diese korrekt erkannt wurden, können Sie diesen Schritt überspringen. Wurde das Gerät erkannt aber falsch konfiguriert, gehen Sie zum Abschnitt Netzwerkhardware konfigurieren.
Netzwerkhardware installieren Netzwerkhardware installieren Sie über den Gerätemanager mit Hilfe des Installationsassistenten. Dazu gehen Sie folgendermaßen vor: 1.
In der Systemsteuerung wählen Sie HARDWARE.
2.
Im Assistenten wählen Sie GERÄTE PROBLEM BEHEBEN.
3.
Der Assistent sucht nun Plug&Play-Geräte. Unabhängig vom Erfolg wählen Sie in der nachfolgend angezeigten Liste NEUES GERÄT HINZUFÜGEN.
HINZUFÜGEN
ODER
502
12 Administration von Netzwerken
Abbildung 12.7: Weitere Geräte von Hand hinzufügen
4.
Aktivieren Sie im folgenden Schritt die Option NEIN, HARDWAREKOMPONENTE SELBST AUS DER LISTE AUSWÄHLEN.
5.
In der folgenden Liste wählen Sie NETZWERKADAPTER.
6.
Jetzt können Sie einen der mit Windows gelieferten Treiber auswählen oder diesen vom Datenträger laden.
DIE
Wenn Sie einen NoName-Adapter haben, dessen Hersteller keine Treiber liefert und seinen Adapter als »NE2000 kompatibel« beschreibt, wählen Sie als Hersteller Novell und als Adapter NE2000 KOMPATIBEL (siehe ). Abbildung 12.8: Weitere Geräte von Hand hinzufügen
12.1 Installation von Netzwerkressourcen
503 Abbildung 12.9: Auswahl des Treibers für NE2000-kompatible Adapter
Netzwerkhardware konfigurieren Netzwerkhardware kann zum einen über die Netzwerkverbindung, die sich dieses Gerätes bedient, erreicht werden. Zum anderen können Sie über den Gerätemanager gehen. Die Einstellungen hängen von der konkret vorhandenen Hardware ab. Der Inhalt der Dialogfelder wird auch vom Treiber bestimmt. Einige Standardfunktionen stehen aber fast immer zur Verfügung: •
ALLGEMEIN. Hier können Sie die Hilfeseiten zur Problembehandlung erreichen und das Gerät deaktivieren bzw. wieder aktivieren.
•
ERWEITERTE EINSTELLUNGEN. Diese Einstellungen sind gerätespezifisch.
•
TREIBER. Hier wählen Sie alternative Treiber aus oder installieren den vorhandenen erneut. Sie können hier auch aktualisierte Treiber angeben.
•
RESSOURCEN. Auf dieser Registerkarte kontrollieren und modifizieren Sie die vom Gerät verwendeten Systemressourcen, also Interrupt, belegte Speicheradressen und DMA-Kanäle sowie Portadressen. Falls es sich um ein Plug&Play-Gerät handelt, besteht normalerweise keine Einstellmöglichkeit. Bei alten Steckkarten stellen Sie hier sicher, dass die Jumpereinstellungen auf der Karte mit den Angaben übereinstimmen.
•
ENERGIEVERWALTUNG. Für ACPI- oder APM-kompatible Geräte können Sie hier festlegen, ob das Gerät den Standby-Zustand beenden darf und ob es sich auf Wunsch abschalten lässt.
504
12 Administration von Netzwerken
Abbildung 12.10: Engergieoptionen eines modernen Netzwerkadapters
12.1.6 Bindungen Netzwerkgeräte und Protokolle
Sind Netzwerkgeräte und Protokolle installiert, werden diese durch Bindungen miteinander verbunden. Standardmäßig müssen Sie diese Einstellungen nicht vornehmen, denn Windows verbindet immer alle Geräte mit allen Protokollen. Wenn dieses Verhalten nicht erwünscht ist – beispielsweise aus Sicherheitsgründen – können Sie die Zuordnungen jederzeit ändern.
Clients und Protokolle
Bindungen bestehen auch zwischen Clients und Protokollen. Auch diese Einstellungen sind änderbar. Die Bindungseinstellungen erreichen Sie im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN über das Menü ERWEITERT | ERWEITERTE EINSTELLUNGEN.
Aktivieren und Deaktivieren der Bindungen Die Aktivierung der Bindungen erfolgt, indem im oberen Feld der entsprechende Adapter und im unteren Feld die Zuordnung von Dienst bzw. Client zu einem Protokoll aktiviert wird.
12.1 Installation von Netzwerkressourcen
505 Abbildung 12.11: Kontrolle der Bindungen
Einstellen der Reihenfolge Da mehrere Protokolle auf einem Adapter parallel ausgeführt werden können, ist die Reihenfolge wählbar. Kommen Daten am Adapter an, versucht Windows die zur Verfügung stehenden Protokolle in dieser Reihenfolgen zu verwenden. Der Verbindungsaufbau kann beschleunigt werden, wenn häufiger verwendete Protokolle in der Prioritätsliste weiter oben stehen. Zur Änderung der Reihenfolge wechseln Sie zur Registerkarte REIHENFOLGE DER ANBIETER.
12.1.7 Allgemeine Netzwerkkomponenten Neben den Diensten können auch weitere Netzwerkkomponenten installiert werden, die dann allgemein im System zur Verfügung stehen und nicht mehr einer konkreten Verbindung zugeordnet werden. Sie finden diese Option im Ordner NETZWERK- UND DFÜVERBINDUNGEN im Menü ERWEITERT | OPTIONALE NETZWERKKOMPONENTEN.
506
12 Administration von Netzwerken
Abbildung 12.12: Installation optionaler Netzwerkkomponenten
Zur Installation stehen die Komponenten in drei Kategorien zur Verfügung, die jeweils einzelne Komponenten enthalten: •
•
Netzwerkdienste -
Einfache TCP/IP-Dienste
-
RIP-Überwachung
Verwaltungs- und Überwachungsprogramme -
•
SNMP-Dienst
Weitere Datei- und Druckdienste für das Netzwerk -
Druckdienste für Unix
In der Server-Version stehen weitere Dienste zur Verfügung. Diese werden in Band II beschrieben. Für den Betrieb in einem kleineren TCP/IP-Netzwerk genügt es, die TCP/IP-Dienste zu installieren. Dies umfasst auch die auf Kommandozeilenebene ausführbaren Dienstprogramme, die in Abschnitt 12.4 Kommandozeilen-Tools für TCP/IP ab Seite 518 beschrieben werden.
12.2 Konfiguration von TCP/IP-Netzwerken TCP/IP ist heute das führende Protokoll zur Vernetzung lokaler und globaler Netzwerke. Dieser Abschnitt zeigt, wie TCP/IP in Windows
12.2 Konfiguration von TCP/IP-Netzwerken
507
2000 konfiguriert wird. Die theoretischen Grundlagen finden Sie in Abschnitt 6.3 TCP/IP ab Seite 191. Die konkrete Konfiguration eines TCP/IP-Netzwerks hängt natürlich von den Szenarien ab, die Sie für Ihr lokales Netz entworfen haben. Am Anfang sind folgende Fragen zu beantworten: •
Dynamische oder statische Adressvergabe?
•
Öffentliche oder private IP-Adressen?
•
Wie erfolgt der Zugang des Netzes zum Internet?
Konfiguration mit festen IP-Adressen Feste IP-Adressen sind vor allem im kleinen Netz willkommen, wo es wenig Änderungen gibt und kompliziertere Funktionen wie DHCPServer nicht verfügbar sind. Die statische Adressvergabe kann mit privaten oder öffentlichen IP- Statische Adressen erfolgen. Öffentliche IP-Adressen beantragen Sie bei Ihrem Adressvergabe Internet-Provider oder Carrier. Firmen werden üblicherweise ein Klasse-C-Netz mit 256 Adressen verwenden, größere Institution mehrere davon. Klasse-B-Netze mit 65.535 Adressen sind sehr selten. Vielmehr vergeben große Carrier Teilnetze aus ihrem Klasse-A- oder Klasse-B-Netz an ihre Kunden. Es herrscht zwar in Bezug auf Adressen noch kein Notstand, die Ausgabe ist aber inzwischen relativ restriktiv, da der Adressraum relativ gut belegt ist. Eine einfache Verkabelung im Firmennetzwerk ist im Allgemeinen kein ausreichender Grund für ein ganzes Netz. Andererseits werden wenigstens für Router und Firewall feste IP-Adressen benötigt, intern kann dann mit einem universellen Nummernkreis gearbeitet werden. Der Standardfall in kleinen Netzen ist meist die Vernetzung mehrere Der Standardfall Computer, mit Windows 2000 Professional oder Windows 98, in einem kleineren Büro oder Homeoffice. Sie sollten hier den Adresskreis 192.168.0.0 bis 192.168.254.254 verwenden. Legen Sie ein Teilnetz daraus fest und berechnen Sie die passende Netzmaske dafür. Wenn Sie beispielsweise mit 48 Adressen rechnen, bietet sich folgendes Teilnetz an: 192.168.0.1 - 192.168.0.63 Die Subnetzmaske kann immer in Schritten zu 2x berechnet werden. Die Bits, die in der Netzadresse variabel sind, werden in der Maske auf 0 gesetzt, sonst auf 1. Für das einfaches Teilnetz wäre die Subnetzmaske 255.255.255.192. Wenn Sie das erste Mal eine Subnetzmaske berechnen, werden Sie Die Subnetzmaske vielleicht mit diversen Fehlermeldungen zu kämpfen haben. Schreiben berechnen
508
12 Administration von Netzwerken Sie sich dazu die IP-Adresse im binären Format auf. In Abschnitt 6.3.5 Subnetze ab Seite 196 wurde darauf bereits eingegangen. Die Subnetzmaske muss aus einer geschlossenen Folge von Einsen bestehen, wobei die Anzahl variabel ist, die Gesamtzahl der Ziffern beträgt immer 32 (4 Bytes). Die folgende Tabelle erspart Ihnen die lange Suche, sie zeigt alle Subnetzmasken, die es in einem Klasse-A-Netz geben kann.
Tabelle 12.1: Gültige Subnetzmasken eines Klasse-ANetzwerks
Bits verwendet
Anzahl Hosts
Binäres Oktett
Dezimaler Wert
1
127 (27-1)
1000.0000
128
2
63 (26-1)
1100.0000
192
3
31 (25-1)
1110.0000
224
4
15
(24-1)
1111.0000
240
5
7 (23-1)
1111.1000
248
6
3 (22-1)
1111.1100
252
7
1
(21-1)
1111.1110
254
8
0
nicht gültig
nicht gültig
Jetzt vergeben Sie jedem System eine IP-Adresse und tragen die Maske ein (siehe Abbildung 12.13). Existiert im Netz ein Gateway, dass die Verbindung zur Außenwelt herstellt, muss auch diesem eine Adresse aus dem internen Kreis vergeben werden. Moderne Router beherrschen die Adresseübersetzung (siehe auch Abschnitt 6.3.7 Adressübersetzung, Seite 198). Ohne diese Funktion müssen Sie mit »echten« Adressen arbeiten.
12.2.1 DHCP Wenn sich im Netzwerk ein DHCP-Server befindet, vergibt dieser jeder neuen Arbeitsstation eine IP-Nummer aus einem zentralen Nummernkreis. Mehr Informationen zur Einrichtung eines DHCP-Servers finden Sie im Band II dieser Buchreihe.
12.2 Konfiguration von TCP/IP-Netzwerken
509 Abbildung 12.13: Einstellen einer festen IP-Adresse
Freie Adressbereiche Beim Aufbau eines kleinen, lokalen Netzwerks wird oft auf die festen IP-Nummern zurückgegriffen, die frei verfügbar sind. Die folgende Tabelle zeigt die frei verfügbaren Adressbereiche im Klasse-A-, Klasse-B- und Klasse-C-Netz.
Netzklasse
Startadresse oder Adressbereich
Subnetzmaske
Hosts je Subnetz
A
10.x.x.x
255.0.0.0
16.777.216
B
172.16.0.0 bis
255.240.0.0
65.536
255.255.255.0
256
172.31.255.255 C
192.168.x.x
Tabelle 12.2: Frei Anzahl Subnetze verfügbare IPAdressen für private 1 Netze (x steht für eine Zahl zwischen 16 0 und 255) 256
DHCP steht nur zur Verfügung, wenn im Netzwerk ein DHCP-Server existiert. Dieser kann mit Windows 2000 Server aufgebaut werden. Ohne DHCP-Server können Sie dennoch von der automatischen IPVergabe profitieren – mit APIPA.
510
12 Administration von Netzwerken
12.2.2 APIPA APIPA ist eine Funktion zur einfachen dynamischen Adressvergabe ohne DHCP-Server in sehr kleinen Netzwerken.
Einführung Atomatic Private IP Addressing
Windows 2000 Professional verfügt über eine Funktion, sich selbst eine IP-Nummer zuzuweisen – Automatic Private IP Addressing (APIPA). Für diese Funktion hat Microsoft den Adressbereich 169.254.0.1 – 169.254.254.254 verwendet und von der IANA reserviert. Damit steht ein Klasse-B-Netz mit maximal 65.535 Adressen zur Verfügung. Im Internet wird dieser Adressraum nicht verwendet. Er gehört aber auch nicht zu den in RFC 1918 definierten privaten Adressräumen (siehe dazu 6.3.6 Netzklassen ab Seite 196). APIPA wird immer automatisch aktiviert, wenn DHCP verlangt wird und ein entsprechender Server nicht aufzufinden ist. Die betroffene Arbeitsstation nimmt sich per Zufallsgenerator eine Adresse aus dem reservierten Adressraum und prüft dann mittels Ping, ob die Adresse noch frei ist. Ist das der Fall, weist sie sich die Adresse selbst zu, andernfalls wird die Adresse inkrementiert und erneut geprüft, bis eine freie Adresse gefunden wurde. APIPA ist zwar bequem, kann aber zu Problemen führen, wenn tatsächlich ein DHCP-Server verwendet wird. Der Ausfall des Servers bleibt möglicherweise unbemerkt, weil sich die Stationen »selbst helfen«. Steht zu einem späteren Zeitpunkt wieder ein DHCP-Server zur Verfügung, wird dessen Adresskreis verwendet.
APIPA deaktivieren Normalerweisen wird APIPA wie oben beschrieben verwendet. Wollen Sie dies grundsätzlich verhindern, muss der entsprechende Schlüssel in der Registrierung geändert werden. Deaktivierung in der Registrierung
Öffnen Sie den Registrierungs-Editor gendem Registrierungsschlüssel:
REGEDIT32
und gehen Sie zu fol-
12.2 Konfiguration von TCP/IP-Netzwerken
511
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters \Interfaces \Adaptername Erstellen Sie den folgenden Eintrag: IPAutoconfigurationEnabled: REG_DWORD Um APIPA für den ausgewählten Netzwerkadapter zu deaktivieren, weisen Sie den Wert 0 zu. Ist der Eintrag IPAutoconfigurationEnabled nicht vorhanden, wird der Standardwert 1 vorausgesetzt, was bedeutet, dass APIPA verwendet wird. Sind mehrere Netzwerkadapter installiert, können Sie APIPA für alle Deaktivierung für installierten Adapter deaktivieren, indem Sie den Eintrag IPAutoconfi- mehrere Adapter gurationEnabled für den folgenden Registrierungsschlüssel auf 0 setzen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters
Dynamische Adressvergabe mit APIPA einstellen Um die dynamische Adressvergabe einzustellen, müssen Sie in den TCP/IP-Eigenschaften lediglich IP-ADRESSE AUTOMATISCH BEZIEHEN AKTIVIEREN.
512
12 Administration von Netzwerken
Abbildung 12.14: Konfiguration für automatische Adressvergabe
Konfiguration überprüfen Mit Hilfe des Werkzeugs IPCONFIG können Sie die aktuelle Adressvergabe überprüfen. Wird eine Adresse innerhalb des für APIPA reservierten Raumes angezeigt, ist APIPA aktiv. Eine typische Ausgabe zeigt die nächste Abbildung. Abbildung 12.15: APIPA ist aktiv
Mehr Informationen zu den TCP/IP-Werkzeugen finden Sie unter 12.4 Kommandozeilen ab Seite 518.
12.3 Namensauflösung Bei der automatischen Konfiguration können Sie kein Standardgateway mehr angeben, das entsprechende Feld wird deaktiviert. Die Eingabe muss von Hand mit dem Werkzeug ROUTE erfolgen, das unter route ab Seite 527 beschrieben wird.
12.3 Namensauflösung Folgende Technologien zur Auflösung von Adressen in Namen stehen Übersicht zur Verfügung: •
DNS (Domain Name Service)
•
WINS (Windows Internet Name Service) und LMHOST-Dateien
•
HOSTS-Dateien
DNS ist die Standardmethode. Generell dienen Namensauflösungen dazu, die in Netzwerken typischerweise verwendeten Adressen in für Menschen leichter merkbare Namen umzusetzen.
12.3.1 WINS WINS (Windows Internet Name Service) ist ein von Microsoft implementierter Dienst zur Namensauflösung in NetBIOS-Netzwerken. Bei WINS wird entweder über WINS-Server oder die LMHOSTS-Datei aufgelöst. Die Einsatzmöglichkeiten sind vielfältig. Sie können in Ihrem lokalen Netz TCP/IP als Standardprotokoll einsetzen und dennoch Anwender mit den bequemen NetBIOS-Namen arbeiten lassen. Oft ist es einfacher, einen Druckserver mit \\printsrv anzusprechen, als mit 192.168.17.83. Möglicherweise spart Ihnen WINS die Umstellung von Software, die für Microsoft-Netzwerke geschrieben wurde. Dieser Abschnitt beschreibt schwerpunktmäßig die Nutzung der Datei LMHOSTS LMHOSTS für die Auflösung, da im kleinen lokalen Netz nicht unbedingt ein WINS-Server zur Verfügung steht. Sie müssen die Datei in folgendem Verzeichnis ablegen: %systemroot%\system32\Drivers\Etc Der Aufbau ist sehr einfach; Sie können die Datei beispielsweise mit dem Editor erstellen: # Copyright (c) 1993-1999 Microsoft Corp. # 192.168.0.10 printsrv_______ #PRE Dabei bezeichnet die erste Spalte die IP-Adresse, die zweite den WINS-Namen mit genau 15 Zeichen Länge und die dritte einen oder
513
514
12 Administration von Netzwerken mehrere optionale Schalter. Die Schalter werden in der folgenden Tabelle beschrieben:
Tabelle 12.3: Schalter der LMHOSTS-Datei
Beispiel
Schalter
Beschreibung
\0xHH
Schreibweise für nicht druckbare Zeichen. HH ist der Hexadezimalcode des Zeichens.
#BEGIN_ALTERNATE
Beginn einer Gruppe #INCLUDE-Anweisungen
#END_ALTERNATE
Ende einer Gruppe #INCLUDE-Anweisungen
#DOM:<domäne>
IP-Adresse ist ein Domänencontroller <domäne>
#INCLUDE
Importiert eine LMHOSTS-Datei von einem anderen Server.
#MH
Schalter für die Zuordnung mehrerer (bis zu 25) Adressen zu einem Namen
#PRE
Bestimmt, dass der Eintrag im Cache gehalten wird.
#SG
Definition eines Gruppenmitglieds. Gruppen können maximal 25 Mitglieder haben. Sie werden durch \0x20 als sechzehntes Byte des Namens definiert.
Das folgende Beispiel finden Sie in der Beispieldatei LMHOSTS.SAM. Die aktive Datei LMHOSTS hat jedoch keine Dateierweiterung: 192.168.0.10 server #PRE #DOM:technik # DC 192.168.0.112 "lptpool \0x14" # Server 192.168.0.4 email #PRE # Mailsrv BEGIN_ALTERNATE INCLUDE \\lokal\public\lmhosts INCLUDE \\maestro\public\lmhosts END_ALTERNATE Wenn das #-Zeichen keinen Schalter einleitet, beispielsweise am Zeilenanfang, wirkt es als Beginn eines Kommentars. Namen die Leerzeichen enthalten, müssen in Anführungszeichen gesetzt werden. Der WINS-Server steht unter Windows 2000 Professional nicht zur Verfügung. Sie müssen dafür ein Produkt der Windows 2000 ServerFamilie einsetzen.
12.3.2 DNS Domain Name Service
Der DNS (Domain Name Service) löst Domainnamen in IP-Adressen auf. Ein solcher Dienst kann entweder im Internet von einem Provider
12.3 Namensauflösung
515
zur Verfügung gestellt werden oder von einem Windows 2000 ServerComputer, auf dem der DNS-Dienst installiert wurde. Bei einem Provider mit Wählverbindung erfolgt normalerweise auch Internet die Zuordnung des DNS-Servers automatisch. Andernfalls muss eine IP-Adresse angegeben werden. Das DNS ist eine globale, hierarchische und verteilte Datenbank. DNS Grundlagen kann IP-Adressen und Namen auflösen und umgekehrt zu einem Namen die passende IP-Adresse finden. Die Auflösung einer Anfrage an einen beliebigen Nameserver setzt einen umfangreichen Prozess von Nameserveranfragen in Gang. Kann der erste Nameserver nicht reagieren, leitet er die Anfrage an einen der Root-Server weiter. Diese Root-Server verwalten lediglich die Toplevel und kennen die Nameserver, die alle Domains eines Toplevels verwalten. In diesen Nameservern sind wiederum die für jede einzelne Domain zuständigen Nameserver zu finden, an die letztendlich die Anfrage weitergeleitet und dort auch aufgelöst wird. Die enorme Bedeutung der Root-Server für das Funktionieren des gesamten Internets spiegelt auch die Verteilung der Root-Server wieder. So sind derzeit neun Root-Server in Betrieb, darunter Systeme im NSFnet, MILNET, SPAN (wird von der NASA betrieben) und in Europa. DNS wird auch von Active Directory als Namensdienst verwendet. Außerdem basiert der Name des Computers, der DNS als Teil des vollständig qualifizierten (FQDN) Domainnamens zur Verfügung gestellt wird, auf dem NetBIOS-Namen des Computers. DNS-Namen bestehen aus folgenden Teilen: •
Hostname. Dieser Name bezeichnet einen Computer innerhalb einer Domain. Im lokalen Netz reicht der Name zur vollständigen Beschreibung aus. Im Internet wird er als ersten Teil des FQDN verwendet.
•
Primäres DNS-Suffix. Dieser Suffix wird an den Hostnamen angehängt, um einen FQDN zu erhalten. Im Internet ist dies der Name der Domain.
•
Verbindungsspezifisches Suffix. Dieser Suffix ist an den Adapter gebunden, über den eine Verbindung hergestellt wird. Damit können unterschiedliche Namen im lokalen Netz und im Internet verwendet werden.
•
FQDN. Dies ist der vollständige, qualifizierte Name (Full Qualified Domain Name), der sich aus Hostname und einem der zur Verfügung stehenden Suffixe zusammen setzt.
Aufbau des Namens
516 Beispiel
Serverbasierte Funktionen
Einstellungen
Änderung der Hostnamen
12 Administration von Netzwerken Wenn Sie Ihren Computer www nennen und die Domain yoolia.com, so ist www der Hostname, yoolia.com der primäre DNS-Suffix und www.yoolia.com der FQDN. Windows 2000 Professional verfügt über verschiedene Funktionen, die von einem entsprechenden DNS-Server im Netz unterstützt werden müssen: •
Dynamische Aktualisierung. Wenn der lokale Hostname oder DNSSuffix geändert wird, kann dies in der zentralen DNS-Datenbank des DNS-Servers automatisch registriert werden. Voraussetzung ist, dass der DNS-Dienst mit Active Directory arbeitet.
•
Adressregistrierung. Dieser Vorgang registriert auch IP-Adressen des lokalen Systems mit dem FQDN im DNS-Server.
Die folgenden Einstellungen sollten Sie beim Einrichten von Windows 2000 Professional vornehmen: •
IP-Adressen der DNS-Server, falls diese nicht automatisch zugewiesen werden
•
Suffixe, wie oben beschrieben
•
Aktualisierung und automatischen Registrierung, wenn es vom Server unterstützt wird
Der Hostname kann nicht auf Adapterebene geändert werden. Gehen Sie dazu auf das Symbol SYSTEM in der Systemsteuerung und dann auf die Registerkarte NETZWERKIDENTIFIKATION . Wählen Sie nun die Schaltfläche EIGENSCHAFTEN. Tragen Sie den Namen des Computers und die Arbeitsgruppe ein. Falls der Computer Teil einer Windows 2000- oder NT-Domäne ist, nutzen Sie den Assistenten NETZWERKKENNUNG, der die nötigen Daten abfragt. Die Einstellung ARBEITSGRUPPE ist vor allem im Peer-To-Peer-Netz von Bedeutung. Mehr dazu finden Sie in Abschnitt 12.6.1 Peer-To-PeerNetzwerk einrichten ab Seite 548.
12.3 Namensauflösung
517 Abbildung 12.16: Einstellungen für die Namensauflösung mit DNS
Abbildung 12.17: Änderung des Computernamens
518
12 Administration von Netzwerken Der DNS-Server steht unter Windows 2000 Professional nicht zur Verfügung. Sie müssen dafür ein Produkt der Windows 2000 ServerFamilie einsetzen.
12.3.3 HOSTS und LMHOSTS Die Dateien HOST und LMHOSTS können verwendet werden, um in kleineren Netzwerken eine Namensauflösung zu realisieren, ohne dass ein DNS-Server zur Verfügung steht. Die Dateien müssen dann von Hand gepflegt werden. Der Aufbau der Datei HOSTS entspricht der Implementierung des BSD (Berkeley Standard Distribution)-Unix 4.3. Sie müssen die Datei in folgendem Verzeichnis ablegen: %systemroot%\system32\Drivers\Etc Der Aufbau ist sehr einfach. Sie können die Datei beispielsweise mit dem Editor erstellen: # Copyright (c) # 192.168.0.97 192.168.0.10 127.0.0.1
1993-1999 Microsoft Corp. mypc.copyprint.de xy.copyprint.de localhost
# Quellserver # xy-Clienthost
Die erste Spalte enthält die IP-Nummer, die zweite, durch Tabulator getrennte Spalte den Namen (FQDN). #-Zeichen leiten Kommentare ein. Die folgende Zeile ist standardmäßig aktiviert und stellt sicher, dass das lokale System als localhost angesprochen werden kann, ohne das ein DNS-Server dies auflöst. 127.0.0.1
localhost
12.4 Kommandozeilen-Tools für TCP/IP Mit den Kommandozeilen-Tools stehen verschiedene Werkzeuge, die überwiegend aus der UNIX-Welt bekannt sind, auch unter Windows 2000 zur Verfügung.
12.4.1 Nutzung der Befehle Die folgende Auswahl zeigt die wichtigsten im Detail. Alle Kommandozeilenbefehle rufen Sie über die Eingabeaufforderung auf. Es ist empfehlenswert, dafür einen neuen Kommandointerpreter zu starten. Wählen Sie dazu START | PROGRAMME | ZUBEHÖR |
12.4 Kommandozeilen-Tools für TCP/IP
519
EINGABEAUFFORDERUNG. Alternativ können Sie auch über START | AUSFÜHREN gehen und dort das Programm CMD starten.
12.4.2 Die Befehle im Detail Die folgende Darstellung zeigt alle Befehle und die wichtigsten Parameter.
arp ARP dient zur Anzeige oder Änderung der Übersetzungstabellen, die von ARP (Address Resolution Protocol) für die Umsetzung von IPAdressen in physikalische Ethernet- oder Tokenringadressen verwendet werden. Dieser Befehl ist nur verfügbar, wenn das Protokoll TCP/IP installiert wurde. arp -a [] [-N [<Schnittstelle>]
Syntax
arp -d [<Schnittstelle>] arp -s <Eth_Adr> [<Schnittstelle>] •
-a. Zeigt anhand einer TCP/IP-Abfrage alle aktuellen ARP- Parameter
Einträge an. Bei Angabe von IP_Adr werden nur die IP-Adresse und die physische Adresse des betreffenden Computers angezeigt. •
. Gibt eine IP-Adresse an.
•
-N. Zeigt die ARP-Einträge für die mit Schnittstelle angegebene
Netzwerkschnittstelle an. •
<Schnittstelle>. Gibt die IP-Adresse der Schnittstelle an, deren
Adressübersetzungstabelle geändert werden muss. Falls nicht angegeben, wird die erste verfügbare Schnittstelle verwendet. •
-d. Löscht den mit angegebenen Eintrag.
•
-s. Fügt einen Eintrag zum ARP-Cache hinzu, der die IP-Adresse der physischen Adresse <Eth_Adr> zuordnet. Die physi-
sche Adresse wird als 6 hexadezimale Byte angegeben, getrennt durch Bindestriche. Die IP-Adresse wird in punktierter Dezimalschreibweise angegeben. Der Eintrag ist permanent, d.h. er wird nach einer Zeitüberschreitung im Cache nicht automatisch gelöscht. •
<Eth_Adr>. Gibt eine physikalische Adresse an.
520
12 Administration von Netzwerken finger ist ein unter UNIX verbreiteter Dienst, der Informationen zu den Nutzern eines Systems zurück gibt. Sie können mit diesem Kommando Computer abfragen, auf denen der FINGER-Dienst läuft und über entsprechende Daten verfügt. FINGER
Syntax
finger [-l] []@ [...]
Parameter
•
-l. Zeigt Informationen im langen Listenformat an.
•
. Bezeichnet den Benutzer, über den Sie Informationen anzeigen möchten. Ohne Angabe des Parameters Benutzer werden Informationen über alle Benutzer auf dem angegebenen Computer angezeigt.
•
. Name des Computers, auf dem der FINGER-Dienst läuft.
ftp steht für File Transfer Protocol, ein Protokoll zur Dateiübertragung im Internet. Dieses Programm ist ein einfacher, kommandozeilenbasierter Client. Es gibt unter Windows viele sehr komfortable FTPProgramme, von denen einige auch kostenlos als Freeware verfügbar sind.
FTP
Syntax
ftp [-v] [-n] [-i] [-d] [-g] [-s:] [-a] [-w:] []
Parameter
•
-v. Unterdrückt die Anzeige der Rückmeldungen des Remoteser-
vers. •
-n. Unterdrückt die automatische Anmeldung beim Verbindungs-
aufbau. •
-i. Schaltet bei der Übertragung mehrerer Dateien die interaktiven
Eingabeaufforderungen ab. •
-d. Aktiviert die Fehlersuche. Es werden alle FTP-Befehle angezeigt, die zwischen Client und Server ausgetauscht werden.
•
-g. Deaktiviert den Globbingmodus, der die Verwendung von
Platzhalterzeichen (* und ?) in lokalen Datei- und Pfadnamen ermöglicht. •
-s:. Gibt eine Textdatei an, die FTP-Befehle enthält. Die Befehle werden beim Start von ftp automatisch ausgeführt. Dieser
Parameter darf keine Leerzeichen enthalten. Verwenden Sie diesen Schalter anstelle der Umleitung (>). •
-a. Verwendet eine beliebige lokale Schnittstelle für die Bindung einer Datenverbindung.
12.4 Kommandozeilen-Tools für TCP/IP •
-w:. Überschreibt die Standardgröße (4096 Byte) des Übertragungspuffers.
•
. Gibt den Computernamen oder die IP-Adresse des Remotecomputers an, zu dem eine Verbindung hergestellt werden soll. Wenn der Computer angegeben wird, muss er den letzten Parameter in der Befehlszeile bilden.
Nach dem Start können Sie sich mit einem FTP-Server verbinden und Dateien von und zum Server übertragen. Auch Windows 2000 selbst kann als FTP-Server agieren. Mehr dazu finden Sie in Abschnitt 15.2.5 FTP-Dienste anbieten ab Seite 659. Das FTP-Programm versteht alle Standardbefehle. Die wichtigsten FTP-Befehle sind: •
ascii. Stellt den Dateiübertragungsmodus auf ASCII ein. Diese sollten Sie nur verwenden, wenn wirklich 7-Bit-ASCII-Dateien übertragen werden.
•
binary. Stellt den Dateiübertragungsmodus auf Binär ein. Diesen
sollten Sie standardmäßig verwenden. •
bye. Beendet die FTP-Sitzung.
•
cd, pwd. Wechselt das aktuelle Verzeichnis auf dem entfernten Computer. pwd zeigt an, welches das aktuelle Verzeichnis ist.
•
lcd. Wechselt das aktuelle Verzeichnis auf dem lokalen Computer.
Datenübertragen finden immer zwischen dem mit cd und lcd eingestellten Verzeichnissen statt. •
delete. Löscht Dateien auf dem entfernten Computer.
•
dir. Zeigt eine Liste von Dateien im aktuellen Verzeichnis des ent-
fernten Computers an. Das Verzeichnis kann auch angegeben werden. Außerdem kann die Liste in einer Datei auf dem lokalen Computer gespeichert werden. •
get. Kopiert eine Datei vom entfernten Computer in das aktuelle
Verzeichnis des lokalen Computers. •
put. Kopiert Dateien vom lokalen Computer zum entfernten Computer. Vorher sollten die Pfade mit cd und lcd eingestellt werden.
•
mkdir, rmdir, rename. Erzeugt, löscht oder benennt ein Verzeichnis auf dem entfernten Computer.
•
open, close. open öffnet eine Verbindung zu einem entfernten Com-
puter. Ist der FTP-Server geschützt, werden Name und Kennwort abgefragt. close schließt die Verbindung wieder.
521
522
12 Administration von Netzwerken Eine vollständige Liste der Befehle erhalten Sie, wenn am Prompt das Fragezeichen eingegeben wird:
Abbildung 12.18: Befehlshilft für das ftp-Programm
Eine kurze Beschreibung eines Befehls erhalten Sie, wenn Sie folgendes eingeben: ftp>? befehl
hostname Dieser Befehl zeigt den Namen des Computers an. Es gibt keine Parameter. Der Einsatz dürfte in Stapeldateien zu finden sein.
ipconfig Dieser Befehl zeigt die aktuelle IP-Adresskonfiguration des Computers an. Sie können so auch herausbekommen, welche Adresse ein DHCP-Server aus dem Adresspool zugewiesen hat. Syntax
ipconfig [/all | /renew [] | /release []]
Parameter
•
/all erstellt eine vollständige Anzeige. Ohne diesen Schalter zeigt IPCONFIG nur die IP-Adresse, die Subnetzmaske und den Standardgateway für jeden Netzwerkadapter an.
•
/renew
•
/release []. Gibt die aktuelle DHCP-Konfiguration frei. Dieser Parameter deaktiviert TCP/IP auf dem lokalen System und ist nur auf DHCP-Clients verfügbar. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.
[]. Aktualisiert die DHCP-Konfigurationsparameter. Dieser Parameter ist nur auf Systemen verfügbar, auf denen der DHCP-Clientdienst ausgeführt wird. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.
12.4 Kommandozeilen-Tools für TCP/IP
523 Abbildung 12.19: ipconfig mit allen Informationen
netstat Dieses Werkzeug zeigt Protokolldaten an, die zur Fehlersuche verwendet werden können. netstat [-a] [-e] [-n] [-s] [-p] [-r] [] •
-a. Zeigt alle Verbindungen und abhörenden Anschlüsse an. Ser- Parameter
ververbindungen werden normalerweise nicht angezeigt. •
-e. Zeigt die Ethernet-Statistik an. Kann mit der Option -s kombi-
niert werden. •
-n. Zeigt Adressen und Anschlussnummern in numerischer Form
an (es wird nicht versucht, die entsprechenden Namen abzufragen). •
Syntax
-s. Zeigt die Statistik protokollweise an. Standardmäßig wird die Statistik für TCP, UDP, ICMP und IP angezeigt. Mit der Option -p
können Sie eine Teilmenge der Standardanzeige angeben. •
-p . Zeigt die Verbindungen für das mit Protokoll angegebene Protokoll an. Mögliche Werte für Protokoll sind TCP oder UDP. Wird diese Option zusammen mit der Option -s zur protokollweisen Statistikanzeige verwendet, kann für Protokoll tcp, udp, icmp oder ip angegeben werden.
•
-r. Zeigt den Inhalt der Routingtabelle an.
•
. Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl Sekunden erneut an. Drücken Sie STRG+C zum Beenden der Intervallanzeige. Ohne Angabe dieser Option gibt NETSTAT die aktuellen Konfigurationsinformationen nur einmal aus.
524
12 Administration von Netzwerken
Abbildung 12.20: netstat mit allen Angaben
nslookup Dieses Diagnosehilfsprogramm zeigt Informationen von DNSNamensservern an. Bevor Sie dieses Hilfsprogramm verwenden, sollten Sie sich mit der Funktionsweise von DNS vertraut machen. Mehr dazu finden Sie in Abschnitt 12.3.2 DNS ab Seite 514. Modi
NSLOOKUP verfügt über zwei Modi: den interaktiven und den nicht interaktiven Modus. Wenn Sie nur ein einzelnes Datenelement suchen, verwenden Sie den nicht interaktiven Modus. Geben Sie als erstes Argument den Namen oder die IP-Adresse des Computers ein, der gesucht werden soll. Geben Sie als zweites Argument den Namen oder die IP-Adresse eines DNS-Namensservers ein. Wenn Sie das zweite Argument nicht angeben, wird der Standard-DNS-Namensserver verwendet.
12.4 Kommandozeilen-Tools für TCP/IP
525
Wenn Sie mehrere Datenelemente suchen, verwenden Sie den interaktiven Modus. Geben Sie einen Bindestrich (-) als erstes Argument und den Namen oder die IP-Adresse eines DNS-Namensservers als zweites Argument ein. Wenn Sie beide Argumente weglassen, wird der Standard-DNS-Namensserver verwendet. nslookup [-Option ...] [ | - [<Server>]] •
Syntax
-Option .... Gibt einen oder mehrere NSLOOKUP-Befehle als eine Parameter
Befehlszeilenoption an. Jede Option besteht aus einem Bindestrich (-), unmittelbar gefolgt von dem Befehlsnamen. In einigen Fällen folgt noch ein Gleichheitszeichen und ein Wert. Um beispielsweise den Standardabfragetyp auf Hostinformation und den anfänglichen Wert für die Zeitüberschreitung auf 10 Sekunden zu setzen, geben Sie Folgendes ein: nslookup -querytype=hinfo -timeout=10 Die Länge der Befehlszeile darf 255 Zeichen nicht überschreiten. •
. Sucht nach Informationen über den Computer , wobei der aktuelle Standardserver oder aber den Server <Server> verwendet wird. Ist eine IP-Adresse und der Abfragetyp A oder PTR, wird der Name des Computers zurückgegeben. Ist ZuSuchenderHost ein Name ohne nachfolgenden Punkt, wird der Standard-DNS-Domänenname an den Namen angefügt. (Dieses Verhalten hängt vom Zustand der set-Optionen ab: domains, srchlist, defname bzw. search)
Um nach einem Computer zu suchen, der sich nicht in der aktuellen Domäne befindet, fügen Sie an den Namen einen Punkt an. Wenn Sie an Stelle von Computer einen Bindestrich (-) eingeben, wechselt die Befehlseingabe in den interaktiven Modus. •
<Server>.
Legt diesen Server als zu verwendenden DNSNamensserver fest. Wenn Sie Server nicht angeben, wird der Standard-DNS-Namensserver verwendet.
Beispiel
526
12 Administration von Netzwerken
Abbildung 12.21: Typische nslookupAbfrage
ping Der Befehl PING überprüft die Netzwerkverbindung zu einem oder mehreren entfernten Computern. Wenn Sie TCP/IP installiert haben, können Sie die Verbindung am schnellsten mit PING prüfen. Jeder Computer im Netzwerk muss jeden anderen »anpingen« können. Syntax
ping [-t] [-a] [-n ] [-l ] [-f] [-i TTL] [-v TOS] [-r ] [-s ] [[-j ] | [-k ]] [-w ]
Parameter
•
-t. Sendet fortlaufend Ping-Signale an den angegebenen Compu-
ter. •
-a. Wertet Adressen zu Computernamen aus.
•
-n . Sendet die mit Anzahl angegebene Anzahl an ECHOPakete. Der Standardwert ist 4.
•
-l . Sendet ECHO-Pakete mit der durch Länge festgelegten Datenmenge. Der Standardwert beträgt 32 Byte, der Maximalwert beträgt 65.527 Byte.
•
-f. Sendet die Pakete mit einem NICHT FRAGMENTIEREN-Flag. Das Paket wird dadurch beim Weiterleiten von keinem Gateway fragmentiert.
•
-i . Legt für das Feld Gültigkeitsdauer den mit TTL angegebenen Wert fest.
12.4 Kommandozeilen-Tools für TCP/IP •
527
-v . Legt für das Feld Servicetyp den mit TOS angegebenen
Wert fest. •
-r . Zeichnet die Route des gesendeten Pakets und des zurückkehrenden Pakets im Feld Route aufzeichnen auf. Über Anzahl wird die Anzahl der aufzuzeichnenden Hosts angegeben. Es muss mindestens ein Host und es können höchstens neun Hosts aufgezeichnet werden.
•
-s . Gibt den Zeiteintrag für die durch Anzahl angegebene Anzahl der Abschnitte an.
•
-j . Leitet Pakete entsprechend der durch Computerliste angegebenen Hostliste weiter. Aufeinander folgende Hosts können durch dazwischenliegende Gateways getrennt sein (Loose Source Routed). Die von IP maximal erlaubte Anzahl ist neun.
•
-k . Leitet Pakete entsprechend der durch Computerliste angegebenen Hostliste weiter. Aufeinander folgende Hosts dürfen nicht durch dazwischenliegende Gateways getrennt sein (Strict Source Routed). Die von IP maximal erlaubte Anzahl ist neun.
•
-w . Gibt für die Zeitüberschreitung ein Intervall in
Millisekunden an. •
. Gibt die Remotehosts an, für die Ping ausgeführt werden soll.
ping www.microsoft.com ping 192.168.0.10 ping 192.168.0.10 -n 16 -l 256
route Der Befehl ROUTE dient der Konfiguration lokaler Routen für den IPVerkehr. Eine Route legt fest, über welchen Weg im lokalen Netz der IP-Verkehr läuft. Einige Standardrouten sind bereits eingerichtet, damit Grundkonfigurationen ohne Eingriff funktionieren.
Beispiele
528
12 Administration von Netzwerken
Abbildung 12.22: Anzeige der Standardrouten
Grundlagen
Unter Routing wird der Vorgang des Versendens von Paketen zwischen Netzwerken verstanden. Grundsätzlich ist eine Route eine physikalische Verbindung zwischen zwei Netzwerken. Diese Verbindung ist passiv, bis sie ein Paket von einer der beiden Seiten eines Netzwerks eintrifft. Dabei muss das Paket an den Router adressiert werden – ein wesentlicher Unterschied zur Bridge, die aktiv Pakete annimmt und weiter leitet. Der Router informiert sich dann in einer RoutingTabelle, wohin das Paket zu senden ist und transportiert es so in das nächste Teilnetz.
Routing
Das Routing ist eine Funktion des Netzwerkprotokolls IP. Um die Weiterleitung von Paketen steuern zu können, verwaltet IP eine Tabelle – die schon erwähnte Routing-Tabelle. Diese Tabelle enthält standardmäßig einige Routen, wie in Abbildung 12.22 zu sehen ist. Windows 2000 kann also, wenn der Computer physikalisch mit zwei Netzwerken verbunden ist, als Router arbeiten. Allerdings ist Windows nicht typischerweise als Router konzipiert. Die Einsatzmöglichkeit resultiert vor allem aus der Tatsache, das Routing eine Funktion des IP-Layers ist, der mit TCP/IP installiert wurde und das ein Computer mit Netzwerkkarte die technischen Voraussetzungen hat. Dedizierte Router sind leistungsfähiger und vor allem kleiner.
Voraussetzungen
Praktisch müssen folgende Bedingungen für die Nutzung des Routing erfüllt sein: •
Im Router müssen zwei Netzwerkkarten installiert sein
•
Jede Netzwerkkarte muss eine eindeutige, feste IP-Adresse haben
•
Das IP-Routing muss aktiviert sein
Syntax
route [-f] [-p] [ [] [mask <Subnetmaske>] [] [metric ]]
Parameter
•
-f. Löscht alle Gatewayeinträge in den Routingtabellen. Wird die-
ser Parameter mit einem Befehl verwendet, werden die Tabellen vor der Befehlsausführung gelöscht.
12.4 Kommandozeilen-Tools für TCP/IP •
529
-p. Wird dieser Parameter mit dem Befehl add verwendet, bleibt die
Route nach dem Neustart des Systems erhalten. Standardmäßig werden zuvor existierende Routen beim Neustart des Systems entfernt. Wird dieser Parameter mit dem Befehl print verwendet, wird eine Liste aller registrierten gespeicherten Routen angezeigt. Dieser Parameter wird überlesen, wenn er mit anderen Befehlen verwendet wird, die sich immer auf die entsprechenden beständigen Routen auswirken. •
. Gibt einen der folgenden Befehle an: -
print. Zeigt eine Route an
-
add. Fügt eine Route hinzu
-
delete. Löscht eine Route
-
change. Ändert eine bestehende Route
•
. Gibt den Computer an, an den Befehl gesendet werden soll.
•
mask <Subnetmaske>. Gibt eine Subnetzmaske an, die mit diesem
Routeeintrag verbunden wird. Sollte hier nichts eingetragen sein, wird 255.255.255.255 verwendet. •
. Gibt den Gateway an. Alle symbolischen Namen in Ziel
bzw. Gateway werden sowohl in der Netzwerkdatenbankdatei NETWORKS als auch in der Computernamendatenbankdatei HOSTS verwendet. Bei den Befehlen print bzw. delete können Stellvertreterzeichen für Ziel und Gateway verwendet werden, und es kann auf die Angabe von Gateway verzichtet werden. •
metric . Ordnet eine ganzzahlige Kostenanzahl (zwischen
1 und 9999) zu, die zur Berechnung der schnellsten, zuverlässigsten und/oder kostengünstigsten Routen verwendet wird.
rsh Führt einen Befehl auf Remotehosts aus, auf denen der RSH-Dienst aktiviert ist. Dieser Befehl ist nur verfügbar, wenn das TCP/IPProtokoll installiert wurde. rsh [-l ] [-n]
Syntax
•
Computer. Gibt den Remotehost an, auf dem Befehl ausgeführt Parameter werden soll.
•
-l . Gibt den Benutzernamen an, der auf dem Remotehost verwendet werden soll. Ohne Angabe des Parameters wird der aktuelle Benutzername verwendet.
530
12 Administration von Netzwerken •
-n. Leitet die Eingabe von rsh auf NULL um.
•
. Gibt den auszuführenden Befehl an.
tracert Das Programm TRACERT ist ein Diagnosewerkzeug. Es ermittelt die Route zu einem Ziel, indem es ICMP-Echopakete (Internet Control Message Protocol) mit unterschiedlichen TTL-Werten (Time-To-Live) sendet. Dabei wird von jedem Router auf dem Pfad erwartet, dass er den TTLWert für ein Paket vor dem Weiterleiten um mindestens 1 verkleinert; so dass der TTL-Wert die Anzahl der Abschnitte angibt. Wenn der TTL-Zähler für ein Paket den Wert Null erreicht, sendet der Router eine »ICMP-Zeitüberschreitung«-Nachricht zur Quelle zurück. TRACERT ermittelt die Route, indem es das erste Echopaket mit dem TTL-Wert 1 sendet und den TTL-Wert bei jeder folgenden Übertragung um Eins erhöht, bis das Ziel antwortet oder der TTL-Höchstwert erreicht ist. Die Route wird durch Prüfen der »ICMPZeitüberschreitung«-Nachrichten ermittelt, die von den dazwischenliegenden Routern zurückgesendet werden. Einige Router verwerfen jedoch Pakete mit abgelaufenen TTL-Werten ohne Warnung und sind nicht sichtbar für TRACERT. Syntax
tracert [-d] [-h ] [-j ]
[-w ] Parameter
•
-d. Gibt an, dass Adressen nicht zu Hostnamen ausgewertet wer-
den sollen. Da bei jedem Knoten eine Nameserverabfrage entfällt, ist diese Variante deutlich schneller. •
-h . Gibt an, wie viele Abschnitte bei der Zielsuche
höchstens durchlaufen werden sollen. Der Standardwert ist 30. •
-j . Gibt an, dass die Hostliste im »Loose Source Routing« abgearbeitet wird.
•
-w . Wartet die durch Zeitüberschreitung an-
gegebene Anzahl von Millisekunden auf eine Antwort. Der Standardwert beträgt 1000 ms. •
. Name des Zielhosts.
12.5 WAN-Verbindungen
531 Abbildung 12.23: Typische Ausgabe: Der Weg vom Provider zum Server ist im Internet oft sehr lang
12.5 WAN-Verbindungen WAN steht für Wide Area Network und ist die allgemeine Beschreibung für alle Arten von Netzwerken, die nicht auf einen Ort beschränkt sind – alles außer LAN. Auch Internetverbindungen sind deshalb WAN-Verbindungen. Der Abschnitt zeigt, welche Unterstützung für WAN Windows 2000 bietet.
12.5.1 Konfiguration für DFÜ-Verbindungen Die Konfiguration für das Internet umfasst sowohl die Installation der ensprechenden Hardware – Modem oder ISDN-Karte –, als auch die Einstellung der Verbindungsparameter zu einem Dienstanbieter (Provider).
Hardwareinstallation Um eine Verbindung ins Internet aufbauen zu können, gibt es mehrere Wege: •
per Modem oder ISDN-Terminaladapter
•
eine interne ISDN-Karte
•
über einen im lokalen Netz verfügbaren Router
Die erste Voraussetzung ist also immer die Verfügbarkeit entsprechender Hardware. Mit Hardware ist natürlich auch die Frage nach dem passenden Treiber verbunden. Windows 2000 erkennt glücklicherweise die meisten modernen Plug&Play-Geräte automatisch und
532
12 Administration von Netzwerken verwendet damit die mitgelieferten Treiber. Bei älteren Geräten sieht es nicht so gut aus. Die Windows NT 4-Treiber können nicht verwendet werden, da Windows 2000 nun konsequent auf das neue Treibermodell setzt. Da einige Hersteller ihre alten Karten nicht pflegen, kann die eine oder andere ISDN-Karte hier nicht mehr eingesetzt werden. Die Vorteile, die Windows 2000 aber auch in Bezug auf die Internetnutzung bietet, sind aber durchaus den Tausch einer Kommunikationskarte für etwas über 100 DM wert. Die Installation eines speziellen Dienstes, wie des RAS-Dienstes unter Windows NT 4, ist nicht mehr notwendig. Dennoch existiert dieser Dienst, er wird nur intern automatisch hinzugefügt und gestartet.
Modem selbst hinzufügen
Wenn ein Modem nicht erkannt wird, sie aber über passende Treiber verfügen oder einen Standardtreiber verwenden können, besteht auch die Möglichkeit, dieses Modem von Hand zu installieren. Neben der Installation über den Gerätemanager bietet sich ein kürzer Weg an: Wählen Sie in der Systemsteuerung TELEFON- UND MODEMOPTIONEN. In dem folgenden Dialog gehen Sie zur Registerkarte MODEMS und dann auf HINZUFÜGEN. Es startet der Hardwareassistent. Auf der ersten Seite aktivieren Sie das Kontrollkästchen MODEM AUSWÄHLEN. Dadurch wird die Plug&Play-Funktion unterdrückt. Sie können jetzt aus einer Liste von Modellen eines auswählen oder den vorhandenen Treiber vom Datenträger laden.
Abbildung 12.24: Liste der installierten Modems
Mit Hilfe der Schaltfläche EIGENSCHAFTEN können Sie nun weitere Optionen einstellen. Einige Elemente sind – je nach Gerätetyp – eventuell nicht aktiviert.
12.5 WAN-Verbindungen
533 Abbildung 12.25: Einstellung der Modemoptionen
Verfügbar sind folgende Optionen: •
LAUTSTÄRKE, steuert den internen Lautsprecher des Modems
•
MAXIMALE ÜBERTRAGUNGSRATE. Dies ist die »Nettoübertragungsrate«, mit der Daten vom und zum Modem transportiert werden können. Der Wert sollte höher sein als die maximale Übertragungsrate, für die das Modem ausgelegt ist. Außerdem ist darauf zu achten, dass die verwendete Schnittstelle (serieller Port) sich für diese Geschwindigkeit eignet.
•
WÄHLOPTIONEN. Hier können Sie das Verhalten zum Freizeichen einstellen.
Start mit dem Assistenten Die Konfiguration des Computers für den Internetzugang beginnt mit einem Assistenten. Dort haben Sie die in Abbildung 12.26 gezeigten Auswahlmöglichkeiten.
534
12 Administration von Netzwerken
Abbildung 12.26: Auswahlliste des Internet-ZugangsAssistenten
Die Frage sollte wahrheitsgemäß beantwortet werden. Die Einstellungen lassen sich zwar später noch modifizieren, der Assistent erledigt die wichtigsten Aufgaben aber meist zufriedenstellend. In das Internet einwählen
Die Option IN DAS INTERNET EINWÄHLEN führt automatisch zu einer sicheren Konfiguration und die Einwahldaten lassen sich später wieder ändern, was bei einer VPN-Konfiguration nicht möglich ist. Der Assistent fragt das Kommunikationsgerät nur ab, wenn eine Auswahl besteht. Haben Sie nur ein Modem im System, wird dies automatisch konfiguriert. Bereit halten sollten Sie außerdem folgende Daten: •
Einwahlrufnummer
•
Daten des E-Mail-Servers
•
Anmeldename und Kennwort
Wenn Sie die automatische Konfiguration nutzen, werden Sie mit einer Liste von Dienstanbietern konfrontiert, die offensichtlich diesen Assistenten als Werbeplattform nutzen. Die Angebote erschienen Mitte 2000 nicht zu den Besten zu gehören – Sie können diese Auswahl getrost übergehen und bei »Ihrem« Provider bleiben.
12.5 WAN-Verbindungen
535 Abbildung 12.27: Auch Assistenten sind nicht vor Werbung sicher
Nach der Prozedur steht im Ordner NETZWERK- UND DFÜVERBINDUNGEN ein weiteres Symbol zur Verfügung, dass die Verbindung zum Internet herstellt.
12.5.2 DFÜ-Verbindungen selbst konfigurieren Sie können die mit dem Assistenten erstellte Verbindung anschließend vollständig konfigurieren. Dazu gehen Sie in den Ordner NETZWERKUND DFÜ-VERBINDUNGEN. Wählen Sie im Kontextmenü der betreffenden Verbindung den Eintrag EIGENSCHAFTEN.
Wähloptionen Bei einer Wählverbindung beginnen Sie die Konfiguration mit der Angabe der Rufnummer und der Wählregeln.
536
12 Administration von Netzwerken
Abbildung 12.28: Angaben zu Modem und Rufnummer
Verbindungsoptionen Wahlwiederholoptionen
Die Wahlwiederholoptionen sind sinnvoll, wenn die Verbindung öfters nicht zustande kommt. Das betrifft vor allem Mobilfunkzugänge und ältere Modems, die bei Leitungsstörungen die Verbindung abbauen.
Leerlaufoption
Interessant ist die Leerlaufoption. Wenn Sie bei LEERLAUFZEIT einen Wert auswählen, wird die Verbindung nach dieser Zeit getrennt. Stellen Sie den Wert etwas geringer ein als der Zeittakt des Telefondiensteanbieters. Dann werden seltener Einheiten nur teilweise verbraucht. Generell ist zu empfehlen, hier eine Zeit einzutragen. Wenn Sie die Verbindung mal »vergessen«, entstehen keine ungewöhnlich hohen Kosten. Längere Downloads sind davon nicht betroffen – solange Daten übertragen werden, beginnt der Zeitgeber nicht zu zählen.
12.5 WAN-Verbindungen
537 Abbildung 12.29: Optionen während der Verbindung
Sicherheitseinstellungen Auf der Registerkarte SICHERHEITSEINSTELLUNGEN können Sie die Behandlung des Kennwortes einstellen. Normalerweise gibt diese Option der Provider vor. Üblicherweise werden Kennwörter für Verbindungen im Internet nicht verschlüsselt. Falls Sie besondere Sicherheitsansprüche haben oder Ihr Provider dies verlangt, können Sie hier auch folgende Einstellungen vornehmen: •
DATENVERSCHLÜSSELUNG. Diese Option definiert, wie sich der Client verhält, wenn der Server eine bestimmte Form der Verschlüsselung nutzt oder ablehnt.
•
FOLGENDE PROTOKOLLE ZULASSEN. Bestimmen Sie hier, welche Protokolle für den Verbindungsaufbau zugelassen werden. Die WANProtokolle wurden in Abschnitt 8.5 Absicherung von Internet- und WAN-Verbindungen ab Seite 276 beschrieben. Beachten Sie, dass Sie bei EAP über ein Zertifikat verfügen müssen.
Sie erreichen diese Einstellungen über ERWEITERT und die Schaltfläche BEARBEITEN (siehe Abbildung 12.30).
538
12 Administration von Netzwerken
Abbildung 12.30: Sicherheitseinstellungen
Umgang mit Anmeldeskripten Steuerung der Anmeldeprozedur
Falls die Anmeldeprozedur zusätzliche Eingaben verlangt oder durch ein Skript gesteuert werden muss, können Sie dies im unteren Teil des Dialogs angeben. Skripte enden auf SCP und verwenden eine spezielle Skriptsprache. Sie finden bereits vorkonfigurierte Skripte in folgendem Verzeichnis: %systemroot%\system32\ras Diese Skriptfunktion wurde aus Windows 95 übernommen, dort erstellte Skripte können auch unter Windows 2000 verwendet werden. Windows 2000 verfügt aber zusätzlich über eine eigene, generische Skriptsprache für Modemverbindungen.
Die Skripte verwenden spezielle Befehle. Wichtige Befehle sind: Die wichtigsten Skriptbefehle der alten Skriptsprache • delay x. Verzögert die Ausführung um x Sekunden. •
transmit "string". Übermittelt string an die Gegenstelle.
•
waitfor "string". Wartet solange, bis die Gegenstelle die Zeichenfolge string sendet.
12.5 WAN-Verbindungen •
539
set. Setzt eine interne Variable. Wichtige Variablen sind: -
port. Der serielle Port. Beispiele:
set port databits 7 set port parity even -
ipadr. Die IP-Adresse
•
integer variable=wert. Initialisiert eine Integer-Variable.
•
string variable=”wert”. Initialisiert eine Zeichenketten-Variable.
•
boolean variable=TRUE|FALSE. Initialisiert eine Boolesche-Variable.
•
$variable. Greift auf eine interne Variable zu. Wichtige interne Va-
Umgang mit Variablen
riablen sind: -
$USERID. Benutzername
-
$PASSWORD. Kennwort für die Verbindung
•
while bedingung do. Beginn einer bedingten Schleife.
•
endwhile. Ende der Schleife
•
goto label. Sprung zur Marke label.
•
label:. Definition einer Sprungmarke für goto.
•
if bedindung then. Einfache Bedingungsverzweigung.
•
end if. Ende der Bedingungsverzweigung.
•
else. Alternativer Zweig der Bedingungsverzweigung.
•
^M sendet ein Enter
Das Skript muss mindestens die Prozedur main umfassen, die folgenden Aufbau hat: proc main ... Befehle endproc Kommentare werden durch ein Semikolon eingeleitet. Das folgende Beispielskript zeigt die Anmeldung am T-OnlineClassic-Dienst (vormals BTX):
Steueranweisungen
Sonderzeichen
540 Abbildung 12.31: Skript zur Verbindung mit TOnline-Classic
12 Administration von Netzwerken proc main delay 1 transmit "." transmit "^M" waitfor "[?25h" ; Anschlusskennung senden transmit $USERID ; Mitbenutzernummer senden waitfor "[?25h" transmit "^M" ; Kennwort senden waitfor "[?25h" transmit $PASSWORD transmit "^M" ; Transparente Datenvorwarnung aus waitfor "[?25h" delay 1 transmit "*53#" ; Internet-Gateway aufrufen waitfor "[?25h" delay 1 transmit "*190144100#" ; 0.10 DM/min bestätigen delay 5 transmit "19" ; Zugangart und IP-Adresse abfragen delay 5 waitfor "STATUS OK" transmit "LIN^M" transmit "OK^M" waitfor "YOURIP" set ipaddr getip endproc Die Skriptfunktion wird in vollem Umfang nur für Modems unterstützt, die an der seriellen Schnittstelle angeschlossen sind.
Die generische Skriptfunktion script.inf
Mit der generischen Skriptfunktion SCRIPT.INF steht in Windows 2000 ein alternativer Weg für das Scripting des Verbindungsaufbaus zur Verfügung. Sie erreichen die entsprechende Datei, indem Sie als Skript GENERIC LOGIN auswählen und dann auf BEARBEITEN klicken. Jedes Skript besteht aus einer Folge von Befehlen und Rückmeldungen. Um dem Remotecomputer zu vermitteln, dass vor einer Rückmeldung nichts übermittelt wird, schreiben Sie: COMMAND= Durch die folgenden zwei Zeilen werden alle Rückmeldungen des Remotecomputers von allen Netzwerkverbindungen so lange ignoriert, bis der Remotecomputer zur Eingabe des Anmeldenamen auf-
12.5 WAN-Verbindungen fordert. Falls der Remotecomputer Sie zur Eingabe eines anderen Parameters (nicht Anmeldename) auffordert, müssen Sie "Login:" in der Zeile unten mit dem genauen Text, den der Remotecomputer verwendet, ersetzen: OK=<match>"ogin:" LOOP= Lassen Sie bei solchen Abfragen das ersten Zeichen weg, da es manchmal vorkommt, dass es verschluckt wird. Aus »Login« wird dann »ogin«. Die folgende Zeile ist äquivalent mit der Eingabe desselben Benutzernamen im Fenster VERBINDEN oder mit der Option KENNWORT SPEICHERN: COMMAND=<username> Durch das folgenden Beispiel werden alle Rückmeldungen des Remotecomputers von allen Netzwerkverbindungen so lange ignoriert, bis der Remotecomputer zur Eingabe des Kennworts auffordert, wobei erwartet wird, dass die Zeile die Zeichenfolge »Password« enthält: OK=<match>"Password:" LOOP= Die folgende Zeile ist äquivalent mit der Eingabe des Kennworts im Fenster VERBINDEN: COMMAND=<password> Durch die folgende Zeile wird die endgültige Rückmeldung des Computers ignoriert. OK=
Netzwerkprotokolle für die Verbindung Normalerweise werden Sie für die Internetverbindung nur TCP/IP benötigen. Alle anderen Protokolle sollten aus Sicherheitsgründen deaktiviert werden. Verbinden Sie sich mit einem Firmennetzwerk, aktivieren Sie nur das dort benötigte Protokoll. Als Typ des Einwahlservers eignet sich bei Internetverbindungen die Option: PPP: Windows 95/98/NT/2000, Internet Die drei PPP-Optionen sollten Sie, wie in der folgenden Abbildung gezeigt, aktivieren.
541
542
12 Administration von Netzwerken
Abbildung 12.32: PPP-Optionen
Die Einstellungen hängen wiederum vom Provider ab. Wenn Sie unsicher sind, stellen Sie alle Optionen auf »automatisch« oder »Adresse automatisch beziehen«. Abbildung 12.33: Angaben zum Einwahlserver
Zum Einstellen der TCP/IP-Optionen aktivieren Sie den Eintrag INTERNETPROTOKOLL in der Liste und wählen Sie dann EIGENSCHAFTEN.
12.5.3 Gemeinsame Internetverbindungen Eine der spannenden Funktionen in Windows 2000 ist die gemeinsame Nutzung der Internetverbindung. Darunter wird die Freigabe eines Internetzugangs für andere Benutzer im Netzwerk verstanden. Diese Funktion erfüllt also die gleiche Aufgabe wie ein dedizierter Router – vorausgesetzt, die Windows 2000 Professional-Station ist
12.5 WAN-Verbindungen
543
auch eingeschaltet. Benutzer anderer Computer können damit völlig transparent auf das Internet zugreifen. Falls es sich um eine Wählverbindung handelt, wird auch diese automatisch aktiviert. Diese Konfiguration wird bei Microsoft ICS (Internet Connection Sharing) genannt. Abbildung 12.34: Freigabe der Verbindung im Netzwerk
Nachfolgend werden ICS und mögliche Alternativen vorgestellt, wie beispielsweise Kabelmodem oder DSL-Verbindungen via Router.
ICS-Konfiguration Im Gegensatz zu anderen Netzwerkfunktionen wird bei der gemein- Internet samen Internetverbindung eine ganz bestimmte Konfiguration fest Connection eingestellt. Diese modifiziert auch andere, damit in Konflikt stehende Sharing Einstellungen. Sie müssen sich deshalb für eine bestimmte Konfiguration entscheiden. Außerdem müssen die folgenden Voraussetzungen im Netzwerk gegeben sein: •
Es darf kein DHCP-Server im Netzwerk sein
•
Es darf kein DNS-Server im Netzwerk sein
Der Grund ist einfach: ICS stellt automatisch DHCP- und DNSFunktionen zur Verfügung. Im Gegensatz zu den entsprechenden Ser-
544
12 Administration von Netzwerken verdiensten sind diese aber nicht konfigurierbar. Die folgende Tabelle zeigt die Einstellungen des ICS und die Konfiguration der primitiven DHCP- und DNS-Dienste.
Tabelle 12.4: ICSKonfiguration
ICS-Funktion
Einstellung
IP-ADRESSE
Die IP-Adresse des ICS-Computers wird fest auf 192.168.0.1 mit der Subnetzmaske 255.255.255.0 eingestellt.
WÄHLEN
Die Funktion AUTOMATISCHES WÄHLEN ist aktiviert
ROUTEN
Eine statische Route wird eingerichtet
ICS-DIENST
Startet automatisch
DHCP
Ein fest konfigurierter DHCP-Server startet und weist anderen Computern im Netzwerk Adressen aus den Bereich 192.168.0.2 bis 192.168.0.254 zu. Die Subnetzmaske ist immer 255.255.255.0
DNS
Hierfür wird ein Proxy aktiviert
Welche Art von Verbindung Sie so freigeben, spielt dabei keine Rolle. Es kann sich auch um die LAN-Verbindung zu einem Router handeln. Abbildung 12.35: Typisches ICSNetzwerk
12.5 WAN-Verbindungen
545
Das Einrichten einer Modem- oder ISDN-Verbindung unterscheidet Einrichten einer sich kaum von der einer normalen Internetverbindung. Am einfachs- Modem- oder ISDNten ist es, wenn Sie eine neue Verbindung im Ordner NETZWERK- UND Verbindung DFÜ-VERBINDUNGEN einrichten. Wählen Sie im Assistenten VERBINDUNG INS INTERNET HERSTELLEN und folgen Sie dann den Anweisungen. Sie können auch eine bereits vorhandene Verbindung im Netzwerk freigeben. Zum Aktivieren von ICS öffnen Sie den Dialog EIGENSCHAFTEN und dann die Registerkarte GEMEINSAME NUTZUNG. Aktivieren Sie das Kontrollkästchen GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG AKTIVIEREN. Wenn Sie diese Einstellung abschließen, wird der LAN-Adapter auf 192.168.0.1 eingestellt. Sie können diese Konfiguration nicht mit einer anderen Adresse zusammen verwenden. Falls ihr LAN mit festen IPNummern arbeitet, sollten Sie besser einen externen Router verwenden.
Abbildung 12.36: Freigabe der Internetverbindung
546
12 Administration von Netzwerken DSL per Router Wenn Sie DSL oder einen ISDN-Router haben, der selbst einen Netzwerkadapter enthält, so benötigen Sie einen zweiten Netzwerkadapter auch im ICS-Computer. Der ICS-Computer wird jetzt zum Router, der die beiden Teilnetzwerke verbindet. Dabei spielt es keine Rolle, ob der Diensteanbieter Ihnen feste oder dynamische IP-Adressen zugewiesen hat.
Abbildung 12.37: ICS-Computer mit zwei Netzwerkkarten
Jetzt konfigurieren Sie das interne Netz mit den im letzten Abschnitt beschriebenen ICS-Parametern. Die zweite Netzwerkkarte, zum Router oder DSL-Adapter, stellen Sie auf die IP des Diensteanbieters ein – entweder dynamisch oder mit der zugewiesenen IP-Nummer. T-DSL interconnect Eine typische Konfiguration ist T-DSL interconnect. In der einfachsten
Form wird folgende Übertragungsleistung zur Verfügung gestellt: •
Downstream 1,6 MBit/sec
•
Upstream 160 KBit/sec
•
Festverbindung
•
6 feste IP-Adressen, davon 5 frei verwendbar (1 Adresse wird vom Router belegt) in der kleinsten Variante
Offensichtlich ist es kein Problem, bei einem solchen Adressraum den vorhandenen Computern feste IP-Adressen zu geben. Mehrere Dinge sprechen jedoch dagegen. Zum einen kann schon ein Drucker den Ad-
12.5 WAN-Verbindungen
547
ressraum sprengen – Erweiterungen sind hier nicht vorgesehen. Zum anderen stellt die Konfiguration eine Sicherheitslücke dar, da jeder Computer im Netz direkt von außen erreichbar ist und gesondert abgesichert werden muss. Problematischer ist aber, dass die Telekom nach Volumen abrechnet und dazu den IP-Traffic am Ethernet-Port des Routers misst. Das umfasst aber, wenn sich lokales Netz und Router im selben Subnetz befinden, auch den lokalen Verkehr. Es wird also einfach nur teuer. Der geringe Preis eines zweiten Netzadapters sollte einem dies in jedem Fall Wert sein. Abbildung 12.38: So geht es nicht: Verbinden Sie ein DSL-Modem nie direkt mit dem Netzwerk
Mit dem ICS haben Sie eine einfache und komfortable Verbindung zum Internet für Ihr gesamtes Netzwerk.
12.5.4 Remote Verbindungen Remote Verbindungen werden ebenso wie alle anderen Netzwerkverbindungen im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN konfiguriert. Durch die Natur der entfernten Verbindungen sind allerdings mehr Überlegungen zur Sicherheit und zur Absicherung eines schnellen Verbindungsaufbaus anzustellen. Die Einstellungen wirken sich auch auf die Konfiguration von TCP/IP aus. Zusätzlich stehen verbindungsspezifische Funktionen wie Wählen zur Verfügung.
548
12 Administration von Netzwerken Gruppenrichtlinien Mit verschiedenen Gruppenrichtlinien können Sie den Umgang der Benutzer mit den Netzwerkfunktionen kontrollieren. Mehr dazu finden Sie im Abschnitt 14.3 Gruppenrichtlinien ab Seite 613.
12.6 Administration von Peer-To-PeerNetzwerken Mit Windows 2000 Professional haben Sie beste Voraussetzungen, ein kleines Netzwerk ohne Server einzurichten und zu betreiben. Dieser Abschnitt geht auf die Konfiguration ein.
12.6.1 Peer-To-Peer-Netzwerk einrichten Die praktische Einrichtung eines Peer-to-Peer-Netzwerks ist mit Windows 2000 nicht besonders kompliziert. Ein paar Besonderheiten sind aber zu beachten, vor allem im Zusammenspiel mit Windows 98/ME.
Sicherheitsmodelle Windows 98 Windows 95 Windows ME
Peer-to-Peer-Netzwerke unter Windows 9x kennen nur ein Sicherheitsmodell – die Freigabeebene. Ressourcen in einem solchen Netz sind durch einen Benutzernamen und ein Kennwort geschützt. Alle Benutzer können sich mit der Ressource verbinden, wenn sie über diese Informationen verfügen.
Windows 2000
Unter Windows 2000 ist eine Freigabe von Ressourcen wie in Windows 9x nicht ohne weiteres möglich. Das Sicherheitsmodell verlangt, das Benutzer eingerichtet werden, denen Rechte zugeordnet werden können. Auch die Professional-Version hat deshalb einen Benutzermanager. Der Einsatz ist also keineswegs auf den Server beschränkt oder auf die Existenz eines Servers angewiesen.
Freigaben Dennoch gibt es auch unter Windows 2000 den Begriff Freigabe und ebenso wie in allen anderen Windows-Versionen steht die Funktion im Windows Explorer zur Verfügung. Freigaben können Sie für folgende Ressourcen einrichten: •
Ordner
•
Drucker
12.6 Administration von Peer-To-Peer-Netzwerken •
549
Netzwerkressourcen
Auf den ersten Blick erscheint das recht einfach. Sie wählen im Arbeitsplatz oder dem Explorer den Ordner aus, der freigegeben werden soll. Im Kontextmenü wählen Sie EIGENSCHAFTEN und im folgenden Dialog die Registerkarte FREIGABE. Sie können außerdem die Anzahl der Verbindungen zu dieser Ressource einstellen. Wenn Sie sich die Berechtigungen anschauen, hat Windows dort automatisch JEDER als berechtigten Benutzer eingetragen – mit allen Rechten. Abbildung 12.39: Freigabe eines Ordners
Eine ausführlichere Darstellung der Freigaben finden Sie im Abschnitt 12.6.3 Freigaben im Detail ab Seite 553.
550
12 Administration von Netzwerken
Abbildung 12.40: Einstellung der Berechtigungen unter FAT32
Die einstellbaren Berechtigungen hängen auch vom Dateisystem ab. Unter FAT32 können Sie nur folgendes einstellen:
Zugriffsproblem
•
VOLLZUGRIFF
•
ÄNDERN
•
LESEN
Wenn Sie jetzt schon eine Verbindung versuchen, erhalten Sie eine Fehlermeldung. Die Auswahl JEDER ist hier, wenn man das Gesamtkonzept nicht beachtet, irreführend. Denn damit ist gemeint, das jeder im System bekannte Benutzer Zugriff hat. Dazu müssen Sie aber die Benutzer im Benutzermanager erst anlegen. Der erste Schritt der Einrichtung besteht also im Anlegen aller im Netz bekannten Benutzer in Windows 2000 Professional. Dabei sollten Sie hier noch außer acht lassen, ob Sie einzelnen Benutzern später Zugriffsrechte erteilen oder nicht.
12.6 Administration von Peer-To-Peer-Netzwerken
12.6.2 Anbindung von Windows 9x-Clients Unter Windows 9x können Sie nur einen Benutzer einrichten, dessen Name und Kennwort bei der Anmeldung am Netzwerk übermittelt wird. Diese Prozedur finden immer dann statt, wenn eine Verbindung zu einer freigegebenen Ressource stattfindet. Das kann beim Start des Systems der Fall sein, muss aber nicht. Trifft er auf eine Ressource, die freigegeben wurde, wird diese zwar angezeigt, beim Zugriff selbst aber scheitert die Nutzung an der fehlenden Autorisierung des Benutzers.
Ohne Rechte Sie können auch unter Windows 2000 ein einfaches Netz einrichten, ohne sich um die Benutzerrechte zu kümmern. Gerade in kleineren Büros ist der Zugriff oft allen Benutzern gleichermaßen erlaubt. Der Aufwand einer richtigen Benutzerverwaltung lohnt nur selten. Trotzdem müssen die Nutzer angemeldet werden. Dazu gehen Sie folgendermaßen vor: 1. Ordnen Sie jeder Arbeitstation einen Benutzer zu 2. Melden Sie alle Benutzer in allen Windows 2000-Computern an, die Ressourcen verwalten 3. Geben Sie die Ressourcen frei Standardmäßig wird nun, wie oben beschrieben, jedem der Zugriff ohne weitere Einschränkungen gewährt.
Mit Gastkonto Windows 2000 verfügt außerdem über ein Gastkonto, dass Sie vielleicht schon von Windows NT 4 kennen. Dieses Konto ist durchaus geeignet, in einem einfachen Netz als universelles Zugriffskonto verwendet zu werden. Solche »Schlupflöcher« waren jedoch schon oft Grund für herbe Kritik an Windows. Immerhin dürften potenziellen Eindringlingen solche Standardkonten bekannt sein. Neu ist daher, dass das Gastkonto nach der Installation gesperrt ist.
551
552
12 Administration von Netzwerken
Abbildung 12.41: Das Gast-Konto ist standardmäßig gesperrt – so kann der Eintrag bei »Jeder« nichts bewirken
Um das Gastkonto freizugeben, müssen Sie den erweiterten Benutzermanager verwenden. Gehen Sie dazu folgendermaßen vor: •
In der Systemsteuerung wählen Sie VERWALTUNG.
•
In der Verwaltung öffnen Sie die COMPUTERVERWALTUNG und dort den Zweig LOKALE BENUTZER UND GRUPPEN.
•
Klicken Sie dann auf Gast und im Kontextmenü auf Eigenschaften
•
Löschen Sie das Kontrollkästchen KONTO IST DEAKTIVIERT.
12.6 Administration von Peer-To-Peer-Netzwerken
553 Abbildung 12.42: Aktivieren des Gastkontos
12.6.3 Freigaben im Detail Freigaben sind ein wichtiges Organisationsmittel für kleinere lokale Netze. Praktisch läuft die gesamte Bereitstellung von Ressourcen über Freigaben. Wie Sie diese richtig und vor allem sicher einrichten, behandelt der folgende Abschnitt.
Freigabeverwaltung Um Freigaben einfach verwalten zu können, gibt es ein zentrales Managementwerkzeug unter VERWALTUNG | COMPUTERVERWALTUNG im Zweig FREIGEGEBENE ORDNER. Die folgenden drei Informationen können dazu angezeigt werden: •
Freigaben
•
Sitzungen
•
Geöffnete Dateien
Der Ordner FREIGABEN zeigt alle Ressourcen an, die vom System oder Freigaben vom Administrator freigegeben wurden.
554
12 Administration von Netzwerken
Abbildung 12.43: Freigaben
Sie finden hier Angaben zu dem Namen des Ordners, den physischen Pfad zur Ressource und den Typ der Freigabe. Der Typ kann WINDOWS oder NETWARE sein. Der Typ MACINTOSH steht nur unter Windows 2000 Server zur Verfügung. Unter ANZAHL DER CLIENTUMLEITUNG ist die Anzahl der verbundenen Benutzer zu verstehen. Systemfreigaben
Einige Freigaben sind bereits vom System eingerichtet. Diese enden mit einem $-Zeichen und haben folgende Bedeutung: •
[LAUFWERKBUCHSTABE]$. Eine Freigabe, die es erlaubt, eine Verbindung zum Stammverzeichnis einer Speichereinheit des Computers herzustellen, angezeigt als A$, B$, C$, D$ usw. D$ ist beispielsweise ein Freigabename, mit dem ein Administrator über das Netzwerk auf das Stammverzeichnis des Laufwerks D: zugreifen kann. Bei Windows 2000 Professional können nur Mitglieder der Gruppen ADMINISTRATOREN und SICHERUNGSOPERATOREN auf diese Freigaben zugreifen.
•
ADMIN$. Eine Ressource, die während der Remoteverwaltung eines Computers vom System verwendet wird. Der Pfad dieser Ressource verweist immer auf das Systemstammverzeichnis von Windows 2000 (das Verzeichnis, in dem Windows 2000 installiert ist, beispielsweise C:\Winnt).
•
IPC$. Eine Ressource, die zum Freigeben der Named Pipes dient, die für die Kommunikation zwischen Programmen eingesetzt werden sind. Sie wird bei der Remoteverwaltung eines Computers und der Anzeige der freigegebenen Ressourcen eines Computers verwendet.
•
PRINT$. Eine Ressource, die bei der Verwaltung von Druckern von einem anderen Computer aus verwendet wird.
•
FAX$. Eine Freigabe auf einem Server, die von Faxclients zum Faxversand verwendet wird. Die Freigabe dient dem vorübergehenden Zwischenspeichern von Dateien und dem Zugriff auf die Deckblätter, die auf dem Server gespeichert sind.
12.6 Administration von Peer-To-Peer-Netzwerken
555
Bei den Sitzungen werden alle Benutzer angezeigt, die mit Ressourcen Sitzungen des Computers verbunden sind. Abbildung 12.44: Sitzungen
Sie können hier einen Benutzer auswählen und die Sitzung schließen. Dazu klicken Sie mit der rechten Maustaste auf den Namen und wählen dann den entsprechenden Befehl. Diese Liste zeigt alle geöffneten Dateien an. Sie können Dateien hier Geöffnete Dateien zwangsweise schließen, beispielsweise um eine Sicherung zu ermöglichen.
Zugriffsrechte NTFS besitzt erweiterte Zugriffsrechte, die sich nicht mit denen bei Zugriffsrechte der Freigabe eingerichteten decken müssen. Beide Rechte überlagern unter NTFS sich. Dabei wirkt insgesamt das restriktivere Recht. Wenn Sie einem Ordner im NTFS allgemein nur Leserechte geben, können Sie das mit einer Freigabe nicht übergehen. Da standardmäßig keine Einschränkungen im Zugriff bestehen, sollte das wenig Probleme bereiten. Sind die Sicherheitseinstellungen aber erst mal geändert, müssen Sie sowohl die Freigabe als auch die Dateisystemeinstellungen im Blick behalten. Der Unterschied wird deutlich, wenn Sie Freigaben auf einer FAT32Partition vornehmen. Dort stehen die Rechte für Freigaben zur Verfügung – die Sicherheitseinstellungen im NTFS natürlich nicht. Sicherheitseinstellungen im NTFS werden in Abschnitt 5.4.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 164 beschrieben. Die Zugriffsrechte der Freigaben wurden bereits am Anfang des Ab- Allgemeines schnitts erwähnt. Hinter den drei Möglichkeiten Lesen, Schreiben und Zugriffsrechte der Freigaben Vollzugriff verbergen sich konkret folgende Rechte: •
LESEN. Die Leseberechtigung ermöglicht dem Benutzer Folgendes: -
Anzeigen von Datei- und Unterordnernamen
-
Wechseln zu Unterordnern
-
Anzeigen von Daten in Dateien
-
Ausführen von Programmdateien
556
12 Administration von Netzwerken •
•
ÄNDERN. Die Berechtigung zum Ändern umfasst neben allen Leseberechtigungen Folgendes: -
Hinzufügen von Dateien und Unterordnern
-
Ändern von Daten in Dateien
-
Löschen von Unterordnern und Dateien
VOLLZUGRIFF. Der Vollzugriff entspricht der Standardberechtigung, die auf alle neu erstellten Freigaben erteilt wird. Diese umfasst neben allen Berechtigungen zum Lesen und Ändern folgendes Möglichkeiten, die allerdings auf NTFS-Medien beschränkt sind: -
Ändern der Berechtigungen
-
Übernahme des Besitzes
12.6 Administration von Peer-To-Peer-Netzwerken
Kapitel 13 Drucker einrichten und verwalten
13.1 Installation lokaler Drucker ................................559 13.2 Windows 2000 als Druckserver ...........................570 13.3 Netzwerkdrucker einbinden ...............................580 13.4 Weitere Druckfunktionen....................................594 13.5 Farbmanagement einsetzen .................................602
557
13.1 Installation lokaler Drucker
559
13 Drucker einrichten und verwalten Dieses Kapitel beschäftigt sich mit dem Einrichten und Verwalten von Druckern, wobei das Hauptaugenmerk den Belangen eines Windows 2000 Professional-Systems gilt. Im Vordergrund steht dabei die Nutzung von Arbeitsplatz- und Netzwerkdruckern. Ferner wird auch gezeigt, wie Sie die Professional-Version auch als Druckserver einrichten können. Den Grundlagen des Druckens unter Windows 2000 widmet sich das Kapitel 7 Drucken ab Seite 229.
13.1 Installation lokaler Drucker Die Installation eines lokalen Arbeitsplatzdruckers erweist sich auf- Unterstützung für grund der umfassenden Treiberunterstützung von Windows 2000 und mehr als 3000 der Hilfe des Assistenten im Zusammenspiel mit Plug&Play in den Drucker meisten Fällen als ein einfacher und schneller Vorgang. So werden standardmäßig über 3000 Drucker unterstützt.
13.1.1 Verwaltungsort lokaler Drucker Zentraler Verwaltungsort für die Drucker ist das Druckerkonfigurationsfenster, welches Sie über START | ENSTELLUNGEN | DRUCKER öffnen. Abbildung 13.1: Das Druckerkonfigurationsfenster
Hier sehen Sie alle in Ihrem System registrierten und eingerichteten Drucker. Über NEUER DRUCKER haben Sie die Möglichkeit, manuell die
560
13 Drucker einrichten und verwalten Installation eines neuen lokalen oder Netzwerkdruckers zu starten. Dazu sind allerdings entsprechende Administratorrechte notwendig. In den folgenden Abschnitten werden Ihnen die verschiedenen Möglichkeiten gezeigt, Drucker unter Windows 2000 Professional einzurichten.
13.1.2 Druckererkennung durch Plug&Play Die meisten modernen Drucker lassen sich heute über die Plug&PlayFunktionen von Windows 2000 erkennen und einbinden. Der Typ und das Modell des neuen Drucker wird dabei durch das Betriebssystem automatisch ermittelt und die passenden Treiber werden selbständig installiert. Sind diese Treiber, beispielsweise für ein brandneues Druckermodell, nicht in Windows 2000 enthalten, werden Sie zum Einlegen eines entsprechenden Datenträgers oder der Angabe eines alternativen Speicherortes aufgefordert. Die folgende Tabelle zeigt, bei welchen der wichtigsten Ports Plug&Play funktioniert und was es gegebenenfalls dabei zu beachten gibt: Tabelle 13.1: Lokale Port Anschlussports und die Plug&PlayParallel Fähigkeit Seriell
Plug&Play und Netzwerk
Plug&Play Eingeschränkt
Bemerkungen Erkennung nur bei Neustart oder manuellem Start des Hardwareassistenten
Nein
Keine Plug&Play-Fähigkeit
USB
Ja
Volle Plug&Play-Fähigkeit
IEEE1394
Ja
Volle Plug&Play-Fähigkeit
Plug&Play funktioniert über das Netzwerk nicht. Mit der Möglichkeit, auf einem Windows NT oder 2000-Druckserver auch die Clienttreiber mit zu installieren, können Sie aber eine ähnliche Funktionalität erreichen (siehe dazu auch Abschnitt 13.2.2 ab Seite 575).
Plug&Play am Parallelport Parallelport
Die traditionell am häufigsten benutzte Schnittstelle zum Anschluss eines Druckers ist nach wie vor der Parallelport. Dieser wurde durch diverse Erneuerungen wie ECP und EPP (siehe Abschnitt 7.4 ab Seite 242) zwar noch einmal aufgepeppt, für ein vollwertiges Plag and Play hat es allerdings nicht mehr gereicht.
Neustart...
Damit ein Drucker durch das System automatisch erkannt wird, ist entweder ein Neustart oder der manuelle Start des Druckerinstallationsassistenten notwendig.
13.1 Installation lokaler Drucker
561
Möchten Sie einen Neustart vermeiden, starten Sie den Druckerinstal- ...oder über den lationsassistenten für die Einbindung eines neuen Plug&Play- Assistenten Druckers über NEUER DRUCKER des Druckerkonfigurationsfensters (siehe Seite 559). Abbildung 13.2: Lokalen Drucker installieren
Nach dem Begrüßungsfenster des Assistenten geben Sie an, dass Sie einen LOKALEN DRUCKER installieren möchten. Damit die Plug&PlayFunktionen von Windows 2000 zur automatischen Erkennung des Druckers wirksam werden können, muss das entsprechende Kontrollkästchen aktiviert sein. Danach beginnt der Suchvorgang nach Plug&Play-Druckern. Abbildung 13.3: Suche nach einem neuen Drucker
562
13 Drucker einrichten und verwalten Während dieses Vorgangs werden auch alle in Frage kommenden Ports nach Druckern abgesucht, dies ist also nicht auf den Parallelport beschränkt. Das weitere Vorgehen bei der Installation eines gefunden Druckers wird im folgenden Abschnitt beschrieben.
Weiteres Vorgehen bei Finden eines Plug&Play-Druckers Wird ein Drucker über die Plug&Play-Funktionen von Windows 2000 gefunden, sehen Sie ein entsprechendes Mitteilungsfenster. Abbildung 13.4: Drucker gefunden...
Hier wird der Druckertyp und das Modell angezeigt, was aber noch nicht bedeutet, dass Windows 2000 auch einen entsprechenden Treiber parat hat. Die Bezeichnung wird während der Plug&Play Kommunikation durch den Drucker selbst übermittelt. Hat Windows 2000 einen entsprechenden Treiber, das kann übrigens auch ein nachträglich installierter des Druckerherstellers sein, der für einen anderen Installationsvorgang eingesetzt worden ist, werden alle benötigten Dateien selbständig kopiert und der Drucker eingerichtet. Bei der automatischen Installation eines Druckers durch Plug&Play wird die Netzwerkfreigabe durch Windows 2000 nicht selbstständig angelegt. Dies können Sie aber nachträglich manuell vornehmen (siehe Abschnitt 12.6.3 Freigaben im Detail ab Seite 553). Da sich der Markt für Tisch- und Bürodrucker, insbesondere für farbfähige Modelle, deutlich schneller entwickelt als Produktzyklen bei Betriebssystemen, wird es häufiger vorkommen, dass kein passender Treiber in Windows 2000 selbst zu finden ist. In diesem Fall gibt der Assistent eine Mittelung, dass er nun nach einem passenden Treiber suchen wird.
13.1 Installation lokaler Drucker
563 Abbildung 13.5: ...und doch nicht erkannt
In diesem Dialogfenster können Sie das weitere Vorgehen des Assistenten bei der Druckertreiberinstallation beeinflussen: •
NACH EINEM PASSENDEN TREIBER FÜR DAS GERÄT SUCHEN Sie veranlassen den Assistenten, selbstständig auf der Festplatte oder einem anderen externen Datenträgern nach einem Windows 2000-Treiber zu suchen. Das macht aber nur dann Sinn, wenn Sie auch wirklich wissen, dass ein solcher Treiber existiert. Wenn nicht, können Sie sich die zeitaufwändige Suche des Assistenten mit dem frustrierenden Ergebnis, dass nichts gefunden worden ist, sparen. Der bessere Weg kann dann gleich die Wahl des zweiten Weges sein, nämlich einen Treiber per Hand zuzuweisen.
Automatische Treibersuche
Haben Sie allerdings Kenntnis von einem neueren Treiber, können Sie im folgenden Dialog angeben, wo der Assistent diesen suchen soll. Abbildung 13.6: Angabe der möglichen Treiberquellen
564
13 Drucker einrichten und verwalten Bei neuen Druckermodellen werden Sie einen Treiber vielleicht auf der mitgelieferten CD finden oder Sie haben sich einen aktuellen über die Webseite des Herstellers besorgt. Nach Angabe des Speicherortes des Treibers wird dieser, wenn er denn durch den Assistenten erkannt und akzeptiert worden ist, angezeigt und die Installation kann fortgesetzt werden.
Abbildung 13.7: Keine gültige Signatur!
Bei neuen Modellen kann es vorkommen, dass die Treiber der Hersteller noch nicht über eine gültige digitale Signatur verfügen, die eine maximale Kompatibilität mit Windows 2000 garantieren sollen. Im Normalfall funktioniert ein solcher Treiber, gerade wenn er durch einen namhaften Hersteller bereitgestellt worden ist, ohne Probleme.
Treibersignatur
Legen Sie aber Wert auf eine größtmögliche Stabilität Ihres Systems, kann es besser sein, ausschließlich mit signierten Treibern zu arbeiten. Dann empfiehlt sich wieder der Weg, manuell einen kompatiblen Treiber zu dem Drucker zu installieren, der eventuell im Lieferumfang von Windows 2000 zu finden ist. Manuelle Installation eines Treibers
•
ALLE BEKANNTEN TREIBER ... ANZEIGEN ... SELBST AUSWÄHLEN Diese Option ist dann zu empfehlen, wenn Sie wissen, dass kein Treiber vorliegt und Sie einen alternativen Treiber eines kompatiblen Gerätes installieren wollen. Das ist übrigens der zu empfehlende Weg, der einer Installation eines veralteten oder unsignierten Treibers vorzuziehen ist, wenn Sie Wert auf größtmögliche Stabilität Ihres Windows 2000-Systems legen. Das weitere Vorgehen hierbei entspricht dem einer normalen manuellen Installation eines Druckers ohne Plug&Play und wird im nächsten Abschnitt ausführlich behandelt.
13.1 Installation lokaler Drucker
565
13.1.3 Manuelle Installation eines lokalen Druckers Für die manuelle Installation eines Druckers steht Ihnen ebenso wie bei der Installation durch Plug&Play ein hilfreicher Assistent zu Seite. Diesen starten Sie im Druckerkonfigurationsfenster, welches Sie über START | EINSTELLUNGEN | DRUCKER öffnen können, durch Doppelklick auf NEUER DRUCKER. Nach der Begrüßung durch den Assistenten wird das folgende Dialogfenster angezeigt: Abbildung 13.8: Start der manuellen Installation
Für die Installation eines lokal angeschlossenen Druckers gehen Sie über die erste Option. Wollen Sie den Drucker manuell installieren, vergessen Sie nicht, das Kontrollkästchen AUTOMATISCHE DRUCKERERKENNUNG... zu deaktivieren, da sonst die Suche nach Plug&Play-Geräten beginnt (siehe dazu auch Seite 560).
Anschlussport Im nächsten Schritt des Assistenten bestimmen Sie den Port, an dem der Drucker angeschlossen ist.
566
13 Drucker einrichten und verwalten
Abbildung 13.9: Anschlussport bestimmen
LPT1
Für einen lokalen Arbeitsplatzdrucker werden Sie üblicherweise den Parallelport LPT1 benutzen. Sie können aber auch einen alternativen Port, beispielsweise einen anderen Parallelport oder einen seriellen angeben. Üblicherweise verfügen moderne Arbeitsplatzcomputer heute über einen Parallelport (LPT1) für den Druckeranschluss.
Hinweis zu USB & FireWire
Einen Drucker, den Sie über USB oder IEEE1394 (FireWire) an Ihrem PC angeschlossen haben, können Sie hier nicht einbinden. Diese werden ausschließlich über die Plug&Play-Fähigkeiten dieser Ports erkannt. Das Vorgehen dazu finden Sie in Abschnitt 13.1.2 ab Seite 560.
FILE
Ist ein bestimmter Drucker physisch nicht verfügbar, können Sie für diesen trotzdem Druckdateien erstellen. Dazu verbinden Sie ihn mit dem Port FILE. Bei der Druckausgabe erfolgt dann die Aufforderung des Spoolers, einen Pfad und Dateinamen für die Speicherung der Druckdaten anzugeben. Diese Druckdatei können Sie dann beispielsweise auf einem anderen Computer an den dort angeschlossenen Drucker übermitteln. Eine Druckdatei, die Sie über den Port FILE erzeugen, wird speziell für den bestimmten Drucker über dessen Druckertreiber generiert und kann damit nur auf einem baugleichen oder kompatiblen Drucksystem ausgegeben werden.
Druckdatei direkt aus Anwendung
Alternativ zum Anschlussport FILE können Sie allerdings aus den meisten Anwendungen heraus auch in eine Druckdatei schreiben lassen. Das ist der einfachere Weg, wenn Sie diese Funktion nur gelegentlich nutzen wollen, als immer wieder den Port über die Druckerkonfiguration von Windows 2000 zu ändern. Zum komfortablen Umgang mit Druckdateien erfahren Sie mehr in Abschnitt Ausgeben fertiger Druckdateien ab Seite 596.
13.1 Installation lokaler Drucker
567
Neben den lokalen Anschlussports wie LPT1 oder FILE können Sie Alternative auch logische Ports angeben, die beispielsweise für eine Ansteuerung Netzwerkports eines Druckers über das Netzwerk geeignet sind. Das betrifft alle Netzwerkdrucksysteme, die nicht durch einen Windows-Druckserver über die Netbios-Netzwerkfreigaben oder im Active Directory bereitgestellt werden. Beispielsweise können das AppleTalk-Drucker (siehe Seite 590) oder Drucker sein, die über TCP/IP (SMP oder LPR; siehe auch Seite 584) eingebunden werden können. Zur Nutzung von freigegebenen Druckerressourcen im Windows-Netzwerk sind in Abschnitt 13.3.1 ab Seite 580 ausführliche Informationen zu finden. Nach Auswahl des Anschlussports können Sie das Druckermodell aus der Liste der mit Windows 2000 mitgelieferten Drucker auswählen. Abbildung 13.10: Auswahl des Druckermodells
Links in diesem Dialogfenster sehen Sie alle Hersteller, rechts die dazugehörigen Druckermodelle. Es sind hier im übrigen auch alle die Druckertreiber aufgeführt, die nicht standardmäßig in Windows 2000 unterstützt werden und die Sie bis zu diesem Zeitpunkt nachträglich installiert haben. Haben diese betreffenden Treiber keine MicrosoftSignatur, werden Sie später bei der Installation darauf hingewiesen. Nach Auswahl des entsprechenden Treibers können Sie den Namen des Druckers verändern, mit dem dieser sich dem Benutzer präsentiert.
568
13 Drucker einrichten und verwalten
Abbildung 13.11: Drucker benennen
Zusätzlich können Sie schon hier festlegen, ob der neue Drucker als Standarddrucker festgelegt werden soll. Danach haben Sie die Möglichkeit, die Freigabe des Druckers im Netzwerk festzulegen. Abbildung 13.12: Freigabe festlegen
Geben Sie hier den Namen an, unter dem die anderen Netzwerkarbeitsplätze den Drucker sehen. Haben Sie auch ältere WindowsClients im Netzwerk, beispielsweise mit Windows for Workgroups, darf dieser Name maximal acht Buchstaben, ohne Sonder- oder Leerzeichen, umfassen. Bei einem reinen Plug&Play-Drucker wird die Freigabe übrigens standardmäßig nicht aktiviert, diese müssen Sie, wenn erforderlich, im Nachhinein über das Kontextmenü des Druckers einstellen.
13.1 Installation lokaler Drucker
569
Abschließend können Sie Ihren freigegebenen Drucker noch mit einem einer Standortbezeichnung und einem Kommentar versehen. Abbildung 13.13: Informationen zum freigegeben Drucker
In einem Netzwerk mit mehr als drei Druckern können diese Informationen sehr nützlich sein und die Übersicht verbessern. Nach der Anfrage, ob eine Testseite ausgegeben werden soll, zeigt Ihnen der Assistent abschließend die Informationen zur Installation des neuen Druckers an. Abbildung 13.14: Fertigstellung des Assistenten
Hier haben Sie noch ein letztes Mal die Kontrollmöglichkeit und gegebenenfalls Chance zur Korrektur. Nach Druck auf FERTIGSTELLEN wird der Drucker angelegt und steht im System zur Verfügung.
570
13 Drucker einrichten und verwalten
13.2 Windows 2000 als Druckserver 10 gleichzeitige Verbindungen
Windows 2000 kann auch schon in der Professional-Version als Druckserver im Netzwerk eingesetzt werden. Beschränkt wird der Einsatz nur aufgrund der von Microsoft angegebenen Limitierung auf 10 Benutzer, die gleichzeitig im Netzwerk auf so einen Druckserver zugreifen können.
13.2.1 Konfiguration des Druckservers Die Einstellungen zum Druckserver finden Sie im Druckerordner unter DATEI | SERVEREIGENSCHAFTEN. Abbildung 13.15: Druckservereigenschaften aufrufen
In dem folgenden Konfigurationsfenster können Sie alle Einstellungen für Ihr Windows 2000 Professional-System festlegen, die sein Verhalten als Druckserver im Netzwerk beeinflussen.
Formulare Im ersten Register der Servereinstellungen können Sie die Formulare verwalten, die Ihr Druckserver anbieten soll.
13.2 Windows 2000 als Druckserver
571 Abbildung 13.16: Formulare verwalten
Hier finden Sie alle Papierformate, die der Druckserver generell über seine freigegebenen Drucker anbieten kann. Von Formularen ist deshalb die Rede, weil neben der eigentlichen Bogengröße auch ein nicht bedruckbarer Rand definiert werden kann. Zu den standardmäßig vorhandenen Formularen können Sie eigene Eigene Formulare definieren, die dann jeder Benutzer des freigegebenen Druckers im erstellen Netzwerk verwenden kann. Das betrifft natürlich auch Drucker, die lokal an Ihrem System installiert und nicht freigegeben sind. Zum Erstellen eines Formulars gehen Sie folgendermaßen vor: 1. Aktivieren Sie das Kontrollkästchen NEUES FORMULAR ERSTELLEN. 2. Geben Sie dem neuen Formular einen eindeutigen Namen. 3. Tragen Sie die Maße für die Bogengröße und die Druckbereichsbegrenzungen ein. 4. Sichern Sie das neue Formular über Druck auf FORMULAR SPEICHERN. Das Formular können Sie nun auch über die Einstellungen zu den Druckern bestimmten Papierschächten zuordnen, beispielsweise ein Formular Briefbogen in Schacht 2. Wählt ein Benutzer dann diesen Drucker aus, braucht er nur noch in seiner Anwendung als Papierformat Briefbogen wählen. Der Druckserver weist dann automatisch diesen Druckjob dem Schacht 2 zu.
572
13 Drucker einrichten und verwalten Beachten Sie, dass lokal für ein System oder einen Druckserver definierte Formulare nicht auf verfügbaren Netzwerkdruckern vorhanden sind, die Sie über einen anderen Druckserver verwenden.
Anschlüsse Über das zweite Register zu den Druckservereigenschaften können Sie zentral alle verfügbaren Anschlüssen einrichten. Abbildung 13.17: Anschlüsse einrichten
Neben der Verwaltung der lokalen Schnittstellen eignet sich dieses Dialogfenster vor allem zum Einrichten weiterer Netzwerkverbindungen, die nicht freigegebene Druckressourcen anderer WindowsDruckserver betreffen. Das sind vor allem die Einrichtung von Ports zu TCP/IP- oder AppleTalk-Druckern (siehe dazu auch Abschnitte 13.3.3 bis 13.3.5 ab Seite 584).
Treiber Hier erhalten Sie eine Liste aller direkt installierten Druckertreiber auf Ihrem System.
13.2 Windows 2000 als Druckserver
573 Abbildung 13.18: Liste installierter Druckertreiber
Dabei werden alle Treiber aufgeführt, die bislang installiert worden sind. Das betrifft auch die, für die der eingerichtete Drucker längst wieder gelöscht worden ist. Windows 2000 hält diese Treiber weiterhin gespeichert. Im Feld VERSION erkennen Sie auch, für welche Betriebssystemversionen Treiber verfügbar sind. In Abschnitt 13.2.2 ab Seite 575 wird beschrieben, wie Sie weitere Druckertreiber, beispielsweise für Windows 95 oder 98, für einen freigegebenen Drucker installieren können.
Erweiterte Optionen Das letzte Register im Dialogfenster zu den Druckservereinstellungen enthält weitergehende Optionen, mit denen Sie festlegen, wie sich der Druckserver bei der Abarbeitung von Aufträgen verhält.
574
13 Drucker einrichten und verwalten
Abbildung 13.19: Erweiterte DruckserverOptionen
Erweiterte Optionen
Folgende Einstellungen sind möglich: •
SPOOLORDNER Hier bestimmen Sie den Ort, an dem die zu spoolenden Daten gespeichert werden. Für umfangreiche Druckjobs empfiehlt sich die Angabe eines anderen Laufwerks als des Systemdatenträgers.
•
SPOOLERFEHLER PROTOKOLLIEREN Im Ereignisprotokoll werden Fehler des Spoolers aufgezeichnet.
•
SPOOLERWARNUNGEN PROTOKOLLIEREN Warnungen des Spoolers (beispielsweise Papiermangel) werden im Ereignisprotokoll aufgezeichnet.
•
SPOOLERINFORMATIONEN PROTOKOLLIEREN Hiermit werden alle Meldungen des Spoolers im Ereignisprotokoll aufgezeichnet. Diese Option müssen Sie aktivieren, wenn Sie Druckleistungen über das Ereignisprotokoll überwachen wollen (siehe auch Abschnitt 13.2.4 ab Seite 579).
•
SIGNALTON BEI FEHLERN Ein Signalton wird ausgegeben, wenn Druckerfehler auftreten.
•
BENACHRICHTIGEN, WENN REMOTEAUFTRÄGE GEDRUCKT WURDEN Ist diese Option aktiv, wird der Besitzer des Dokuments benachrichtigt. Dies erfolgt durch eine Popup-Box auf dem Druckserver.
13.2 Windows 2000 als Druckserver •
575
COMPUTER BENACHRICHTIGEN, WENN REMOTEAUFTRÄGE GEDRUCKT... Wenn diese Option aktiv ist erfolgt die Ausgabe der Druckinformation nicht auf dem Bildschirm des Druckservers, sondern auf dem des Computers des Besitzers.
13.2.2 Drucker freigeben und Client-Treiber einrichten Neben der Freigabe eines Druckers im Netzwerk können Sie für diesen auch entsprechende Sicherheitseinstellungen definieren sowie Client-Treiber hinterlegen, die eine komfortable Einbindung unter anderen Systemen ermöglicht.
Drucker freigeben Die Freigabe eines Druckers erreichen Sie über das Kontextmenü des entsprechenden Druckers im Druckerkonfigurationsfenster (erreichbar über START | EINSTELLUNGEN | DRUCKER). Abbildung 13.20: Kontextmenü eines Druckers
Im folgenden Dialogfenster bestimmen Sie den Freigabenamen, mit dem der Drucker im Netzwerk erscheinen soll.
576
13 Drucker einrichten und verwalten
Abbildung 13.21: Drucker freigeben
Ist die Wahrung der Kompatibilität zu älteren Clients wichtig, beispielsweise zu Computern mit Windows for Workgroups, sollte der Freigabename maximal acht Zeichen (ohne Leer- und Sonderzeichen) umfassen. Auch von Windows 95 ist bekannt, dass Namen mit Leerzeichen nicht erkannt werden. Zusätzlich können Sie weitere Treiber für Clients anderer Betriebssysteme installieren (siehe nächster Abschnitt).
Client-Treiber installieren Um eine Installation eines freigegebenen Netzwerkdruckers auf einem anderen Windows-Client zu vereinfachen und zu beschleunigen, können Sie für den Drucker entsprechende Client-Treiber auf dem Druckserver hinterlegen. Seitens des Windows-Clients genügt dann ein einfacher Doppelklick auf die Netzwerkressource und die Treiber werden vom Server geladen und installiert.
13.2 Windows 2000 als Druckserver
577 Abbildung 13.22: Zusätzliche Treiber installieren
Für die Installation des Treibers aktivieren Sie das gewünschte Client- Server-CD Betriebssystem aus der angezeigten Liste. Mit Druck auf OK wird notwendig dann nach der Windows 2000 Server-CD verlangt. Haben Sie diese nicht zur Verfügung, können Sie diese Meldung übergehen und einen alternativen Speicherort für den Treiber angeben. Im Gegensatz zu Windows NT 4 wird die Windows 95/98-CD nicht benötigt. Nach der Installation des Treibers kann ein entsprechender Client automatisch mit dem richtigen Treiber bei der Installation des Netzwerkdruckers versorgt werden.
Sicherheitseinstellungen festlegen Für jeden eingerichteten Drucker sind auch spezifische Sicherheitseinstellungen definierbar. Über die Eigenschaften des Druckers können Sie diese einstellen.
578
13 Drucker einrichten und verwalten
Abbildung 13.23: Sicherheitseinstellungen festlegen
Administration deligieren
Wollen Sie beispielsweise einem weiteren Benutzer die Administration des Druckers übertragen, fügen Sie diesen in die Liste hinzu und erteilen ihm die entsprechenden Rechte DRUCKER VERWALTEN beziehungsweise DOKUMENTE VERWALTEN.
13.2.3 Einrichten als IPP-Druckserver Internet Printing Protocol
Um ein Windows 2000 Professional-System für die Bereitstellung seiner freigegebenen Druckerressourcen über das Internet Printing Protocol (siehe dazu auch Abschnitt 7.5.2 Das Internet Printing Protocol ab Seite 247) einzurichten, muss zunächst der Internet Information Server (IIS) installiert werden. Damit wird dem System die notwendige Webserverfunktionalität verliehen, über die dann das IPP serverseitig angeboten werden kann. Clients können dann über ihren Webbrowser auf die Druckerressourcen zugreifen (siehe dazu Abschnitt 13.3.2 Netzwerkdrucker über IPP einbinden ab Seite 581).
IIS installieren
Die Installation und Konfiguration des Internet Information Server ist Inhalt des Kapitels 15 Internet Informationsdienste ab Seite 645. Nach der Installation des IIS können Sie leicht testen, ob auf Ihrem System IPP funktioniert, indem Sie im Explorer die folgende URL eingeben:
13.2 Windows 2000 als Druckserver
579
http://localhost/printers Ist alles ordnungsgemäß eingerichtet, bekommen Sie die Website ihres lokalen Systems mit der Anzeige aller Drucker. Abbildung 13.24: Freigegebene Drukker auf localhost
Anders als die Website zunächst impliziert, sehen Sie natürlich nicht Druckerfreigaben alle, sondern nur die freigegebenen Drucker. Wollen Sie einen bestimmten Drucker aus dieser Liste entfernen, reicht es, die Freigabe in den Druckereinstellungen (über START | EINSTELLUNGEN | DRUCKER) zu entfernen. Andere Benutzer im Intranet oder im Internet, falls der Computer als Rechte »richtiger« Webserver fungiert, können nun die Druckwarteschlangen einsehen und gegebenenfalls auf Druckjobs Einfluss nehmen. Dazu müssen aber die entsprechenden Rechte für die Nutzer eingerichtet worden sein. In einem kleineren Netzwerk können Sie dies für Ihr System über die Managementkonsole LOKALE BENUTZER UND GRUPPEN, in einer Active Directory-Umgebung entsprechend über ACTIVE DIRECTORY BENUTZER UND GRUPPEN. Weitere Hinweise zur clientseitigen Einrichtung erfahren Sie in Abschnitt 13.3.2 Netzwerkdrucker über IPP einbinden ab Seite 581.
13.2.4 Überwachung von Druckleistungen Die Ausführung von Druckjobs können Sie im Ereignisprotokoll aufzeichnen lassen. Voraussetzung ist eine entsprechende Einstellung der erweiterten Optionen in den Druckservereinstellungen (siehe dazu Abschnitt 13.2.1 Konfiguration des Druckservers ab Seite 570). Dem Ereignisprotokoll können Sie dann regelmäßig entnehmen, welches Druckvolumen die einzelnen Benutzer in Anspruch genommen haben. Druckereignisse werden dabei im Systemprotokoll gespeichert.
580
13 Drucker einrichten und verwalten
Abbildung 13.25: Druckvolumen eines Auftrags
Protokolle speichern
Wollen Sie regelmäßig die Druckvolumina der Benutzer auswerten, ist das Ereignisprotokoll sicher nicht übersichtlich genug. Sie können aber mit Hilfe nützlicher Zusatzprogramme wie beispielsweise DUMPEVT automatisch in Excel importierbare Textdateien aus dem Ereignisprotokoll extrahieren (siehe auch Abschnitt 16.2.6 Protokolle speichern und weiterverarbeiten ab Seite 726).
13.3 Netzwerkdrucker einbinden Die Einbindung von im Netzwerk bereitgestellten Drucksystemen in ein Windows 2000 Professional gehört mit zu den häufigsten Konfigurationsaufgaben. Neben der Unterstützung der Windows-eigenen Netzwerkwelt mit den Netbios-Freigabenamen und dem neuen Active Directory können Sie auch Drucksysteme ansteuern, die aus anderen Systemwelten angeboten werden. In diesem Abschnitt werden diese clientseitigen Netzwerkdruckfunktionen von Windows 2000 Professional vorgestellt.
13.3.1 Drucker im Windows-Netzwerk einbinden Die Einbindung von Netzwerkdruckern, die durch einen WindowsDruckserver bereitgestellt werden, ist auf verschiedene Arten und Weisen möglich.
13.3 Netzwerkdrucker einbinden
581
Eine der einfachsten Möglichkeiten gibt es über die angezeigte Netzwerk-Druckressource eines Windows-Computers. Öffnen Sie dazu NETZWERKUMGEBUNG auf dem Desktop und suchen Sie den Computer, der die gewünschte Ressource bereitstellt. Abbildung 13.26: Anzeige der ServerNetzwerkressourcen
Über VERBINDEN des Kontextmenüs des angezeigten Netzwerkdruckers können Sie dann die Einbindung auf Ihrem System vornehmen. Falls vom Druckserver bereitgestellt, werden dann alle notwendigen Dateien des Druckertreibers automatisch installiert. Anderenfalls werden Sie zur manuellen Installation des Treibers aufgefordert. Neben der beschriebenen haben Sie auch noch die folgenden Möglich- Weitere Möglichkeiten keiten, einen Netzwerkdrucker einzubinden: •
Ziehen Sie das Symbol des Netzwerkdruckers in den Druckerordner.
•
Geben Sie den Netzwerkpfad oder die URL des Netzwerkdrucker direkt im Dialogfeld START | AUSFÜHREN ein.
13.3.2 Netzwerkdrucker über IPP einbinden Über das Internet Printing Protocol (IPP; siehe dazu auch Abschnitt 7.5.2 Das Internet Printing Protocol ab Seite 247) können Sie auf Druckservern freigegebene Drucker mit Hilfe eines normalen InternetBrowser einsehen und verwalten. Um einen mit IPP arbeitenden Webserver anzusprechen, geben Sie im Browser die folgende URL an: http://<webserver>/printers/ Für <webserver> kann auch eine konkrete IP-Adresse eines Computers stehen, der über IPP Druckressourcen anbietet.
582
13 Drucker einrichten und verwalten
Abbildung 13.27: Freigegebene Drucker über IPP im Browser
Über einen Mausklick auf einen der angebotenen Drucker gelangen Sie in die Anzeiger der entsprechenden Druckwarteschlange. Abbildung 13.28: Anzeige der Druckwarteschlange
Druckjob abbrechen
Wollen Sie einen Druckjob abbrechen, markieren Sie diesen und gehen über ABBRECHEN unter DOKUMENTENVORGÄNGE. Das können Sie problemlos auf Ihre eigenen Druckjobs anwenden. Wollen Sie andere Jobs entfernen, benötigen Sie dazu die entsprechenden administrativen Rechte. Sie werden dann aufgefordert, sich an dem Server mit Benutzernamen und Kennwort zu authentifizieren. Das betrifft auch andere Verwaltungsaufgaben wie das Anhalten und Fortsetzen von Druckvorgängen oder das Abbrechen aller Druckaufträge. Über EIGENSCHAFTEN können Sie die technischen Merkmale des Drucksystems einsehen.
13.3 Netzwerkdrucker einbinden
583 Abbildung 13.29: Eigenschaften des Druckers anzeigen
Wollen Sie einen Netzwerkdrucker über IPP einbinden, gehen Sie über Druckereinbindung den Link VERBINDUNG HERSTELLEN. Dieser Link ist übrigens nur auf den Systemen verfügbar, für die entsprechende Client-Treiber vorhanden sind. Auf einem Apple Macintosh oder einem Linux-System können Sie zwar auch die Drucker einsehen und Druckjobs verwalten, eine Druckereinbindung über den Browser ist allerdings nicht möglich. Abbildung 13.30: Download des Druckertreibers
Bei einem Client mit Windows allerdings erfolgt die Druckereinbindung denkbar einfach. Über den Link VERBINDUNG HERSTELLEN werden automatisch alle benötigten Dateien auf den Computer geladen und der Drucker wird eingerichtet. Danach steht er im Druckerfenster, erreichbar über START | EINSTELLUNGEN | DRUCKER zur Verfügung.
584
13 Drucker einrichten und verwalten Die Einrichtung eines Windows 2000-Systems als IPP-Druckserver wird in Abschnitt 13.2.3 Einrichten als IPP-Druckserver ab Seite 578 beschrieben.
13.3.3 Einbinden von TCP/IP-Druckern SMP und SNMP
Für die Ansteuerung von TCP/IP-Druckern wurde in Windows der neue Standard TCP/IP Port Monitor (SPM) implementiert. Dieser ist kompatibel zum in der UNIX-Welt verbreiteten Simple Network Management Protocol (SNMP) gemäß RFC 1759. Gegenüber dem bisher bevorzugten TCP/IP-Druckverfahren über LPR (siehe Abschnitt 13.3.4) zeichnet sich SPM durch eine einfachere Installation aus. Hinzu kommt die Möglichkeit, vom Drucker detailliertere Rückmeldungen zu erhalten. Dazu muss aber auch der Drucker SPM beziehungsweise SNMP beherrschen. Drucksysteme, die Sie so über TCP/IP ansteuern können, werden beispielsweise durch HPs JetDirect-Karten oder Intels Netport ins Netzwerk eingebunden.
Installation wie lokaler Drucker
Zum Installieren eines neuen Druckers, der mit SPM angesteuert wird, gehen Sie über NEUER DRUCKER im Druckerfenster (START | EINSTELLUNGEN | DRUCKER). Wichtig ist, dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben und das Kontrollkästchen für die AUTOMATISCHE DRUCKERERKENNUNG deaktivieren.
Abbildung 13.31: Lokaler Drucker auswählen
Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie über EINEN NEUEN ANSCHLUSS ERSTELLEN den STANDARD TCP/IPPORT aus.
13.3 Netzwerkdrucker einbinden
585 Abbildung 13.32: Standard TCP/IPPort als Anschluss wählen
Im nächsten Dialogfenster geben Sie im ersten Eingabefeld den Hostnamen oder die IP-Adresse des Drucksystems an. Wird vom Hersteller des Systems nicht explizit ein Portname angegeben, lassen Sie das zweite Eingabefeld unberührt. Hier trägt der Assistent einen Standardnamen ein, der in der Regel auch für den Drucker gültig ist.
Danach versucht der Assistent, mit dem Drucksystem Kontakt aufzunehmen. Gelingt dies, ist damit die Einbindung meist schon fertig.
586
13 Drucker einrichten und verwalten
Abbildung 13.33: Einbindung erfolgreich
Keine Einbindung gelungen
Abbildung 13.34: Manuelle Konfiguration des SPM
Wird kein entsprechender Netzwerkdrucker gefunden, erfolgt eine entsprechende Fehlermeldung und die Möglichkeit, eine entsprechende Netzwerkkarte manuell aus der Liste der mit Windows 2000 mitgelieferten Treiber auszuwählen oder per Hand in die Konfiguration einzugreifen.
13.3 Netzwerkdrucker einbinden
587
Die LPR-Einstellungen in diesem Dialogfeld sind nicht zu verwechseln mit dem LPR-Port, über den Sie einen Unix-Drucker einbinden können (siehe Abschnitt UNIX-Druckdienste über LPR 13.3.4). Gehen Sie bei den Einstellungen in diesem Dialogfenster gemäß den Anweisungen des Herstellers Ihres Drucksystems vor.
13.3.4 UNIX-Druckdienste über LPR Windows 2000 unterstützt auch in der Professional-Version die Einbindung von Unix-Druckern über den LPR-Port (Line Printer). Wichtigste Voraussetzung dazu ist die Installation der Unix-Druckdienste.
Installation der Unix-Druckdienste Öffnen Sie das Eigenschaften-Fenster der Netzwerkumgebung auf dem Desktop. Über ERWEITERT | OPTIONALE NETZWERKKOMPONENTEN können Sie dann weitere Dienste für den Netzwerkbetrieb installieren. Abbildung 13.35: Installation optionaler Netzwerkkomponenten
Im dann folgenden Auswahlfenster WINDOWS-KOMPONENTEN aktivieren Sie WEITERE DATEI- UND DRUCKDIENSTE FÜR DAS NETZWERK.
588
13 Drucker einrichten und verwalten
Abbildung 13.36: Unix-Druckdienste installieren
Nach der Installation der Unix-Druckdienste steht der LPR-Port sofort zur Verfügung. Ein Neustart des Systems ist nicht notwendig.
Drucker über LPR einbinden Bei einem über den LPR-Port angebundenen Drucker eines UnixHosts unter Windows 2000 wird der Druckjob direkt an dessen Spooler übergeben. Danach erfolgt die Verwaltung des Jobs dort, der Windows Spooler hat dann keine Kontrolle mehr darüber. Installation wie lokaler Drucker
Zum Installieren eines neuen Drucker, der mit LPR angesteuert wird, gehen Sie über NEUER DRUCKER im Druckerfenster (START | EINSTELLUNGEN | DRUCKER). Wichtig ist, dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben und das Kontrollkästchen für die AUTOMATISCHE DRUCKERERKENNUNG deaktivieren.
13.3 Netzwerkdrucker einbinden
589 Abbildung 13.37: Für LPR Lokaler Drucker auswählen
Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie über EINEN NEUEN ANSCHLUSS ERSTELLEN den LPR-PORT aus. Abbildung 13.38: LPR-Port als Anschluss wählen
Geben Sie im nächsten Dialogfenster die IP-Adresse oder den Hostnamen des Unix-Servers ein, der den Port bereitstellt. Dazu tragen Sie den Namen des Druckers auf diesem Server ein. Abbildung 13.39: Host- und Druckernamen angeben
590
13 Drucker einrichten und verwalten Meist wird der Standard-Druckerport auf einem Unix-System mit »lp« bezeichnet. Es können aber auch andere Bezeichnungen Verwendung finden. Wichtig ist hier auf jeden Fall die Unterscheidung zwischen Groß- und Kleinschreibung. Der Rest der Installation entspricht dann wieder mit der weiteren Auswahl des Druckertreibers dem normalen Vorgehen bei lokalen Druckern und ist in Abschnitt 13.1.3 Manuelle Installation eines lokalen Druckers ab Seite 565 beschrieben.
Windows 2000 als LPR-Druckserver Automatisch mit den Unix-Druckdiensten
Mit der Installation der Unix-Druckdienste wird auch die LPRDruckserverfunktion mit zur Verfügung gestellt. Sie können dann sofort von anderen Unix-Clients freigegebene Drucker auf Ihrem Windows-Computer ansteuern. Dabei entspricht dann der Hostname oder die IP-Adresse dem LPR-Host, der Freigabename dem Druckernamen.
13.3.5 AppleTalk-Druckunterstützung Unter Windows 2000 Professional wird auch die Anbindung an Drucker über das AppleTalk-Protokoll unterstützt. Voraussetzung dazu ist die Installation des AppleTalk-Protokolls.
Installation des AppleTalk-Protokolls Öffnen Sie dazu das Eigenschaften-Fenster der Netzwerkumgebung auf dem Desktop. Über die Eigenschaften-Fensters der LANVERBINDUNG installieren Sie dann zusätzlich das Protokoll AppleTalk.
13.3 Netzwerkdrucker einbinden
591 Abbildung 13.40: Installation des AppleTalkProtokolls
Nach der Installation steht das AppleTalk-Protokoll zur Verfügung. Ein Neustart ist nicht notwendig.
Einbinden eines AppleTalk-Druckers Zum Installieren eines neuen Drucker, der über AppleTalk angesteu- Installation wie ert wird, gehen Sie über NEUER DRUCKER im Druckerfenster (START | lokaler Drucker EINSTELLUNGEN | DRUCKER). Wichtig ist, dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben und das Kontrollkästchen für die AUTOMATISCHE DRUCKERERKENNUNG deaktivieren.
592
13 Drucker einrichten und verwalten
Abbildung 13.41: Für LPR Lokaler Drucker auswählen
Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie über EINEN NEUEN ANSCHLUSS ERSTELLEN den Eintrag APPLETALKDRUCKER aus. Abbildung 13.42: Anschluss AppleTalk-Drucker auswählen
Das Netzwerk wird anschließend durchsucht und alle gefundenen Zonen und Drucker angezeigt.
13.3 Netzwerkdrucker einbinden
593 Abbildung 13.43: Gefundene AppleTalk-Drucker
Wählen Sie hier den gewünschten Drucker aus. Danach können Sie AppleTalk-Drucker bestimmen, ob Sie den AppleTalk-Drucker übernehmen wollen. Das übernehmen bedeutet, dass andere Computer, wie beispielsweise auch MacintoshClients, den Drucker dann über das AppleTalk-Protokoll nicht mehr finden. Abbildung 13.44: Frage nach Übernahme des AppleTalk-Geräts Das macht nur dann Sinn, wenn ausschließlich über den Druckerspooler des Druckservers gedruckt werden soll. Da die Übernahme auch noch mit einer zusätzlichen Netzwerkbelastung verbunden ist (es werden in kurzen Abständen kleine Datenpakete an den Drucker gesandt), kann man von der Nutzung dieser Funktion abraten. Die Übernahme eines AppleTalk-Druckers können Sie jederzeit über die Konfiguration des AppleTalk-Anschlussports wieder ändern. Der Rest der Installation entspricht dann wieder mit der weiteren Auswahl des Druckertreibers dem normalen Vorgehen bei lokalen Druckern und ist in Abschnitt 13.1.3 Manuelle Installation eines lokalen Druckers ab Seite 565 beschrieben.
Windows 2000 als AppleTalk-Druckserver Die Verwendung eines Windows 2000-Systems als AppleTalk-Datei- Windows 2000 und Druckserver ist nur mit einer der Servervarianten möglich. Unter Server Windows 2000 Professional können lediglich AppleTalk-Drucker genutzt werden.
594
13 Drucker einrichten und verwalten
13.4 Weitere Druckfunktionen Dieser Abschnitt beschreibt weitergehende Druckfunktionen, die Ihnen unter Windows 2000 zur Verfügung stehen.
13.4.1 Drucken aus MS-DOS-Anwendungen Ältere Anwendungen, die noch unter MS-DOS laufen und keine direkte Windows-Unterstützung mitbringen, sind auch heute noch aus manchen Büros nicht wegzudenken. Für die Druckausgabe auf einen lokalen Port wie LPT1 werden in der Regel keine besonderen Einrichtungen erforderlich sein. Solange die Anwendung im MS-DOSKompatibilitätsmodus von Windows 2000 reibungslos funktioniert, wird auch die Druckausgabe an die Parallelschnittstelle kein Problem darstellen. Netzwerkdrucker und andere Ports
Anders sieht es aus, wenn der benötigte Drucker nur über eine Netzwerkfreigabe oder gar über einen der neuen Ports wie USB oder IEEE1394 (FireWire) anzusteuern ist. Hier werden die meisten MSDOS-Programme keinen Weg zum Druck kennen. Windows 2000 kennt wie der Vorgänger NT glücklicherweise die Möglichkeit, den benötigten LPT-Port auf eine Netzwerkfreigabe umzuleiten. Für einen Drucker, der beispielsweise über USB lokal angeschlossen ist, müssen Sie deshalb zunächst eine Freigabe einrichten (siehe auch Abschnitt 13.2.2 Drucker freigeben und Client-Treiber einrichten ab Seite 575). Mit Hilfe des NET-Befehls können Sie dann den gewünschten LPT-Port auf die Netzwerkfreigabe umleiten:
LPT umleiten
net use LPT1: \\Druckserver\Drucker1 /YES In diesem Beispiel wird LPT1, die erste parallele Schnittstelle, auf einen Netzwerkdrucker umgeleitet. Dies kann natürlich auch LPT2 oder 3 sein, diese drei sind standardmäßig unter Windows 2000 verfügbar. Mit der Option /YES geben Sie übrigens an, dass eventuell bereits gesetzte Umleitungen und die darauf folgende Rückfrage übergangen wird. Das kann beim Einsatz dieses Befehls in einer Stapelverarbeitungsdatei nützlich sein. Denken Sie nur daran, dass Sie mit der Umleitung von LPT1 den lokalen physischen Parallelport außer Kraft setzen. Wenn Sie diesen benötigen, sollten Sie einen der anderen Parallelports verwenden oder diesen nach Gerbrauch durch die MS-DOS-Anwendung wieder freigeben:
13.4 Weitere Druckfunktionen net use LPT1: /d
595 Umleitung wieder
Dies kann notwendig sein, wenn eine alte Anwendung ausschließlich aufheben Drucker am Parallelport 1 ansteuern kann. Wenn Sie diese beiden Befehlszeilen in die Stapelverarbeitungsdatei einfügen, mit der diese Anwendung aufgerufen wird, haben Sie eine mögliche Lösung für das Problem.
13.4.2 Drucken per Drag&Drop Die vereinfachte Benutzerführung in Windows 2000 gilt auch für das bequeme Drucken von Dokumenten. Dieser Abschnitt zeigt, welche Voraussetzungen dazu notwendig sind und wie Sie auch fertige Druckdateien per Mausklick oder Drag&Drop ausgeben können.
Drucken von Dokumenten Unter Windows 2000 ist es möglich, Dokumente per Drag&Drop zum Anwendung Drucken zu bringen. Voraussetzung ist, dass für das zu druckende bekannt Dokument eine Applikation vorhanden und in der Registrierung bekannt ist. Dann können Sie Dokumente auf das Druckersymbol ziehen, entweder im Druckerordner oder bequemer durch eine Verknüpfung mit dem Drucker auf dem Desktop. Der Druckbefehl steht außerdem im Kontextmenü zum Dokument im Windows Explorer zur Verfügung: Abbildung 13.45: Druckbefehl im Kontextmenü
Nach Start des Druckbefehls wird das Dokument mit Hilfe von DDE (Dynamic Data Exchange) an die Anwendung übergeben und mit deren Druckfunktionen genau einmal ausgegeben. Benötigen Sie mehrere Kopien oder andere spezielle Druckereinstel- Spezielle lungen, müssen Sie dies zuvor im Druckertreiber einstellen oder das Einstellungen Dokument konventionell mit der Anwendung öffnen und drucken.
596
13 Drucker einrichten und verwalten Ausgeben fertiger Druckdateien
Druckdateien erstellen
Nicht immer sind alle Drucksysteme mit allen Computern vernetzt und stehen damit dem Benutzer direkt zur Verfügung. Einen Ausweg bieten für den entsprechenden Drucker erzeugte Druckdateien. Diese können Sie erstellen, wenn Sie die Druckausgabe in eine Datei umleiten (siehe auch Seite 566). Der standardmäßige Dateityp derart erzeugter Druckdateien ist meist PRN. Für die Ausgabe einer solchen Datei auf einen lokal angeschlossenen Drucker könnte man meinen, diese einfach per Drag&Drop oder mit Doppelklick wieder auszugeben. Aber leider passiert bei jeder dieser Aktionen nichts dergleichen. Bei Doppelklick erscheint nur ein Dialogfenster zur Angabe einer dazugehörigen Anwendung. Ziehen Sie die Druckdatei per Drag&Drop auf das Druckersymbol im Druckerkonfigurationsfenster (über START | EINSTELLUNGEN | DRUCKER), erscheint, wenn der betreffende Drucker noch nicht der Standarddrucker ist, zunächst eine vielversprechende Aufforderung:
Abbildung 13.46: Drucker als Standard definieren?
Die dann folgende Fehlermeldung zeigt wieder nur an, dass keine Anwendung mit Ihrem Druckjob verknüpft ist. Abbildung 13.47: Drucken ist nicht!
Da Windows 2000 so auf einer Anwendung besteht, kann die Lösung hier die Erstellung einer solchen für die Weiterleitung einer Druckdatei an den Drucker sein. Im folgenden Text wird eine solche einfache Möglichkeit gezeigt, die Sie problemlos weiteren Anforderungen anpassen können. Anwendung zur Druckausgabe erstellen
Die einfachste Methode zur Programmierung einer Anwendung, die eine übergebene Datei an einen Druckerport ausgibt, ist die Erstellung einer Stapelverarbeitungsdatei: copy %1 LPT1 Diese kleine Stapelverarbeitungsdatei, die hier nur eine Zeile enthält, können Sie mit dem Texteditor erzeugen. Mit Hilfe des copy-Befehls wird die über den Kommandozeilenparameter %1 übergebene Datei auf den parallelen Port LPT1 ausgegeben. Statt LPT1 können Sie na-
13.4 Weitere Druckfunktionen
597
türlich auch einen anderen Port oder eine Netzwerkressource angeben: copy %1 \\Druckserv\Drucker1 Diese Stapelverarbeitungsdatei soll in diesem Beispiel als Dateiendung PRN D:\DRUCKE.BAT abgespeichert sein. Die Dateiendung PRN, die für verknüpfen alle Druckdateien gelten soll, muss nun noch Windows 2000 als Verknüpfung zur neuen Druckausgabe-Anwendung DRUCKE.BAT zugewiesen werden. Öffnen Sie dazu die ORDNEROPTIONEN in über START | EINSTELLUNGEN | SYSTEMSTEUERUNG. Abbildung 13.48: Ordneroptionen
Über das Register DATEITYPEN können Sie die Zuordnung von PRN zur Anwendung DRUCKE.BAT herstellen. Gehen Sie dazu über NEU und geben Sie in dem folgenden Eingabefenster die Endung PRN ein.
598
13 Drucker einrichten und verwalten
Abbildung 13.49: Nach Registrierung von PRN
Für die Festlegung der Verknüpfungsinformationen mit DRUCKE.BAT gehen Sie dann über ERWEITERT. Die einfache Zuordnung der Stapelverarbeitungsdatei über ÄNDERN reicht dazu nicht aus! Im Dialogfenster DATEITYP bearbeiten geben Sie im obersten Feld den Typ PRN nochmals an. Dazu können Sie auch hier ein alternatives Symbol für Ihre Druckdateien einstellen. Abbildung 13.50: Definition der Zuordnung für PRN
Erstellen Sie dann über NEU eine neuen Vorgang. Als Vorgangsbezeichnung muss PRINT eingetragen werden. Darunter geben Sie den Pfad und den Namen zur Anwendung an, welche die Druckdatei weiterleiten soll (im Beispiel DRUCKE.BAT). Damit die Druckdatei auch ordnungsgemäß übergeben werden kann, ist hinter dem Namen der
13.4 Weitere Druckfunktionen
599
Kommandozeilenparameter "%1" (mit Anführungszeichen!) erforderlich. Mit Hilfe dieser kleinen Stapelverarbeitungsdatei können Sie nun Individuell Druckdateien mit der Endung PRN mit Doppelklick oder Ziehen auf anpassbar das Druckersymbol ausgeben. Dabei ist die Datei DRUCKE.BAT individuell anpassbar. Wollen Sie einen andere Dateitypen, beispielsweise PS oder PLT, ebenfalls mit der Druckausgabe verknüpfen, gehen Sie entsprechend den Ausführungen im Text vor. Sie müssen nur die Zuordnung über die Ordneroptionen für diese Dateitypen zu DRUCKE.BAT zusätzlich definieren.
13.4.3 Trennseiten definieren Die Trennfunktion fügt an bestimmten Stellen Trennseiten ein, um die Sortierung von Druckaufträgen auf einem gemeinsam benutzten Drucker zu erleichtern. Verantwortlich für die Steuerung ist der Trennseitenprozessor.
Einstellen einer Trennseite Zum Einstellen einer Trennseite gehen Sie über die Druckereinstellungen. Auf der Registerkarte ERWEITERT klicken Sie auf die Schaltfläche TRENNSEITEN. Abbildung 13.51: Einstellung einer Trennseite
Wenn Sie im Netzwerk auf einen freigegebenen Drucker zugreifen, Probleme mit beispielsweise auf einem Server, ist die Einstellung der Trennseite freigegebenen nicht so einfach möglich. Offensichtlich handelt es sich um einen Bug Druckern – oder einfach nur um nachlässige Programmierung. Der TrennseitenDialog durchsucht die lokale Festplatte nach einer Separationsdatei. Dieser Pfad wird auch eingetragen und konsequenterweise an den freigegebenen Drucker auf dem Server weitergegeben. Solange Sie Windows lokal und auf dem Server im selben Pfad installiert haben, beispielsweise unter C:\winnt, funktioniert das auch. Weicht aber einer der Pfade ab, wird die Datei nicht gefunden. Interessanterweise äußert sich das nicht durch eine Fehlermeldung, sondern durch die Ausführung der falschen Trenndatei und durch Sperren der Schaltfläche
600
13 Drucker einrichten und verwalten DURCHSUCHEN. Wenn Sie den Pfad dann zwangsweise speichern, erhalten Sie folgende Fehlermeldung:
Abbildung 13.52: Nichtssagender Fehler bei der Trennseiteneinstellung Diese Angabe deutet nicht auf die Ursache hin. Der Grund ist der für den Server nicht auflösbare Pfad. Andererseits haben Sie auf den Server keinen Zugriff (nur als Netzwerkpfad, was weniger glücklich ist). Als Lösung bietet sich ein zentrales Verzeichnis für Separationsdateien auf dem Server an. Wenn Sie die Einstellung am Server selbst vornehmen, können Sie das Problem auch umgehen.
Trennseiten im Detail Trennseiten sind spezielle Seiten, die vor jedem Druckauftrag platziert werden. Sie können Steuerzeichen für den Drucker enthalten und zusätzlich bestimmte Codes, mit denen der Inhalt der Trennseite individuell gesteuert werden kann. Einige Trennseiten sind bereits vorbereitet, die wichtigsten Musterdateien sind: %systemroot%\system32\pcl.sep %systemroot%\system32\pscript.sep Sie haben folgende Bedeutung: •
PCL.SEP.
•
PSCRIPT.SEP.
Für PCL-Drucker, beispielsweise HP LaserJet Für Postscript-Drucker
Eine modifizierte PCL.SEP finden Sie nachfolgende: \ \H1B\L%-12345X@PJL ENTER LANGUAGE=PCL \H1B\L&l1T\0 \B\S\LNeuer\U \B\S\LAuftrag\U \5 \LSender : \N\3 \LAutrag : \I\3 \LDatum : \D\3 \LZeit : \T\3 \E Die folgende Abbildung zeigt, wie die ausgeführte Trennseite auf dem Drucker erscheint. Die Bedeutung der Steuerzeichen finden Sie in Tabelle 13.2.
13.4 Weitere Druckfunktionen
601 Abbildung 13.53: Ausführung einer Trenndatei
Steuerzeichen
Beschreibung
\
Einleitung einer Trennseite; muss immer am Anfang stehen
\N
Fügt den Namen des Benutzers ein
\I
Druckauftragsnummer
\D
Datum (Formatierung entsprechen Systemeinstellung)
\T
Uhrzeit (Formatierung entsprechen Systemeinstellung)
\Lxxx
Fügt freien Text xxx ein
\Fyyyyyy
Fügt eine Datei ein, die unter dem Pfad yyyyyy liegt, beispielsweise \FC:\WINNT\SYSTEM32\LOGO.SEP
\Hhh
Fügt ASCII-Zeichen mit dem Hexadezimalwert hh ein
\Wbbb
Breite der Trennseite. Der Standardwert ist 80 Zeichen, der Maximalwert ist 256
\B\S
Blockzeichen einfacher Breite
Tabelle 13.2: Steuerzeichen in Trenndateien
602
13 Drucker einrichten und verwalten Steuerzeichen
Beschreibung
\B\M
Blockzeichen doppelter Breite
\U
Schaltet Blockzeichen wieder ab und erzeugt einen Zeilenvorschub
\00
Fügt 00 Leerzeilen ein, beispielsweise \5 für fünf Zeilen
\E
Seitenumbruch. Dadurch können mehrere Trennseiten erzeugt werden. \E\E erzeugt eine zusätzliche Leerseite.
13.5 Farbmanagement einsetzen Windows 2000 bringt mit dem Image Color Management (ICM) in der Version 2.0 ein ICC-konformes Farbmanagement mit, welches für die optimale Ein- und Ausgabe von Farbinformationen genutzt werden kann. Einen Überblick über Farbmanagement-Grundlagen finden Sie in Abschnitt 7.6 Farbmanagement ab Seite 251. ICM
ICM brauchen Sie nicht explizit zu konfigurieren, es steht als Bestandteil des Betriebssystems praktisch jederzeit zur Verfügung. Wie Sie Ihren Monitor, Scanner und Drucker mit dem richtigen Profil einstellen, ist Inhalt der folgenden Abschnitte.
13.5.1 Profile speichern und zuweisen Windows 2000 legt standardmäßig alle ICC-Profile im folgenden Ordner als Dateien mit der Endung ICC oder ICM ab: %Systemroot%\system32\spool\drivers\color
Profil einem Gerät zuordnen Wenn Sie den oben genannten Ordner öffnen, können Sie über das Kontextmenü eines Profils dieses einem bestimmten Gerät zuordnen.
13.5 Farbmanagement einsetzen
603 Abbildung 13.54: Profile Geräten zuordnen
Dabei werden Ihnen nur die Geräte angeboten, für die das Profil vom Grundsatz her auch anwendbar ist. So macht es sicher keinen Sinn, ein Druckerausgabeprofil einem Monitor zuzuordnen.
Profile vom Apple Macintosh übernehmen Sie können aufgrund der gegebenen Kompatibilität auch Profile einbinden, die Sie von einem Apple Macintosh kopieren. Erweitern Sie dazu nur den Dateinamen des Profils um .ICC oder .ICM.
13.5.2 Monitorprofil setzen Das Monitorprofil können Sie über das Eigenschaften-Fenster für die Anzeige zuweisen, welches Sie über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | ANZEIGE öffnen können. Unter EINSTELLUNGEN | ERWEITERT | FARBVERWALTUNG lassen sich Profile hinzufügen oder entfernen.
604
13 Drucker einrichten und verwalten
Abbildung 13.55: Einstellen des Monitor-Farbprofils
Verwenden Sie mehrere RGB-Profile, können Sie eins davon als Standard setzen. Dieses wird dann als Grundeinstellung auch durch Anwendungen benutzt, welche die Bildschirm-Ausgabe ICC-konform über das Windows-CMM abwickeln.
13.5.3 Druckerprofil setzen Farbdrucker können Sie ICC-Ausgabeprofile über das EigenschaftenFenster zuordnen. Öffnen Sie dieses über das Kontextmenü des entsprechenden Druckers im Druckerfenster, welches über START | EINSTELLUNGEN | DRUCKER erreichbar ist.
13.5 Farbmanagement einsetzen
605 Abbildung 13.56: Druckerfarbprofil zuordnen
Hier sehen Sie auch die eventuell bereits verfügbaren Profile, die durch den Hersteller mitgeliefert wurden und bei der Installation des Druckertreibers eingebunden worden sind. Über spezielle Eigenschaften der Druckertreiber kann Windows bei Standardprofil Verfügbarkeit mehrerer Profile das geeignete automatisch aussuchen. Wollen Sie das verhindern, können Sie auch selbst ein Profil als Standard setzen.
13.5.4 Profile für Scanner und Digitalkameras Profile für Scanner und Digitalkameras können Sie über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | SCANNER UND KAMERAS zuweisen. Hier finden Sie alle installierten Geräte dieser Kategorie. Über EIGENSCHAFTEN | FARBVERWALTUNG bekommen Sie die Liste der dem Gerät zugewiesenen Profile.
606
13 Drucker einrichten und verwalten
Abbildung 13.57: Profile Scannern und Digitalkameras zuordnen
Die hier zugewiesenen Profile werden dann durch die Anwendungssoftware – wenn diese ICC-konform arbeitet – für die korrekte Umsetzung der Eingangsfarbdaten entsprechend benutzt.
13.5 Farbmanagement einsetzen
Kapitel 14 Benutzerverwaltung
14.1 Einführung ..............................................................609 14.2 Benutzerprofile ......................................................611 14.3 Gruppenrichtlinien ...............................................613 14.4 Benutzer- und Gruppenverwaltung...................624
607
14.1 Einführung
14 Benutzerverwaltung Auch unter Windows 2000 Professional können Benutzerkonten und Gruppen verwaltet werden. Mit verschiedenen Werkzeugen werden Anmeldeskripte, Profile und dedizierte Zugriffsrechte verwaltet.
14.1 Einführung Benutzer und Kennwörter werden an zwei Stellen im System eingerichtet. Zum einen gibt es in der Systemsteuerung die Option BENUTZER UND KENNWÖRTER. Zum anderen finden Sie in der Management Konsole VERWALTUNG den Eintrag LOKALE BENUTZER UND GRUPPEN. Damit sind umfangreichere Einstellungen möglich. Es wird aber dieselbe Benutzerdatenbank verwendet. Beide Optionen gehen davon aus, dass nicht mit Active Directory gearbeitet wird. Szenarien mit Active Directory werden ausführlich im Band II der Reihe – Windows 2000 im Netzwerk – diskutiert.
14.1.1 Sicherheit für Benutzer und Gruppen Die Einrichtung von Benutzern und Gruppen ist eng mit der Planung der Sicherheit des Systems verbunden. Benutzerrechte basieren auf den Gruppenrichtlinien, die grundlegende Eigenschaften festlegen. Sie sollten sich zuerst in den Gruppenrichtlinien über die aktuellen Einstellungen und theoretischen Möglichkeiten informieren, bevor neue Benutzer eingerichtet werden. Detailliert wird in Abschnitt 14.3 Gruppenrichtlinien ab Seite 613 darauf eingegangen. Die Verwendung der Gruppenrichtlinie erleichtert die Arbeit des Administrators deutlich, denn wenn Sie mehr als einen Benutzer haben und die Richtlinien einer Gruppe ändern, ist das nur ein Schritt statt mehrerer. Außerdem kann das Hinzufügen neuer Benutzer vereinfacht werden. Unabhängig davon lassen sich die Rechte jedes Benutzers individuell einstellen. Benutzer können auch Mitglied mehrerer Gruppen werden.
System der Benutzerrechte Bei den Benutzerrechten kann zwischen zwei Arten von Rechten unterschieden werden: •
Benutzerrecht: Ein Recht, das dem Benutzer zugewiesen wird und zulässige Aktionen auf der lokalen Station oder im Netzwerk definiert.
609
610
14 Benutzerverwaltung •
Benutzerrecht
Anmelderecht: Dieses Recht definiert, wie sich ein Benutzer an einem Computer anmelden darf.
Unabhängig davon, dass es immer besser ist, Rechte an Gruppen und nicht an einzelne Benutzer zu vergeben, beziehen sich die folgenden Ausführungen nur auf Benutzer. Sie können diese Rechte aber immer auch Gruppen zuweisen. Folgende Rechte können Benutzern gegeben oder untersagt werden: •
Ändern der Systemzeit
•
Anheben der Zeitplanpriorität
•
Anheben von Quoten (Speicherplatzbeschränkungen)
•
Auslassen der durchsuchenden Überprüfung
•
Debuggen von Programmen
•
Einsetzen als Teil des Betriebssystems
•
Entfernen des Computers von der Dockingstation
•
Computer- und Benutzerkonten delegieren
•
Profile für Systemleistung erstellen
•
Profile für Prozesse erstellen
•
Tokenobjekte erstellen
•
Ersetzen eines Tokens auf Prozessebene
•
Erstellen von dauerhaft freigegebenen Objekten
•
Erstellen einer Auslagerungsdatei
•
Erzwingen des Herunterfahrens von einem entfernten System aus
•
Generierung von Sicherheitsüberwachungen
•
Herunterfahren des Systems
•
Hinzufügen von Arbeitsstationen zur Domäne
•
Laden und Entfernen von Gerätetreibern
•
Sichern von Dateien und Verzeichnissen
•
Sperren von Seiten im Speicher
•
Übernehmen des Besitzes von Dateien und Objekten
•
Verändern der Umgebungsvariablen
•
Wiederherstellen von Dateien und Verzeichnissen
14.2 Benutzerprofile Die Anmelderechten regeln die Reaktion des Systems auf einen An- Anmelderecht meldeversuch. Eine Besonderheit stellt dabei das Systemkonto »LocalSystem« dar, das alle verfügbaren Rechte besitzt und über das alle Prozesse des Betriebssystem arbeiten. Die verfügbaren Rechte sind: •
Als Dienst anmelden
•
Anmeldung als Batchauftrag
•
Lokal anmelden
•
Zugriff vom Netzwerk
14.2 Benutzerprofile Benutzerprofile enthalten die Einstellungen der Arbeitsumgebung der Benutzer. Das Profil wird von Windows 2000 automatisch erstellt, wenn der Benutzer sich das erste Mal am System anmeldet.
14.2.1 Einsatz Benutzerprofile enthalten die Einstellungen der Benutzeroberfläche, beispielsweise die Bildschirmfarben, Desktophintergründe, Netzwerkund Druckerverbindungen usw. So können mehrere Benutzer an einem Computer arbeiten und trotzdem voneinander getrennte Einrichtungen der Oberfläche vornehmen. In Kombination mit den Benutzerrechten ergeben sich völlig unterschiedliche Arbeitsbedingungen. Das Benutzerprofil wird aktualisiert, wenn der Benutzer sich vom System abmeldet.
14.2.2 Arten von Benutzerprofilen Es gibt drei Arten von Benutzerprofilen, deren Kenntnis für die Einrichtung des Computers im Netzwerk wichtig ist: •
Lokales Benutzerprofil. Dieses Profil wird erstellt, wenn der Benutzer sich zum ersten Mal anmeldet. Es wird auf der lokalen Festplatte des Computers gespeichert. Auf anderen Computern im Netzwerk ist dieses Profil nicht verfügbar.
•
Serverbasiertes Profil. Dieses Profil wird vom Administrator erstellt und auf dem Server gespeichert. Das Profil wird geladen, wenn sich der Benutzer am Netzwerk anmeldet. Beim Abmelden des Benutzers wird das Profil auf dem Server aktualisiert.
611
612
14 Benutzerverwaltung •
Verbindliches Profil. Verbindliche Profile werden vom Server geladen und vor allen anderen Profilen ausgeführt. Sie können nur vom Administrator erstellt werden und sind vom Benutzer nicht änderbar – insbesondere erfolgt keine Aktualisierung des Profils.
Wenn Sie serverbasierte Benutzerprofile verwenden und die Standardordner EIGENE DOKUMENTE, EIGENE BILDER usw. verwenden und der Benutzer dort auch seine Daten ablegt, werden alle diese Daten auf dem Server gespeichert. Bei den heute üblichen Datenmengen kann ein solches Profil schnelle einige GByte groß werden. Da serverbasierte Profile bei jedem An- und Abmelden über das Netz verschoben werden, entsteht viel Netztraffic, lange Startzeiten und ein enormer Speicherverbrauch auf der Serverfestplatte. Verschieben Sie gegebenenfalls den Speicherort EIGENE DOKUMENTE, sodass er nicht mehr unter DOKUMENTE UND EINSTELLUNGEN liegt.
Gruppenrichtlinien und Profile Werden in Profilen Rechte oder Einstellungen definiert, die denen der Gruppenrichtlinien widersprechen, so haben die Gruppenrichtlinien Vorrang.
14.2.3 Erstellen von Benutzerprofilen Das Benutzerprofil wird in folgendem Pfad erstellt: %systemdrive%\Dokumente und Einstellungen Unterhalb dieses Ordners wird ein Unterordner angelegt, der das Profil des Benutzers enthält. Der Name des Ordners wird aus dem Namen des Benutzers abgeleitet. Normalerweise finden Sie dort wenigstens einen Ordner mit dem Namen ADMINISTRATOR.
Aktualisierung von NT 4 Bei der Aktualisierung von NT 4 werden die Pfade der Benutzerprofile nicht geändert. Sie finden den Ordner dann unter folgendem Pfad: %systemroot%\profiles
14.3 Gruppenrichtlinien Darstellung Im folgenden wird, in Übereinstimmung mit der Dokumentation, der Pfad zum Benutzerprofil durch folgendes Ersatzsymbol dargestellt: %UserProfile%
14.3 Gruppenrichtlinien Mit Hilfe von Gruppenrichtlinien können Anpassungen und Einschränkungen für den Umgang mit dem Betriebssystem vorgenommen werden. Das betrifft Spracheinstellungen, Wörterbücher und andere spezifische Vorgaben – aber auch Sicherheitseinstellungen wie beispielsweise den Umgang mit Kennwörtern.
14.3.1 Richtlinien für lokale Gruppen In kleinen Netzwerken werden Sie kaum Active Directory einsetzen. Die folgenden Ausführungen gehen davon aus, dass alle Einstellungen lokal vorgenommen und auch künftig dort verwaltet werden. Auf den Umgang mit Richtlinien und Active Directory wird in Band II der Reihe Windows 2000 eingegangen.
Vorbereitung und Grundlagen Die Gruppenrichtlinien werden in folgendem Pfad gespeichert: %systemroot%\System32\GroupPolicy Die Verwaltung erfolgt über die Management Konsole (MMC). Nach der Installation steht das Snap-In GRUPPENRICHTLINIE aber nicht zur Verfügung. Wenn Sie damit arbeiten möchten, ist es sinnvoll, dies einer vorhandenen Konsole hinzuzufügen. Empfehlenswert ist die Konsole COMPUTERVERWALTUNG, da dort auch die Benutzerkonten verwaltet werden. Um eine MMC zu erweitern, müssen Sie sie im Administratormodus MMC erweitern starten. Gehen Sie über START | VERWALTUNG auf das Symbol COMPUTERVERWALTUNG. Öffnen Sie im Kontextmenü den Dialog EIGENSCHAFTEN. Ergänzen Sie die Zeile mit dem Befehlsaufruf um den Parameter /a.
613
614
14 Benutzerverwaltung
Abbildung 14.1: Start der MMC im Administratormodus durch den Schalter /a
Jetzt können Sie das Snap-In wie folgt hinzufügen: 1. Wählen Sie KONSOLE | SNAP-IN HINZUFÜGEN/ENTFERNEN 2. Öffnen Sie den Konsolenstamm Computerverwaltung (Lokal) 3. Klicken Sie auf die Schaltfläche HINZUFÜGEN 4. Wählen Sie aus der Liste RICHTLINIEN FÜR LOKALEN COMPUTER 5. Schließen Sie alle Dialoge mit OK.
14.3 Gruppenrichtlinien
615 Abbildung 14.2: Auswahl des SnapIns Gruppenrichtlinien
Jetzt steht das Snap-In in der Liste der Computerverwaltung zur Verfügung. Gehen Sie nun wieder in den EIGENSCHAFTEN-Dialog und entfernen den Parameter /a, um die Administrationsfunktion zu unterbinden. Abbildung 14.3: Computerverwaltung mit Gruppenrichtlinien
Richtlinienarten Richtlinien können computer- oder benutzerbezogen sein. Sie haben folgende Eigenschaften (siehe auch Abbildung 14.3): •
Computerkonfiguration. Diese Konfiguration bezieht sich auf computerbezogene Einstellungen, also das Verhalten von Desktop und System. Zusätzlich können Skripte für das An- und Abmelden ein-
616
14 Benutzerverwaltung gerichtet werden. Diese Aufgaben sollten bei der Einrichtung des Betriebssystems vorgenommen werden. •
Benutzerkonfiguration. Diese Richtlinien sind benutzerbezogen, werden also als Grundlage für die Einrichtung neuer Benutzer vorgenommen. Diese Einstellungen werden bei der Anmeldung des Benutzers übernommen.
Einstellungsmöglichkeiten Jede Richtlinie kann entweder DEAKTIVIERT, AKTIVIERT oder NICHT sein. Beim späteren Einsatz des Computers in einer Domäne oder im Active Directory sind folgende Vorrangsteuerungen für diese drei Zustände zu beachten:
KONFIGURIERT
•
Gruppenrichtlinien der Domänen haben im Konfliktfall Vorrang
•
Gruppenrichtlinien, die vom Active Directory verwaltet werden, geben der lokalen Einstellung Vorrang, wenn sie selbst als NICHT KONFIGURIERT gesetzt ist. Dies ist möglicherweise eine Sicherheitslücke.
14.3.2 Gruppenrichtlinien im Detail Für die Arbeit mit Richtlinien gibt es einige Methoden, welche die Arbeit des Administrators erleichtern: •
Administrative Vorlagen (siehe unten)
•
Vorgaben der Gruppenrichtlinien-Snap-Ins (Seite 620)
•
Funktionen des GroupPolicy-Ordners (Seite 620)
Administrative Vorlagen Administrative Vorlagen erleichtern dem Administrator die Arbeit. Neue Richtlinien lassen sich auf der Basis dieser Vorlagen erstellen und gegebenenfalls mit wenig Aufwand an die aktuelle Situation anpassen. Die Vorlagen werden in einer Datei mit der Erweiterung chert. Die Original sind in folgendem Ordner zu finden:
ADM
gespei-
%systemroot%\inf Die Vorlagen sind editierbare Textdateien, in denen Kategorien und Unterkategorien stehen. Die Einträge bestimmen, was die Snap-Ins für Gruppenrichtlinien anzeigen. Festgelegt werden auch die Pfade für
14.3 Gruppenrichtlinien
617
die Registrierung. Die Vorlagen modifizieren also die Arbeitsumgebung für den Administrator. Für den aktiven Umgang mit den Vorlagen wird mit den Kopien im folgenden Ordner gearbeitet: %systemroot%\system32\GroupPolicy\Adm Dort finden Sie drei Dateien, deren Inhalt im Knoten ADMINISTRATIVE Die Vorlagendateien VORLAGEN angezeigt wird: •
SYSTEM.ADM
•
INETRES.ADM
•
CONF.ADM
Als Beispiel für den Aufbau soll hier die AutoRun-Funktion für CDROM-Laufwerke dienen. Der folgende Ausschnitt zeigt die entsprechenden Bereiche der Vorlage SYSTEM.ADM: CLASS MACHINE CATEGORY !!AdministrativeServices POLICY !!Autorun KEYNAME "Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer" EXPLAIN !!Autorun_Help PART !!Autorun_Box DROPDOWNLIST REQUIRED VALUENAME "NoDriveTypeAutoRun" ITEMLIST NAME !!Autorun_NoCD VALUE NUMERIC 181 DEFAULT NAME !!Autorun_None VALUE NUMERIC 255 END ITEMLIST END PART END POLICY END CATEGORY ; AdministrativeServices Der Parameter CLASS bestimmt, ob diese Richtlinie in der Kategorie CLASS Benutzer- oder Computerrichtlinie erscheint. CATEGORY steht für den Knoten unterhalb der Kategorie.
CATEGORY
POLICY ist die Richtlinieneinstellung, in diesem Fall AUTORUN.
POLICY
Innerhalb von Policy sind folgende Schlüsselwörter zulässig: •
KEYNAME ist der Schlüssel mit komplettem Pfad, wie er in die Regist- KEYNAME rierung eingetragen wird.
•
EXPLAIN ist der Hilfetext, der vom Snap-In angeboten wird.
•
PART. Der Abschnitt PART...END PART kann beliebig oft wiederholt PART
EXPLAIN
werden. Die daraus resultierenden Formularfelder werden in einer END PART
618
14 Benutzerverwaltung scrollbaren Liste angezeigt. Innerhalb dieser Abschnitte werden jetzt Felder und deren Vorgabewerte definiert. •
VALUEON, VALUEOFF. Bei binären Werten bezeichnen diese Elemente
die beiden zulässigen Zustände. Dieser Wert gilt für die gesamte Richtlinie, wenn er nicht Teil von PART ist. •
CLIENTEXT. Dieser Eintrag bezeichnet ein ActiveX-Steuerelement
oder eine DLL, beispielsweise in Form einer CLSID, mit dem die Einträge vorgenommen werden. Dies ist immer dann der Fall, wenn kein Standardelement zur Verfügung steht. Innerhalb von PART können weitere Elemente stehen: •
DROPDOWNLIST. Eine Dropdown-Liste, deren Definition anschließend
folgt. •
LISTBOX. Eine Box mit frei wählbaren Werten. Editierfunktionen sind vorhanden. Angezeigt wird eine Schaltfläche.
•
EDITTEXT. Texteingabefeld.
•
CHECKBOX. Kontrollkästchen.
•
TEXT. Text, der angezeigt wird, unabhängig von der Hilfeseite.
•
COMBOBOX. Combobox (Listbox mit Editierfeld).
•
Zusätze zu Elementen:
Abbildung 14.4: Das Element Listbox
-
VALUENAME. Name der Option. Wenn dies nicht innerhalb eines
anderen Elements steht und nur einen Wert enthält, wird er nicht explizit angezeigt. -
VALUEON, VALUEOFF. Bei binären Werten bezeichnen diese Ele-
mente die beiden zulässigen Zustände. Wird vor allem mit CHECKBOX eingesetzt. -
ITEMLIST. Liste von Einträge in DROPDOWNLIST. Jeder Eintrag besteht aus der Kombination NAME VALUE <wert>.
-
ADDITIVE. Normalerweise überschreiben neue Werte einer LISTBOX die in der Registrierung vorhandenen. Mit diesem Pa-
rameter werden die Einträge jedoch angefügt.
14.3 Gruppenrichtlinien -
EXPLICITVALUE. Gibt Wertepaare der LISTBOX vor.
-
VALUEPREFIX. Setzt für jeden Wert der LISTBOX einen Präfix.
-
MIN, MAX. Vorgabe für Drehfelder mit numerischen Werten, es kann der niedrigste und höchste Wert angegeben werden.
-
MAXLEN. Maximale Länge der Eingabe bei TEXT.
-
DEFAULT. Der Standardwert des Feldes.
-
SPIN. Die Schrittweite bei Drehfeldern mit Mausbedienung.
-
NUMERIC. Hier kann angegeben werden, das es sich um numerische Werte handelt.
-
OEMCONVERT. Wandelt die Einträge vom Windows-ANSIZeichensatz in OEM und bei der Anzeige wieder zurück.
-
SUGGESTIONS, END SUGGESTIONS. Vorschlagewerte für COMBOBOX.
-
ACTIONLISTON, ACTIONLISTOFF. Bei Deaktivieren von Kontrollkästchen kann diese Information angeboten werden.
-
REQUIRED. Dieser Zusatz bezeichnet Elemente, die bei aktiver
Gruppenrichtlinie angegeben werden müssen. Als Parameter der Schlüsselwörter kann auch eine Variable dienen, die später in der Datei definiert wird. Verweise dieser Art beginnen mit zwei Ausrufezeichen (!!). Im Beispiel sind folgende Texte zu finden:
619
620
14 Benutzerverwaltung AdministrativeServices="System" Autorun_Box="Automatische Wiedergabe deaktivieren auf:" Autorun_NoCD="CD-ROM-Laufwerke" Autorun_None="Alle Laufwerke" Autorun_Help="Deaktiviert die Funktion "AutoPlay".\n\nMit dieser Funktion werden Datenträger sofort nach dem Einlegen in ein Laufwerk gelesen. Somit werden Setupdateien von Programmen sofort gestartet und Audiomedien sofort wiedergegeben.\n\nStandardmäßig ist AutoPlay auf Wechselmedien- , wie z. B. Diskettenlaufwerken (aber nicht CD-ROM-Laufwerken), und auf Netzwerklaufwerken deaktiviert.\n\nDurch Aktivieren dieser Richtlinie kann AutoPlay auch auf CD-ROM-Laufwerken oder generell auf allen Laufwerken deaktiviert werden.\n\nDiese Richtlinie deaktiviert AutoPlay auf zusätzlichen Laufwerken. Sie können diese Richtlinie nicht für das Aktivieren von AutoPlay auf Laufwerken, auf denen es standardmäßig deaktiviert ist, verwenden.\n\nHinweis: Diese Richtlinie wird in den Ordnern "Computerkonfiguration" und "Benutzerkonfiguration" angezeigt. Falls beide Richtlinien konfiguriert sind, haben die Einstel lungen unter "Computerkonfiguration" Vorrang vor den Einstellungen unter "Benutzerkonfiguration"." Autorun="Automatische Wiedergabe deaktivieren"
Zeilenumbrüche können mit \n eingefügt werden. Anführungszeichen müssen nicht gesondert markiert werden und werden auch nicht doppelt geschrieben.
Vorgaben der Gruppenrichtlinien-Snap-Ins Auch die Snap-Ins selbst werden durch eine Steuerdatei beeinflusst. GPT.INI im Ordner Dies erfolgt durch die Datei %SYSTEMROOT%\SYSTEM32\GROUPPOLICY. Folgende Einträge sind dort zu finden: •
gPCMachineExtensionNames=: Clientseitige Erweiterungen der Gruppenrichtlinien für den Computer.
•
gPCUserExtensionNames=: Clientseitige Erweiterungen der Gruppenrichtlinien für die Benutzer.
Funktionen des GroupPolicy-Ordners UnterordnerStruktur
Der Ordner GROUPPOLICY enthält drei Unterordner: •
ADM:
tiert.
Vorlagen für Gruppenrichtlinien, diese wurden bereits disku-
14.3 Gruppenrichtlinien •
621
USER:
Hier wird die Datei REGISTRY.POL gespeichert, die nutzerspezifische Registrierungseinstellungen enthält. Der Pfad der Registrierung, der modifiziert wird, lautet:
HKEY_CURRENT_USER •
MACHINE:
Hier wird die Datei REGISTRY.POL gespeichert, die computerspezifische Registrierungseinstellungen enthält.
HKEY_LOCAL_MACHINE In den Ordnern USER und MACHINE werden außerdem Skripte gespei- Skripte chert, die beim Start und beim Herunterfahren des Computers und beim An- und Abmelden eines Benutzers ausgeführt werden: •
SCRIPTS\LOGON: Skript startet beim Anmelden des Benutzers.
•
SCRIPTS\LOGOFF: Skript startet beim Abmelden des Benutzers.
•
SCRIPTS\STARTUP: Skript startet beim Starten des Computers.
•
SCRIPTS\SHUTDOWN: Skript startet beim Herunterfahren.
Zwischen den An- und Abmeldeskripten der Gruppenrichtlinien und den Skripten der Benutzerprofile besteht kein Zusammenhang. Um Skripte zu schreiben, können alle in Windows 2000 verfügbaren Skriptsprachen Technologien verwendet werden. Dazu gehören: •
Batchdateien (*.BAT)
•
Windows Scripting Host (WSH) in VBScript oder JScript (*.VBS, *.JS)
•
XML-basierte Windows Script-Dateien (*.WS)
Die Skripte des Computers werden zuerst gestartet. Beim Starten der AusführungsMaschine geschieht dies aber erst nach dem Herstellen der Netzwerk- reihenfolge verbindungen. Sie können also mit Skripten auf Netzwerklaufwerke zugreifen, wenn sichergestellt werden kann, dass die Verbindungen auch bestehen. Umgekehrt werden Skripte beim Herunterfahren erst ausgeführt und dann werden die Netzwerklaufwerke getrennt. Die Anmeldeskripte starten nach den Startskripten des Computers, umgekehrt wird beim Herunterfahren erst der Benutzer abgemeldet, dann startet sein Abmeldeskript und dann erst das Skript zum Herunterfahren. Die Skripte werden in der Reihenfolge ausgeführt, wie sie im Ordner SKRIPTS liegen. Der Pfad zu dem Knoten ist: Computerkonfiguration | Windows-Einstellungen | Skripts
622
14 Benutzerverwaltung
Abbildung 14.5: Dieser Dialog bestimmt die Ausführungsreihenfolge der Skripte
Außerdem werden die Startskripte erst zu Ende ausgeführt und dann wird der Desktop aktiviert. Beide Verhalten lassen sich durch folgende Gruppenrichtlinien verändern. Administrative Vorlage | System | Anmeldung •
ANMELDESKRIPTS GLEICHZEITIG AUSFÜHREN. Durch Aktivieren dieser Richtlinie kann Windows Explorer erst gestartet werden, nachdem die Anmeldeskripts zu Ende ausgeführt wurden. Durch diese Einstellung wird sicher gestellt, dass der Anmeldeskriptprozess fertig gestellt wurde, bevor der Benutzer anfängt den Computer zu verwenden. Allerdings wird das Anzeigen des Desktops verzögert. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, werden die Anmeldeskripte und Windows Explorer nicht synchronisiert, sondern können gleichzeitig ausgeführt werden. Diese Richtlinie wird in den Ordnern COMPUTERKONFIGURATION und BENUTZERKONFIGURATION angezeigt. Falls beide Richtlinien konfiguriert sind, haben die Einstellungen unter COMPUTERKONFIGURATION Vorrang.
•
STARTSKRIPTS ASYNCHRON AUSFÜHREN. Ermöglicht das gleichzeitige Ausführen von Startskripten. Standardmäßig wird ein Startskript nach dem anderen ausgeführt. Durch Aktivieren dieser Richtlinie wird das Ausführen der Startskripte nicht koordiniert. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, kann ein Startskript erst ausgeführt werden, nachdem das vorherige zu Ende ausgeführt wurde.
•
STARTSKRIPTS SICHTBAR AUSFÜHREN. Zeigt die Anweisungen in Startskripte während der Ausführung an. Standardmäßig werden
14.3 Gruppenrichtlinien
623
die Anweisungen in Startskripte nicht angezeigt. Durch Aktivieren dieser Richtlinie wird jede Anweisung im Startskript während der Ausführung angezeigt. Die Anweisungen werden in einem Eingabeaufforderungsfenster angezeigt. Diese Einstellung ist für fortgeschrittene Benutzer bestimmt. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, werden die Anweisungen nicht unterdrückt. •
SKRIPTS BEIM BEENDEN SICHTBAR Richtlinie, nur beim Beenden.
•
MAXIMALE WARTEZEIT FÜR GRUPPENRICHTLINIENSKRIPTS. Legt fest, wie lange das System auf die Ausführung von Skripten, die von Gruppenrichtlinie übernommen wurden, wartet. Diese Richtlinie schränkt die zugelassene Ausführungszeit aller von Gruppenrichtlinie festgelegten Skripts zum Anmelden, Starten und Herunterfahren ein. Falls Skripts nicht innerhalb der angegebenen Zeit zu Ende ausgeführt wurden, wird der Skriptprozess angehalten und ein Fehlerereignis protokolliert. Standardmäßig kann ein kombinierter Satz von Skripten bis zu 600 Sekunden (10 Minuten) zum Ausführen verwenden. Geben Sie einen Wert zwischen 0 und 32.000 im Feld SEKUNDEN für den Zeitabschnitt, in der Skripte ausgeführt werden können, ein, wenn Sie diese Richtlinie verwenden möchten. Geben Sie den Wert 0 ein, wenn das System so lange warten soll, bis alle Skripte zu Ende ausgeführt wurden. Dieses Intervall ist besonders wichtig, wenn andere Systemvorgänge warten müssen, bis alle Skripte zu Ende ausgeführt wurden. Standardmäßig muss jedes Startskript zu Ende ausgeführt werden, bevor das nächste ausgeführt werden kann. Sie können zusätzlich die Richtlinie ANMELDESKRIPTS GLEICHZEITIG AUSFÜHREN aktivieren, sodass das Desktop erst geladen wird, nachdem alle Anmeldeskripts zu Ende ausgeführt wurden. Ein zu großes Intervall verzögert die Systemverwendung und wirkt störend auf Benutzer. Allerdings könnte ein zu kurzes Intervall dazu führen, dass vorausgesetzte Vorgänge nicht fertiggestellt werden, und das System zu früh verwendungsfähig erscheint.
AUSFÜHREN.
Wie die vorherige
Praxisprobleme Das Scripting ist in diesem Bereich verhältnismäßig kritisch, denn fehlerhafte Skripte können die An- und Abmeldeprozeduren stören. Letztendlich kann ein Stillstand beim Herunterfahren Systemschäden hervorrufen, da der Computer zwangsweise abgeschaltet wird. Die folgenden Tipps helfen, gravierende Fehler zu vermeiden: •
Testen Sie alle Skripte ausgiebig, bevor sie in dem Skriptverzeichnis platziert werden.
624
14 Benutzerverwaltung •
Verwenden Sie Fehlerbehandlungsroutinen. In VBScript können Sie Systemfehler mit on error resume next abfangen und dann mit dem Err-Objekt individuell behandeln. So wird sichergestellt, dass das Skript weiterläuft.
•
Vermeiden Sie grafische Ausgaben, wie sie mit MsgBox() erzeugt werden. Verwenden Sie, wenn es unvermeidlich ist, die ShellPopUp-Box, die systemnäher programmiert ist und eine TimeoutFunktion hat, falls niemand auf die Anzeige reagiert.
•
Verwenden Sie generell eine Timeout-Funktion für das Skript. Dies erfolgt mit dem Parameter //T:xx, wobei xx die Zahl der Sekunden für das Skript ist.
•
Stellen Sie die Richtlinie MAXIMALE WARTEZEIT FÜR GRUPPENRICHTLINIENSKRIPTS wie oben bereits beschrieben so ein, wie es der in Punkt 4 vergebene Wert vorgibt.
Einsatzmöglichkeiten Vor allem in Umgebungen mit vielen relativ gleichartigen Computern erleichtert die Integration der Skripte in die Gruppenrichtlinien die Arbeit des Administrators deutlich. Die Vielfalt der Sprachen und die einfache Implementierung über die MMC erlauben eine schnelle Einarbeitung. Scheuen Sie sich nicht, hiermit tatsächlich Prozesse zu automatisieren. Im Active Directory werden auch die Skripte verwaltet. Dieser Teil wird im Band II vorgestellt.
14.4 Benutzer- und Gruppenverwaltung Die Eigenschaften neuer Benutzer basieren auf den Gruppenrichtlinien. Dieser Abschnitt beschreibt, wie Benutzer und Gruppen eingerichtet werden und wie die individuelle Einstellung der Rechte erfolgt.
14.4.1 Sicherheitsrichtlinien Die lokalen Sicherheitsrichtlinien bestimmen die Sicherheit beim Umgang mit Benutzerkonten. Die hier verfügbaren Werte werden von der Gruppenrichtlinie SICHERHEITSEINSTELLUNGEN geerbt. Nach der Installation stehen dort alle Werte auf NICHT KONFIGURIERT und können von den LOKALEN SICHERHEITSEINSTELLUNGEN überschrieben werden.
14.4 Benutzer- und Gruppenverwaltung Die LOKALEN SICHERHEITSEINSTELLUNGEN finden Sie in der Systemsteuerung unter VERWALTUNG. Eingestellt werden können folgende Optionen: •
Kontorichtlinien: Hiermit wird bestimmt, welchen Sicherheitsstandards Kennwörter und Benutzer unterliegen.
•
Lokale Richtlinien: Diese Optionen bestimmen, welchen Hauptbenutzergruppen welche grundlegenden Rechte gegeben werden, welche Aktionen im System überwacht werden sollen und welche grundlegenden Sicherheitseinstellungen vorgegeben werden.
•
Richtlinie öffentlicher Schlüssel: Hier finden Sie den Agenten zur Wiederherstellung verschlüsselter Dateien.
•
IP-Sicherheitsrichtlinien: Diese Optionen bestimmen die Sicherheitsregeln für die Kommunikation im Netzwerk.
Die möglichen Einstellungen werden nachfolgend ausführlich diskutiert.
Kontorichtlinien Die Kennwortrichtlinien bestimmen die Sicherheit im Umgang mit Kennwortrichtlinien Kennwörtern. Diese Einstellungen gelten künftig für alle Benutzer: •
KENNWORTCHRONIK ERZWINGEN. Die können einstellen, wie viele Kennwörter sich das System merkt, um die wiederholte Verwendung desselben Kennwortes durch den Benutzer zu verhindern.
•
MÜSSEN DEN KOMPLEXITÄTSANFORDERUNGEN KENNWÖRTER ENTSPRECHEN. Aktivieren Sie diese Einstellung, müssen Kennwörter hinreichend komplex sein. Die Anforderungen sind wie folgt definiert:
-
Kennwörter müssen mindestens sechs Zeichen lang sein
-
Kennwörter müssen Zeichen aus mindestens drei der folgenden vier Zeichenklassen enthalten: 1.
Großbuchstaben des englischen Alphabets (A, B, C, ...)
2.
Kleinbuchstaben des englischen Alphabets (a, b, c, ...)
3.
Arabische Ziffern (1, 2, 3, ...)
4.
Interpunktionszeichen (», . _ -« usw.)
5.
Das Kennwort darf nicht dem Nutzernamen entsprechen
Die Definitionen entsprechen der unter Windows NT 4 mit Service Pack 2 gelieferten PASSFILT.DLL. Änderungen sind nicht möglich, auch nicht über die Registrierung.
625
626
Kontosperrungsrichtlinien
14 Benutzerverwaltung •
KENNWÖRTER FÜR ALLE DOMÄNENBENUTZER VERSCHLÜSSELUNG SPEICHERN.
•
MAXIMALES KENNWORTALTER: Geben Sie hier das Alter in Tagen an, das ein Kennwort erreichen darf. Danach erzwingt Windows 2000 bei der Anmeldung ein neues Kennwort.
•
MINIMALE KENNWORTLÄNGE: Bestimmt, wie lang ein Kennwort mindestens sein muss.
•
MINIMALES KENNWORTALTER: Bestimmt, wie alt ein Kennwort wenigstens werden muss, bevor der Benutzer es ändern darf.
MIT UMKEHRBARER
Fehlerhafte Anmeldeversuche können als Einbruchsversuch in das System gewertet werden. Andererseits sind Tippfehler beim Eingeben des Kennworts durchaus normal. Sie können mit den KONTOSPERRUNGSRICHTLINIEN bestimmen, wie sich das System gegenüber fehlerhaften Anmeldeversuchen verhält. •
KONTOSPERRUNGSSCHWELLE: Hier geben Sie die Anzahl der Versuche an, die einem Benutzer gegeben werden, bis das Konto gesperrt wird. »0« steht für unbegrenzt – dies ist der Standardwert. Die folgenden beiden Optionen sind nur aktiv, wenn der Wert ungleich 0 ist.
•
KONTOSPERRDAUER: Hier steht die Dauer in Minuten, die das Konto nach Erreichen der KONTOSPERRUNGSSCHWELLE gesperrt wird. Der Standardwert beträgt 30 Minuten.
•
KONTOSPERRUNGSZÄHLER ZURÜCKSETZEN NACH: Dieser Wert bestimmt die Anzahl Minuten, nach denen der Zähler KONTOSPERRUNGSSCHWELLE zurückgesetzt wird. Der Standardwert beträgt 5 Minuten.
Tipps zur Kennwortvergabe Bei der Vergabe der Kontorichtlinien sollten Sie als Administrator nicht zu restriktiv vorgehen. Es gibt zwar gute Gründe, den Umgang mit der Systemsicherheit sehr ernst zu nehmen, allzu harte Vorgaben können aber zu einer unglücklichen Nutzerreaktion führen. Wenn Sie beispielsweise eine hohe Komplexität erzwingen (Lange Kennwörter mit Komplexitätsanforderungen), werden Nutzer nicht mehr in der Lage sein, sich diese zu merken. Üblicherweise kleben dann nach kurzer Zeit Post-It-Zettel unter Tastaturen oder sogar am Monitor. Die wenigsten Benutzer wissen, wie man sich ein komplexes Kennwort merkt. Ein einfaches Mittel ist die Bildung von Sätzen, die sich leicht merken lassen. Aus einem solchen Satz wird dann das Kennwort gebildet, bei-
14.4 Benutzer- und Gruppenverwaltung
627
spielsweise durch jeden ersten oder letzten Buchstaben eines Wortes. Der folgende Satz zeigt das: Ich habe am 26. Mai Geburtstag Daraus könnte man leicht zwei Kennwörter extrahieren, die kaum zu knacken sind: Iha26MG und hem6.ig. Beide erfüllen die erweiterten Komplixitätsanforderungen von Windows 2000.
Lokale Richtlinien Mit den lokalen Richtlinien werden die Optionen der Gruppenrichtlinien auch dann einstellbar, wenn diese nicht verwendet werden. Drei Gruppen stehen zur Verfügung: •
ÜBERWACHUNGSRICHTLINIEN: Hier kann bestimmt werden, welche Ereignisse im System überwacht werden. Die entsprechenden Ereignisse werden in das Ereignisprotokoll SYSTEMSICHERHEIT geschrieben. Abbildung 14.6: So erscheinen Anmeldeversuche im Sicherheitsprotokoll
•
ZUWEISEN VON BENUTZERRECHTEN: Diese Option stellt für verschiedene Parameter das Recht bestimmter Benutzer oder Gruppen ein, diese Parameter zu ändern. So können beispielsweise nur Administratoren Quoten anheben. Sie können aber einen »Quotenmanager« einführen und diesem das Recht geben, Quoten zu ändern.
628
14 Benutzerverwaltung
Abbildung 14.7: Benutzerrechte
•
Abbildung 14.8: Sicherheitsoptionen
SICHERHEITSOPTIONEN: Hier finden Sie Optionen, die die allgemeine Systemsicherheit betreffen. Außerdem können Anmeldeoptionen gesteuert werden.
14.4 Benutzer- und Gruppenverwaltung IP-Sicherheits-Richtlinien (IPSec) IPSec steht für Internet Protocol Security. Mehr dazu finden Sie in Abschnitt 8.4.5 Sicherheitsprotokolle für das Netzwerk ab Seite 273. Die hier standardmäßig eingestellten Werte sind lediglich Beispiele. Für die praktische Anwendung sind weitere Maßnahmen nötig, beispielsweise die Beschaffung eines Zertifikats. Die drei Optionen haben folgende Bedeutung: •
CLIENT. Normale, nicht gesicherte Kommunikation. Der Server kann, wenn er verschlüsselte Kommunikation erfordert, dies auf dem angeforderten Protokoll und mit dem benutzten Port sicher stellen.
•
SERVER. Der IP-Verkehr wird generell mit Kerberos verschlüsselt. Nur wenn ein Client nicht reagiert, wird unverschlüsselt übertragen.
•
SICHERER SERVER. Der IP-Verkehr wird generell mit Kerberos verschlüsselt. Wenn ein Client nicht reagiert, wird er abgelehnt.
Beachten Sie, dass Ihnen Kerberos V5 nur zur Verfügung steht, wenn der Computer in einer Domäne betrieben wird. Möchten Sie IPSec trotzdem anwenden, benötigen Sie ein Zertifikat einer Zertifizierungsinstanz. Die Verschlüsselung richtet sich dann nach dem Verschlüsselungsalgorithmus des Zertifikats.
14.4.2 Umgang mit Sicherheitsvorlagen Sicherheitsdatenbanken sind Dateien, die Sicherheitseinstellungen enthalten. Sie können damit Einstellungen speichern und auf einem anderen System wieder laden, um die Verwaltung komplexer Sicherheitseinstellungen zu erleichtern. Die Sicherheitsdatenbanken basieren auf Sicherheitsvorlagen, die elementare Einstellungen bereits enthalten.
MMC-Snap-In installieren Für die Verwaltung der SICHERHEITSVORLAGEN gibt ein spezielles Snap-In. Weiterhin wird das Snap-In SICHERHEITSKONFIGU-RATION UND –ANALYSE benötigt . Wie Sie die Snap-Ins installieren können, wurde bereits auf Seite 613 beschrieben.
629
630
14 Benutzerverwaltung
Abbildung 14.9: Hinzufügen der Snap-Ins
Auch hier ist zu empfehlen, die COMPUTERVERWALTUNG einzubauen.
Snap-Ins in
die
Konsole
Sicherheitsvorlagen Die Sicherheitsvorlagen liegen in folgendem Ordner: %systemroot%\security\templates Sie haben die Erweiterung INF und sind mit einem Texteditor zu bearbeiten. Einfacher ist natürlich der Weg über die Management Konsole. die Struktur orientiert sich an den Gruppenrichtlinien. Die Vorlagen dienen der Bereitstellung einer Ausgangssituation für die Einstellung der LOKALEN SICHERHEITSRICHTLINIEN. Wenn Sie viele Computer konfigurieren, kopieren Sie die Vorlagen und vereinfachen so die Einrichtung der anderen Systeme erheblich. Typen von Sicherheitsvorlagen
Verschiedene Vorlagen sind bereits vorbereitet, um die Einrichtung des Systems zu vereinfachen. Die folgende Liste zeigt die zur Verfügung stehenden Varianten: •
Basic (BASIC*.INF): Mit den Vorlagen für die Basiskonfiguration kann die Anwendung einer anderen Sicherheitskonfiguration aufgehoben werden. Die Basiskonfigurationen wenden die Standardsicherheitseinstellungen von Windows 2000 auf alle Sicherheitsbereiche an. Eine Ausnahme bilden die Sicherheitsbereiche, die sich auf Benutzerrechte beziehen. Diese werden nicht in den Basisvorlagen geändert, da Benutzerrechte üblicherweise durch Setupprogramme von Anwendungen angepasst werden, um eine erfolgreiche Verwendung der Anwendung zu ermöglichen. Solche
14.4 Benutzer- und Gruppenverwaltung Anpassungen sollen nicht durch die Basiskonfigurationsdateien rückgängig gemacht werden. •
•
•
Kompatibel (COMPAT*.INF): In der Standardeinstellung sind die Sicherheitsfunktionen von Windows 2000 so konfiguriert, dass Mitglieder der lokalen Benutzergruppe über strenge Sicherheitseinstellungen verfügen, während die Sicherheitseinstellungen für die Mitglieder der lokalen Hauptbenutzergruppe mit den Windows NT 4Benutzerzuweisungen kompatibel sind. Sicher (SECURE*.INF): Die sicheren Vorlagen implementieren die empfohlenen Sicherheitseinstellungen für alle Sicherheitsbereiche, mit Ausnahme von Dateien, Ordnern und Registrierungsschlüsseln. Diese werden nicht geändert, da Dateisystem- und Registrierungsberechtigungen standardmäßig sicher konfiguriert werden. Hochsicher (HISEC*.INF): Die sehr sicheren Vorlagen definieren Standardeinstellungen für die Netzkonfiguration unter Windows 2000. Die Sicherheitsbereiche bieten maximalen Schutz für den Netzwerkverkehr sowie für Netzwerkprotokolle für Computer, auf denen Windows 2000 ausgeführt wird. Eine Kommunikation mit Computern, auf denen Windows 95 oder 98 bzw. Windows NT ausgeführt wird, ist nicht möglich.
Sicherheitskonfiguration und -analyse Dieses Snap-In ermittelt die effektive Konfiguration. Es ist sinnvoll, sich hier nach der Installation einen Überblick zu verschaffen, wie Windows 2000 eingerichtet wurde, vor allem wenn zuvor Vorlagen geändert und mit den modifizierten Vorlagen gearbeitet wurde. Die Bedienung dieses Snap-Ins unterscheidet sich etwas von den an- Bedienung deren hier beschriebenen. Sie erreichen alle Optionen über das Kontextmenü des Knotens. Die Arbeitsweise ist einfach. Zuerst legen Sie eine Datenbank an, in der alle Konfigurationen gespeichert werden. Dazu öffnen Sie eine neue Datei. Ist der Name nicht vorhanden, wird die Datenbank angelegt. Dann importieren Sie eine Sicherheitsvorlage, die als Ausgangsbasis der Analyse gilt. Die Datenbank liegt in folgendem Pfad: %systemroot%\security\Database Der Ablauf der Analyse wird in einem Protokoll festgehalten. Dieses Protokolle Protokoll finden Sie unter:
631
632
14 Benutzerverwaltung %systemroot%\security\logs
Ablauf der Konfiguration Der folgende Ablauf importiert eine der Vorlagen in die Sicherheitsrichtlinien: 1. Öffnen Sie das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. 2. Importieren Sie eine Sicherheitsvorlage, die als Vorgabe der Analyse dient. Das Programm vergleicht die Einstellungen der Vorlage mit der tatsächlichen Situation des Computers. Wählen Sie dazu VORLAGE IMPORTIEREN. Die Vorlagen wurden bereits oben beschrieben. 3. Wählen Sie im Kontextmenü SYSTEM JETZT KONFIGURIEREN. Geben Sie einen Pfad zu einer Fehlerprotokolldatei an. Das System wird auf die Parameter der Vorlage eingestellt. Der Vorgang kann einige Sekunden in Anspruch nehmen.
Ablauf der Analyse Sie können die aktuelle Situation des Computers auch mit einer Vorlage vergleichen. Anschließend entsteht im Knoten des Snap-In eine Widerspiegelung der Gruppenrichtlinienstruktur, deren Parameter die analysierten Werte anzeigen. Sie können hier auch gleich Änderungen vornehmen. Gehen Sie folgendermaßen vor: 1. Öffnen Sie das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. 2. Importieren Sie eine Sicherheitsvorlage, die als Vorgabe der Analyse dient. Das Programm vergleicht die Einstellungen der Vorlage mit der tatsächlichen Situation des Computers. Wählen Sie dazu VORLAGE IMPORTIEREN. Die Vorlagen wurden bereits oben beschrieben. 3. Wählen Sie im Kontextmenü COMPUTER JETZT ANALYSIEREN. Geben Sie einen Pfad zu einer Fehlerprotokolldatei an. Das System wird auf die Parameter der Vorlage eingestellt. Der Vorgang kann einige Sekunden in Anspruch nehmen. Die Analyse umfasst auch Dateiberechtigungen und Angaben zur Registrierung.
14.4 Benutzer- und Gruppenverwaltung
633 Abbildung 14.10: Umfassende Analyse der Sicherheitssituation des Computers
14.4.3 Benutzerkonten einrichten Die Funktion BENUTZER UND KENNWÖRTER ist direkt über die Systemsteuerung erreichbar. Dies gilt nur für die Professional-Version und soll die Einrichtung einfacher Peer-to-Peer-Netzwerke und Arbeitplätze für mehrere Personen erleichtern. Falls eine Verbindung zu einem Domänen-Server besteht, können mit dieser Option Domänenbenutzer lokalen Gruppen hinzugefügt werden. Grundsätzlich stehen folgende Funktionen zur Auswahl: •
Anlegen von neuen Benutzern
•
Löschen und Ändern von alten Benutzerkonten
•
Ändern von Kennwörtern (außer Administrator)
•
Eintragen von Benutzern in lokale Gruppen
Funktionen
634
14 Benutzerverwaltung Um die Funktion nutzen zu können, müssen Sie als Administrator angemeldet sein.
Benutzeroptionen Anmeldung erzwingen
Wenn Sie Windows 2000 Professional nur allein und ohne Netzwerk nutzen – als »besseres« Windows 98/ME also – können Sie die Anmeldung generell unterdrücken. Deaktivieren Sie die Option BENUTZER MÜSSEN FÜR DEN COMPUTER BENUTZERNAMEN UND KENNWORT EINGEBEN.
Kennwörter ändern
Sie können als Administrator Kennwörter aller Benutzer ändern – außer Ihr eigenes. Letzteres ist aus Sicherheitsgründen unterbunden: Trojanische Pferde könnten sonst mit Administratorrechten die Änderung vornehmen und dann die Kontrolle des Systems an sich reißen. Wählen Sie den Benutzer und dann die Schaltfläche KENNWORT ÄNDERN.
Abbildung 14.11: Änderung des Kennwortes
Mit HINZUFÜGEN können Sie weitere Benutzer anlegen. Es startet ein Assistent, dessen Schritt nachfolgend gezeigt werden. Abbildung 14.12: Bezeichnung, Name und Beschreibung des neuen Benutzers. Mit dem Benutzernamen erfolgt die Anmeldung.
14.4 Benutzer- und Gruppenverwaltung
635 Abbildung 14.13: Vergabe eines Kennwortes für den neuen Benutzer. Die Eingabe erfolgt verdeckt.
Abbildung 14.14: Zuweisung einer Gruppe für den Benutzer
Erweiterte Optionen Auf der Registerkarte ERWEITERTE OPTIONEN können Sie Benutzern Zertifikate zuweisen und die sichere Anmeldung mit STRG-ALT-ENTF erzwingen. Neue Zertifikate können hier nur angelegt werden, wenn eine Zertifizierungsinstanz erreichbar ist. Mit der Option ERWEITERT gelangen Sie in die Konsolenstruktur LOKALE BENUTZER UND GRUPPEN, die in Abschnitt 14.4.5 Lokale Benutzer und Gruppen ab Seite 637 beschrieben wird.
Zuweisen von Rechten Vor dem Zuweisen von individuellen Rechten sollten Sie den Abschnitt 14.4.1 Sicherheitsrichtlinien ab Seite 624 lesen. Die Philosophie der Vergabe von Rechten sollte vorher verstanden worden sein. Unter
636
14 Benutzerverwaltung Benutzer und Kennwörter können Sie keine Rechte vergeben. Dies liegt an der gemeinsamen Verwaltung der Rechte in den Gruppenrichtlinien. Alle Richtlinien werden zentral verwaltet, entweder in der Registrierung des lokalen Systems oder im Active Directory. Diesen Richtlinien werden dann Benutzer oder Gruppen zugewiesen. Erst durch die Zuweisung »erben« die Benutzer die entsprechenden Rechte. Eine direkte Verwaltung ist nicht möglich. Öffnen Sie dazu das Snap-In GRUPPENRICHTLINIEN und hier den Pfad LOKALER COMPUTER | COMPUTERKONFIGURATION | WINDOWSEINSTELLUNGEN | SICHERHEITSEINSTELLUNGEN | LOKALE RICHTLINIEN | ZUWEISEN VON BENUTZERRECHTEN. Dort finden Sie eine Liste von Benutzerrechten. Öffnen Sie diese und fügen Sie mit der Schaltfläche Hinzufügen BENUTZER ODER GRUPPEN hinzu. Dieses Vorgehensweise erleichtert die Auflösung von Konflikten. Da die Rechte im Allgemeinen nicht im Widerspruch zueinander stehen, kann eine Zuweisung von Benutzern und Gruppen nicht zu Konflikten führen. Falls ein Benutzer Mitglied mehrerer Gruppen ist, die unterschiedliche Rechte haben, addieren sich die Rechte. Wenn also eine Gruppe das Recht hat, Quoten anzuheben und eine andere Gruppe das Recht den Dateibesitz zu übernehmen und ein Benutzer Mitglied beider Gruppen ist, so verfügt er über beide Rechte.
Abbildung 14.15: Vergabe von Benutzerrechten
Wenn Sie verschiedene Rechte sehr häufig an Benutzer vergeben, so ist es eine gute Lösung, eine Gruppe anzulegen und dieser Gruppe
14.4 Benutzer- und Gruppenverwaltung nur ein Recht aus den lokalen Benutzerrechten zuzuweisen. Dann genügt es, den neuen Benutzer Mitglied dieser Gruppe werden zu lassen, um ihn gezielt mit einem bestimmten Recht auszustatten.
14.4.4 Gruppen Gruppen erleichtern die Verwaltung von Benutzern. Wenn Sie einer Gruppe Benutzerrechte vergeben und Benutzer dieser Gruppe zuordnen, erben alle Benutzer diese Rechte. Wenn ein Benutzer Mitglied mehrere Gruppen ist, addieren sich die Rechte, soweit es Unterschiede gibt. Im Fall eines Konflikt »gewinnt« das restriktivere Recht. Gruppen können über die Funktion BENUTZER UND KENNWÖRTER nicht angelegt werden. Sie müssen dafür über VERWALTUNG | COMPUTERVERWALTUNG | LOKALE BENUTZER UND GRUPPEN gehen. Dort stehen auch alle erweiterten Optionen für die Benutzerverwaltung zur Verfügung. Diese werden im nächsten Abschnitt erläutert.
14.4.5 Lokale Benutzer und Gruppen: Weitere Optionen Im Knoten LOKALE BENUTZER UND GRUPPEN können einem Benutzer weitere elementare Optionen zugeordnet werden. Dies betrifft vor allem das Anmeldeverhalten. Sie finden diesen Knoten unter COMPUTERVERWALTUNG | SYSTEM.
Hinzufügen und Löschen von Benutzern Neue Benutzer werden mit der Option NEUER BENUTZER... im Kon- Anlegen textmenü des Knotens BENUTZER angelegt. Folgende Angaben werden in einem Dialogfeld abgefragt: •
BENUTZERNAME, VOLLSTÄNDIGER NAME, BESCHREIBUNG
•
KENNWORT und KENNWORTWIEDERHOLUNG
•
Kennwortoptionen, wie weiter unten unter Änderung der Eigenschaften von Benutzern beschrieben.
Löschen können Sie Benutzer, wenn Sie im Kontextmenü des Benut- Löschen zers LÖSCHEN wählen. Jeder Benutzer wird intern mit einer eindeutigen und einmaligen User-ID versehen. Wenn Sie einen Benutzer anlegen und mit Gruppenrichtlinien und Gruppen verbinden und den Benutzer später löschen, so gehen alle Einstellungen verloren. Richten Sie danach einen Benutzer mit demselben Namen wieder ein, müssen Sie alle Einstellungen
637
638
14 Benutzerverwaltung neu vornehmen, zwischen dem alten und dem neuen Benutzer gleichen Namens besteht keinerlei Verwandtschaft.
Änderung der Eigenschaften von Benutzern Die Eigenschaften von Benutzern ändern Sie, indem Sie die Benutzer in der Liste doppelklicken oder im Kontextmenü EIGENSCHAFTEN auswählen. Im Kontextmenü finden Sie außerdem die Option KENNWORT ÄNDERN. Der EIGENSCHAFTEN-Dialog besteht aus drei Registerkarten, die nachfolgend gezeigt werden. Allgemein
Auf der Registerkarte ALLGEMEIN können Sie folgende Optionen einstellen: •
BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN: Hier mit erzwingen Sie eine Änderung des Kennwortes, ohne dies selbst kennen zu müssen. Sie können so eine optimale Systemsicherheit garantieren, ohne die Kennwörter zentral zu vergeben. Ist diese Option aktiviert, werden die nächsten beiden deaktiviert.
•
BENUTZER KANN KENNWORT NICHT ÄNDERN: Hiermit unterbinden Sie die Änderung des Kennworts durch den Benutzer. Sie können das Kennwort nur selbst als Administrator ändern.
•
KENNWORT LÄUFT NIE AB: Diese Option deaktiviert die Gruppenrichtlinie KENNWORTALTER. Sinnvoll ist dies für Systemnutzer, wie IUSR_Machine, der für den Webserver eingerichtete anonyme Benutzer. Solche »Nutzer« können natürlich nicht ihr Kennwort ändern.
•
KONTO IST DEAKTIVIERT: Hier können Sie das Konto deaktivieren. Nutzen Sie diese Option, wenn Benutzer zeitweilig nicht mit dem System arbeiten, später aber zurückkehren.
•
KONTO IST GESPERRT: Die Option ist, wenn ein Nutzer durch wiederholte Falscheingaben bei der Anmeldung sein Konto gesperrt hat. Der Administrator kann die Sperre hier aufheben.
14.4 Benutzer- und Gruppenverwaltung
639 Abbildung 14.16: Basiseigenschaften eines Benutzers
Die Registerkarte MITGLIEDSCHAFT zeigt die Zuordnungen des Benut- Mitgliedschaften zers zu Gruppen an. Mit Hilfe der Schaltflächen HINZUFÜGEN und ENTFERNEN können Sie die Zuordnungen verändern. Im Gegensatz zur Funktion BENUTZER UND KENNWÖRTER können Sie hier auch Systemgruppen und Systembenutzer, die Windows selbst einrichtet, modifizieren.
640
14 Benutzerverwaltung
Abbildung 14.17: Mitgliedschaft in Benutzergruppen
Profile
Die dritte Registerkarte PROFIL ermöglicht die Einrichtung individueller Benutzerprofile. Geben Sie unter PROFILPFAD den Speicherort des Profils ein, das Sie zuweisen möchten. Für einen Netzwerkpfad verwenden Sie das allgemeine Format \\Servername\Profilordner\Benutzerprofilname, beispielsweise: \\Home-Win\Profiles\Verwaltung Wenn der Computer mit einem Netzwerk verbunden ist, verhindern möglicherweise auch die Richtlinieneinstellungen des Netzwerks die Ausführung dieser Schritte.
Verbindliches Benutzerprofil
Zur Zuweisung eines verbindlichen Benutzerprofils müssen Sie zusätzlich ein vorkonfiguriertes Benutzerprofil in das angegebene Verzeichnis kopieren. Doppelklicken Sie in der Systemsteuerung auf SYSTEM, klicken Sie auf die Registerkarte BENUTZERPROFILE und auf das zu kopierende Profil und dann auf KOPIEREN. Geben Sie unter PROFIL KOPIEREN NACH den o.a. Pfad ein, und benennen Sie NTUSER.DAT in NTUSER.MAN um. Die Zuweisung eines verbindlichen Benutzerprofils verlangt auch die ordnungsgemäße Konfiguration des Netzwerkordners. Erstellen Sie mit der Option FREIGEGEBENE ORDNER auf dem betreffenden Server einen freigegebenen Ordner, um der Gruppe »Jeder« Vollzugriff zu gewähren.
14.4 Benutzer- und Gruppenverwaltung Wenn Benutzer sich an Windows NT 4.0- oder Windows 2000Computern anmelden, ist für den Benutzerprofilpfad kein Dateiname erforderlich. Melden Benutzer sich jedoch auch an Windows NT 3.x-Systemen an, muss im Benutzerprofilpfad ein Dateiname enthalten sein. Bei diesem Dateinamen kann es sich um ein servergespeichertes Benutzerprofil (Erweiterung USR) oder ein verbindliches Benutzerprofil (Erweiterung MAN) handeln, beispielsweise: \\Home-win\Profiles\Admin.man Bei Benutzern, die sich nur an Windows 2000-Computern anmelden, sollte der Benutzerprofilpfad auf einen Ordnernamen verweisen und keine der USR- oder MAN-Erweiterungen enthalten. Ist der im Benutzerprofilpfad genannte Ordner nicht vorhanden, wird er bei der ersten Anmeldung des Benutzers automatisch erstellt. Für jeden Benutzer kann ein individuelles Anmeldeskript ausgeführt Anmeldeskript werden. Um Skripte zu schreiben, können alle in Windows 2000 verfügbaren Technologien verwendet werden. Dazu gehören: •
Batchdateien (*.BAT)
•
Windows Scripting Host (WSH) in VBScript oder JScript (*.VBS, *.JS)
•
XML-basierte Windows Script-Dateien (*.WS)
Vom Windows Scripting Host existieren zwei Versionen, WSCRIPT.EXE und CSCRIPT.EXE. Die wscript.exe ist Windows-basiert, während die andere Version auf Kommandozeilenebene arbeitet. Entsprechend können Windows-Dialogfenster nur mit WSCRIPT.EXE angezeigt werden. »Stille« Skripte werden dagegen besser mit CSCRIPT.EXE ausgeführt. Verschiedene Gruppenrichtlinien steuern das Verhalten des Scripting Host. Im Feld STAMMORDNER legen Sie das Basisverzeichnis des Benutzers Stammordner fest. Dies kann entweder ein lokales oder ein Netzwerklaufwerk sein: •
LOKALER PFAD. Geben Sie hier einen vollständigen lokalen Pfad an, beispielsweise C:\Dokumente\Buchhaltung.
•
VERBINDEN MIT. Hier können Sie einen lokalen Laufwerksbuchstaben mit einem Netzwerkpfad verbinden, beispielsweise H: mit \\server\user\documents\financial.
641
642
14 Benutzerverwaltung
Abbildung 14.18: Profilinformationen für einen Benutzer
Anlegen und Ändern von Gruppen Gruppen haben keine besonderen Eigenschaften – es sind nur Organisationsformen. Sie beginnen erst zu wirken, wenn sie Gruppenrichtlinien zugewiesen werden. Im Kontextmenü des Knotens GRUPPEN können Sie neue Gruppen hinzufügen. Im Kontextmenü einer Gruppe können Sie die Gruppe löschen öder ändern. Mögliche Änderungen sind:
Neue Gruppen
•
Hinzufügen oder Entfernen von Benutzern
•
Ändern des beschreibenden Textes für die Anzeige
Für neue Gruppen können Sie folgende Informationen erfassen: •
Name der Gruppe
•
Beschreibender Text
•
Mitglieder
14.4 Benutzer- und Gruppenverwaltung
643 Abbildung 14.19: Anlegen neuer Gruppen
Jede Gruppe wird intern mit einer eindeutigen und einmaligen Group-ID versehen. Wenn Sie eine Gruppe anlegen und mit Gruppenrichtlinien und Benutzern verbinden und später wieder löschen, so gehen alle Einstellungen verloren. Richten Sie danach eine Gruppe mit demselben Namen wieder ein, müssen Sie alle Einstellungen neu vornehmen, zwischen der alten und der neuen Gruppe gleichen Namens besteht keinerlei Verwandtschaft.
14.4 Benutzer- und Gruppenverwaltung
Kapitel 15 Internet Informationsdienste
15.1 Einführung ..............................................................647 15.2 Der Internet Information Server.........................649 15.3 Der SMTP-Server...................................................682 15.4 Der Personal Web Manager .................................691
645
15.1 Einführung
647
15 Internet Informationsdienste Das Internet nutzen ist eine wichtige Funktion – kaum ein Geschäft kann heute auf einen Zugang zum Internet verzichten. Selbst zum Anbieter werden oder diese Technologien lokal einzusetzen, ist dagegen für viele IT-Abteilungen noch eine Herausforderung. Für die ersten Schritte eignet sich Windows 2000 Professional hervorragend. Wir Sie das umsetzen, finden Sie in diesem Abschnitt.
15.1 Einführung Auch in Windows 2000 Professional stehen die Internet Informationsdienste zur Verfügung. Damit lassen sich sowohl komfortable Entwicklungsumgebungen als auch kleine Intranets errichten, ohne das Software von Drittanbietern benötigt wird. Eine der wichtigsten Anwendungen ist sicher ASP (Active Server Pages), womit interaktive serverbasierte Anwendungen programmiert werden können. Eine explizite Installation von ASP unter Windows 2000 Server ist ASP nicht notwendig, wenn die Internet Informationsdienste bei der Standardinstallation nicht abgewählt wurden. Bei Windows 2000 Professional müssen Sie dagegen den IIS-Dienst, der auch ASP enthält, explizit auswählen. Im folgenden Abschnitt wird erklärt, wie Sie den IIS 5 installieren und welche Netzwerkeinstellungen Sie vornehmen sollten, um eine Entwicklungsumgebung mit Internetanschluss zu erhalten oder einen Server für ein kleines Intranet.
Windows 2000 Professional als Entwicklungsplattform Um Windows 2000 als Entwicklungsplattform nutzen Unter Windows zu können, müssen die Internet-Informationsdienste 2000 Skripte installiert werden. Gehen Sie dazu in die entwickeln SYSTEMSTEUERUNG | SOFTWARE und dann auf WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. In der Liste der Windows-Komponenten wählen Sie dann den Eintrag INTERNET INFORMATIONSDIENSTE aus und installieren die Komponente. Falls Sie nicht mit Visual InterDev arbeiten, lohnt die Installation der Komponente SKRIPT DEBUGGER, weiter unten in der Liste (siehe Abbildung 15.1). Damit können Sie Skripte auf dem lokalen Webserver komfortabel debuggen. Wenn Sie planen, mit Visual InterDev zu arbeiten, sollten Sie dagegen den eingebauten Debugger nicht nutzen. Die Entwicklungsumgebung VID ist deutlich leistungsfähiger, leider auch teurer.
648
15 Internet Informationsdienste
Abbildung 15.1: Auswahl der Softwarekomponente Internet InformationsDienste
Testen Sie den Zugriff auf den lokalen Webserver jetzt mit dem Browser. Normalerweise genügt die Eingabe des Rechnernamens oder des Namens localhost in die Adresszeile des Browsers:
Dateisystem vorbereiten FAT32 oder NTFS?
Hier gelten die bereits Kapitel 5 Dateisysteme gemachten Aussagen. Für das Entwicklungssystem mag FAT32 als Dateisystem akzeptabel sein, für einen Produktionsserver ist es das keinesfalls. FAT32 hat den Vorteil, dass Sie parallel Windows 98 betreiben können und so nicht von vornherein auf Windows 2000 angewiesen sind, also eine »Testphase« nutzen können. Wie Ihre aktuelle Situation aussieht, können Sie der DATENTRÄGERVERWALTUNG entnehmen. Sie finden sie unter SYSTEMSTEUERUNG | VERWALTUNG | COMPUTERVERWALTUNG (siehe Abbildung 15.2).
Abbildung 15.2: Die Datenträgerverwaltung unter Windows 2000
15.2 Der Internet Information Server
649
15.2 Der Internet Information Server Der Internet Information Server ist der Webserver. Einige Grundkenntnisse zur Bedienung sind notwendig, um als Entwickler den späteren Einsatzfall gut simulieren zu können.
15.2.1 Komponenten des IIS 5 Der IIS 5 wird installiert, wenn Sie das Option Pack auf einem Win- Der Internet dows NT-Server ausführen. Die Steuerung erfolgt hier grundsätzlich Information Server über die Management Konsole, die in Kapitel 10 Die Managementkonso- für den Webserver. le (MMC) beschrieben wird. Ein eigenständiges Kontrollprogramm, wie beim Personal Web Server, gibt es nicht. Außerdem existieren zusätzliche Komponenten, die nur in der Serverversion enthalten sind. Der Personal Web Manager wird in Abschnitt 15.4 Der Personal Web Manager ab Seite 691. Die folgende Aufstellung zeigt die im IIS der Professional-Version verfügbaren Komponenten: •
FTP: Server für File Transfer Protocol (Datei-Server).
•
HTTP: Server für Hypertext Transfer Protocol (WWW-Server).
•
SMTP: Server für Simple Mail Transfer Protocol (E-Mail-Server).
15.2.2 Der Internet Information Server 5 im Überblick Internet-Informationsdienste 5 verfügt über viele neue Features, mit deren Hilfe Webadministratoren skalierbare und flexible Webanwendungen erstellen können. •
Digestauthentifizierung: Die Digestauthentifizierung ermöglicht eine Sicherheit sichere und zuverlässige Authentifizierung von Benutzern über Proxyserver und Firewalls hinweg. Darüber hinaus sind der anonyme Zugriff, die HTTP-Standardauthentifizierung und die integrierte Windows-Authentifizierung (früher als Windows NTHerausforderung/Rückmeldung und NTLM-Authentifizierung bezeichnet) weiterhin verfügbar.
•
Sichere Kommunikation: SSL (Secure Socket Layer) 3.0 und TLS (Transport Layer Security) bieten ein sicheres Verfahren zum Austausch von Informationen zwischen Clients und Servern. Darüber hinaus bieten SSL 3.0 und TLS dem Server die Möglichkeit, die Identität des Clients zu überprüfen, bevor sich Benutzer am Server anmelden. In IIS 5 werden Clientzertifikate sowohl für ISAPI als
650
15 Internet Informationsdienste auch für Active Server Pages offen gelegt, so dass Programmierer die Benutzerzugriffe auf die Sites verfolgen können.
Administration
•
Festlegen der Verschlüsselungsstärke: Server-Gated Cryptography (SGC) stellt eine Erweiterung von SSL dar, durch die Unternehmen aus der Finanzwirtschaft, die eine Exportversion von IIS einsetzen, das Verwenden der hohen 128-Bit-Verschlüsselung ermöglicht wird. Die SGC-Funktionalität ist zwar in IIS 5.0 integriert, für das Verwenden von SGC ist jedoch ein besonderes SGC-Zertifikat erforderlich.
•
Kompatibilität mit Kerberos V5-Authentifizierungsprotokoll: IIS ist vollständig auf das Kerberos V5-Authentifizierungsprotokoll abgestimmt, das in Windows 2000 implementiert ist. Hierdurch wird es Ihnen ermöglicht, Authentifizierungsanmeldeinformationen zwischen verbundenen Computern zu übergeben, auf denen Windows ausgeführt wird.
•
Zertifikatsspeicher: Der IIS-Zertifikatsspeicher ist jetzt auf den Windows CryptoAPI-Speicher abgestimmt. Die Windows Zertifikatverwaltung stellt einen zentralen Startpunkt dar, der Ihnen das Speichern, Sichern und Konfigurieren von Serverzertifikaten ermöglicht.
•
Fortezza: Der IIS 5 unterstützt den als »Fortezza« bezeichneten Sicherheitsstandard der US-Regierungsbehörden. Dieser Standard definiert einen Verschlüsselungsmechanismus für die Sicherheitsarchitektur des »Defense Message System«, der die Vertraulichkeit, Integrität und Authentifizierung von Nachrichten und die Zugriffssteuerung für Nachrichten, Komponenten und Systeme ermöglicht. Diese Features können sowohl mit der Server- und Browsersoftware als auch mit PC-Cardbus-Karten implementiert werden.
•
Neustart von IIS: Jetzt können Sie die Internetdienste neu starten, ohne dass ein Neustart des Computers erforderlich ist.
•
Sichern und Wiederherstellen von IIS: Sie können die Metabasiseinstellungen sichern und speichern, so dass Sie problemlos einen sicheren und bekannten Zustand wiederherstellen können.
•
Konfigurationsoptionen: Sie können Berechtigungen für Lese-, Schreib-, Ausführungs-, Skript- und FrontPage-Weboperationen auf Site-, Verzeichnis- oder Dateiebene festlegen.
•
Personal Web-Manager: Der IIS 5 enthält ein vereinfachtes Administrationswerkzeug, das als Personal Web-Manager (PWM) bezeichnet wird. Mithilfe dieses Tools können Sie eine persönliche Veröffentlichungssite verwalten und überwachen.
15.2 Der Internet Information Server
651
•
Überwachen von Siteaktivität: Echtzeitdiagramme, die Statistiken zur Siteaktivität anzeigen, beispielsweise die Anforderungen pro Tag, Anforderungen pro Stunde, Besucher pro Tag und Besucher pro Stunde.
•
Programmierbarkeit: Vollständige Unterstützung für Active Server Pages, einschließlich verbesserter ASP-Komponenten und neuer Funktionalität zur Fehlerbehandlung.
•
Zentralisierte Administration: Verwaltungstools für IIS verwenden die Managementkonsole (MMC). MMC bildet den Rahmen für die als Snap-Ins bezeichneten Programme, die von Administratoren zur Verwaltung von Servern verwendet werden. Sie können das IIS-Snap-In von einem Computer aus verwenden, auf dem Windows 2000 Professional ausgeführt wird, um einen Computer im Intranet zu verwalten, auf dem die Internet-Informationsdienste unter Windows 2000 Server ausgeführt werden.
•
Active Server Pages (ASP): Mit Hilfe serverbasierter Skripts und ProgrammierKomponenten können browserunabhängige, dynamische Inhalte barkeit erstellt werden. ASP bietet eine einfache Alternative zu CGI und ISAPI, da es Entwicklern von Webinhalten ermöglicht wird, jede Skriptsprache oder Serverkomponente in HTML-Seiten einzubetten. ASP ermöglicht den Zugriff auf alle HTTP-Anforderungs- und Antwortdatenströme sowie auf Datenbankkonnektivität, die auf Standards basieren, und bietet die Funktionalität, um Inhalte für unterschiedliche Browser anzupassen.
•
Neue Leistungsmerkmale bei ASP: Active Server Pages verfügt über einige neue und verbesserte Features, mit deren Hilfe die Leistung verbessert und serverbasierte Skripts vereinfacht werden können.
•
Anwendungsschutz: Der IIS 5 bietet bessere Schutzmechanismen und ermöglicht eine erhöhte Zuverlässigkeit für Webanwendungen. Standardmäßig führt IIS alle Anwendungen in einem gemeinsamen oder zusammengefassten Prozess aus, der von den KernIIS-Prozessen getrennt ist. Darüber hinaus können Sie weiterhin unternehmenswichtige Anwendungen isolieren, die außerhalb der Kern-IIS-Prozesse und des zusammengefassten Prozesses ausgeführt werden sollen.
•
ADSI 2.0: Administratoren und Anwendungsentwickler haben in IIS 5 die Möglichkeit, benutzerdefinierte Objekte, Eigenschaften und Methoden zu dem vorhandenen ADSI-Provider hinzuzufügen, wodurch die Flexibilität im Rahmen der Sitekonfiguration weiter erhöht wird.
•
Auf Standards basierend: Microsoft Internet-Informationsdienste 5 ist Internetstandards mit dem Standard HTTP 1.1 kompatibel. Dies umfasst Features,
652
15 Internet Informationsdienste wie beispielsweise PUT und DELETE, die Fähigkeit zur Anpassung von HTTP-Fehlermeldungen sowie die Unterstützung für benutzerdefinierte HTTP-Header. •
WebDAV (Web Distributed Authoring and Versioning): Ermöglicht Remoteautoren das Erstellen, Verschieben oder Löschen von Dateien, Dateieigenschaften, Verzeichnissen und Verzeichniseigenschaften auf dem über eine HTTP-Verbindung.
•
PICS-Klassifikationen: Auf Sites, die Inhalte ausschließlich für ein erwachsenes Publikum enthalten, können Sie PICS (Platform for Internet Content Selection)-Klassifikationen anwenden.
•
FTP-Restart: Falls die Verbindung während der Dateiübertragung unterbrochen wird, können Dateidownloads mit Hilfe von FTP (File Transfer Protocol) nun wieder aufgenommen werden, ohne dass die gesamte Datei erneut gedownloadet werden muss.
Der IIS-Dienstmanager Unter Windows 2000 ist die Management Konsole ein integraler Bestandteil des Betriebssystems. Viele Systemfunktionen lassen sich über die Management Konsole steuern. Der Pfad zu der Verwaltung des IIS ist anders als unter Windows NT. Wählen Sie in der Systemsteuerung das Icon VERWALTUNG und im nächsten Fenster INTERNETDIENSTEMANAGER. Wenn Sie sich noch nicht mit einem Computer verbunden haben, der einen Webserver (IIS) installiert hat, klicken Sie mit der rechten Maustaste auf den Eintrag INTERNET-INFORMATIONSDIENSTE. Wählen Sie im Kontextmenü den Befehl VERBINDEN und geben Sie in dem folgenden Dialog (siehe Abbildung 15.3) den Namen des Computers oder seine IP-Adresse ein.
15.2 Der Internet Information Server
653 Abbildung 15.3: So verbinden Sie sich mit dem Internetdienste-Manager eines lokalen oder entfernten Computers.
Nach dem die Verbindung zum Webserver hergestellt wurde, erscheint der Computer in der Liste und kann administriert werden. Öffnen Sie den gewünschten Server mit Klick auf das Pluszeichen und stellen Sie den Dienst nun ein.
15.2.3 Anwendungsprogramme unter IIS Der IIS eignet sich auch zur Steuerung der Ausführung von Skripten und Programmen. Dabei werden verschiedene Varianten unterschieden, die je nach Anwendungsfall zum Einsatz kommen.
Erstellen von Anwendungen für Internet und Intranet Wenn Sie Windows 2000 Professional einsetzen, können Sie Anwendungen für das Internet entwickeln und testen. Ein mit dem IIS installierter Computer kann aber auch als einfacher Webserver eingesetzt werden. Prinzipiell können folgende Quellen für den Abruf mit einem Browser bereit gestellt werden: •
Statische HTML-Seiten
•
CGI-Programme
•
ISAPI-Erweiterungen
•
Active Server Pages
Statische HTML-Seiten sind am einfachsten darzustellen. Sie werden – Statische HTMLvereinfacht dargestellt – in einem bestimmten Verzeichnis abgelegt Seiten und stehen dann über den lokalen Webserver zur Verfügung.
654 CGI-Programme
15 Internet Informationsdienste CGI-Programme sind meist als Skripte mit einer bestimmten Skriptsprache ausgeführt. Unter Windows hat CGI nur eine geringe Bedeutung, da mit Active Server Pages und ISAPI effizientere Umgebungen zur Verfügung stehen. Sie können aber die im Internet frei verfügbaren Skriptsprache Perl oder PHP einsetzen und über die CGISchnittstelle des IIS ablaufen lassen. Beide Sprachen sind auch in einer für Win32-Umgebungen optimierten und vorkompilierten Binärdistribution verfügbar. CGI-Programme starten den Interpreter der Skriptsprache für jeden Clientzugriff erneut. Dadurch ist die Ausführung unter Umständen sehr langsam.
ISAPIErweiterungen
ISAPI-Erweiterungen sind DLLs, die im selben Adressraum wie der IIS laufen. Solche Erweiterungen müssen Multithreading-fähig sein, damit mehrere Clients gleichzeitig damit arbeiten können. Im Gegensatz zu CGI startet die Anwendung bei mehreren Clientzugriffen nur ein Mal. Das Programmieren direkt in ISAPI erfolgt meist mit Visual C++ und ist relativ komplex – keinesfalls ist es eine Alternative für Einsteiger in der Webserverprogrammierung. Als reine Programmierumgebung ist es denkbar ungeeignet. Wenn Sie nur wenige Änderungen im HTML-Code vornehmen, müssen Sie dennoch die Anwendung komplett neu kompilieren. Einfacher und im Vergleich der Möglichkeiten optimal ist dagegen die Nutzung von Active Server Pages.
ISAPI-Filter
ISAPI-Filter sind eine Erweiterung des ISAPI-Konzepts. Filter liegen noch vor dem Webserver und können Ereignisse abfangen und vorverarbeiten, bevor der Webserver diese verarbeitet. So könnten Sie Anforderungen an einen CGI-Interpreter modifizieren, bevor dieser den Zugriff erhält. ISAPI-Filter sind ebenfalls kompilierte DLLs und erden vorzugsweise in Visual C++ geschrieben.
Active Server Pages
Active Server Pages (ASP) vereinfachen die Softwareentwicklung erheblich. ASP selbst ist eine ISAPI-Anwendung (ASP.DLL) und nutzt die Vorteile. Der Programmierer kann dagegen mit einer einfachen Skriptsprache arbeiten (VBScript oder JScript). ASP selbst ist eine Programmierumgebung, in die beliebige Skriptsprachen eingebunden werden können, selbst Perl wurde in Form von PerlScript portiert und nutzt nun die effiziente ISAPI-Schnittstelle. ASP arbeitet zwar interpretierend, optimiert die Ausgabe aber durch einen internen Übersetzungsvorgang. Der erste Aufruf einer Seite ist deshalb sehr langsam, bei erneuten Abrufen der unveränderten Seite wird dagegen der kompilierte Code aus dem internen Speicher geholt. Das so programmierte Seiten bei jedem Aufruf anderen HTML-Code dynamisch erzeugen, spielt dabei keine Rolle.
15.2 Der Internet Information Server
655
Assoziation von Anwendungen Egal für welche Umgebung Sie sich entscheiden, der IIS muss wissen welche Erweiterung – CGI oder ISAPI spielt hier keine Rolle – mit welchem Programm verknüpft ist. Für ASP ist das nicht gesondert einzustellen, das erledigt das Installationsprogramm. Bei anderen Programmen muss die Verknüpfung evtl. von Hand eingestellt werden. Die Verknüpfung erfolgt unter ANWENDUNGSZUORDNUNGEN im Dialog ANWENDUNGSKONFIGURATION. Abbildung 15.4: Zuordnung von Dateierweiterungen zu Programmen oder ISAPI-DLLs
Sie können hier auch eigene Erweiterungen »erfinden« und mit neuen oder vorhandenen Programmen verknüpfen, beispielsweise um zu verbergen, mit welchen Programmen Ihre Site tatsächlich arbeitet.
15.2.4 Webseiten veröffentlichen Die wichtigste Anwendung des IIS ist die Veröffentlichung von Die StandardWebseiten. Eine Standardwebsite ist bereits vorbereitet. Diese zeigt einstellungen auf das Stammverzeichnis des Webservers: C:\inetpub\wwwroot Wenn Sie HTML-Dokumente in diesem Verzeichnis ablegen, können Sie diese über folgende Adresse im Browser abrufen:
656
15 Internet Informationsdienste http://servername/dokument.html Die interne Struktur bleibt also vor den Augen des externen Betrachters verborgen. Das ist schon allein aus Sicherheitsgründen notwendig, bietet aber auch andere Vorteile, die sich allgemein aus virtuellen Verzeichnissen ergeben. Dazu nachfolgend mehr.
Virtuelle Verzeichnisse Virtuelle Verzeichnisse verknüpfen einen nach außen sichtbaren Pfad mit einem internen Ordner. Einen Zusammenhang zwischen der Tiefe, dem Namen oder der Lage muss nicht bestehen. Bei der Einrichtung sind Sie auch nicht darauf angewiesen, die Ordner physisch unter WWWROOT zu platzieren. Aus Sicherheitsgründen und zur einfacheren Organisation ist dies dennoch empfehlenswert. Um ein neues virtuelles Verzeichnis anzulegen, gehen Sie auf den Eintrag INTERNET INFORMATIONSDIENSTE in der Management Konsole. Dort wählen Sie den Webserver und die Standardwebsite aus. Der IIS in Windows 2000 Professional kann nur eine Website verwalten. Wenn Sie mehrere Sites hosten möchten, müssen Sie auf den Windows 2000 Server wechseln. Mehr Informationen zum Einsatz des IIS in professionellen Produktionsumgebungen finden Sie im Band III der Reihe Windows 2000. Abbildung 15.5: Anlegen eines virtuellen Verzeichnisses
Es startet ein Assistent, der die nötigen Angaben abfragt. Zuerst wird der Name des virtuellen Verzeichnisses abgefragt. Unter diesem Namen wird der Nutzer die Inhalte später mit dem Browser abrufen.
15.2 Der Internet Information Server
657 Abbildung 15.6: Name des virtuellen Verzeichnisses
Jetzt wird der physische Pfad angegeben. Dieser kann irgendwo im Netzwerk liegen, auch auf anderen Servern, die über das Windows Netzwerk verbunden sind. Abbildung 15.7: Der physische Pfad, mit dem das virtuelle Verzeichnis verknüpft ist
Dem dritten Schritt sollten Sie besondere Aufmerksamkeit widmen. Zugriffsrechte Hier werden die Zugriffsrechte eingestellt. Der IIS wird dabei mit einem besonderen Konto angesprochen: IUSR_Machine, wobei Machine für den Namen des Computers steht. Das Kennwort wird automatisch erzeugt.
658
15 Internet Informationsdienste
Abbildung 15.8: Zugriffsrechte für den Webnutzer
Die Zugriffsrechte des IIS überlagern dabei die im NTFS eingestellten. Ohne weitere Angaben wird davon ausgegangen, dass das Verzeichnis anonym genutzt werden soll. Im IIS stellen Sie folgende Rechte ein (siehe Abbildung 15.8): •
LESEN: Leserechte erlauben die Übertragung von Dateien vom Webserver zum Browser.
•
SKRIPTS AUSFÜHREN: Dieses Recht erlaubt die Ausführung von ASPSkripten oder anderen per ISAPI eingebundenen Skriptmodulen.
•
AUSFÜHREN: Dieses Recht erlaubt die Ausführung von ausführbaren Programmen, beispielsweise EXE-Dateien oder CGI-Skripten, die ihrerseits ausführbare Programm starten sowie von ISAPIApplikationen.
•
SCHREIBEN: Mit Schreibrechten können Benutzer Dateien in dem Verzeichnis ablegen. Das kann normalerweise nicht per Browser erfolgen, sondern nur mit besonderen Werkzeugen (wie FrontPage) oder durch Skripte. Das setzt voraus, dass der Browser das HTTP-Kommando PUT beherrscht.
•
DURCHSUCHEN: Erlaubt das Durchsuchen von Verzeichnisse. Dazu mehr auf der nächsten Seite.
Jetzt können sie den Assistenten abschließen und das Verzeichnis wird erzeugt. Alle Optionen lassen sich später noch ändern. Dazu gehen Sie in den EIGENSCHAFTEN-Dialog des Verzeichnisses. Standarddateien
Wenn Sie nur einen Server angeben (www.yoolia.com) ist das eigentlich keine vollständige Adresse. Sie müssen die Datei und möglicherweise einen Pfad angeben. Das in der Praxis nur selten eine solche Angabe nötig wird, ist einem simplen Trick zu verdanken. Der Webserver kennt Standardnamen für Dateien. Erfolgt nun eine solche unvollständige Anforderung, wird aus der Liste der Standarddateien ein
15.2 Der Internet Information Server
659
Dateiname genommen und dieser im Verzeichnis gesucht. Ist eine Datei mit diesem Namen vorhanden, wird sie ausgeliefert. Misslingt der Versuch, wird die nächste Dateien in der Liste genommen, bis keine Auswahl mehr besteht. Erst dann wird eine HTTP-Fehlermeldung (»404 Datei nicht gefunden«) erzeugt. Gehen Sie im EIGENSCHAFTEN-Dialog des virtuellen Verzeichnisses auf Standarddateien die Registerkarte DOKUMENTE. Dort können Sie ein Liste der Stan- einrichten dardnamen eingeben: Abbildung 15.9: Liste der Standarddokumente
Wenn Sie Webseiten entwickeln, kann diese Arbeitsweise lästig sein. Durchsuchen Einfacher wäre es dann, wenn der Browser eine Liste von Dateien anzeigt. Dies erreichen Sie, indem die Option DURCHSUCHEN aktiviert wird. Das hebt allerdings den Mechanismus mit den Standarddateien nicht auf. Sie müssen also auf Standarddateien verzichten, wenn Sie immer die Dateiliste sehen möchten. Dazu löschen Sie die Option STANDARDDOKUMENT AKTIVIEREN (siehe dazu Abbildung 15.9). Das Einstellen der Benutzerrechte ist immer auch von NTFS abhängig. Um den Umgang mit diesen Vorgängen zu vereinfachen, können Sie den Berechtigungsassistenten einsetzen (siehe 15.2.6 Verzeichnis- und Dateisicherheit ab Seite 661).
15.2.5 FTP-Dienste anbieten Der IIS kann auch als FTP-Server arbeiten. Im lokalen Netz macht das nicht sehr viel Sinn, im Intranet schon eher, wenn einige Clients über FTP-Software verfügen. Auch für diesen Server wurde bereits bei der Installation eine Verknüpfung mit einem Verzeichnis eingerichtet. Das Stammverzeichnis finden Sie hier: C:\inetpub\ftproot Aufrufen können Sie den Inhalt, wenn Sie im Browser oder einem FTP-Programm den folgenden Namen eingeben: ftp://servername/ Der Zugriff erfolgt auch hier anonym, was grundsätzlich erlaubt und möglich ist. Der anonyme Nutzer hat nur Leserechte.
660
15 Internet Informationsdienste
Abbildung 15.10: Der Internet Explorer beim Zugriff auf FTP
Der Internet Explorer zeigt die Dateien auf einem FTP-Server ähnlich wie im Arbeitsplatz an. Auf der linken Seite werden Verbindungsangaben gezeigt, beispielsweise der Benutzername, wenn es sich um eine geschützte Verbindung handelt. Wenn Sie allerdings mit Drag&Drop Dateien hineinkopieren und keine Schreibrechte haben, erhalten Sie eine typische Fehlermeldung: Abbildung 15.11: FTP-Server sind standardmäßig nur lesbar
Den FTP-Server einrichten Auch für den FTP-Server können Sie virtuelle Verzeichnisse einrichten. Dies unterscheidet sich kaum von der bei den Webverzeichnissen beschriebenen Prozedur. Sie müssen sich auch nicht an die Struktur der Unterverzeichnisse halten und weitere Ordner unterhalb von FTPROOT ablegen. Statt dessen wäre auch ein Zugriff per FTP auf dasselbe Verzeichnis wie per HTTP denkbar. Der letzte Schritt des Assistenten ist noch einfacher als bei virtuellen Webverzeichnissen.
15.2 Der Internet Information Server
661 Abbildung 15.12: Rechte für FTPZugriffe
Hier können Sie auch entscheiden, ob Benutzern Schreibrechte erteilt werden. Diese Rechte überlagern auch die im NTFS verfügbaren Rechte. Wenn dort überhaupt keine Zugriffsmöglichkeiten definiert wurden, kann der IIS dies nicht übergehen. Um den Umgang mit diesen Vorgängen zu vereinfachen, können Sie den Berechtigungsassistenten einsetzen.
15.2.6 Verzeichnis- und Dateisicherheit Das Sicherheitskonzept des IIS stützt sich vollständig auf das von NTFS. Es ist äußerst bedenklich, den IIS auf FAT-Partitionen einzusetzen. Aber auch dort gelten zumindest die im IIS eingestellten Restriktionen. Bei der folgenden Darstellung wird von NTFS ausgegangen. Nach dem Anlegen eines Verzeichnisses, das später ein virtuelles Verzeichnis im IIS werden soll, werden nur die Standardberechtigungen übernommen:
662
15 Internet Informationsdienste
Abbildung 15.13: Standardberechtigungen, wenn der Administrator ein Verzeichnis anlegt
Die Pseudogruppe JEDER hat dabei nur eingeschränkte Rechte: LESEN/AUSFÜHREN, ORDNERINHALT AUFLISTEN und LESEN. Diese Gruppe existiert nicht tatsächlich, sondern nur als Ersatz für alle registrierten Benutzernamen. Der Zugriff funktioniert also nur, wenn sich ein Benutzer anmeldet, der im System bekannt ist. Wenn der Browser einen Zugriff verlangt, erkennt der IIS, dass kein Benutzername und Kennwort übertragen wurde. Er setzt dann beim Zugriff auf die Ressource automatisch den Benutzernamen IUSR_Machine ein. Da dies ein registrierter Benutzer ist, gehört er auch zur Pseudogruppe JEDER. Ein expliziter Eintrag des Nutzers IUSR_Machine macht also keinen Sinn, wenn der Zugriff für JEDER erlaubt ist. Wenn Sie aber neuen Verzeichnissen Rechte komplett neu vergeben oder einen zuvor platzierten Schutz aufheben, tragen Sie IUSR_Machine ein.
Der Berechtigungsassistent Der Berechtigungsassistent stellt Zugriffberechtigung für virtuelle Verzeichnisse ein. Dies ist unabhängig davon, ob es sich um ein FTPoder HTTP-Verzeichnis handelt. Den Berechtigungsassistenten können Sie starten, indem er im Kontextmenü eines Ordners oder virtuellen Verzeichnisses im Menü ALLE TASKS aufgerufen wird.
15.2 Der Internet Information Server
663 Abbildung 15.14: Start des Berechtigungsassistenten
Sie können nun auswählen, wie die Rechte des Verzeichnisses eingestellt werden: •
SICHERHEITSEINSTELLUNGEN ERBEN.
•
SICHERHEITSEINSTELLUNGEN MIT HILFE EINER VORLAGE AUSWÄHLEN. Die folgenden beiden Vorlagen können Sie verwenden: -
PUBLIC WEB SITE. Dies ist die Standardkonfiguration für eine öffentliche Website. Der Zugriff ist anonym möglich und Benutzer können alle Dateien lesen. Die Ausführung von ASPSkripten ist möglich. Nur der Administrator hat die volle Kontrolle über die Site.
-
SECURE WEB SITE. Diese Konfiguration ist für Sites, die einem beschränkten Nutzerkreis zugänglich sind, beispielsweise in einem Extranet. Verwendet wird die integrierte WindowsAuthentifizierung.
Der Ablauf der Authentifizierung ist ein Wechselspiel zwischen Web- Ablauf der server und Browser. Verlangt der Browser eine geschützte Ressource, Authentifizierung so reagiert der Webserver nicht wie üblich mit dem Status »200«, sondern mit »403 Zugriff verboten«. Das führt nicht sofort zu einer Fehlermeldung. Zuerst wird der Browser den ihm bekannten Anmeldenamen und das Kennwort senden. Wenn Sie als Administrator angemeldet sind, sollte der Zugriff so immer gelingen; Sie werden dann auch bei geschützten Seiten im lokalen Netz oder auf dem eigenen Computer nicht zur Eingabe von Benutzernamen und Kennwort aufgefordert. Misslingt dieser Versuch, öffnet der Browser ein Dialogfens-
664
15 Internet Informationsdienste ter, mit dem er Nutzername und Kennwort abfragt. Diese Angabe wird dann an den Server gesendet. Der überprüft die Rechte und antwortet dann wiederum mit »200« oder »403«.
Abbildung 15.15: Der Browser fordert Name und Kennwort für eine geschützte Site an
Beachten Sie, dass bei der Standard-Authentifizierung Kennwörter im Klartext über das Netz gehen. Wegen der Übertragung von Umlauten werden diese zwar mit dem Verfahren Base64 kodiert, derart dargestellte Zeichenfolgen sind aber mit einfachsten Mitteln auch von Laien zu übersetzen. Verwenden Sie nur die integrierte WindowsAuthentifizierung.
Andere Methoden Wenn Sie im Web surfen und geschützte Seiten besuchen, finden Sie oft andere Methoden. Meist werden einfache HTML-Formulare eingesetzt, und die Authentifizierung erfolgt nicht über ACLs, sondern über eine Datenbank in Verbindung mit ASP-Skripten. Diese Methode ist flexibler und leichter steuerbar – vorausgesetzt man kann Skripte programmieren. Außerdem können Sie leicht eine größere Anzahl Nutzer verwalten, was mit der integrierten Benutzerverwaltung von Windows 2000 nicht ganz einfach ist. Einen dritten Weg zum Schutz bietet Active Directory. Wenn Windows 2000 Professional Zugriff auf einen Domänencontroller mit Active Directory hat, wird die Authentifizierung dort überprüft. Das ist natürlich kein typischer Fall, denn wenn ein solcher Server im Netz vorhanden ist, gibt es keinen Grund, kleinere Computer als Webserver einzusetzen. Für eine Entwicklungsstation ist umgekehrt die Authentifizierung nicht so interessant.
Protokolle Die Systemsicherheit kann auch durch Prüfung der Protokolle erfolgen. Abgesehen davon enthalten Protokolle vielfältige Informationen
15.2 Der Internet Information Server
665
über die Besucher der Website. Webserver und FTP-Server schreiben getrennte Protokolle. Der Webserver legt Protokolle standardmäßig in folgendem Pfad ab:
Webserver
%windir%\system32\LogFiles Dort finden Sie mindestens das Verzeichnis \W3SVC1. Jeder Dienst, der installiert wird, erzeugt ein weiteres Verzeichnis nach dem Schema W3SVCXX, wobei XX eine fortlaufende Nummer ist. Dies erlaubt die Trennung der Protokolle für mehrere Domains. Haben Sie nur eine Domain oder arbeitet der IIS im lokalen Intranet, gibt es nur ein Verzeichnis. Die Einrichtung der Protokolle erfolgt über die Management Konsole. Im Dialog EIGENSCHAFTEN können Sie auf der Registerkarte WEBSITE die Protokollierung aktivieren, das Protokollformat auswählen und festlegen, wie das Protokoll abgespeichert wird. Abbildung 15.16: Kontrolle der Protokollierung der Zugriffe auf die Website
Als Protokollformat sollten Sie die Voreinstellung W3C-ERWEITERT belassen. Dieses Format können viele Analyseprogramme lesen. Über die Schaltfläche EIGENSCHAFTEN können Sie folgendes kontrollieren: •
Die Daten, die vom Protokoll erfasst werden
666
15 Internet Informationsdienste •
Speicherort
•
Format des Dateinamens
•
Speicherzyklus
Der Speicherzyklus hängt davon ab, wie groß Ihre Protokolle werden. Wenn Sie täglich einige Megabyte Protokolldaten haben und den Dateinamen nur monatlich wechseln, gestaltet sich die Weiterverarbeitung unter Umständen schwierig. Bedenken Sie, dass jeder Zugriff auf eine Website bei voller Protokollierung einige KByte an Daten erzeugt. Abbildung 15.17: Dateiformat, Speicherort und Zyklus für Protokolle
FTP-Server
Der FTP-Server schreibt seine Daten in ein eigenes Protokoll. Das Stammverzeichnis ist: %windir%\system32\LogFiles Dort finden Sie mindestens das Verzeichnis \MSFTPSVC1. Jeder Dienst, der installiert wird, erzeugt ein weiteres Verzeichnis nach dem Schema MSFTPSVCXX, wobei XX eine fortlaufende Nummer ist. Dies erlaubt die Trennung der Protokolle für mehrere Domains. Haben Sie nur eine Domain oder arbeitet der IIS im lokalen Intranet, gibt es nur ein Verzeichnis. Die Einrichtung der Protokolle erfolgt über die Management Konsole. Im Dialog EIGENSCHAFTEN können Sie auf der Registerkarte Website die Protokollierung aktivieren, das Protokollformat auswählen und festlegen, wie das Protokoll abgespeichert wird. Dialog und Einstellmöglichkeiten entsprechen den bei Webserver gezeigten.
15.2 Der Internet Information Server
15.2.7 Active Server Pages ASP-Skripte sind normalerweise in HTML-Seiten eingebettete Befehlsfolgen. Wenn diese Datei dann die Endung .ASP erhält, entsteht eine ASP-Datei. Innerhalb der HTML-Quelltexte kann die Skriptsprache sowohl innerhalb von HTML-Tags als auch als eigenständige Befehlssequenz angeordnet werden. Umgekehrt können auch die Strukturen der Skriptbefehle unterbrochen und mit HTML-Befehlen oder Text durchsetzt werden. Diese fast beliebige Vermischung führt zwar mitunter zu verwirrenden Codes, bietet aber eine hohe Leistungsfähigkeit und direkte Programmierung. Die Verwendung von HTML ist kein Zwang, Sie können auch reine VBScript-Skripte schreiben. VBScript und andere Skriptsprachen bieten sowohl einfache Befehle als auch komplette Statements an, wie die Abfrage einer Bedingung IF...THEN...ELSE. Das komplette Konstrukt bildet eine Einheit, THEN kann nie ohne ein davor geschriebenes IF auftreten. Ein Beispiel: = #12:00:00# AND time Je nach Rückgabe der Funktion time wird der Variablen gruss der entsprechende Text zugeordnet. Die Ausgabe innerhalb der HTML-Seite kann nun durch Abruf der entsprechenden Variablen erfolgen: Wenn der Nutzer die Datei mit seinem Browser morgens anfordert, wird er mit dem Satz »Guten Morgen« begrüßt. Die ermittelten Werte müssen nicht in Variablen gespeichert und anderswo ausgegeben werden, denn ASP ist bei der Vermischung von Skript und HTML sehr flexibel. Denselben Effekt wie im ersten Beispiel kann man auch einfacher erreichen:
667
668
15 Internet Informationsdienste =#12:00:00# AND time Guten Abend Guten Morgen Ein Statement lässt sich also in seine Bestandteile zerlegen und mit dem HTML-Text mischen. Das führt zwar nicht zu einer übersichtlichen Struktur der Skripte, erhält aber die Struktur der HTML-Tags. Sie sollten sich für die eine oder andere Variante entscheiden, je nachdem ob der Schwerpunkt der Applikation das Skript oder das Layout der Seite ist. Komplexe Skripte sollten an den Anfang der Seite gestellt, die Steuerung von HTML-Tags dagegen in der gezeigten Form direkt im BODY der Seite untergebracht werden.
Die Grundstruktur einer HTML-Seite
Die ASP-Engine bearbeitet die zugewiesenen Seiten von oben nach unten (mit einer Einschränkung, die gleich erläutert wird). HTMLSeiten haben normalerweise folgende Grundstruktur: <TITLE>Das ist der Titel Das ist der Text ASP-Skripte können sowohl im HEAD- als auch im BODY-Teil stehen. Alle Befehle, die im HEAD-Teil stehen und ausgeführt werden, führen allerdings nicht zur Anzeige im Browser. Der Browser zeigt nur Daten an, die im BODY-Teil stehen. Manchmal ist es aber wichtig, dass Teile der Skripte vor dem Aufbau der Seite ausgeführt werden. Diese Skripte bringen Sie im HEAD-Teil unter, da dieser Teil zuerst ausgeführt wird.
Andere Skriptsprachen JScript und VBScript
ASP arbeitet auch mit anderen Skriptsprachen. Da die mit Windows NT ausgelieferte Version auch JScript, das Microsoft-Pendant zu Netscapes Javascript, beherrscht, ist bei manchen Problemen der Wechsel der Sprache angebracht. Dazu gibt es das HTML-Tag <SCRIPT>. Eine JScript-Funktion könnte damit mit einem VBScript-Befehl aufgerufen werden:
15.2 Der Internet Information Server <SCRIPT RUNAT="Server" LANGUAGE="JSCRIPT"> function TestFunktion() { response.write("Funktion aufgerufen") } Da das Tag <SCRIPT> aus zwei Teilen besteht, die eine Einheit bilden, dürfen die Statements innerhalb der Skriptsektion nicht zerrissen werden. Das bedeutet, dass die oben beschriebene Zeitabfragefunktion nicht aus zwei Skriptteilen bestehen darf. Allerdings sind in einer ASP-Datei mehrere Tags <SCRIPT> möglich und ein mehrfacher Wechsel der Sprache ist auch innerhalb der Seite erlaubt. Wird dauerhaft eine andere Skriptsprache benutzt, ist das Tag <SCRIPT> unter Umständen lästig. Deshalb können Sie die Sprache dauerhaft mit einem speziellen Befehl umschalten oder in der Administration des IIS fest einstellen. Standardmäßig ist die Einstellung VBScript. Die Einstellung können Sie für jede Website im Dialog EIGENSCHAFTEN unter BASISVERZEICHNIS | ANWENDUNGSKONFIGURATION ändern. Im folgenden Dialog wählen Sie die Registerkarte ANWENDUNGSOPTIONEN. Die Einstellung kann im Skript wie oben beschrieben temporär übergangen werden.
669
670
15 Internet Informationsdienste
Abbildung 15.18: Die Standardskriptsprache für ASP einstellen
15.2.8 Verschlüsselung von Websites Wenn Sie im Internet surfen und dabei auf eine gesicherte Seite kommen, wird SSL verwendet. Angezeigt wird dies durch das Schlosssymbol im Browser und die Angabe des Protokolls als HTTPS:. Intern sind die Prozesse allerdings weitaus komplexer. Wenn Sie Seiten mit SSL schützen möchten, müssen Sie mit den entsprechenden Funktionen des IIS 5 kennen.
Einsatz von Zertifikaten Die Grundlage der Verschlüsselung bilden Zertifikate. Ein Zertifikat sichert, dass der Betreiber einer Site tatsächlich derjenige ist, für den er sich ausgibt. Im Gegensatz dazu gibt es auch Clientzertifikate, die die Echtheit eines Nutzers belegen. Die Verschlüsselung ist also nur ein Teil der Funktionalität des Zertifikats, allerdings eine wesentliche. Es enthält einen Schlüssel. Mit diesem Schlüssel wird der Übertragungsprozess gesichert. Das Zertifikat selbst wird zum Browser übertragen und der Nutzer kann sich die enthaltenen Daten anschauen, um mehr über den Betreiber der Site zu erfahren. Das Zertifikat selbst ist fest an einen Domain- und Servernamen gebunden, so dass es nicht von Dritten missbraucht werden kann.
15.2 Der Internet Information Server
671
Das gesamte Gebiet der Kryptografie und Sicherheitstechnik ist relativ kompliziert und soll hier nicht bis in alle Einzelheiten betrachtet werden. Der einführende Abschnitt liefert aber soviel Informationen, dass Sie mit den wesentlichen Begriffen umgehen können und einen Webserver praktisch SSL-fähig machen. Die Verschlüsselung von Daten soll folgendes gewährleisten: •
Zweck und Funktion der Sicherheit: Daten können auf dem Transportweg nicht von anderen Verschlüsselung
Personen gelesen werden. •
Identität: Es kann sichergestellt werden, dass die an der Kommunikation beteiligten Parteien diejenigen sind, für die sie sich ausgeben.
•
Authentizität: Sie gewährleistet, dass die übertragenen Daten auf dem Transportweg nicht verfälscht werden.
Heute wird überwiegend die asymmetrische Verschlüsselung einge- Asymmetrische setzt. Bei der asymmetrischen Verschlüsselung müssen zwei Schlüssel Verschlüsselung existieren, die miteinander in einer bestimmten Beziehung stehen (die mathematischen Details sind für die Praxis weniger interessant). Der Schlüssel besteht aus einem Code (Bitfolge), der zum kodieren und dekodieren von Informationen verwendet wird. Die Kodierung selbst ist ein mathematischer Vorgang, der auf einem allgemein bekannten Verfahren basiert, beispielsweise DES oder Blowfish. Bei der asymmetrischen Verschlüsselung gibt es einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird offen übertragen. Der private Schlüssel muss dagegen an einem geheimen Ort aufbewahrt werden. Ihn darf niemand anderer als der Inhaber zu Gesicht bekommen. Der Trick besteht in der geschickten Verwendung der Schlüssel. Wenn Schlüssel zwei Personen Daten sicher austauschen möchten, wird nur der öffentliche Schlüssel eingesetzt. Der Empfänger eine sicheren Nachricht sendet den öffentlichen Schlüssel an den Sender. Der Sender verschlüsselt diese Nachricht mit dem öffentlichen Schlüssel. Entschlüsselt werden kann die Nachricht nur mit dem passende Teil des Schlüsselpaars – dem privaten Schlüssel. Der ist aber niemandem außer dem Empfänger bekannt, die Datei ist sicher verschlüsselt. So funktioniert auch SSL. Das Protokoll führt dabei die Übertragung der Schlüssel automatisch aus. Dass die Rechenvorgänge komplex sind, kann auf langsamen Computern gut beobachtet werden – verschlüsselte Datenübertragungen verlaufen verzögert. Die Identität einer Nachricht wird ganz ähnlich sicher gestellt. Will der Sender einer Nachricht belegen, dass er »echt« ist, verschlüsselt er eine Datei, die persönliche Daten enthält, mit seinem privaten Schlüssel. Die Dekodierung kann nun nur mit dem passenden öffentlichen Schlüssel erfolgen. Das Verfahren ist also umkehrbar. Der öffentliche
672
15 Internet Informationsdienste Schlüssel des Senders ist bekannt und kann vorher auf einem vertrauenswürdigen Weg übermittelt worden sein. Jeder Empfänger kann die Nachricht mit dem öffentlichen Schlüssel lesen. Senden konnte sie aber nur der Besitzer des privaten Schlüssels. Die Kombination beider Verfahren impliziert auch die Authentizität. Wenn nur eine bestimmte Person die Nachricht lesen kann (der reguläre Empfänger), und der Sender sich ausreichend ausgewiesen hat, besteht keine Manipulationsmöglichkeit auf dem Transportweg. Änderungen am Inhalt der kodierten Datei werden die Anwendung des jeweils anderen Schlüssels unbrauchbar machen. Für den Fall, das nur die Authentizität interessant ist, der Inhalt aber keinen besonderen Schutz benötigt, reicht eine sogenannte digitale Signatur aus. Hier erfolgt zwar eine Sicherstellung der Echtheit des Absenders, eine Verschlüsselung der Daten erfolgt aber nicht – allerdings wird die Unterschrift verschlüsselt. Eingesetzt wird dieses Verfahren vor allem bei EMail.
Zertifikate Die asymmetrische Verschlüsselung basiert im Wesentlichen auf der Verteilung öffentlicher Schlüssel und der Zuordnung zu den passenden privaten Schlüsseln. Die Verteilung öffentlicher Schlüssel ist ein Sicherheitsmerkmal. Die Echtheit des Schlüssels selbst sollte sicher gestellt werden. Diese Aufgabe erfüllen Zertifikate. Zertifikate sind global definiert und sind an eine Person oder Institution, nicht an Daten gebunden. Das impliziert, dass der Inhaber eines Zertifikats sich ausweisen muss, wenn er ein auf ihn ausgestelltes Zertifikat haben möchte. X.509
Ein digitales Zertifikat ist ein eindeutiger Datensatz, der Informationen über eine Person oder Firma enthält. Das Format wird im Standard X.509 festgelegt. X.509 ist eine ganze Familie von Standards, die sich mit Formaten, Schnittstellen und Protokollen für die gesicherte Übertragung von Daten befasst. Die Zertifikatdefinition ist darin nur ein kleiner Teil. Im weitesten Sinne definiert X.509 eine sogenannte Public Key Infrastruktur (PKI) – die Standards also, die zum Aufbau einer eigenen Zertifikats- und Schlüsselstruktur eingesetzt werden. Ein guter aber auch anspruchsvoller Start in die X.509-Welt ist unter der folgenden Adresse zu finden: http://www.ietf.org/html.charters/pkix-charter.html Zertifikate nach X.509 enthalten folgende Felder: •
Version
•
Seriennummer
15.2 Der Internet Information Server •
Signatur-Algorithmus
•
Aussteller
•
Gültig ab und bis
•
Name des Inhabers
•
Öffentlicher Schlüssel des Inhabers
•
Digitale Unterschrift des Ausstellers
673
Abbildung 15.19 zeigt diese Daten anhand eines Beispielzertifikats. Im unteren Feld ist der öffentliche Schlüssel zu sehen. Abbildung 15.19: Zertifikat im Internet Explorer
Je nach Einsatzzweck können noch weitere Daten über den Inhaber Die Certificate übertragen werden. Die Überprüfung der Daten wird durch die soge- Authority (CA) nannte Zertifizierungsautorität vorgenommen (CA, Certificate Authority). Das ist eine für alle Beteiligten vertrauenswürdige dritte Partei. In Deutschland sind dies die Telekom AG und die Fa. TC Trustcenter (www.trustcenter.de), ein Joint-Venture von vier Privatbanken. In den USA sind besonders Verisign und Thawte als Zertifizierungsautoritäten bekannt. Es bleibt anzumerken, dass diese Firmen private Unternehmen sind, die sich durch ihre Arbeit am Markt diese Stellung erworben haben. Eine staatliche Sanktionierung ist schwach ausgeprägt. Erst das Anfang 2000 verabschiedete Signaturgesetz regelt, unter welchen Bedingungen welche Arten von Zertifikaten auch im Falle eines Rechtsstreits anerkannt werden.
674
15 Internet Informationsdienste Sie können Zertifikate auch mit dem in Windows 2000 Server verfügbaren Zertifikatsdienst erstellen. Diese sind zwar nicht offiziell gültig, können aber beispielsweise im Intranet Mitarbeiter zertifizieren. Auf diese Technik wird in Band II eingegangen. Trotzdem sichern die auch heute schon verfügbaren Zertifikate eine Website sehr sicher ab. Der Aufwand, die Kontrollinstanzen zu umgehen, ist enorm und nur mit krimineller Energie zu überwinden. Abgesicherte Seiten gelten deshalb als sicher, solange man keine Millionengeschäft macht. Anders ist die Situation, wenn der Herausgeber des Zertifikats unbekannt ist. Der Zertifizierungsserver von Windows 2000 kann selbst Zertifikate erzeugen. Statt Verisign wird dann »Entwickler-PC« als Aussteller erscheinen (oder wie auch immer der Name gewählt wird). Zertifikate werden normalerweise nur im Intranet eingesetzt, wo die Echtheit der Daten durch den Administrator bestätigt wird. Es ist aber sinnvoll, sich damit auseinander zu setzen, um die Techniken kennen zu lernen, die zur Verschlüsselung eingesetzt werden – ohne einige hundert Dollar für ein echtes Zertifikat zu bezahlen (sie werden es geahnt haben, Zertifizierungsautoritäten sind keine öffentlich finanzierten Einrichtungen). Inzwischen gibt es viele Firmen, die diesen Service anbieten.
Zertifikatstypen
Es gibt drei Typen von Zertifikaten: •
Serverzertifikate. Diese werden eingesetzt, um einen Server mit SSLTechnologie auszustatten und betreiben zu können.
•
Clientzertifikate oder persönliche Zertifikate zum Sichern der Identität von Privatpersonen, beispielsweise bei E-Mail.
•
Software-Zertifikate sichern die Echtheit sowohl von Software als auch von Herstellern. Damit kann Software auch über das Internet verkauft werden, denn auf eingeschweißte Verpackungen und Hologramme kann verzichtet werden.
Zertifizierungsstellen dienen der Identifizierung der Herausgeber von Zertifikaten. Dabei können Stammzertifikate untergeordnete Einheiten bilden. Beispielsweise lässt sich Trustcenter selbst von Verisign zertifizieren. Diese Struktur ermöglicht es, mit einer geringen Anzahl von Stammzertifikaten zu arbeiten. Das erleichtert die Kontrolle.
Ein Serverzertifikat beziehen Um eine Website zu sichern, müssen Sie folgendermaßen vorgehen (die Schritte werden nachfolgend noch genauer erläutert): 1. Stellen Sie sicher, dass die Domain für die Site korrekt angemeldet und freigeschaltet ist.
15.2 Der Internet Information Server
675
2. Erzeugen Sie mit den Serverwerkzeugen ein Schlüsselpaar und eine Zertifikatsanfrage. Diese Anfrage ist ein ASCII-Datei, die in einem bestimmten Format (PKCS#10) abgelegt wird. Der private Schlüssel wird in diesem Schritt erzeugt – bewahren Sie ihn sicher auf. 3. Senden Sie die Anfragen an die Zertifizierungsinstanz. Dies kann per E-Mail oder per Formular an den Webserver erfolgen. Wenn Sie lokal selbst zertifizieren, verwenden Sie das entsprechende Werkzeug, beispielsweise den in Windows 2000 Server verfügbaren Zertifizierungsserver. 4. Führen Sie den Überprüfungsvorgang aus. Verisign beispielsweise verlangt bei Firmen einen Handelsregisterauszug und ruft den Inhaber telefonisch zurück – Betrüger ohne Firmensitz haben so keine Chance. 5. Sie erhalten nun das Zertifikat als ASCII-Datei im Format PKCS#7. 6. Installieren Sie das Zertifikat auf dem Webserver – ab sofort können Sie SSL verwenden. Verisign ist die bekannteste und größte Organisation zur Herausgabe Ein Zertifikat von von Zertifikaten. Alle anderen Anbieter haben ein vergleichbares Ver- Verisign beziehen fahren, so dass die folgenden Informationen auch dort gelten. Sie finden Verisign unter: •
http://www.verisign.com
Zuerst müssen Sie die Schlüssel und die Anforderung erzeugen. Das Schlüssel und ist mit dem IIS 5 sehr einfach, da es hierfür einen Assistenten gibt. Anforderung Starten Sie den IIS, gehen Sie auf die zu sichernde Domain und wäh- erzeugen len Sie im Kontextmenü den Eintrag EIGENSCHAFTEN. Im folgenden Dialog öffnen Sie die Registerkarte VERZEICHNISSICHERHEIT.
676
15 Internet Informationsdienste
Abbildung 15.20: Erzeugen einer Zertifikatsanforderung mit dem IIS 5
Abbildung 15.20 zeigt den Dialog EIGENSCHAFTEN VON STANDARDWEBSEITE: VERZEICHNISDIENST. Im Abschnitt Sichere Kommunikation klicken Sie nun auf SERVERZERTIFIKAT... . Die anderen Schalter sind deaktiviert, weil noch kein Zertifikat installiert wurde. Die einzelnen Schritte durchlaufen Sie mit Hilfe eines Assistenten. Der Assistent endet mit der Ablage der Anforderungen in einer Anforderungsdatei. Der private Schlüssel dagegen wird lokal im Schlüsselspeicher abgelegt und nicht in der Datei. Jetzt senden Sie die Anforderungsdatei an die Zertifizierungsinstanz. Die Anforderungsdatei hat etwa folgendes Aussehen:
15.2 Der Internet Information Server -----BEGIN NEW CERTIFICATE REQUEST----MIICfDCCAiYCAQAwbDEWMBQGA1UEAxMNaG9tZS13aW4yMDAwcDEOMAwGA1UECxMF QV0b3IxEzARBgNVBAoTCkRhdGFCZWNrZXIxDzANBgNVBAcTBkJlcmxpbjEPMA0 G AUECBMGQmVybGluMQswCQYDVQQGEwJERTBcMA0GCSqGSIb3DQEBAQUAA0sAMEgC QDe7jx6Q7dH2YAgQpZSeFLe8KDTFgthzZ+nxXed68URnbabLJ4jC6Gx+9yfbHf R cbh05aORcdgE5I13bcq3ShhAgMBAAGgggFTMBoGCisGAQQBgjcNAgMxDBYKNS4 w LjIxOTUuMjA1BgorBgEAYI3AgEOMScwJTAOBgNVHQ8BAf8EBAMCBPAwEwYDVR0l BAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNgIxge4wgesCAQEeWgBNAGkAYwBy 15/xZDY8Cugoxbyymtwq/tAPZ6dzPr9Zy30NkKQbKcsbLR/4t9/tWJIMmrFhZo n rx12qBfICoiKUXreSK89OILrLEto1frm/dycXHhStSsZdm25vszv827FKKk5bR W /vIIeBqfKnEPJHOnoiG6UScvgA8QfgAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA0E A oHp1WS8awqEmECCs/Oo679ZLc5/lOetX51j57qh6ZtU1UeFUQgUCz97aTZWIzm AkjQ1mC/ySx65kfo7W2JSA== -----END NEW CERTIFICATE REQUEST----Dazu gehen Sie folgendermaßen vor: 1. Gehen Sie zu Verisign und bestellen Sie ein Webserver-Zertifikat. Sie können auch ein Testzertifikat für 14 Tage nutzen, das kostenlos ist. Das echte Zertifikat kostet 349 US-Dollar für ein Jahr. Danach kann es für 249 US-Dollar verlängert werden – eine erneute erfolgreiche Prüfung der Identität vorausgesetzt. 2. Führen Sie den Assistenten auf der Website aus, wie nachfolgend beschrieben. 3. Installieren Sie das per E-Mail versendete Zertifikat. Wenn Sie ein Testzertifikat bestellen, müssen Sie eine kleine Sicherheitsschranke überwinden. Verisign will verhindern, dass mit den ungeprüften Testzertifikaten Missbrauch betrieben wird. Deshalb müssen Sie ein besonderes Stammzertifikat im Browser installieren. Die normalen Zertifikate sind dagegen bereits bekannt.
677 Die Anforderungsdatei
678 Abbildung 15.21: Die Anforderungsdatei wird per Cut&Paste in das Formular eingefügt. Wichtig ist, dass auch die Begrenzungszeilen kopiert werden.
15 Internet Informationsdienste
15.2 Der Internet Information Server
679 Abbildung 15.22: Post von Verisign: Kopieren Sie den Code am Ende der E-Mail in eine Datei mit dem Namen »certresp.cer«
Jetzt starten Sie den Assistenten im IIS erneut. Sie müssen hier nun eine Datei angeben, die die Daten der Zertifizierungsstelle enthält. Das ist die Datei »certresp.cer« aus der in Abbildung 15.22 gezeigten EMail. Abbildung 15.23: Beim zweiten Start bietet der Assistent andere Optionen an
680
15 Internet Informationsdienste Mit dem Anzeigen des Zertifikats überprüfen Sie, ob die Angaben korrekt erfasst wurden. Dieselben Informationen sehen später auch Nutzer, die die Site über den sicheren Kanal besuchen und sich über den Herausgeber informieren möchten.
Abbildung 15.24: Lassen Sie sich das Zertifikat anzeigen, um die Angaben zu prüfen
Abbildung 15.25: So erzwingen Sie SSL Sie können nun die gesamte Site, für die das Zertifikat angefordert wurde, per SSL ansprechen. Das geschieht über das Protokoll HTTPS. Wenn Sie die Nutzung nicht optional anbieten, sondern erzwingen möchten, aktivieren Sie das Kontrollkästchen SICHEREN KANAL VERLANGEN (SSL) im Dialogfeld GESICHERTE KOMMUNIKATION, wie in Abbildung 15.25 gezeigt.
15.2 Der Internet Information Server
681 Abbildung 15.26: Fehlermeldung beim Zugriff ohne SSL
Das Zertifikat entfernen Falls Sie nur ein Testzertifikat verwendet haben, werden Sie es irgendwann entfernen wollen, entweder um unverschlüsselt weiter zu arbeiten oder ein richtiges Zertifikat nutzen zu wollen. Dazu klicken Sie im Dialog Verzeichnissicherheit im IIS auf die Schaltfläche SERVERZERTIFIKAT. Der Assistent bieten Ihnen nun wiederum andere Optionen. Sie können das Zertifikat nun entfernen oder gegen ein neues austauschen. Einer Site kann aber immer nur ein Zertifikat zugeordnet werden.
Umgang mit Domainnamen Haben Sie mehrere Domains auf einem Server oder mehrere virtuelle Webs eingerichtet, können Sie diesen aber verschiedene Zertifikate zuordnen. Bei Domains muss das auch so sein, denn die Zertifikate sind an den Namen des Servers gebunden. Beachten Sie bei der Anforderung des Zertifikats, dass der vollständige Name angegeben werden muss. Wenn Sie Ihren Server
682
15 Internet Informationsdienste www.server.de nennen, müssen Sie dies auch so angeben. Haben Sie ein Zertifikat für »server.de«, wird der Name »www« nicht akzeptiert. Diese Einstellung kann zwar im Nameserver unterdrückt werden (einige Sites verzichten ja auf das »www«), üblich ist dies aber nicht und mag den einen oder anderen Nutzer irritieren. Legen Sie sich dagegen auf den Namen fest, können Sie den Server später nicht einfach in »www2« umbenennen. Dies ist wichtig, wenn mit verschiedenen Servern gearbeitet wird. In diesem Fall sind auch verschiedene Zertifikate nötig.
15.3 Der SMTP-Server Der SMTP-Server wird vom Administrator oft nicht ernst genommen. In der Literatur wird darauf nur im Zusammenhang mit dem Exchange Server oder den CDO-Objekten und der ASP-Programmierung eingegangen. Es lohnt sich dennoch, sich damit zu beschäftigen.
Der SMTP-Server im Überblick Der SMTP-Server im IIS 5
Der SMTP-Server dient dem Austausch von E-Mails zwischen Mailservern. Er ist in der vorgestellten Version äußerst primitiv. Sie können zwar mehrere Domains, nicht aber einzelne Nutzer verwalten. Der SMTP-Server benutzt zur Steuerung sechs Verzeichnisse: •
MAILROOT/PICKUP: Wenn in dieses Verzeichnis Textdateien platziert werden, die ein korrektes Format haben, werden diese sofort als E-Mail versendet.
•
MAILROOT/QUEUE: Wenn das Versenden einer E-Mail nicht sofort funktioniert hat, kopiert der SMTP-Server die Datei hierher und erzeugt jedes Mal eine Datei, die das Problem erklärt.
•
MAILROOT/BADMAIL: Konnte die Nachricht endgültig nicht gesendet werden (die Anzahl an Wiederholungen, die angegeben waren, wurde erreicht), wird die Nachricht in diesem Verzeichnis abgelegt.
•
MAILROOT/DROP: Alle eingehenden Nachrichten werden hier abgelegt. Um die Auflösung der Empfängernamen müssen Sie sich selbst kümmern, der Server nimmt erst einmal alle Mails an die Domain an.
•
MAILROOT/MAILBOX: Wurden Mailboxen eingerichtet, werden diese hier als Unterverzeichnisse abgelegt. Dies ist nur für den Mailempfang interessant.
15.3 Der SMTP-Server •
MAILROOT/ROUTE: In diesem Verzeichnis liegen Informationen über die Weiterleitung von E-Mail.
•
MAILROOT/SORTTEMP: Ein temporäres Verzeichnis.
683
Insgesamt ist der SMTP-Server also sehr einfach. Praktisch eignet er sich nur für einfache Aufgaben oder er erfordert einen gewissen Programmieraufwand mit Active Server Pages, um die volle Funktionalität eines Mailservers zu erreichen. Ein echter Nachrichtenaustausch mit komfortablen Funktionen ist nur möglich, wenn der Exchange Server 2000 und Outlook 97 (oder höher) installiert werden. Zusammen mit den Collaboration-Data-Objects(CDO)-Bibliotheken können komplexe Mailanwendungen entwickelt werden. Die übergreifende Skriptumgebung ist natürlich ASP. Mehr Informationen darüber finden Sie bei Microsoft unter http://www.microsoft.com/technet/appfarm.
Einsatzszenario Angenommen, Sie haben ein kleines Büro, eine DSL- oder InterCon- Festverbindung nect-Festverbindung und als Mailclient Outlook 2000. Das ist für viele wird vorausgesetzt Anwender typisch. Der Versand von E-Mail erfolgt normalerweise über Outlook – über einen vom Provider benannten SMTP-Server. Das kann unter Umständen – bei weit entfernten Servern, ein lästigen Unterfangen sein. Wer viele E-Mail versendet wartet immer wieder bis alles weg ist. Denn erst wenn alle E-Mails beim Server sind, kann Outlook weiter arbeiten. Wenn Sie nun selbst einen STMP-Server haben, kann der Umweg über den Provider entfallen. Falls es mit dem Ausliefern der E-Mail Probleme gibt, stört das nicht. Unmittelbar nach dem Versenden wird Outlook wieder frei und die Wiederholversuche laufen im Hintergrund ab. Mit den am Anfang bereits besprochenen CDO-Objekten können Sie die Behandlung von Mail noch zusätzlich programmieren. Unabhängig davon können Sie den SMTP-Server auch einsetzen, um einen im Netz verfügbaren Exchange Server anzusprechen. Auch dann verkürzt sich die Zeit für das Senden der E-Mail. Fällt die Netzwerkverbindung mal aus oder der Server ist nicht verfügbar, werden die E-Mails nicht sofort mit einer Fehlermeldung zurückgewiesen. Der SMTP-Server ist vielfältig konfigurierbar, was die Versandoptionen betrifft.
684
15 Internet Informationsdienste
15.3.1 Administration Die Administration des STMP-Servers erfolgt über die Management Konsole des IIS. Sie erreichen die Konsole unter VERWALTUNG | INTERNET INFORMATIONSDIENSTE und dort im Knoten VIRTUELLER STANDARDSERVER FÜR SMTP. Abbildung 15.27: Management Konsole für den SMTP-Server
Dienst starten
Wenn das Symbol ein kleines rotes Kreuz trägt, ist der Dienst nicht gestartet. Sie können dies gleich im Kontextmenü erledigen. Bevor E-Mails versendet werden können, muss der STMP-Server konfiguriert werden. Dies wird nachfolgend beschrieben.
Eingehende Mails weiterleiten Unterhalb von VIRTUELLER STANDARDSERVER FÜR SMTP finden Sie einen Eintrag DOMÄNEN. Dort ist schon eine Standarddomäne eingetragen, nämlich der Name des Servers. Wenn Sie den Computer nicht als öffentlichen Webserver betreiben, wird nur der Windows-Name angezeigt. Die Standarddomäne bestimmt, wohin eingehende E-Mails gelangen. Dieser Fall ist nicht interessant, wenn Sie nur E-Mails per SMTP versenden und zum Empfang weiter Outlook und damit POP3 verwenden. E-Mail-Empfang
In den Eigenschaften können Sie das Zielverzeichnis auswählen. Wenn Sie einen Domainnamen angeben, der von einem Platzhalter angeführt wird, nimmt der Server alle E-Mail für diese Domain an. Ohne weitere Einrichtung oder Programmierung werden die E-Mails nicht getrennt. Dies kann entweder von einem anderen Programm oder per Skript erfolgen.
Remote Domains Hinter dieser Art verbergen sich die Domainnamen der zum senden berechtigten Personen. Wenn Sie als eigene E-Mail-Adresse
[email protected] haben, tragen Sie als Remote Domain KRAUSE.NET ein. Haben Sie mehrere Adressen in diesem Bereich, kann auch hier ein Platzhalter eingesetzt werden: *.NET.
15.3 Der SMTP-Server
685
Um eine Remote Domain hinzuzufügen, wählen Sie aus dem Kon- Hinzügen einer textmenü des Eintrags NEU | DOMÄNE.... Es startet ein Assistent, der Remote Domain zuerst die Art der Domäne abfragt – belassen Sie hier den Standardwert REMOTE DOMÄNE bei. Abbildung 15.28: Neuer Eintrag einer Remote Domäne
Abbildung 15.29: Namensraum der Absender
Weiterleitungsverhalten einstellen Im nächsten Schritt ist es notwendig, sich über die Sicherheit Gedan- Spam aussperren! ken zu machen. SMTP selbst bietet kaum Sicherheitsvorkehrungen. So wird immer wieder die Existenz eines freien SMTP-Servers dazu missbraucht, fremde E-Mail an Tausende Nutzer zu versenden. Das ist nicht ärgerlich sondern kann bei einer Abrechnung auf Traffic-Basis auch richtig teuer werden. Wenn Sie E-Mail an alle Domänen weiterleiten, ist der ausgehende Weg offen. Sie müssen nun also den eingehenden Weg versperren. Die entsprechende Option finden Sie im EIGENSCHAFTEN-Dialog des WeiterleitungsSMTP-Servers (im Kontextmenü). Auf der Registerkarte ZUGRIFF wäh- adressen
686
15 Internet Informationsdienste len Sie die Option WEITERGABEBESCHRÄNKUNGEN. Im folgenden Dialog geben Sie nur Ihrem lokalen Computer Zugriffsrechte. Falls Sie den SMTP-Dienst auch anderen Computern im lokalen Netz anbieten, können Sie auch einen Nummernkreis mit einer Subnetzmaske definieren oder mehrere IP-Nummern in die Liste eintragen.
Abbildung 15.30: Keine Weitergabe, außer für den lokalen Computer
Lieferbedingungen einstellen Das Ausliefern von E-Mail ist im Internet kein einfaches Unterfangen. Zum einen soll die E-Mail schnellstmöglich und sicher den Empfänger erreichen, zum anderen sind die Server nicht immer verfügbar. Trotzdem erwartet SMTP eine ständige Verbindung. Nach der Ablage einer E-Mail beginnt der Dienst sofort mit der Übertragung. Geht der Versand nicht, beispielsweise weil der andere Server nicht geantwortet hat, muss die weitere Verfahrensweise klar geregelt sein. Dies können Sie auf der Registerkarte ÜBERMITTLUNG einstellen. Zuerst werden die Wiederholungsintervalle angezeigt. Der Server wird den Versand nach den eingestellten Zeit erneut versuchen. Oft sind Verbindungen nur temporär unterbrochen, ein späterer Versuch lohnt also auf jeden Fall. Möglicherweise ist eine versendete E-Mail aber auch sehr wichtig. Ein Ausfall des Servers sollte dann trotz laufender Versuche registriert werden. Dazu stellen Sie die Option BENACHRICHTIGUNG BEI VERZÖGERUNG entsprechend ein. Außerdem kann mit Zeitlimit für den Ablauf die maximale Dauer fortlaufender Versuche eingestellt werden. Nach Ablauf des Zeitlimits wird die E-Mail im Verzeichnis BADMAIL abgelegt und kein neuer Versuch gestartet.
15.3 Der SMTP-Server
687 Abbildung 15.31: Optionen für den Versand von E-Mail
Die Gruppe LOKAL im Dialog in Abbildung 15.31 stellt das Abbruchund Fehlerverhalten für lokal übertragene Daten ein. Abbildung 15.32: Detaillierte Versandoptionen
Mit ERWEITERT gelangen Sie in einen weiteren Dialog, der detaillierte Versandoptionen einstellt: •
MAXIMALER HOP COUNT: Hier wird bestimmt, über wie viel SMTPServer die E-Mail maximal weitergeleitet werden soll.
•
MASKERADENDOMÄNE: Manche Absender stellen ihre E-MailClients nicht korrekt ein. Dieser Eintrag manipuliert die FROM:-
688
15 Internet Informationsdienste Zeile der ausgehenden E-Mails und trägt die hier genannte Domäne ein. Mitarbeiter können dann nicht mehr anonym Mails versenden und dadurch Schaden anrichten. •
VOLLSTÄNDIG QUALIFIZIERTER DOMÄNENNAME: Dies ist der vollständige Name des Computers. Wenn Sie den Namen nicht korrekt eintragen konnte, überprüfen Sie dies mit der Schaltfläche DNS ÜBERPRÜFEN.
•
SMART HOST: Hinter dem smarten Namen verbirgt sich nur die Angabe eines legalen Relays, beispielsweise in Gestalt eines Exchange Servers. Wenn Sie eine SMTP-Server beim Provider als Relay verwenden, sollten Sie dies ausdrücklich vorher klären. Alle ausgehende Post geht dann gebündelt zu dem unter SMART HOST bezeichneten Server und wird von dort verteilt. Wenn Sie Smart Host verwenden, müssen Sie keine Remote Domains einrichten, da diese Weiterleitungskontrolle vom Relay erbracht wird.
Abbildung 15.33: Die Benachrichtigung über Sendeverzögerungen erfolgt per E-Mail. Der STMP-Server nennt sich selbst: postmaster@ domainname
•
DIREKTE ÜBERMITTLUNG VERSUCHEN...: Diese Option bewirkt, dass zuerst direkt gesendet wird. Erst wenn dies im ersten Versuch misslingt, wird der Smart Host verwendet.
•
UMGEKEHRTE DNS-SUCHE: Diese Option prüft die im HELOKommando zur Identifizierung empfangene Bezeichnung des Servers gegen die bei der Übertragung verwendete IP-Adresse durch Abfrage eines DNS-Servers. Damit werden Fälschungen des Absenders verhindert. Die Anwendung birgt aber auch die Gefahr der Rückweisung von E-Mail, wenn die DNS-Servers nicht korrekt konfiguriert wurden, was sehr oft vorkommt und im normalen Betrieb nicht stört.
15.3 Der SMTP-Server
689
Nachrichtenbeschränkungen und Kontrolle Um den Nachrichtenverkehr zu kontrollieren sind auf der Registerkarten NACHRICHTEN weitere Beschränkungen einstellbar. Abbildung 15.34: Beschränkungen für Nachrichten
Hier wird auch das BADMAIL-Verzeichnis eingestellt. In das Feld KOPIE DES UNZUSTELLBARKEITSBERICHTS SENDEN AN tragen Sie eine vollständige E-Mail-Adresse ein. Die Kontrolle des E-Mail-Verkehrs erfolgt am Besten durch Protokol- Protokolle lieren. Standardmäßig werden einige Daten erfasst. Auf der Registerkarte Allgemein können Sie die Protokollierung aktivieren und den Inhalt des Protokolls und die Speicherfrequenz wählen. Die Protokolle liegen in folgendem Pfad: %windir%\System32\LogFiles\SmtpSvc1 SMTPSVC1 steht für den ersten eingerichteten virtuellen SMTP-Server, weitere werden fortlaufend benannt: SMTPSVC2 usw. Der Name der Protokolle richtet sich nach der Häufigkeit der Speicherung und besteht aus dem Datum und der Dateierweiterung LOG. Diese Dateien sind mit jedem ASCII-Editor lesbar. Die internen Zeitangaben sind bei E-Mail immer kritisch, da die Zeiten beim Empfänger und beim Sender oft in unterschiedlichen Zeitzonen liegen. Üblich ist deshalb die Angabe der Zeiten in GMT (Greenwhich Mean Time) als zentrale Internet-Zeit. Entsprechend wird das Protokoll auch so geführt. Mit der Option LOKALE ZEIT FÜR
690
15 Internet Informationsdienste DATEIBENENNUNG UND ROLLOVER VERWENDEN wird dies unterdrückt und die Serverzeit genutzt. Aktivieren Sie die Option, wenn Sie nur innerhalb einer Zeitzone E-Mail versenden oder empfangen – beispielsweise im Intranet.
Abbildung 15.35: Typische SMTPProtokolldatei
Die Protokolldatei ist systematisch aufgebaut. Am Anfang werden die Feldbezeichnungen aufgeführt, zu denen Daten erfasst werden sollen. Darunter wird auf jeder Zeile eine Aktion abgelegt. Fehlende Daten können dabei für etwas Verwirrung sorgen. Zur Orientierung können sie versuchen, die STMP-Kommandos (HELO, EHLO, MAIL usw.) zu erkennen – diese stehen in der Spalte CS-METHOD. Protokollgröße
Protokolldateien können in der Praxis sehr groß werden. Jede komplette Aktion verbraucht ungefähr 1 KByte. Bei 100 E-Mails am Tag, die auch ein kleines Büro schnell produziert, ergeben sich ungefähr 3 MByte pro Monat. Wird auch der Empfang genutzt und sind beispielsweise aktive Mailinglisten dabei, werden es schnell 1.000 EMails. Löschen Sie alte Protokolle regelmäßig und lassen Sie Protokolldateien durch verkürzen der Intervalle nicht größer als 1 MByte werden – der ständige Zugriff geht sonst zu Lasten der Systemleistung.
15.3.2 Mit Outlook verwenden Wenn Sie nun mit Outlook E-Mail versenden, geben Sie die IPAdresse oder den Namen des SMTP-Servers an. Die Adresse des POP3-Servers zum Abholen ankommender E-Mail wird dabei nicht verändert. Wenn Sie auch ankommende E-Mail verarbeiten müssen, ist eine Änderung im DNS-Server notwendig. Außerdem müssen Sie dann sicherstellen, dass der Server ständig erreichbar ist, denn andere
15.4 Der Personal Web Manager
691
SMTP-Server rechnen nicht damit, dass eine Verbindung nur zeitweilig besteht. Beim Versenden muss zwar auch eine Verbindung bestehen, den Sendezeitpunkt können Sie aber kontrollieren. Abbildung 15.36: Einstellung des lokalen SMTPServers in Outlook
15.4 Der Personal Web Manager Der Personal Web Manager ergänzt den IIS um ein einfaches Autorenwerkzeug, mit dem Programmierer von Webseiten die eigenen Verzeichnisse verwalten können. Entsprechend diesem Anspruch sind die Möglichkeiten der Steuerung sehr begrenzt.
15.4.1 PWM und Windows 2000 Der Personal Web Manager unterscheidet sich nicht grundlegend vom PWM unter Windows NT 4 oder Windows 98. Wenn Sie nicht mit diesem Werkzeug publizieren, ist der Einsatz nicht nötig – der PWM verfügt über keine Funktionen, die nicht auch vom IIS abgedeckt werden könnten. Sie erreichen dieses Werkzeug über die Systemsteuerung unter VERWALTUNG. Allein der Umstand, dass der PWM nicht in die Management Konsole integrierbar ist zeigt, dass es sich um einen Fremdkörper handelt.
692
15 Internet Informationsdienste Ein Anwendungsfall wäre eine Arbeitsstation, an der Webseiten entwickelt und publiziert werden, auf deren erweiterte Konfigurationsmöglichkeiten die Autoren nicht zugreifen dürfen sollen. Immerhin kann sich der Autor mit dem PWM virtuelle Verzeichnisse anlegen und die Zugriffsberechtigungen dafür einstellen. Zwei grundlegende Eigenschaften sollten Sie kennen: •
Der PWM kann nur auf den lokalen Webserver zugreifen.
•
Die Einstellungsmöglichkeiten sind auf die Verzeichnisrechte beschränkt.
15.4.2 Mit dem Personal Web Manager arbeiten Die Option ERWEITERTE OPTIONEN bietet Zugriff auf die Funktionen des eigentlichen Webservers. Auf Grund des Umfangs und der weiter gehenden Kontrolle bietet sich dafür aber der IIS eher an. Auf echten Webservern sollten Sie immer mit der MMC-Umgebung und dem IIS arbeiten. Für das Entwicklungssystem reicht der PWM aus. Die Logik bei Webservern ist relativ einfach: Sie legen die Dateien, die im Web veröffentlicht werden sollen, irgendwo auf dem Server ab. Dieses (physische) Verzeichnis geben Sie dann unter einem bestimmten Namen, dem Alias, nach außen frei. Der Server wird dabei vom Internet oder Intranet (im lokalen Netz) mit seiner IP-Nummer angesprochen. Wenn Ihr Computer die Adresse 192.168.0.17 hat, könnte ein Nutzer im Netz in seinem Browser diese Eingabe machen: http://192.168.0.17/
Er würde dann auf der Stammseite des Webservers auf Ihrem Computer landen. Wenn im Netz irgendwo ein Nameserver (Domain Name Service, DNS) installiert ist, kann er natürlich auch eine Internetadresse mit Domainnamen eingeben. Im lokalen Netz kann man natürlich auch Namensdienste installieren.
15.4 Der Personal Web Manager
693 Abbildung 15.37: Die erweiterten Einstellungen des Personal Web Servers.
Sie können zuerst einige allgemeine Einstellungen vornehmen, die für alle Seiten gelten. Diese Funktionen sind: •
STANDARDDOKUMENT AKTIVIEREN: Normalerweise besteht ein vollständiger Pfad zu einem Webserver aus der Adresse des Computers (oder dem Namen des Servers inklusive der Domain und Topleveldomain) sowie dem Pfad mit Dateiname. Da es lästig ist, bei jeder Adresse immer wieder »index.html« oder »default.htm« einzugeben, können Sie hier eine oder mehrere Standarddateien angeben. Wenn dann der Nutzer am Browser keine Datei angibt, wird nach diesen Dateien gesucht. Wenn eine Datei gefunden wird, wird diese angezeigt.
•
STANDARDDOKUMENT(E): Dies sind die Standarddokumente; mehrere Varianten trennen Sie durch Kommas.
•
DURCHSUCHEN VON VERZEICHNISSEN ZULASSEN: Wenn kein Standarddokument angegeben wurde oder wenn trotz der Angabe keines gefunden wird, kann der Browser das gesamte Verzeichnis anzeigen. Wenn Sie ein Entwicklungssystem haben, sollten Sie die Funktion aktivieren: Das erleichtert die Arbeit enorm. Auf einem öffentlichen Computer sollten Sie die Funktion deaktivieren, denn sie stellt eine gravierende Sicherheitslücke dar.
•
WEBSITE-AKTIVITÄTSPROTOKOLL SPEICHERN: Diese Funktion speichert alle Aktivitäten in einer Protokolldatei und ist deshalb eher auf einem öffentlichen Server von Interesse.
Im oberen Fenster (siehe Abbildung 15.38) sehen Sie das Stammverzeichnis des Webservers. Wenn sich dort viele Verzeichnisse befinden,
694
15 Internet Informationsdienste dann schließen Sie den Baum durch Klick auf die Minuszeichen. Wo das Stammverzeichnis zu finden ist, erfahren Sie mit einem Klick auf den Schalter EIGENSCHATEN BEARBEITEN.
Abbildung 15.38: Die Eigenschaften eines virtuellen Verzeichnisses (hier: Stammverzeichnis)
Die Eintragungen bedeuten im Einzelnen: •
VERZEICHNIS: Das ist der physische (lokale) Pfad zum Verzeichnis. Wenn Sie dort Ihre HTML- und ASP-Dateien ablegen, sind sie im Web sofort sichtbar.
•
ALIAS: Dies ist ein virtueller Name. Das Stammverzeichnis heißt immer , Sie können diesen Namen nicht ändern. Zur Nutzung der Aliase erfahren Sie später mehr.
•
ZUGRIFFSBERECHTIGUNGEN: Hier handelt es sich um die Zugriffsrechte, die anonyme Nutzer (das sind die mit Browser) besitzen. Dabei gibt es die folgenden Einstellungsmöglichkeiten:
•
-
LESEN: Nur Lesen ist erlaubt (der Normalzustand).
-
SKRIPT: Es dürfen Programme und Skripte ausgeführt werden, weitere Einschränkungen finden Sie unter ANWENDUNGSBERECHTIGUNGEN.
-
SCHREIBEN: Es dürfen Skripte ausgeführt werden. Sie müssen diese Einstellung aktivieren, wenn ASP-Dateien benutzt werden sollen.
ANWENDUNGSBERECHTIGUNGEN: Diese Einschränkungen betreffen nur Skripte: -
KEINE: Anwendungen werden nicht ausgeführt.
15.4 Der Personal Web Manager -
SKRIPTE: Nur Skripte werden ausgeführt, beispielsweise ASPSkripte.
-
AUSFÜHREN: Skripte, DLLs und EXE-Dateien werden ausgeführt.
695
Angenommen, Sie haben den Computer in Ihre Domain »meinefirma.de« eingebunden und »asp« getauft, dann kann jeder Nutzer mit seinem Browser durch die Eingabe von http://asp.meinefirma.de
auf die Skripte zugreifen. Jetzt haben Sie mehrere Unterverzeichnisse, die Sie auch unter einem eigenem Namen freigeben möchten. Die Verzeichnisstruktur selbst sollte selbstverständlich nicht zu sehen sein. Abbildung 15.39: Ein neues virtuelles Verzeichnis wird angelegt. Wählen Sie dafür HINZUFÜGEN im PWM.
Geben Sie im Feld ALIAS (siehe Abbildung 15.39) den Namen des virtuellen Verzeichnisses und im Feld VERZEICHNIS den Pfad an. Der Pfad kann beispielsweise folgendermaßen lauten: c:\inetpub\wwwroot\beispiele\neue_beispiele\tests\asp lauten. So etwas will bestimmt niemand eingeben. Lautet der Alias »asp«, kann der Nutzer nun dieses Verzeichnis mit: http://asp.meinefirma.de/guest auswählen. Der eigentliche Vorteil dabei ist allerdings nicht die Bequemlichkeit, sondern die Unabhängigkeit der externen gegenüber den internen Namen. Auf diese Weise können Sie Ihre interne Verzeichnisstruktur ändern und durch die Aliase bleibt für externe Nutzer alles gleich. Aber auch auf einem Entwicklungssystem ist die Arbeit mit Aliasen einfacher und überschaubarer.
696
15 Internet Informationsdienste
15.4 Der Personal Web Manager
Kapitel 16 Systemsicherheit
16.1 Grundlegende Sicherheitsmaßnahmen ............699 16.2 Ereignisanzeige ......................................................715 16.3 Wiederherstellung verschlüsselter Dateien .....728
697
16.1 Grundlegende Sicherheitsmaßnahmen
16 Systemsicherheit Die Systemsicherheit ist für alle Anwendungsfälle von großer Bedeutung. Nur wenige Benutzer werden Daten bearbeiten, deren Inhalt beliebigem Zugriff unterliegen darf.
16.1 Grundlegende Sicherheitsmaßnahmen Die in diesem Abschnitt dargestellten Sicherheitsmaßnahmen sichern Windows 2000 weiter, als es die standardmäßige Installation ermöglicht. In vielen Fällen erfolgt dies über Eingriffe in die Registrierung.
16.1.1 Typische Sicherheitsanforderungen Dieser Abschnitt beinhaltet einige Maßnahmen, die bei erhöhten Sicherheitsanforderungen typischerweise durchgeführt werden sollten.
Fragestellungen Zuerst sollten Sie sich natürlich über die Sicherheitsanforderungen Ihres Unternehmens im Klaren sein. Verwenden Sie Windows 2000 privat, müssen Sie selbst einschätzen, wie wertvoll Ihre Daten für andere Nutzer sein können. Einige Fragestellungen sind der erste Schritt zu konkreten Maßnah- Fragen zur Sicherheit men: •
Wie soll reagiert werden, wenn ein Einbruch ins System festgestellt wurde?
•
Wo und wie werden Sicherheitskopien aufbewahrt?
•
Wer darf auf den Server zugreifen?
•
Welches physikalische Sicherheitsniveau ist erforderlich?
Anhand der Antworten kann ungefähr bestimmt werden, ob ein nach C2 zertifiziertes System überhaupt notwendig ist. Die Umsetzung eines solchen Systems ist in den meisten Fällen nicht erforderlich und außerordentlich aufwändig. Die folgenden Darstellungen gehen deshalb von mehr praktischen Tipps aus, Grundlagen finden Sie in Kapitel 8 Grundlagen der Systemsicherheit ab Seite 263.
699
700
16 Systemsicherheit Konfiguration und Installation der Hardware Der erste Schritt besteht in der Auswahl passender Hardware. Abgesehen von dem von Microsoft erhältlichen Empfehlungen (CompaqServer) eignen sich sicher viele Typen für ein sicheres System. Der Computer sollte folgende Eigenschaften haben: •
Ein Boot-Kennwort sollte aktiviert werden können (Windows 2000 Professional) oder der Server muss physikalisch geschützt werden (eigener, abgeschlossener Raum für Windows 2000 Server).
•
Im BIOS-Setup muss der Bootvorgang fest auf Festplatte eingestellt werden.
•
Das BIOS-Setup selbst muss mit einem weiteren Kennwort geschützt werden können.
Installation des Betriebssystem Hier sollten Sie beachten, dass die Standardinstallation unter Umständen mehr Dienste und Treiber installiert, als für die Funktion notwendig ist. Solche unbenutzten Programme sind Sicherheitslücken. Wenn Sie mehrere Server betreiben, sollten Sie darauf achten, dass Dienste wie DNS oder WINS nur auf dem Computer laufen, der sie auch wirklich ausführen soll. NTFS verwenden
Nutzen Sie als Dateisystem nur NTFS. FAT-Festplatten sind nicht sicher zu schützen. Einige der nachfolgend gezeigten Sicherheitsmaßnahmen sind nur ausführbar, wenn NTFS aktiviert wurde.
OS/2- und POSIXSubsysteme deaktivieren
Die OS/2- und POSIX-Subsysteme sind nicht C2-zertifiziert und werden in aller Regel auch nicht benötigt. Gehen Sie folgendermaßen vor, um diese Subsysteme zu deinstallieren (bei der Installation können Sie das nicht auswählen): 1. Entfernen Sie zuerst das OS/2-Verzeichnis mit allen Dateien und Unterverzeichnissen: %systemroot%\system32\os2 2. Löschen Sie alle Einträge in der Registrierung, die das OS/2Subsystem betreffen. Rufen Sie dazu das Programm REGEDT32.EXE auf. Im Fenster HKEY_LOCAL_MACHINE suchen Sie folgende Schlüssel: \SOFTWARE \Microsoft \OS/2 Subsystems for NT •
Löschen Sie alle Schlüssel in diesem Pfad.
16.1 Grundlegende Sicherheitsmaßnahmen
701
\SYSTEM \CurrentControlSet \Control \Session Manager \Environment Löschen Sie den Schlüssel Os2LibPath. \SYSTEM \CurrentControlSet \Control \Session Manager \SubSystems Löschen Sie die Wert des Schlüssels Optional. Löschen Sie außerdem die Schlüssel Os2 und Posix. 3. Jetzt schließen Sie die Registrierung und starten das System neu. DirectX greift direkt auf die Videohardware zu. Um das zu verhin- DirectX dern, deaktivieren Sie DirectX. Auch diesen Schlüssel finden Sie in der deaktivierten Registrierung unter HKEY_LOCAL_MACHINE: \SYSTEM \CurrentControlSet \Control \GraphicsDrivers \DCI Setzen Sie dort den Wert des Schlüssels TimeOut auf 0. Der Standardwert ist 7.
Sicherheitskonfiguration für Benutzer Kontrollieren Sie, ob das Gastkonto deaktiviert ist. Standardmäßig ist Gastkonto das bei Windows 2000 der Fall. Dazu müssen Sie in die erweiterte Be| nutzer und Gruppenverwaltung gehen (VERWALTUNG COMPUTERVERWALTUNG | SYSTEM | LOKALE BENUTZER UND GRUPPEN). Das Gastkonto muss mit einem weißen Kreuz auf rotem Grund markiert sein. Richten Sie Benutzerkonten sorgfältig ein und nutzen Sie passende Gruppenrichtlinien Gruppenrichtlinien. Dies wird ausführlich in Abschnitt 14.3 Gruppenrichtlinien ab Seite 613 behandelt. Mit dem folgenden Schlüssel können Sie verhindern, dass Benutzer Beschränkung für den Computer aus dem Anmeldefenster heraus herunterfahren kön- das Herunterfahren nen:
702
16 Systemsicherheit HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \Current Version \Winlogon Setzen Sie den Wert des Schlüssels ShutDownWithoutLogon auf 0:
Abbildung 16.1: Ändern des Schlüsselwertes
Verzeichnisse und wichtige Dateien absichern Dateisicherheit
Folgende Dateien sind nur für den Zugriff durch Administratoren freizugeben, alle anderen Benutzer haben keinerlei Zugriffsrechte (auch nicht Lesen): •
BOOT.INI
•
NTDETECT.COM
•
NTLDR
Die folgenden Dateien müssen für Benutzer lesbar sein, Vollzugriff erhalten nur Administratoren:
Verzeichnissicherheit
Zugang zur Registrierung beschränken
•
AUTOEXEC.BAT
•
CONFIG.SYS
Auch einige wichtige Verzeichnisse sollten Sie auf korrekte Zurordnung von Zugriffsrechten kontrollieren: •
\TEMP: Vollzugriff nur für Besitzer
•
\TEMP: Hinzufügen von Dateien für alle Benutzer erlaubt
•
\DOKUMENTE UND EINSTELLUNGEN\: Diese Verzeichnis und alle Unterverzeichnisse haben nur für volle Zugriffsrechte; hier hat auch der Administrator nichts zu suchen.
•
%SYSTEMROOT%\REPAIR: Hier hat niemand Zugriffsrechte. Entfernen Sie alle ACLs.
Normalerweise kann nur der Administrator auf die Registrierung zugreifen. Es besteht aber auch die Möglichkeit eines Remotezugriffs.
16.1 Grundlegende Sicherheitsmaßnahmen
703
Diesen Zugriff können Sie grundsätzlich unterbinden, unabhängig davon, ob der Übertragungsweg sicher ist oder nicht. Der folgende Pfad zeigt den Weg zum Registrierungsschlüssel: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \SecurePipeServers \winreg Wählen Sie nun im Menü SICHERHEIT | BERECHTIGUNGEN... und kontrollieren im folgenden Dialog, das nur der Administrator und eventuell die Sicherungs-Operatoren Zugriffrechte haben. Alle anderen Benutzer sind aus der Liste zu entfernen. Abbildung 16.2: Zugriffsberechtigung auf Registrierungsschlüssel
Anmeldeinformationen werden bei der Anmeldung an einer Domäne Sicherung von kurzzeitig im Speicher gehalten, um den Anmeldeprozess schneller zu Anmeldegestalten. Ohne diesen Vorgang würde der Suchprozess zum Domä- informationen nencontroller immer wieder ausgeführt werden. Dies kann aus Sicherheitsgründen erzwungen werden. Ändern Sie folgenden Registrierungsschlüssel:
704
16 Systemsicherheit HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon Setzen Sie hier den Schlüssel ChachedLogonsCount auf 0. Der Standardwert ist 10.
Sicherung temporärer Daten Leeren der Auslagerungsdatei
Temporäre Dateien sind immer wieder Angriffspunkte für Hacker. So bildet die Auslagerungsdatei immer wieder ein Abbild der letzten Vorgänge. Um diese beim Herunterfahren zu leeren, gehen Sie folgendermaßen vor: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Session Manager \Memory Management Setzen Sie Wert des Schlüssels ClearPageFileAtShutDown auf 1. Dieser Vorgang verzögert den Prozess des Herunterfahrens etwas.
16.1.2 Standardeinstellungen Die Standardeinstellungen von Windows 2000 für die Systemsicherheit sind für viele Einsatzfälle ausreichend. Die genaue Kenntnis ist jedoch wichtig, um im speziellen Fall besondere Sicherheitsmaßnahmen durchführen zu können. Eine grundlegende Rolle im Sicherheitskonzept spielt die Einordnung von Benutzern in die folgenden Gruppen: •
Administratoren
•
Hauptbenutzer
•
Benutzer
Die folgende Beschreibung zeigt die Möglichkeiten dieser Gruppen aus Sicht der Systemsicherheit. Informationen über die Einrichtung von Benutzern und Gruppen finden Sie in Abschnitt 14.4 Benutzer- und Gruppenverwaltung ab Seite 624.
16.1 Grundlegende Sicherheitsmaßnahmen
705
Administratoren Administratoren sind mit umfassenden Rechten ausgestattet. Der Zugriff auf Objekte in der Registrierung oder auf Dateien ist nicht eingeschränkt. Alle Funktionen des Betriebssystems können ausgeführt werden. Hat ein Administrator ein spezifisches Zugriffsrecht nicht, kann er es sich selbst zuteilen – und damit beispielsweise auch Benutzerdaten lesen. Normale Benutzer sollten niemals als Administratoren mit dem Sys- Wann dürfen Sie tem arbeiten. Als Administrator arbeiten Sie nur, wenn Sie eine der Administrator sein? folgenden Aufgaben ausführen müssen: •
Installation des Betriebssystems oder von weiteren Komponenten, Treibern oder Hardware
•
Updates und Service Packs installieren
•
Reparaturen am Betriebssystem
•
Grundlegende Einstellungen am System, die alle Nutzer betreffen, beispielsweise die Änderung globaler Sicherheitsrichtlinien
Bestimmte Applikationen, wie Microsoft Office, sollten auch vom Administrator installiert werden.
Benutzer Benutzer haben normalerweise keine Zugriffsrechte auf administrati- Beschränkungen ve Teile des Betriebssystems. Sie können alle für Administratoren (sie- für Benutzer he oben) bestimmten Aufgaben nicht ausführen. Benutzer können insbesondere folgende Aktionen nicht ausführen: •
Programme installieren, die von anderen Benutzern ausgeführt werden können
•
Systemweite Einstellungen verändern, beispielsweise allgemeingültige Registrierungseinträge
•
Zugriff auf Daten anderer Benutzer erlangen
Grundsätzlich sollten alle Benutzer nur Mitglieder der normalen Gruppe BENUTZER sein. Sie können so keine höheren Rechte erlangen. Zur Ausführung von Applikationen gilt folgendes: •
Benutzer können Applikationen ausführen, die sie selbst, ein Hauptbenutzer oder der Administrator installiert haben
•
Benutzer können keine Applikationen ausführen, die andere Benutzer installiert haben
Applikationen ausführen
706
16 Systemsicherheit Hauptbenutzer
Erweiterte Rechte der Hauptbenutzer
Hauptbenutzer sind Benutzer mit erweiterten Rechten, die vor allem die fortlaufende Systempflege betreffen. Sie haben aber nicht so umfangreiche Eingriffsmöglichkeiten wie Administratoren. Benutzer sollten normalerweise nicht Hauptbenutzer sein. Administratoren können aber einige einfache Aufgaben an Hauptbenutzer vergeben. Dazu gehören: •
Installation von Programmen für andere Benutzer – mit Ausnahme von Diensten
•
Einrichten neuer Benutzer und Gruppen, sowie Verändern und Löschen der selbst erzeugten Benutzer und Gruppen
•
Einstellung systemweiter Parameter wie Datum und Uhrzeit, Anzeigeinstellungen, Energieverwaltung usw.
•
Einrichten und verwalten lokaler Drucker
Hauptbenutzer können nicht auf andere Benutzerdaten zugreifen.
Steuerung der Standardeinstellungen Die Standardeinstellungen für Windows 2000 Professional sind in der folgenden Sicherheitsvorlage gespeichert: %windir%\inf\defltwk.inf
Zugriffsrechte der Benutzer auf Systemobjekte Die folgende Tabelle zeigt die Objekte im Betriebssystem, auf die normale Benutzer Schreibrechte haben. Tabelle 16.1: Objekt Benutzerrechte nach der Installation HKEY_Current_User
Recht
Beschreibung
Vollzugriff
Benutzerteil der Registrierung
%userprofile%
Vollzugriff
Stammverzeichnis mit den Profildaten
Dokumente und Einstellungen\All Users\ Dokumente
Ändern
Verzeichnis gemeinsamer Dokumente
C:\Dokumente und Einstellungen\All Users\ Anwendungsdaten
Ändern
Datenverzeichnis gemeinsamer Applikationen
16.1 Grundlegende Sicherheitsmaßnahmen
707
Objekt
Recht
Beschreibung
%windir%\temp
Synchronisieren, Speichern, Erzeugen von Dateien und Verzeichnissen
Zentrales Verzeichnis für temporäre Daten für alle Applikationen
%systemroot%
Nicht konfiguriert
Dieser Zugriff ist nicht konfiguriert
Für das übrige System sollten Benutzer standardmäßig nur Leserechte oder überhaupt keinen Zugriff haben.
Zugriffsrechte auf Dateien des Betriebssystems Die folgende Tabelle zeigt alle Zugriffsrechte auf wichtige Dateien des Betriebssystem, wie sie nach einer Installation eingerichtet sind. Die Symbole in der Tabelle haben folgende Bedeutung: •
%systemdir% steht für %windir%\system32
•
*.* adressiert alle Dateien in einem Verzeichnis, nicht aber eventuell vorhandene Unterverzeichnisse
•
R steht für Read (Lesen)
•
X steht für Execute (Ausführen)
•
M steht für Modify (Ändern)
Datei
Hauptbenutzer
Benutzer
c:\boot.ini
RX
Keine
c:\ntdetect.com
RX
Keine
c:\ntldr
RX
Keine
c:\ntbootdd.sys
RX
Keine
c:\autoexec.bat
M
RX
c:\config.sys
M
RX
\ProgramFiles
M
RX
%windir%
M
RX
%windir%\*.*
RX
RX
Tabelle 16.2: Ausführungsrechte der Benutzer
708
16 Systemsicherheit
Datei
Hauptbenutzer
Benutzer
%windir%\config\*.*
RX
RX
%windir%\cursors\*.*
RX
RX
%windir%\Temp
M
Synchronisieren, Hinzufügen
%windir%\repair
M
Anzeigen
%windir%\addins
M (Verzeichnisse) RX (Dateien)
RX
%windir%\Connection Wizard
M (Verzeichnisse) RX (Dateien)
RX
%windir%\fonts\*.*
RX
RX
%windir%\help\*.*
RX
RX
%windir%\inf\*.*
RX
RX
%windir%\java
M (Verzeichnisse) RX (Dateien)
RX
%windir%\media\*.*
RX
RX
%windir%\msagent
M (Verzeichnisse) RX (Dateien)
RX
%windir%\security
RX
RX
%windir%\speech
M (Verzeichnisse) RX (Dateien)
RX
%windir%\system\*.*
RX
RX
%windir%\twain_32
M (Verzeichnisse) RX (Dateien)
RX
%windir%\Web
M (Verzeichnisse) RX (Dateien)
RX
%systemdir%
M
RX
%systemdir%\*.*
RX
RX
%systemdir%\config
Anzeige
Anzeigen
%systemdir%\dhcp
RX
RX
%systemdir%\dllcache
Keine
Keine
16.1 Grundlegende Sicherheitsmaßnahmen
709
Datei
Hauptbenutzer
Benutzer
%systemdir%\drivers
RX
RX
%systemdir%\CatRoot
M (Verzeichnisse) RX (Dateien)
RX
%systemdir%\ias
M (Verzeichnisse) RX (Dateien)
RX
%systemdir%\mui
M (Verzeichnisse) RX (Dateien)
RX
%systemdir%\OS2\*.*
RX
RX
%systemdir%\OS2\DLL\*.*
RX
RX
%systemdir%\RAS\*.*
RX
RX
%systemdir%\ShellExt
M (Verzeichnisse) RX (Dateien)
RX
%systemdir%\Viewers\*.*
RX
RX
%systemdir%\wbem
M (Verzeichnisse) RX (Dateien)
RX
%systemdir%\wbem\mof
M
RX
%UserProfile%
Vollzugriff
Vollzugriff
All Users
M
R
All Users\Documente
M
M
All Users\Anwendungsdaten
M
M
In den nachfolgend aufgelisteten Verzeichnisses können Hauptbenutzer Dateien schreiben. Die während der Installation von Windows dort abgelegten Dateien können sie jedoch nicht verändern: •
%windir%
•
%windir%\config
•
%windir%\cursors
•
%windir%\fonts
•
%windir%\help
•
%windir%\inf
•
%windir%\media
710
16 Systemsicherheit •
%windir%\system
•
%systemdir%
•
%systemdir%\OS2
•
%systemdir%\OS2\DLL
•
%systemdir%\RAS
•
%systemdir%\Viewers
Das recht zum Schreiben hat jedoch jeder Hauptbenutzer nur für seine eigenen Dateien, andere Hauptbenutzer können diese nicht verändern.
Zugriffrechte in der Registrierung Die nachfolgende Tabelle zeigt die Zugriffsrechte auf Objekte in der Registrierung. Verwendet werden folgende Abkürzungen:
Tabelle 16.3: Rechte der Benutzer auf Registrierungsobjekte
•
HKLM = HKEY_LOCAL_MACHINE
•
SW = Software
•
MS = Microsoft
•
CV = CurrentVersion
•
CCS = CurrentControlSet
•
W NT = Windows NT
Registrierungsobjekt
Hauptbenutzer
Benutzer
HKEY_LOCAL_MACHINE HKLM\Software
Ändern
Lesen
HKLM\SW\Classes\helpfile
Lesen
Lesen
HKLM\SW\Classes\.hlp
Lesen
Lesen
HKLM\SW\MS\Command Processor
Lesen
Lesen
HKLM\SW\MS\Cryptography\OID
Lesen
Lesen
HKLM\SW\MS\Cryptography\Providers\Trust
Lesen
Lesen
HKLM\SW\MS\Cryptography\Services
Lesen
Lesen
HKLM\SW\MS\Driver Signing
Lesen
Lesen
16.1 Grundlegende Sicherheitsmaßnahmen
Registrierungsobjekt
Hauptbenutzer
711
Benutzer
HKLM\SW\MS\EnterpriseCertificates
Lesen
Lesen
HKLM\SW\MS\Non-Driver Signing
Lesen
Lesen
HKLM\SW\MS\NetDDE
None
None
HKLM\SW\MS\Ole
Lesen
Lesen
HKLM\SW\MS\Rpc
Lesen
Lesen
HKLM\SW\MS\Secure
Lesen
Lesen
HKLM\SW\MS\SystemCertificates
Lesen
Lesen
HKLM\SW\MS\Windows\CV\RunOnce
Lesen
Lesen
HKLM\SW\MS\W NT\CV\DiskQuota
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Drivers32
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Font Drivers
Lesen
Lesen
HKLM\SW\MS\W NT\CV\FontMapper
Lesen
Lesen
HKLM\SW\MS\W NT\ CV\Image File Execution Options
Lesen
Lesen
HKLM\SW\MS\W NT\CV\IniFileMapping
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Perflib
Lesen (über Interaktive)
Lesen (über Interaktive)
HKLM\SW\MS\W NT\CV\SecEdit
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Time Zones
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Windows
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Winlogon
Lesen
Lesen
HKLM\SW\MS\W NT\CV\AsrCommands
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Classes
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Console
Lesen
Lesen
HKLM\SW\MS\W NT\CV\EFS
Lesen
Lesen
HKLM\SW\MS\W NT\CV\ProfileList
Lesen
Lesen
HKLM\SW\MS\W NT\CV\Svchost
Lesen
Lesen
712
16 Systemsicherheit
Registrierungsobjekt
Hauptbenutzer
Benutzer
HKLM\SW\Policies
Lesen
Lesen
HKLM\System
Lesen
Lesen
HKLM\SYSTEM\CCS\Control\ SecurePipeServers\winreg
Keine
Keine
HKLM\SYSTEM\CCS\Control\Session Manager\Executive
Ändern
Lesen
HKLM\SYSTEM\CCS\ Control\TimeZoneInformation
Ändern
Lesen
HKLM\SYSTEM\CCS\Control\WMI\Security
Keine
Keine
HKLM\Hardware
Lesen (über JEDER)
Lesen (über JEDER)
HKLM\SAM
Lesen (über JEDER)
Lesen (über JEDER)
HKLM\Security
Keine
Keine
HKEY_CURRENT_USER
Vollzugriff
Vollzugriff
USERS\.DEFAULT
Lesen
Lesen
USERS\.DEFAULT\SW\MS\NetDDE
Keine
Keine
HKEY_CLASSES_ROOT
Kombination aus HKLM\SW\Classes und HKCU\SW\Classes
HKEY_USERS
Ausführungsrechte der Benutzer Entsprechend den Zugriffsrechten gibt es auch eine Standarddefinition für Benutzer, die Ausführungsrechte betreffend. Die folgende Tabelle zeigt alle Ausführungsrechte und die für Benutzer freigegebenen. Tabelle 16.4: Ausführungsrechte der Benutzer
Richtlinie
Lokale Einstellung
Anheben der Zeitplanungspriorität
Administratoren
Anheben von Quoten
Administratoren
16.1 Grundlegende Sicherheitsmaßnahmen
713
Richtlinie
Lokale Einstellung
Debuggen von Programmen
Administratoren
Erstellen einer Auslagerungsdatei
Administratoren
Erstellen eines Profils der Systemleistung
Administratoren
Erzwingen des Herunterfahrens von einem Remotesystem aus
Administratoren
Laden und Entfernen von Gerätetreibern
Administratoren
Übernehmen des Besitzes von Dateien und Objekten
Administratoren
Verändern der Firmwareumgebungsvariablen
Administratoren
Verwalten von Überwachungs- und Sicherheitsprotokollen
Administratoren
Lokal anmelden
Administratoren, Sicherungs-Operatoren, Hauptbenutzer, Benutzer, Gast
Herunterfahren des Systems
Benutzer, Hauptbenutzer, Sicherungs-Operatoren, Administratoren
Ändern der Systemzeit
Hauptbenutzer, Administratoren
Erstellen eines Profils für einen Einzelprozess
Hauptbenutzer, Administratoren
Entfernen des Computers von der Dockingstation
Hauptbenutzer, Benutzer, Administratoren
Als Dienst anmelden
Administrator
Auf diesen Computer vom Netzwerk aus zugreifen
Jeder, Benutzer, Hauptbenutzer, Sicherungs-Operatoren, Administratoren
Anmelden als Stapelverarbeitungsauftrag
Administrator
Auslassen der durchsuchenden Überprüfung
Jeder, Benutzer, Hauptbenutzer, Sicherungs-Operatoren, Administratoren
714
16 Systemsicherheit
Richtlinie
Lokale Einstellung
Sichern von Dateien und Verzeichnissen
Sicherungs-Operatoren, Administratoren
Wiederherstellen von Dateien und Verzeichnissen
Sicherungs-Operatoren, Administratoren
Anmeldung als Batchauftrag verweigern
Standardmäßig sind hier keine Rechte vergeben
Anmeldung als Dienst verweigern Einsetzen als Teil des Betriebssystems Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Ersetzen eines Tokens auf Prozessebene Erstellen eines Tokenobjekts Erstellen von dauerhaft freigegebenen Objekten Generieren von Sicherheitsüberwachungen Hinzufügen von Arbeitsstationen zur Domäne Lokale Anmeldung verweigern Sperren von Seiten im Speicher Synchronisieren von Verzeichnisdienstdaten Zugriff vom Netzwerk auf diesen Computer verweigern
16.1.3 Kurzzeitiges Ändern der Ausführungsrechte Wenn Sie nur gelegentlich Funktionen ausführen, für die Administratorechte notwendig sind, können Sie das Programm RUNAS.EXE nutzen. Damit erlangen Sie temporär die Rechte eines Administrators. Um beispielsweise die Eingabeaufforderung zu starten, geben Sie folgendes ein: runas /u:\<username> Setzen Sie für den Namen des Computers ein, auf dem Sie als Administrator registriert sind. Sie können die Angabe weglassen, wenn Sie am lokalen System arbeiten. Für <username> geben Sie Administrator oder den Namen eines Mitglieds der Administratorengruppe ein.
16.2 Ereignisanzeige
715
runas /u:\Administrator cmd Wenn Sie für Befehl CMD einsetzen, werden Sie nun am Prompt zur Angabe des Kennwortes aufgefordert. Die Ausführung wird in der Kopfzeile des Fensters angezeigt. Abbildung 16.3: Die Eingabeaufforderung als Administrator Von der grafischen Oberfläche aus können Sie den Befehl über das ausführen erweiterte Kontextmenü erreichen. Halten Sie die Umschalt-Taste (Shift) gedrückt und klicken Sie dann mit der rechten Maustaste auf das auszuführende Programm. Im Menü wählen Sie nun den Eintrag AUSFÜHREN ALS.... Sie können nun die alternativen Anmeldedaten eingeben. Abbildung 16.4: Programme als Administrator ausführen
Sie können so die umständliche An- und Abmeldung umgehen und sind vielleicht eher motiviert, auch als Administrator nicht alle Arbeiten unter diesem Konto auszuführen, was zur Erhöhung der Systemsicherheit beiträgt.
16.2 Ereignisanzeige Die Ereignisanzeige von Windows 2000 ist wie schon unter seinem Vorgänger NT eines der wichtigsten Werkzeuge für den Administrator, um Schwachstellen im System zu finden oder Fehler zu beseitigen. Die Ereignisanzeige ist jetzt ein Snap-In (vorher war es ein eigenständiges Programm in der SYSTEMSTEUERUNG), welches Sie auch als ei-
716
16 Systemsicherheit genständige Managementkonsole unter VERWALTUNG | EREIGNISANZEIGE aufrufen können.
Abbildung 16.5: Managementkonsole Ereignisanzeige
Die Ereignisanzeige startet standardmäßig mit der Anzeige der Protokolle für den lokalen Computer. Über das Menü VORGANG können Sie auch eine Verbindung zu einem anderen Computer herstellen. Dabei werden unter Umständen weitere, zusätzliche Protokolle eingeblendet. Für einen Windows 2000-Server könnte hier beispielsweise auch das Protokoll DNS SERVER auftauchen.
16.2.1 Protokollarten In der Ereignisanzeige von Windows 2000 Professional, auf das wir uns in diesem Band beschränken, werden Meldungen zu Ereignissen in den folgenden drei Protokollen erfasst: Anwendungsprotokoll
•
Anwendungsprotokoll Im diesem Protokoll werden Meldungen aufgezeichnet, die von Anwendungsprogrammen ausgegeben werden. Dabei bestimmt der Programmierer der Software, welche Meldungen ausgegeben werden. Diese Meldungen müssen aber nicht nur von externer Software stammen, auch viele Windows-Komponenten protokollieren hier Ereignisse. Das Anwendungsprotokoll und die Meldungen darin können durch jeden normalen Benutzer eingesehen werden. Das Löschen von Ereignissen ist jedoch ausschließlich dem Administrator (oder autorisierten Benutzern) vorbehalten. Das Anwendungsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\AppEvent.Evt
16.2 Ereignisanzeige •
Systemprotokoll
717 Systemprotokoll
Das Systemprotokoll enthält Meldungen von WindowsKomponenten, wie beispielsweise Gerätetreibern und Dienstprogrammen. Sie finden hier die Meldungen, die von Erfolg oder Misserfolg eines Gerätetreiberstarts künden oder wer wie lange eine Datenfernverbindung genutzt hat. Einige Meldungen betreffen dabei auch die Sicherheit Ihres Systems. So können Sie beispielsweise auch sehen, wann der Computer hoch- oder heruntergefahren worden ist. Auch dieses Protokoll kann durch normale Benutzer eingesehen werden, das Löschen aber ist auch hier nur dem Administrator oder einem autorisierten Benutzer erlaubt. Das Systemprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\SysEvent.Evt •
Sicherheitsprotokoll Dieses Protokoll ist das wichtigste in Bezug auf die Systemsicherheit. Hier werden Ereignisse protokolliert, die direkt den Zugang zum System und den Umgang mit Ressourcen betreffen. Was dabei protokolliert wird, stellen Sie über die Gruppenrichtlinien für Ihr System ein (siehe auch Kapitel 14 Benutzerverwaltung ab Seite 607). Standardmäßig werden die Ereignisse für das Sicherheitsprotokoll nicht überwacht. Falls Ihr System in einem sicherheitsrelevanten Umfeld steht, sollten Sie diese Einstellungen über die Gruppenrichtlinien unbedingt vornehmen, bevor das System in Betrieb genommen wird. Da dieses Protokoll für die Systemsicherheit so wichtig ist, werden wir im nächsten Abschnitt darauf eingehen, wie Sie dieses für sich nutzbar machen können. Das Sicherheitsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\SecEvent.Evt
16.2.2 Aktivieren und Konfigurieren des Sicherheitsprotokolls Die Vorgänge, die durch das System überwacht werden und im Sicherheitsprotokoll verzeichnet werden sollen, definieren Sie über START | PROGRAMME | VERWALTUNG | LOKALE SICHERHEITSEINSTELLUNGEN. Sie finden die ÜBERWACHUNGSRICHTLINIEN in den LOKALEN RICHTLINIEN.
Sicherheitsprotokoll
718
16 Systemsicherheit
Abbildung 16.6: Überwachungsrichtlinien
Standardmäßig sind alle Vorgänge ohne Überwachung. Wählen Sie hier die gewünschte Richtlinie aus und ändern Sie die betreffende Einstellung über VORGANG | SICHERHEITSEINSTELLUNGEN. Abbildung 16.7: Sicherheitseinstellungen ändern
Sie haben die Möglichkeit, für jede zu überwachende Richtlinie die erfolgreiche oder fehlgeschlagene Durchführung protokollieren zu lassen. Denken Sie dabei aber auch an die unter Umständen hohen Datenmengen in den Protokollen, die entstehen können, wenn einfach alles protokolliert werden soll. Für bestimmte Ereignisse lohnt es sich nur, die fehlgeschlagenen Versuche aufzuzeichnen.
16.2 Ereignisanzeige Alle Einstellungen, die Sie unter den LOKALEN SICHERHEITSRICHTLINIEN vornehmen, können durch die Richtlinien auf Domänenebene überschrieben werden, falls Ihr Computer im Netzwerk eingebunden ist. Sie erkennen das in der Managementkonsole am Eintrag in der Spalte EFFEKTIVE EINSTELLUNG. Ausführlich wird das Thema Sicherheit in Windows 2000 im Abschnitt 16.1 Grundlegende Sicherheitsmaßnahmen ab Seite 699 behandelt.
16.2.3 Meldungsarten Es gibt verschiedene Arten von Meldungen, die durch den Ereignisprotokolldienst aufgezeichnet werden: •
Informationen Diese Meldungen zeigen Ihnen in der Regel die erfolgreiche Durchführung einer Aktion an. Beispielsweise finden Sie im Systemprotokoll erfolgreiche Meldungen über den Start von Gerätetreibern oder die Anwahl einer Datenfernverbindung.
•
Warnungen Warnungen beinhalten meist nicht akute Fehler, sondern Meldungen, die auf wichtige Vorgänge aufmerksam machen sollen. So verursacht die Installation eines neuen Druckers eine Warnung, auch wenn dieser Prozess erfolgreich abgeschlossen worden ist. Ernstzunehmende Warnungen entstehen aber beispielsweise dann, wenn bestimmte wichtige Systemkomponenten nicht richtig laufen (wie der Installationsdienst, der bestimmte Komponenten einer Software nicht entfernen konnte) oder eine Hardwareressource erst sehr spät reagiert (wie eine Festplatte, die immer mehr Zeit zum Reagieren auf Anforderungen des Systems benötigt – dies kann ein Hinweis auf einen bevorstehenden Ausfall sein). Solchen Warnungen sollten Sie daher besser auf den Grund gehen, damit daraus nicht irgendwann Fehler werden.
•
Fehler Protokollierte Fehler sollten Sie immer ernst nehmen, da hier in jedem Fall das ordnungsgemäße Funktionieren des Gesamtsystems beeinträchtigt sein kann. Im Systemprotokoll finden Sie Fehlermeldungen häufig dann, wenn Gerätetreiber aufgrund von Hardware- oder Konfigurationsproblemen nicht gestartet werden oder bestimmte Systemaktionen nicht oder nicht vollständig ausgeführt werden konnten (wie beispielsweise das Sichern des Hauptspeicherinhalts auf die Festplatte, um in den Ruhezustand gehen zu können).
719
720
16 Systemsicherheit •
Erfolgsüberwachung Diese Meldung im Sicherheitsprotokoll zeugt von einer erfolgreichen Überwachung eines Vorgangs. Wenn Sie beispielsweise die Anmeldeversuche überwachen lassen, können Sie durch diese Meldungen erkennen, wann welcher Benutzer sich am System angemeldet hat.
•
Fehlerüberwachung Eine Meldung mit dem Kennzeichnung FEHLERÜBERWACHUNG im Sicherheitsprotokoll zeugt von einem protokollierten Fehlversuch. Wenn Sie Anmeldeversuche überwachen lassen, können Sie sehen, wenn jemand versucht hat, sich mit einer ungültigen Benutzerkennung oder einem falschen Kennwort anzumelden.
16.2.4 Die Ereignisanzeige im Detail Die angezeigten Meldungen aller Protokolle in der Ereignisanzeige werden in der Detailansicht in einer einheitlichen Listenform dargestellt. Abbildung 16.8: Anzeige von Meldungen
Spalten in der Listenanzeige
Die einzelnen Spalten haben dabei die folgende Bedeutung: •
Typ Hier sehen Sie, welcher Art die Meldung ist (siehe voriger Abschnitt).
•
Datum / Uhrzeit Hier wird der Zeitpunkt angegeben, an dem die Meldung generiert worden ist. Wenn Sie sich über eine Netzwerkverbindung (im lo-
16.2 Ereignisanzeige kalen Netz oder über eine Fernverbindung) die Ereignisanzeige eines anderen Computers ansehen, beachten Sie, dass hier immer die lokale Zeit des betreffenden Computers gemeint ist. •
Quelle In dieser Spalte stehen die Namen der Prozesse, Anwendungen oder Dienste, die die Meldungen verursacht haben. Aus dieser Information können Sie in der Regel den Sinn der Meldung schon gut eingrenzen (zur Auswertung siehe Abschnitt 16.2.6 Protokolle speichern und weiterverarbeiten ab Seite 726).
•
Kategorie Bestimmte Meldungen generieren auch eine KategorieBezeichnung, unter der diese dann weiter eingeordnet werden können. Besonders bedeutsam sind die Einträge im Sicherheitsprotokoll, da die Kategorien nach der zu überwachenden Sicherheitsrichtlinie untergliedert sind. So werden beispielsweise unter der Kategorie ANMELDUNG/ABMELDUNG alle Meldungen geführt, die aufgrund der überwachten An- und Abmeldevorgänge erzeugt worden sind. Ist eine Meldung ohne eine bestimmte Kategorie, wird hier nur angezeigt.
KEINE
•
Ereignis Jedes Ereignis besitzt eine eindeutige Nummer, eine sogenannte Ereignis-ID. Diese kann helfen, eine Fehlerursache zu ergründen, wenn die Textaussagen in der Meldung nicht ausreichen sollten (zur Auswertung siehe Abschnitt 16.2.6 Protokolle speichern und weiterverarbeiten ab Seite 726).
•
Benutzer Ist für die Meldung ein Benutzerkonto verantwortlich, wird hier dessen Name ausgegeben. Das können eines der konkreten Benutzerkonten oder das allgemeine Systemkonto sein. Wurde beispielsweise durch den Administrator ein neuer Drucker angelegt, gibt es eine Meldung »Quelle: Print«, die für das Administratorkonto das Erstellen des Druckers aufzeichnet. Dazu gibt es eine Meldung für das Systemkonto, welches das Installieren der konkreten Treiberdateien für diesen Drucker protokolliert. Leider werden auch eine Reihe von Meldungen mit dem Eintrag NICHT ZUTREFFEND in der Spalte BENUTZER generiert, obwohl die Meldung selbst auf einen auslösenden Benutzer verweist. So werden beispielsweise Einwahlen ins Internet »Quelle: Remote Access« sehr genau mit der Angabe der Einwahl-Benutzerkennung beim ISP (Internet Service Provider) protokolliert, welcher Benut-
721
722
16 Systemsicherheit zer des Windows 2000-Arbeitsplatzes dies verursacht hat, wird allerdings nicht angezeigt. •
Computer In dieser Spalte wird der ausführende Computer angezeigt.
Möchten Sie die Anzeige bestimmter Spalten unterdrücken oder die Reihenfolge ändern, um mehr Übersichtlichkeit zu erhalten, können Sie das über das Menü ANSICHT | SPALTEN WÄHLEN. Wie bei jeder anderen Managementkonsole auch erhalten Sie dann das Auswahlfenster, um die Spaltenanzeigen zu manipulieren. Ereignismeldung im Detail
Über das Menü VORGANG | EIGENSCHAFTEN oder das Kontextmenü zu einer Meldung (bzw. einfach ein Doppelklick darauf) öffnet sich das entsprechende Eigenschaften-Fenster. Neben den auch in der Listenform angegebenen Informationen bekommen Sie hier einen Beschreibungstext, der oft schon sehr aussagekräftig ist. Mit den beiden PfeilSchaltflächen bewegen Sie sich bei geöffnetem Eigenschaften-Fenster durch die Meldungen in der Ereignisanzeige.
Abbildung 16.9: Eine Meldung im Detail
Inhalt kopieren
kopieren Sie den Inhalt des gesamten Mit dem Schaltknopf Fensters als Text in die Zwischenablage. Dies kann Ihnen helfen, eine konkrete Meldung vollständig und schnell weiterzugeben, um vielleicht eine Fehlerursache zusammen mit anderen Spezialisten zu analysieren. Einen irreführender Hilfeknopf, wie noch in der Detailanzeige zu einem Ereignis unter Windows NT vorhanden (der dann doch nur die
16.2 Ereignisanzeige
723
Bedienung des Fensters erklärte), gibt es jetzt nicht mehr. Hilfreich wäre es schon, auf eine konkrete Meldung eine konkrete weiterführende Hilfe zu bekommen. So gibt es nur einen Hilfetext, den Sie über das Kontextmenü zu einem Eintrag bekommen können und der dann die grundsätzliche Funktion erklärt beispielsweise, was eine Beschreibung prinzipiell ist. Die Suche nach bestimmten Ereignis-Meldungen wird Ihnen über Suchen ANSICHT | SUCHEN ermöglicht. In dem SUCHEN-Dialogfenster können Sie Ihre Suchkriterien definieren. Die Suche wird dabei immer auf das gewählte Protokoll beschränkt. Abbildung 16.10: SuchenDialogfenster für Ereignismeldungen
Je nach EREIGNISQUELLE sind im oberen Teil die EREIGNISTYPEN aktivierbar, die hier in Frage kommen können, und es stehen die dazugehörigen KATEGORIEN zur Auswahl. Unter EREIGNISKENNUNG können Sie eine spezielle Ereignis-ID eingeben. Wenn Sie nach einer Meldung suchen, die einen speziellen Benutzernamen enthält, können Sie bei BENUTZER auch nur die ersten Zeichen des Namens eingeben (allerdings ohne »*« wie bei der Suche nach Dateien). Dies funktioniert übrigens bei der Suche nach einem bestimmten COMPUTER nicht, hier muss der Name komplett eingetragen werden. Unter BESCHREIBUNG können Sie jetzt auch innerhalb der Meldungstexte suchen lassen, die an sich schon viel umfangreichere Aussagen enthalten als noch unter NT.
724 Filter
16 Systemsicherheit Eine Suche nach Ereignissen, die an einem bestimmten Datum und Uhrzeit aufgetreten sind, ist nicht möglich. Die können Sie aber über die Filterfunktionen für die Anzeige erreichen. Die Definition von Anzeigefiltern erfolgt über ANSICHT | FILTER. Beachten Sie, dass auch hier die Einstellung für das gerade in der Anzeige aktive Protokoll erfolgt und nicht für die gesamte Ereignisanzeige.
Abbildung 16.11: Filtereigenschaften definieren
Wie schon beim Suchen-Dialogfenster spezifizieren Sie Ihre Anforderungen zu EREIGNISTYP, EREIGNISQUELLE usw. (siehe oben). Zusätzlich können Sie jedoch auch noch einen Zeitrahmen definieren, für den die gefundenen Ereignismeldungen angezeigt werden sollen.
16.2.5 Einstellungen der Ereignisanzeige Über das Kontextmenü EIGENSCHAFTEN eines Protokolls können Sie die Einstellungen zur Protokollgröße und zum Verhalten bei Erreichen dieser Voreinstellungen festlegen.
16.2 Ereignisanzeige
725 Abbildung 16.12: Einstellungen zum Protokoll
Die MAXIMALE PROTOKOLLGRÖßE ist einstellbar in 64 KB–Schritten. Die aktuell erreichte Größe können Sie übrigens im Ereignisprotokoll sehen, wenn Sie die Strukturwurzel EREIGNISANZEIGE aktivieren. Im rechten Fensterteil werden dann alle enthaltenen Protokolle mit ihrer aktuellen Größe angezeigt. Für den Fall, dass ein Protokoll die maximal zulässige Größe erreicht Das Protokoll ist voll! hat, können Sie das Verhalten des Systems festlegen: •
EREIGNISSE NACH BEDARF ÜBERSCHREIBEN Mit dieser Einstellung ersetzen bei Erreichen der Dateigröße neue Ereignismeldungen die jeweils ältesten. Diese Einstellung ist ausreichend, wenn Sie das Protokoll regelmäßig überprüfen oder die Wichtigkeit der Protokollierung nicht so sehr im Vordergrund steht.
•
EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS ___ TAGE SIND Sollen Protokolleinträge auf jeden Fall für einen bestimmten Zeitraum erhalten bleiben, beispielsweise um diese wöchentlich zu sichern, ist diese Einstellung zu empfehlen. Beachten Sie allerdings, dass keine neuen Ereignismeldungen hinzugefügt werden können, wenn das Protokoll die maximale Größe erreicht hat und keine Meldungen enthält, die älter als von Ihnen eingestellt sind.
•
EREIGNISSE NIE ÜBERSCHREIBEN Wenn Sie möchten, dass garantiert alle Ereignismeldungen erhalten bleiben sollen, wählen Sie diese Einstellung. Dabei liegt es al-
726
16 Systemsicherheit lein in der Verantwortung des Administrators, regelmäßig das Protokoll zu leeren und gegebenenfalls vorher zu archivieren.
16.2.6 Protokolle speichern und weiterverarbeiten Protokolle können Sie zur Archivierung oder Weiterverarbeitung durch andere Programme über das Menü VORGANG | PROTOKOLL SPEICHERN UNTER abspeichern. Dabei können Sie unter drei unterstützten Dateitypen auswählen: •
EREIGNISPROTOKOLL (*.EVT) Dies ist das binäre Dateiformat für die Ereignisanzeige. Es lässt sich nicht mit herkömmlicher Software, wie beispielsweise einem Texteditor oder einer Tabellenkalkulation, öffnen. Zum Archivieren ist dieses Format deswegen nur bedingt geeignet.
•
TEXT (TABULATOR GETRENNT) (*.TXT) Das so abgespeicherte Protokoll können Sie direkt mit einem beliebigen Texteditor öffnen. Allerdings leidet die Übersichtlichkeit ein wenig, da jeder Meldungstext fortlaufend in einer Zeile dargestellt wird. Wenn Sie diese Datei aber in ein Tabellenkalkulationsprogramm wie Excel importieren, ist das Protokoll deutlich besser lesbar.
•
CSV (KOMMA GETRENNT) (*.CSV) Dieses spezielle Textdateiformat kann sofort durch ein Tabellenkalkulationsprogramm wie beispielsweise Excel geladen werden. Es ist deshalb das Format, welches sich am besten für eine einfache Archivierung von Protokolldateien eignet.
Automatisch archivieren
Um sicherzustellen, dass keine Protokolle verloren gehen, Sie sich aber gleichzeitig nicht permanent darum sorgen müssen, dass diese zu viel Speicherplatz einnehmen oder voll laufen, können Sie eine automatische Abspeicherung mit Leerung implementieren. Über das freie Tool DUMPEVT (www.somarsoft.com) können Sie die gewünschte Protokolldatei in eine weiterverarbeitbare Textdatei abspeichern. In der dazugehörenden Datei DUMPEVT.INI bestimmen Sie dabei die wichtigsten Konvertierungsparameter. Zu empfehlen ist, dass Sie hier zumindest den Eintrag FIELDSEPARATOR modifizieren und mit dem Editor statt des Komma einen Tabulator eintragen. Der Kommandozeilenaufruf von DUMPEVT lautet dann wie folgt, wenn Sie beispielsweise das Sicherheitsprotokoll in eine Textdatei SICHERHEIT.TXT abspeichern wollen:
16.2 Ereignisanzeige
727
DUMPEVT /logfile=sec /outfile=d:\protokolle\sicherheit.txt Die so erzeugte Textdatei können Sie problemlos in Excel oder Access importieren und weiter auswerten. Falls die Textdatei SICHERHEIT.TXT schon vorhanden ist, werden die nächsten Einträge angehängt. Mit der Standardeinstellung werden bei jedem Aufruf von DUMPEVT übrigens nur die Ereignisse abgespeichert, die seit dem letzten Aufruf neu hinzugekommen sind. DUMPEVT speichert dazu einen entsprechenden Vermerk in der Windows 2000-Registry unter HKEY_CURRENT_USER. Hier die wichtigsten Optionen von DUMPEVT für den Einsatz mit Windows 2000 Professional im Überblick:
Option
Bedeutung
/logfile=
Angabe der zu konvertierenden Protokolldatei : app
Anwendungsprotokoll
sec
Sicherheitsprotokoll
sys
Systemprotokoll
/outfile=
Name (und ggf. Pfad) der Ausgabe-Textdatei
/outdir=
optional Angabe eines Pfades zum Anlegen der temporären Arbeitsdateien von dumpevt
/all
Alle Ereignisse des Protokolls werden in die Textdatei geschrieben. Ohne diese Option werden nur die Ereignismeldungen gesichert, die seit dem letzten Aufruf von dumpevt des betreffenden Protokolls neu hinzugekommen sind.
/computer=
Angabe eines remote Computers, für den das Ereignisprotokoll gespeichert werden soll. Ohne eine Angabe wird immer der lokale Computer benutzt.
/reg=local_machine
Mit dieser Option wird dumpevt veranlasst, sich die zuletzt gesicherte Ereignismeldung für ein Protokoll unter HKEY_LOCAL_MACHINE in der Registry zu merken. Ohne diese Option wird standardmäßig HKEY_CURRENT_USER benutzt.
/clear
Löscht das Ereignisprotokoll nach dem Speichern.
Um ein oder mehrere Protokolle automatisch zu festgelegten Terminen abspeichern zu lassen, können Sie folgendermaßen vorgehen: 1. Erstellen Sie eine Batchdatei für Windows 2000 (mit dem Editor, Endung *.CMD), welche die entsprechenden Aufrufe von DUMPEVT enthält. Diese Batchdatei (beispielsweise sicherprt.cmd) könnte folgendermaßen aussehen, wenn Sie alle drei Protokolle auf einem zentralen Netzwerklaufwerk archivieren wollen:
Tabelle 16.5: Optionen für das Tool dumpevt
728
16 Systemsicherheit REM Protokollsicherung Workstation 1 REM Sicherheitsprotokoll DUMPEVT /logfile=sec /outfile=f:\sicherheit_wks1.txt REM Anwendungsprotokoll DUMPEVT /logfile=app /outfile=f:\ anwendung_wks1.txt REM Systemprotokoll DUMPEVT /logfile=sys /outfile=f:\ system_wks1.txt Hierbei werden die einzelnen Protokolle nicht geleert; an die Textdateien werden die seit der letzten Sicherung hinzugekommenen Ereignismeldungen angehängt. F: ist im Beispiel ein angenommenes Netzwerklaufwerk, in dem die Protokolle aller Arbeitsstationen abgelegt werden. 2. Binden Sie diese Batchdatei über das AT-Kommando in die Liste der zeitgesteuerten Befehle ein (eine ausführliche Referenz über die Kommandozeilenbefehle von Windows 2000 siehe im Anhang C.2 Kommandozeilenbefehle). AT 10:00 /every:Freitag sicherprt.cmd Nun werden die Protokolle jeden Freitag, 10:00 Uhr, automatisch gespeichert. Mehr Informationen zu DUMPEVT erhalten Sie über die Webseite des Herstellers (www.somarsoft.com) sowie die Hilfedatei DUMPEVT.HLP.
16.3 Wiederherstellung verschlüsselter Dateien Die Wiederherstellung von verschlüsselten Daten des verschlüsselnden Dateisystems (EFS) kann notwendig werden, ohne dass der private Schlüssel des Benutzers verfügbar ist. Das kann beispielsweise bei Verlust des Schlüssels oder nach Ausscheiden eines Mitarbeiters der Fall sein. In Windows 2000 ist solch eine Möglichkeit implementiert. Für eine wirkliche Absicherung auch eines lokal arbeitenden Systems sind Instrumentarien verfügbar, die allerdings verstanden und sorgfältig konfiguriert werden sollten.
16.3.1 Der Wiederherstellungsagent Standardmäßig wird auf einem lokalen Windows 2000-System der Administrator als Wiederherstellungsagent bei der Installation eingesetzt. Er besitzt ein besonderes Zertifikat mit dazugehörigem privaten Schlüssel, mit welchem die Wiederherstellung verschlüsselter Daten
16.3 Wiederherstellung verschlüsselter Dateien
729
anderer Benutzer möglich ist. In einem Windows 2000-Netzwerk mit Active Directory ist der Wiederherstellungsagent der übergeordnete Domänenadministrator.
16.3.2 Die Wiederherstellungsrichtlinie Der Gültigkeitsbereich der Dateiwiederherstellung wird durch die Wiederherstellungsrichtlinie festgelegt. Diese Richtlinie finden Sie im Snap-In SICHERHEITSEINSTELLUNGEN unter RICHTLINIEN ÖFFENTLICHER SCHLÜSSEL. Unter START | PROGRAMME | VERWALTUNG | LOKALE SICHERHEITSRICHTLINIE finden Sie eine entsprechende vorgefertigte Managementkonsole. Abbildung 16.13: Festlegen der Wiederherstellungsrichtlinie
Das zuständige Zertifikat zum Wiederherstellen von verschlüsselten Wirksame AbsichDateien finden Sie über das Snap-In ZERTIFIKATE. Wollen Sie ein loka- erung verschlüsles System wirksam absichern, ist es empfehlenswert, das entspre- selter Daten chende Zertifikat des Wiederherstellungsagenten zu exportieren und auf einem Datenträger an einem sicheren Ort aufzubewahren. Danach sollten Sie es auf dem Computer löschen. Die Richtlinie selbst (siehe Abbildung 16.13) sollten Sie allerdings nicht löschen, entscheidend für die Möglichkeit der Wiederherstellung ist das Zertifikat im persönlichen Verzeichnis des Wiederherstellungsagenten.
730
16 Systemsicherheit
Abbildung 16.14: Zertifikat für Dateiwiederherstellung exportieren
Im Falle der Notwendigkeit der Wiederherstellung verschlüsselter Dateien reicht es aus, das Zertifikat über das Kontextmenü wieder zu importieren. Danach können Sie direkt auf die betreffenden Dateien zugreifen und die Verschlüsselung aufheben. Nach dem Wiederherstellen kann das Zertifikat dann wieder gelöscht werden.
16.3.3 Hinweise zur maximalen Absicherung mit EFS Allein EFS anwenden reicht nicht!
Für eine maximale Absicherung lokaler Daten reicht die Anwendung von EFS allein nicht aus. Lesen Sie in diesem Abschnitt, wie Sie Ihre Daten maximal gegen unbefugten Zugriff absichern können.
Hinweise zur Anwendung der Verschlüsselung Ordner verschlüsseln
•
Temp-Ordner verschlüsseln
•
Ordner verschlüsseln Verschlüsseln Sie ganze Ordner, die abzusichernde Dateien enthalten. Wenn Sie nur die einzelne Datei verschlüsseln, kann es beim Öffnen der Datei durch ein Programm dazu kommen, dass temporäre Arbeitsdateien oder ganze Kopien der Datei unverschlüsselt im selben Ordner abgelegt werden. Diese können zurückbleiben, wenn beispielsweise die Anwendung nicht richtig beendet werden konnte oder sie einfach temporäre Dateien nicht richtig aufräumt. Temp-Ordner verschlüsseln Das oben gesagte gilt natürlich auch für die angelegten temporären Ordner. Diese sollten sicherheitshalber auch mit verschlüsselt werden, damit Arbeitsdateien nicht ungeschützt zurückbleiben können. Versichern Sie sich, welche temporären Ordner tatsächlich
16.3 Wiederherstellung verschlüsselter Dateien
731
vorhanden sind und genutzt werden. Manche Anwendungsprogramme, beispielsweise solche zur Bildverarbeitung, lassen die zusätzliche Definition von temporären Arbeitsdatenträgern zu. •
Kopieren und Verschieben verschlüsselter Dateien
Kopieren und Verschieben Dateien behalten ihr Verschlüsselungs-Attribut, wenn sie zwischen verschlüsselter NTFS-Datenträgern kopiert oder verschoben werden. Beim Kopie- Dateien
ren auf FAT oder FAT32-Datenträgern erfolgt die Speicherung hingegen unverschlüsselt. •
Komprimierung contra Verschlüsselung
Komprimierung contra Komprimierte Dateien können nicht verschlüsselt werden. Ebenso Verschlüsselung
ist es nicht möglich, verschlüsselte Dateien nachträglich zu komprimieren. •
Kopieren über das Netzwerk Beim Kopieren über das Netzwerk werden die Dateien für die Dauer des Transports entschlüsselt und könnten damit abgehört werden. Für eine Absicherung des Netzwerkverkehrs müssen Sie deshalb andere Schutzmechanismen zur Anwendung bringen (siehe auch Abschnitt 8.4 Sicherheit im Netzwerk ab Seite 270).
Kopieren über das Netzwerk
Export und Sicherung der privaten Schlüssel Mit der Verfügbarkeit von Hilfsprogrammen wie beispielsweise O&O® Bluecon (siehe auch Abschnitt Alternative Wiederherstellungskonsole: O&O® Bluecon ab Seite 777) kann die Absicherung von Daten vor unbefugtem Zugriff mittels EFS einfach ausgehebelt werden. Mit O&O® Bluecon können Sie beispielsweise, wenn Sie von einem Das Rücksetzen entsprechenden externen Datenträger booten, das Administrator- und von Kennwörtern alle anderen Benutzerkennwörter zurücksetzen. Befinden sich dann ist möglich! die zugehörigen Wiederherstellungszertifikate und -schlüssel noch auf dem System, lassen sich die Daten ohne Weiteres lesen. Für die Herstellung einer maximalen Datensicherheit sollten Sie nach der EFS-Verschlüsselung von Daten folgende Zertifikate auf externe Datenträger exportieren und die privaten Schlüssel lokal löschen: •
EFS-Wiederherstellungszertifikat des Wiederherstellungsagenten Der Wiederherstellungsagent, standardmäßig der Administrator, verfügt neben dem normalen EFS-Zertifikat mit seinem privaten Schlüssel für die Verschlüsselung auch über einen privaten Schlüssel für die Wiederherstellung verschlüsselter Daten aller Benutzer. Diese Schlüssel sind in den entsprechenden Zertifikaten unter ZERTIFIKATE | AKTUELLER BENUTZER | EIGENE ZERTIFIKATE abgelegt
Wiederherstellungsagent
732
16 Systemsicherheit (zu finden über das Snap-In ZERTIFIKATE). Dazu müssen Sie als Wiederherstellungsagent angemeldet sein.
Abbildung 16.15: EFS-Zertifikate des Wiederherstellungsagenten
Um den privaten Schlüssel für die Wiederherstellung zu löschen, exportieren Sie das Zertifikat über das Kontextmenü ALLE TASKS | EXPORTIEREN. Es startet der Zertifikatsexport-Assistent: Abbildung 16.16: Export-Assistent
Geben Sie hier an, den privaten Schlüssel mit exportieren zu lassen. Geben Sie im nächsten Dialogfenster an, dass der private Schlüssel nach dem Export gelöscht werden soll.
16.3 Wiederherstellung verschlüsselter Dateien
733 Abbildung 16.17: Einstellungen zum Export-Format
Geben Sie abschließend noch ein Kennwort ein, mit dem der Schlüssel geschützt wird sowie den Ort und den Namen der Datei, in die das Zertifikat gesichert werden soll. Es wird eine Datei mit der Endung PFX erzeugt. •
EFS-Zertifikat des Benutzers
Benutzer
Wollen Sie eine maximale Absicherung Ihrer EFS-verschlüsselten Dateien erreichen, müssen Sie vor dem Herunterfahren des Systems den privaten EFS-Schlüssel des Benutzers auch vom System entfernen. Gehen Sie dazu wieder über das Snap-In ZERTIFIKATE und exportieren Sie das EFS-Zertifikat ebenso, wie oben für den Wiederherstellungsagenten beschrieben. Der Benutzer hat nur ein einziges EFS-Zertifikat, es sei denn, er ist gleichzeitig Wiederherstellungsagent. Wichtig beim Export des EFS-Zertifikats ist auch hier, dass der private Schlüssel mit in die PFX–Datei exportiert und dann gelöscht wird. Speichern Sie die abgespeicherten Zertifikate mit den eingebetteten Externer Schlüsseln auf externen Datenträgern und verwahren Sie diese an ei- Datenträger nem sicheren Ort.
Import privater EFS-Schlüssel Für den Zugriff auf die verschlüsselten Dateien benötigen Sie den privaten EFS-Schlüssel. Über das Kontextmenü ALLE TASKS | IMPORTIEREN des Snap-Ins ZERTIFIKATE | ZERTIFIKATE-AKTUELLER BENUTZER | EIGENE ZERTIFIKATE starten Sie den ZertifikatsimportAssistent.
734
16 Systemsicherheit
Abbildung 16.18: ZertifikatsimportAssistent
Nach dem Import des Zertifikats können Sie wieder auf die verschlüsselten Dateien zugreifen beziehungsweise als Wiederherstellungsagent auch die Daten anderer Benutzer entschlüsseln.
Zertifikate und SmartCards SmartCards
Der Export und Import von Zertifikaten über externe Datenträger stellt sicherlich nicht das eleganteste Verfahren zur Sicherung lokaler Daten dar. Mit zunehmender Verbreitung von SmartCards steht hier ein deutlich komfortablerer Träger für Zertifikate und Schlüssel zur Verfügung. Neben der Authentifizierungsfunktion können damit zukünftig auch EFS-Zertifikate einfach und sicher eingebunden werden.
16.3 Wiederherstellung verschlüsselter Dateien
Kapitel 17 Reparatur und Wiederherstellung
17.1 Schutz und Überprüfung von Systemdateien ....737 17.2 Informations- und Diagnoseprogramme ..........747 17.3 Die Registrierungsdatenbank .............................759 17.4 Systemwiederherstellung nach Totalausfall....768
735
17.1 Schutz und Überprüfung von Systemdateien
17 Reparatur und Wiederherstellung Bislang galt bei einem Defekt am Betriebssystem das Motto »Wiederherstellung ist gleich Neuinstallation«. Hier bietet Windows 2000 einige neue Funktionen, die auch bei massiven Defekten das System zumindest soweit wiederbeleben, dass wichtige Daten gerettet werden können. In diesem Kapitel sind die wichtigsten Systemwerkzeuge beschrieben, die es dem Administrator ermöglichen, das Betriebssystem an neuralgischen Punkten zu schützen und bei Bedarf wichtige Funktionen zu überprüfen. Darüber hinaus gibt es einen Überblick über die wichtigsten Schritte zur Wiederherstellung eines Systems nach Totalausfall.
17.1 Schutz und Überprüfung von Systemdateien Eine Hauptursache für ein instabiles Verhalten früherer WindowsVersionen ist oft die Installation fehlerhafter Treiberdateien oder der Austausch von Betriebssystemkomponenten gegen andere, vermeintlich bessere Versionen durch die Setup-Programme von Anwendungsprogrammen. Bei ein oder zwei installierten Anwendungen auf einem System wäre der Schaden meist begrenzbar, mit jeder weiteren Installation oder Deinstallation eines Softwarepaketes steigt die Gefahr, dass das vorher stabil gelaufene System mehr und mehr Macken aufweist. In Windows 2000 sind aus diesem Grund mehrere Mechanismen implementiert worden, die potentiell gefährdete Systemdateien wirksam schützen und darüber hinaus dem Administrator die Möglichkeit geben, den Systemstatus zu überprüfen und bei Bedarf wiederherzustellen.
17.1.1 Windows-Dateischutz Der auch Windows File Protection – WFP genannte Dienst läuft perma- Windows File nent im Hintergrund und überprüft, ob eine als geschützt vermerkte Protection Systemdatei durch ein anderes Anwendungsprogramm ausgetauscht oder entfernt worden ist.
Automatischer Austausch falscher Systemdateien Für die automatische Wiederherstellung der originalen beziehungs- Verzeichnis weise ordnungsgemäß zertifizierten Systemdateien werden Duplikate DLLCACHE im Verzeichnis DLLCACHE vorgehalten.
737
738
17 Reparatur und Wiederherstellung %systemroot%\system32\dllcache Der dafür reservierte Speicherplatz wird durch das System automatisch berechnet, kann aber auch durch den Administrator begrenzt werden (siehe auch Seite 738).
System-CD notwendig
Wird eine Originaldatei in diesem Ordner nicht gefunden, verlangt das System das Einlegen der originalen Windows 2000 ProfessionalCD. Ein anderer Speicherort für diese angeforderte Systemdatei wird übrigens nicht akzeptiert. Mit dem automatischen Austausch der Datei erfolgt auch ein entsprechender Eintrag im SYSTEM-Ereignisprotokoll:
Abbildung 17.1: Meldung über den verhinderten Austausch einer Systemdatei
Mehr zum Ereignisprotokoll und den Möglichkeiten der weiteren Verarbeitung und Auswertung der Einträge können Sie in Abschnitt 16.2 Ereignisanzeige ab Seite 715 erfahren.
Überprüfung von Systemdateien mit SFC.EXE Manuelle Überprüfung
Neben den automatischen Mechanismen des Windows-Dateischutzes können Sie mit Hilfe des Tools SFC.EXE (System File Check) den Status der geschützten Dateien überprüfen und deren eventuelle Ersetzung wieder rückgängig machen. Dabei kann auch der Status des Verzeichnisses Dllcache überprüft und gegebenenfalls dessen Inhalt wiederhergestellt werden.
17.1 Schutz und Überprüfung von Systemdateien
739
Die Syntax für SFC lautet: sfc Die folgende Tabelle enthält die möglichen Optionen für SFC:
Option
Beschreibung
/enable
Aktiviert den Dateischutz von Windows 2000; ist standardmäßig gesetzt
/cachesize=xxx
Ermöglicht die Einstellung der Größe des Verzeichnisses Dllcache; Angabe in MegaByte
/cancel
Beendet die Ausführung des Dateischutzes; kann mit /enable wieder aktiviert werden
/purgecache
Leert das Verzeichnis Dllcache und überprüft alle geschützten Systemdateien
/quiet
Ersetzt alle erkannten falschen Systemdateien ohne Aufforderung durch den Benutzer
/scanboot
Überprüft geschützte Systemdateien bei jedem Neustart des Systems
/scannow
Überprüft geschützte Systemdateien sofort
/scanonce
Überprüft geschützte Systemdateien einmal beim nächsten Neustart des Systems
Tabelle 17.1: Optionen von SFC.EXE
Alle Optionen, die das Verhalten des Windows-Dateischutzes beeinflussen, wie beispielsweise die Änderung der DLLCACHE-Größe, benötigen einen Neustart des Systems. Die Prüfung aller geschützten Dateien kann einige Zeit in Anspruch Original-CD nehmen. Sie benötigen dazu in jedem Fall die originale Betriebssys- notwendig tem-CD. Von dieser werden dann gegebenenfalls die ursprünglichen Treiberdateien kopiert. Abbildung 17.2: Überprüfung der Systemdateien
Nach Beendigung der Überprüfung gibt es keine weitere Meldung. Die Ergebnisse können Sie jedoch dem SYSTEM-Ereignisprotokoll entnehmen. Hier werden der Start und die Beendigung der Überprüfung sowie eventuelle Austausche protokolliert.
740
17 Reparatur und Wiederherstellung
Abbildung 17.3: Protokollierung eines Austauschs
Ausnahmen vom Windows-Dateischutz Ausnahmen
Dauerhaft überschrieben werden geschützte Systemdateien nur durch die folgenden Vorgänge: •
Aktualisierungen oder ein Update über das Setup-Programm von Windows 2000 (auch WINNT32.EXE)
•
Installationen von Service Packs und Hotfixes für Windows 2000
17.1.2 Überprüfung von Kernelmodus-Treibern Wichtig für ein stabiles Laufzeitverhalten von Windows 2000 sind insbesondere sauber funktionierende Kernelmodus-Treiber (siehe auch Abschnitt 3.2 Innere Struktur – Windows Executive ab Seite 77). Bei einem derartigen fehlerhaften Treiber kann es sonst schnell zum gefürchteten Blue Screen kommen.
Treiberüberprüfungs-Manager Dienstprogramm VERIFIER
Für die Überprüfung von Kernelmodus-Treibern steht unter Windows 2000 das Tool VERIFIER.EXE zur Verfügung. Haben Sie Probleme mit der Stabilität des Systems und kommt es des öfteren zu kompletten Abstürzen mit einem Blue Screen, können Sie damit zielgerichtet einzelne Treiber testen und so die Fehlerquelle eingrenzen.
17.1 Schutz und Überprüfung von Systemdateien
741
Das Tool VERIFIER.EXE können Sie direkt an der Kommandozeile aufrufen und über eine grafische Benutzeroberfläche bedienen. Zusätzlich besteht die Möglichkeit der Steuerung der Software mit Optionen über die Befehlszeile (siehe Seite 742) oder für Entwickler die Einbindung in des Systemdebugger WINDBG. Abbildung 17.4: Oberfläche des Treiberüberprüfungs-Managers
Das Programm wird auch als Treiberüberprüfungs-Manager bezeichnet. Unter EINSTELLUNGEN werden alle Kernelmodus-Treiber Ihres Systems aufgelistet. Standardmäßig ist dabei der ÜBERPRÜFUNGSSTATUS aller Treiber deaktiviert. Abbildung 17.5: Liste der Kernelmodus-Treiber
742
17 Reparatur und Wiederherstellung Um einen bestimmten Treiber einer Überprüfung auszusetzen, markieren Sie diesen und setzen den ÜBERPRÜFUNGSSTATUS über die Schaltfläche ÜBERPRÜFEN auf AKTIVIERT. Es wird empfohlen, jeweils nur einen oder wenige Treiber gleichzeitig zu überprüfen. Diese Einstellung wird allerdings erst nach einem Neustart wirksam.
Abbildung 17.6: Anzeige der Treiber, die derzeit überprüft werden
Nach dem Neustart bekommen Sie die Liste der ÜBERPRÜFTEN TREIBER mit der Angabe, ob der Treiber überhaupt geladen worden ist. Für einen wirksamen Check dieser Treiber empfiehlt es sich jetzt, Routinen oder Anwendungsprogramme zu starten, die diese Treiber benötigen und belasten. Bei einer Fehlfunktion eines der Treiber wird das System mit einer Stopp-Meldung (Blue Screen) anhalten und eine entsprechende Fehlermeldung mit Angabe des Treibernamens generiert. Während des Tests von Treibern über den TreiberÜberprüfungsmanager sollten Sie keine Dateien mit sensiblen Daten offen halten, das diese durch einen plötzlichen Halt des Systems (Blue Screen) sonst gefährdet werden könnten. Nach Durchführung aller Tests sollten Sie den ÜBERPRÜFUNGSSTATUS der Treiber wieder auf DEAKTIVIERT stellen und den Computer neu starten.
Kommandozeilen-Optionen von VERIFIER.EXE Neben der Bedienung über die grafische Benutzeroberfläche kann VERIFIER auch über eine Reihe von Kommandozeilen-Optionen konfiguriert werden. Damit eignet sich dieses Tool auch für die Einbindung in Stapelverarbeitungsdateien und für den Remote-Aufruf.
17.1 Schutz und Überprüfung von Systemdateien
743
Folgende Varianten für den Aufruf des Tools von der Kommandozeile können Sie nutzen: verifier [/query] verifier /flags <wert> [/iolevel ] /driver
Aufrufvarianten von VERIFIER
verifier /flags <wert> [/iolevel ] /all verifier /volatile /flags <wert> verifier /reset verifier /log [/interval <sekunden>] Der Aufruf von VERIFIER ohne eine Option startet den Treiberüberprüfungs-Manager mit seiner grafischen Bedienoberfläche (siehe auch Seite 740). Die Bedeutung der einzelnen Optionen können Sie der folgenden Tabelle entnehmen:
Option /query
Tabelle 17.2: Optionen von Gibt während einer laufenden Überprüfung aktuelle VERIFIER.EXE
Bedeutung
Daten auf dem Bildschirm1 aus. /driver
Aktiviert die Überprüfung des für angegebenen Treibers. Sie können auch mehrere Treibernamen, getrennt durch Leerzeichen, angeben. Der Treibername muss komplett mit Dateiendung (meist .SYS), jedoch ohne Pfadangabe eingegeben werden. Diese Einstellung wird erst nach einem Neustart wirksam.
/all
Aktiviert die Überprüfung aller Treiber und wird ebenfalls erst nach einem Neustart aktiv.
/flags <wert>
Bestimmt über die Angabe eines hexadezimalen Wertes die Art der Überprüfung der Treiber. Folgende Werte können (bitweise) kombiniert werden: Hex Binär
Bedeutung
0x01 0000 0001
Spezielle Poolüberprüfung
0x02 0000 0010
IRQL-Überprüfung
0x04 0000 0100
Simul. unzureichender Ressourcen
0x08 0000 1000
Poolnachverfolgung
0x10 0001 0000
E/A-Überprüfung
Der Standardwert beträgt hexadezimal 3 (0000 0011).
1
Für die Aufzeichnung dieser Werte in einer Textdatei können Sie die Ausgabe umleiten mit verifier /query >datei.txt oder >>datei.txt, um die Werte an eine bestehende Datei anzuhängen.
744
17 Reparatur und Wiederherstellung
Option
Bedeutung
/volatile
Erlaubt die temporäre Änderung der Einstellungen (gehen nach Neustart verloren).
/reset
Setzt alle Einstellungen des TreiberüberprüfungsManagers wieder zurück (nach Neustart wirksam).
/log
Erstellt eine unter angegebene Protokolldatei.
/interval <sek.>
Definiert das Aktualisierungsintervall für die Generierung der unter /log angegebenen Protokolldatei.
/flags-
17.1.3 Digitale Signaturen Windows Hardware Für die Sicherstellung einer einheitlich hohen Qualität von GerätetreiQuality Lab bern hat Microsoft mit Windows 2000 die Treibersignaturen einge-
führt. Signaturen erhalten die Treiber, die umfangreiche Tests im von Microsoft geleiteten Windows Hardware Quality Lab (WHQL) bestanden haben. Die in den letzten Monaten mit Windows 2000 gemachten Erfahrungen belegen tatsächlich, dass für ein instabiles System meist unsignierte Treiber verantwortlich sind. Das soll nicht alle Hersteller verunglimpfen, die noch keine Signatur aufweisen können, kann aber als nützlicher Hinweis dienen, bei Störungen zunächst nach unsignierten Treibern zu fahnden. Signatur-Kataloge
Digitale Signaturen zu einzelnen Systemdateien sind unter Windows 2000 in speziellen Katalogen verzeichnet, die vor dem direkten Benutzerzugriff geschützt abgelegt sind. Die Kataloge werden in dem folgenden Verzeichnis abgelegt: D:\WINNT\system32\CatRoot Daneben existieren noch weitere Kataloge, die auch Signaturen für Geräte von Drittherstellern enthalten, wie beispielsweise OEM0.CAT. Signatur-Kataloge sind selbst durch ein digitales Zertifikat gekennzeichnet, so dass sichergestellt werden kann, dass nicht so einfach gefälschte Signaturen zum Einsatz kommen können.
17.1 Schutz und Überprüfung von Systemdateien
745 Abbildung 17.7: Signatur-Katalog
Diese Kataloge werden auch durch den Windows-Dateischutz gesichert. Kopien davon werden im DLLCACHE abgelegt (siehe auch Abschnitt 17.1.1 Windows-Dateischutz ab Seite 737). Möchten Sie einen Treiber installieren, der keine gültige digitale Sig- Warnung bei Instalnatur aufweist, wird standardmäßig eine entsprechende Warnung lation unsignierter ausgegeben. Diese können Sie natürlich übergehen, tun dies dann aber Treiber mit dem Risiko eines eventuell instabilen Systems. Es kann sicher als Idealzustand angesehen werden, ausschließlich signierte Treiber zu benutzen, wird dann aber die Palette nutzbarer Hardware-Ressourcen deutlich einschränken. Abbildung 17.8: Warnung vor einem unsigniertem Treiber
746
17 Reparatur und Wiederherstellung Windows 2000 ein Tool zur Überprüfung signierter Dateien und überlässt es dem Administrator, das generelle Verfahren beim Umgang mit nicht signierten Treibern festzulegen.
Prüfung von Treibersignaturen mit SIGVERIF.EXE Für die Überprüfung von Signaturen gibt es unter Windows 2000 das Tool SIGVERIF. Das Programm verfügt über eine grafische Bedienoberfläche. Abbildung 17.9: Dienstprogramm SIGVERIF
Standardmäßig werden alle Dateien im Windows 2000Systemverzeichnis %SYSTEMROOT% und in allen Unterverzeichnissen überprüft. Nach Beendigung des Prüfvorganges erhalten Sie eine Übersicht mit der Angabe der nicht signierten Systemdateien. Abbildung 17.10: Liste der nicht signierten Dateien
Protokolldatei SIGVERIF.TXT
Eine Protokolldatei mit dem Namen SIGVERIF.TXT wird ebenfalls standardmäßig im Verzeichnis %SYSTEMROOT% angelegt, in der alle Systemdateien mit ihrem Signaturstatus aufgeführt werden.
17.2 Informations- und Diagnoseprogramme
747
Über die Schaltfläche ERWEITERT des Startfensters von SIGVERIF lassen sich die Programmfunktionen anpassen. Über die erweiterten SuchenEinstellungen können Sie festlegen, dass nur bestimmte Dateien in speziellen Ordnern untersucht werden sollen. Abbildung 17.11: Erweiterte Einstellungen von SIGVERIF
Unter PROTOKOLLIEREN können Sie bestimmen, ob ein Protokoll aufgezeichnet und wo dieses gespeichert werden soll.
17.2 Informations- und Diagnoseprogramme Für die Analyse von Hardware- und Treiberbestandteilen Ihres Windows 2000-Systems liefert Microsoft zwei nützliche Tools mit: MSINFO32 und DXDIAG.
17.2.1 Systeminformationen mit MSINFO32 Die Managementkonsole SYSTEMINFORMATIONEN starten Sie über Ansicht: Einfach START | AUSFÜHREN | MSINFO32. Sie erhalten über sechs Unterkatego- oder Erweitert rien einen Überblick über die Komponenten Ihres Systems sowie den derzeitigen aktuellen Stand geladener Treiber oder genutzter Hardware-Ressourcen. Dabei können Sie über das Menü ANSICHT zwischen den Modi EINFACH und ERWEITERT umschalten. Standardmäßig ist der einfache Ansichtsmodus aktiv. Der erweiterte Modus ist dann sinnvoll, wenn tiefergehende Informationen zu einzelnen Prozessen benötigt werden. Je nach Kategorie bringt aber auch der erweiterte Ansichtsmodus nicht unbedingt mehr sinnvolle Informationen.
748
17 Reparatur und Wiederherstellung
Abbildung 17.12: Systeminformationen
Die Kategorien im Überblick Die sechs standardmäßig vorhandenen Kategorien zeigen Ihnen die folgenden Informationen: Systemübersicht
•
Systemübersicht Hier werden allgemeine Informationen zu Ihrem System angezeigt. Das sind unter anderem neben der konkreten Windows-Version auch Angaben zum Prozessor, zur BIOS-Revision und zum installiertem und verfügbaren Hauptspeicher.
Hardware
•
Hardwareressourcen Wichtige Hinweise bei einem Fehlverhalten des Systems können Sie unter Umständen der Kategorie Hardwareressourcen entnehmen. Hier finden Sie alle Angaben zur den konkret genutzten Ressourcen. In der Unterkategorie Ressourcenkonflikte können Sie beispielsweise erkennen, ob mehrere Geräte bei der Nutzung von Ressourcen kollidieren (siehe auch Abbildung 17.13).
Komponenten
•
Komponenten Hier werden die Hardware-Komponenten und ihre aktuell installierten Treiber angezeigt.
Software
•
Softwareumgebung In dieser Kategorie erhalten Sie Informationen zu allen derzeit aktiven Programmen, Treibern, Diensten und anderen Tasks. Darüber hinaus sehen Sie die aktuellen Einstellungen zum System (UMGEBUNGSVARIABLEN), die über Autostart installierten Pro-
17.2 Informations- und Diagnoseprogramme
749
gramme (AUTOSTART-PROGRAMME) oder zur Einrichtung von OLE (Object Linking and Embedding – OLE-REGISTRIERUNG). Abbildung 17.13: Erkennen von Ressourcen-Konflikten
Je nach installierten Anwendungsprogrammen (beispielsweise Microsoft Office) und Systemerweiterungen (Internet Explorer1) können hier weitere Kategorien erscheinen. Die Anwendungsprogramme müssen allerdings direkt auf Windows 2000 abgestimmt sein, um hier Informationen verankern zu können. Derzeit (Mitte 2000) sind das nur die Anwendungen des Office 2000-Pakets von Microsoft.
Abspeichern von Systeminformationen Die gewonnenen Systeminformationen können Sie auch abspeichern, Informationen um sie auszudrucken oder an andere Fachleute weiterzugeben. Über speichern das Menü VORGANG können Sie die Speicherung in zwei verschiedenen Formaten vornehmen: •
ALS TEXTDATEI SPEICHERN...
Textdatei
Speichert die Informationen in eine normale ANSI-Textdatei. Dabei ist es auch möglich, nur die angezeigten Informationen für eine untergeordnete Kategorie über deren Kontextmenü zu speichern (beispielsweise nur die Anzeige mit den Ressourcenkonflikten). •
ALS SYSTEMINFORMATIONSDATEI SPEICHERN... Dieses spezielle Dateiformat mit der Endung NFO kann nur durch das Programm MSINFO32 selbst wieder gelesen werden. Damit
1
auch wenn man aufgrund seiner tiefgehenden Integration kaum von einer Erweiterung sprechen kann...
Systeminformationsdatei
750
17 Reparatur und Wiederherstellung können Sie die gewonnenen Systeminformationen komplett in einer übersichtlichen Form weitergeben. Auszüge für bestimmte Unterkategorien können allerdings nicht extrahiert werden. Auch wenn Sie die Speicherung über das Kontextmenü einer Unterkategorie starten, werden alle Systeminformationen neu generiert und komplett gesichert. Wird eine komplette Übergabe der Informationen benötigt, die auf einem anderen Windows 2000-System geöffnet werden kann, so ist die Speicherung in einer Systeminformationsdatei der beste Weg. Für die Weitergabe spezifischer Informationen zu einzelnen Kategorien ist die Nutzung des Textdateiformats sinnvoller und universeller, da diese auf jedem beliebigen System geöffnet werden kann.
Das Menü EXTRA Aus dem Programm MSINFO32 heraus können Sie direkt über das Menü EXTRAS eine Reihe weiterer Dienstprogramme starten. Abbildung 17.14: Menü EXTRA der Systeminformationen
Die folgenden Programme sind in diesem Menü zusammengefasst: Datenträgerbereinigung
•
Datenträgerbereinigung Mit diesem Dienstprogramm können Sie überflüssige Dateien auf Ihrem System finden und löschen. Dazu geben Sie zuerst den entsprechenden Datenträger an, der untersucht werden soll. Die weitere Beschreibung des Programms finden Sie in Abschnitt 11.11.2 Bereinigen des Datenträgers ab Seite 469.
17.2 Informations- und Diagnoseprogramme •
Dr. Watson
751 Dr. Watson
Dieses Dienstprogramm hilft insbesondere Programmentwicklern bei der Fehlersuche. Als Administrator können Sie Informationen gewinnen, wann und welches Softwareprodukt abgestürzt ist. Eine Beschreibung zu Dr. Watson finden Sie in Abschnitt 17.2.2 Dr. Watson ab Seite 752. •
DirectX-Diagnose
DirectX-Diagnose
Das Programm, welches Sie auch direkt über den Aufruf von DXDIAG.EXE starten können. Eine Beschreibung finden Sie in Abschnitt 17.2.3 DirectX-Diagnoseprogramm DXDIAG.EXE ab Seite 755. •
Hardware-Assistent Über diesen Menüpunkt starten Sie den Hardware-Assistenten von Windows 2000 zur Suche und Installation neuer HardwareKomponenten.
•
Netzwerkverbindungen Mit diesem Menüeintrag öffnen Sie direkt das Fenster für die Netzwerkverbindungen Ihres Systems. Die Netzwerkeinrichtung unter Windows 2000 ist Inhalt des Kapitels 12 Administration von Netzwerken ab Seite 493.
•
Backup
HardwareAssistent
Netzwerkverbindungen
NtBackup
Hier können Sie direkt das integrierte Backup-Programm NTBACKUP.EXE von Windows 2000 starten. Eine Beschreibung seiner Handhabung finden Sie in Abschnitt 24.1.2 Das Sicherungsprogramm ab Seite 960. •
Dateisignaturbestätigung
Dateisignaturen
Über diesen Menüpunkt starten Sie das Programm SIGVERIF.EXE. Mehr zu Dateisignaturen und der Handhabung dieses Dienstprogramms erfahren Sie in Abschnitt 17.1.3 Digitale Signaturen ab Seite 744. •
Deinstallation des Update-Assistenten Diese Bezeichnung ist durch eine schlechte Übersetzung aus dem Englischen leider etwas irreführend. Natürlich wird hiermit nicht der Update-Assistent deinstalliert, sondern Sie können eventuell installierte Service-Packs oder andere Windows-Updates wieder von Ihrem System entfernen.
Update-Assistent
752 Berichtsprogramm
17 Reparatur und Wiederherstellung •
Windows-Berichtsprogramm Dieses Dienstprogramm kann helfen, technische Probleme über die Inanspruchnahme kompetenter externer Mitarbeiter des Supports zu lösen. Eine Beschreibung des Programms finden Sie in Abschnitt 17.2.4 Windows-Berichtsprogramm ab Seite 757.
17.2.2 Dr. Watson Werkzeug vor allem für Entwickler
Dr. Watson hilft durch die Protokollierung von Programmabstürzen unter Windows 2000 bei der Fehlersuche. Allerdings helfen die protokollierten Informationen vorrangig Entwicklern, die dann mit Hilfe eines Debuggers genau die Stelle im Quellcode finden können, die den fehler verursacht hat.
Nützliche Infos auch für Administratoren
Administratoren können mit Hilfe von Dr. Watson allerdings feststellen, wann eine bestimmte Applikation abgestürzt ist und in welchem Kontext sie sich zu anderen geladenen Programmen befand. Damit die Protokolle genau die für einen Administrator benötigten Informationen enthalten1, sollten Sie Anpassungen an den Einstellungen von Dr. Watson vornehmen, die im folgenden Text beschrieben werden.
Einstellungen für Administratoren DRWTSN32.EXE
Dr. Watson starten Sie über den Aufruf von DRWTSN32.EXE von der Eingabeaufforderung oder über START | AUSFÜHREN. Darüber hinaus ist der Aufruf des Programms in das Menü EXTRAS der Systeminformationen integriert (siehe auch Abschnitt 17.2.1 Systeminformationen mit MSINFO32 ab Seite 747).
1
Es wird im folgenden Text davon ausgegangen, dass nicht unter Windows 2000 entwickelt wird – dafür sollte Dr. Watson in seiner Grundeinstellung belassen werden.
17.2 Informations- und Diagnoseprogramme
753 Abbildung 17.15: Dr. Watson
Die folgenden Einstellungen sind für die Protokollierung von Informationen über Programmabstürze für die Auswertung durch den Administrator sinnvoll: •
Protokollpfad
Protokollpfad
Hier bestimmen Sie den Pfad, in dem das durch Dr. Watson angelegte Protokoll gespeichert werden soll. In einem Netzwerk kann das beispielsweise auch ein zentrales Serververzeichnis sein, so dass Sie direkten Zugriff auf die Protokolle der einzelnen Arbeitsstationen haben1. Das durch Dr. Watson angelegte Protokoll hat immer die Bezeichnung DRWTSN32.LOG. •
Anzahl der zu speichernden Fehler
Anzahl Fehler
Die Grundeinstellung umfasst die Speicherung von zehn Fehlern. Dies sollte in den meisten Fällen ausreichen. Bei Registrieren des elften Fehlers wird dann der erste wieder gelöscht. Die gespeicherten Fehlerprotokolle werden in der Liste ANWENDUNGSFEHLER angezeigt und können mit Doppelklick geöffnet werden. An Protokolldatei anhängen
1
Denken Sie allerdings daran, dass im Falle eines Absturzes einer Netzwerkkomponente unter Umständen der Netzwerkpfad nicht mehr verfügbar sein könnte und dann keine Protokollierung möglich ist.
754
17 Reparatur und Wiederherstellung •
An vorhandene Protokolldatei anhängen Soll die Protokoll-Textdatei DRWTSN32.LOG nicht bei jedem neuen Fehler wieder gelöscht und neu angelegt werden, lassen Sie diese Option aktiviert.
Benachrichtigung des Anwenders
•
Visuelle Benachrichtigung Für die Registrierung eines Programmabsturzes durch den Anwender kann die visuelle Benachrichtigung durch Dr. Watson sinnvoll sein. Soll der Anwender durch eine derartige Meldung nicht behelligt werden (sie nützt ja auch nichts, den Fehler in diesem Moment zu beheben oder den Absturz zu verhindern), deaktivieren Sie diese Option. Ein nettes Gimmick, aber praktisch wenig sinnvoll, ist die Möglichkeit einer akustischen Benachrichtigung1.
Nur für den Entwickler interessant und für Administratoren unnötig – sie führen nur zu größeren Protokollen und Platzverschwendung auf der Festplatte durch Memorydump-Dateien – sind die folgenden Optionen, die Sie deshalb deaktivieren sollten: Für Administratoren deaktivieren
•
Symboltabelle abbilden
•
Alle Threadkontexte abbilden
•
Datei für Absturzspeicherabbild erstellen
Registrierung im Ereignisprotokoll Programmabstürze werden zusätzlich zur Protokollierung durch Dr. Watson auch im Ereignisprotokoll »Anwendungsprotokoll« festgehalten.
1
Beispielsweise: »Leider stürzt Ihr Programm nun ab, hoffentlich hatten Sie gesichert!«
17.2 Informations- und Diagnoseprogramme
755 Abbildung 17.16: Registrierung im Ereignisprotokoll
Mehr Informationen zum Ereignisprotokoll und den Auswertungsmöglichkeiten finden Sie in Abschnitt 16.2 Ereignisanzeige ab Seite 715.
17.2.3 DirectX-Diagnoseprogramm DXDIAG.EXE Mit Hilfes dieses Dienstprogramms können Sie die installierten Treiber und Grafikkomponenten des Betriebssystems überprüfen.
Überprüfen der DirectX-Version Eine der wichtigsten Informationen ist die Angabe der installierten DirectX-Version (siehe Abbildung 17.17).
756
17 Reparatur und Wiederherstellung
Abbildung 17.17: DirectX-Diagnoseprogramm
Funktionieren Grafikanwendungen, die DirectX nutzen (beispielsweise auch moderne 3D-Spiele) nur eingeschränkt, lohnt sich auf jedem Fall ein Blick auf die in Ihrem System installierte Version. Aufgrund der rasanten Entwicklung im Grafikkartenmarkt werden hier weiterhin schnell Updates für neue DirectX-Versionen von Microsoft verfügbar sein.
Hardware-Beschleunigung aktivieren Treiberprobleme analysieren
Ursache der meisten Probleme bei der Grafikausgabe, insbesondere bei der Nutzung anspruchsvoller 3D-Funktionen, sind fehlerhafte oder unzulängliche Treiber. So bieten viele Treiber, die im Lieferumfang von Windows 2000 enthalten sind, nur eingeschränkte Hardware-Unterstützung. Für normale Büroanwendungen wie Textverarbeitung oder Tabellenkalkulation ist das in der Regel nicht von Bedeutung. Sollen allerdings moderne 3D-Grafikprogramme oder Spiele zum Einsatz kommen, ist ein korrekt funktionierender Treiber, der alle Möglichkeiten der Hardware nutzt, unabdingbar. Über die Registerkarte ANZEIGE sehen Sie, welche DIRECTXFUNKTIONEN überhaupt aktiv sind.
17.2 Informations- und Diagnoseprogramme
757 Abbildung 17.18: Anzeige der verfügbaren DirectXFunktionen
Sind die Felder DIRECT3D-BESCHLEUNIGUNG und AGP-UNTERSTÜTZUNG mit NICHT VERFÜGBAR gekennzeichnet, obwohl die installierte Grafikkarte diese Funktionen aufweisen müsste, deutet das auf einen nicht korrekt funktionierenden Treiber hin. Abhilfe kann hier die Installation eines aktualisierten Treibers des Grafikkarten-Herstellers schaffen.
17.2.4 Windows-Berichtsprogramm Für die Kommunikation mit externen Support-Spezialisten hat Micro- Kommunikation mit soft die Anwendung Windows-Berichtsprogramm implementiert. Sie externem Support starten das Programm über das Menü EXTRAS der Systeminformationen (siehe auch Abschnitt 17.2.1 Systeminformationen mit MSINFO32 ab Seite 747) oder mit dem Aufruf von WINREP.EXE über die Eingabeaufforderung oder über START | AUSFÜHREN.
758
17 Reparatur und Wiederherstellung
Abbildung 17.19: WindowsBerichtsprogramm
Hier haben Sie Raum, das Problem und weitergehende Informationen zum Reproduzieren durch Support-Fachleute festzuhalten. Über die Schaltfläche WEITER wird ein Bericht in Form einer gepackten Windows CAB-Datei generiert, der dann über das Netzwerk oder via Email weitergeleitet werden kann. Aufgrund eines Übersetzungsfehlers aus dem Englischen wird als Standardverzeichnis zur Speicherung des Berichts das Verzeichnis MY DOKUMENTS statt EIGENE DATEIEN angenommen. Sie sollten das Verzeichnis zur Ablage des Berichts deshalb in jedem Fall selbst festlegen. Diese CAB-Datei können Sie mit Hilfe des Dienstprogramms WINREP.EXE über das Hauptmenü DATEI | ÖFFNEN wieder laden, um die Problembeschreibung einzusehen oder gegebenenfalls Änderungen vorzunehmen. Die folgenden Informationen werden für den Bericht in der CAB-Datei abgelegt: $$$.BRT
•
Problembeschreibung Die Beschreibung des Problems in Textform wird in einer speziellen Textdatei $$$.BRT abgelegt. Sie können diese Datei bei Bedarf auch aus der CAB-Datei extrahieren und mit einem normalen Texteditor öffnen.
$$$.NFO
•
Systeminformationen Die über das System gesammelten Systeminformationen sind in der Datei $$$.NFO gespeichert. Diese Datei können Sie ebenfalls aus der CAB-DATEI separieren und mit Doppelklick öffnen. Dabei wird
17.3 Die Registrierungsdatenbank
759
unter Windows 2000 automatisch das Dienstprogramm MSINFO32 (siehe auch Abschnitt 17.2.1 Systeminformationen mit MSINFO32 ab Seite 747) gestartet und zeigt die gespeicherten Systeminformationen übersichtlich an. •
Weitere Systemdateien Je nach Einstellung können Sie mit dem Bericht weitere Systemdateien mitgeben, die dann ebenfalls in der CAB-Datei abgelegt werden. Welche Systemdateien das sind, legen Sie über die Schaltfläche SYSTEMDATEIAUSWAHL ÄNDERN fest.
Weitere Systemdateien
Abbildung 17.20: Festlegung der mit zu übergebenen Systemdateien
Standardmäßig sind keine Systemdateien zur Weitergabe mit dem Bericht markiert.
17.3 Die Registrierungsdatenbank Unter Windows 2000, wie auch schon beim Vorgänger NT, dient die Systemregistrierung der Speicherung aller wesentlichen Konfigurationsinformationen. Sie besteht aus einer Reihe separater Datenbankdateien, die über Registrierungseditoren logisch dargestellt und bearbeitet werden können.
760
17 Reparatur und Wiederherstellung
17.3.1 Grundlegende Struktur Die logische Struktur der Registrierungsdatenbank besteht aus fünf Teilen: HKEY_CLASSES_ ROOT
•
HKEY_CLASSES_ROOT Hier sind die Zuordnungen der Dateinamen-Erweiterungen zu den entsprechenden Anwendungsprogrammen zu finden. Um diese zu bearbeiten empfiehlt sich aber die Nutzung des Programms ORDNEROPTIONEN in der Systemsteuerung, welches Sie über START | EINSTELLUNGEN | SYSTEMSTEUERUNG erreichen. Ein praktisches Beispiel dazu finden Sie in Abschnitt 13.4.2 Drucken per Drag&Drop ab Seite 595. Dieser Schlüssel ist eine Link auf: HKEY_LOCAL_MACHINE\Software\Classes
HKEY_CURRENT_ USER
•
HKEY_CURRENT_USER Hier ist das Nutzerprofil des aktuell angemeldeten Benutzers abgelegt, wie beispielsweise die Einrichtung der Dateien und Anwendungen oder die Bildschirmfarben. Dieser Schlüssel ist eine Link auf die verschlüsselt abgelegte Konfigurationsstruktur für den entsprechenden Benutzer in HKEY_USERS.
HKEY_LOCAL_ MACHINE
•
HKEY_USERS
•
HKEY_LOCAL_MACHINE In diesem Schlüssel sind benutzerunabhängige Konfigurationsinformationen zur Hardware des Systems abgelegt. HKEY_USERS Dieser Schlüssel enthält das Stammverzeichnis aller im System registrierten Benutzer, einschließlich der Standardeinstellungen für alle neuen Benutzer.
HKEY_CURRENT_ CONFIG
•
Speicherort
Die Dateien der Registrierungsdatenbank sind im folgenden Verzeichnis abgelegt:
HKEY_CURRENT_CONFIG Hier sind die Informationen zum Hardwareprofil hinterlegt, welches beim Start des Windows 2000-Systems auf Ihrem Computer benutzt wird.
%Systemroot%\System32\Config Sie besteht aus Erweiterung):
den
folgenden
Dateien
(ohne
Dateinamen-
17.3 Die Registrierungsdatenbank •
DEFAULT
•
SAM
•
SECURITY
•
SOFTWARE
•
SYSTEM
In Abschnitt 17.3.3 Sichern der Registrierung ab Seite 766 erfahren Sie, Registrierung wie Sie die Registrierungsdatenbankdateien sichern können und wo sichern diese standardmäßig abgelegt werden.
17.3.2 Bearbeiten der Registrierung Für die Bearbeitung der Registrierung stehen unter Windows 2000 zwei Registrierungseditoren zur Verfügung. Beide unterscheiden sich nur hinsichtlich der Art und Weise ihrer Bedienung – grundsätzlich lassen sich beide für eventuell anfallende Administrationsaufgaben an der Systemregistrierung einsetzen. Nehmen Sie manuelle Änderungen an der Systemregistrierung grundsätzlich sehr sorgsam mit einer Sicherung des alten Standes vor. Eine Beschädigung der Systemregistrierung kann bis zur Unbrauchbarkeit des Windows 2000-Systems führen. In den folgenden Abschnitten werden Ihnen die beiden Editoren vorgestellt und die unterschiedlichen Bedienkonzepte deutlich gemacht.
Registrierungseditor REGEDIT.EXE REGEDIT.EXE zeigt alle Unterschlüssel in einer kompletten Baumstruktur an, analog zur Darstellung der Verzeichnisse im Windows Explorer. Die Registrierungsdatenbank wird so als eine logische Einheit dargestellt.
761
762
17 Reparatur und Wiederherstellung
Abbildung 17.21: Registrierungseditor REGEDIT.EXE
Folgende Merkmale zeichnen REGEDIT.EXE aus: Suchfunktion
•
Suchfunktion Über das Menü BEARBEITEN | SUCHEN oder die Tastenkombination STRG+F können Sie die Suchfunktion aktivieren. Die Suche beginnt bei dem aktuell geöffneten Unterschlüssel oder Wert. Dabei können Sie festlegen, ob Sie nach einem SCHLÜSSELnamen, bestimmten WERTEN oder inhaltlichen DATEN suchen wollen.
Abbildung 17.22: Suchfunktion in REGEDIT.EXE
Aktivieren
Sie das Kontrollkästchen GANZE ZEICHENFOLGE muss der eingegebene Suchtext exakt mit Werten beziehungsweise Daten in der Registrierungsdatenbank übereinstimmen. VERGLEICHEN,
Über BEARBEITEN | WEITERSUCHEN oder die Funktionstaste F3 können Sie nach einem einmal eingegebenen Suchbegriff weitersuchen lassen.
Weitersuchen
Favoriten
•
Favoriten Für das Wiederfinden bestimmter Stellen in der Registrierungsdatenbank können Sie die FAVORITEN-Funktion benutzen. Über den gleichnamigen Menüpunkt fügen Sie einfach einen bestimmten Unterschlüssel als Favorit in REGEDIT.EXE hinzu. Im Menü FAVORIT erscheint dieser dann und steht für einen schnellen Zugriff bereit.
17.3 Die Registrierungsdatenbank •
Import / Export der Registrierung
763 Import/Export
Die ganze Registrierungsdatenbank oder einzelne untergeordnete Strukturen können Sie in eine Textdatei exportieren. Über das Hauptmenü Registrierung | Registrierungsdatei exportieren erhalten Sie ein Eingabefenster, in welchem Sie den Namen der Textdatei angeben und darüber hinaus festlegen, ob die gesamte Datenbank oder nur eine Teilstruktur exportiert werden soll. Abbildung 17.23: Export in eine Textdatei
Die Datei erhält die Erweiterung .REG, ist jedoch eine normale Textdatei, die mit jedem Editor bearbeitet werden kann. Allerdings wird sie durch eine spezielle Syntax zur Registrierungsdatei, die per Doppelklick wieder importiert werden kann. Wenn Sie Änderungen an einer Teilstruktur vornehmen wollen, empfiehlt es sich, diese Teilstruktur in eine Textdatei zu exportieren (zu sichern), um im Falle einer fehlerhaften Änderung von Werten den ursprünglichen Zustand wiederherstellen zu können. Sie können mit REGEDIT.EXE eine Textdatei auch von der Kommandozeile importieren. Geben Sie dazu ein: Regedit /s
Kommandozeile
steht dabei für eine gültige Registrierungsdatei. Ein grundlegender Nachteil von REGEDIT.EXE besteht darin, dass Sie Nachteil: mit diesem Registrierungseditor keine Werte bearbeiten können, die 256 Zeichen-Werte mehr als 256 Zeichen umfassen. Diese Werte werden nicht in REGEDIT angezeigt. Sie lassen sich nur mit Hilfe von REGEDT32.EXE bearbeiten.
Registrierungseditor REGEDT32.EXE Gegenüber REGEDIT.EXE erfolgt die Darstellung der untergeordneten Kategorien in REGEDT32.EXE in separaten Fenstern.
764
17 Reparatur und Wiederherstellung
Abbildung 17.24: Registrierungseditor REGEDT32.EXE
Dieser Registrierungseditor weist die folgenden wesentlichen Merkmale auf: Sicherheit
•
Sicherheitsoptionen Über das Menü SICHERHEIT | BERECHTIGUNGEN lassen sich die Zugriffsberechtigungen für alle über- und untergeordneten Kategorien und Schlüssel explizit setzen. Damit können Sie beispielsweise bestimmte Schlüssel vor dem Zugriff durch normale Benutzer schützen.
Abbildung 17.25: Festlegen von Berechtigungen
17.3 Die Registrierungsdatenbank
765
Darüber hinaus können Sie auch Kategorien oder Schlüssel über- Überwachung wachen lassen. Eine Änderung, so sie zugelassen ist, wird dann im Ereignisprotokoll aufgezeichnet. Die Überwachung können Sie über die Schaltfläche ERWEITERT beim Dialogfenster für die BERECHTIGUNGEN definieren (siehe Abbildung 17.25). Beachten Sie, dass zum Wirksamwerden der Überwachung die entsprechende lokale ÜBERWACHUNGSRICHTLINIE in der Managementkonsole LOKALE SICHERHEITSEINSTELLUNGEN eingestellt sein muss. Dies gilt allerdings nur dann, wenn der Computer nicht Mitglied einer Domäne im Active Directory ist. Dann haben die Sicherheitsrichtlinien auf Domänenebene Vorrang. Mehr zur Einstellung der lokalen Überwachungsrichtlinien in Windows 2000 Professional erfahren Sie in Abschnitt 16.2.2 Aktivieren und Konfigurieren des Sicherheitsprotokolls ab Seite 717. •
Schreibgeschützter Modus
Schreibgeschützt
Für eine höhere Sicherheit beim Erforschen der Registrierung können Sie über das Menü OPTIONEN | SCHREIBGESCHÜTZT den Editor im schreibgeschützten Modus betreiben. Abbildung 17.26: Schreibgeschützter Modus
Ungewollte Änderungen werden so ignoriert und können nicht zur Beschädigung der Systemregistrierung führen. •
256-Zeichen-Werte
256-Zeichen-Werte
Nur in diesem Registrierungseditor lassen sich 256-Zeichen-Werte anzeigen und bearbeiten. •
Suchfunktion
Suche
Über das Menü ANSICHT | SCHLÜSSEL SUCHEN (nicht über eine Tastenkombination) können Sie auch in REGEDT32 eine Suchfunktion nutzen. Allerdings ist deren Funktionalität im Vergleich zu der in REGEDIT.EXE eingeschränkter. Abbildung 17.27: Suchfunktion in REGEDT32
766
17 Reparatur und Wiederherstellung So sind Suchläufe nur nach Schlüsselnamen und auf das aktuelle Fenster und damit auf die hier angezeigte Unterkategorie beschränkt. Für eine Suche nach bestimmten Schlüsselnamen oder Werten in der gesamten Systemregistrierung ist der Registrierungseditor REGEDIT.EXE (siehe auch Seite 761) besser geeignet.
17.3.3 Sichern der Registrierung Die Beschädigung der Registrierungsdatenbank, etwa aufgrund falscher Eingriffe oder durch Datenträgerfehler, kann sich fatal auf die Lauffähigkeit von Windows 2000 auswirken. Im schlimmsten Fall ist nicht einmal mehr ein Neustart möglich. Eine regelmäßige Sicherung der Registrierungsdatenbank stellt deshalb die beste Vorbeugung für den Fall einer notwendigen Wiederherstellung dar. Dabei gibt es dazu verschiedene Möglichkeiten.
Erstellen der Notfalldiskette Etwas versteckt gibt es bei der Erstellung der Notfalldiskette eine Option, mit der Sie die Sicherung der Registrierungsdatenbank Ihres Systems durchführen können. Starten Sie dazu das Sicherungsprogramm von Windows 2000, beispielsweise über START | AUSFÜHREN | NTBACKUP. Abbildung 17.28: Sicherungsprogramm mit Option NOTFALLDISKETTE
17.3 Die Registrierungsdatenbank
767
Über die Schaltfläche NOTFALLDISKETTE erscheint ein Dialogfenster, in dem Sie eine Option für die Sicherung der Registrierung finden. Abbildung 17.29: Option zur Sicherung der Registrierung
Natürlich wird die Registrierung, die ja ohne weiteres 30 MB oder mehr an Daten umfassen kann, nicht auf der Notfalldiskette gespeichert, sondern bei diesem Vorgang im folgenden Verzeichnis abgelegt: %Systemroot%\Repair\RegBack
Sicherungsort
Von diesem Sicherungsverzeichnis aus lassen sich diese Dateien auf einen anderen Datenträger kopieren. Vom Originalverzeichnis %Systemroot%\System32\Config können Sie übrigens, auch nur zum Kopieren, nicht auf die Registrierungsdateien zugreifen, da diese durch das System geöffnet und gesperrt sind.
OriginalSpeicherort
Auf der Notfalldiskette befinden sich lediglich Informationen über Notfalldiskette den Installationsort von Windows 2000 und installierte Dateien im Hauptverzeichnis %SYSTEMROOT%. In Abschnitt 17.4.5 Wiederherstellen der Registrierung ab Seite 786 erfah- Registrierung ren Sie, wie Sie die gesicherte Registrierung zuverlässig zurückholen wiederherstellen können.
Exportieren der Registrierung Neben der Sicherung der Dateien der Windows-Registrierung über Geeignet für das Sicherungsprogramm eignet sich dafür teilweise auch die Export- Teilbereiche Funktion des Registrierungseditors REGEDIT.EXE. Diese empfiehlt sich aber nur für die Sicherung und Wiederherstellung einzelner Kategorien oder Schlüssel. Für die Sicherung der gesamten Registrierung ist dieses Vorgehen nicht zu empfehlen. Das Vorgehen beim Export und Import von Registrierungsinformationen ist in Abschnitt Registrierungseditor REGEDIT.EXE ab Seite 761 beschrieben.
768
17 Reparatur und Wiederherstellung
17.4 Systemwiederherstellung nach Totalausfall Ein Totalausfall des Systems (der »Computer-GAU«) ist wohl die schlimmste aller möglichen Varianten. Dafür kann es eine ganze Reihe von Ursachen geben, angefangen von fehlerhaften Manipulationen an der Windows-Registrierung bis hin zu Datenträgerfehlern oder Virenbefall. Solange keine physischen Hardwareprobleme vorliegen, lässt sich Windows 2000 besser als jedes Vorgänger-Betriebssystem von Microsoft, von DOS einmal abgesehen, mit einer Reihe von Werkzeugen wieder lauffähig bekommen.
17.4.1 Überblick über die Mittel und Wege Bevor Sie sich an die Reparatur eines Systems machen, welches sich nicht mehr starten lässt, sollten Sie sich dazu mit allen verfügbaren Mitteln und Wegen unter Windows 2000 Professional vertraut machen.
Abgesicherter Modus und Wiederherstellungskonsole Abgesicherter Modus
•
Wiederherstellungskonsole
•
Notfallreparaturkonsole
•
Abgesicherter Modus Solange das System noch irgendwie hochfährt und dabei eventuell hängen bleibt oder unmotiviert neu startet, sollten Sie den Weg über das sogenannte F8-Menü gehen. Hier gibt es im Zusammenhang mit den Einstellungen in der Datei BOOT.INI mehrere Möglichkeiten, das System mit einer eingeschränkten Funktionalität zu starten, um Reparaturmaßnahmen durchzuführen oder Daten zu retten. Lesen Sie im nächsten Abschnitt, wie Sie diesen Modus mit seinen verschiedenen Varianten nutzen können. Wiederherstellungskonsole Als eine der letzten Möglichkeiten bleibt der Weg über die Wiederherstellungskonsole. Diesen sollten Sie allerdings nur dann in Erwägung ziehen, wenn sich das System auf eine andere Art und Weise nicht mehr starten lässt. Lesen Sie dazu den Abschnitt 17.4.3 Wiederherstellungskonsole ab Seite 771. Notfallreparaturkonsole Dieses grafische Tool bietet eine Reihe von Systemwerkzeugen an, die automatisiert ablaufen und dabei bestimmte Reparaturarbeiten durchführen können.
17.4 Systemwiederherstellung nach Totalausfall
769
Hinweise zur Wiederherstellen der Registrierung Die Registrierungsdateien sollten Sie mit Hilfe des Sicherungspro- Registrierung regramms NTBACKUP.EXE regelmäßig sichern (siehe auch Abschnitt gelmäßig sichern! 17.3.3 Sichern der Registrierung 766). Nur dann haben Sie die Chance, Ihre aktuelle Registrierung wieder vollständig herstellen zu können. Bevor Sie also neue Hardware und damit neue Treiber oder kritische Anwendungsprogramme installieren, die tief in das Systemgeschehen eingreift, sollten Sie die aktuelle Registrierung retten. Mit Hilfe der automatisierten Werkzeuge von Windows 2000 über das F8-Menü oder die Notfallreparaturkonsole lässt sich die Registrierung nicht in der aktuellen Fassung oder nicht vollständig wiederherstellen. Lesen Sie in Abschnitt 17.4.5 Wiederherstellen der Registrierung ab Seite 786, wie Sie dazu korrekt vorgehen können.
Bekämpfung von Computerviren Abgesehen von aktuellen Virenprogrammen können Sie auch mit dem AVBOOT mitgelieferten Virenprogramm AVBOOT den Masterbootsektor wieder herstellen, indem sich besonders gefährliche Viren einnisten. Sie finden das Programm AVBOOT auf der Installations-CD in folgendem Verzeichnis: \VALUEADD\3RDPARTY\CA_ANTIV Lesen Sie in der dazugehörigen Datei README.TXT, wie Sie dieses Tool benutzen können und wo Sie aktuelle Virensignaturdateien beziehen können.
17.4.2 Startmenü und abgesicherte Modi Kann des System nicht mehr gestartet werden, können Sie zunächst versuchen, einen der abgesicherten Modi zu verwenden. Dabei werden nur die wichtigsten Treiber geladen, um das System in einer Art »Notfahrplan« hochzufahren.
Aufrufen des F8-Menüs Um das Menü mit den erweiterten Startoptionen aufzurufen, drücken Sie die Funktionstaste F8 im Startmenü. Steht das Startmenü nicht zur Verfügung, betätigen Sie die Taste F8 direkt beim Beginn des Systemstarts.
770
17 Reparatur und Wiederherstellung
Abbildung 17.30: Erweiterte Startoptionen
Merkmale der abgesicherten Modi Funktionen des F8Menüs
Die folgende Übersicht enthält die einzelnen Punkte des F8-Menüs: •
Abgesicherter Modus Windows 2000 wird mit einer minimalen Anzahl von Treibern und Diensten gestartet. Es erfolgt keine Ausführung von Programmen, die in der AUTOSTART-Gruppe eingebunden sind. Nicht ausgeführt werden auch Programme, die über die Registrierung oder die Dateien für das 16 Bit-Windowssubsystem WIN.INI und SYSTEM.INI für die automatische Ausführung beim Systemstart eingebunden sind. Das betrifft ebenso alle Programme, die eventuell über lokale Gruppenrichtlinien beim Start ausgeführt werden sollen. In jedem der abgesicherten Modi wird die Datei NTBTLOG.TXT im Verzeichnis %SYSTEMROOT% erzeugt, in welcher alle geladenen Treiber aufgeführt werden. Besteht diese Datei schon, werden die neuen Einträge an das Ende angehangen.
•
Abgesicherter Modus mit Netzwerktreibern Zusätzlich werden nur die notwendigen Netzwerktreiber und -dienste geladen, die einen Zugriff auf Netzwerkressourcen ermöglichen.
•
Abgesicherter Modus mit Eingabeaufforderung Im Gegensatz zum normalen abgesicherten Modus wird nur die Eingabeaufforderung CMD.EXE geladen. Diese läuft in einem grafischen Fenster im 16 Farben Standard-VGA Modus.
17.4 Systemwiederherstellung nach Totalausfall •
Startprotokollierung aktivieren Erstellt beim normalen Startvorgang die Protokolldatei NTBTLOG.TXT im Verzeichnis %SYSTEMROOT% (siehe oben).
•
VGA-Modus aktivieren Startet Windows 2000 normal, bis auf die Ausnahme, dass für die Bildschirmausgabe ausschließlich der Standard VGA-Treiber benutzt wird. Damit können Sie beispielsweise bei einem Defekt des Grafiksystems Windows unter Umständen trotzdem noch starten.
•
Verzeichnisdienstwiederherstellung Diese Option hat unter Windows 2000 Professional keine Bedeutung.
•
Letzte als funktionierend bekannte Konfiguration Ersetzt den Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet mit der gesicherten Einstellung der letzten funktionierenden Konfiguration (siehe auch Abschnitt 17.4.5 Wiederherstellen der Registrierung ab Seite 786). Damit können Sie eine startfähige Konfiguration wiederherstellen, wenn das System unmittelbar nach Installation einer neuen Hardwarekomponente beziehungsweise eines neuen Treibers nicht mehr starten will.
•
Debugmodus Startet Windows 2000 im Debugmodus, der vor allem für die Programmentwicklung beim Testen neuer Software dient.
Den Zusammenhag zwischen dem F8-Menü und den Einträgen in der Datei BOOT.INI können Sie dem Abschnitt 4.3.7 Die Datei BOOT.INI ab Seite 103 entnehmen.
17.4.3 Wiederherstellungskonsole Die Wiederherstellungskonsole unter Windows 2000 stellt eine Art Kommandozeile dar, bei der die Sie über eine beschränkte Anzahl von Befehlen bestimmte Reparaturmaßnahmen am installierten System durchführen können. Diese Befehle arbeiten ausschließlich im Textmodus und sind im Vergleich zu ihren »normalen« Ausführungen im Funktionsumfang eingeschränkt.
771
772
17 Reparatur und Wiederherstellung Starten der Wiederherstellungskonsole
Installations-CD
Die Wiederherstellungskonsole lässt sich über das Setup-Programm starten. Dazu benötigen Sie die Installations-CD von Windows 2000. Falls der Start über die CD nicht möglich ist, können Sie auch Windows 2000-Bootdisketten auf einem anderen PC erstellen. Windows 2000 ist dafür nicht zwingend notwendig (siehe auch Abschnitt 9.2.2 Mögliche Installationsverfahren ab Seite 293). Drücken Sie die R-Taste, wenn Sie im Begrüßungsbildschirm des Setup-Programms angekommen sind. Danach wird die Festplattenkonfiguration Ihres Systems überprüft und die verfügbaren Reparaturoptionen zur Auswahl angezeigt.
Abbildung 17.31: Reparaturoptionen des Setup-Programms
Für den Start der Wiederherstellungskonsole drücken Sie die Taste K. Danach werden die gefundenen Windows 2000-Installationen aufgelistet (meist sicher nur eine) und zur Anmeldung angeboten. Wählen Sie die betreffende Installation aus und geben Sie die entsprechende Ziffer ein.
17.4 Systemwiederherstellung nach Totalausfall
773 Abbildung 17.32: Anzeige der gefundenen Installationen
Nach der Eingabe des Administratorkennworts gelangen Sie in das %SYSTEMROOT%-Verzeichnis, im obigen Beispiel C:\WINNT. Jetzt stehen Ihnen die Befehle der Wiederherstellungskonsole zur Verfügung, die in Abschnitt Alle Befehle der Wiederherstellungskonsole im Überblick ab Seite 778 vorgestellt werden.
Windows 2000 Wiederherstellungskonsole und Windows NT Prinzipiell einsetzbar ist die Windows 2000 Wiederherstellungskonso- Mit Einschränkung: le auch für die Reparatur einer Windows NT-Installation. Allerdings Windows NT übernimmt Microsoft dafür ausdrücklich keine Garantie. Um in schweren Fällen auf eine NTFS-Partition zuzugreifen und zumindest eine Reparatur zu versuchen, könnte die Wiederherstellungskonsole aber eine brauchbare Lösungsmöglichkeit darstellen. Eine bessere Alternative stellen speziell für Windows NT entwickelte O&O® Bluecon Reparatur- und Diagnoseprogramme dar. Eine Reparaturkonsole, die in Ihrem Funktionsumfang sogar die Microsoft Wiederherstellungskonsole übertrifft, stellt die Software O&O® Bluecon der Berliner Firma O&O Software GmbH dar (www.oo-software.de). Diese Software ist auch für Windows 2000 erhältlich und als Testversion auch auf der beiliegenden CD enthalten. Einen Überblick über die Leistungsmerkmale finden Sie in Abschnitt Alternative Wiederherstellungskonsole: O&O® Bluecon ab Seite 777.
774
17 Reparatur und Wiederherstellung Fehlgeschlagene Suche nach einer Installation
Installation nicht auffindbar
Wird keine Windows 2000 Installation gefunden, kann sich das so zeigen, dass Sie direkt nach Betätigen der Taste K, also ohne weitere Anmeldung, in der Wiederherstellungskonsole befinden. Das bedeutet meist nichts Gutes – zumindest wird der Zugriff auf den Datenträger nicht oder nur sehr eingeschränkt möglich sein.
Eventueller Ausweg: Notfallreparaturkonsole
Einen Ausweg daraus kann die Notfallreparaturkonsole bieten, die automatisiert einige wichtige Reparaturarbeiten am Datenträger vornehmen kann (siehe auch Abschnitt 17.4.4 Notfallreparaturkonsole ab Seite 783). Allerdings kann es bei Fehlen einer Notfalldiskette dazu kommen, dass auch die Notfallreparaturkonsole Ihre Windows 2000Installation nicht findet und Sie vor dem gleichen Problem stehen wie zuvor und können manuell über die Wiederherstellungskonsole die Reparatur versuchen.
Manuelle Reparatur Für die manuelle Reparatur über die Wiederherstellungskonsole bieüber CHKDSK ten sich dann der Befehl CHKDSK an. Das schon aus den alten DOS-
Tagen bekannte Tool hilft bei logischen Beschädigungen der Datenstrukturen des Datenträgers. Die Angabe eines Parameters ist dabei nicht notwendig. Nach den Reparaturaktivitäten von Chkdsk sollten sie die Wiederherstellungskonsole beenden und den Computer neu starten. Das ist einfach durch Eingabe des Befehls EXIT möglich. Die genaue Syntax von CHKDSK und der anderen Befehle können Sie dem Abschnitt Erweitern der Möglichkeiten der Befehle ab Seite 775 entnehmen. Weitere Maßnahmen
Hilft die Reparatur über CHKDSK nicht weiter, kann ein ernsthafter Datenfehler, etwa durch physische Einwirkung oder Virenaktivitäten, vorliegen. Neben dem prophylaktischen Virencheck, der bei Datenträgerproblemen mit zu den ersten Maßnahmen gehören sollte, kann auch die Überprüfung und Restaurierung der Partitionstabelle zum Erfolg führen. Dieses Thema ist allerdings so komplex, dass es den Rahmen dieses Buches sprengen würde.
Wiederherstellungskonsole lokal installieren Sie können die Wiederherstellungskonsole auch lokal auf dem Datenträger installieren und im Startmenü zur Auswahl anbieten. Durch die alleinige Zugriffsmöglichkeit über das Administratorkennwort ist diese dann auch vor unbefugter Benutzung geschützt. Aufruf von WINNT32.EXE
Für die lokale Installation benötigen Sie die Windows 2000 Installations-CD oder den Zugriff auf das Verzeichnis mit den Installationsdateien I386. Geben Sie auf der Eingabeaufforderung oder über START | AUSFÜHREN den folgenden Befehl ein:
17.4 Systemwiederherstellung nach Totalausfall
775
E:\I386\Winnt32.exe /cmdcons Es erscheint dann eine Rückfrage, ob Sie die Wiederherstellungskonsole auch wirklich lokal installieren wollen. Abbildung 17.33: Rückfrage vor der lokalen Installation der Wiederherstellungskonsole
Nach dem Kopieren der erforderlichen Dateien befindet sich neben den normalen Einträgen im Startmenü auch die Zeile MICROSOFT WINDOWS 2000-WIEDERHERSTELLUNGSKONSOLE. Nach dem Aufruf der Wiederherstellungskonsole aus dem Startmenü werden, wie auch beim Start des Windows 2000-Setups, alle Festplattentreiber geladen und die Windows 2000-Installationen gesucht. Das weitere Vorgehen mit der Anmeldung als Administrator entspricht exakt dem auf Seite 772 geschilderten. Bei einem Fehler im Bootsektor oder im Master Boot Record (MBR) des Systemdatenträgers kann der Start der Wiederherstellungskonsole über das Startmenü verhindert sein. Es bleibt dann der ab Seite 772 ausgeführte Weg über die Installations-CD oder die Windows 2000Bootdisketten.
Erweitern der Möglichkeiten der Befehle und Tools Die Befehle und Tools, die Ihnen in der Wiederherstellungskonsole zur Verfügung stehen, sind in Ihren Funktionen mitunter stark eingeschränkt. So können Sie beispielsweise keine Dateien auf externe Datenträger kopieren oder Platzhalter bei Befehlen benutzen. Über den Befehl SET lassen sich entsprechende Umgebungsvariablen SET-Befehl setzen, die diese Einschränkungen festlegen oder aufheben: •
ALLOWWILDCARDS Steuert die Verwendung von Platzhaltern durch einige Befehle (beispielsweise bei DEL). Der Befehl COPY kann allerdings unabhängig von der Einstellung dieser Variablen nicht mit Platzhaltern umgehen.
•
ALLOWALLPATHS
776
17 Reparatur und Wiederherstellung Standardmäßig haben Sie zunächst nur Zugriff auf des %SYSTEMROOT%-Verzeichnis von Windows 2000. Über diese Variable können Sie einstellen, dass auf alle Verzeichnisse verzweigt und auf alle Dateien zugegriffen werden kann. •
ALLOWREMOVABLEMEDIA Der Zugriff auf Disketten oder andere Wechselmedien ist standardmäßig deaktiviert. Über diese Variable lässt sich diese Beschränkung aufheben. So können Sie beispielsweise Dateien von der Festplatte auf einen externen Datenträger kopieren.
•
NOCOPYPROMPT Die FALSE-Einstellung dieser Variablen dient einer höheren Sicherheit bei Kopiervorgängen und sollte deshalb eher nicht umgestellt werden. Vor dem Überschreiben einer Datei erfolgt sonst keine warnende Rückfrage mehr.
SET deaktiviert
Der Befehl SET und damit der Einfluss auf die Umgebungsvariablen ist standardmäßig aus Sicherheitsgründen deaktiviert. Zum Aktivieren dieser Funktion gehen Sie über die Managementkonsole LOKALE SICHERHEITSEINSTELLUNGEN.
Abbildung 17.34: Sicherheitseinstellungen für die Wiederherstellungskonsole ändern
Aktivieren Sie hier unter LOKALE RICHTLINIEN | SICHERHEITSOPTIONEN die Richtlinie WIEDERHERSTELLUNGSKONSOLE: KOPIEREN VON DISKETTEN UND ZUGRIFF AUF ALLE LAUFWERKE UND ALLE ORDNER ZULASSEN. Danach können Sie in der Wiederherstellungskonsole die Umgebungsvariablen neu setzen. Set = True|False Beachten Sie, dass vor und nach dem Gleichheitszeichen Leerzeichen stehen müssen.
17.4 Systemwiederherstellung nach Totalausfall
777
Allgemeinen Administratorzugang ermöglichen Neben den Erweiterungen des Aktionsradius des Administrators über Setzen der Umgebungsvariablen kann auch ein genereller Administratorzugang ohne weitere Kennwortabfrage implementiert werden. Dies können Sie ebenfalls über die Änderung der lokalen Sicherheitsoptionen erreichen (siehe auch Abbildung 17.34 auf Seite 776). Aktivieren Sie hier die Richtlinie WIEDERHERSTELLUNGSKONSOLE: AUTOMATISCHE ADMINISTRATIVE ANMELDUNG ZULASSEN. Durch diese Einstellung ist Ihr System ungeschützt gegenüber unbefugtem Zugriff ausgeliefert. Diese Sicherheitsoption sollte deshalb, wenn überhaupt, nur bei gut überwachten Systemen geändert werden. ®
Alternative Wiederherstellungskonsole: O&O Bluecon Neben den mitgelieferten Werkzeugen in Windows 2000 können Sie auch, solange es Betriebssysteme gibt, auf eine Vielzahl nützlicher Werkzeuge von Drittherstellern zurückgreifen. Diese Tools sind meist kostenpflichtig (im Gegensatz zu den von Microsoft beigelegten Tools), verfügen aber meist über wichtige technische Merkmale, die den Administratoralltag deutlich erleichtern können. Ein solches Beispiel ist die alternative Reparaturkonsole O&O® Bluecon der Berliner Firma O&O Software GmbH (www.oo-software.de). Gegenüber der Windows 2000 Wiederherstellungskonsole bietet O&O® Bluecon die folgenden erweiterten Merkmale: •
Standardmäßig voller Zugriff auf alle Dateien und Ordner Um mit Hilfe der Wiederherstellungskonsole auf alle Dateien und Ordner, auch außerhalb des Verzeichnisses %SYSTEMROOT% zugreifen zu können, müssen die entsprechenden Sicherheitsrichtlinien gesetzt worden sein (siehe auch Abschnitt Erweitern der Möglichkeiten der Befehle und Tools ab Seite 775). Im Fall der Nichtstartbarkeit des Betriebssystems sollte diese Richtlinie also schon gesetzt sein, wenn nicht, haben Sie leider keine Zugriffsmöglichkeit auf Daten in anderen Verzeichnissen oder auf anderen Datenträgern.
Wiederherstellungskonsole: Vorbereitungen notwendig
Mit O&O® Bluecon werden diese Sicherheitsvorbereitungen nicht Direkter Zugriff mit ® benötigt. Sie können das Tool direkt von CD oder Diskette starten O&O Bluecon und auf alle NTFS- oder FAT-Laufwerke zugreifen. •
Platzhalter auch beim COPY-Befehl
778
17 Reparatur und Wiederherstellung Der COPY-Befehl verfügt im Gegensatz zum Pendant der Windows 2000 Wiederherstellungskonsole über die Fähigkeit, mit Platzhaltern wie * oder ? umzugehen.
Erweiterter COPYBefehl
•
Zurücksetzen des Administrator-Kennworts Ein besonderes Merkmal von O&O® Bluecon besteht darin, dass Sie mit Hilfe einer entsprechenden ohne weiteres auch ohne Administratorkennwort in das System einbrechen können. Darüber hinaus können Sie für jeden Benutzer das Kennwort zurücksetzen. Tools wie O&O® Bluecon zeigen, dass auch Sicherheitsmechanismen wie das verschlüsselnde Dateisystem nur einen begrenzten Schutz bieten. Wird das Kennwort des Administrators oder eines Benutzers mit diesem Tool zurückgesetzt, kann danach mit der dann möglichen normalen Anmeldung am Windows 2000-System auf alle EFS-verschlüsselten Dateien zugegriffen werden. Voraussetzung ist dann nur die Verfügbarkeit des entsprechenden Zertifikats beziehungsweise Schlüssels. In Abschnitt 8.3 Absicherung lokaler Daten ab Seite 267 können Sie nachlesen, wie Sie Ihre Daten mit EFS wirklich sicher schützen können.
•
Sicherung und Wiederherstellung der Registrierung Mit O&O® Bluecon können Sie eine automatische Sicherung der Registrierung bei jedem Systemstart durchführen lassen. Im Falle der Beschädigung können Sie dann auf funktionierende ältere Version zurückgreifen.
O&O® Bluecon befindet sich als Testversion auf der CD zum Buch. Weitere Hinweise können Sie der Hilfedatei oder der Webseite des Herstellers www.oo-software.de entnehmen.
Alle Befehle der Wiederherstellungskonsole im Überblick Hilfe zum Befehl mit /?
Die folgende Übersicht enthält alle Befehle der Wiederherstellungskonsole. Sie erhalten auf Ebene der Kommandozeile der Konsole weitere Hilfe für jeden Befehl, indem Sie diesen mit dem Parameter /? aufrufen.
ATTRIB
Attrib -|+ Ändert die Attribute von Dateien oder Ordnern. : c
Komprimiert
h
Versteckt (Hidden)
r
Schreibgeschützt (Read-Only)
s
System
17.4 Systemwiederherstellung nach Totalausfall
779
Es können auch mehrere Attribute hintereinander angegeben werden (beispielsweise +chr). Die Auswahl mehrerer Dateien über Platzhalter wie beispielsweise *.* wird nicht unterstützt. Zur Auflistung von gesetzten Attributen können Sie den Befehl DIR benutzen. Batch <eingabedatei> []
BATCH
Führt in einer Textdatei zusammengefasste Befehle aus. Die Bildschirmausgabe der Befehle können Sie in umleiten lassen. Cd []
CD oder CHDIR
Wechselt das Verzeichnis. Bei Eingabe des Befehls ohne Parameter wird das aktuelle Verzeichnis angezeigt. Abhängig von der Umgebungsvariablen ALLOWALLPATHS, die Sie mit SET setzen können, ist der Zugriff nur auf %SYSTEMROOT% oder auch auf andere Laufwerke und Verzeichnisse möglich. ChkDsk [<par>]
CHKDSK
Prüft den Datenträger auf logische Fehler und repariert diese. Dazu wird kein weiterer Parameter benötigt (wie beispielsweise /F bei DOS). <par>:
/p
Erzwingt die Überprüfung auch bei als fehlerfrei gekennzeichneten Datenträgern.
/r
Sucht nach fehlerhaften Sektoren und versucht, Daten wiederherzustellen (nur zusammen mit /p verwendbar).
Cls
CLS
Löscht den Bildschirm. Copy
COPY
Kopiert eine einzelne Datei. Die Verwendung von Platzhaltern wird nicht unterstützt. Je nach Einstellung der Umgebungsvariable NOCOPYPROMPT, die Sie mit SET setzen können, werden Sie vor dem Überschreiben bestehender Dateien rückgefragt oder nicht. Beim Kopieren komprimierter Dateien, beispielsweise von der Windows 2000 Installations-CD, werden diese automatisch dekomprimiert. Del Löscht eine oder mehrere Dateien. Die Verwendung von Platzhaltern wie * oder ? ist zulässig, wenn die Umgebungsvariable ALLOWWILDCARDS mit SET auf TRUE gesetzt worden ist.
DEL oder DELETE
780 DIR
17 Reparatur und Wiederherstellung Dir Listet Dateien und Ordner auf. Es werden dabei auch die gesetzten Dateiattribute angezeigt: a
Archiv
h
Versteckt
c
Komprimiert
p
Analysepunkt
d
Verzeichnis
r
Schreibgeschützt
e
Verschlüsselt
s
System
Die Verwendung von Platzhaltern wie * oder ? ist zulässig. DISABLE
Disable Deaktiviert den angegebenen Dienst oder Treiber. Mit LISTSVC können Sie sich diese anzeigen lassen. ENABLE kann einen Dienst oder Treiber wieder aktivieren. Merken Sie sich dazu sicherheitshalber die bei DISABLE angezeigte Original-Startart.
DISKPART
DiskPart DiskPart [/add|/delete] [||<partition>] [] Dient zur Verwaltung von Partitionen auf Datenträgern. Bei Start ohne Angabe von Parametern können Sie diese Aufgaben über eine einfache, textorientierte Benutzeroberfläche vornehmen. /add
Erstellt eine neue Partition (freier Bereich vorausgesetzt).
/delete
Löscht die angegebene Partition.
Windows-Gerätename; beispielsw. \DEVICE\HARDDISK0. Die gültige Bezeichnung erhalten Sie über den Befehl MAP.
Laufwerkbuchstabe für eine Partition, die gelöscht werden soll.
<partition> Bezeichnung der Partition, die gelöscht werden soll, bei-
spielsweise \DEVICE\HARDDISK0\PARTITION1. Die gültige Bezeichnung erhalten Sie über den Befehl MAP. ENABLE
Enable [<startart>] Erlaubt das Aktivieren eines Dienstes oder Treibers. Wichtig ist die korrekte Angabe der Startart: SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE_DEMAND_START
17.4 Systemwiederherstellung nach Totalausfall
781
Bei Ausführen des Befehls ohne die Angabe von <startart> wird die aktuelle Einstellung der Startart angezeigt. Deaktivierte Dienste oder Treiber (auch mit DISABLE) haben die Startart SERVICE_DISABLED. Exit
EXIT
Beendet die Wiederherstellungskonsole und startet den Computer neu. Expand [] [/y]
EXPAND
Expand /f: [] [/y] Expand /f: /d Expandiert komprimierte Dateien oder CAB-Dateien und kopiert sie an den angegebenen Ort. Die zu expandierende Datei. Platzhalter wie * oder ? sind
nicht zulässig.
Zielordner oder Dateiname für die expandierte Datei. Ohne diese Angabe wird das aktuelle Verzeichnis und der gleiche Dateiname verwendet.
/f:
Bei Expandieren von CAB-Archiven können Sie die betreffenden Dateien angeben. Dabei können Platzhalter verwendet werden.
/y
Es erfolgt keine Rückfrage vor dem Überschreiben bestehender Dateien.
/d
Zeigt den Inhalt einer CAB-Datei an (ohne Expansion).
FixBoot []
FIXBOOT
Schreibt einen neuen Bootsektor auf den mit seinem Laufwerkbuchstaben () angegebenen Datenträger. Wird nicht angegeben, wird die Aktion für den Startdatenträger vorgenommen. auch Abschnitt 4.3 Basisfestplatten ab Seite 91. FixMBR []
FIXMBR
Schreibt den Masterbootcode des MBR (Master Boot Record) neu. Die Partitionstabelle bleibt davon unbeeinflusst, wodurch Fehler an dieser mit diesem Befehl nicht behoben werden können. Ohne eine weitere Angabe wird die Festplatte 0 angenommen. Mit können Sie aber die betreffende Festplatte, beispielsweise \DEVICE\HARDDISK1, genau festlegen. auch Abschnitt 4.3 Basisfestplatten ab Seite 91. Format [/q] [fs:] Formatiert einen Datenträger mit dem angegebenen Dateisystem.
FORMAT
782
17 Reparatur und Wiederherstellung
Laufwerkbuchstaben des betreffenden Datenträgers
/q
Formatierung erfolgt mit Quickformat
/fs:
Gibt des gewünschte Dateisystem an: FAT, FAT32, NTFS; Ohne Angabe eines Dateisystems wird NTFS benutzt.
auch Kapitel 5 Dateisysteme ab Seite 129. HELP
Help Listet alle Befehle der Wiederherstellungskonsole auf. Für die Erläuterung der Syntax eines Befehls rufen Sie diesen allein mit dem Parameter /? auf.
LISTSVC
ListSvc Listet alle Dienste und Treiber der Windows 2000-Installation mit Angabe der aktuellen Startart auf. Diese Angaben werden der Registrierungsdatei SYSTEM entnommen. Fehlt diese oder ist sie beschädigt, können die Angaben von LISTSVC unkorrekt sein. auch Abschnitt 17.3 Die Registrierungsdatenbank ab Seite 759.
LOGON
Logon Listet alle verfügbaren Windows-Installationen auf und ermöglicht die Anmeldung als Administrator. So können Sie gegebenenfalls zwischen mehreren Installationen wechseln.
MAP
Map [arc] Listet alle verfügbaren Massenspeichergeräte in der WindowsGerätesyntax (beispielsweise \DEVICE\HARDDISK0\PARTITION0) auf. arc
Die Auflistung erfolgt in der Syntax der ARC-Pfade. Damit lassen sich beispielsweise die Einträge in der Datei BOOT.INI überprüfen oder wiederherstellen.
auch Abschnitt 4.3.7 Die Datei Boot.ini ab Seite 103. MD oder MKDIR
Md [] Erstellt ein Verzeichnis. Sie können vor dem Verzeichnisnamen auch den Laufwerkbuchstaben des Datenträgers angeben, auf dem das Verzeichnis erstellt werden soll.
MORE oder TYPE
More Type Zeigt den Inhalt der angegebenen Datei auf dem Bildschirm an.
17.4 Systemwiederherstellung nach Totalausfall Rd []
783 RD oder RMDIR
Löscht das angegebene leere Verzeichnis. Sie können vor dem Verzeichnisnamen auch den Laufwerkbuchstaben des Datenträgers angeben, auf dem das leere Verzeichnis gelöscht werden soll. Ren [][]dateiname1 dateiname2
REN oder RENAME
Erlaubt das Umbenennen von Dateien. Sie können für die genaue Spezifizierung der umzubenennenden Datei den entsprechenden Laufwerkbuchstaben und das Verzeichnis angeben. Die Verwendung von Platzhaltern wird nicht unterstützt. Set [ = True|False]
SET
Setzt die entsprechenden Umgebungsvariablen der Wiederherstellungskonsole: •
ALLOWWILDCARDS
•
ALLOWALLPATHS
•
ALLOWREMOVABLEMEDIA
•
NOCOPYPROMPT
Ohne Angabe einer Variablen werden die aktuell gesetzten Werte aller Variablen angezeigt. auch Abschnitt Erweitern der Möglichkeiten der Befehle und Tools ab Seite 775. Systemroot
SYSTEMROOT
Bringt Sie in das Windows %SYSTEMROOT%-Verzeichnis. Type MORE oder TYPE
17.4.4 Notfallreparaturkonsole Eine vereinfachte Möglichkeit der Reparatur einer Windows 2000Installation stellt die Notfallreparaturkonsole dar.
Start der Notfallreparaturkonsole Sie können diese ebenso wie die Wiederherstellungskonsole über das Windows Setup-Programm starten (siehe auch Abschnitt Starten der Wiederherstellungskonsole ab Seite 772). Statt der Taste K drücken Sie im entsprechenden Dialogfenster (siehe Abbildung 17.31 auf Seite 772) die Taste R.
TYPE
784
17 Reparatur und Wiederherstellung Bedeutung der Notfalldiskette
Erstellen der Notfalldiskette
Insbesondere im Zusammenhang mit der Notfallreparaturkonsole kann eine aktuelle Notfalldiskette beim Auffinden einer beschädigten Windows 2000-Installation wichtig sein. In Abschnitt Erstellen der Notfalldiskette ab Seite 766 ist beschrieben, wie Sie die Notfalldiskette erzeugen können. Auf der Notfalldiskette werden die folgenden Dateien abgelegt: •
AUTOEXEC.NT und CONFIG.NT Diese beiden Dateien nützen Ihnen beim Reparaturversuch einer Windows 2000-Installation gar nichts. Diese werden aus dem Verzeichnis %SYSTEMROOT%\REPAIR auf die Diskette kopiert und dienen unter Windows 2000 zur Einstellung der MS-DOSkompatiblen Umgebung.
•
SETUP.LOG In dieser Protokolldatei, ebenfalls aus dem Verzeichnis %SYSTEMROOT%\REPAIR, sind alle beim Setup installierten Dateien mit denn dazugehörigen CRC-Checksummen aufgeführt. Wichtig für Reparaturversuche ist hier vor allem die Angabe der Systempartition.
Wurde von der Notfallreparaturkonsole allerdings automatisch keine Installation gefunden, bleibt Ihnen noch der Weg über die Wiederherstellungskonsole (siehe auch Abschnitt Fehlgeschlagene Suche nach einer Installation ab Seite 774).
Bestimmen des Reparaturumfangs Nach dem Start der Notfallreparaturkonsole können Sie den Umfang der Reparaturmaßnahmen bestimmen. Es ist nicht zu empfehlen, über die Taste S alle Reparaturoptionen durchführen zu lassen. Insbesondere bei der Wiederherstellung der Registrierung kann es dabei zu unerwünschten Ergebnissen kommen (siehe auch Abschnitt 17.4.5 Wiederherstellen der Registrierung ab Seite 786). Empfohlen: Manuelle Optionen
Sie sollten deshalb die Taste M für die manuelle Bestimmung der Reparaturoptionen wählen. So haben Sie bessere Einflussmöglichkeiten auf den Reparaturprozess und können beispielsweise verhindern, dass die Registrierung durch eine nicht aktuelle Fassung ersetzt wird.
17.4 Systemwiederherstellung nach Totalausfall
785 Abbildung 17.35: Manuelle Reparaturoptionen
Für die Reparatur über die Notfallreparaturkonsole haben die Optionen die folgende Bedeutung: •
Untersuchen der Startumgebung Es werden alle für den Start von Windows 2000 relevanten Systemdateien überprüft (beispielsweise auch NTLDR und BOOT.INI) und gegebenenfalls durch Versionen der Installations-CD ersetzt oder neu erstellt. Wenn die Datei BOOT.INI fehlt, wird sie neu erstellt und enthält danach nur die entsprechenden Einträge für die gefundene Windows 2000-Installation. Einträger, die eventuell für eine Mehrfachbootkonfiguration mit anderen Betriebssystemen notwendig sind, werden nicht wiederhergestellt.
•
Überprüfung der Windows 2000-Systemdateien Die Systemdateien von Windows 2000 werden überprüft. Wird festgestellt, dass es sich dabei nicht um die originalen Versionen handelt, wird das angezeigt und zurückgefragt, ob sie ersetzt werden sollen. Es wird dabei die Original Installations-CD benötigt.
•
Untersuchen des Startsektors Es wird überprüft, ob der Bootsektor des Systemdatenträgers auf die Datei NTLDR zeigt. Im Falle eines festgestellten Fehlers wird der Bootsektor neu angelegt.
Nach dem Durchführen der gewünschten Reparaturmaßnahmen wird der Computer neu gestartet.
786
17 Reparatur und Wiederherstellung
17.4.5 Wiederherstellen der Registrierung Die Registrierung stellt das Herzstück Ihrer Windows 2000 Konfiguration dar und sollte deshalb regelmäßig gesichert werden (siehe auch Abschnitt 17.3.3 Sichern der Registrierung ab Seite 766). Bei der Wiederherstellung sind einige wichtige Punkte zu beachten, da es sonst zu schwerwiegenden Fehlern mit fatalen Auswirkungen auf Ihr System kommen kann.
Automatisierte Wiederherstellungsfunktionen Für eine automatisierte Wiederherstellung der Registrierung stehen Ihnen unter Windows 2000 Professional zwei Möglichkeiten zur Verfügung, von denen keine uneingeschränkt empfohlen werden kann: Teilwiederherstellung über F8-Menü
•
Wiederherstellung über das F8-Menü Lässt sich das F8-Menü beim Systemstart aufrufen (siehe auch Abschnitt 17.4.2 Startmenü und abgesicherte Modi ab Seite 769), so wird Ihnen die Option LETZTE ALS FUNKTIONIEREND BEKANNTE KONFIGURATION angeboten. Damit lassen sich Probleme recht einfach lösen, wenn eine soeben neu installierte Hardware mit ihren dazugehörigen Treibern einen Start von Windows 2000 verhindert. Das System restauriert über diese Option den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Dieses Vorgehen hilft allerdings nicht, wenn die Registrierung an anderer Stelle beschädigt worden ist oder fehlerhafte oder fehlende Treiberdateien den Systemstart verhindern.
Unbrauchbar: Alte Registrierung
•
Wiederherstellung über die Notfallreparaturkonsole Die automatisierten Wiederherstellung der Registrierung über die Notfallreparaturkonsole (siehe auch Abschnitt 17.4.4 Notfallreparaturkonsole ab Seite 783) kann für die meisten Fälle nicht empfohlen werden. Dabei wird nur eine veraltete Kopie der Registrierungsdateien aus dem folgenden Verzeichnis zurückgesichert: %Systemroot%\Repair Sie wird durch das Setup-Programm von Windows 2000 während der Erstinstallation angelegt und ist damit nach diversen Installationen von Anwendungsprogrammen oder der Erweiterung der Hardware nicht mehr aktuell. Dieser Weg über die Notfallreparaturkonsole kann nur dann empfohlen werden, wenn keine andere Sicherung der Registrierung
17.4 Systemwiederherstellung nach Totalausfall
787
vorliegt und alle Möglichkeiten, anders zu einem lauffähigen System zu kommen, gescheitert sind. Startet das System mit Hilfe der alten Registrierung, kann zumindest noch versucht werden, die Anwenderdaten zu sichern.
Manuelle Wiederherstellung über Wiederherstellungskonsole Die sicherste Methode der Wiederherstellung der Registrierung besteht darin, eine aktuelle, funktionsfähige Sicherung aller Registrierungsdateien über die Wiederherstellungskonsole wieder einzuspielen. Voraussetzung ist dabei, dass die Registrierung zuletzt über das Sicherungsprogramm NTBACKUP.EXE gesichert worden ist (siehe auch Abschnitt 17.3.3 Sichern der Registrierung ab Seite 766). Danach befindet sich eine Kopie der Registrierungsdateien im folgenden Verzeichnis: %Systemroot%\Repair\RegBack Beim Wiederherstellen der Registrierung kopieren Sie manuell alle Registrierungsdateien aus diesem Verzeichnis an den ursprünglichen Speicherort der Registrierungsdateien: %Systemroot%\System32\Config
Sicherungsverzeichnis
Originalverzeichnis
Für eine vollständige Wiederherstellung aller Registrierungsdateien müssen Sie die folgenden Dateien im Originalverzeichnis ersetzen: •
DEFAULT
•
SAM
•
SECURITY
•
SOFTWARE
•
SYSTEM
Dabei können Sie wie folgt vorgehen: 1. Starten Sie die Wiederherstellungskonsole über die InstallationsCD von Windows 2000 oder die Bootdisketten (siehe auch 17.4.3 Wiederherstellungskonsole ab Seite 771). Melden Sie sich bei der betreffenden Windows 2000-Installation als Administrator an.
Liste der Registrierungsdateien
Vorgehen Schritt für Schritt
2. Nach dem Anmelden befinden Sie sich im %SYSTEMROOT%Verzeichnis, beispielsweise in C:\WINNT. 3. Wechseln Sie in das Verzeichnis mit den Registrierungsdateien: cd System32\Config 4. Kopieren Sie die alten Registrierungsdateien zur Sicherung, damit Sichern der alten im Falle eines Fehlschlags der Aktion wenigstens noch der alte Zu- Registrierung stand wiederhergestellt werden kann:
788
17 Reparatur und Wiederherstellung copy Default Default.sicher copy Sam Sam.sicher copy Security Security.sicher copy Software Software.sicher copy System System.sicher Sie können die Dateien natürlich auch mit dem RENAME-Befehl (kurz: REN) umbenennen, aber sicherer ist das Kopieren.
Ersetzen durch die Sicherung
5. Kopieren Sie alle betreffenden Registrierungsdateien aus dem Sicherungsverzeichnis in das Originalverzeichnis: copy ..\..\Repair\Regback\Default Default copy ..\..\Repair\Regback\Sam Sam copy ..\..\Repair\Regback\Security Security copy ..\..\Repair\Regback\Software Software copy ..\..\Repair\Regback\System System 6. Beenden Sie die Wiederherstellungskonsole über den Befehl EXIT und starten Sie Ihr System neu.
17.4 Systemwiederherstellung nach Totalausfall
Teil IV – Praktische Anwendung
IV Praktische Anwendung
789
17.4 Systemwiederherstellung nach Totalausfall
Kapitel 18 Struktur der Oberfläche
18.1 Arbeitsplatz und Standardordner ......................793 18.2 Umgang mit Dateien .............................................801 18.3 Suchfunktionen......................................................806 18.4 Die Netzwerkumgebung......................................813
791
18.1 Arbeitsplatz und Standardordner
18 Struktur der Oberfläche Dieses Kapitel beschreibt die grundlegende Struktur von Windows 2000, wie sie sich dem Anwender präsentiert. Erläutert wird die Bedeutung und Anpassung der Standardordner und die Nutzung der Standarddialoge.
18.1 Arbeitsplatz und Standardordner Die Standardordner sind bereits vorinstallierte Ordner zum Ablegen von Dateien innerhalb des Windows-Dateisystems. Diese Ordner zeichnen sich durch einige spezielle Funktionen aus, die nachfolgend erläutert werden.
18.1.1 Der Arbeitsplatz Der Arbeitplatz ist der zentrale Ausgangspunkt bei der Verwaltung von Dateien und Ordnern. Sie haben hier außer zu den eigenen Dateien und Ordnern auch Zugriff auf Systemordner wie die Systemsteuerung, die DFÜ- und Netzwerkverbindungen usw. Eine der häufiger benötigten Funktionen ist die Explorerleiste mit der typischen Baumansicht. Sie können dazu entweder den Windows Explorer starten oder die Baumstruktur direkt im Arbeitsplatz aufrufen. Die Baumstruktur wird im Arbeitsplatz standardmäßig nicht ange- Baumstruktur zeigt. Wählen Sie sie über ANSICHT | EXPLORERLEISTE | ORDNER aus. Die Option kann leider nicht gespeichert werden und sie wird auch nicht für neue Ordner übernommen. Wenn Sie das Arbeitsplatzfenster schließen und erneut öffnen, wird die Standardansicht wiederhergestellt. Einen schnelleren Zugriff erhalten mit dem Ordner-Symbol in der Symbolleiste des Arbeitsplatzes:
Wenn Sie die Baumstruktur dennoch permanent verfügbar machen möchten, ist ein etwas weiterer Weg auszuführen: 1. Wählen Sie im Arbeitplatz EXTRAS | ORDNEROPTIONEN. 2. Klicken Sie auf die Registerkarte DATEITYPEN, und suchen Sie dann unter REGISTRIERTE DATEITYPEN den Typ N.ZUTR. ORDNER. (N. ZUTR. steht für Nicht Zutreffend, Dateierweiterungen sind für Systemordner nicht zutreffend). 3. Klicken Sie auf die Schaltfläche ERWEITERT.
793
794
18 Struktur der Oberfläche 4. Wählen Sie aus der Liste der verfügbaren Aktionen klicken Sie dann auf Als STANDARD.
EXPLORE
und
Abbildung 18.1: Baumstruktur permanent machen
Wenn Sie den Vorgang rückgängig machen möchten, klicken Sie in dem Dialog in Abbildung 18.1 auf OPEN und dann auf ALS STANDARD. Abbildung 18.2: Arbeitsplatzfenster mit OrdnerBaumstruktur
Diese grundlegenden Eigenschaften des Arbeitsplatzes gelten auch für die Standardordner, die im folgende Abschnitt 18.1.2 Der Windows Explorer beschrieben werden.
18.1 Arbeitsplatz und Standardordner
795
18.1.2 Der Windows Explorer Auch unter Windows 2000 ist der Explorer das zentrale Managementwerkzeug für den Umgang mit Dateien und Ordnern. Grundsätzlich sind alle Systemordner, also der Arbeitsplatz, die Ordner Eigene Dateien usw. Instanzen des Windows Explorer. Das ist gut im Task Manager zu beobachten, der für jeden Ordner, der auf dem Desktop geöffnet wird, eine weitere Instanz mit dem Namen EXPLORER.EXE startet. Der Windows Explorer selbst zeichnet sich nur durch andere Grundeinstellungen aus, die mehr Daten auf einen Blick zeigen. Sie können den Windows Explorer auf zwei Wegen erreichen, die sich jedoch durch die »Startansicht« unterscheiden: •
Im Kontextmenü (rechte Maustaste) der START-Schaltfläche (siehe Abbildung 18.3): Der Explorer öffnet den Ordner STARTMENÜ.
•
Über START | PROGRAMME | ZUBEHÖR | WINDOWS-EXPLORER: Der Explorer öffnet den Ordner EIGENE DATEIEN. Abbildung 18.3: Schnellstart des Explorers
Anpassung des Windows Explorers Die Startansicht des Windows Explorers kann mit Hilfe der Klassen- Die Startansicht ID des ActiveX-Kontrollelementes geändert werden, das für die Anzeige des entsprechenden Spezialordners zuständig ist. Wenn Sie die Startansicht des Explorers ändern möchten, wählen Sie die entsprechende Verknüpfung zu EXPLORER.EXE. Die Verknüpfung im Menü Zubehör erreichen Sie, indem Sie in das Menü wechseln und dort mit der rechten Maustaste auf den Eintrag WINDOWS-EXPLORER klicken. Im Kontextmenü wählen Sie EIGENSCHAFTEN. Im folgenden Dialogfeld ergänzen Sie im Eingabefeld ZIEL wie folgt: •
%systemroot%\explorer.exe /e. Standardansicht mit Auswahl von
C: als Startpunkt. •
%systemroot%\explorer.exe /select,Pfad. Dieser Schalter setzt den Fokus auf den Ordner Pfad und öffnet das Element in einem Arbeitsplatzfenster. Der Pfad muss auf einen erreichbaren Ordner zeigen und vollständig sein, also einschließlich der Laufwerksangaben: -
%systemroot%\explorer.exe /select,c:\dell
-
%systemroot%\explorer.exe /select,c:\winnt\system32
796
18 Struktur der Oberfläche Alternativ kann auch ein Verzeichnis ausgewählt und der Fokus auf eine Datei gesetzt werden: -
%systemroot%\explorer.exe /select,c:\winnt\explorer.exe
In diesen Ansichten wird allerdings der Verzeichnisbaum nicht angezeigt. •
%systemroot%\explorer.exe
•
%systemroot%\explorer.exe /e,::{Class-ID}. Setzen Sie für ClassID eine der folgenden IDs zu ActiveX-Anzeigeelementen ein:
/root,\\. Diese Ansicht macht einen Computer im Netzwerk zum Stammverzeichnis. Damit entfällt unter Umständen das lästige Blättern über die Netzwerkumgebung. Auch diese Ansicht verzichtet auf die Baumstruktur.
-
{20D04FE0-3AEA-1069-A2D8-08002B30309D}. Arbeitsplatz
-
{450D8FBA-AD24-11D0-9809-0800361B1103}. Eigene Dateien
Standardmäßig blättert der Explorer immer im selben Fenster. Wenn Sie wünschen, das jeder Ordner, der geöffnet wird, ein eigenes Fenster startet, fügen Sie den Schalter /n der Befehlszeile ZIEL hinzu: %systemroot%\explorer.exe /select,c:\dell /n
Sie können beliebig viele Verknüpfungen dieser Art zum Windows Explorer erzeugen und so einen schnellen Zugriff auf spezielle Daten erhalten. Legen Sie die Elemente dann auf dem Desktop ab, um sofort nach dem Systemstart darüber verfügen zu können. Gruppenrichtlinien können die Möglichkeiten, den Explorer zu modifizieren, einschränken. Administratoren können verhindern, dass der Explorer Zugriff auf Ressourcen bietet, die nicht öffentlich zugänglich sind. Mehr dazu finden Sie im Abschnitt 14.3 Gruppenrichtlinien ab Seite 613.
18.1.3 Die Standardordner Die Standardordner geben eine einfache Organisationsstruktur für Daten vor, die durch enge Verknüpfung mit dem Betriebssystem dem Umgang vereinfacht. Vorgestellt werden die Ordner: •
Eigene Dateien
•
Eigene Bilder
18.1 Arbeitsplatz und Standardordner
797
Der Ordner EIGENE DATEIEN Die können den Ordner eigene Dateien anpassen. Klicken Sie auf den Eigene Dateien Ordner EIGENE DATEIEN mit der rechten Maustaste. Im Kontextmenü anpassen wählen Sie EIGENSCHAFTEN und tragen dann auf der Registerkarte ZIEL den Pfad des Ordners ein. Wenn Ihr Ordner an der alten Position bereits Dateien enthält, können Sie diese mit der Funktion VERSCHIEBEN gleich an den neuen Ort bringen. Abbildung 18.4: Verknüpfung des virtuellen Ordners EIGENE DATEIEN mit einem neuen physikalischen Ziel
Die Anzeige des Ordners EIGENE DATEIEN auf dem Desktop ist eine Eigene Dateien auf integrierte Funktion von Windows 2000. Wenn Sie das Symbol auf den dem Desktop Papierkorb ziehen, wird lediglich die Anzeige gelöscht, nicht aber die enthaltenen Dateien. Um die Anzeige zu löschen, klicken Sie in der Systemsteuerung auf ORDERNOPTIONEN. Auf der Registerkarte Ansicht deaktivieren Sie das Kontrollkästchen EIGENE DATEIEN AUF DEM DESKTOP ANZEIGEN.
798
18 Struktur der Oberfläche
Abbildung 18.5: Entfernen des OrdnersEIGENE DATEIEN vom Desktop
Der Ordner Eigene Bilder Innerhalb des Ordners EIGENE DATEIEN befindet sich ein Ordner EIGENE BILDER. Außer der auf die Anzeige von Bildern vorausgewählten Ansicht bietet dieser Ordner keine funktionalen Besonderheiten. Allerdings werden Daten, die Scanner oder Digitalkameras liefern, automatisch mit diesem Ordner verknüpft. Diese Ansicht selbst bietet aber einige Funktionen, die durchaus hilfreich sind: Standardfunktionen
•
Vorschau der Bilder in voller Auflösung
•
Zoom des Vorschaubildes
•
Speicherung einer Beschreibung zu jedem Bild (nur unter NTFS; die Beschreibung wird im Dateisystem abgelegt, nicht im Bild)
Um die Bildvorschau auch für andere Ordner verfügbar zu machen, gehen Sie folgendermaßen vor: 1. Öffnen Sie einen Ordner, der Bilder enthält 2. Wählen Sie im Menü ANSICHT | ORDNEROPTIONEN. 3. Es startet ein Assistent, der die Auswahl verschiedener Ansichten des Ordners erlaubt. Aktivieren Sie das Kontrollkästchen EINE HTML-VORLAGE FÜR DIESEN ORDNER AUSWÄHLEN ODER ANPASSEN. Wählen Sie dann BILDVORSCHAU. 4. Beenden Sie den Assistenten, die Ansicht schaltet automatisch um.
18.1 Arbeitsplatz und Standardordner
799 Abbildung 18.6: Bildvorschau im Explorer
Die Bildvorschau bietet einige Funktionen, die sonst nur Grafikprogrammen vorbehalten waren: •
Zoom bis auf Pixelebene
•
Anzeigen in jeder beliebigen Größe einschließlich Vollbild
•
Anzeige aller Bildinformationen
•
Drucken der Datei
Die Bildinformationen werden nur teilweise in der Vorschau ange- Anzeige der zeigt (siehe Abbildung 18.6). Weitaus umfangreichere Informationen Bildinformationen finden Sie im Dialog Eigenschaften der Bilddatei. Auch andere Formate, die Windows 2000 kennt, werden unterstützt, beispielsweise Adobes PDF. Für Vorschau und Druck ist das Programm Imaging zuständig, das im Hintergrund aufgerufen wird. Sie können Imaging auch direkt unter START | PROGRAMME | ZUBEHÖR | IMAGING finden.
800
18 Struktur der Oberfläche
Abbildung 18.7: Beispiel einer Eigenschaftsseite
Außer den Stamminformationen können noch zusätzliche Beschreibungen zu dem Bild gespeichert werden. Diese stehen nur unter NTFS zur Verfügung. Abbildung 18.7 zeigt die Eigenschaftsseite unter FAT 32, dasselbe Bild unter NTFS zeigt Abbildung 18.8. NTFS speichert viele Dateiinformationen, die Sie in dem gezeigten Dialog entweder selbst modifizieren können oder mit einer entsprechenden Applikation bearbeiten. Solche für Windows 2000 entworfenen Programme sind derzeit aber noch selten anzutreffen. Angezeigt werden Informationen in den folgenden Gruppen: •
FAX: Hier wird der Übertragungsstatus und der Empfänger gezeigt, wenn es sich um ein TIF-Bild handelt. Für Dokumente ist die Funktion nicht verfügbar.
•
IMAGE: Bildinformationen (wenn es sich um ein Bildformat handelt).
•
BESCHREIBUNG: Hier finden Sie umfangreiche Dateibeschreibungen, deren Elemente vom Dateityp abhängen. Genutzt wird dies beispielsweise von Microsoft Word
•
HERKUNFT: Informationen über den Autor, Revisions- oder Versionsnummern und die zu verwendende Anwendung sind in diesem Abschnitt zu finden. Auch hiervon macht MS Word Gebrauch.
18.2 Umgang mit Dateien
801 Abbildung 18.8: Bildinformationen, die unter NTFS abgelegt werden
Wenn Sie nicht sicher sind, ob ein Laufwerk unter FAT32 oder NTFS betrieben wird, klicken Sie im Order ARBEITSPLATZ auf das Laufwerk. Im Kontextmenü wählen Sie EIGENSCHAFTEN. In der dritten Zeile der Eigenschaftsseite steht das verwendete Dateisystem.
18.2 Umgang mit Dateien Dieser Abschnitt beschreibt den Umgang mit Dateien über die Desktopelemente und den neuen Datei- und Druckdialog in Windows 2000.
18.2.1 Dateiverknüpfungen Normalerweise verknüpft Windows alle Dateien mit einem bestimmten Programm. Doppelklicken Sie auf eine Datei, startet das zugehörige Programm und lädt die Datei. Mit dem Kommando ÖFFNEN MIT können Sie jederzeit die feste Zu- Öffnen mit... ordnung übergehen oder Dateien öffnen, für die keine Zuordnung besteht. Das Kommando ist in jedem Standarddialog zum Dateizugriff verfügbar. Klicken Sie mit der rechten Maustaste auf die zu öffnende Datei und im Kontextmenü auf ÖFFNEN MIT. Dies führt entweder sofort in den Dateiauswahl-Dialog oder in ein Untermenü, das die er-
802
18 Struktur der Oberfläche kannten Verknüpfungen enthält und zusätzlich die Auswahl der Anwendung erlaubt.
Abbildung 18.9: Übergehen der Dateiverknüpfung mit Öffnen mit...
Die Zuordnung kann in diesem Dialog auch permanent gemacht werden.
18.2.2 Der neue Dateidialog Windows 2000 hat einen neuen Dateidialog, der in allen Anwendungen zur Verfügung steht, die Windows-konform programmiert sind. Damit ist der Zugriff auf Dateien stark vereinfacht, egal ob sich diese lokal oder im Netzwerk befinden. Einzig in Office 2000 befindet sich eine eigene Version, die noch etwas weiter entwickelt ist. Insgesamt ist der Dateidialog ein leistungsstarkes Werkzeug, denn viele häufig benötigte Funktionen wie Umbenennen, Kopieren, Einfügen oder Verschieben sind im Fenster nutzbar. Sie können auch neue Ordner anlegen und so gleich aus einem Anwendungsprogramm heraus Ordnung schaffen – ohne Wechsel in den Windows Explorer oder den Arbeitsplatz.
18.2 Umgang mit Dateien
803 Abbildung 18.10: Der neue Dateidialog in Windows 2000
Der neue Dateidialog bietet folgende Funktionen: •
VERLAUF: Dieser virtuelle Ordner enthält die zuletzt genutzten Dateien. Diese Liste wird ständig aktualisiert. In der Liste sind Links auf Dateien oder Ordner enthalten. Klicken Sie auf einen der Links, springt der Dialog in den physischen Ordner oder lädt bzw. schreibt die ausgewählte Datei direkt.
•
NETZWERKUMGEBUNG: Diese Schaltfläche führt direkt zu den Netzwerklaufwerken. Sie finden hier den Inhalt des virtuellen Ordners NETZWERKUMGEBUNG, der auch direkt über den Desktop erreicht werden kann. Enthalten sind sowohl Server als auch freigegebene Netzwerklaufwerke oder andere Ressourcen im Netz.
•
EIGENE DATEIEN: Dieser Ordner ist der Standardspeicherplatz für Dateien. Wenn Sie Dokumente in einem Windows 2000-konformen Programm speichern und keinen Pfad angegeben oder auswählen, werden diese Dokumente hier gespeichert. In einer Mehrnutzerumgebung finden Sie den Ordner in der physikalischen Struktur unter: %ROOT%\Dokumente und Einstellungen\%USER%\Eigene Dateien Dabei steht der Platzhalter %ROOT% für die Systemfestplatte, %USER% für den Namen des aktuellen Nutzers.
•
DESKTOP: Diese Funktion zeigt die Elemente des Desktop an.
•
FAVORITEN: Im Internet Explorer können Sie Favoriten speichern, bevorzugte Dateien oder Links zu Adressen im Internet oder Netzwerk. Zukünftig werden diese Option auch andere Programme bieten. Über diese Funktion haben Sie jetzt schon Zugriff auf die Favoriten aus jeder Anwendung heraus.
804
18 Struktur der Oberfläche
18.2.3 Umgang mit Druckaufträgen Um Druckaufträge zu bearbeiten, müssen Sie das laufende Programm nicht verlassen. Auf direktem Wege können Sie: •
Die Anzahl offener Druckaufträge überprüfen
•
Drucker mit speziellen Eigenschaften im Netzwerk suchen
•
Drucker im Druckerordner installieren
Der neue Windows 2000-konforme Druckerdialog steht nur in Programmen zur Verfügung, die speziell für Windows 2000 entworfen worden sind. Das gilt beispielsweise nicht für MS Office 2000 – dort sind die Dialoge noch »fortschrittlicher«.
Der neue Druckerdialog Der neue Druckerdialog wird derzeit nur vom Internet-Explorer unterstützt. Der deutlich logischere Aufbau und die erreichte Flexibilität sind jedoch eine Garantie für eine zügige Übernahme in andere Programme. Ein Blick auf die Eigenschaften lohnt sich deshalb, auch wenn Sie nicht mit dem Internet Explorer arbeiten. Abbildung 18.11: Windows 2000Druckdialog
Sie finden im oberen Teil des Dialogs eine Leiste mit allen Druckern. Der Inhalt entspricht dem virtuellen Druckerordner, den Sie auf normalem Weg unter START | EINSTELLUNGEN | DRUCKER erreichen. Sie können hier außerdem: Druckeroptionen
•
Druckdaten in eine Datei umleiten
18.2 Umgang mit Dateien •
Drucker im Netzwerk suchen
•
Druckbereich festlegen
•
Anzahl der Kopien und die Sortierreihenfolge einstellen
805
Die nächste Registerkarte OPTIONEN enthält nur programmspezifische Druckoptionen Einstellungen. Auf der Registerkarte Layout legen Sie fest, wie gedruckt wird. Zur Auswahl stehen: •
Orientierung (Hoch- oder Querformat)
•
Seitenreihenfolge
•
Anzahl der Seiten pro Blatt (skaliert die Seiten entsprechend) Abbildung 18.12: Layoutoptionen
Über die Schaltfläche ERWEITERT gelangen Sie in spezielle Einstellungen des betreffenden Druckers. Dieses Dialogfeld wird vom Treiber des Druckers geliefert und bietet alle druckerspezifischen Funktionen. Auf der letzten Registerkarte PAPIER/QUALITÄT können Sie die Pa- Papieroptionen pierart, den Ausgabeschacht, Qualitätsmerkmale usw. einstellen. Die verfügbaren Angaben hängen vom Druckertreiber ab. Die Auswahl des richtigen Druckertreibers kann nicht nur das Druck- Den Druckertreiber ergebnis beeinflussen. Der Treiber hat auch Zugriff auf den Windows beachten 2000-Druckdialog an sich. Die folgende Abbildung zeigt, wie der Adobe PDF Writer den Druckdialog des Internet Explorers modifiziert.
806
18 Struktur der Oberfläche
Abbildung 18.13: Modifizierter Druckdialog
Hinweise zur Administration Weitere Informationen zur Administration finden Sie den Abschnitten 13.1 Installation lokaler Drucker ab Seite 559 und 13.3 Netzwerkdrucker einbinden ab Seite 580.
18.3 Suchfunktionen In Windows 2000 sind mehrere integrierten Suchfunktionen verfügbar. Die Suche lässt sich sogar auf das Internet ausdehnen. Ein Suchassistent erleichtert die Nutzung. Mit dem Indexserver steht darüber hinaus eine lokale Volltextrecherchemaschine zur Verfügung.
18.3.1 Der Suchassistent Windows besitzt einen integrierten Suchassistenten, der das Auffinden von Dateien erleichtert. Er ermöglicht auch den Zugriff auf Suchfunktionen des Internets. Für die Suche können verschiedene Kriterien angegeben werden, die ein effektives Finden von Dateien ermöglichen. Die Suche kann das
18.3 Suchfunktionen Dateisystem direkt durchsuchen oder einen durch den Index-Server aufbereiteten Index durchsuchen. Der Index ist schneller aber möglicherweise nicht aktuell, wenn der Indexdienst Änderungen noch nicht erfasst hat. Mehr Informationen zur Administration des Indexdienstes finden Sie im Abschnitt 11.12 Indexdienst einrichten ab Seite 479. Einige Suchfunktionen stehen nur zur Verfügung, wenn Sie an einen Windows 2000-Server oder ein Netzwerk oder das Internet angeschlossen sind.
Übersicht über die Suchfunktionen Folgende Suchfunktionen können direkt angesprochen werden: •
Active Directory: Sie können unternehmensweit nach Personen, Software- und Hardwareressourcen suchen. Der Administrator den Netzwerks kann einen globalen Katalog der verfügbaren Ressourcen einrichten.
•
Indexdienst: Der Indexdienst indiziert Dateien und Dokumente auf ihrem lokalen Computer. Die Suche wird dadurch stark beschleunigt und vor allem auf den Inhalt der Dateien ausgedehnt. Die Indizierung kann nachts automatisiert ablaufen. Die Bedienung des Index-Servers ist sehr einfach und nach der ersten Einrichtung praktisch wartungsfrei.
•
Integrierte Suche: Die Standardsuche im Dateisystem wird als integrierte Suche bezeichnet und benötigt keine Dienste oder Serverfunktionen im lokalen Netz. Für den Zugriff auf Suchfunktionen des Internets werden frei verfügbare Suchmaschinen angesprochen: -
Suche nach Dateien und Ordnern
-
Suche nach Computern im Netzwerk
-
Suche nach Personen
-
Suche im Internet
Die integrierten Suchfunktionen werden in Abschnitt 18.3.3 Integrierte Suchfunktionen ab Seite 809 beschrieben.
18.3.2 Spezielle Suchfunktionen Zwei spezielle Suchfunktionen sind von weiteren Diensten abhängig: Suche im Active Directory und Suche mit dem Indexserver. Beide Varianten werden nachfolgend beschrieben.
807
808
18 Struktur der Oberfläche Suchen im Active Directory Für die Suchfunktion kann auch auf Active Directory zugriffen werden. Wie ein solcher Server eingerichtet und angesprochen wird, behandelt Band II der Buchreihe – Windows 2000 im Netzwerk.
Suchen mit dem Indexdienst Voraussetzung für den Indexdienst ist die Installation des Indexservers. Siehe dazu Abschnitt 11.12 Indexdienst einrichten ab Seite 479. Indexdienst über Systemsteuerung starten
Sie können den Indexdienst in der Dienstekontrolle überprüfen. Gehen Sie dazu in die SYSTEMSTEUERUNG | VERWALTUNG | DIENSTE. Suchen Sie in der Liste den Eintrag INDEXDIENST. Klicken Sie den Eintrag mit der rechten Maustaste an und wählen Sie dann im Kontextmenü den Eintrag STARTEN. Der Indexdienst startet und steht nun zur Verfügung.
Abbildung 18.14: Starten des IndexDienstes
Indexdienst im Suchdialog startet
Sie können den Zustand des Indexdienstes auch im Suchfenster überwachen. Folgende Meldung erscheint, wenn der Dienst nicht gestartet ist:
Klicken Sie auf den Hyperlink INDEXDIENST und im folgenden Dialog auf JA, INDEXDIENST AKTIVIEREN... .
18.3 Suchfunktionen
809 Abbildung 18.15: Direktes Starten des Indexdienste
Möglicherweise werden Sie nun umfangreiche Festplattenoperationen feststellen – der Indexserver indiziert die standardmäßig oder vom Administrator eingerichteten Dateien. Die normale Arbeit sollte das nicht stören (außer auf langsamen Computern), der Indexserver läuft mit niedriger Priorität im Hintergrund. Wenn Sie den Indexdienst unmittelbar vor der Suche starten, müssen Sie einige Zeit warten, bis der Index aufgebaut wurde. Je nach Computer, Anzahl der Dateien und aktiver Software kann der Vorgang einige Minuten bis zu einigen Stunden dauern. Solange der Indexdienst mit der ersten Indizierung beschäftigt ist, erscheint folgender Hinweis im Suchformular:
Um den Indexdienst in der Suchfunktion zu verwenden, brauchen Sie Indexdienst zur keine besonderen Einstellungen. Ist der Indexdienst aktiviert, ver- Suche verwenden wendet die in Windows integrierte Suche automatisch die Kataloge.
18.3.3 Integrierte Suchfunktionen Sie erreichen die Suchfunktionen auf folgenden Wegen: •
Über START | SUCHEN | NACH DATEIEN UND ORDNERN
•
In jedem Arbeitsplatzfenster oder im Explorer mit F3
Einige Suchfunktionen sind fest in Windows integriert – sie werden unmittelbar im Dateisystem ausgeführt. Sie können aus dieser Suche heraus Dateien auf folgenden Medien suchen: •
Dateien und Ordner auf lokalen Medien suchen
•
Dateien und Ordner auf Netzwerklaufwerken suchen
•
Internet nach Schlagworten oder Personen durchsuchen
810
18 Struktur der Oberfläche
18.3.4 Suche nach Dateien und Ordnern Die Suche kann auf den lokalen Medien oder freigegebenen Ressourcen im Netzwerk erfolgen. Erlaubt sind folgende Suchoptionen: •
Verwenden der Platzhalter * und ?, wobei * auch am Wortanfang verwendet werden darf.
•
Einschränken der Suche auf:
•
-
Eigene Dateien
-
Desktop
-
Arbeitsplatz oder Objekte des Arbeitsplatzes:
•
Diskette
•
Lokale Festplatten
•
CD-Laufwerk
•
Freigegebene Netzwerklaufwerke
Spezielle Suchoptionen: -
Größe
-
Datum
-
Typ
-
Groß- und Kleinschreibung
Abbildung 18.16: Einschränkung der Suchziele
Erweiterte Suchoptionen Die Suchoptionen werden über das entsprechende Kontrollkästchen aktiviert. Die verfügbaren Optionen werden dann an dieser Stelle eingeblendet.
18.3 Suchfunktionen Eigenschaften des Ergebnisfensters Dateien und Ordner, die nach einer Suche im Ergebnisfenster angezeigt werden, können Sie: •
Verschieben und kopieren
•
Löschen
•
Ansehen, starten oder öffnen
•
Speichern der Suche
Die verfügbaren Dateioperationen unterscheiden sich nicht von normalen Dateidialogfenstern. Verwenden Sie Drag&Drop zusammen mit den Tasten »Strg«, »Alt« und »Umschalt«. Suchanfragen lassen sich speichern. Klicken Sie dazu in das Ergebnis- Suchanfragen fenster und wählen Sie im Menü DATEI | SUCHE SPEICHERN. Es er- speichern scheint ein Dateidialog, mit dem Sie die Anfrage unter dem vorgeschlagenen Namen speichern können. Die Dateierweiterung für Suchanfragen ist FND. Um die Suche erneut auszuführen, doppelklicken Sie eine solche Suchanfrage. Gespeichert wird aber nicht das Ergebnis, sondern nur die Abfrage, bei einem erneuten Aufruf wird die Suche noch einmal komplett ausgeführt.
18.3.5 Suche nach Computern Um nach Computern zu suchen, müssen Sie an ein Netzwerk angeschlossen sein. Wählen Sie im Suchdialog die Option COMPUTER. Klicken Sie auf JETZT SUCHEN, um alle Computer des Netzwerks anzeigen zu lassen. Wollen Sie einen bestimmten Computer suchen, geben Sie den Namen oder Teile des Namens mit Platzhalterzeichen ein.
18.3.6 Suche nach Druckern Drucker suchen Sie über START | SUCHEN | DRUCKER SUCHEN. Diese Option steht nur zur Verfügung, wenn Sie sich an einer Windows Domäne unter Active Directory angemeldet haben.
811
812
18 Struktur der Oberfläche
Abbildung 18.17: Suche nach Druckern im Active Directory
18.3.7 Suche im Internet Bei der Suche im Internet werden grundsätzlich öffentliche und frei zugängliche Dienste verwendet.
Suche nach Personen im Internet und im Adressbuch Wählen Sie START | SUCHEN | NACH PERSONEN. Der Suchdialog erlaubt die Auswahl des lokalen Adressbuches oder einiger voreingestellter Suchdienste im Internet. Für die Internetoption müssen Sie mit dem Internet verbunden sein. Die Suchdienste müssen einen Verzeichnisdienst betreiben, der über das Standardprotokoll LDAP erreicht werden kann. Das Suchfenster ist mit dem für das Active Directory identisch.
Suche im Internet Die Internetsuche erreichen Sie direkt über START | SUCHEN | IM INTERNET. Der Internet Explorer startet mit dem geöffneten Suchdialog. Wenn Sie sich im Internet Explorer befinden, können Sie die Suche auch mit F3 oder über den Suchen-Schalter in der Schalterleiste erreichen. Sie können zwischen einem gespeicherten oder einem neuen Suchlauf wählen. Beim ersten Start werden Ihnen eine oder mehrere Suchmaschinen präsentiert. Sie können diese Anzeige über die Schaltfläche ANPASSEN modifizieren.
18.4 Die Netzwerkumgebung Im rechten Fenster erscheint dann die Ergebnisliste der Suchmaschine. Die Präsentation hängt von der Suchmaschine ab und ist nicht standardisiert.
Suchen in Webseiten Auch innerhalb einer Webseite können Sie mit dem Internet Explorer suchen. Wählen Sie Strg-F oder SUCHEN im Menü BEARBEITEN.
18.4 Die Netzwerkumgebung Wenn Windows 2000 Professional in einem Netzwerk eingebunden ist, steht ein spezieller Ordner mit dem Namen NETZWERKUMGEBUNG zur Verfügung.
18.4.1 Eigenschaften Die NETZWERKUMGEBUNG erlaubt eine zweistufige Orientierung im Netzwerk. Mit dem Symbol BENACHBARTE COMPUTER suchen Sie primär nach Computern in der gleichen Arbeitsgruppe. Neben den »anderen« Computern sollte hier auch die eigene Station erscheinen. Die Einstellungen der Netzwerkumgebung können durch Gruppenrichtlinien modifiziert werden. Mehr zu Gruppenrichtlinien finden Sie im Band II der Reihe »Windows 2000« und im Abschnitt 14.3 Gruppenrichtlinien ab Seite 613. Die NETZWERKUMGEBUNG zeigt tatsächlich nur die »Umgebung« des eigenen Computers an. Verknüpfte Netzwerklaufwerke erscheinen hier nicht, da sie praktisch schon lokale Ressourcen darstellen. Das Symbol GESAMTES NETZWERK zeigt alle Computer der weiteren Umgebung an. Hier werden auch andere Arbeitsgruppen angezeigt. Die Anzeige impliziert nicht, dass irgendwo in einer anderen Arbeitsgruppe Zugriffrechte bestehen. Sie können fremde Computer zwar als Symbol sehen, erhalten aber möglicherweise keinen Zugriff.
18.4.2 Ressourcen hinzufügen Sie können die Netzwerkumgebung verwenden, um weitere Ressourcen verfügbar zu machen. Dazu gehören beispielsweise: •
Freigegebene Ordner auf einem Server
•
Webseiten auf einem Webserver im lokalen Netz
813
814
18 Struktur der Oberfläche •
FTP-Server im lokalen Netz oder im Internet
Wählen Sie dazu das Symbol NETZWERKRESSOURCE HINZUFÜGEN. Geben Sie im folgenden Dialog die Adresse ein, die auf die Ressource zeigt. Sie können keine Websites auf fremden Webservern verbinden, die nur anonym erreicht werden können. FTP-Server dagegen können verknüpft werden. Möchten Sie Websites als Ressource verfügbar haben, nutzen Sie den Active Desktop. Siehe dazu Abschnitt 19.2 Der Active Desktop ab Seite 822. Die so verknüpfte Ressource steht nun als Symbol zur Verfügung. Ein Doppelklick öffnet ein weiteres Arbeitsplatzfenster mit dem Inhalt. Für Webinhalte wird auf den Internet Explorer zugegriffen. Welche Art Verknüpfung gewählt wird, entscheidet der Aufbau des Pfades zur Ressource. Hier einige Beispiele: •
\\WWW\INETPUB\WWWROOT\PHP4: Ein UNC-Pfad öffnet den Ordner direkt (Freigabe).
•
HTTP://WWW/PHP4:
•
FTP://FTP.COMPAQ.COM:
Derselben Pfad, wie er vom IIS geliefert wird, das Protokoll stellt sicher, dass Objekte im Internet Explorer geöffnet und vom IIS ausgeführt werden. Ein FTP-Server, der ebenfalls über den Internet Explorer angewählt wird.
Abbildung 18.18: Netzwerkressourcen, hier auf einem Computer mit dem Namen »www« Die Abbildung zeigt von links nach rechts die Ressourcen durch entsprechende Symbole an: •
FTP
•
Freigabe
•
Ordner
•
IIS-Ordner
18.4 Die Netzwerkumgebung
Kapitel 19 Anpassung der Oberfläche
19.1 Die Elemente der Oberfläche ..............................817 19.2 Der Active Desktop ...............................................822 19.3 Optionen für Behinderte – Eingabehilfen ........825
815
19.1 Die Elemente der Oberfläche
817
19 Anpassung der Oberfläche Die Windows 2000-Oberfläche kann im Gegensatz zu den Vorgängerversionen umfassend angepasst werden. Dieses Kapitel beschreibt die für Hauptbenutzer zugänglichen Funktionen.
19.1 Die Elemente der Oberfläche Die Oberfläche lässt sich vielfältig modifizieren. Dieser Abschnitt be- Was angepasst schreibt die Techniken, die Nutzer zugänglich sind. Angepasst wer- werden kann den können: •
Die Taskleiste
•
Die Symbolleisten
•
Das Startmenü
Die Taskleiste erscheint standardmäßig am unteren Bildschirmrand. Die Werkzeugleisten enthalten Schaltflächen mit häufig benötigten Aufgaben. Das Startmenü ist ein Menüsystem, das den Zugriff auf Programme aus der Oberfläche heraus erlaubt.
19.1.1 Persönliche Menüs im Startmenü Persönliche Menüs gibt es erst seit Windows 2000. Wenn die Funktion Persönliche Menüs eingeschaltet ist, merkt sich Windows, welche Programme lange nicht verwendet wurde und versteckt diese. Am Ende eines Menüs erscheint ein nach unten gerichteter Doppelpfeil, der andeutet, dass sich weitere Programme im diesem Menü befinden. Ein solches reduziertes Menü öffnet sich nach zwei Sekunden oder bei Klick auf die Pfeile. Um das Verhalten der persönlichen Menüs zu ändern, gehen Sie über START | EINSTELLUNGEN | TASTLEISTE & STARTMENÜ.... Sie erreichen diesen Dialog auch über das Kontextmenü der Taskleiste und den Eintrag EIGENSCHAFTEN.
818
19 Anpassung der Oberfläche
Abbildung 19.1: Taskleiste und Menüs anpassen
Persönliche Menüs aktivieren
Um über persönliche Menüs verfügen zu können, aktivieren Sie das Kontrollkästchen PERSÖNLICH ANGEPASSTE MENÜS VERWENDEN.
19.1.2 Das Startmenü verändern Um das Startmenü zu verändern, wird der in Abbildung 19.1 gezeigt Dialog verwendet. Klicken Sie auf die Registerkarte Erweitert und dort auf HINZUFÜGEN oder ENTFERNEN. Zugriff auf die Struktur des Startmenüs erhalten Sie über die Schaltfläche ERWEITERT. Spezielle Einstellungen
Abbildung 19.2: Die Einstellungen des Startmenüs
Einige Einstellungen erzeugen speziellen Eigenschaften des Startmenüs. Die Tabelle 19.1 gibt darüber Auskunft. Sie finden diese Einstellungen als einfache Kontrollkästchenliste auf der Registerkarte ERWEITERT unter EINSTELLUNGEN FÜR MENÜ "START".
19.1 Die Elemente der Oberfläche
Option
Bedeutung
"Drucker" öffnen
Erzeugt ein Untermenü mit allen Druckern im Menü Drucken statt dem Druckerfenster
"Eigene Dateien" öffnen
Erzeugt für den Eintrag EIGENE DATEIEN ein Untermenü anstatt das Fenster zu öffnen
"Systemsteuerung" anzeigen
Erzeugt ein Untermenü mit allen Optionen im Menü Systemsteuerung statt der Fensteransicht der Systemsteuerung
Abmeldung anzeigen
Erzeugt einen Eintrag "%USER%" abmelden wobei %USER% ein Platzhalter für den aktuellen Namen ist
Favoriten anzeigen
Fügt die Favoritenliste dem Startmenü hinzu
Netzwerk- und DFÜVerbindungen erweitern
Zeigt alle verfügbaren Netzwerk- und DFÜ-Verbindung in einem Menü statt in einem Fenster
Rollen des Menüs "Programme"
Stellt das Menü Programme in einem Rollmenü statt in Spalten dar
Verwaltung anzeigen
Zeigt das Menü VERWALTUNG unterhalb von PROGRAMME, so wie Sie es von NT 4 gewohnt sind
19.1.3 Symbolleisten Symbolleisten sind frei konfigurierbare Sammlungen mit Schaltflächen, die mit einem einfachen Klick Aktionen auslösen. Bislang gab es diese Leisten nur in Programmen. Mit Windows 2000 können Sie die Symbolleisten auch für die Gestaltung der Oberfläche einsetzen.
Symbolleisten anpassen Sie können alle Teile des Desktops mit individuell gestylten Werkzeugleisten belegen. Das beinhaltet insbesondere: •
Symbolleisten der Taskleiste hinzufügen oder entfernen
•
Schaltflächen den Symbolleisten hinzufügen oder entfernen
•
Reihenfolge der Schaltflächen verändern
819 Tabelle 19.1: Einstellungen des Startmenüs
820
19 Anpassung der Oberfläche Klicken Sie dazu mit der rechten Maustaste auf eine freie Stelle der Taskleiste und wählen Sie im Kontextmenü Symbolleisten. Sie können hier folgende Standardsymbolleisten auswählen:
Erscheinungsbild der Taskleiste ändern
•
ADRESSE: Zeigt die Adresseingabeleiste des Internet Explorers
•
LINKS: Zeigt die Linkleiste des Internet Explorers
•
DESKTOP: Zeigt die Elemente des Desktops als Schaltflächen
•
SCHNELLSTART: Zeigt den Internet Explorer, Outlook Express und eine Schaltfläche zum minimieren aller Fenster. Diese Leiste wird standardmäßig angezeigt.
Sie können die Taskleiste mit mehreren Symbolleisten schnell zu einer unübersichtlichen Symbolwüste werden lassen. Alle Symbolleiste haben maussensitive Bereiche, die Sie kennen sollten: Mit diesem Element ziehen Sie die Symbolleiste an eine andere Stelle oder ändern die Größe Dieses Element erlaubt den Zugriff auf die Teile der Symbolleiste, die mangels Platz nicht angezeigt werden konnten. Vergrößern Sie die Taskleiste, in dem Sie den oberen Rand mit der Maus anfassen und die Taskleiste damit auseinander ziehen. So schaffen Sie Platz für weitere Schaltflächen. Wählen Sie die Option SYMBOLLEISTEN ANPASSEN, können Sie selbst Leisten erstellen oder vorhandene anpassen.
Schwebende Symbolleisten Symbolleisten anpassen
Symbolleisten sind keine eigene Instanz in Windows 2000, sondern lediglich eine andere Darstellform für ein Ordner. Damit ist auch schon alles über die Erstellung gesagt: Legen Sie Ordner an, platzieren Sie dort andere Ordner, Verknüpfungen oder Programme und binden Sie diesen Ordner als Symbolleiste ein.
Abbildung 19.3: Symbolleiste auf dem Desktop Sie können Symbolleisten auch auf den Desktop ziehen und dort ablegen. Ziehen Sie diese dann an den Rand des Desktops, kleben die Leisten sich dort fest. So ist es leicht möglich, sich am oberen Rand des Desktops ein eigenes Menüsystem zu bauen.
19.1 Die Elemente der Oberfläche
821 Abbildung 19.4: Desktop mit oberer Menüleiste
Im Menü für die Auswahl der Symbolleisten der Taskleiste können Sie noch wählen, ob Text angezeigt werden soll und in welcher Größe die Symbole erscheinen (ANSICHT | GROß bzw. ANSICHT | KLEIN).
Die Symbolleisten der Standardfenster Jedes Standardfenster, also beispielsweise der Arbeitsplatz, der Windows Explorer oder die Netzwerkumgebung, basiert auf dem Internet Explorer. Damit stehen die frei konfigurierbaren Symbolleisten auch hier zur Verfügung. Sie finden in jedem Fenster ein Menü ANSICHT und dort eine Option SYMBOLLEISTEN. Über die Option SYMBOLLEISTEN ANPASSEN gelangen Sie in das entsprechende Dialogfeld (siehe Abbildung 19.5). Diese Option finden Sie auch im Kontextmenü der Symbolleiste selbst – klicken Sie dazu mit der rechten Maustaste in einen freien Bereich der Symbolleiste.
822
19 Anpassung der Oberfläche
Abbildung 19.5: Anpassung der Symbolleisten der Fenster
Auf der linken Seite des Dialogfensters sehen Sie die verfügbaren Symbole, auf der rechten Seite den Zustand der aktuellen Symbolleiste. Zusätzlich lassen sich zwei globale Gestaltungsoptionen wählen: •
TEXTOPTIONEN: Zeigt an, ob und wo Text in der Schaltfläche erscheint
•
SYMBOLOPTIONEN: Hier wählen zwischen kleinen und großen Symbolen.
Die Position der Elemente lässt sich mit den Schaltflächen NACH OBEN oder NACH UNTEN bestimmen.
19.2 Der Active Desktop Mit der Active Desktop-Technologie gewinnt die bislang lediglich von Symbolen übersähte Windowsoberfläche an Interaktivität. Mit dem Active Desktop können Sie: •
Webseiten direkt auf dem Desktop anzeigen
•
Automatische Updates aus dem Web planen
•
Persönliche Links zu Internet- oder Intranetadressen ablegen
Technisch wird das erreicht, in dem auf der Oberfläche HTML-Inhalte abgelegt werden können. Das Windows Explorer und Internet Explorer ohnehin zusammenfließen, ist das nicht problematisch. Andere Bedienung
Für den Anwender mag das ungewohnt sein, denn Webinhalte werden anders bedient als normale Desktop-Elemente. So werden Links grundsätzlich durch einfachen Klick ausgelöst und nicht durch einen Doppelklick.
19.2 Der Active Desktop
823
19.2.1 Vorbereitung des Active Desktop Möglicherweise haben Sie sich bei der Installation nicht für Active Desktop entschieden. Dann müssen Sie diese Option erst einschalten. Die können Active Desktop jederzeit wieder abschalten. Es lohnt sich unbedingt, diese Funktionalität einmal auszuprobieren. Klicken Sie mit der rechten Maustaste auf einen freien Bereich des Einschalten des Desktop und wählen Sie dann im Kontextmenü ACTIVE DESKTOP | Active Desktop WEBINHALT ANZEIGEN. Dieselbe Option ist auch über die Systemsteuerung erreichbar. Wählen Sie dort im Programm ANZEIGE die REGISTERKARTE Web und dort aktivieren Sie das Kontrollkästchen WEBINHALTE AUF DEM DESKTOP ANZEIGEN.
Symbole und Inhalte bestimmen Symbole des konventionellen Desktops und die HTML-Inhalte des Active Desktop werden parallel angezeigt. Dabei liegt die klassische Oberfläche im Vordergrund, ist jedoch vollkommen transparent. Im Hintergrund »scheinen« dann die Elemente des Active Desktop durch. Sie können die Symbolschicht aber deaktivieren. Das macht natürlich nur dann Sinn, wenn alle benötigten Funktionen zuvor durch entsprechende Webseiten nachgebildet wurden. Um die Symbole zu deaktivieren, klicken Sie mit der rechten Maustas- Symbole te auf die Oberfläche und dann im Kontextmenü auf ACTIVE DESKTOP. deaktivieren Im folgenden Untermenü deaktivieren Sie die Funktion DESKTOPSYMBOLE ANZEIGEN. Die Symbole gehen dabei nicht verloren, Sie können sie jederzeit wieder zur Anzeige bringen. Die Desktopinhalte sind normalerweise interaktiv. Wenn die Maus Desktopelemente über den Randzonen schwebt, entstehen Ränder, die wie bei anderen festsetzen Fenstern auch zum verschieben oder verändern genutzt werden können. Im Kontextmenü des Active Desktop gibt es die Option DESKTOPELEMENTE VERANKERN. Ist die Option aktiviert, verschwindet diese Eigenschaft.
824
19 Anpassung der Oberfläche
Abbildung 19.6: Active Desktop in Aktion
Active Desktop ist vielseitig einsetzbar In der Wahl des Inhalts des Active Desktops sind Sie keinen Beschränkungen unterworfen. Alles, was der Internet Explorer 5 darstellen kann, ist auch hier erlaubt. Das betrifft insbesondere auch Active Scripting, ActiveX-Steuerelemente und Zugriffe auf den möglicherweise vorhandenen lokalen Webserver. So bietet Microsoft eine Galerie mit Active Desktop-Elementen an, die auch Channel umfassen. Sie finden die Galerie unter folgender Adresse: www.microsoft.com/windows/ie/ie40/gallery Die folgende Abbildung zeigt die Tickerleiste aus der Galerie in Aktion: Abbildung 19.7: Aus der MicrosoftGalerie: Die Tickerleiste (rechts unten)
Das angezeigte Element verhält sich wie im Browser. Das können Sie sehen, wenn Sie das Kontextmenü dafür öffnen. Es ist bei HTMLSeiten das Standardmenü des Internet Explorers, bei ActivX-
19.3 Optionen für Behinderte – Eingabehilfen Steuerelementen oder Channeln das vom Programmierer vorgesehene Menü.
19.3 Optionen für Behinderte – Eingabehilfen Windows 2000 bietet eine gute Unterstützung für Nutzer mit körperlichen Behinderungen. Speziell geht es um eine Unterstützung beim Gebrauch der Maus, der Tastatur und um Hilfen für Sehschwache Menschen.
19.3.1 Eingabehilfen Sie finden das Dialogfeld EINGABEHILFEN in der Systemsteuerung. Folgende Optionen sind auch unter START | PROGRAMME | ZUBEHÖR | EINGABEHILFEN zu finden: •
BILDSCHIRMTASTATUR: Erlaubt die Eingabe von Zeichen mit der Maus oder einem kompatiblen Zeigegerät.
•
BILDSCHIRMLUPE: Vergrößert einen Bildschirmausschnitt so, dass die Zeichen auch von sehschwachen Menschen erkannt werden.
•
MICROSOFT SPRECHER: Liest die Informationen auf dem Bildschirm vor, auch Dialogfeldnamen, Menüs oder eingegebenen Text. Diese Funktion steht leider nur in der englischsprachigen Version von Windows 2000 zur Verfügung.
•
HILFSPROGRAMM-MANAGER: Kontrolldialog für die Einrichtung der Optionen BILDSCHIRMLUPE und BILDSCHIRMTASTATUR.
•
EINGABEHILFENASSISTENT: Mit Hilfe dieses Assistenten können die richtigen Einstellungen der Eingabehilfen für Behinderte ermittelt werden.
19.3.2 Justage der Eingabegeräte Die Eingabehilfen beziehen sich nicht nur auf die Bedürfnisse Behinderter. Alle Eingabegeräte können auch an Ihre persönlichen Bedürfnisse angepasst werden. Der Dialog EINGABEHILFEN bietet folgende Optionen: •
TASTATUR: Einstellungen für das Verhalten der Tastatur
•
SOUND: Optische Unterstützung der Soundausgabe
•
ANZEIGE: Aktiviert eine besonders kontrastreiche Anzeige
825
826
19 Anpassung der Oberfläche •
MAUS: Aktiviert die Tastaturmaus
•
ALLGEMEIN: Optionen für den Anschluss externer Hilfsgeräte
Abbildung 19.8: Kontrastreiche Anzeige (weiße Schrift auf dunklem Grund)
Windows 2000 bietet verschiedene Eingabehilfen für Anzeige, Signale, Maus und Tastatur, mit denen Sie die Einstellungen für behinderte Benutzer anpassen können. Diese behandelt der folgende Abschnitt.
Eingabehilfen Windows 2000 bietet anpassbare Optionen für Benutzer, deren Sehkraft oder Bewegungsvermögen eingeschränkt ist oder die gehörlos oder schwerhörig sind. •
FARBSCHEMATA MIT STARKEM KONTRAST FÜR DEN DESKTOP: Bieten weitere Möglichkeiten zum Ändern der Farben und Schriftgrößen für die Anzeige.
•
AUDIOSCHEMATA: Geben die Bildschirmereignisse in Form von Signalen aus (beispielsweise das Öffnen und Schließen von Fenstern).
•
LEICHT SICHTBARE MAUSZEIGERSCHEMATA: Bieten weitere Optionen für das optische Verfolgen des Mauszeigers auf dem Bildschirm.
19.3 Optionen für Behinderte – Eingabehilfen
827
Einrichten von Eingabehilfe-Optionen Mit den Eingabehilfen von Windows 2000 können Sie den Computer an Ihre Anforderungen bezüglich Sehkraft, Hörvermögen oder Bewegungsradius anpassen. Die Eingabehilfen werden standardmäßig auf dem Computer installiert. Mit dem Eingabehilfen-Assistenten können Sie die gewünschten Eingabehilfen schnell und einfach festlegen. Mit dem Assistenten werden Sie nach Ihren Anforderungen gefragt; anschließend werden die Einstellungen automatisch konfiguriert. Alternativ öffnen Sie den Eingabehilfen-Assistenten in der Systemsteuerung, so dass Sie die Funktionen von Tastatur, Anzeige und Maus manuell anpassen können. Wenn Sie ein anderes Eingabegerät verwenden (keine Maus), verwenden Sie die entsprechende alternative Aktion, um einen Befehl auszuführen oder ein Element auszuwählen, anstatt zu klicken. Die Eingabehilfen können mit dem Eingabehilfen-Assistenten folgendermaßen eingerichtet werden: 1. Klicken Sie auf START. Zeigen Sie auf PROGRAMME, dann auf ZUBEHÖR und schließlich auf EINGABEHILFEN-ASSISTENT. 2. Folgen Sie den Anweisungen auf dem Bildschirm. So richten Sie die Eingabehilfen mit der Systemsteuerung ein: 1. Klicken Sie auf START, zeigen Sie auf EINSTELLUNGEN, und klicken Sie auf SYSTEMSTEUERUNG. 2. Doppelklicken Sie in der SYSTEMSTEUERUNG auf EINGABEHILFEN. Sie können bestimmte Eingabehilfen mit Hilfe von Tastenkombinationen aktivieren und wieder deaktivieren, unabhängig davon, ob diese Funktionen aktiviert wurden. Mit den folgenden Tastenkombinationen werden sowohl akustische als auch optische Signale (Töne bzw. Dialogfelder) ausgegeben. Auf diese Weise wird angezeigt, dass die entsprechende Eingabehilfe aktiviert oder deaktiviert wurde.
Zweck
Tastenkombination
Anschlagverzögerung umschalten RECHTE UMSCHALTTASTE acht Sekunden lang drücken Kontrast ein- und ausschalten
LINKE ALT+LINKE UMSCHALT+DRUCKTASTE
Tastaturmaus ein- und ausschalten LINKE ALT+LINKE UMSCHALT+ NUM-TASTE Einrastfunktion umschalten
UMSCHALTTASTE fünfmal drücken
Tabelle 19.2: Tastenkombinationen
828
19 Anpassung der Oberfläche
Zweck
Tastenkombination
Statusanzeige ein- und ausschalten NUM-TASTE fünf Sekunden lang drücken
Verwenden der Tastatur zum Bewegen des Mauszeigers Wenn Sie Schwierigkeiten beim Umgang mit der Maus haben, ändern Sie die Einstellungen für die Tastaturmaus so ab, dass Sie den Mauszeiger mit Hilfe der Zehnertastatur bewegen können. Verwenden Sie hierzu den Eingabehilfen-Assistenten. Alternativ aktivieren Sie diese Option in der Systemsteuerung, wie es nachfolgende beschrieben wird. So aktivieren Sie die Tastaturmaus: 1. Klicken Sie auf START, zeigen Sie auf EINSTELLUNGEN, und klicken Sie dann auf SYSTEMSTEUERUNG. 2. Doppelklicken Sie in der SYSTEMSTEUERUNG auf EINGABEHILFEN. 3. Klicken Sie auf die Registerkarte MAUS. 4. Klicken Sie im Bereich TASTATURMAUS auf TASTATURMAUS AKTIVIEREN. Wie Sie mit der Tastaturmaus umgehen, wird nachfolgend gezeigt:
•
Verwenden Sie die Pfeiltasten auf der Zehnertastatur, um den Zeiger horizontal oder vertikal zu bewegen.
•
Mit den Tasten POS1, ENDE, BILD-AUF und BILD-AB auf der Zehnertastatur bewegen Sie den Zeiger diagonal.
•
Wenn Sie die Geschwindigkeit und die Beschleunigung des Zeigers bei Einsatz der Tastaturmaus ändern möchten, klicken Sie auf der Registerkarte MAUS auf EINSTELLUNGEN, und stellen Sie die gewünschten Werte mit den Schiebereglern ein.
•
Um die Zeigergeschwindigkeit vorübergehend zu erhöhen oder zu verringern, klicken Sie auf der Registerkarte MAUS auf EINSTELLUNGEN, und aktivieren Sie das Kontrollkästchen MIT STRGTASTE VERLANGSAMEN UND MIT UMSCHALTTASTE BESCHLEUNIGEN.
19.3 Optionen für Behinderte – Eingabehilfen Links zu weiterführenden Informationen Weitere Informationen über Unterstützung für körperlich behinderte Nutzer finden Sie auf folgenden Webseiten: http://microsoft.com/enable/ http://www.rfbd.org/ http://www.apple.com/disability/ http://trace.wisc.edu
829
19.3 Optionen für Behinderte – Eingabehilfen
Kapitel 20 Kommunikationsprogramme
20.1 Hyperterminal ........................................................833 20.2 Faxdienst..................................................................836 20.3 Das Adressbuch .....................................................843
831
20.1 Hyperterminal
833
20 Kommunikationsprogramme Die in Windows 2000 integrierten Kommunikationsprogramme ermöglichen die einfache Kontaktaufnahme mit anderen Computern oder Faxgeräten auf direktem Weg. Die Leistungsfähigkeit erlaubt kaum einen professionellen Einsatz, für viele Probleme des Alltags ergibt sich jedoch eine einfache Lösung.
20.1 Hyperterminal Das Hyperterminal-Programm existiert seit den ersten WindowsVersionen. Es erlaubt die direkte Kommunikation mit einem Gerät am seriellen Port – Modem und Wählfunktionen eingeschlossen.
20.1.1 Einsatzmöglichkeiten Für die direkte Verbindung zweier Windows-Computer gibt es inzwischen elegantere Möglichkeiten der Kommunikation. Für den Zugriff auf eine Mailbox oder zur Konfiguration eines an der seriellen Schnittstelle angeschlossenen Gerätes ist es dagegen erste Wahl.
Verbindungsoptionen Hyperterminal kommuniziert entweder über ein bereits eingerichtetes Modem oder eine serielle Schnittstelle. Wenn Sie mit dem Modem kommunizieren möchten, beispielsweise um Einstellungen an der Firmware vorzunehmen, müssen Sie serielle Schnittstelle angeben, an der das Modem angeschlossen ist. Andernfalls versucht Hyperterminal eine Wählverbindung zu einem entfernten Computer aufzubauen. Beim ersten Start können Sie eine Verbindung erstellen und speichern. Eine Verbindung einrichten Geben Sie der Verbindung zuerst einen Namen und ein Symbol.
834
20 Kommunikationsprogramme
Abbildung 20.1: Verbindung mit Hyperterminal erstellen
Im nächsten Schritt wählen Sie den Kommunikationsweg, Modem oder serielle Schnittstelle. Abbildung 20.2: Kommunikationsweg auswählen
Als letzte Option werden die Kommunikationsdaten der Schnittstelle eingestellt. Diese Daten hängen von der gegnerischen Schnittstelle und der vorhandenen Hardware ab. Bei aktuellen Computern können Sie davon ausgehen, dass eine serielle Schnittstelle mindestens 115 KBaud1 verkraftet. Denken Sie aber daran, dass andere Geräte, beispielsweise seriell konfigurierbare Router oder Hubs, oft nur mit 9600 Baud angesprochen werden können.
1
Baud steht für eine theoretisch verfügbare Bandbreite in Bit/sec
20.1 Hyperterminal
835 Abbildung 20.3: Kommunikationsdaten der Schnittstelle
Konfiguration Hyperterminal erlaubt viele schnittstellenspezifische Einstellungen. Lokales Echo Für die Kommunikation mit einem Modem werden Sie vielleicht Befehle direkt eingeben und an die Schnittstelle senden. Dann ist ein lokales Echo der Eingaben hilfreich. Sie schalten dies folgendermaßen ein: •
Wählen Sie im Menü DATEI | EIGENSCHAFTEN
•
Wechseln Sie zur Registerkarte EINSTELLUNGEN
•
Klicken Sie auf ASCII-Einstellungen
•
Aktivieren Sie das Kontrollkästchen bei GESENDETE ZEICHEN LOKAL AUSGEBEN
Abbildung 20.4: Lokales Echo aktivieren
Das Empfangen und Senden von Dateien per Modem oder seriellem Dateien empfangen Kabel ist nicht so einfach, wie es heutige Netzwerke suggerieren. Im und senden Laufe der Zeit haben sich viele Protokolle herausgebildet, die der Übertragung dienen. Solche Transferbefehle und die entsprechenden Einstellungen finden Sie im Menü ÜBERTRAGUNG.
836
20 Kommunikationsprogramme
20.2 Faxdienst Mit dem Faxdienst können Faxe gesendet und empfangen werden. Dieser Abschnitt beschreibt Einrichtung und Nutzung der Faxfunktionen.
20.2.1 Übersicht über die Faxfunktionen Die Faxfunktionen von Windows 2000 finden Sie unter START | PROGRAMME | ZUBEHÖR | KOMMUNIKATION. Der Funktionsumfang kann sich nicht annähernd mit dem moderner Faxprogramme wie Winfax Pro messen. Aber für das schnelle Versenden von Faxen aus einer Anwendung heraus oder zum gelegentlichen Empfang eines Faxes reicht das Angebot völlig aus. Tabelle 20.1: Faxfunktionen
Funktion
Beschreibung
Faxwarteschlange
Sendevorgang anzeigen, abbrechen, fortsetzen oder anhalten.
Faxdienstverwaltung Faxgerät für den Faxempfang einrichten, Sicherheitsberechtigungen festlegen, Anzahl der Ruftöne vor Beantwortung des Faxanrufs und Anzahl der Wiederholversuche vor Abbruch des Faxversands festlegen. Eigene Faxe
Gesendete und empfangene Faxe anzeigen, drucken oder löschen. In diesem Ordner werden auch sämtliche Deckblätter gespeichert.
Faxdeckblatt senden Nur ein Faxdeckblatt senden; startet den Assistenten zum Senden von Faxen
20.2.2 Einrichten eines Faxgerätes Voraussetzung für die Nutzung der Faxfunktion ist entsprechende Hardware zum Senden von Faxen, beispielsweise ein geeignetes Modem. Weiterhin ist die Einrichtung des Faxdienstes erforderlich. Diese Aufgabe muss ein Administrator übernehmen.
Die Einrichtung prüfen Sie können die korrekte Einrichtung des Faxdienstes leicht prüfen. Wählen Sie dazu START | PROGRAMME | ZUBEHÖR | KOMMUNIKATION | FAX | FAXDIENST EINRICHTEN. Anschließend wird der Faxdienst ü-
20.2 Faxdienst
837
berprüft. Wenn Sie eine Fehlermeldung wie in Abbildung 20.5 erhalten, müssen Sie den Faxdienst erst konfigurieren. Abbildung 20.5: Der Faxdienst wurde noch nicht konfiguriert
Steht das Faxgerät zur Verfügung, startet die Faxdienstverwaltung. Sie können die Daten jetzt ändern, um ihr persönliches Faxgerät einzurichten. Abbildung 20.6: Faxdienstverwaltung
Die Faxdienstverwaltung bietet zwei Sichten: •
GERÄTE: Hier sind alle Geräte aufgeführt, über die Faxe gesendet oder empfangen werden können. Normalerweise sollte hier Ihr Modem oder ISDN-Gerät auftauchen.
•
PROTOKOLLIEREN: Hier können Sie einstellen, welche Vorgänge protokolliert werden sollen. Für den privaten Gebrauch sind Protokolle weniger sinnvoll, gewerbliche Nutzer sollten mindestens ein Sendeprotokoll führen.
Andere Einstellungen Sie erreichen die Faxdiensteverwaltung auch über die Systemsteuerung. Dort wählen Sie das Icon Fax. Sie können die Faxdiensteverwaltung über die Registerkarte ERWEITERTE OPTIONEN und die Schaltfläche KONSOLE FÜR FAXDIENSTVERWALTUNG ÖFFNEN starten.
Das Faxgerät einrichten Wählen Sie in der Faxdiensteverwaltung das Faxgerät aus. Öffnen Sie das Eigenschaften-Fenster mit einem Doppelklick oder über das Kontextmenü. Für jedes Faxgerät können Sie folgende Optionen einstellen.
838
20 Kommunikationsprogramme •
AKTIVIERUNG SENDEN: Aktivieren Sie die Sendefunktion, wenn Faxe verschickt werden sollen.
•
AKTIVIERUNG EMPFANGEN: Aktivieren Sie die Empfangsfunktion, wenn Faxe automatisch empfangen werden sollen. Das Modem nimmt Rufe dann nach der eingestellten Anzahl Ruftöne an.
•
SENDEKENNUNG: Diese Kennung übermittelt das Fax an die angerufene Station.
•
EMPFANGSKENNUNG: Diese Kennung wird der anrufenden Station zur Bestätigung übermittelt.
Es ist üblich, als Sende- und Empfangskennung die vollständige internationale Rufnummer anzugeben: +LC OKZ RUF (LC = Ländercode, für Deutschland 49, für Österreich 43, für die Schweiz 41, Luxemburg 352; OKZ = Ortsnetzkennzahl ohne die führende Null, beispielsweise 30 für Berlin, 89 für München; RUF = Ihre Rufnummer für den Faxanschluss). Abbildung 20.7: Einrichten der Kennungen
Umgang mit empfangenen Faxen
Sie können mehrere Optionen für den Umgang mit empfangenen Faxen wählen.: •
Ausgabe auf einem Drucker
•
Speichern in einem speziellen Ordner
20.2 Faxdienst •
839
Ablage in einem MAPI1-fähigen E-Mail-Client (beispielsweise Outlook, nicht aber Outlook Express)
20.2.3 Das Faxgerät verwenden Ist das Faxgerät installiert, kann es aus jeder Anwendung heraus verwendet werden. Um Faxe zu senden, wählen Sie einfach als Drucker »Fax« aus. Der Druckvorgang wird wir bei einem normalen Drucker ausgelöst.
Optionen des Druckerdialogs Der Druckerdialog ist an die Bedingungen eines Faxgerätes angepasst. Einstellen können Sie folgende Optionen: •
Sendezeit
•
Auflösung
•
Papierformat und Ausrichtung Abbildung 20.8: Optionen beim Senden von Faxen
1
MAPI ist eine Programmierschnittstelle für E-Mail-Programme
840 Erweiterte Optionen
20 Kommunikationsprogramme Wenn Sie mit dem Faxprogramm in einem größeren Netz arbeiten, werden die Daten vielleicht von Exchange oder Outlook verwaltet. Dann können Sie im Feld E-MAIL-ADRESSE das Konto eines Nutzers eintragen, an den Bestätigungen versendet werden. Der RECHNUNGSCODE kann beispielsweise eine Kostenstelle sein, die Exchange verwaltet. Private Nutzer können diese Felder leer lassen.
Faxe versenden Der eigentliche Sendevorgang startet, nachdem Sie den »Druckvorgang« zum Fax ausgelöst haben. Es startet ein Assistent, der die nötigen Abfragen vornimmt. Die Nummer des Empfängers können Sie hier eintragen oder dem Adressbuch (siehe 20.3 Das Adressbuch ab Seite 843) entnehmen. Falls Sie Faxe von unterschiedlichen Orten mit dem Notebook versenden, sollten Sie sich die Einstellung des Standortes anschauen. Sie können vom Assistenten aus die entsprechenden Wählregeln auswählen. Aktivieren Sie dazu das Kontrollkästchen WÄHLREGELN VERWENDEN. Abbildung 20.9: Sendedaten für ein Fax
Serienfaxe senden
Die ausgewählten oder einzeln eingegebene Faxempfänger können Sie in die Liste der Empfänger aufnehmen. So entsteht ein unpersönliches Serienfax.
20.2 Faxdienst
841
Denken Sie beim Versenden von Serienfaxen daran, sich vorher das Einverständnis der Empfänger einzuholen. Das unaufgeforderte Versenden von Faxen ist wie auch bei E-Mail »Spam« und kann bis zur Abmahnung führen, vor allem wenn es sich nicht um »bracheninterne« Informationen handelt. Privatleuten sollten Sie grundsätzlich keine Serienfaxe senden (ausgenommen natürlich Geburtstagseinladungen für Freunde).
Umgang mit Deckblättern Sie können zu jedem Fax ein Deckblatt auswählen, dass vor dem Fax Deckblatt übertragen wird. Einige Daten werden dort automatisch eingetragen. auswählen Das ist sinnvoll, wenn Ihre Faxvorlage weniger personalisiert ist. Die vorbereiteten Deckblätter werden selten Ihren Ansprüchen genü- Deckblätter gen. Sie können eigene Deckblätter leicht erstellen. Doppelklicken Sie erstellen dazu in der Systemsteuerung auf FAX. Führen Sie auf der Registerkarte DECKBLÄTTER einen oder mehrere der nachfolgend beschriebenen Schritte aus. Klicken Sie auf NEU, um den Faxdeckblatt-Editor zu starten. Der Fax- Erstellen eines neuen Deckblattes deckblatt-Editor wird weiter unten beschrieben. Klicken Sie auf HINZUFÜGEN, um das Dialogfeld NACH DECKBLATTDATEI SUCHEN zu öffnen. Suchen Sie das gewünschte Deckblatt, und klicken Sie dann auf ÖFFNEN, um das Deckblatt Ihrer Liste persönlicher Deckblätter hinzuzufügen. Ein Deckblatt muss nur hinzugefügt werden, wenn ein persönliches Deckblatt in einem anderen Ordner als dem Standardordner gespeichert ist.
Hinzufügen eines Deckblattes zur Liste persönlicher Deckblätter
Klicken Sie auf das Faxdeckblatt, um es zu markieren, und klicken Sie Öffnen und Bearbeiten dann auf Öffnen, um den Faxdeckblatt-Editor zu starten. Klicken Sie auf ein Deckblatt, um es zu markieren, und klicken Sie Deckblatt löschen dann auf Löschen. Deckblätter müssen mit der COV-Dateierweiterung versehen sein. Wenn das gesuchte Deckblatt nicht auffindbar ist, sollten Sie überprüfen, ob das Deckblatt über die richtige Erweiterung verfügt.
Der Faxdeckblatt-Editor Der Faxdeckblatt-Editor ist ein kleiner grafischer Editor, der sehr einfach bedient werden kann. Die wichtigste Zusatzfunktion ist das Einblenden dynamisch ausgefüllter Felder. Alle Elemente können in Schriftart, Größe, Form und Graustufen beeinflusst werden. Auch grafische Formen stehen zur Verfügung. Bilder fügen Sie am einfachsten über die Zwischenablage ein.
842 Richtig abspeichern
20 Kommunikationsprogramme Wenn Sie die neue Dokumentvorlage im Sendeassistenten sofort sehen möchten, sollten Sie sie unter dem folgenden Pfad abspeichern: C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Faxe\Allgemeine Deckblätter Die Faxfunktionen sind standardmäßig nicht benutzerorientiert. Sie können das aber anders organisieren, nur müssen Sie dann den Ordner EIGENE FAXE selbst anlegen und die entsprechenden Unterordner kopieren.
Abbildung 20.10: Der FaxdeckblattEditor
Die dynamischen Felder fügen Sie über das Menü EINFÜGEN ein. Im Menü FORMAT stellen Sie Schriftart und Ausrichtung ein. Unter LAYOUT finden Sie Funktionen zum Anordnen von Objekten, unter anderem zum Ausrichten und automatisierten Einstellen des Abstands. Standarddeckblätter bearbeiten
Sie können auch die vorhandenen Standarddeckblätter bearbeiten. Dazu wechseln Sie in das oben genannte Standardverzeichnis für Faxdeckblätter und klicken auf eine der COV-Dateien.
Faxvorlagen aus Windows 95
Wenn Sie noch Faxvorlagen haben, die mit dem Deckblatt-Editor von Windows 95 erstellt wurden, können Sie diese mit dem Editor bearbeiten. Das alte Format kann vom Faxdienst nicht verarbeitet werden. Sie können die Dateien aber aus dem Editor heraus im neuen Format speichern.
20.3 Das Adressbuch
843
Der Editor beherrscht alle üblichen Funktionen eines grafischen Umgang mit dem Werkzeugs. So können Sie Objekt, die nicht gedruckt werden sollen, Editor im grauen Bereich ablegen. Mehrere Objekte lassen sich mit der Maus auswählen, indem diese um die Objekte herum gezogen wird. Mit der Tastatur wechseln Sie Objekte mit der TAB-Taste. Das Deckblatt wird, wenn es im Standardordner liegt, automatisch bei Auswahl des Deckblattes der Auswahl angeboten. Abbildung 20.11: Auswahl des eigenen Deckblatts
Sendeoptionen Der letzte Schritt des Assistenten stellt die Sendeoptionen ein. Dabei Sendezeit wird die Vorgabe angezeigt, die in der Systemsteuerung eingegeben einstellen wurde. Sie können diese Daten aber bei jedem Sendevorgang modifizieren. Einstellbar ist die Sendezeit nach folgendem Schema: •
JETZT. Das Fax wird gesendet, sowie das Faxgerät frei ist.
•
GENAUE SENDEZEIT. Hier geben Sie eine Zeit an, zu der das Fax gesendet wird.
•
VERBILLIGTE TARIFE. Hier wird die Zeit aus der Vorgabe verwendet, zu der der Faxversand besonders billig ist.
20.3 Das Adressbuch Das Adressbuch ist als eigenständiges Programm und zur Integration in andere Windows-Programme geeignet. Der Haupteinsatz dürfte in Outlook Express erfolgen. Es lohnt sich aber ein Blick auf das Programm, wenn Sie regelmäßig Briefe schreiben oder Faxe senden.
844
20 Kommunikationsprogramme
20.3.1 Adressbuch einrichten Das Adressbuch wird standardmäßig installiert, da es von Outlook Express benötigt wird. Sie können es direkt unter START | PROGRAMME | ZUBEHÖR | ADRESSBUCH öffnen. Die Daten selbst werden in folgendem Ordner abgelegt: C:\Dokumente und Einstellungen\%USER%\Anwendungsdaten\Microsoft\Address Book\%USER%.wab Dabei steht %USER% für den Namen des aktuellen Benutzers.
Funktionen Das Adressbuch speichert Kontaktinformationen so, dass Programme wie Outlook Express leicht darauf zugreifen können. Darüber hinaus ermöglicht es Zugriff auf Internetverzeichnisdienste, die Sie zum Suchen von Personen und Unternehmen im Internet verwenden können. Informationen zu Personen oder Gruppen
Das Adressbuch verwaltet eine Datenbank, um E-Mail-Adressen, Privat- und Geschäftsadressen, Telefon- und Faxnummern, digitale IDs, Konferenzinformationen, MSN Messenger-Service-Adressen und persönliche Informationen, wie Geburtstage, Jahrestage und Familienmitglieder zu speichern. Sie können auch Personen- oder Unternehmensinternetadressen speichern und direkt mit denen Ihres Adressbuchs verknüpfen. Für zusätzliche Informationen, die nicht in diese Bereiche fallen, gibt es einen eigenen Abschnitt für Anmerkungen.
Zugriff auf LDAPVerzeichnisdienste
Verzeichnisdienste sind mächtige Werkzeuge, mit denen Sie Namen und Adressen im Internet suchen können. Das Adressbuch unterstützt das LDAP (Lightweight Directory Access Protocol) für die Verwendung von Internetverzeichnisdiensten. Sie können diese Dienste beim Einfügen von Adressen in E-Mail-Nachrichten nutzen.
Gruppen von Kontakten für Versandlisten
Sie können Gruppen von Kontakten erstellen, die es Ihnen erleichtern, E-Mail-Nachrichten an eine Gruppe von Personen, wie Geschäftspartner, Verwandte oder Sportfreunde, zu senden. Jedes Mal, wenn Sie an alle Personen der Gruppe eine E-Mail senden möchten, verwenden Sie einfach den Gruppennamen, statt jeden Kontakt einzeln einzugeben. Durch die Erstellung von Gruppen lässt sich auch ein großes Adressbuch sinnvoll organisieren.
Adressbuch mit anderen Benutzern gemeinsam nutzen
Durch Erstellen von Identitäten können alle Personen, die das Adressbuch verwenden, Kontakte in ihren eigenen Ordnern verwalten. Wenn sie möchten, können sie Kontakte im Ordner GEMEINSAME KONTAKTE ablegen, so dass sie auch für andere Benutzer zur Verfügung stehen.
20.3 Das Adressbuch
845
Wenn Sie Ihren Weg mit Outlook Express fortsetzen, müssen Sie des- Importieren aus halb Ihr altes Adressbuch nicht zurücklassen. Sie können ein persönli- anderen ches Adressbuch aus zahlreichen gängigen E-Mail-Programmen im- Adressbüchern portieren, einschließlich Microsoft Exchange, Eudora Light und Eudora Pro, Netscape Communicator, Microsoft Internet Mail für Windows 3.1 sowie jedes Programm, das Textdateien mit Kommata als Trennzeichen (CSV, Comma Seperated Value1) exportiert, beispielsweise Microsoft Outlook. Sie können Adressbuchdateien auch mit Microsoft Exchange oder einem anderen Programm verwenden, das Dateien im CSV-Format importiert. Visitenkarten stellen die neue Art dar, Kontaktinformationen elektro- Senden und nisch zu senden. Wenn Sie eine Visitenkarte im Adressbuch erstellen, Empfangen von werden die Kontaktinformationen im vCard-Format gespeichert, so Visitenkarten dass sie zwischen unterschiedlichen Programmen (beispielsweise EMail, Adressbücher und persönlicher Planer) und zwischen unterschiedlichen digitalen Geräten (beispielsweise Desktopcomputer, Notebooks oder PDAs) ausgetauscht werden können. Sie können das Adressbuch drucken, um es Ihrem persönlichen Planer Drucken und hinzuzufügen. Sie können alle Kontaktinformationen, ausschließlich Mitnehmen des geschäftliche Informationen oder ausschließlich Telefonnummern be- Adressbuchs liebiger oder aller Kontakte auf eines von drei Seitenformaten drucken.
20.3.2 Adressbuch einsetzen Das Adressbuch können Sie in vielen Fällen einsetzen. Verknüpfungen finden Sie beispielsweise in folgenden Programmen: •
Outlook Express
•
Fax
•
MS Office
Voraussetzung ist natürlich eine sinnvolle Pflege der Adressbücher. Wenn Sie in Outlook nur E-Mail-Adressen erfassen, werden Ihnen diese Kontakte beim Versenden von Faxen nicht weiter helfen. Ebenso können Sie Serienbriefe in MS Word nur erstellen, wenn die Adressangaben vollständig sind. Als Kontaktmanagement ist das integrierte Adressbuch zwar recht einfach, aber für eine überschaubare Adresszahl ausreichend. Einige Dutzend oder Hundert Adressen dürfen es
1
Diese Dateiart muss nicht immer Kommata als Trennzeichen einsetzen, üblich sind auch Semikola oder Tabulatoren. Das ändert aber nichts an der Bezeichnung »CSV«.
846
20 Kommunikationsprogramme schon sein. Wenn Sie einen größeren Bedarf haben, lohnt der Einsatz von Outlook 2000 mit der integrierten Kontaktverwaltung.
Einsatz in Outlook Express In Outlook Express (siehe Abschnitt 21.3 Outlook Express ab Seite 869) erreichen Sie das Adressbuch über EXTRAS | ADRESSBUCH oder das entsprechende Symbol in der Symbolleiste. Wenn Sie E-Mail empfangen, können Sie den Absender leicht dem Adressbuch hinzufügen. Dazu öffnen Sie die E-Mail und klicken dann mit der rechten Maustaste auf den Namen. Im Kontextmenü wählen Sie ZUM ADRESSBUCH HINZUFÜGEN. Abbildung 20.12: Einen E-MailAbsender einfach aufnehmen
Einsatz im Faxdienst Wenn Sie den Faxdienst einsetzen, können Sie die Kontakte im Adressbuch auch dafür nutzen – vorausgesetzt das entsprechende Feld für die Faxnummer wurde ausgefüllt. Beim Ablauf des Assistenten zum Senden von Faxen ist der Zugriff auf das Adressbuch direkt möglich.
Adressbuch als Datenquelle in MS Word 2000 Das Adressbuch lässt sich direkt in MS Word importieren. Wenn Sie parallel das Office Paket installiert haben, sollten Sie trotzdem einen Wechsel nach Outlook 2000 in Erwägung ziehen. Zwischen Outlook und Word ist das Zusammenspiel deutlich besser. Der Import der Daten nach Outlook 2000 wird bei der ersten Einrichtung automatisch angeboten. Unabhängig davon wird das Adressbuch auch aus Outlook 2000 heraus angeboten.
20.3 Das Adressbuch
847
Kapitel 21 Internet für Benutzer
21.1 Internetverbindungen...........................................849 21.2 Der Internet Explorer ............................................850 21.3 Outlook Express .....................................................869
21.1 Internetverbindungen
21 Internet für Benutzer Eine der wichtigsten Funktionen ist die Unterstützung für Internetverbindungen. Mit Windows 2000 ist es sehr einfach, das Internet zu nutzen. Sie benötigen eine physikalische Verbindung zum Internet. In den meisten Fällen ist das ein Modem und eine Telefonleitung; gewerblichen Nutzer steht oft auch ein Netzwerk mit Router zur Verfügung.
21.1 Internetverbindungen Nach der ersten Installation sollten Sie prüfen, ob die für einen Internetverbindung zuständige Hardware vorhanden, eingeschaltet und korrekt konfiguriert wurde.
Eine neue Verbindung einrichten Sie erreichen den Netzwerkverbindungs-Assistenten über die Sys- Der Netzwerktemsteuerung im Programm Internetoptionen. Wählen Sie dort die verbindungsAssistent Registerkarte VERBINDUNGEN und klicken Sie dann auf HINZUFÜGEN. Für eine Internetverbindung wählen Sie die erste Option IN EIN Folgen Sie dann den Anweisungen.
PRIVATES NETZWERK EINWÄHLEN.
Vor der Konfiguration benötigen Sie einige Daten, die Ihnen Ihr Pro- Einwahldaten eingeben vider zur Verfügung stellen muss. Dazu gehören: •
Einwahl-Rufnummer
•
Benutzername und Kennwort
•
Informationen zu Proxy, DNS und IP-Nummern-Vergabe
Wenn Sie Ihre Kommunikationsumgebung testen möchten und noch keinen Provider haben, versuchen Sie es mit einem sogenannten Callby-Call-Anbieter. Sie haben damit sofort eine Verbindung zum Internet und können sich später in Ruhe um eine günstigere Alternative kümmern. Als Beispiel soll hier der Call-by-Call-Anbieter Mobilcom dienen. Alle Call-by-Call Call-by-Call-Anbieter haben ähnliche Anschlussbedingungen, die etwa so aussehen: •
Einwahl-Rufnummer im eigenen Netz, beispielsweise 01019-01929
•
Benutzername und Kennwort sind frei wählbar oder fest
•
DNS und IP-Nummer werden dynamisch vergeben
849
850
21 Internet für Benutzer •
Proxy wird zwangsweise verwendet oder muss eingetragen werden
Durch die Verwendung eines Proxy-Servers wird nur ein Teil des Datenverkehrs aus dem Internet geholt. Häufig benötigte statische Seiten liefert der Proxy an den Nutzer aus. Dadurch senkt der Provider seine Leitungskosten. Für den Nutzer sind Proxys normalerweise transparent. Erfahrungen beim Surfen zeigen aber, dass Provider ohne Proxys schneller sind. Offensichtlich arbeiten die eingesetzten Computer permanent am Leistungslimit. Für den privaten Gebrauch ist das jedoch, vor allem in Kombination mit ISDN, völlig ausreichend.
21.2 Der Internet Explorer Der Internet Explorer ist nicht nur einfach ein Browser zum Anzeigen von HTML-Seiten im Internet, sondern eng mit den Betriebssystem verflochten. Dieser Abschnitt führt in die wesentlichen Funktionen ein.
21.2.1 Einführung Der Internet Explorer ist ein WWW-Browser, der es Ihnen ermöglicht, WWW-Seiten im Internet anzusehen. Daneben können Sie den Internet Explorer auch für weitere Internet-Dienste nutzen, wie etwa FTP und über Outlook Express Usenet-News und Electronic Mail.
Voraussetzungen für die Nutzung des Internet Explorer Sie benötigen zur Nutzung des Internet Explorer unter Windows 2000 eine funktionierende Anbindung an das Internet. Dies kann eine fest installierte Netzwerkkarte oder auch ein installierter Modem- oder ISDN-Zugang sein. In jedem Fall muss TCP/IP installiert sein. Auf die Konfiguration der DFÜ-Netzwerk wurde in Abschnitt 12.5 WANVerbindungen ab Seite 531 eingegangen. Falls Sie über lokale HTMLDateien verfügen, beispielsweise Hilfetexte von Anwendungsprogrammen, können Sie den Internet Explorer auch offline einsetzen.
21.2.2 Konfiguration Zugang über Modem
Starten Sie den Internet Explorer. Wenn Sie sich über Modem/ISDN mit dem Internet verbinden, wird beim ersten Aufruf des Internet Explorers versucht eine DFÜ-Verbindung aufzubauen. Es erscheint ein Fenster mit den bei der Konfiguration der DFÜ-Verbindung angege-
21.2 Der Internet Explorer
851
benen Werte für die Daten in VERBINDEN MIT und BENUTZERNAME. Drücken Sie den Button OFFLINEBETRIEB, damit keine Verbindung aufgebaut wird. Klicken Sie nun auf EINSTELLUNGEN, um die Konfiguration vorzunehmen. Beim ersten Aufruf des Internet Explorer wird versucht, die voreinge- Zugang über stellte Startseite zu laden. Brechen Sie diesen Vorgang mit der Stop- lokales Netzwerk Schaltfläche ab. Um die Konfiguration vorzunehmen wählen Sie EXTRAS | INTERNETOPTIONEN.
Festlegen einer Startseite Wählen Sie die Registerkarte ALLGEMEIN aus und tragen Sie im Feld Adresse die Startseite ein, die zukünftig bei jedem Start des Internet Explorers aufgerufen werden soll. Wenn Sie sich nicht sicher sind, wie diese Funktion verwendet wird, klicken Sie auf LEERE SEITE. Standardmäßig wird die Homepage des Microsoft Onlinedienstes MSN aufgerufen, was nur selten sinnvoll ist. Wenn Sie immer wieder bei einer bestimmten Seite beginnen, dann ist Auswahl der diese Option durchaus brauchbar. Falls Sie sich bewusst eine Startseite Startseiten suchen möchten, denken Sie an folgende Varianten: •
Eine bekannte Suchmaschine, beispielsweise: www.yahoo.de www.google.com www.altavista.de
•
Ein typisches Portal, wie: www.yoolia.com www.netscape.com
•
Die eigene Homepage im Internet
852
21 Internet für Benutzer
Abbildung 21.1: Startseite im Internet Explorer einstellen
Integration anderer Programme mit Internet Explorer Andere Programme Wechseln Sie zur Registerkarte PROGRAMME und wählen Sie in den automatisch Feldern E-MAIL und NEWSGROUPS Outlook Express als zu verwendenstarten des Programm aus.
Als Editor stellen Sie den Windows Editor (Notepad) ein, falls Sie nicht regelmäßig mit einem anderen HTML-Editor arbeiten. Wenn Sie FrontPage 2000 installiert haben, wird Ihnen der dort verfügbar Editor möglicherweise besser gefallen. Die Option INTERNETANRUF verzweigt zu einem Programm für eine ständige Verbindung, entweder Microsoft NetMeeting, ICQ oder ein ähnliches Programm. Die Option KALENDER ist nur verfügbar, wenn ein Kalenderprogramm installiert wurde. Wenn Sie Kalender verwenden möchten, verwenden Sie Outlook 2000 statt Outlook Express. Für die Verwaltung der Kontakte ist das Windows Adressbuch (siehe Abschnitt 20.3 Das Adressbuch ab Seite 843) die beste Wahl.
21.2 Der Internet Explorer
853 Abbildung 21.2: Verknüpfungen mit anderen Programmen
Wenn Sie mehrere Browser verwenden, sollten Sie nur einen ständig Standardbrowser mit HTML-Dateien verknüpfen. Der Internet Explorer kann sich selbst als Standardbrowser einrichten. Wenn Sie dies wünschen, aktivieren INTERNET EXPLORER ALS Sie das Kontrollkästchen AUF STANDARDBROWSER ÜBERPRÜFEN. Beim nächsten Start wird dann diese Prüfung ausgeführt und der Internet Explorer zum Standardbrowser gemacht. Deaktivieren Sie das Kontrollkästchen, wenn Sie einen anderen Browser als Standard einrichten möchten.
Automatische Proxy-Konfiguration Wechseln Sie zur Registerkarte VERBINDUNG und klicken dann auf die Schaltfläche LAN-EINSTELLUNGEN. Kreuzen Sie AUTOMATISCHES KONFIGURATIONSSKRIPT VERWENDEN an und tragen Sie unter ADRESSE eine URL ein, unter der ein Konfigurationsskript liegt. Diese Adresse kann Ihnen Ihr Administrator geben. Administratoren lesen im Band II dieser Reihe, wie Sie ein Konfigurationsskript erstellen und im Netz bereithalten. Konfigurationsskript enden auf PAC und werden nach der Netscape-Spezifikation für Proxykonfigurationen erstellt. Interessierte Leser finden Informationen unter:
854
21 Internet für Benutzer http://home.netscape.com/eng/mozilla/2.0/relnotes/demo/proxylive.html
Abbildung 21.3: Einrichten eines automatischen Konfigurationsskripts
Wenn Sie DFÜ-Verbindungen zu verschiedenen Providern konfiguriert haben, so können Sie für jeden Zugang eigene Proxys konfigurieren. Markieren Sie dazu die DFÜ-Verbindung, zu der Sie Proxys konfigurieren wollen und drücken dann auf EINSTELLUNGEN.
Konfiguration von Sicherheitsoptionen Der Internet Explorer unterteilt die Internetwelt in Zonen, sodass Sie einer Web-Seite eine Zone mit einer geeigneten Sicherheitsstufe zuweisen können. Sie können feststellen, welcher Zone die aktuelle WebSeite zugewiesen ist, indem Sie auf die rechte Seite der Statusleiste des Internet Explorer schauen. Immer wenn Sie versuchen, Inhalte aus dem Web zu öffnen oder herunterzuladen, überprüft Internet Explorer die Sicherheitseinstellungen für die Zone dieser Web-Seite. Die Zonen
Es gibt vier verschiedene Zonen: •
INTERNET: Standardmäßig enthält diese Zone alles, was sich nicht auf Ihrem Computer oder in einem Intranet befindet oder einer anderen Zone zugewiesen ist. Die standardmäßige Sicherheitsstufe für diese Zone ist MITTEL.
•
LOKALES INTRANET: Diese Zone enthält alle Adressen, die keinen Proxy-Server erfordern. Dies betrifft alles Adressen die Sie bei der Proxy-Konfiguration (siehe oben) unter Ausnahmen eingetragen haben. Die standardmäßige Sicherheitsstufe für diese Zone ist MITTEL.
21.2 Der Internet Explorer •
VERTRAUENSWÜRDIGE SITES: Diese Zone enthält Sites, denen Sie vertrauen - Sites, von denen Sie glauben, dass der Download oder das Ausführen von Dateien, die von diesen Sites stammen, keine Risiken hinsichtlich der Beschädigung Ihres Computers oder Ihrer Daten birgt. Sie können dieser Zone Sites zuweisen. Die standardmäßige Sicherheitsstufe für diese Zone ist NIEDRIG.
•
EINGESCHRÄNKTE SITES: Diese Zone enthält Sites, denen Sie nicht vertrauen, d.h. Sites, bei denen Sie nicht sicher sind, ob der Download oder das Ausführen von Dateien ohne Risiken hinsichtlich der Beschädigung Ihres Computers oder Ihrer Daten möglich ist. Sie können dieser Zone Sites zuweisen. Die standardmäßige Sicherheitsstufe für diese Zone ist HOCH.
855
Zum Einstellen wechseln Sie zur Registerkarte SICHERHEIT. Sie können eine der vorausgefertigten Stufen auswählen und modifizieren. Wenn Sie sehr hohe Sicherheitsbedürfnisse haben und viele Funktionen unterdrücken, die Sicherheitsrisiken bergen könnten, werden einige Websites nicht oder nur eingeschränkt funktionieren. Wenn Sie wissen wollen, wie die Einstellungen der einzelnen Sicher- Sicherheitszonen heitszonen aussehen, wählen Sie eine Zone aus und klicken Sie auf einstellen STUFE ANPASSEN. Sie sehen jetzt die aktuellen Einstellungen für diese Zone und können Änderungen vornehmen. Einige Datenbanken oder Abonnements von Web-Seiten wollen Coo- Cookies kies setzen und benötigen diese auch wieder zur Identifikation Ihres Computers. Durch Cookies können bestimmte Verhaltensmuster des Computer-Benutzers analysiert und ausspioniert werden. Andererseits sind sie unentbehrlich, um zusammenhängende Aktionen (beispielsweise die Zusammenstellung eines Warenkorbs bei einer Bestellung) zu ermöglichen. Es wird empfohlen die Annahme von Cookies nicht ohne Einschränkung zu erlauben. Kreuzen Sie dazu bei Cookies den Punkt EINGABEAUFFORDERUNG an. Damit werden Sie vor dem Setzen von Cookies gefragt, ob Sie dies möchten. Folgende Funktionen bergen Sicherheitsrisiken: •
Cookies In Cookies speichern Server Daten, die sie später wieder vom Browser übermittelt bekommen. Cookies, die nur während der Sitzung aktiv sind, sollten Sie zulassen, einige Site werden sonst nicht funktionieren. Dauerhaft gespeicherte Cookies erleichtern das Surfen bei einem späteren Besuch der Site, werden aber auch zur Erstellung von Nutzerprofilen verwendet. Das Risiko ist im Allgemeinen als sehr gering einzustufen.
Sicherheitsrisiken
856
21 Internet für Benutzer •
JavaScript Skriptsprachen können nicht auf Dateien des Computers zugreifen. Beim Surfen kann aber der Browser von böswillig programmierten Skripten gestört werden. Datenverlust ist nicht zu befürchten, ein Absturz des Explorers ist dagegen durchaus möglich; dies liegt aber weniger an JavaScript als mehr am schlecht programmierten Internet Explorer.
•
Java Java ist eine Programmiersprache, in der sogenannte Applets geschrieben sind. Applets werden häufig für Online-Banking verwendet. Prinzipiell unterliegen Applets denselben Beschränkungen wie Skriptsprachen – Festplattenzugriffe sind unmöglich. Zwischen Browser und Web können sie allerdings selbstständig funktionieren und den Benutzer nicht immer darüber im Klaren lassen.
Unter der folgenden Adresse finden Sie die neuesten Informationen zu Sicherheitsproblemen im Internet: www.microsoft.com/ie_intl/de/security
Inhalte kontrollieren Wechseln Sie nun zur Registerkarte INHALT. Dort können Sie persönliche Informationen, den Inhaltsratgeber und Zertifikate verwalten. Der Inhaltsratgeber
Der Inhaltsratgeber filtert Webinhalte nach bestimmten Kriterien, sodass Sie nicht mit Seiten konfrontiert werden, die Sie nicht sehen möchten. Das eingesetzte Verfahren zum Filtern von Webseiten ist keineswegs vom Inhalt der Seiten abhängig. Betreiber von Servern müssen ihre Seiten mit einem speziellen Tag versehen, welches Steuerinformationen für das Filterprogramm enthält. Das vom Internet Explorer unterstützte Verfahren RSACi wird von der Internet Content Rating Association angeboten. Mehr Informationen finden Sie unter der folgenden Adresse: www.icra.org Kategorien
Der Filter kennt vier Kategorien: •
Gewalt
•
Nacktaufnahmen
21.2 Der Internet Explorer •
Sex
•
Sprache
857
Jede dieser Kategorien enthält bestimmte Stufen, nach denen die Sitebetreiber ihre Seiten beurteilen. Seiten, die ihren Inhalt nach einer bestimmten Stufe klassifizieren, werden nicht angezeigt, wenn der Filter aktiv ist. RSACi ist relativ verbreitet, bietet aber keine Garantie für eine flächendeckende und zweckentsprechende Verwendung. Wenn Sie bestimmte Seiten sperren möchten, können Sie dies auf der Seiten sperren Registerkarte GEBILLIGTE SITES tun. Tragen Sie die Adresse ein und klicken dann auf IMMER. Nun wird nur diese Site zugelassen. Sie können auch alle Sites erlauben und nur einige freigeben. Die Sicherheitseinstellungen für Filter und Gebilligte Sites können Sie Die Einstellungen mit einem Kennwort sichern, um andere Personen, beispielsweise Ihre sichern Kinder, an einer Änderung der Option zu hindern. Abbildung 21.4: Vergabe eines Kennworts für die Sicherheitseinstellungen
Wenn der Nutzer nun eine gesperrte Site aufruft, wird er zur Eingabe des Kennworts aufgefordert. Als Administrator können Sie die Sperre übergehen. Auf der Registerkarte ALLGEMEIN finden Sie weitere Optionen. Der Supervisor Administrator kann noch einen Supervisor benennen, der die Einstellungen der Sitesperre übergehen kann.
858
21 Internet für Benutzer
Abbildung 21.5: Dialog beim Aufruf gesperrter Sites
Andere Filter
Sie können weitere Filter installieren. Dazu wird eine Konfigurationsdatei mit der Erweiterung RAT benötigt, die im Verzeichnis \SYSTEM32 liegen sollte. Interessierte Leser sollten sich die dort befindliche rsac.rat anschauen. Ein weiteres Filtersystem und die passende RATDatei finden Sie unter folgender Adresse: www.safesurf.com
Zertifikate Zertifikate identifizieren den Inhaber. Es gibt Clientzertifikate, mit denen Sie sich identifizieren, beispielsweise bei einem Shop oder (in Zukunft) bei einer Behörde. Andererseits werden Zertifikate auf Servern eingesetzt, um eine verschlüsselte Übertragung mit gleichzeitiger Authentifizierung zu ermöglichen. Zertifikate verwalten
Zertifikate werden auf der Registerkarte INHALT verwaltet.
Standardmäßig liefert Windows 2000 nur ein spezielles Zertifikat für die Dateiwiederherstellung über EFS mit, ausgestellt auf den Administrator.
21.2 Der Internet Explorer
859
Persönliche Informationen Wenn Sie nur alleine an dem Computer mit dem Internet Explorer arbeiten, lohnt die Eingabe einiger persönlicher Informationen. Die Funktionen erleichtern das Surfen. Wenn mehrere Benutzer den Computer nutzen, ist die Eingabe ein Sicherheitsrisiko – es könnte auf profilgesteuerten Sites mit einer falschen Identität gesurft werden. Abbildung 21.6: Persönliche Daten können im Profil hinterlegt werden
Die Funktion AUTOVERVOLLSTÄNDIGEN füllt Formulare und Adressen Automatisches automatisch nach der Eingabe der ersten passenden Zeichen aus. Sie Vervollständigen können diese Listen in dem in gezeigten Dialog jederzeit wieder löschen, falls Sie versehentlich Daten in sensible Formulare eingegeben haben. Abbildung 21.7: Optionen für das automatische Vervollständigen
Profile enthalten persönliche Daten wie Adresse, E-Mail, Telefon usw. Profile Sie können diese Daten hier erfassen oder einen Eintrag aus dem Adressbuch wählen, der die passenden Daten enthält.
860
21 Internet für Benutzer Erweiterte Konfiguration Der Internet Explorer bietet viele weitere Konfigurationsmöglichkeiten. Die folgende Abbildung zeigt diese Liste. Die Optionen haben folgende Bedeutung, wobei nur die nicht »selbsterklärenden« ausführlicher erläutert werden. •
BROWSING: Hier finden Sie Optionen, die vor allem auf die Darstellung der Seiten wirken. Interessante Optionen sind: -
LINKS UNTERSTREICHEN: HOVER bedeutet, dass die Kennzeichnung durch Unterstreichung nur sichtbar ist, wenn der Mauszeiger darüber schwebt.
-
ORDNERANSICHT FÜR FTP-SITES: Wenn eine FTP-Site angesurft wird, erzeugt der Explorer eine Ordneransicht statt einer einfachen Liste.
-
VERWENDEN VON AUTOVERVOLLSTÄNDIGEN: Eingegebene Adressen werden ergänzt, soweit die Angabe bereits eindeutig ist.
•
DRUCKEN: Die einzige Option betrifft den Druck von Hintergrundfarben- und Bildern. Sie sollten diese Option deaktivieren, denn viele Seiten verwenden schwarze oder dunkle Bilder als Hintergrund, die Drucke oft unleserlich machen.
•
EINGABEHILFEN: Hiermit wird die Navigation auf der Seite erleichtert. Der alternative Text zu Bildern ist abhängig vom HTML-Code. Er erscheint normalerweise erst, wenn die Maus über dem Bild schwebt.
•
MICROSOFT VM: Diese Optionen betreffen die Java Virtual Machine. JIT steht für Java Just-In-Time Compiler. Dieser Compiler empfängt Java-Programme, übersetzt sie in einem Bytecode und führt die Programme anschließend schneller aus.
•
MULTIMEDIA: Hier haben Sie Kontrolle über die Anzeige von Bild-, Sound- und Videodateien. Bei einer sehr langsamen Verbindung deaktivieren Sie die Optionen – der Explorer zeigt dann nur Text an.
•
SICHERHEIT: Diese Einstellungen beziehen sich auf den Umgang mit Zertifikaten und verschlüsselten Verbindungen.
•
SUCHEN IN ADRESSLEISTE: Hiermit steuern Sie die Suchfunktionen.
21.2 Der Internet Explorer
861 Abbildung 21.8: Erweiterte Konfigurationsoptionen im Internet Explorer
862
21 Internet für Benutzer Einige Optionen modifizieren die Einstellungen auf der Registerkarte SICHERHEIT. Umgekehrt werden die dort vorgenommenen Änderungen hier reflektiert.
21.2.3 Benutzung des Internet Explorers Hier werden nur die elementaren Grundzüge der Benutzung des Internet Explorer für verschiedene Internet-Dienste beschrieben.
Internet Explorer als WWW-Browser Wenn Sie den Internet Explorer starten und Sie obige Hinweise zur Konfiguration befolgt haben, wird automatisch die WWW-Homepage des LRZ geladen und angezeigt. Wenn Sie eine Internetadresse besuchen wollen, geben Sie diese einfach in das Feld ADRESSE ein und drücken die ENTER-Taste. Falls die Option AUTOVERVOLLSTÄNDIGEN aktiviert wurde, können Sie auf eine Liste bis zum Eingabepunkt ähnlicher Adressen zurückgreifen: Abbildung 21.9: Adresseingabe und AUTOVERVOLLSTÄNDIGEN
Navigation
Die Navigation innerhalb der AUTOVERVOLLSTÄNDIGEN-Liste erfolgt folgendermaßen: •
Die Größe der Liste verändern Sie mit der Maus an dem Anfasserfeld rechts unten
•
Blättern zwischen den Einträgen erfolgt mit den Cursortasten HOCH und RUNTER
•
Mehrere Einträge lassen sich mit BILD AUF und BILD AB überspringen
•
Die Auswahl eines Eintrags erfolgt mit ENTER.
Innerhalb einer WWW-Seite finden Sie normalerweise unterstrichene Bereiche (Links), die Sie mit der Maus anklicken können. Ein solcher Link führt zu einem anderen Teil der Seite, zu einer anderen Seite auf demselben Rechner oder zu einer anderen Seite auf einem ganz anderen Rechner. Wohin der Link führt, sehen Sie am unteren Rand des Fensters in der Statuszeile.
21.2 Der Internet Explorer Die Schaltfläche ZURÜCK führt jeweils zurück zur davor angezeigten WWW-Seite. Wenn Sie auf das kleine schwarze Dreieck klicken, sehen Sie eine Liste der letzten Seiten, die Sie direkt auswählen können.
Anonymous-FTP Um einen FTP-Server zu besuchen, geben Sie unter ADRESSE die vollständige URL ein. Angaben zum Benutzer sind nicht notwendig: ftp://www.ftp-server.com/public Sie können dann mit der Maus durch die Verzeichnisse klicken. Eine Datei können Sie vom FTP-Server auf Ihren PC laden, indem Sie sie einfach mit Doppelklick öffnen. Sie werden dann gefragt, wohin die Datei gespeichert werden soll.
FTP zu einem geschlossenen Server Wenn Sie FTP zu einem Rechner machen wollen, für den Sie eine Zugangsberechtigung benötigen, geben Sie beispielsweise für den Rechner mit dem Namen rz.sun-site.uni-irgendwo.de unter ADRESSE folgendes an: ftp://:@rz.cdserver.uni-irgendwo.de Dabei ist die Zugangsberechtigung und das dazugehörende Kennwort auf dem angegebenen Institutsrechner. Damit dies funktioniert, muss der Server natürlich auch den FTP-Dienst unterstützen und kennwortgestützt arbeiten. Name und Kennwort in dieser Form anzugeben ist riskant, denn dadurch wird es im Klartext auf Ihrem Computer gespeichert und kann durch eventuell vorhandene Sicherheitslücken des Browsers gelesen werden. Zumindest aber ist es in der History-Liste und der Liste für AUTOVERVOLLSTÄNDIGEN anderen Nutzern zugänglich.
Internetseiten offline verfügbar machen Oft werden Sie eine größere Site finden und in Ruhe alles lesen wollen. Bei laufenden Online-Kosten ist das nicht der beste Weg. Statt dessen können Sie die Site komplett laden und anschließend offline betrachten.
863
864
21 Internet für Benutzer Dynamisch erstellte Seiten, die mit aktuellen Daten aus einer Datenbank gefüllt sind, werden durch diese Funktion nicht korrekt geladen. Durch Formulare und andere Tricks »versteckte« Seiten sind ebenso unsichtbar.
Favoriten
Der einfachste Weg, Seiten offline verfügbar zu machen, führt über die Funktion FAVORITEN. Haben Sie die Seite gefunden, die Sie speichern möchten, klicken Sie im Menü FAVORITEN auf FAVORITEN HINZUFÜGEN. Wenn Sie den Internet Explorer »integriert« in anderen Programmen starten, beispielsweise in Outlook oder Word, verfügt die Funktion Favoriten nicht über die Synchronisationsoption, da der allgemeine Dateidialog gestartet wird. Starten Sie den Internet Explorer einzeln.
Abbildung 21.10: Die OfflineFunktion versteckt sich bei den Favoriten
Aktivieren Sie das Kontrollkästchen OFFLINE VERFÜGBAR MACHEN. Klicken Sie dann auf ANPASSEN, um den Assistenten für die Einrichtung der Synchronisationsfunktion zu starten. Abbildung 21.11: Sollen weitere Links verfügbar gemacht werden?
Stellen Sie nun ein, ob weitere Links ebenfalls verfügbar gemacht werden sollen und bis zu welcher Tiefe. Die Tiefe ist auf drei Stufen
21.2 Der Internet Explorer
865
begrenzt, was schon zu einem extremen Seitenzahl führen kann. Normalerweise sollten eine oder zwei Stufen ausreichen. Abbildung 21.12: Manuell oder automatisch Synchronisieren
Dann stellen Sie ein, ob manuell oder automatisch synchronisiert werden soll. Wenn Sie einen Zeitplan erstellen, denken Sie daran, dass zu diesen Zeiten automatisch eine Internetverbindung hergestellt wird, die erhebliche Online-Zeit in Anspruch nehmen kann. Im nächsten Schritt können Sie die gespeicherten Seiten mit einem Kennwort schützen. Damit können andere Nutzer des Internet Explorers die offline gespeicherten Dateien nicht lesen. Abbildung 21.13: Schutz der OfflineDaten
866
21 Internet für Benutzer
Abbildung 21.14: Der Synchronisationsvorgang in Aktion
Seiten später synchronisieren
Wenn Sie die Seiten, die offline verfügbar sind, aktualisieren möchten, wählen Sie im Menü EXTRAS | SYNCHRONISIEREN. Sie können den Vorgang jederzeit wiederholen. Geladen werden nur die neuesten Seiten.
Abbildung 21.15: Auswahl der zu synchronisierenden Seiten
Abruf der Seiten
Wenn Sie mit offline gespeicherten Seiten arbeiten möchten, unterbrechen Sie die Internetverbindung. In einem LAN, wo der Router bei
21.2 Der Internet Explorer
867
Bedarf online geht, müssen Sie dies dem Internet Explorer explizit mitteilen. Wählen Sie dazu im Menü DATEI | OFFLINEBETRIEB. Die Möglichkeiten, die der Assistent bietet, sind in der Praxis nicht Feineinstellung der ausreichend. Sie können für jeden Favoriten im Menü FAVORITEN die Offline-Optionen Offline-Optionen einzeln einrichten. Dazu öffnen Sie das Menü und klicken mit der rechten Maustaste auf den Eintrag. Es erscheint ein Kontextmenü. Wählen Sie dort Eigenschaften und passen Sie die Option an. Abbildung 21.16: Optionen für Offline-Seiten
Sie können folgende Einstellungen auf der Registerkarte DOWNLOAD vornehmen (siehe Abbildung 21.16): •
SEITEN BIS ZU EINER TIEFE VON .... Hier stellen Sie maximal 2 ein.
•
AUCH LINKS AUßERHALB... . Diese Option deaktivieren Sie.
•
SPEICHERPLATZ AUF DER FESTPLATTE... .Hier stellen Sie einen sinnvollen Wert ein, beispielsweise 5.000 KByte (5 MByte).
Wählen Sie die Schaltfläche ERWEITERT können Sie bestimmte Dateitypen vom Download ausschließen.
868
21 Internet für Benutzer
Abbildung 21.17: Kennzeichnung offline nicht verfügbarer Links Wenn Sie durch gespeicherte Seiten blättern und auf einen Link stoßen, der nicht offline Verfügbar ist, wird an den Mauszeiger eine entsprechendes Symbol gehängt (siehe Abbildung 21.17).
Speichern einzelner Seiten Daten aus dem Web speichern
Manchmal benötigen Sie nur eine Seite aus dem Web, aber inklusive aller Bilder. Die Favoritenfunktion wäre dann zu umständlich. Sie können auch einzelnen Seiten speichern. Diese Funktion erreichen Sie über DATEI | SPEICHERN ALS. Sie können nun die Speicherform wählen:
Webseite, komplett
•
Um alle Dateien zu speichern, die zum Anzeigen dieser Seite benötigt werden (einschließlich Grafiken, Frames und Stylesheets), klicken Sie auf WEBSEITE, KOMPLETT. Diese Option speichert jede Datei in ihrem Originalformat.
Webarchiv
•
Um alle Informationen zu speichern, die zum Anzeigen dieser Seite in einer einzigen, MIME-codierten Datei benötigt werden, klicken Sie auf WEBARCHIV. Diese Option speichert eine Momentaufnahme der aktuellen Webseite. Diese Option ist nur dann verfügbar, wenn Sie Outlook Express installiert haben.
Website, nur HTML
•
Um nur die aktuelle HTML-Seite zu speichern, klicken Sie auf WEBSEITE, NUR HTML. Diese Option speichert die Informationen auf der Webseite, nicht jedoch Grafiken, Sounds oder sonstige Dateien.
Nur Text
•
Um nur den Text der aktuellen Webseite zu speichern, klicken Sie auf NUR TEXT. Diese Option speichert die Informationen auf der Webseite im einfachen Textformat. Bilder gehen verloren.
Outlook Express ist standardmäßig als Mailprogramm verfügbar. Es ist sehr leistungsfähig, so dass die Installation eines anderen Clients nur selten sinnvoll ist. Da zwischen den Programmen Internet Explorer und Outlook eine enge Verflechtung besteht, schafft ein anderer Mailclient zusätzliche Probleme. Das von Outlook verwaltete Adressbuch ist ein weiteres Programm, auf welches auch von anderen Anwendungen zugegriffen werden kann.
21.3 Outlook Express
869
21.3 Outlook Express Outlook Express ist das Standard-E-Mail-Programm zum Internet Explorer. Wenn Sie nicht von vornherein MS Office und damit das leistungsfähigere Outlook 2000 installieren, lohnt die Beschäftigung mit Outlook Express – für eine kostenlose Dreingabe ist es äußerst vielseitig.
21.3.1 Einrichten eines E-Mail-Kontos Starten Sie Outlook Express. Beim ersten Start wird der Assistent automatisch starten. Wenn keine DFÜ-Verbindung besteht wird versucht eine Verbindung aufzubauen. Schalten Sie auf OFFLINE. Wählen Sie EXTRAS | KONTEN | HINZUFÜGEN | E-MAIL. Abbildung 21.18: Schritt 1: Eingabe des Namens für die Anzeige
Bei NAME tragen Sie Ihren Namen ein. Dieser wird dann als Absender Ihrer Mail angezeigt. Die Angabe entspricht aber nicht der E-MailAdresse, sondern wird dieser beigefügt.
870
21 Internet für Benutzer
Abbildung 21.19: Schritt 2: Eingabe der E-Mail-Adresse
Bei E-MAIL-ADRESSE tragen Sie Ihre E-Mailadresse ein. Sie können auch ein neues Konto bei Microsofts Free-E-Mail-Dienst Hotmail einrichten. Sie sollten sich vorab über Hotmail unter der folgenden Adresse informieren: www.hotmail.com Im nächsten Schritt müssen Sie die Server für den E-Mail-Verkehr angeben. Windows 2000 selbst kann auch als SMTP-Server dienen, wenn eine permanente Verbindung zum Internet besteht. Dies wird in Abschnitt 15.3 Der SMTP-Server ab Seite 682 erläutert. Abbildung 21.20: Schritt 4: E-MailServer
Der POSTEINGANGSSERVER (POP3, IMAP ODER HTTP) ist der Rechner, bei dem empfangene Post abgeholt werden kann. Belassen Sie den Mail Server Typ auf POP3. Nur wenn Sie Hotmail verwenden, wird hier HTTP eingestellt. Im Intranet wird möglicherweise ein IMAPPostfach eingerichtet sein. Im Internet ist das sehr selten. Der
21.3 Outlook Express
871
POSTAUSGANGSSERVER (SMTP) ist der Rechner, der die E-Mail verschickt. Beide Informationen bekommen Sie von Ihrem Provider mitgeteilt, der die E-Mail-Dienste erbringt. Abbildung 21.21: Schritt 4: Nutzerkennung einrichten
Unter KONTONAME tragen Sie Ihre Kennung ein. Aktivieren Sie KENNWORT SPEICHERN und tragen Sie unter KENNWORT das dazugehörige Kennwort ein. Wenn Sie nicht wollen, dass Ihr Kennwort auf Ihrem Rechner gespeichert wird, kreuzen Sie KENNWORT SPEICHERN nicht an. Sie werden dann vor dem Zugriff auf Ihre Mailbox danach gefragt. Die Konfiguration kann nun fertiggestellt werden.
21.3.2 Usenet-News Das Internet bietet neben dem allgegenwärtigen World Wide Web und E-Mail noch weitere Dienste. Einer der größeren ist das Usenet. Hier werden Nachrichtengruppen verwaltet und durch das NNTPProtokoll zwischen Nachrichtservern und Newsclients verteilt. Newsserver stellen alle Provider zur Verfügung. Als Newsclient können Sie Outlook Express nutzen.
Einrichten eines Kontos für News Starten Sie Outlook Express und wählen Sie EXTRAS | KONTEN | HINZUFÜGEN | NEWS. Bei ANGEZEIGTER NAME tragen Sie Ihren Namen ein. Dieser wird dann als Absender Ihrer News-Beiträge angezeigt. Bei E-MAIL-ADRESSE tragen Sie Ihre Mailadresse ein. Unter NEWSSERVER (NNTP) sollten Sie den Newsserver Ihres Providers eintragen. Wenn Sie mit dem Internet verbunden sind, werden Sie jetzt gefragt ob Sie jetzt eine Liste aller verfügbaren Newsgroups herunterladen möchten.
872
21 Internet für Benutzer Dies wird weiter unten bei Punkt USENET-NEWS MIT OUTLOOK EXPRESS beschrieben.
Abbildung 21.22: Eingabe des Newsservers
Einige Newsserver erfordern eine Anmeldung. In diesen Fällen haben Sie von Ihrem Provider die Anmeldeinformation bekommen. Wenn Sie das Kontrollkästchen ANMELDUNG ERFORDERLICH aktivieren, werden Sie auf der nächsten Seite des Assistenten nach Nutzername und Kennwort gefragt.
Freie Newsserver Wenn Sie über einen Call-by-Call-Provider ins Internet gelangen oder über einen Netzwerkzugang, haben Sie möglicherweise keine Informationen über Newsserver bekommen. In diesem Fall lohnt die Recherche nach einem freien Newsserver. Unter den folgenden Adressen finden Sie Listen mit Newsservern, deren Gruppen Sie ohne Anmeldung lesen können: www.oberberg-online.de/%7Eherrmann/nntp.html home.scram.de/www/css/links/links.htm#Freie Newsserver www.kleverland.de/newsserver.htm
21.3.3 E-Mail mit Outlook Express Wählen Sie in der Menüleiste des Internet Explorer E-MAIL | E-MAIL Markieren Sie den POSTEINGANG und klicken Sie auf die Schaltfläche NACHRICHTEN AUSTAUSCHEN. Outlook Express holt dann die Post von Ihrem Mail-Konto ab. Durch Anklicken von BEIM START VON OUTLOOK EXPRESS NACHRICHTEN SENDEN UND EMPFANGEN unter EXTRAS | OPTIONEN | ALLGEMEIN können Sie dies automatisieren. LESEN.
21.3 Outlook Express
873
Die Stammordner Einige Ordner können weder gelöscht noch umbenannt werden. Sie finden Sie in der folgenden Tabelle.
Ordner
enthält
Posteingang
eingehende E-Mails
Postausgang
E-Mails, die Sie geschrieben, aber noch nicht verschickt haben
Gesendete Objekte
E-Mails, die Sie verschickt haben
Gelöschte Objekte
E-Mails, die Sie gelöscht haben
Entwürfe
E-Mails, die Sie entworfen haben, die aber noch nicht fertig zum Verschicken sind
Wie bei News wird im unteren Fenster der Inhalt der oben aktivierten Mail angezeigt. Aktivieren Sie unter EXTRAS | OPTIONEN | SENDEN bei NACHRICHTEN SENDEN-FORMAT und NEWS SENDEN-FORMAT die Optionsschaltfläche NUR TEXT. Sonst wird an jede Nachricht, die Sie verschicken, der Inhalt nochmals als HTML-Datei angehängt. In vielen Newsgroups sind HTML-Mails unerwünscht und auch sonst gilt es als schlechter Stil, HTML zu versenden.
21.3.4 Andere Mailprotokolle Außer POP3 gibt es noch andere Möglichkeiten, einen Mailserver abzufragen, vorausgesetzt, eine entsprechende Unterstützung liegt vor.
IMAP statt POP3 als Mail-Protokoll verwenden Sie können optional das IMAP-Protokoll anstatt POP3 verwenden, um Ihre E-Mails zu lesen. IMAP bietet den Vorteil, dass Sie einstellen können, dass Ihre E-Mails zunächst auf dem Server bleiben und nur die Header-Informationen übertragen werden. Sie sehen also zunächst, welche E-Mails Sie erhalten haben, ohne dass diese komplett übertragen werden. Erst auf Anforderung werden einzelne Mails übertragen. Ein weiterer Vorteil ist, dass man seine E-Mailordner auf dem Server verwalten kann, so dass man von verschiedenen Arbeitsplätzen immer eine identische Mailordner-Struktur zur Verfügung hat.
Tabelle 21.1: Stammordner in Outlook Express
874
21 Internet für Benutzer Beachten Sie, dass Sie nur soviel Speicherplatz für Ihre Mailordner auf dem Server haben, wie Ihnen vom Provider oder Administrator zugeteilt wurde! Um IMAP zu verwenden, müssen Sie bei der Konfiguration eines EMail-Kontos im Fenster, in dem Sie die Mail-Server eintragen, angeben dass Ihr E-Mailserver ein IMAP-Server statt ein POP3-Server ist. Sie können bei einem bereits konfigurierten Mail-Konto, den Servertyp nicht nachträglich ändern. Sie müssen das Mail-Konto löschen und ein neues erstellen. Da Sie nun Ihre Ordner auf dem Server und nicht lokal verwalten, müssen Sie angeben, wie Ihr Mailordner heißt. Wählen Sie in der Menüleiste EXTRAS | KONTEN | E-MAIL, markieren Sie Ihr Mail-Konto und klicken Sie auf EIGENSCHAFTEN. Wählen Sie ERWEITERT und tragen Sie unter PFAD DES STAMMORDNERS den Namen Ihres Mailordners ein. Deaktivieren Sie SPEZIAL ORDNER AUF DEM IMAP-SERVER SPEICHERN, wenn Sie, beispielsweise um Speicherplatz zu sparen, diese Ordner nicht auf dem Server speichern wollen. Mail für diese Ordner wird dann in den gleichnamigen lokalen Ordnern gespeichert.
Löschen von Mails, Um eine Mail, die auf dem Server liegt, zu löschen, müssen Sie zudie auf dem Server nächst diese Mail als gelöscht markieren. Markieren Sie die zu löliegen schende Mail, drücken Sie dann die rechte Maustaste und wählen
LÖSCHEN. Die Mail wird dann durchgestrichen und mit diesem Symbol als gelöscht gekennzeichnet. Um diese Mail komplett zu entfernen löschen Sie den Inhalt des Ordners GELÖSCHTE OBJEKTE. Sie können auch einstellen, dass gelöschte Mails beim Beenden des Mailprogramms automatisch gelöscht werden: EXTRAS | OPTIONEN | WARTUNG wählen und GELÖSCHTE NACHRICHTEN BEIM VERLASSEN DER IMAP-ORDNER ENTFERNEN ankreuzen. Wenn Sie eine Mail ausgewählt haben, wird der Inhalt dieser Mail auf Ihren Rechner übertragen. Dieser Inhalt kann unter Umständen sehr groß sein, was zu einer sehr langen Übertragungsdauer führen kann. Wenn Sie also diese Mail nur löschen, aber nicht lesen wollen, können Sie sofort nach dem Auswählen der Mail ABBRECHEN anklicken. Dadurch wird die Übertragung gestoppt und die Mail kann – wie oben beschrieben – gelöscht werden.
21.3 Outlook Express
875
Lokale Mails (im Posteingang) werden mit dem LÖSCHEN-Symbol sofort in den lokalen GELÖSCHTE OBJEKTE-Ordner geschoben.
Arbeit mit Ordnern Da E-Mail heute einen erheblichen Teil des Geschäftsverkehrs ausmacht, ist ein sorgfältiger Umgang damit unbedingt notwendig. Ein einfaches Mailprogramm mit Aus- und Eingangsordner ist dafür nicht ausreichend. Outlook Express bietet hier eine reichhaltige Unterstützung. Sie können beliebig viele Ordner anlegen und eingehende Mail automatisch (siehe Abschnitt Regeln weiter unten) und von Hand verteilen. Abbildung 21.23: Ordnerstruktur in Outlook Express
Wenn in einem Ordner ungelesene E-Mails liegen, erscheint der Na- Anzeige men in fetter Schrift. Die Anzahl der ungelesenen E-Mails wird dahin-
876
21 Internet für Benutzer ter in Klammern angezeigt. Das verteilen der E-Mails von einen Ordner in einen anderen erfolgt am einfachsten per Drag&Drop.
Ordner anlegen
Neue Ordner legen Sie mit DATEI | NEU | ORDNER an. Im folgenden Dialog vergeben Sie einen Namen und wählen aus der Baumansicht der Ordner die Position des neuen Ordners. So können Sie leicht eine Struktur für eingehende Post entwerfen.
Abbildung 21.24: Anlegen eines neuen Ordners
Wenn Sie E-Mails per Drag&Drop verschieben und der Zielordner verdeckt ist, verweilen Sie eine Sekunde über dem Namen des zu öffnenden Ordners. Der Zweig wird dann geöffnet und Sie können die EMails in einen Unterordner schieben oder dort weitere Ordner bis zum Ziel öffnen. Standardordner
Einige Ordner sind bereits angelegt und haben einen besonderen Zweck: •
POSTAUSGANG. Hier liegen E-Mails, bis sie erfolgreich versendet wurden.
•
GESENDETE OBJEKTE. Hier werden alle E-Mails abgelegt, die versendet wurden. Löschen Sie E-Mails hier regelmäßig, damit nicht große Mengen nutzloser E-Mails auf der Festplatte liegen – auch Dateianhänge bleiben erhalten.
•
GELÖSCHTE OBJEKTE. Hier werden als gelöscht markierte E-Mails gespeichert, bis sie endgültig gelöscht werden.
•
ENTWÜRFE. Hier werden E-Mails gespeichert, die Sie geschrieben haben und mit DATEI | SPEICHERN (STRG-S) gesichert haben.
21.3 Outlook Express •
877
NOTIZEN. Dies ist ein einfacher Notizblock für Nachrichten, die Sie nur für sich selbst aufschreiben.
Zwei Optionen zum Bearbeiten eines Ordners finden Sie im Kontext- Ordner bearbeiten menü: LÖSCHEN und UMBENENNEN. Zum Verschieben nutzen Sie die Maus und Drag&Drop. E-Mails und Unterordner werden mit verschoben.
Regeln Mit Regeln automatisieren Sie die Verteilung eingehender E-Mail. Die Funktion finden Sie unter EXTRAS | REGELN. Mit der Option Nachrichtenregeln können Sie eingehende E-Mail behandeln. Dazu wird ein Teil der E-Mail anhand von Regeln identifiziert und danach eine entsprechende Reaktion ausgelöst. Die Regeln werden in einer bestimmten Reihenfolge abgearbeitet, die einstellbar ist. Die folgende Abbildung zeigt, nach welchen Kriterien E-Mails analysiert werden können: Abbildung 21.25: Auswahloptionen für Regeln
Anschließen wird definiert, was mit den so erkannten E-Mails geschehen soll: Abbildung 21.26: Optionen für die Behandlung von EMail
Im dritten Fenster sehen Sie die Zusammenfassung der Regelbeschreibung. Variable Felder können hier ausgewählt und mit den entsprechenden Informationen belegt werden.
878
21 Internet für Benutzer
Abbildung 21.27: Zusammenfassung der Regel Zuletzt wird der Regel noch ein sinnvoller Name gegeben. Regeln für News
Auf der Registerkarte NEWSREGELN können Sie ebenso Regeln einrichten, die für eingehende Nachrichten von Newsservern gelten. Das Prinzip unterscheidet sich nicht von den eben beschriebenen Regeln für E-Mails.
Absender blockieren
Sogenannte Spam-E-Mails oder Junk-E-Mails sind sehr lästig. Oft werden E-Mail-Adressen nach kurzer Zeit der Nutzung im Internet Adresssammlern bekannt und für Massenwerbung missbraucht. Wer Opfer solcher Post ist und trotz Abmeldung immer wieder E-Mails empfängt, kann die Absender in die Liste der BLOCKIERTEN ABSENDER aufnehmen. Die E-Mails von in der Liste aufgeführten Absendern werden automatisch in den Ordner GELÖSCHTE OBJEKTE verschoben.
Abbildung 21.28: Absender blockieren
Die Blockierung verhindert nicht, dass die E-Mail vom Server geladen wird. Dadurch entstehender Traffic bleibt also erhalten. Die Option gilt auch nur für POP3-E-Mail-Konten, nicht aber für IMAP4 und HTTP.
Mail senden Das Senden von E-Mail ist sehr einfach. Über DATEI | NEU | E-MAILNACHRICHT oder das Symbol NEUE E-MAIL öffnen Sie das Bearbeitungsfenster für neue E-Mail. Achten Sie auf die korrekte Angabe des Empfängers und der Betreffzeile. Viele Benutzer empfangen sehr viel E-Mail und eine gute Betreffzeile ist das primäre Auswahlkriterium. Ansonsten finden Sie viele wichtige Hinweise zum korrekten Versenden von E-Mail im Abschnitt 21.3.5 Netiquette: Wie man mit E-Mail korrekt umgeht ab Seite 879.
21.3 Outlook Express
879
E-Mail empfangen Der Empfang von E-Mail bereitet – wenn alles eingerichtet wurde, keine Schwierigkeiten. Haben Sie eine Festverbindung zum Internet oder Ihrem POP3-Server, können Sie ein festes Intervall vereinbaren, nach dessen Ablauf die Post abgeholt wird. Gehen Sie dazu über EXTRAS | OPTIONEN | ALLGEMEIN. Im Abschnitt NACHRICHTEN SENDEN/EMPFANGEN finden Sie die folgenden Einstellmöglichkeiten: Abbildung 21.29: Empfangsoptionen
Wenn man E-Mail mit angehängten Dateien bekommt, so sollte man Vorsicht Virus! ihnen mit einer gesunden Portion Skepsis gegenübertreten. Besonders ausführbare Dateien (*.EXE) und Dokumente der Microsoft OfficeFamilie (beispielsweise *.DOC, *.XLS) können Computerviren enthalten. Man sollte solche Dateien in jedem Fall mit einem aktuellen AntivirenProgramm überprüfen. Kommen solche Dateien aus unbekannten Quellen, sollte man sie zur eigenen Sicherheit lieber unbesehen löschen. Ganz besonders kritisch sind auch Dateien mit dem Anhang *.VBS oder *.JS, die Skripte enthalten und weitreichende Schäden verursachen können.
21.3.5 Netiquette: Wie man mit E-Mail korrekt umgeht Die folgenden Netiquetten definieren Grundregeln im Umgang mit EMail und Newsgroups.
Netiquette für E-Mail Moderne Mailprogramme können E-Mail-Nachrichten in allen mögli- REGEL 1: chen Formaten versenden: HTML, RTF etc. Manchmal verschicken sie Beschränkung auf die Nachricht auch gleich mehrfach in verschiedenen Formaten. Das reinen Text ist eine schlechte Eigenschaft, die man Outlook Express abgewöhnen sollte. Nachrichten werden dadurch unnötig vergrößert. Es dauert länger, sie herunterzuladen und verursacht so unnötige Kosten beim Empfänger. Stellen Sie die Option wie in Abbildung 21.30 gezeigt ein; Sie finden den Dialog unter EXTRAS | OPTIONEN | SENDEN.
880
21 Internet für Benutzer
Abbildung 21.30: So stellen Sie Outlook auf Text-E-Mail ein
Außerdem können eben nicht alle Mailprogramme mit diesen Formaten etwas anfangen. Im Zweifelsfall beschränken Sie sich auf reinen Text. Nur wenn Sie wissen, dass der andere Nachrichten in anderen Formaten verarbeiten kann und auch einverstanden ist, solche Nachrichten zu erhalten, sollten mehr als reiner Text verwendet werden. REGEL 2: Visitenkarte deaktivieren
Dazu gehört auch die Unsitte, eine Visitenkarte anzufügen. Dies kann und soll man ebenfalls abstellen. Unter EXTRAS | OPTIONEN | ERSTELLEN können Sie die Option deaktivieren.
Abbildung 21.31: So deaktivieren Sie Hintergründe und Visitenkarten
REGEL 3: Vorsicht mit Umlauten und langen Zeilen
Mit Umlauten können die meisten der heutigen Mailprogramme automatisch umgehen. Wenn es damit Probleme gibt, kann man versuchen, die korrekte Konfiguration des E-Mail-Programmes zu finden oder die Umlaute durch »ae«, »oe«, »ue« zu umschreiben. Der Text sollt maximal 70 Zeichen pro Zeile enthalten, weil manche Mailprogramme den Text nicht automatisch umbrechen, zu lange Zeilen also einfach rechts aus dem Bildschirm verschwinden. Das Mailprogramm sollte also auf die genannte Zeilenlänge konfiguriert werden. Gehen Sie dazu über EXTRAS | OPTIONEN | SENDEN | EINSTELLUNGEN FÜR TEXT.
21.3 Outlook Express
881 Abbildung 21.32: So stellen Sie den automatischen Zeilenumbruch ein
Es gibt die Möglichkeit, ganze Dateien an E-Mail-Nachrichten anzu- REGEL 4: hängen, sogenannte Attachments. Dies ist dann gut, wenn der Adres- Vorsicht mit sat diese Datei dann auch lesen und verarbeiten kann. Dies ist nicht angefügten Dateien immer der Fall, etwa wenn der Adressat das entsprechende Programm nicht hat oder sogar auf einem völlig anderen System arbeitet. Man sollte auch auf die Größe der angehängten Datei achten. Das Senden von Dateien größer als 100 KByte sollte von der vorherigen Zustimmung des Empfängers abhängig gemacht werden. Nicht jedes E-Mail-System verarbeitet beliebige Größen, und viele E-Mail-Nutzer haben eine Mengen- oder Größenbeschränkung bei ihrem Provider. Außerdem kosten große Dateien überdurchschnittlich viel Zeit und treiben dadurch die Telefonrechnung in die Höhe. Technisch bedingt werden Dateien beim Versand um ein Drittel größer; auch dies ist zu berücksichtigen. Komprimierungsprogramme leisten hierbei gute Dienste. Der Empfänger Ihrer E-Mail-Nachricht kann weder Ihren Ge- REGEL 5: sichtsausdruck sehen noch den Tonfall Ihrer Stimme hören. Seien Sie Vorsicht mit Ironie deshalb vorsichtig mit ironischen Aussagen, Andeutungen und allem, was durch dieses Fehlen nonverbaler Kommunikation missverständlich erscheinen kann. Viele Leute benutzen aus diesem Grund Smileys, auch Emoticons ge- Gefühle vermitteln nannt. »Emoticon« ist ein aus »Emotion« und »Icon« zusammengesetzter Kunstwort und heißt etwa »Gefühlssymbol« – genau dafür sollte es auch eingesetzt werden. Es handelt sich dabei um Zeichenkombinationen, bei denen man ein Gesicht sieht, wenn man den Kopf nach links kippt, zum Beispiel :-) für einen lächelnden, :-( für einen traurigen Gesichtsausdruck, ;-) oder ,-) für ein ironisches Zuzwinkern, O:-) für ein Unschuldslamm mit Heiligenschein. Dadurch lassen sich manche Missverständnisse vermeiden. Es gibt Tausende Symbole dieser Art. Verwenden Sie nur die bekanntesten, wenn Sie nicht sicher damit rechnen können, dass ein erfahrener Benutzer die Nachricht empfängt und die Symbole versteht.
882 Betonungen
REGEL 6: Keine beleidigenden Nachrichten (Flames)
21 Internet für Benutzer Manchmal ist es wichtig, bestimmte Worte zum besseren Verständnis hervorzuheben, da ja der Empfänger keine Betonung hören kann. Mehrfache!!! Ausrufezeichen gelten dabei als kindisch, GROSSBUCHSTABEN sind auf Dauer schwierig zu lesen und werden von vielen als Anschreien betrachtet – manchmal ist dieser Effekt auch gewünscht. Üblich sind *Sternchen* für Fettdruck, _Unterstriche_ für Unterstreichungen und /Schrägstriche/ für Kursivschrift. Hinter E-Mail-Adressen verbirgt sich fast immer ein Mensch. Elementare Höflichkeitsregeln der zwischenmenschlichen Kommunikation gelten auch bei Kontakten, die sich über E-Mail abspielen. Man sollte keine Nachrichten mit beleidigendem Inhalt verschicken. Eine solche Nachricht heißt »Flame« und ist, was sie auch im normalen Leben ist: eine Beleidigung. Wenn Sie selbst Opfer einer Beleidigung per Mail geworden sind oder wenn eine bewusst provokative Nachricht bekommen haben, die zum Flamen einlädt (Flamebait), sollte Sie sich die Antwort verkneifen und die Nachricht insgesamt oder zumindest in ihren beleidigenden Teilen ignorieren.
REGEL 7: Kein Spamming
»Spam« ist ein Oberbegriff für verschiedene Arten von Netzmissbrauch. Es handelt sich dabei um das Versenden einer gleichlautenden Nachricht an sehr viele Adressaten, zu denen man sonst keinerlei Beziehung hat und die die entsprechende Nachricht nicht angefordert haben. Im allgemeinen handelt es sich um Werbung, Kettenbriefe oder Anzeigen von Erotik-Seiten im WWW. Spam ist lästig. Spam kostet den Empfänger Geld, den Versender hingegen nur wenig. Spam verstopft Übertragungsleitungen und Speicherplatz mit Daten, die niemand will. Spam verursacht beim Empfänger einen Haufen Sortierarbeit. Dadurch macht Spam auf lange Sicht das Medium E-Mail unbrauchbar. Er ist daher nicht Netiquettekonform und hat zu unterbleiben.
Vorgehen gegen Spam
Es ist nicht einfach, gegen Spam vorzugehen. Da Spammer meist den Absender fälschen, ist schon schwierig herauszufinden, wo ein Spam überhaupt herkommt. Deswegen wäre es auch völlig falsch, dem Spammer zu antworten – etwa mit einer besonders großen Nachricht, damit sein Postfach auch mal überläuft (auch wenn dies, zugegeben, eine verlockende Idee ist). Denn entweder bekommt diese Mailbombe ein Unschuldiger, dessen Adresse fälschlich benutzt wurde. Oder sie ist unzustellbar, kommt zurück – und Sie haben nun selbst den Ärger. Selbst wenn Sie ausnahmsweise den richtigen erwischen, so hat er fast immer die besseren Ressourcen, um mit einer noch größeren Mailbombe zurückzuschlagen. Häufig verspricht einem der Absender des Spams, eine Adresse aus dem Verteiler zu nehmen, wenn man an eine spezielle Adresse
21.3 Outlook Express
883
schreibt. Die Erfahrung zeigt, dass die Zahl der unerwünschten EMail-Nachrichten eher zunimmt, wenn man diese Adressen anschreibt, weil der Spammer diese Adressen zum Sammeln und Überprüfen neuer E-Mail-Adressen verwendet. Aus dem gleichen Grund ist der Eintrag in sogenannte Robinson-Listen nicht zu empfehlen. Der einfachste Weg, gegen Spam vorzugehen ist, ihn zu ignorieren. Outlook Express erlaubt das automatisches Filtern, dann kann man Spam »automatisch« ignorieren. Es braucht aber etwas Erfahrung, um gute Filterkriterien für Spam zu finden. Wer mit einfachem Ignorieren nicht zufrieden ist, kann sich beim Provider des Spammers beschweren. Dies benötigt jedoch einiges an Übung im Lesen der Mailheader, um diesen Provider überhaupt herauszufinden, und das kann hier nicht erklärt werden. Wenn Sie sich für gute Filterkriterien und für weitere Möglichkeiten der aktiven Spam-Abwehr interessieren, sollten Sie einige Zeit in der Newsgroup de.admin.net-abuse.mail mitlesen. Abbildung 21.33: Spam-E-Mail mit chinesischen Schriftzeichen: Nicht immer ist das Filtern einfach. Der Mail-Header ist schon aufschlussreicher
Wenn Sie eine Nachricht geöffnet haben, können Sie unter DATEI | EIGENSCHAFTEN und dann auf der Registerkarte DETAILS die Mail-
884
21 Internet für Benutzer Header einsehen. Den Absender finden Sie neben »Return-path:« oder »Sender:«; in Abbildung 21.33 wäre das die folgende Adresse :
[email protected].
REGEL 8: Kein Mailbombing
Unter Mailbombing versteht man, einem einzelnen Empfänger besonders große oder besonders viele nutzlose Nachrichten zu schicken, um ihm damit die Mailbox zum Überlaufen zu bringen. Dass dies höchst ärgerlich ist, weiß jeder, der seine Mail mit einem Modem vom Server abholt und dessen Telefonrechnung wegen nutzloser MailNachrichten in die Höhe steigt. Mailbombing ist selbstverständlich nicht Netiquette-konform. Es kann sogar strafrechtliche Folgen haben, wenn beispielsweise der Empfänger durch die Mailbomben wichtige E-Mail verliert oder sein Computersystem in Mitleidenschaft gezogen wird. Mailbombing als Reaktion auf Spam ist, wie oben schon erwähnt, keinesfalls zu empfehlen, da die Gefahr, Unbeteiligte zu schädigen, einfach zu groß ist.
Leute, die Spam, Mailbomben und Flames verschicken, schützen sich vor Racheaktionen durch Adressfälschung. Dies ist natürlich im EDie eigene Adresse Mail-Verkehr ebenso unhöflich wie anonyme Schreiben im normalen korrekt angeben Briefverkehr. Manche Leute meinen, sie könnten sich vor Spam schützen, wenn sie ihre Mailadresse fälschen, vor allem, wenn sie in öffentliche Diskussionsforen (beispielsweise Usenet-Newsgruppen) schreiben. REGEL 9:
Selbstverständlich ist dies keine Lösung. Erstens verursacht es unnötigen Mailverkehr, wenn einem jemand vergeblich zu antworten versucht. Zweitens belästigt man Unbeteiligte (denjenigen, dessen Adresse man angibt, oder den Administrator (Postmaster) des Systems, oder beide. Drittens entspricht eine Nachricht mit gefälschtem Absender nicht den technischen Standards, die im Internet gelten. Manche Leute sind dazu übergegangen, Adressfälscher systematisch zu ignorieren. Außerdem bietet eine gefälschte Absender-Adresse keine Anonymität. Der wahre Absender lässt sich im Prinzip eruieren – mit etwas Aufwand und Kooperation der Administratoren der beteiligten Computernetze. Wer zumindest oberflächliche Anonymität haben möchte, kann sich bei kostenlosen E-Mail-Diensten eine Zweitadresse zulegen. Wer auf wirkliche Anonymität Wert legt, kommt kaum darum herum, in der Newsgruppe de.comp.security zu lesen. Die eigene E-Mail-Adresse ist im From-Feld korrekt anzugeben. Unter EXTRAS | KONTEN wählen Sie Ihr E-Mail-Konto aus und überprüfen die beiden Einträge NAME und E-MAIL-ADRESSE.
21.3 Outlook Express
885 Abbildung 21.34: So stellen Sie die Angaben des Absenders richtig ein
Netiquette für News Dieser Text wird regelmäßig in der Newsgruppe de.newusers gepostet. Die Netiquette soll Ihnen Tipps geben, wie man das Usenet effizient und höflich zur Zufriedenheit aller benutzen sollte. Die meisten Leute denken in dem Augenblick, wo sie ihre Artikel und Vergessen Sie nie, Mails verfassen, leider nicht daran, dass die Nachrichten nicht aus- dass auf der anderen Seite ein schließlich von Computern gelesen werden, sondern von Menschen. Je nach Newsgroup kann Ihre Nachricht von Leuten beispielsweise in ganz Deutschland oder der ganzen Welt gelesen werden. Denken Sie stets daran und lassen Sie sich nicht zu verbalen Ausbrüchen hinreißen. Bedenken Sie: Je ausfallender und unhöflicher Sie sich gebärden, desto weniger Leute sind bereit, Ihnen zu helfen, wenn Sie einmal etwas brauchen. Eine einfache Faustregel: Schreiben Sie nie etwas, was Sie dem Adressaten nicht auch vor anderen Leuten ins Gesicht sagen würden.
Mensch sitzt
886 Erst lesen, dann denken, dann nochmal lesen, dann nochmal denken und dann erst posten
21 Internet für Benutzer Die Gefahr von Missverständnissen ist bei einem geschriebenen, computerisierten Medium besonders hoch. Vergewissern Sie sich mehrmals, dass der Autor des Artikels, auf den Sie antworten wollen, auch das gemeint hat, was Sie denken. Insbesondere sollten Sie darauf achten, ob nicht vielleicht Sarkasmus oder eine ähnliche Art Humor benutzt wurde, ohne die Stelle mit einem Emoticon :-) zu kennzeichnen.
Fassen Sie sich kurz
Niemand liest gerne Artikel, die mehr als 50 Zeilen lang sind. Denken Sie daran, wenn Sie Artikel verfassen. Nebenbei: Es empfiehlt sich, die Länge der eigenen Zeilen unter etwa 70 Zeichen zu halten.
Ihre Beiträge sprechen für Sie, seien Sie stolz auf sich
Die meisten Leute auf dem Netz kennen und beurteilen Sie nur über das, was Sie in Artikeln oder Mails schreiben. Versuchen Sie daher, Ihre Artikel leicht verständlich und möglichst ohne Rechtschreibfehler zu verfassen. Ein Duden neben dem Rechner mag manchem als Übertreibung erscheinen; in Anbetracht der Tatsache, dass viele Leser den Autor eines vor Fehlern beinahe unleserlichen Artikels für einen (um es ganz deutlich zu sagen) Vollidioten halten, ist diese Investition vielleicht nicht ganz verfehlt. Bedenken Sie, dass ihr Anliegen nicht rüberkommt, wenn es nicht einmal den elementaren Anforderungen an Stil, Form und Niveau genügt. Bedenken Sie bitte auch: Vielleicht lesen Ihre zukünftigen Kollegen oder Ihr zukünftiger Chef mit. Das gilt ganz besonders auf privaten Newsservern im Intranet.
Nehmen Sie sich Zeit, wenn Sie einen Artikel schreiben
Einige Leute denken, es würde ausreichen, einen Artikel in zwei Minuten in den Rechner zu hacken. Besonders im Hinblick auf die vorangegangenen Punkte ist das aber kaum möglich. Sie sollten sich Zeit nehmen, um einen Artikel zu verfassen, der auch Ihren Ansprüchen genügt.
Vernachlässigen Sie nicht die Aufmachung des Beitrags
Es ist natürlich nicht zwingend, einen Schreibmaschinenkurs mitgemacht zu haben, jedoch ist es ratsam, sich mit den wichtigsten der »Regeln für Maschinenschreiben« (beispielsweise DIN 5008) vertraut zu machen. Darüber hinaus sollten Punkte und Kommas selbstverständlich sein; durch Groß- und Kleinschreibung wird der Text leserlicher. Absätze lockern den Text auf, wenn sie alle paar Zeilen eingeschoben werden.
Achten Sie auf die "Betreff:"-Zeile!
Wenn Sie einen Artikel verfassen, achten Sie bitte besonders auf den Inhalt der Betreff-Zeile. Hier sollte in kurzen Worten (möglichst unter 40 Zeichen) der Inhalt des Artikels beschrieben werden, so dass ein Leser entscheiden kann, ob er von Interesse für ihn ist oder nicht.
21.3 Outlook Express
In länger dauernden Diskussionen kann es passieren, dass das Thema, über das debattiert wird, vom ursprünglichen Betreff abweicht. Bitte ändern Sie die Betreff-Zeile entsprechend ab. Eine gute Angewohnheit ist es, wenn Sie den alten Titel zusätzlich noch angeben; bei Antworten auf solche Artikel sollte der alte Titel aber entfernt werden. Ein Beispiel: •
887 Abbildung 21.35: Wichtig: Die aussagekräftige Betreffzeile
Nach dem Drücken von ABSENDEN in Outlook Express werden Sie mit dem Vorsatz »Re:« in der Betreffzeile konfrontiert:
Dies zeigt an, dass sich die Diskussion bereits in der Antwortphase befindet. Vielleicht ist das Thema aber längst abgeschweift. Dann ändern Sie die Betreffzeile wie folgt: Subject: Erbsen im Treibhaus (was: Kohlrabi im Vorgarten) Ein anderer Fall tritt bei langen Diskussionen auch oft auf: Teilnehmer beziehen sich nicht auf den ersten Beitrag, sondern auf Reaktionen anderer Teilnehmer. Das ist aber nicht immer sinnvoll und von vielen auch nicht gewollt, sondern nur unaufmerksam. Daraus entstehen solche Gebilde:
Sollte die Betreff-Zeile nun länger als 80 Zeichen werden, so ist es sicher nicht schlecht, den alten Titel abzukürzen. Direkte Antworten auf einen Artikel sollten nur »Re:« und den alten Titel enthalten. Oft ist auch die deutsche Varianten »AW:« zu sehen:
Das ist auch nicht zu empfehlen. Stellen Sie immer »Re: « ein, was bei Outlook Express der Standardwert ist. Überlegen Sie sich vor dem Posten eines Artikels oder beim Antwor- Denken Sie an die ten, welche Leute Sie mit Ihrer Nachricht erreichen wollen. Ein Artikel Leser mit dem Titel »Fernseher Bj. 1972 an Selbstabholer« ist in einer regionalen Newsgroup sicher wesentlich besser aufgehoben als in einer weltweit lesbaren »de.*«-Gruppe. Wählen Sie die Gruppe (oder Gruppen), in die Sie schreiben, sorgfältig aus. Posten Sie, wenn irgend möglich, nur in eine Gruppe. Ein »Crossposting« eines Artikels in mehrere, womöglich inhaltlich verwandte Gruppen ist nicht empfehlenswert. Wenn Sie dennoch ein Crossposting (durch Angabe mehrerer Gruppennamen in der
888
21 Internet für Benutzer Newsgroups-Zeile) in die Welt setzen, lenken Sie bitte darauffolgende Postings mit Hilfe der Antwort-Zeile in eine Gruppe.
Vorsicht mit Humor Achten Sie darauf, dass Sie Ihre sarkastisch gemeinten Bemerkungen und Sarkasmus so kennzeichnen, dass keine Missverständnisse provoziert werden.
Bedenken Sie: In einem schriftlichen Medium kommt nur sehr wenig von Ihrer Mimik und Gestik rüber, die Sie bei persönlichen Gesprächen benützen würden. Denken Sie an die bereits mehrfach erwähnten Emoticons. Kürzen Sie den Text, auf den Sie sich beziehen, auf das notwendige Minimum
> > > > > > > >
Es ist eine gute Angewohnheit, Texte, auf die man sich bezieht, wörtlich zu zitieren. Wenn Sie einen Followup-Artikel schreiben, wird Ihnen der gesamte Text, auf den Sie sich beziehen, von Ihrem Newsreader-Programm zum Bearbeiten angeboten. Der Originaltext wird dabei im Allgemeinen durch das Zeichen '>' eingerückt (ähnlich wie dieser Absatz), um klar ersichtlich zu machen, dass es sich dabei um zitierten Text handelt.
Machen Sie es sich zur Angewohnheit, nur gerade so viel Originaltext stehen zu lassen, dass dem Leser der Zusammenhang nicht verloren geht. Das ist zum Einen wesentlich leichter zu lesen und zu verstehen und zum Anderen keine Verschwendung von Ressourcen. Lassen Sie den Originaltext aber auch nicht ganz weg! Der Leser Ihres Artikels hat den Artikel, auf den Sie sich beziehen, mit hoher Wahrscheinlichkeit nicht mehr exakt in Erinnerung und hat ohne weitere Anhaltspunkte große Mühe, den Sinn Ihrer Ausführungen zu erkennen. Auch die Unterschrift oder die Signature der Originalnachricht sollte nur dann zitiert werden, wenn darauf auch inhaltlich Bezug genommen wird. Wie die ebenso lästige Doppelsignature ist dies ein Fehler, den der Betreffende selbst oft nicht bemerkt. Ein persönlicher Hinweis (bitte nur als persönlich adressierte E-Mail!) kann in beiden Fällen nicht schaden. Benutzen Sie EMail, wo immer es geht
Wenn Sie dem Autor eines Artikels etwas mitteilen wollen, überlegen Sie sich bitte genau, ob dafür nicht eine simple Mail ausreicht. Spätestens dann, wenn hitzige Diskussionen schließlich in wüste Beschimpfungsorgien ausarten, ist der Zeitpunkt gekommen, an dem die Diskussion niemanden außer den streitenden Teilnehmern interessiert. Generell gilt: Wenn Sie etwas mitteilen wollen, das auch viele andere Leute interessieren könnte, benutzen Sie die News. Anderenfalls ist eine E-Mail sicherlich ausreichend.
Geben Sie eine Sammlung Ihrer Erkenntnisse ans Netz weiter
Wenn Sie eine Frage an die Netzgemeinde gestellt haben, und darauf Antworten per E-Mail empfangen haben, welche evtl. auch andere Leute interessieren könnten, fassen Sie Ihre Ergebnisse – natürlich ge-
21.3 Outlook Express
889
kürzt – zusammen und lassen Sie damit auch das Netz von Ihrer Frage profitieren. Es ist völlig legal, kurze Auszüge aus urheberrechtlich geschützten Achten Sie auf die Werken zu informationellen Zwecken zu posten. Was darüber hinaus gesetzliche geht, ist illegal. Zu den urheberrechtlich geschützten Werken gehören Bestimmungen unter anderem Zeitungsartikel, Liedtexte, Programme, Bilder etc. Ebenfalls illegal ist es, mit Wort oder Bild zu Straftaten aufzurufen oder zumindest Anleitungen dafür zu liefern. Achten Sie darauf, dass Sie mit Ihrem Artikel keine Gesetze brechen und bedenken Sie, dass sich eventuell jeder strafbar macht, der solche Informationen auf dem eigenen Rechner hält und anderen zugänglich macht. In der Usenet-Szene ist es ab und zu üblich, seine wahre Identität hin- Benutzen Sie ter einem Pseudonym zu verbergen. Pseudonyme ermöglichen es wirkliche Namen, auch, Dinge zu sagen und zu tun, die man sich sonst nicht erlauben keine Pseudonyme würde. Aufgrund der negativen Erfahrungen, die sehr viele Leute auf dem Netz mit den Trägern solcher Pseudonyme gemacht haben, und auch aus presserechtlichen Gründen sollten Sie Ihre Artikel mit Ihrem wirklichen Namen versehen. Wenn Sie nicht vorhaben, Ihren Namen preiszugeben, vergessen Sie das Usenet (oder zumindest das Schreiben von Artikeln und Mails) bitte schnell wieder. Ein gewisses Maß an kommerziellen Informationen wird auf dem Gehört Netz gerne toleriert, beispielsweise Adressen von Firmen, die ein be- Kommerzielles in stimmtes Produkt anbieten, nachdem jemand danach gefragt hat. Als Newsgroups? unverschämt wird dagegen die Verbreitung von reinen Werbeinformationen angesehen, insbesondere, wenn sie ein gewisses Volumen überschreiten. Bedenken Sie: Dies ist ein nichtkommerzielles Netz, und nicht jeder will Übertragungskosten für Werbung bezahlen. Ebenfalls wird davon abgeraten, seine Aufgabe darin zu sehen, Artikel Keine »human aus verschiedenen anderen, für jedermann zugänglichen Netzen (bei- gateways« - das Netz ist keine spielsweise: Fido, Zerberus, BTX usw.) ins Usenet zu pumpen. Das gilt insbesondere dann, wenn es den Informationen am allgemein üblichen Niveau mangelt, die darin angesprochenen Tatsachen jedem durchschnittlich intelligenten Menschen bereits bekannt sind oder abzusehen ist, dass sich nur ein verschwindend geringer Bruchteil der Netz-User dafür interessiert.
Mailbox
Aus der Deutschsprachigkeit der »de.*«-Hierarchie erwächst die Fra- »Du« oder »Sie«? ge, ob man andere Netzteilnehmer in Artikeln und Mails duzen oder siezen sollte. Dafür gibt es keine allgemeingültige Regel; es hat sich jedoch eingebürgert, den Anderen mit »Du« anzureden. Viele der Teilnehmer in der »de.*«-Hierarchie finden das auch völlig in Ord-
890
21 Internet für Benutzer nung und würden es als eher absonderlich ansehen, wenn sie auf einmal gesiezt werden würden. Wenn Sie dagegen einen geschäftlichen Kontakt mit einem Unbekannten per E-Mail aufnehmen, nutzen Sie die in Geschäftsbriefen üblichen Höflichkeitsformeln. Newsgroups dagegen haben eher Klubathmosphäre und verlangen diesen Stil nicht.
21.3 Outlook Express
891
Kapitel 22 Multimedia
22.1 Sound und Video...................................................893 22.2 Aufnahmegeräte.....................................................895 22.3 Abspielgeräte..........................................................896 22.4 Spiele und Spielesteuerungen ............................898
22.1 Sound und Video
893
22 Multimedia Im Gegensatz zum Vorgänger NT 4 ist Windows 2000 bestens für Multimedia geeignet. Mit DirectX ist eine leistungsfähige Schnittstelle für aufwändige Multimedia-Anwendungen und Spiele verfügbar, welche sich immer mehr als Standard in der Windows-Welt durchsetzt.
22.1 Sound und Video Mit den Programmen zur Wiedergabe von Sound und Video werden sicher nur einfache Ansprüche befriedigt. Für die ersten Versuche reicht es aber aus und im Bürobetrieb ist die Unterstützung mehr als ausreichend
22.1.1 Lautstärkeregelung Die Lautstärkeregelung steuert direkt die Tonausgabe der Soundkarte. Sie können die gesamte Funktionspalette unter START | PROGRAMME | ZUBEHÖR | UNTERHALTUNGSMEDIEN | LAUTSTÄRKEREGELUNG finden. Abbildung 22.1: Lautstärkeregelung
Zusätzlich wird in der Taskleiste rechts ein Symbol angezeigt, das den direkten Zugriff auf die Gesamtlautstärke erlaubt. Wenn Sie das Symbol mit der rechten Maustaste anklicken, gelangen Sie in die Steuerung der Audioeigenschaften, die im folgenden Abschnitt 22.1.2 Audioeigenschaften beschrieben werden.
894
22 Multimedia
22.1.2 Audioeigenschaften Die Audioeigenschaften von Windows 2000 lassen sich vielfältig einstellen. Sie erreichen den Dialog über die SYSTEMSTEUERUNG | SOUNDS UND MULTIMEDIA oder aus dem Kontextmenü der Lautstärkeregelung in der Taskleiste heraus. Auf der Registerkarte SOUNDS können Sie Windows-Ereignisse mit Sounds verknüpfen. Diese sollten im WAV-Format vorliegen. Wenn Sie selbst keine Sounds erstellen möchten, lohnt ein Blick ins Internet. Die folgenden Adressen ist eine gute Soundquelle und Ausgangspunkte für die weitere Suche: www.wavwarehouse.com www.top50wavsites.com www.wavsurfer.com Abbildung 22.2: Soundeigenschaften einstellen
Die anderen Registerkarten wählen Sie nur an, um Soundgeräte zu konfigurieren oder im Falle einer notwendigen Problembehandlung.
22.2 Aufnahmegeräte
895
22.2 Aufnahmegeräte Ebenso einfach wie die Wiedergabe ist auch die Aufnahme von Sounds und Bildern. Beide Aktionen werden von Windows 2000 durch mitgelieferte Programme unterstützt, die in den folgenden Abschnitten vorgestellt werden.
22.2.1 Audiorecorder Den Audiorecorder finden Sie unter START | PROGRAMME | ZUBEHÖR | UNTERHALTUNGSMEDIEN | AUDIORECORDER. Der Audiorecorder setzt eine entsprechend konfigurierte Soundkarte Vorrausetzungen und eine Tonquelle voraus. Mit dem Audiorecorder können Sie Sound aufnehmen, mischen, wiedergeben und bearbeiten. Darüber hinaus können Sie Sound verknüpfen oder in ein anderes Dokument einfügen. Nicht komprimierte Audiodateien können auf folgende Weise bearbeitet werden: •
Hinzufügen von Sound zu einer Datei
•
Löschen eines Teiles einer Audiodatei
•
Ändern der Wiedergabegeschwindigkeit
•
Ändern der Wiedergabelautstärke
•
Ändern der Wiedergaberichtung
•
Ändern oder Konvertieren des Audiodateityps
•
Hinzufügen eines Echos
Audiodateien, die der Audiorecorder aufnimmt, werden als WAVDateien gespeichert. Der Audiorecorder kann die soeben aufgenommenen Dateien auch abspielen. Zur Steuerung werden die üblichen Recordertasten verwendet. Abbildung 22.3: Der Audiorecorder
896
22 Multimedia
22.2.2 Scanner und Kameras Scanner und Kameras werden direkt unterstützt, wenn es sich um Plug&Play-Geräte handelt. Sie finden die Einstellungen dazu in der Systemsteuerung unter SCANNER UND KAMERAS. Falls es sich nicht um Plug&Play-Geräte handelt, müssen Sie Geräte aus der von Windows 2000 unterstützten Liste einsetzen oder auf aktualisierte Treiber des Herstellers hoffen. Abbildung 22.4: Einrichtung und Konfiguration für Scanner und Kameras
22.3 Abspielgeräte Für die vielfältigen Sound- und Videoformate stehen zwei Player zur Verfügung: der CD-Player für Audio-CDs und der Mediaplayer für elektronische Formate.
22.3.1 CD-Player Den CD-Player finden Sie unter START | PROGRAMME | ZUBEHÖR | UNTERHALTUNGSMEDIEN | CD-PLAYER. Mit dem CD-Player können Sie Audio-CDs auf dem Computer wiedergeben, während Sie andere Aufgaben am Computer erledigen. Der CD-Player bietet folgende Möglichkeiten:
22.3 Abspielgeräte •
Wiedergeben einer CD, Anhalten oder Fortsetzen der CDWiedergabe
•
Anspielen von Titeln (Intros)
•
Wiedergeben von Titeln in beliebiger Reihenfolge
•
Downloaden und Speichern von CD-Namen und Titelinformationen aus dem Internet
•
Einblenden oder Ausblenden von Titelinformationen
•
Einblenden oder Ausblenden der bisherigen Wiedergabedauer sowie der verbleibenden Wiedergabedauer des Titels oder der gesamten CD
897
Abbildung 22.5: CD-Player
22.3.2 Media Player Den Media Player finden Sie unter START | PROGRAMME | ZUBEHÖR | UNTERHALTUNGSMEDIEN | WINDOWS MEDIA PLAYER. Der Media Player ist ein universeller Media Player, mit dem Sie Audio- und Videodateien sowie gemischte Dateien in vielen Formaten abspielen können. Hier sehen Sie einen Überblick über die Features, die der Media Player bietet: •
Vereinfachte Wiedergabe einer breiten Palette von Dateitypen
•
Problemlose Anpassung an individuelle Anforderungen
•
Qualitativ hochwertiges Multimediaerlebnis
•
Schneller Zugriff auf Medieninhalt
Folgende Media-Formate werden unterstützt: •
Windows-Formate: -
•
Moving Pictures Experts Group (MPEG): -
•
AVI, ASF, ASX, RMI, WAV, WMA, WAX
MPG, MPEG, M1V, MP2, MP3, MPA, MPE
Musical Instrument Digital Interface (MIDI):
Formate
898
22 Multimedia -
•
Apple QuickTime®, Macintosh® AIFF-Ressource: -
•
MID, RMI
QT, AIF, AIFC, AIFF, MOV
UNIX-Formate: -
AU, SND
Um die Eigenschaften für ein bestimmtes Media-Format anzuzeigen oder zu ändern, starten Sie die Wiedergabe einer Datei mit dem betreffenden Media-Format und klicken im Menü ANSICHT auf EINSTELLUNGEN. Abbildung 22.6: Media-Player mit Sound-Datei
Streaming-Formate Der Media Player beherrscht auch Streaming Formate (außer dem verbreiteten Internetformat Real Media, RM). Damit ist der Empfang laufender Videos per Internet möglich. Eine andere Anwendung sind Radiostationen, die im Internet ein kontinuierliches Programm ausstrahlen. Ein guter Ausgangspunkt für die Suche nach Anbietern, die Inhalte kompatibel zum Windows Media Player anbieten, ist die folgende Adresse: windowsmedia.msn.de/default.asp
22.4 Spiele und Spielesteuerungen Einfache Spiele gehörten schon immer zum Lieferumfang von Windows. Kein noch so professioneller Anstrich konnte Microsoft davon abhalten, auch Windows 2000 Professional damit auszustatten. Unterschiede zu der Vorgängerversion gibt es bei den Spielen nicht. Span-
22.4 Spiele und Spielesteuerungen
899
nender sind natürlich »richtige« Spiele. Dafür müssen Sie gegebenenfalls eine entsprechende Steuereinheit anschließen, meist ein Joystick.
22.4.1 Spielesteuerung Unter der Spielesteuerung – in der Systemsteuerung mit GAMECONTROLLER bezeichnet – finden Sie Einstell- und Kalibrierungsmöglichkeiten für externe Steuergeräte. Spielsteuergeräte bestehen aus mehreren Komponenten: •
Einer Steckkarte mit dem spezifischen Anschluss
•
Einem Gerätetreiber für den Anschluss
•
Dem externen Spielgerät
In der Spielesteuerung werden die Treiber eingerichtet und die Eigenschaften des Spielgeräts festgelegt. Diese Eigenschaften sind vom Treiber abhängig. Relativ problemlos sind Geräte ansprechbar, die an den Gameport der Soundkarten oder den USB-Port angeschlossen werden und die in der Liste der Geräte enthalten sind, die unter HINZUFÜGEN | GAMECONTROLLER zu finden ist. In allen anderen Fällen sollten Sie vorher den Anbieter fragen, ob Windows 2000 unterstützt wird – vor allem in Hinblick auf Spezialtasten wie Ruder oder Pedale. Abbildung 22.7: Spielgeräteeinstellungen sind treiberabhängig
22.4 Spiele und Spielesteuerungen
Kapitel 23 Mobiler Einsatz
23.1 Netzwerkanschluss................................................903 23.2 Dateisynchronisation ............................................907 23.3 Stromsparfunktionen............................................930 23.4 Internationaler Einsatz .........................................941 23.5 Hardwarespezifische Einstellungen ..................945 23.6 Anschluss von Windows CE................................947
901
23.1 Netzwerkanschluss
903
23 Mobiler Einsatz Windows 2000 ist keineswegs Benutzern fester Arbeitsstationen vorbehalten. Zahlreiche verbesserte sowie gänzlich neue Features unterstützen den Einsatz des Betriebssystems auf Notebooks. Lesen Sie in diesem Kapitel, wie Sie Windows 2000 Professional optimal im Notebook einsetzen.
23.1 Netzwerkanschluss Auch Notebooks gehören ans Netzwerk. Oft ist die Einbindung in die gesamte Arbeitsumgebung ohne Netzwerk kaum möglich, ohne Internet geht ebenso wenig.
23.1.1 Mobilität ohne Grenzen Im Lauf der letzten fünf Jahre sind die Netzwerke in den meisten Unternehmen deutlich gewachsen. Im Zuge dessen ist zwangsläufig auch die Strukturierung der Netze deutlich komplexer geworden. Durch die massenhafte Installation von PCs mit LAN-Anschlüssen und die unterschiedlichen Anforderungen der Anwender sind in vielen Firmen Intranets auf kleinem Raum entstanden, in denen Subnetze über Bridges und Router miteinander kommunizieren. Netzwerkexperten gehen davon aus, dass sich Firmennetze auf die kleinen Standorte und Außenstellen der Firmen weiter ausweiten werden. Dieser Wachstumsschub impliziert die Notwendigkeit, Daten zwischen beliebigen Orten auszutauschen. Die Anzahl der PC-Heimarbeitsplätze und der mit Notebooks ausgestatteten mobilen Anwender nimmt ständig zu. »Home-Office« und »Mobile-Computing« sind Schlagworte, die kontinuierlich an Bedeutung gewinnen. Führungskräfte, Vertriebs- und Marketingmitarbeiter, aber auch Mitarbeiter anderer Unternehmensbereiche sind zunehmend außerhalb des Büros tätig. Es existieren inzwischen sogar Unternehmen, die ganze Büros geschlossen haben: Anwender, die dort ihren Arbeitsplatz hatten, wurden mit Schreibtisch, Geschäftstelefon und PC ausgestattet und arbeiten nun von heimischen Gefilden aus. Wenn Mitarbeiter reisen oder ihren Arbeitsplatz zu Hause haben, müssen sie natürlich mit ihrer Firma in engem Kontakt stehen. Das bedeutet, sie benötigen zunehmend die Möglichkeit, sich auch von außerhalb ans Unternehmensnetzwerk anzuschließen. Der Zugriff auf ein Netzwerk von einem entfernten Standort aus wird als Remote-Access bezeichnet und über die Funktion »DFÜNetzwerk« realisiert.
Notebooks sind die optimale Ergänzung zum Netz
904
23 Mobiler Einsatz
23.1.2 Verbindung aufnehmen: Das DFÜ-Netzwerk Funktionen des DFÜ-Netzwerks
Windows 2000 bietet die besten Voraussetzungen für alle Arten des Dial-Up-Networkings. Auch Windows NT 4.0 enthielt bereits Funktionen, um Zugriffe auf das Netzwerk seines Unternehmens oder das Internet durchzuführen, und zwar über das DFÜ-Netzwerk. Eben dieses findet der Anwender in Windows 2000 wieder, aber gründlich überarbeitet und verbessert. Einen ersten Eindruck von den neuen Möglichkeiten erhält der Benutzer, wenn er seine Verbindungen konfiguriert: Der neue NETZWERKVERBINDUNGS-ASSISTENT vereint nun alle Orte, die bei Windows NT 4.0 zur Erstellung von Netzwerkverbindungen noch einzeln aufzusuchen waren (DFÜ-Netzwerk, Netzwerkeigenschaften etc.). Ein Assistent führt den Benutzer Schritt für Schritt der Konfiguration. Folgende Einstellungen lassen sich schnell und einfach durchführen: •
Erstellen von Wählverbindungen: Gegenüber Windows NT 4.0 ist dies einfacher und komfortabler möglich.
•
Einwahl in das Internet: nimmt alle Konfigurationseinstellungen vor, um sich per Modem oder ISDN ins Internet einzuwählen, wobei diese Verbindung auf Wunsch auch von anderen Benutzern im lokalen Netzwerk nutzbar ist.
•
Verbindung zu einem virtuellen privaten Netzwerk (VPN): führt den Benutzer durch alle Schritte, die zur Konfiguration einer sicheren Internet-Pipeline zu einem anderen Netzwerk erforderlich sind.
•
Akzeptieren eingehender Verbindungen: geleitet den Benutzer durch alle Schritte, die notwendig sind, um mit dem PC eingehende Wählverbindungen von anderen Computern anzunehmen und so eine Einwahl von außerhalb zu ermöglichen.
•
Computer-Direktverbindung: erlaubt es dem Benutzer, direkte Verbindungen zu anderen Rechnern über eine parallele bzw. serielle Schnittstelle oder drahtlos per Infrarot zu konfigurieren.
Es ist normalerweise für einen Benutzer nicht einfach, das gleiche Gerät für Zugriffe auf mehrere, verschieden konfigurierte Netzwerke zu verwenden – um beispielsweise dasselbe Modem sowohl für eine Verbindung ins Unternehmensnetzwerk als auch für den Zugriff ins Internet einzusetzen. Das liegt daran, dass jedes Gerät immer nur eine Sammlung von Konfigurationsinformationen besitzen kann und hat zur Folge, dass der Benutzer häufig gezwungen ist, das Gerät manuell umzukonfigurieren. Windows 2000 behebt dieses Problem, indem es dem Benutzer die Festlegung erlaubt, zu welcher Gegenstelle eine Verbindung aufgebaut wird, anstatt zu definieren, wie die Verbindung herzustellen ist. Ohne eine Rekonfiguration vornehmen zu müssen, kann nun beispielsweise eine Verbindung zu einem Internet-
23.1 Netzwerkanschluss
905
Service-Provider dasselbe Modem verwenden wie eine Verbindung ins Unternehmensnetzwerk - obwohl letztere völlig andere Konfigurationseinstellungen erfordert. Jeder Verbindungstyp darf verschiedene Einstellungen für Kennworte, Sicherheit, Skripte, Netzwerkprotokolle sowie -Einstellungen und andere Informationen enthalten. Dies trifft übrigens nicht nur auf DFÜ-, sondern auch auf reguläre Netzwerkverbindungen zu. Auf diese Weise ist es relativ einfach, für die Arbeit etwa über Modem einerseits und im Intranet andererseits vollkommen verschiedene Parameter (wenn es beispielsweise um verschiedene IPAdressen oder Proxy-Server geht) festzulegen. Zur besseren Übersichtlichkeit sind bei Windows 2000 DFÜ- und Netzwerkverbindungen in einem gemeinsamen Ordner untergebracht, der wahlweise über den Eintrag EINSTELLUNGEN aus dem Startmenü, dem Explorer oder die Systemsteuerung zugänglich ist.
Call-by-Call Vor der Konfiguration benötigen Sie einige Daten, die Ihnen Ihr Pro- Ohne Vertrag ins Netzwerk vider zur Verfügung stellen muss. Dazu gehören: •
Einwahl-Rufnummer
•
Benutzername und Kennwort
•
Informationen zu Proxy, DNS und IP-Nummern-Vergabe
Wenn Sie Ihre Kommunikationsumgebung testen möchten und noch keinen Provider haben, versuchen Sie es mit einem sogenannten Callby-Call-Anbieter. Sie haben damit sofort eine Verbindung zum Internet und können sich später in Ruhe um eine günstigere Alternative kümmern. Als Beispiel soll hier der Call-by-Call-Anbieter Mobilcom dienen. Die Beispiel Mobilcom Abrechnung der Gebühren, 5 Pfennig pro Minute (Mitte 2000), erfolgt über die Telefonrechnung. Aktuelle Gebühren finden Sie auf der Freenet-Homepage (siehe Link auf Seite 907). Alle Call-by-Call-Anbieter haben ähnliche Anschlussbedingungen, die etwa so aussehen: •
Einwahl-Rufnummer im eigenen Netz, beispielsweise 01019-01929
•
Benutzername und Kennwort sind frei wählbar oder fest
•
DNS und IP-Nummer werden dynamisch vergeben
•
Proxy wird zwangsweise verwendet oder muss eingetragen werden
Durch die Verwendung eines Proxy-Servers wird nur ein Teil des Datenverkehrs aus dem Internet geholt. Häufig benötigte statische Seiten liefert der Proxy an den Nutzer aus. Dadurch senkt der Provider seine
906
23 Mobiler Einsatz Leitungskosten. Für den Nutzer sind Proxys normalerweise transparent. Erfahrungen beim Surfen zeigen aber, dass Provider ohne Proxys schneller sind. Offensichtlich arbeiten die eingesetzten Computer permanent am Leistungslimit. Für den privaten Gebrauch ist das jedoch, vor allem in Kombination mit ISDN, völlig ausreichend.
Call-by-Call im Hotel? Probleme mit der Providerwahl
Beim Einsatz auf Reisen ist der überall (zumindest in Deutschland) verfügbare Call-by-Call-Anbieter eigentlich die beste Wahl. Leider funktioniert das in der Praxis nicht immer. Denn viele Hotels haben einen festen Vertrag mit einer Telefongesellschaft abgeschlossen und ihre Leitungen per Pre-Selektion umgeschaltet. Das wäre normalerweise kein Problem, denn Sie können die DFÜ-Verbindung so konfigurieren, dass die Auswahl der Telefongesellschaft (die Nummer beginnt mit 010...) fest eingebaut ist. Um zu verhindern, dass Hotelgäste die Vorauswahl des Hotels übergehen, werden oft gleich alle 010Nummern gesperrt. Was bleibt, sind Anbieter mit anderen Einwahlnummern. Wer viel reist sollte sowieso über international agierende Gesellschaften nachdenken. Für private Nutzer steht AOL an erster Stelle, kommerzielle Reisende sind beispielsweise bei CompuServe gut aufgehoben. Beide verfügen über viele lokale Einwahlknoten oder Sonderrufnummern, die nicht in das 010-Raster passen. Unter Umständen sind die Gebühren, die das Hotel pro Minute in Rechnung stellt, nicht als günstig zu bezeichnen, auf jeden Fall bekommen Sie aber eine schnelle Verbindung zum Abrufen der E-Mail. Kritisch ist in jedem Fall die von AOL oder CompuServe angebotene Software zu sehen. So konnte CompuServe im Mai 2000 seine fatalerweise CompuServe 2000 genannte Software nicht für Windows NT/2000 anbieten. Ähnliche Probleme hat auch AOL. Wer »nur« eine Verbindung zum Internet braucht, sollte auf die proprietäre Umgebung verzichten und seine E-Mail von einem Anbieter mit WebUnterstützung holen, wie beispielsweise Hotmail oder GMX (siehe Link auf Seite 907).
Konfiguration einer Wählverbindung zum Internet Es kann also nötig sein, je nach aktueller Situation, immer wieder neue DFÜ-Verbindungen einzugeben und sich damit auf die jeweilige Situation vor Ort einzustellen. Eine detaillierte Beschreibung der Einrichtung des DFÜ-Netzwerks finden Sie in Abschnitt 12.5 WAN-Verbindungen ab Seite 531 .
23.2 Dateisynchronisation Wenn keine Internetverbindung möglich ist Wenn Sie in eine Gegend fahren, wo keine Internetverbindung möglich ist, einige Daten aus dem Internet aber verfügbar haben wollen, können Sie Webseiten vorher abspeichern. Die entsprechenden Funktionen sind Bestandteil des Internet Explorers und werden in Abschnitt 21.2.3 Benutzung des Internet Explorers ab Seite 862 beschrieben.
Interessant Links zu großen Providern •
www.freenet.de (MobilCom)
•
www.aol.de (AOL)
•
www.compuserve.de (CompuServe)
•
www.hotmail.com (Hotmail)
•
www.gmx.net (GMX)
23.2 Dateisynchronisation Die Dateisynchronisation ist ein Werkzeug zum Abgleich von Daten zwischen Desktop-Computer und Notebook. Der Umgang damit wird in diesem Abschnitt detailliert beschrieben.
23.2.1 Offline-Ordner und der Synchronisationsmanager Der Synchronisationsmanager ist das zentrale Werkzeug für die Dateisynchronisation.
Überblick Mit Windows 2000 sollen Sie als mobiler Benutzer nicht mehr merken, ob Sie mit dem Unternehmensnetzwerk verbunden sind oder lokal arbeiten. Dieses Designziel erreicht das Betriebssystem durch einige innovative Fähigkeiten: Offline-Ordner und -Dateien, Offline-Zugriff auf Web-Seiten und den Synchronisations-Manager.
907
908
23 Mobiler Einsatz Verwechseln Sie die Synchronisation nicht mit IntelliMirror, der Verwaltung von Benutzerprofilen, Anwendungs- und Oberflächeneinstellungen im Netzwerk. IntelliMirror wird in Band II der Reihe behandelt.
Der Synchronisations-Manager Windows 2000 gestattet eine leichte Verwendung netzwerkbasierter Ordner und Dateien. Ein Klick mit der rechten Maustaste genügt, um diese offline verfügbar zu machen. Der Benutzer bemerkt anschließend kaum, dass die Dateien und Ordner offline sind, denn sie stehen im selben Namensraum zur Verfügung: Sie erscheinen für den Benutzer so, als ob er nach wie vor mit dem Netzwerk verbunden wäre. Auch, wenn er gar nicht mit dem Unternehmensnetzwerk verbunden ist, steht ihm die Netzwerkumgebung also zur Verfügung, um OfflineOrdner und -Dateien anzuzeigen und wie gewohnt zu bearbeiten. Offline anwenden lassen sich auf diese Weise beliebige Kombinationen aus Dateien, Ordnern, UNC-Pfaden und sogar kompletten Netzlaufwerken. Auf welchem entfernten Rechner sich diese befinden, spielt eine untergeordnete Rolle. Ohne auch nur irgendeine Konfigurationsänderung oder zusätzliche Einstellung vorzunehmen, ist jedes mit dem SMB-Protokoll arbeitende Betriebssystem dazu in der Lage, Offline-Ordner für Windows 2000 bereitzustellen. Dies trifft zum Beispiel auf Windows NT und Windows 9x, aber auch auf Windows für Workgroups 3.11 zu. Ein mit Notebook und Windows 2000 ausgestatteter Benutzer kann jeden mit diesen Microsoft-Betriebssystemen arbeitenden Rechner nutzen, um dessen freigegebene Ordner offline verfügbar zu machen und von unterwegs aus zu bearbeiten. Web-Seiten offline verwenden
Genau wie Netzwerk-basierte Dateien und Ordner können die Benutzer auch Web-Seiten offline verwenden. Die enge Integration des Internet-Explorer 5 mit Windows 2000 vereinfacht den Zugriff auf solche Web-Seiten: Ein spezieller Offline-Synchronisations-Assistent führt die Benutzer durch den gesamten Planungsprozess für die notwendigen Downloads. Zum Speichern eines vollständigen Web-Dokuments lässt sich außerdem die Funktion SPEICHERN UNTER des Internet-Explorer 5 verwenden.
Automatisch Synchronisieren
Die Offline-Verwendung von Netzwerk-basierten Ordnern und Dateien ist natürlich nur dann sinnvoll, wenn eine ordentliche Synchronisation der Offline- und Netzwerk-Dateien und -Ordner stattfindet sonst kommt es natürlich schnell zu Versionskonflikten. Eine manuelle Synchronisation hilft hier nur bedingt weiter, denn schnell wird mal die eine oder andere Datei vergessen und damit ist der Inhalt nicht mehr konsistent. Der neue Synchronisations-Manager von Windows 2000 verwaltet alle Offline-Inhalte einschließlich Dokumente, Tabellenkalkulationen, Datenbanken, Ordner und Web-Seiten sowie Inhalte
23.2 Dateisynchronisation
909
beliebiger Anwendungen, welche die Erweiterungen für den Synchronisations-Manager nutzen. Der Synchronisations-Manager stellt Entwicklern dafür eine offene API-Programmierschnittstelle zur Verfügung. Je nachdem, wie der Synchronisations-Manager konfiguriert ist, führt er den Abgleich aller offline geänderten Dateien vollkommen automatisch durch. Arbeiten die Benutzer mit den Standardeinstellungen, können sie flexibel festlegen, wann eine Synchronisation erfolgen soll – beispielsweise beim Abmelden oder Verbinden, manuell, zeitlich geplant oder programmgesteuert. Für verschiedene Ordner und Dateien dürfen dabei unterschiedliche Präferenzen definiert werden. So lässt sich beispielsweise vermeiden, große Datenbank-Dateien zu synchronisieren, wenn lediglich eine Verbindung zum LAN über eine langsame Wählverbindung besteht.
Netzwerkdateien offline verfügbar machen Um Netzwerkdateien auf einen Notebook verfügbar zu machen, sollten Sie auf keinen Fall einfach alles kopieren. Nutzen Sie immer die Synchronisations-Funktionen. Zur Vorbereitung müssen Sie mit dem Netzwerk verbunden sein. Su- Dateien sorgfältig chen Sie die offline zu bearbeitenden Dateien oder Verzeichnisse. Es selektieren ist sinnvoll, sich vorher über den Inhalt des Verzeichnisses und der Unterverzeichnisse zu informieren, damit keine Dateileichen kopiert werden. Ebenso ist die Übertragung von Programmen und DLLs nicht zu empfehlen – ausgenommen Sie programmieren auf dem externen Computer und überschreiben auch EXE-Dateien. Wählen Sie nun die Verzeichnisse aus (siehe Abbildung 23.1) und machen sie offline verfügbar (siehe Abbildung 23.2). Dazu gehen Sie folgendermaßen vor: • •
Klicken Sie mit der rechten Maustaste auf das Objekt und wählen im Kontextmenü den Eintrag OFFLINE VERFÜGBAR MACHEN oder Rufen Sie das Menü DATEI auf und dort den Befehl OFFLINE machen.
VERFÜGBAR
910
23 Mobiler Einsatz
Abbildung 23.1: Auswahl eines Netzwerkordners
Abbildung 23.2: Netzwerkordner machen Sie im Kontextmenü offline verfügbar
In einem weiteren Dialog können Sie nun entscheiden, ob auch Unterordner in die Synchronisation mit einbezogen werden sollen. Abbildung 23.3: So machen Sie Unterordner verfügbar
23.2 Dateisynchronisation
911
Wenn Sie nur einzelne Dateien synchronisieren, erfolgt die Abfrage aus Abbildung 23.3 nicht. Nach dem Schließen des Dialogs oder (bei einzelnen Dateien) auslösen des Befehls OFFLINE VERFÜGBAR MACHEN werden die Daten sofort übertragen. Bei der ersten Synchronisation werden alle Daten übertragen, später nur die Änderungen. Wenn Sie eine langsame Netzwerkverbindung haben und viele Dateien zu übertragen sind, kann der Vorgang einige Zeit in Anspruch nehmen. Denken Sie daran, bevor Sie die erste Synchronisation starten. Abbildung 23.4: Der Synchronisationsvorgang
Einige Dateien lassen sich nicht synchronisieren. Dies wird in einem entsprechenden Fehlerbericht angezeigt. Normalweise waren die Dateien während der Synchronisation geöffnet oder Sie hatten nicht genug Rechte, um zuzugreifen. Denken Sie daran, dass die Synchronisation bei der Aktualisierung Schreibrechte benötigt.
912
23 Mobiler Einsatz
Abbildung 23.5: Das Fehlerprotokoll zeigt, welche Dateien nicht synchronisiert werden konnten
Zu diesem Zeitpunkt sind die Daten im Notebook offline verfügbar. Sie können die Netzverbindung unterbrechen und die Daten bearbeiten. Auch die weitere Verarbeitung am Hostcomputer ist möglich, die aktuellste Version wird bei einer späteren Version (nach Rückfrage) erhalten bleiben.
Umgang mit dem Synchronisations-Manager Synchronisationsverwaltung starten
Sie können nun die Synchronisationsverwaltung starten, um den weiteren Ablauf der Synchronisation zu planen. Dazu gehen Sie folgendermaßen vor: •
Wählen Sie START | PROGRAMME | ZUBEHÖR | SYNCHRONISATION
23.2 Dateisynchronisation
913 Abbildung 23.6: Der Synchronisationsmanager
Im folgenden Dialog (siehe Abbildung 23.6) werden alle Objekte an- Auswahl der gezeigt, die synchronisiert werden können. Standardmäßig ist dort Objekte nur DIE DERZEITIGE HOMEPAGE verfügbar, die aber nicht aktiviert ist. Wenn Sie Objekte, wie zuvor beschrieben, verfügbar gemacht haben, erscheinen diese unter OFFLINEDATEIEN. Neben jedem Objekt steht, wann es zuletzt synchronisiert wurde. Beim ersten Start entspricht dies dem Zeitpunkt, an dem Sie die Daten offline verfügbar gemacht hatten. Klicken Sie nun auf EINRICHTEN..., um die Synchronisation für die Zu- Synchronisation kunft zu planen und weitere Einstellungen vorzunehmen. Im Dialog- automatisieren feld SYNCHRONISATIONSEINSTELLUNGEN können Sie folgende Aufgaben einrichten: •
Verhalten der Synchronisation beim An- und Abmelden
•
Ausnutzen von Leerlaufsituationen
•
Einrichtung des Taskplaners für die automatische Synchronisation
Alle Einstellmöglichkeiten werden nachfolgend beschrieben.
914
23 Mobiler Einsatz
Abbildung 23.7: Steuerung des Synchronisationsverhaltens beim Anund Abmelden
Verhalten beim Anund Abmelden
Objekte können bei jedem An- und Abmelden synchronisiert werden. Dazu müssen Sie die Netzwerkverbindung nicht trennen, es genügt, sich Abzumelden. Abbildung 23.7 zeigt die möglichen Einstellungen.
Abbildung 23.8: Ausnutzen des Leerlaufverhaltens
Computer befinden sich die meiste Zeit im Leerlauf. Sie können diese Zeit ausnutzen, um Dateien zu synchronisieren, ohne davon bei der Arbeit gestört zu werden. Abbildung 23.8 zeigt die möglichen Einstellungen. Da die Synchronisation mit umfangreichen Festplattenzugriffen verbunden ist, sollten Sie sie bei Akkubetrieb unterdrücken. Die Synchronisierung bei Leerlaufbetrieb muss außerdem auf der Registerkarte BEI LEERLAUF aktiviert werden (siehe folgende Abbildung).
23.2 Dateisynchronisation
915 Abbildung 23.9: Aktivierung des Leerlaufbetriebs
Wenn Ihr Computer sich regelmäßig mit dem Hostcomputer verbin- Geplante den kann, ist eine Planung von Synchronisationsvorgängen sinnvoll. SynchronisationsDerselbe Mechanismus ist auch für die Sicherung von Daten auf ei- vorgänge nem anderen Computer einsetzbar. Um die Synchronisation zu planen, wechseln Sie zur Registerkarte GEPLANTE TASKS. Die Einstellungen unterscheiden sich nicht von dem auch in anderen Bereichen genutzten Taskplanerdialogen. Mehr zum Taskplaner finden Sie auch unter Abschnitt 24.3 Taskplaner ab Seite 969. Es startet nun ein Assistent, der einige grundlegende Einstellungen zulässt. (Abbildung 23.10 bis Abbildung 23.12). Darüber hinaus sind aber noch weitaus feinere Planungen möglich.
916 Abbildung 23.10: Auswahl der Objekte für die geplante Synchronisierung
Abbildung 23.11: Startzeit und Ausführungswiederholung
Abbildung 23.12: Name für die Task
23 Mobiler Einsatz
23.2 Dateisynchronisation
917 Abbildung 23.13:Liste der geplanten Tasks für die Synchronisation
Sie können beliebig viele Tasks planen und diese mit einzelne Objekte verknüpfen Die im Synchronisations-Manager geplanten Tasks erscheinen nicht im zentralen Taskplaner von Windows 2000 und können auch nicht über den Konsolenbefehl at gesteuert werden.
918
23 Mobiler Einsatz
Abbildung 23.14: Name des Tasks
Abbildung 23.15: Bestimmung der Synchronisationsobjekte
Feinplanung von Tasks
Wurde ein Task mit dem Assistenten angelegt, kann der zeitliche Ablauf sehr detailliert geplant werden. Sie können regelmäßige oder unregelmäßige Termine planen, diese zeitlich begrenzen und von Ereignissen abhängig machen.
23.2 Dateisynchronisation
919 Abbildung 23.16: Feineinstellung des Zeitplans
Mit den erweiterten Einstellungen sind noch feiner Stufen des Zeitplans möglich. Hier müssen Sie aber schon aufpassen, dass nicht »unmögliche« Termine geplant werden. Abbildung 23.17: Auswahl erweiterter Zeitplanoptionen
Im letzten Dialog (Registerkarte EINSTELLUNGEN) können Sie das Verhalten des Tasks einstellen: •
TASK LÖSCHEN..., löscht den Eintrag, wenn er abgelaufen ist. Falls Sie später neue Tasks planen, ist eine Änderung vorhandener Tasks weniger aufwändig.
920
23 Mobiler Einsatz •
TASK BEENDEN NACH..., Der Task wird nur innerhalb des angegebenen Zeitraumes ausgeführt, unabhängig von evtl. vorhandenen Wiederholungsoptionen.
•
LEERLAUF. Die hier angegebenen Optionen stehen nicht im Zusammenhang mit der Leerlaufoption, die in Abbildung 23.8 gezeigt wurde. Das Leerlaufverhalten wird vor der Ausführung eines Tasks überwacht. Planmäßig startende Tasks warten, bis das gewünschte Leerlaufverhalten erreicht wurde, um nicht bei der laufenden Arbeit zu stören.
•
ENERGIEVERWALTUNG. Synchronisationsvorgänge sind energieaufwändig. Sie können die Steuerung deshalb auch in Abhängigkeit von der Energieversorgung machen.
Abbildung 23.18: Verhalten bei der automatischen Synchronisation
Wenn Ihr Computer ACPI-fähig ist und die OnNow-Technologie unterstützt, ist eine Reaktivierung auch aus dem StandBy- und Ruhezustand möglich. Der Bildschirm wird während des Vorgangs nicht angeschaltet. Das System startet, führt die Tasks aus und geht nach der im Power-Management eingestellten Zeit wieder schlafen. Damit ist es möglich, Computer in ausgeschaltetem Zustand zu belassen und trotzdem nachts Synchronisationsprozesse zu starten.
23.2 Dateisynchronisation
921
Feintuning der Dateisynchronisation Wenn Sie direkt auf die Dateien zugreifen möchten, die einer Netzwerkverbindung entstammen, nutzen Sie weiterhin die Netzwerkressource. Im linken Teil des Dateifensters erscheint der Satz ORDNER IST OFFLINE. Das ist auch schon der einzige Unterschied – der Ordner verhält sich so, als wäre er online. Alle Pfade sind mit der Netzwerkversion identisch. Abbildung 23.19: So erkennen Sie, ob ein Ordner offline ist
Ob Ordner und Dateien synchronisiert werden können, wird durch zwei gegenläufige Pfeile im Symbol des Objekts angezeigt. Einige Grundeinstellungen für die Synchronisation können Sie unter ORDNEREINSTELLUNGEN vornehmen. Sie finden diese Option in der Systemsteuerung.
922
23 Mobiler Einsatz
Abbildung 23.20: Ordneroptionen für den Synchronisationsordner
Sie können über die Verknüpfung oder die Schaltfläche DATEIEN ANZEIGEN alle Dateien im Synchronisationsordner und auch deren Status ansehen (siehe Abbildung 23.21). Abbildung 23.21: Der Synchronisationsordner
Der Blick in den Synchronisationsordner ist durchaus zu empfehlen, denn in der Anfangszeit werden Sie durch die Transparenz der Vorgänge Probleme mit dem ständig zur Verfügung stehenden Netzwerkpfaden haben. Es ist schon unheimlich, wenn man das Kabel zum Netzwerk herauszieht und die Applikationen beim Zugriff auf die offline verfügbar gemachten Daten kommentarlos weiter arbeiten. Solange Sie sich auf dem Desktop bewegen und die Aussage »Ordner ist offline« sehen, mag das einleuchtend sein. Programme, die noch
23.2 Dateisynchronisation
923
über ältere Dateispeicherdialoge verfügen, können diese Information aber nicht sichtbar machen. Kritisch ist zu bemerken, dass Fehler im Netzwerk bei der Arbeit mit offline verfügbaren Ordnern nicht sofort zu Störungen führen. Ignoriert man andere Hinweise (siehe Abbildung 23.22) und arbeiten Sie dann mit der Offline-Version des Dokuments weiter, werden Sie diese Änderungen möglicherweise verlieren, wenn das Netzwerk wieder verfügbar ist und die Synchronisation nicht erfolgt. Abbildung 23.22: Achten Sie auf Netzwerkfehler!
Synchronisieren über eine langsame Verbindung Die Dateisynchronisierung kann auch über eine Wählverbindung eingesetzt werden. Eine Definition für »langsam« gibt es jedoch nicht. Prinzipiell kann die Synchronisation über jede stehende Verbindung erfolgen. Zuerst muss also immer die Gegenstelle angewählt werden, wenn es sich um eine Wählverbindung handelt. Um erfolgreich in den Verbindungsstatus zu wechseln (nach dem der Wechsel in den Offline-Zustand besteht), müssen folgende Voraussetzungen erfüllt Online-Zustand sein: •
Offline verfügbare Dateien sind nicht geöffnet
•
Offline-Dateien sind nicht geändert worden
•
Die Netzwerkverbindung ist schneller als 64 KBit
Ist eine der drei Bedingungen nicht erfüllt, forciert das Notebook die Eröffnung der Synchronisationsbedingung nicht und bleibt offline. Eine langsame Verbindung wird also möglicherweise nicht erkannt und die Synchronisation erfolgt nicht automatisch. Sie müssen diesen Prozess von Hand wie folgt anstoßen: •
Synchronisieren Sie den Netzwerkordner durch auslösen des Synchronisationsmanagers von Hand, wenn sich aktuellere Dateien im Netzwerkordner befinden.
•
Sind auch lokal neuere Dateien vorhanden, starten Sie die Synchronisation ein zweites Mal per Hand. Markieren Sie die zu übertragenden Dateien einzeln und lösen Sie dann die Synchronisation aus.
924
23 Mobiler Einsatz Löschen des Offline-Caches Die Daten im Offline-Cache können auch gelöscht werden. Das kann notwendig sein, wenn Sie das Notebook aus der Hand geben und sicher stellen möchten, das keine Daten darauf zurückbleiben. Außerdem kann es sinnvoll sein, den Cache zu löschen, wenn die Synchronisation durcheinandergeraten ist.
Inititalisierung des Cache
Zum Löschen gehen Sie folgendermaßen vor: •
Öffnen Sie den Windows Explorer oder den Offlineordner.
•
Wählen Sie im Menü EXTRAS auf ORDNEROPTIONEN.
•
Wählen Sie nun die Registerkarte OFFLINEDATEIEN.
•
Drücken Sie die Tasten Strg+Umschalt und klicken Sie gleichzeitig auf DATEIEN LÖSCHEN... .
•
Nun bestätigen Sie die Sicherheitsabfrage und starten den Computer neu.
Abbildung 23.23: Initialisieren des Offline-Cache
Die Arbeitsweise der Synchronisation intern Systemordner: \CSC
Die Dateien werden natürlich nicht in einem zum Netzwerk identischen Pfad abgelegt. Windows 2000 nutzt dafür einen speziellen Ordern: %SYSTEMROOT%\CSC. Die Abkürzung CSC steht für Client System Cache. Wenn Sie diesen Ordner sehen möchten, müssen Sie die Anzeige versteckter Dateien im Arbeitsplatz oder Explorer zulassen. Klicken Sie dazu auf EXTRAS | ORDNEROPTIONEN | ANSICHT. Deaktivieren Sie das Kontrollkästchen bei der Option GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN und aktivieren Sie die Option ALLE DATEIEN UND ORDNER ANZEIGEN.
23.2 Dateisynchronisation
925 Abbildung 23.24: Anzeige versteckter Ordner aktivieren
Mit diesem Ordner können Sie in der Regel nicht viel anfangen. Solange die Synchronisation funktioniert, ist ein Zugriff weder nötig noch sinnvoll. Im Fehlerfall oder nach einem totalen Systemabsturz kann des aber durchaus nützlich sein zu wissen, wo Kopien der wertvollen Daten liegen. Die Dateien in \CSC sind umbenannt und ohne Dateierweiterung abgespeichert. Wenn Sie aber auf eine solche Datei gehen, erkennt Windows den Inhalt und zeigt in an. Wollen Sie die Datei nach einem Crash reaktivieren, benennen Sie sie einfach um und hängen die originale Dateierweiterung an.
23.2.2 Der Aktenkoffer Auch wenn es auf den ersten Blick nicht sinnvoll erscheint, auch unter Windows 2000 gibt es noch den Aktenkoffer. Unter Windows 98 war er die einzige Möglichkeit, Dateien zu synchronisieren. Den Aktenkoffer setzen Sie immer dann ein, wenn eine direkte Verbindung per Netzwerk oder Modem nicht möglich ist – auf einem Wechseldatenträger also. Es spricht zwar technisch nichts dagegen, Aktenkoffer auch zwischen Netzwerklaufwerken zu kopieren – in Anbetracht der komfortablen Synchronisationsfunktionen ist es aber wenig sinnvoll.
926
23 Mobiler Einsatz Am einfachsten ist das Prinzip des Aktenkoffers zu verstehen, wenn Sie Dateien über eine Diskette austauschen. Angenommen, Ihr Notebook verfügt über keine Netzwerkkarte, muss es dennoch nicht vom Datenaustausch ausgeschlossen werden.
Aktenkoffer einrichten
Einen neuen Aktenkoffer für eine begrenzte Anzahl von Dateien erzeugen Sie am besten in dem Verzeichnis, dass die zu kopierenden Dateien enthält: •
Klicken Sie mit der rechten Maustaste einen leeren Bereich des Fensters.
•
Wählen Sie im Kontextmenü NEU | AKTENKOFFER.
•
Es erscheint ein Hinweisfenster, das die Funktionsweise kurz zusammenfasst.
•
Wählen Sie alternativ das Menü DATEI | NEU | AKTENKOFFER.
Abbildung 23.25: Erzeugen eines Aktenkoffers in einem Arbeitsverzeichnis
Mit dem Aktenkoffer arbeiten Um nun Dateien mit dem Aktenkoffer übertragen zu können, ziehen Sie diese mit der Maus einfach auf das Aktenkoffer-Symbol. Abbildung 23.26: Kopieren von Dateien in den Aktenkoffer
23.2 Dateisynchronisation
927
Wurde alles kopiert, können Sie die Diskette entfernen und in das Notebook einlegen. Gehen Sie zum Kopieren von Daten nun folgendermaßen vor: •
Legen Sie einen austauschbaren Datenträger in ein Laufwerk des Hauptcomputers ein.
•
Öffnen Sie den Aktenkoffer. Kopieren Sie die entsprechenden Dateien in den Aktenkoffer.
•
Ziehen Sie den Aktenkoffer auf den Datenträger.
•
Die Dateien im Aktenkoffer werden auf den Datenträger kopiert.
•
Nehmen Sie den Datenträger aus dem Hauptcomputer, und legen Sie ihn in ein Laufwerk des tragbaren Computers ein.
Sie können den Aktenkoffer jetzt vom Datenträger aus öffnen, die Dateien bearbeiten und speichern. Wenn Sie die Dateien nun synchronisieren möchten, nehmen Sie den Datenträger aus dem tragbaren Computer, und legen Sie ihn wieder in ein Laufwerk des Hauptcomputers ein. Öffnen Sie den Aktenkoffer vom Datenträger aus, und führen Sie eines der folgenden Verfahren durch: •
Klicken Sie zum Aktualisieren sämtlicher Dateien im Menü Aktenkoffer auf ALLES AKTUALISIEREN.
•
Wenn Sie nicht alle Dateien aktualisieren möchten, wählen Sie die zu aktualisierenden Dateien aus, und klicken Sie im Menü Aktenkoffer auf AUSWAHL AKTUALISIEREN.
Effektiver Umgang mit dem Aktenkoffer Der Aktenkoffer sollte als das betrachtet werden, was er ist: ein Ak- Aktenkoffer heißt: tenkoffer – und nicht als Ordner oder Datei. Wenden Sie Drag&Drop Dokumente an, um den Aktenkoffer auf Diskette zu kopieren, wird der Aktenkof- verschieben fer verschoben – es sollte immer nur eine Kopie des Aktenkoffers existieren. Wenn Sie die Diskette auf einem anderen Computer einlegen, ziehen Sie den Aktenkoffer in das Arbeitsverzeichnis oder auf den Desktop – wieder wird er verschoben und die Diskette ist nun leer. Die Diskette darf für die korrekte Ausführung des Vorgangs nicht mit einem Schreibschutz versehen werden. Unabhängig von diesem Verhalten können Sie den Aktenkoffer natür- Aktenkoffer lich mehrfach erzeugen und auf jedem Wechselmedium und auch im können dupliziert Netzwerk verschieben. Theoretisch wäre auch der Versand per E-Mail werden möglich, nur besteht da keine Möglichkeit des Verschiebens. Beachten Sie auch, dass ein Verschieben über das Internet riskant ist. Sowohl der Inhalt kann verloren gehen als auch die Verknüpfung mit der Originaldatei.
928 Den Status abfragen
23 Mobiler Einsatz Wenn Sie unsicher sind, in welchem Status sich die Dateien im Aktenkoffer befinden, öffnen Sie ihn und wählen aus dem Kontextmenü einer Datei den Eintrag EIGENSCHAFTEN. In der Registerkarte AKTUALISIERUNGSSTATUS finden Sie eine Anzeige, die das Verhältnis von
Abbildung 23.27: Status einer Datei im Aktenkoffer
Spezielle Optionen
Falls die Kopie nicht weiter mit dem Original synchronisiert werden soll, klicken Sie auf VOM ORIGINAL TRENNEN. Wenn Sie nicht mehr wissen, wo sich das Original befindet, oder den Ordner verschoben haben, der die Originale enthält, nutzen Sie die Funktion ORIGINAL SUCHEN.... Wenn Sie den Aktenkoffer öffnen oder die Option AKTUALISIEREN aus dem Kontextmenü verwenden, ergeben sich mehrere Reaktionsmöglichkeiten. Abbildung 23.28 zeigt die entsprechende Meldung, wenn Sie auf einem fremden System einen Aktenkoffer aktualisieren möchten.
23.2 Dateisynchronisation
929 Abbildung 23.28: Fehler: Sie können auf dem fremden System Dateien nicht kopieren
Ganz anders sieht es aus, wenn Sie die Dateien im Aktenkoffer aktualisiert haben und nun wieder zurück an Ihrem Arbeitsplatz sind. Dann können Sie problemlos aktualisieren. Abbildung 23.29: Aktualisieren der Dateien auf dem Host durch den Aktenkoffer
Wenn Sie auf das Symbol zwischen den beiden Dateien klicken, können Sie die Optionen verändern, wenn dies sinnvoll ist. Sinnlose Operationen lässt der Aktenkoffer nicht zu. Haben Sie mehrere Objekte ausgewählt, können Sie einzelne überspringen. Abbildung 23.30: Optionen für die Synchronisation des Aktenkoffers
930
23 Mobiler Einsatz Der Aktenkoffer und Windows 98
Windows 98
Wenn Sie Daten zwischen einem Windows 2000-Computer und Windows 98 austauschen müssen, können Sie auch den Aktenkoffer verwenden. Unterschiede gibt es kaum, die Aktenkoffer werden auf beiden Systemen akzeptiert, egal wo sie erzeugt wurden.
23.3 Stromsparfunktionen Mit den Stromsparfunktionen wird Windows 2000 zum besten Betriebssystem für den mobilen Einsatz – entsprechende Hardware vorausgesetzt. Wie es funktioniert, finden Sie in diesem Abschnitt.
23.3.1 Effizientes Power-Management Einen für mobile Benutzer besonders wichtigen, wenn nicht gar den wichtigsten Aspekt stellt die Stromversorgung ihres Notebooks dar. Oftmals besteht die Notwendigkeit, fern jeder Steckdose zu arbeiten, beispielsweise im Flugzeug. Dann ist es entscheidend, wie sparsam das Betriebssystem mit den Ressourcen des Computers umgeht. Kritisch verhält es sich auch mit der Behandlung von HardwareKonfigurationsänderungen, wenn zum Beispiel eine PC-Card ausgetauscht oder das Notebook in eine Dockingstation eingeschoben wird. ACPI APM
Windows 2000 ist für diese Anforderungen mobiler Benutzer ideal gerüstet. Mit dem »Advanced Configuration and Power Interface« (ACPI) unterstützt das Betriebssystem den neuen PowerManagement-Standard, der weitaus effizienter zu Werke geht als das ältere Verfahren »Advanced Power Management« (APM) – das aus Gründen der Kompatibilität aber weiterhin Unterstützung findet. ACPI verwaltet des Weiteren Peripheriegeräte weitaus besser als sein Vorgänger Windows NT 4.0. Auch der im Betriebssystem eingebaute Plug&Play-Support basiert darauf. Rein praktisch betrachtet lässt sich eine Installation von Windows 2000 auf Notebooks nun ebenso einfach vornehmen wie auf stationären Computern. Das Hinzufügen und Entfernen von Hardware-Komponenten ist ebenfalls bequemer und der Austausch von PC-Cards bei laufendem Betrieb durchführbar. Das Betriebssystem erkennt Plug-and-Play-Änderungen dynamisch und reagiert unmittelbar auf Hardware-Ereignisse während der Laufzeit, beispielsweise das Einschieben eines Notebooks in die entsprechende Dockingstation. Es ist daher bei Windows 2000 nicht mehr erforderlich, das Notebook herunterzufahren, um eine Änderung vorzunehmen, die dann erst nach einem erneuten Systemstart aktiv wird. Der Vorgang ist aber auch von der Hardware abhängig. Konsultieren Sie sicherheitshalber die Dokumentation Ihres Geräts.
23.3 Stromsparfunktionen Weitere Unterstützung bietet Microsofts »OnNow Design Initiative«, OnNow die es beispielsweise erlaubt, dass ein PC oder Notebook im StandbyModus arbeitet, obwohl es für den Anwender so aussieht, als ob er tatsächlich ausgeschaltet sei. Der große Vorteil: Der Computer steht innerhalb von Sekunden nach Betätigung des Ein-/Ausschalters wieder zur Verfügung. OnNow sorgt für die Zusammenarbeit von Betriebssystem und Anwendungs-Software, um entsprechend der jeweiligen Benutzeranforderungen ein effektives Power-Management zu ermöglichen. Ein wichtiges Ziel dabei: Applikationen beschäftigen den Computer nicht mehr als notwendig. Statt dessen partizipieren sie beim Herunterfahren des Computers sowie der nicht benötigten Komponenten, um Energie zu sparen: Das Betriebssystem teilt den Systemstatus allen Applikationen exakt mit. Windows 2000 bietet dem Benutzer viele vorgefertigte, anpassbare Ruhezustand Power-Schemata. Diese definieren, nach welcher Zeit der Inaktivität automatisch der Bildschirm und die Festplatten ausgeschaltet werden. Außerdem gibt es bei Windows 2000 die Funktion »Ruhezustand« bedeutet. Ist dieser Modus eingeschaltet und schließt der Benutzer beispielsweise das Display des Notebooks, speichert der Computer alles, was sich aktuell im Arbeitsspeicher befindet (geladene Applikationen, geöffnete Dokumente etc.), auf seine Festplatte, um sich in einen stromsparenden Tiefschlaf zu begeben. Fährt der Benutzer das Notebook später wieder hoch, werden innerhalb weniger Sekunden sämtliche Einstellungen so wiederhergestellt, wie sie vor dem Herunterfahren waren. Dieses Verfahren erlaubt ein wesentlich längeres Arbeiten mit dem Notebook, da Windows 2000 größere Denkpausen des mobilen Anwendern nutzt, um Strom zu sparen und bei Geistesblitzen binnen kürzester Zeit wieder einsatzbereit ist. Bei allen neueren Geräten sollte das problemlos funktionieren, doch zeigt die Praxis, dass der eine oder andere Hersteller noch Schwierigkeiten mit einer einwandfreien ACPI-Unterstützung hat. Es empfiehlt sich daher, die Website des Herstellers aufzusuchen und zu prüfen, ob dort eine neuere BIOS-Version für die jeweiligen Notebooks zu finden ist. An dieser Stelle sei erwähnt, dass ein einfaches Upgrade des BIOS einem lediglich APM-fähigen Notebook älteren Baujahrs nicht zu ACPIFunktionalitäten verhelfen kann, denn die Hardware muss auf den neueren Standard ebenfalls ausgelegt sein. Die theoretischen Grundlagen zu ACPI, APM und OnNow können Sie Theorie in Abschnitt 2.4.2 Wichtige unterstützte Technologien für den NotebookEinsatz ab Seite 51 nachlesen.
931
932
23 Mobiler Einsatz Voraussetzungen für effektives Power-Management Die Administration des Power-Management ist relativ einfach über das Kontrollfeld ENERGIEOPTIONEN in der Systemsteuerung möglich. In diesem Abschnitt werden alle Optionen vorgestellt. Um die einzelnen Einstellungen besser ausnutzen zu können, sollten Sie sich über die Leistungsfähigkeit Ihres Systems in Bezug auf ACPI, APM und OnNow informieren.
ACPI
Befindet sich Windows 2000 im ACPI-Modus? Diese Frage stellt sich zuerst, bevor Sie versuchen, die verschiedenen Funktionen zu nutzen. Um das herauszufinden, gehen Sie folgendermaßen vor: 1. Suchen Sie im Windows-Stammverzeichnis die Datei SETUP.LOG im Verzeichnis /REPAIR, beispielsweise in C:/WINNT/REPAIR. 2. Öffnen Sie die Datei im Editor. 3. Suchen Sie nach einer Zeile, die folgendermaßen beginnt: \NT50_1\system32\hal.dll = Nach dem Gleichheitszeichen muss HALMACPI.DLL stehen, dann befindet sich das System im ACPI-Mode.
Abbildung 23.31: ACPI-Mode in Windows 2000 feststellen
Wie umfangreich die Unterstützung ist, können Sie im Gerätemanager herausfinden. Abbildung 23.32 zeigt, wo Sie die entsprechenden Eintragungen finden. Für Notebooks sind zwei Einträge besonders interessant: •
ACPI-DECKEL: Der Deckel kann eine Aktion auslösen
•
ACPI-EINSCHALTKNOPF: das Verhalten beim Abschalten kann definiert werden
23.3 Stromsparfunktionen
933 Abbildung 23.32: Der Gerätemanager zeigt, welche Bauteile ACPI unterstützt
Relativ zuverlässig lässt sich auch ein APM-fähiges System erkennen. APM Hier ist die Unterstützung zwar nicht ganz so ausgeprägt, ganz aufs Stromsparen müssen Sie aber nicht verzichten. Im Ordner \TOOLS auf der Windows 2000-CD finden Sie ein Werkzeug APMSTAT, dass detailliert Auskunft über die APM-Tauglichkeit eines Computers gibt. Abbildung 23.33: Ein ACPIkonformer Computer im APMTest Das Programm gibt für APM wichtige Informationen aus, für ACPI wird nur angezeigt, das APM nicht verfügbar ist. Abbildung 23.34: Ein APMComputer
934
23 Mobiler Einsatz Die Abschaltzustände Neben den nicht weiter steuerbaren internen Ruhephasen, die per ACPI kontrolliert werden, verfügt das Power-Management über zwei grundlegende Zustände (abgesehen von der physischen Abschaltung): •
Standbymodus
•
Ruhezustand
Standbymodus
Im Standbymodus werden Monitor und Festplatte abgeschaltet. Programme bleiben jedoch aktiv und jede Aktion an Maus oder Tastatur startet das System fast ohne Verzögerung wieder. ACPI-konforme Systeme können mit einer speziellen Taste, meist dem Einschalttaster, in den Standbymodus versetzt werden. Andere Systeme werden über den BEENDEN-Dialog gesteuert.
Ruhezustand
Der Ruhezustand schaltet den Computer fast komplett ab. Der aktuelle Zustand wird dabei in eine spezielle Datei gesichert (HIBERNAT.SYS). Nach dem Einschalten bootet der Computer nicht, sondern lädt den alten Zustand aus dieser Datei. Das geht schneller als booten und Sie können sofort mit dem letzten Desktop weiter arbeiten – egal wie viele Applikationen offen waren. Aus beiden Modi kann der Computer durch den Einschalttaster oder den Taskplaner erweckt werden. Wenn Sie bei einem Flug bei Start oder Landung aufgefordert werden, elektronische Geräte auszuschalten, genügt es nicht, in den StandByModus oder Ruhezustand zu gehen. In beiden Fällen kann ein interner Prozess das Notebook wieder aufwecken. Fahren Sie Windows vollständig herunter, das Notebook schaltet dann korrekt ab.
Herunterfahren
Wenn Sie den Computer vollständig abschalten möchten und keinen Schalter finden, der die Stromzufuhr physisch unterbricht, nutzen Sie den Vorgang HERUNTERFAHREN im Menü BEENDEN.
Das Power-Management konfigurieren Haben Sie ein ACPI-konformes System, steht einer umfangreichen Konfiguration der Energiesteuerung nichts mehr im Wege. Starten Sie die ENERGIEOPTIONEN in der Systemsteuerung. Auf einem Notebook sollte im ersten Dialogfeld, Registerkarte ENERGIESCHEMAS, TRAGBAR/LAPTOP stehen. Sie können außerdem die Abschaltung von Monitor und Festplatte im Netz- und Batteriebetrieb einstellen. Außerdem stellen Sie hier ein, nach welcher Zeit der Computer automatisch in den Standbymodus oder in den Ruhezustand verfällt.
23.3 Stromsparfunktionen
935 Abbildung 23.35: Energieoptionen
Moderne LCD-Bildschirme verwenden Kaltkatodenröhren für die Hintergrundbeleuchtung. Diese Röhren verschleißen besonders schnell beim Einschalten. Häufiges Einschalten reduziert die Lebensdauer mehr als Dauerbetrieb. Erfahrungsgemäß sollten Sie einen LCDMonitor erst nach 30 Minuten in den Standbymodus versetzen. Bei Batteriebetrieb ist der Zustand der Batterie ein entscheidender Alarmzustände Fakt. Auf der Registerkarte ALARM können Sie das Abschaltverhalten bei schwacher Batterie steuern.
936
23 Mobiler Einsatz
Abbildung 23.36: Alarmzustände
Eingestellt werden kann jeweils: •
BENACHRICHTUNG: Hier können Sie entscheiden, ob ein akustischer und/oder informeller Alarm per Meldung erfolgt. Wenn das System abgeschaltet werden soll, werden Sie davon nichts mehr mitbekommen.
•
ENERGIEMODUS: Hier wird die Reaktion des Computers bei dem entsprechenden Alarmzustand gesteuert. Möglich sind folgende Optionen: -
STANDBYMODUS
-
RUHEZUSTAND
ABSCHALTEN (das System wird in diesem Fall korrekt heruntergefahren, auch wenn die Option etwas anderes suggeriert) Eine weitere Option betrifft das Beenden von Programmen. Wenn Sie das -
•
Batterieanzeige
AUSFÜHREN: Hier können Sie ein Programm angegeben, dass vor den Abschalten gestartet wird, beispielsweise ein Synchronisation oder Datensicherung. Beachten Sie, dass umfangreiche Festplattenzugriffe die ohnehin schwache Batterie sehr schnell zur völligen Aufgabe zwingen können.
Wenn der Zustand der Batterie wichtig ist, sollte er auch einfach überwacht werden können. Auf der Registerkarte Batterieanzeige fin-
23.3 Stromsparfunktionen
937
den Sie Informationen zu allen Batterien des Systems. Bei manchen Systemen kann hier auch auf eine Reservebatterie umgeschaltet werden. Abbildung 23.37: Batterieanzeige auf einem Notebook
Klicken Sie auf eine Batterie, um mehr Daten darüber zu sehen. Angezeigt wird unter anderem der Batterietyp (chemische Zusammensetzung) und der Hersteller. Abbildung 23.38: Batteriedaten
Der Batterietyp ist relativ wichtig, denn richtige Pflege der Batterie Batterietypen wirkt sich drastisch auf die Lebensdauer und die verfügbare Kapazität aus. Folgende Typen kann es bei Notebooks geben: •
NiCd ist die Abkürzung für Nickel-Cadmium, eine sehr weit NiCD verbreitete und bewährte Akku-Technologie. Im Vergleich zu den NiMH-Akkus liefern NiCd-Akkus bei tiefen Temperaturen mehr
938
23 Mobiler Einsatz Energie. Ein NiCd-Akku ist der preisgünstigste Typ. Von Nachteil ist das Auftreten des sogenannten Memory-Effektes, bei dem Akkus unter einem ungünstigen Lade- und Entladezyklus leiden.
Zum richtigen Umgang mit Akkumulatoren
Ist der Akku vor dem Aufladen nicht gänzlich entladen, bilden sich Kristalle auf den Elektroden. Dieser Effekt wird korrekt Voltage Depression genannt. Die Kristalle bilden sich übrigens nur bei kleinen Entlade- bzw. Ladeströmen, oft einfach durch die Selbst-Entladung. Diese Kristalle bilden sich immer, allerdings normalerweise sehr kleine. Das gibt eine große Oberfläche, und damit hohe Ströme (große chemische Angriffsfläche). Diese normalen Kristalle können aber zu größeren Versionen wachsen, die Oberfläche wird insgesamt kleiner, und somit werden die Ströme kleiner. Nun wird auch klar, warum die Kristalle bei kleinen Strömen wachsen – bei großen Strömen geht es gar nicht, weil da die große Oberfläche der Kleinkristalle benötigt wird. Intern wird der Innenwiderstand größer, im Computer (der Strom bleibt gleich) heißt das, dass die Zellspannung kleiner wird, und das kann dazu führen, dass der ACPI-Sensor den Akku irrtümlich als leer betrachtet und seinen Dienst einstellt – obwohl die Energie sehr wohl noch im Akku steckt und auch entnommen werden könnte. Wenn der Akku also mehrmals hintereinander nicht vollständig entladen wurde (durch den Verbraucher bzw. durch das entsprechende Ladegerät), werden die Nutzungszeiten immer geringer.
NiMH
•
NiMH ist die Abkürzung für Nickel-Metall-Hydrid. NiMH-Akkus speichern im Vergleich zu NiCd-Akkus bei gleichem Volumen (Nennkapazität) doppelt so viel Energie, haben zugleich einen stark reduzierten Memory-Effekt und eine längere Lebenserwartung. Die Ladezeiten sind etwas länger. Die Pflege der NiMHAkkus sollten nur in hochwertigen Ladegeräten erfolgen, da diese eine Überhitzung nahezu ausschließen, zu der die NiMH-Akkus neigen. Von Nachteil ist die Überladungs-Empfindlichkeit, die relativ hohe Selbstentladung und das dieser Akku-Typ keine hohen Entladeströme abgegeben kann.
LiO
•
LiO steht für Lithium-Ion-Batterie, die eine hohe gravimetrische und volumetrische Energiedichte aufweist. Die Zellspannung (Leerlaufspannung) ist abhängig von der Elektrodenpaarung und hat beispielsweise bei der Kombination Li2MnO2/C einen Wert von 3 V oder 4 V, je nach Art des verwendeten Braunsteins. Dadurch empfiehlt sich dieses System für Anwendungen wie Mobiltelefone, Videokameras oder Notebooks. Die Anode besteht aus Grafit. Beim Aufladen wird Lithium aus dem Li2MnO2 in Ionenform in ein Kohlenstoffgitter der Negativen eingelagert und beim entladen wieder abgegeben. Die Li-Ionen »swingen« praktisch zwischen den Elektroden hin und her. Deshalb wird die Li-Ionen-Batterie auch oft als Swing-Batterie bezeichnet. Memory-Effekt und Erhitzungsgefahr
23.3 Stromsparfunktionen
939
sind minimal. Nachteilig ist der hohe Preis, der den Einsatz meist auf ebenso hochpreisige Geräte beschränkt. Hinter der Registerkarte ERWEITERT finden Sie folgende Einstellungen: •
SYMBOL IN DER TASKLEISTE ANZEIGEN: Ist das Kontrollkästchen aktiviert, erscheint die Batteriekontrolle in der Taskleiste. Ein Doppelklick auf dieses Symbol zeigt ein Dialogfeld mit dem aktuellen Ladezustand.
•
KENNWORT BEIM REAKTIVIEREN DES COMPUTERS ANFORDERN: Nach dem aufwachen des Computers aus dem Standbymodus oder Ruhezustand wird das Kennwort angefordert, wenn diese Option aktiviert wurde. Aktivieren Sie das Kontrollkästchen, wenn während des Ruhezustands andere Personen Zugang zum Computer bekommen könnten.
•
VORGÄNGE: Hier können Sie steuern, welche Vorgänge beim Schließen des Deckels und beim Drücken des Einschalttasters ausgelöst werden.
Erweiterte Optionen
Abbildung 23.39: Weitere Optionen zum Abschaltverhalten
Wenn Sie den Computer als Server betreiben oder Programme laufen Ruhezustand haben, die nicht ACPI-fähig sind und im Hintergrund Berechnungen anstellen, sollten Sie den Ruhezustand generell deaktivieren. Nach der ACPI-Definition sind entsprechende Programme in der Lage, die ACPI-Funktionen zu steuern, also beispielsweise den Prozessor nied-
940
23 Mobiler Einsatz riger zu takten, wenn weniger Rechenleistung benötigt wird. Derzeit gibt es kaum Programme, die dies unterstützen.
Abbildung 23.40: Optionen für den Ruhezustand
Auslösen von Hand Wenn Ihr Computer nicht über spezielle Tasten verfügt, die ACPI-
Funktionen auslösen, können Sie alle Energiesparzustände auch über den Beenden-Dialog erreichen. Die Optionen Ruhezustand ist dort nur zu sehen, wenn sie in den Energieoptionen aktiviert wurde. Abbildung 23.41: Energioptionen im Beenden-Menü
23.4 Internationaler Einsatz
23.4 Internationaler Einsatz Windows 2000 erlaubt dem Anwender, beliebig viele Wählverbindungen zu konfigurieren. Bereist ein mobiler Benutzer das Ausland, dann hilft die in den Basis-Verbindungseinstellungen vorhandene Länder- und Vorwahlliste, die richtigen Rufnummern einzugeben. Die Ländereinstellungen in Windows 2000 und darin besonders die Tastatureinstellungen unterstützen zudem die Verwendung eines mobilen Computers auf der ganzen Welt. Der Benutzer kann gleich mehrere Tastatureinstellungen und die damit verknüpften Tastaturbelegungen laden, um beispielsweise externe Tastaturen mit fremder Tastenbelegung mit seinem Notebook zu benutzen. Wer die multilinguale Version von Windows 2000 einsetzt, kann sich auf Wunsch sogar die Oberfläche des Betriebssystems – also Menüs, Fensterbezeichnungen, Schaltflächen etc. – in der jeweiligen Landessprache darstellen lassen. Das ist natürlich nicht unbedingt ein Feature für mobile Benutzer, unterstützt aber die Nutzung eines Computers durch mehrere Benutzer in der jeweiligen Muttersprache. Ohne multilinguale Version ist es dem Benutzer mit Windows 2000 immerhin möglich, Dokumente in verschiedenen Sprachen mit den jeweiligen landestypischen Zeichensätzen zu verfassen oder zu lesen. Auch die dafür erforderliche Konfiguration führt der Anwender in den Ländereinstellungen des Betriebssystems über die Systemsteuerung durch. Die Einstellungen der länderspezifischen Daten werden nachfolgend vorgestellt.
23.4.1 Ländereinstellungen Die Ländereinstellungen nehmen Sie mit dem Symbol LÄNDEREINSTELLUNGEN in der Systemsteuerung vor. Beachten Sie aber, dass einige Programme, darunter auch Office 2000, eine eigene Sprachverwaltung haben und diese Einstellungen nicht reflektieren. Andere Software nutzt dagegen die Spracheinstellungen des Betriebssystems.
941
942 Abbildung 23.42: Einstellungen für Gebietsschema und Wörterbuch
Abbildung 23.43: Einstellungen für die Darstellung von Zahlen
23 Mobiler Einsatz
23.4 Internationaler Einsatz
943 Abbildung 23.44: Währungseinstellungen
Abbildung 23.45: Einstellungen für Zeitformate
944
23 Mobiler Einsatz
Abbildung 23.46: Einstellungen des Datumformats
23.4.2 Eingabeoptionen Für die tägliche Arbeit ist es wichtiger, das Eingabegerät an Ihre Bedürfnisse anpassen zu können. Wenn Sie mit Ihrem Notebook in einem andere Land sind und eine dort vorhandene Tastatur nutzen, ist eine Umschaltung des Tastaturlayouts sinnvoll. Standardmäßig ist in Windows 2000 ein deutsches und ein englisches Gebietsschema installiert (vorausgesetzt, Sie haben ein deutsches Windows installiert). Die installierten Gebietsschemen werden auf der Registerkarte EINGABE angezeigt. Abbildung 23.47: Installierte Gebietsschemen
23.5 Hardwarespezifische Einstellungen
945
Die Umschaltung zwischen den installierten Gebietsschemen erfolgt Umschaltung per mit der Tastenkombination Linke Alt-Taste + Umschalt-Taste. Wenn Tastatur Sie die Anzeige in der Taskleiste aktivieren, können Sie das aktuelle Gebietsschema jederzeit sehen. Ein Klick auf die Anzeige in der Taskleiste öffnet ein kleines Menü, das die Auswahl ebenso erlaubt. Leider fehlt die sonst verfügbare Doppelklickfunktion in der Taskleiste. Der einzige Weg zu den Länderoptionen führt über die Systemsteuerung. Abbildung 23.48: Auswahl über die Taskleiste Möglicherweise ist die Umschaltmöglichkeit lästig, wenn bei einem Deaktivieren eines stationären System nur mit einer deutschen Tastatur gearbeitet wer- Gebietsschemas den kann. Wählen Sie die Option ENGLISCH aus und klicken dann auf ENTFERNEN. Die Auswahl der Umschalttaste und die Anzeige in der Taskleiste werden nun automatisch deaktiviert. Sie können andere Gebietsschemen jederzeit wieder hinzufügen. Auch im Anmeldedialog sind die Auswahloptionen des Gebietssche- Auswahl des mas verfügbar. Sie können hier die Umschaltung mit der gewählten Gebietsschemas Tastenkombination vor dem Einloggen vornehmen. Die Mausbedie- im Anmeldedialog nung funktioniert leider nicht. Die Anzeige entspricht dem Symbol in der Taskleiste.
23.5 Hardwarespezifische Einstellungen Notebooks werden unter Umständen mit verschiedenen Hardwarebedingungen betrieben. Das durch Windows 2000 durchgeführte Plug&Play kann ausgesprochen lästig sein, wenn nur eine Dockingstation oder ein anderer Drucker angeschlossen wird. Die Lösung erfolgt durch verschiedene Hardwareprofile.
23.5.1 Hardwareprofile Ein Hardwareprofil bestimmt, welche Treiber für angeschlossene Ge- Was ist ein räte geladen werden. Sie können für jede Situation das passende Hardwareprofil? Hardwareprofil erstellen und so einen schnelleren und sicheren Startvorgang ermöglichen. Die Auswahl der Hardwareprofile erfolgt vor dem Start von Windows – im Startmenü.
946
23 Mobiler Einsatz Erstellen eines Hardwareprofils Die Erstellung der Hardwareprofile erfolgt in der Systemsteuerung mit dem Programm SYSTEM. Wählen Sie auf der Registerkarte HARDWARE die Schaltfläche HARDWAREPROFILE. Sie können hier folgende Einstellungen vornehmen: •
Name des Profils einstellen
•
Neues Profil erzeugen
•
Profile löschen
•
Startverhalten des Computers einstellen
Abbildung 23.49: Startverhalten für Hardwareprofile
Umgang mit Dockingstationen Windows 2000 unterstützt Dockingstationen automatisch. Wenn eine Dockingstation erkannt wird, erstellt Windows ein zweites Hardwareprofil für den angedockten Zustand. Wird dieser Zustand nicht erkannt, können Sie das Profil auch von Hand erstellen oder das vorhandene Profil anpassen. Wählen Sie dazu das Profil aus, wie im Abschnitt Erstellen eines Hardwareprofils beschrieben. Klicken Sie auf die Schaltfläche Eigenschaften und stellen Sie die Bedingungen des Profils entsprechend der Hardware ein. Wenn die Docking-ID oder Seriennummer verfügbar ist, sollten Sie die Einstellungen nicht verändern. An- und Abdocken
Beim An- und Abdocken sind ein paar Regeln zu beachten, auch wenn der Hersteller des System »Hot-Docking« erlaubt. So müssen unbedingt beim Wechsel der Arbeitsposition – mit oder ohne Dockingstation – auf den Ruhezustand verzichten. Im Ruhezustand speichert Windows 2000 alle Systemzuständen in einer Datei ab. Beim Einschalten wird der alte Zustand wiederhergestellt, unabhängig von den aktuellen Bedingungen und ohne Auswahlmöglichkeit über das Startmenü. Haben sich in der Zwischenzeit Änderungen an der Hardware ergeben, wird Windows zwar mit dem Start des HardwareAssistenten vergleichsweise vernünftig reagieren; lästig ist das jedoch auf jeden Fall.
23.6 Anschluss von Windows CE
947 Abbildung 23.50: Hardwareprofil für Dockingstation einrichten
Wenn Sie einen ACPI-kompatiblen Computer mit Dockingstation haben, finden Sie im Menü START den Befehl PC TRENNEN. Damit wird die Trennung von der Dockingstation sauber vollzogen. Die Funktion des »Hot-Docking« bezieht sich lediglich darauf, dass Sie die Stromzufuhr nicht unterbrechen müssen. Diese Verfahrensweise schließt auch aus, dass Sie die Verbindung im Standby trennen – was Windows 2000 explizit nicht unterstützt. Wenn der Befehl PC TRENNEN nicht vorhanden ist, obwohl das System ACPI-konform ist und eine Dockingstation erkennt, wurde in einer Gruppenrichtlinie die Funktion ABDOCKEN deaktiviert.
23.6 Anschluss von Windows CE Um ein Handheld oder Palm-PC mit Windows CE anzuschließen, wird normalerweise die serielle Schnittstelle verwendet. Die Einrichtung ist nicht besonders umfangreich. Einige Besonderheiten sind aber zu beachten.
23.6.1 Vorbereiten der Schnittstellen des CE-Gerätes Die serielle Schnittstelle (COM) steht normalerweise auf jedem Computer zur Verfügung. Die Einstellungen in der Hardware sind bei der
948
23 Mobiler Einsatz Installation erfolgt. Das eigentliche Problem bei der Kopplung zweier Geräte ist die erforderliche Baudrate. Serielle Schnittstellen können sich nicht automatisch auf eine gemeinsame Geschwindigkeit einigen, wie dies Faxgeräte beispielsweise tun. Sie müssen selbst dafür sorgen, dass die nötigen Einstellungen übereinstimmen.
Übertragungsrate Sie sollten zuerst erkunden, welche höchste Übertragungsrate das CEGerät hat. Sie finden diese Einstellung in der Systemsteuerung und DATENÜBERTRAGUNG. Abbildung 23.51: Datenübertragung unter Windows CE
Über die Schaltfläche ÄNDERN können Sie eine Liste von zulässigen Geschwindigkeiten erreichen. Abbildung 23.52: Ändern der Datenübertragung
Authentifizierung Falls Sie die Verbindung mit einem Benutzernamen schützen möchten, müssen Sie dies in der Netzwerkkonfiguration des CE-Gerätes einstellen. Erfahrungsgemäß funktioniert die Verbindung zuverlässiger, wenn die Anmeldung nicht anonym erfolgt. Dies kann aber von Gerät zu Gerät verschieden sein. Abbildung 23.53: Einstellung der Benutzeridentifikation
23.6 Anschluss von Windows CE
949
23.6.2 Einstellen der Schnittstellen Der nächste Schritt besteht in der Überprüfung der Schnittstellen. Im Gerätemanager (SYSTEMSTEUERUNG | SYSTEM | HARDWARE | GERÄTEMANAGER) können Sie sich über die verfügbaren Ports informieren. Doppelklicken Sie auf die Schnittstelle und dann auf ANSCHLUSSEINSTELLUNGEN. Dort sollten Sie folgende Daten einstellen: •
Bits pro Sekunde: 115200
•
Datenbits: 8
•
Parität: Keine
•
Stoppbits: 1
•
Flussteuerung: Keine Abbildung 23.54: Einstellung des COM-Ports auf 115 KBaud
Jetzt stellen Sie die Kommunikationsports ein. In dieser Einstellung werden die physischen Ports des Gerätemanagers zu logischen Ports. Normalerweise erwartet Windows ein Modem an einem seriellen Port. Die Modeminstallation ist bei einer direkten Verbindung aber nicht interessant. Trotzdem erreichen Sie die Einstellungen unter TELEFONUND MODEMOPTIONEN in der Systemsteuerung. Als eines der Standardmodems wird KOMMUNIKATIONSKABEL ZWISCHEN ZWEI COMPUTERN ausgewählt. Über die SCHALTFLÄCHE Eigenschaften verbinden Sie dieses Gerät mit dem COM-Port und stellen die Übertra-
950
23 Mobiler Einsatz gungsleistung ebenso wie die Schnittstelle ein, im Beispiel also auf 115.200 Baud. Alle anderen Optionen sind deaktiviert, da sie für ein Kabel nicht zutreffen.
Abbildung 23.55: Einrichtung des Kommunikationskabels als »Modem«
23.6.3 Verbindung einrichten Wenn Sie mit Active Sync arbeiten, werden die notwendigen Einstellungen bei der Installation vorgenommen. Funktioniert es dennoch nicht oder wollen Sie die Einrichtung selbst vornehmen, bauen Sie eine entsprechenden Verbindung im Ordner NETZWERK- UND DFÜVERBINDUNGEN auf. Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie den Ordner NETZWERK- UND DFÜ-VERBINDUNGEN 2. Starten Sie den Assistenten NEUE VERBINDUNG 3. Wählen Sie die Option Eingehende Verbindungen akzeptieren. 4. Wählen Sie nun das Verbindungskabel als Medium aus 5. Lassen Sie keine VIRTUELLEN PRIVATEN VERBINDUNGEN zu 6. Wählen Sie die Benutzernamen aus, für die die Verbindung zulässig ist. Diese Angabe muss mit dem Eintrag in Abbildung 23.53 übereinstimmen. 7. Wählen Sie die Protokolle für die Verbindung aus. Normalerweise können Sie die Standardeinstellungen belassen.
23.6 Anschluss von Windows CE
951
8. Vergeben Sie der Verbindung einen Namen. Abbildung 23.56: Auswahl des Assistenten für direkte Verbindungen
Die Einstellungen können Sie später ändern, in dem Sie den EIGENSCHAFTEN-Dialog für die so erstellte Verbindung aufrufen. Das Symbol EINGEHENDE VERBINDUNGEN (das ist der vom Assistenten standardmäßig vorgeschlagene Name) wird dazu mit der rechten Maustaste angeklickt. Wenn die Verbindung erfolgreich hergestellt wurde, und eine Authentifizierung erfolgte, wird das Symbol farbig dargestellt und erhält den Namen des Benutzers. Ist die Verbindung anonym, wird als Name angezeigt, wie es in der Überschrift des Dialogs in Abbildung 23.57 zu sehen ist. Wurde die Anzeige erlaubt, können Sie sich auch in der Taskleiste im System-Tray über den Zustand der seriellen Verbindung informieren. Falls bereits eine LAN- oder Internet-Verbindung besteht, wird diese zusätzlich angezeigt.
952
23 Mobiler Einsatz Lassen Sie den Mauszeiger über dem Symbol schweben, um mehr über eine Verbindung zu erfahren.
Abbildung 23.57: Hier ändern Sie die Verbindungsgeräte
Abbildung 23.58: Legen Sie hier fest, welche Benutzer sich mit dem Anschluss verbinden dürfen
23.6 Anschluss von Windows CE
953
Es ist empfehlenswert, für CE-Benutzer ein eigenes Benutzerkonto anzulegen. Im Dialog in Abbildung 23.58 können Sie auch die Anmeldung erzwingen. Der Assistent bietet diese Option nicht. Abbildung 23.59: Protokolle für die eingehende Verbindung
Die übrigen Einstellungen befassen sich mit der Einwahl per Modem und sind beim Kommunikationskabel nicht zutreffend.
23.6 Anschluss von Windows CE
Kapitel 24 Systemwerkzeuge und Sicherheit
24.1 Datensicherung ......................................................957 24.2 Systeminformationen............................................968 24.3 Taskplaner...............................................................969 24.4 Dateiverschlüsselung............................................971 24.5 Sicherheitsmaßnahmen für Anwender .............977
955
24.1 Datensicherung
957
24 Systemwerkzeuge und Sicherheit Die Systemwerkzeuge sind sowohl bei Alltagsaufgaben als auch bei Fehlern hilfreich. Sie sind zwar kein Ersatz für kommerzielle Software, reichen aber privaten Anwendern aus. Sie können damit die ersten Tage überbrücken, bis das Update für die entsprechende Software eintrifft.
24.1 Datensicherung Datensicherung ist nicht nur Sache des Administrators. Jeder Benutzer ist für seine Daten mit verantwortlich. Das Sicherungsprogramm hilft bei der Erledigung der täglichen Datensicherung.
24.1.1 Sicherung Die Datensicherung besteht nicht nur aus Hard- und Software, sondern auch aus einer guten Sicherungsstrategie. Auf diese Grundlagen geht der folgende Abschnitt ein.
Sicherungsstrategien Beim Erstellen einer passenden Sicherungsstrategie muss man verschiedene Punkte beachten: •
Chronologische Datensicherungen oder Arbeitskopien? Manche verlas- Chronologische sen sich auf Arbeitskopien – aktuelle, vollständige Duplikate ihrer Datensicherungen Festplatten (beispielsweise auf anderen Festplatten oder Wechsel- oder Arbeitskopien platten-Medien). Das ist einfach, aber nicht ideal. Was passiert, wenn eine wichtige Datei beschädigt ist, und Sie es nicht gleich bemerken? Wenn Sie nur eine Arbeitskopie haben, wird die Datensicherung wahrscheinlich ebenfalls nur die beschädigte Datei enthalten. Gehen Sie dagegen chronologisch vor, ohne die vorhergehenden Dateiversionen zu löschen, können Sie bis zur neuesten, noch nicht beschädigten Version der Datei zurückgehen.
•
Speichermedien mit Doppelnutzen: Sicherungen von Festplatten auf JAZ-Medien sind sehr beliebt, weil man das JAZ-Laufwerk auch noch für andere Aufgaben nutzen kann. Das funktioniert, ist aber aus zwei Gründen nicht empfehlen: Erstens ist da immer die Versuchung, die Speichermedien für das ganz normale Speichern von Daten zu benutzen, wenn man schnell Speicherplatz braucht. Damit ist das Speichermedium aber nicht länger nur eine Sicherungskopie, sondern enthält ungesicherte Daten. Zweitens: Wer ein JAZ-
Keine Speichermedien mit Doppelnutzen verwenden
958
24 Systemwerkzeuge und Sicherheit Laufwerk hat, hat meist auch mehrere Medien, von denen einige ungesicherte Daten enthalten. Wie sollen die gesichert werden? Ein Band-Laufwerk, das nur für die Datensicherung da ist, ist deshalb die bessere Lösung.
Speicherkapazität der Medien beachten
•
Speicherkapazität der Medien: Bei Geräten zur Datensicherung ist zu überlegen, wie viele Daten es aufnehmen kann. Je kleiner die Kapazität eines Mediums, desto mehr Medien brauchen Sie, und das steigert die Kosten. Natürlich wird es auch schwieriger, ein unbeaufsichtigtes System zur Datensicherung einzurichten, je kleiner die Kapazität der Medien ist. Im Idealfall könnte man eine volle Datensicherung auf ein einziges Band machen, und dann auf ein zweites Medium monatelang immer nur die Dateien sichern, die sich geändert haben, bevor man den Satz um weitere Medien erweitern müsste.
Preis der Hardware
•
Preis der Hardware: Die meisten Benutzer schrecken vor dem Preis guter Sicherungsgeräte zurück. Vor allem moderne DAT-Streamer sind schnell bei einigen Tausend Mark mit Sicherungsmedien. Wer Computer geschäftlich nutzt, kann aber im Falle eines Totalverlusts – beispielsweise bei Diebstahl der kompletten Anlage, sogar seine Existenz aufs Spiel setzen.
Langlebigkeit der Geräte und des Medienformats
•
Langlebigkeit der Geräte und des Medienformats: Wenn es um Geräte zur Datensicherung geht, ist Konformität oberstes Gebot. Niemand hat gerne die Datensicherung von Jahren und Archive in einem Format, das bei einem Defekt des entsprechenden Geräts nicht mehr zugänglich ist. Exoten sind hier fehl am Platz, auch wenn Sie noch so preiswert sind.
Preis der Speichermedien
•
Preis der Speichermedien: Sicherheit kostet Geld. Beziehen Sie den Preis des Laufwerks und der Medien in Ihre Überlegungen ein. DAT-Streamer sind teuer, aber DAT-Bänder speichern viele GByte für wenig Geld. Rechnen Sie in Mark pro MB, dann haben Sie einen guten Vergleichswert.
Zuverlässigkeit der Medien
•
Zuverlässigkeit der Medien: Nicht alle Speichermedien sind gleich und eine kaputte Datensicherung ist noch schlimmer als gar keine Datensicherung, denn möglicherweise zerstören Sie beim Rücksichern vorher noch intakte Daten unbewusst. Speichermedien sollten heutzutage mindestens einige Jahre halten – hier gibt es bei keinem Medium Probleme. Wichtig ist es, wie Sie ihre Medien behandeln. Sie sollten an einem kühlen, trockenen, sauberen Ort aufbewahrt werden, nur in sauberen Laufwerken eingesetzt werden und generell vorsichtig behandelt werden.
Überprüfung der Datensicherung
•
Überprüfung der Datensicherung: Wie stellen Sie fest, dass eines Ihrer Bänder kaputt ist oder ob Ihre Datensicherung die richtigen Daten enthält? Überprüfung ist notwendig um sicherzustellen, dass alles
24.1 Datensicherung
959
in Ordnung ist. Holen Sie immer wieder ein paar Dateien aus einer Sicherung zurück, um deren Integrität zu prüfen. Sie können auch die Überprüfungsfunktion von Windows 2000 Sicherung einschalten, wenn sie Bänder zur Datensicherung verwenden. Der Sicherungsvorgang dauert auf diese Weise zwar viel länger, aber es wird sicherer. •
Redundanz: Eine der besten Methoden, um die Gefahr durch defek- Redundanz te Medien zu minimieren, ist der Einsatz mehrerer Medien bzw. Medien-Sätze. Wenn dann eines davon ausfällt, kann man auf ein anderes zurückgreifen. Selbst wenn das andere Medium schon ein wenig älter ist: alte Daten sind immer noch besser als gar keine Daten. Für wöchentlichen Datensicherungen benutzen Sie drei verschiedene Sätze Bänder, wobei zwei immer wieder überspielt werden. Wenn der dritte Satz eine bestimmte Anzahl an Bändern erreicht hat, archivieren Sie ihn und fangen neu an.
•
Automation: Oft liegt das Problem der Datensicherung vor allem Automation darin begründet, dass es eine langweilige Aufgabe ist, die man regelmäßig erledigen muss. Nutzen Sie deshalb den Taskplaner oder die eingebaute Planungsfunktion des Sicherungsprogramms für die Datensicherung. Diese Automatik-Funktionen sind dringend zu empfehlen. Sie werden sich schwarz ärgern, wenn Sie eine Menge Arbeit verlieren, weil Sie die Datensicherung immer wieder vor sich hergeschoben haben.
•
Aufbewahrungsort: Denken Sie daran was passiert, wenn Ihr Büro Aufbewahrungsort von Einbrechern verwüstet wird. Wie ernst Sie das Thema der Aufbewahrung Ihrer Speichermedien außerhalb des Arbeitsplatzes nehmen, hängt davon ab, wie wichtig Ihre Daten sind. Wenn Sie in einem Büro arbeiten, können Sie problemlos jede Woche eine Sicherungskopie mit nach Hause nehmen und eine Sicherung Ihrer Daten von zu Hause mit ins Büro nehmen. Wenn Sie zu Hause arbeiten, sollten Sie darüber nachdenken, Ihre Sicherung einem Freund anzuvertrauen, den Sie regelmäßig sehen. Wenn Sie Ihre Medien am Arbeitsplatz aufbewahren, sollten Sie die Anschaffung eines kleinen feuerfesten Safes in Erwägung ziehen. Sie sollten aber darauf achten, dass er zum Schutz magnetischer Medien geeignet ist. Bei einem Brand können Temperaturen, die nicht ausreichen würden, um Papier zu entzünden (das versteht man im allgemeinen unter »feuerfest«), ein DAT-Band durchaus zerstören.
•
Archivierung: Meistens geht man davon aus, Datensicherung sei Archivierung dazu da, Daten zu schützen, an denen man gerade arbeitet. Eine gute Sicherungsstrategie kann jedoch auch alte Daten schützen, die man gerne aufbewahren möchte, aber nicht unbedingt auf seiner Festplatte haben will (wie z. B. Grafiken, Scans, Videos). Im Idealfall sollte ein Sicherungssystem auch wichtige, sich nicht mehr än-
960
24 Systemwerkzeuge und Sicherheit dernde Dateien archivieren können. Oft wird die tägliche Sicherungen auf DAT-Bänder durchgeführt, aber jedes Quartal zusätzlich auf CD-ROM gesichert.
24.1.2 Das Sicherungsprogramm Die Datensicherung kann von Hand erfolgen oder mit dem Taskplaner automatisiert werden. In jedem Fall lohnt es sich, einen Sicherungsplan zu erstellen. Als Ziel einer Datensicherung kann neben einem lokalen Bandlaufwerk auch ein Netzwerklaufwerk oder – bei geringen Volumen – eine Diskette dienen. Soweit durch den Treiber ständige Schreibbereitschaft gesichert werden kann, ist auch ein CDBrenner ein akzeptables Sicherungsmedium. Starten Sie die Datensicherung unter START | PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME | SICHERUNG.
Eine Sicherung von Hand starten Zuerst wählen Sie die zu sichernden Dateien im Verzeichnisbaum aus. Sie können ganze Zweige zusammen sichern oder Teile daraus auswählen. Graue Häkchen zeigen an, dass der Zweig nur teilweise gesichert wird, blaue Häkchen sind zu sehen, wenn alle enthaltenen Objekte gesichert werden. Wählen Sie dann das Sicherungsziel (Sicherungsgerät) und bei Dateisicherung den Pfad – dieser kann auch im Netzwerk liegen.
24.1 Datensicherung
961
Statt viele Bandlaufwerke einzusetzen, sichern Sie lokale Stationen täglich auf den Server und sichern die Daten dort noch ein Mal mit einem großen DAT-Streamer. Abbildung 24.1: Auswahl von Dateien für eine Sicherung
Im nächsten Schritt erfassen Sie die Informationen für den Sicherungsauftrag. Diese Angaben benötigen Sie bei der eventuell notwendigen Rücksicherung der Daten. Abbildung 24.2: Informationen zum Sicherungsauftrag
Mit den Schaltflächen ZEITPLAN und ERWEITERT werden weitere Einstellungen vorgenommen, die nachfolgend beschrieben werden.
24.1.3 Sicherungsoptionen Mit den Sicherungsoptionen legen Sie fest, nach welchem Schema und Zeitplan die Sicherungen erfolgen.
962
24 Systemwerkzeuge und Sicherheit Sicherung nach Zeitplan Die Sicherung nach Zeitplan ist nur zu empfehlen, wenn das Sicherungsmedium tatsächlich zur Verfügung steht. Bei Bandlaufwerken müssen Sie sicher stellen, dass ein Medium eingelegt ist. Bei der Sicherung auf einem Server muss die Netzwerkverbindung permanent bestehen. Die Zeitplanoptionen erreichen Sie aus dem Sicherungsdialog heraus (siehe Abbildung 24.2).
Abbildung 24.3: Zeitplan einstellen
Sie können einen oder mehrere Zeitpläne verwalten und daraus komplexe Sicherungsschemata entwickeln. Mehr zur Zeitplanung finden Sie auch in Abschnitt 24.3 Taskplaner ab Seite 969.
Sicherungsoptionen Über EXTRAS | OPTIONEN haben Sie Zugang zu weiteren Sicherungsoptionen. Die Optionen werden nachfolgend vorgestellt: Allgemein
•
AUSWAHLINFORMATIONEN VOR DEM SICHERN UND WIEDERHERSTELDie Anzahl der Dateien und deren Umfang wird vor dem Sicherungs- und Wiederherstellungsvorgang berechnet. Dies ermöglicht die Darstellung der Fortschrittanzeige, wie in der folgenden Abbildung gezeigt. LEN.
24.1 Datensicherung
963 Abbildung 24.4: Status eines Sicherungsvorgangs
•
MEDIENKATALOGE VERWENDEN: Medienkataloge verwalten Informationen über den Zugriff auf Wechselmedien und Beschleunigen den Zugriff. Wenn die Sicherung nur auf Bändern erfolgt und das Band mit dem Katalog nicht verfügbar ist, kann die Option störend sein.
•
DATEN STANDARDMÄßIG NACH SICHERUNG BESTÄTIGEN: Aktiviert die Prüffunktion nach dem Sichern. Dabei wird die Sicherung erneut gelesen und mit den ursprünglichen Daten verglichen. Der Einsatz ist nur auf Bandlaufwerken sinnvoll.
•
INHALT VON BEREITGESTELLTEN LAUFWERKEN SICHERN: Bereitgestellte Laufwerke sind Namen für Pfade auf NTFS-Laufwerken. Dies kann der Administrator in der Datenträgerverwaltung einrichten, um Nutzern den Zugriff zu vereinfachen. Aktivieren Sie dieses Kontrollkästchen, um auch die Bereitstellungsdaten zu sichern. Ohne diese Option werden die Daten auch gesichert, aber unter dem ursprünglichen vollständigen physikalischen Pfad.
•
... WECHSELMEDIENDIENST NICHT AUSGEFÜHRT WIRD: Eine Warnung wird angezeigt, wenn der Wechselmediendienst nicht ausgeführt wird. Deaktivieren Sie die Option, wenn Sie Sicherungsprozesse für unbedarfte Benutzer einrichten.
•
... KEINE KOMPATIBLEN IMPORTDATEIEN VERFÜGBAR SIND: Zeigt Meldungen an, wenn mit Wechselmedien (Bänder, Disketten) gearbeitet wird.
•
WARNUNG ANZEIGEN, WENN DEM WECHSELMEDIENDIENST NEUE MEDIEN HINZUGEFÜGT WURDEN: Informiert den Benutzer über neue Medien.
964
24 Systemwerkzeuge und Sicherheit •
Wiederherstellen
Sicherungsart
Sicherungsprotokoll
Dateien ausschließen
NEUE MEDIEN IMMER IN SICHERUNGSMEDIENPOOL VERSCHIEBEN: Neue Wechselmedien (Wechselplatten und Bänder) werden vom Wechselmediendienst erkannt und im Sicherungsmedienpool zur Verfügung gestellt, wenn dieses Option aktiviert ist. Wenn Sie das Wechsellaufwerk auch anderweitig nutzen, sollten Sie die Option deaktivieren.
Auf der Registerkarte WIEDERHERSTELLEN können Sie Optionen zur Rücksicherung einstellen: •
DATEI NICHT ERSETZEN: Ist die Datei bei der Rücksicherung bereits vorhanden, wird sie nicht ersetzt. Diese Optionen sollte normalerweise aktiviert sein, da sie ansonsten neuere Dateien mit alten Sicherungen überschreiben.
•
DATEI NUR ERSETZEN WENN SIE ÄLTER neuere Dateien erhalten bleiben.
•
DATEI IMMER ERSETZEN: Damit werden vorhandene Dateien immer von Sicherungen überschrieben.
IST:
Diese Option sichert, das
Hier legen Sie die primäre Sicherungsart fest: •
NORMAL: Hiermit werden die ausgewählten Dateien gesichert und das Attribut GESICHERT wird gesetzt.
•
KOPIEREN: Hiermit werden die ausgewählten Dateien gesichert und das Attribut GESICHERT wird nicht gesetzt.
•
DIFFERENZIELL: Sicher Dateien nur, wenn sie geändert wurden oder das Attribut GESICHERT nicht gesetzt ist. Setzt das Sicherungsattribut nicht.
•
INKREMENTELL: Sicher Dateien nur, wenn sie geändert wurden oder das Attribut GESICHERT nicht gesetzt ist. Setzt das Sicherungsattribut.
•
TÄGLICH: Sichert Dateien, die am Tag der Sicherung geändert wurden, markiert sie aber nicht als gesichert.
Das Sicherungsprotokoll dient der Überwachung automatisch ablaufender Sicherungen. •
DETAIL: Protokolliert alle Sicherungsdetails, auch die Namen der Dateien und Ordner.
•
ZUSAMMENFASSUNG: Protokolliert nur Sicherungsinformationen wie Beginn, Ende und Status der Sicherung.
•
KEINE: Unterbindet die Protokollierung.
Manche Dateien sollten von der Sicherung ausgeschlossen werden, entweder weil sie nur temporär existieren oder von Systemprozessen
24.1 Datensicherung
965
genutzt werden. Einige solche Dateien sind schon vordefiniert. Hinzufügen sollten Sie beispielsweise temporäre Dateien, die Programme wie MS Word anlegen (meist enden diese auf *.TMP). Abbildung 24.5: Ausschluss temporärer Dateien
24.1.4 Wiederherstellung Alle Sicherungen, die mit dem Windows 2000-Sicherungsprogramm erfolgt sind, werden bei der Wiederherstellung angeboten. Gehen Sie zum Wiederherstellen auf die Registerkarte WIEDERHERSTELLUNG und wählen Sie KOMPLETTE SICHERUNGEN (rechte Liste) oder einzelne Dateien aus der linken Liste aus. Mit der Drop-Down-Liste DATEIEN WIEDERHERSTELLEN IN bestimmen Sie das Ziel der Rücksicherung.
966
24 Systemwerkzeuge und Sicherheit
Abbildung 24.6: Wiederherstellung von gesicherten Daten
Dateisystemspezifische Rechte Wenn Sie Daten von einem NTFS-Datenträger auf ein FAT-Medium sichern, gehen die NTFS-spezifischen Attribute verloren. Das betrifft insbesondere folgende kritische Vorgänge: •
Mit EFS verschlüsselte Daten werden durch die Sicherung entschlüsselt.
•
Komprimierte Daten werden auf die ursprüngliche Größe expandiert.
•
Spezielle Berechtigungen gehen verloren.
Der umgekehrter Fall – Sicherung einer FAT-Festplatte auf einem NTFS-Medium – ist dagegen unkritisch, denn dort gibt es keine Rechte, die verloren gehen könnten.
24.1.5 Notfalldiskette Das Anlegen der Notfalldiskette ist Aufgabe des Administrators und wurde bereits im Abschnitt Erstellen der Notfalldiskette auf Seite 766 beschrieben.
24.1 Datensicherung
967
24.1.6 Zeichentabelle Sie finden die Zeichentabelle unter START | PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME | ZEICHENTABELLE. Abbildung 24.7: Zeichentabelle mit Untergruppen
Optionen der Zeichentabelle •
SCHRIFTART: Wählen Sie hier den Font, aus dem Zeichen ausgewählt werden sollen.
•
ZEICHENAUSWAHL: In dieses Fenster übernehmen Sie Zeichen mit AUSWÄHLEN, KOPIEREN übergibt sie dann an die Zwischenablage.
Sie können Zeichen auch mit der Maus auswählen und per Drag&Drop in eine Anwendung ziehen. •
ERWEITERTE ANSICHT: Hier werden weitere Optionen eingeblendet: -
ZEICHENSATZ: Wählen Sie hier, ob ein lokalisierter Teil der ASCII-Tabelle oder der Unicode-Zeichensatz angezeigt wird.
-
GRUPPIEREN NACH: Unicode-Zeichensätzen sind in Gruppen geteilt, die Sie direkt auswählen können.
968
24 Systemwerkzeuge und Sicherheit -
SUCHEN NACH ermittelt Zeichen anhand ihres Namens. Für das €-Symbol geben Sie beispielsweise »Euro« ein.
24.2 Systeminformationen Informationen über die Systemkonfiguration
Das Dienstprogramm Systeminformationen sammelt Informationen über die Systemkonfiguration und zeigt diese an. Der Supportingenieur benötigt präzise Informationen über Ihren Computer, wenn er mit der Problembehandlung für die Konfiguration Ihres Systems beginnt. Verwenden Sie Systeminformationen, um rasch die Informationen aufzufinden, die zur Behebung des Problems erforderlich sind. Sie erhalten in Systeminformationen einen umfassenden Übersicht über die Hardware, die Systemkomponenten und die Softwareumgebung Ihres Systems. Die angezeigten Systeminformationen gliedern sich in eine Systemübersicht und drei übergeordnete Kategorien, die den Knoten Hardwareressourcen, Komponenten und Softwareumgebung in der Konsolenstruktur entsprechen. •
Unter SYSTEMÜBERSICHT werden allgemeine Informationen über Ihren Computer und die installierte Betriebssystemversion von Windows 2000 angezeigt. Diese Übersicht enthält den Namen und Typ Ihres Systems, den Namen des Windowssystemverzeichnisses, Ländereinstellungen und eine Statistik über den realen und den virtuellen Speicher.
•
HARDWARERESSOURCEN. Hier werden die hardwarespezifischen Einstellungen angezeigt, das heißt DMA, IRQs, E/A-Adressen und Speicheradressen. Im Knoten KONFLIKTE/FREIGABE werden Geräte angegeben, die gemeinsam Ressourcen nutzen oder einen Konflikt verursachen. Dies kann beim Ermitteln der Ursache eines Geräteproblems hilfreich sein.
•
Unter KOMPONENTEN werden Informationen über die WindowsKonfiguration angezeigt. Hiermit kann der Status der Gerätetreiber und der Netzwerk- sowie Multimediasoftware ermittelt werden. Darüber hinaus erhalten Sie ein ausführliches Protokoll der Änderungen, die im Laufe der Zeit an den Komponenten vorgenommen worden sind.
•
Im Knoten SOFTWAREUMGEBUNG wird eine Momentaufnahme der Software angezeigt, die gegenwärtig im Computerspeicher geladen ist. Nutzen Sie diese Informationen, um festzustellen, ob ein Prozess noch ausgeführt wird, oder um Versionsinformationen zu prüfen.
24.3 Taskplaner Andere Anwendungsprogramme fügen möglicherweise den Systeminformationen Knoten hinzu, mit denen anwendungsspezifische Informationen angezeigt werden.
24.3 Taskplaner Der Taskplaner steht unter dem etwas umständlichen Namen GEPLANTE TASKS zur Verfügung, um Aufgaben zu automatisieren.
24.3.1 Überblick Sie finden den Taskplaner unter START | PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME | GEPLANTE TASKS. Einige Programme, wie das Sicherungsprogramm, greifen auf den Taskplaner zu. Die dort vorgenommen Einstellungen sind hier sichtbar. Der Taskplaner kann: •
Programme zu einer bestimmten Zeit starten
•
Programme beim Start oder Herunterfahren des Computers ausführen
•
Aufgaben zu einem späteren Zeitpunkt oder regelmäßig ausführen
Wenn Ihr Computer ACPI-kompatibel ist, wird er auch aus dem Ruhezustand oder Standbybetrieb geweckt, wenn eine Aufgabe auszuführen ist.
24.3.2 Taskplaner im Detail Wenn Sie den Taskplaner starten, sehen Sie einen Arbeitsplatzdialog, der um einige Funktionen erweitert wurde. Wenn noch keine Aufgaben geplant wurden, steht nur das Symbol GEPLANTEN TASK HINZUFÜGEN zur Verfügung. Diese Option startet einen Assistenten, der folgende Angaben verlangt: •
Auswahl des Programms, das die Aufgabe ausführt
•
Auswahl der Ausführungszeit (Zeitpunkt, Einmalig oder beim Starten bzw. Herunterfahren)
•
Benutzername und Kennwort, das ggf. zur Ausführung benötigt wird
Anschließend erscheinen die Aufgaben in der Übersicht. Ist die Aufgabe aktiviert, wird dem Programmsymbol eine Uhr hinzugefügt, andernfalls ein weißes Kreuz.
969
970
24 Systemwerkzeuge und Sicherheit Eigenschaften eines Tasks Über das Kontextmenü oder DATEI | EIGENSCHAFTEN können Sie nun weitere Einstellungen vornehmen.
Tasks
Auf der Registerkarte TASKS stellen Sie Namen, Pfad zur ausführbaren Datei und Zugriffsbedingungen ein. Hier kann ein Task auch deaktiviert werden.
Zeitplan
Auf der Registerkarte ZEITPLAN werden die Ausführungstermine eingerichtet. Folgende Ausführungsoptionen stehen zur Verfügung:
Einstellungen
•
TÄGLICH: Hier ist die Auswahl der Zeit möglich
•
WÖCHENTLICH: Hier können Sie den Rhythmus auswählen (jede Woche, alle zwei Wochen usw.) und die Wochentage (einen, alle oder bestimmte).
•
EINMALIG: Legen Sie Datum und Uhrzeit fest.
•
BEIM SYSTEMSTART: Die Aufgabe wird beim Systemstart ausgeführt.
•
BEI ANMELDUNG: Die Aufgabe wird beim Anmelden ausgeführt.
•
IM LEERLAUF: Die Aufgabe startet, wenn der Computer eine Zeit lang nicht in Benutzung ist.
Auf der Registerkarte EINSTELLUNGEN finden Sie folgende Optionen: •
Abbildung 24.8: Optimale Einstellung für den Akkubetrieb
VERHALTEN AM ENDE DES TASKS: -
TASK LÖSCHEN.... Wenn der Task nicht erneut geplant ist, wird er gelöscht.
-
TASK BEENDEN.... Legt eine maximale Laufzeit des Tasks fest.
•
LEERLAUFVERHALTEN: Viele Aufgabe, wie beispielsweise der Indizierungsdienst, nutzt die Zeit, wo am Computern nicht gearbeitet wird. Auch das Verhalten bei erneuter Benutzung wird hier eingestellt.
•
ENERGIEVERWALTUNG: Automatische Prozesse auf batteriebetriebenen Geräte sind immer kritisch. In dieser Option können Sie das Verhalten bei Batteriebetrieb einstellen. So müssen elektronische Geräte bei Start und Landung im Flugzeit ausgeschaltet sein. Wenn Ihr Notebook aber im Gepäck im Ruhezustand ist und eine Sicherung bei Akkubetrieb geplant wurde, startet es unkontrolliert.
24.4 Dateiverschlüsselung
971
Spezielle Zeitoptionen Jeder Task kann mehrere Ausführzeiten haben. Dazu aktivieren Sie Mehrfache das Kontrollkästchen MEHRFACHE ZEITPLÄNE ANZEIGEN auf der Regis- Zeitpläne terkarte ZEITPLAN. Mit der Schaltfläche NEU fügen Sie dann einen neuen Zeitplan hinzu. Die Ausführung wird addiert – mehrere verschachtelte Zeitpläne können also auch komplexe Ausführungsstrukturen bedienen. Sie können so lange Zeiträume im Voraus planen, auch unter Einbezug von Feiertagen usw. Über die Schaltfläche erweitert gelangen Sie zu weiteren Einstellun- Wiederholungsgen. Hier können Sie ein Start- und Enddatum und Wiederholungsop- optionen tionen festlegen. Intervalle sind in Stunden und Minuten einstellbar (längere Intervalle sind im Zeitplan selbst auszuwählen, siehe oben). Abbildung 24.9: Wiederholte Ausführungen
Insgesamt sind die Zeitplanoptionen so umfangreich, dass sich auch komplexe Ausführungspläne umsetzen lassen.
24.4 Dateiverschlüsselung Dateien auf einen Computer sind nicht sicher, wenn die gesamte Hardware in fremde Hände gerät. Das Sicherheitssystem ist nur solange hilfreich, wie kein Zugriff auf den Anschluss der Festplatte besteht. Gelingt der Diebstahl der Festplatte, kann ein anderes Windows-System mit Administratorrechten Zugriff auf die Daten erlangen.
972
24 Systemwerkzeuge und Sicherheit
24.4.1 Das verschlüsselnde Dateisystem Dieser Abschnitt ist für versierte Anwender gedacht. Informationen für Administratoren finden Sie in Abschnitt 8.3 Absicherung lokaler Daten ab Seite 267. Nur für NTFS
Das verschlüsselnde Dateisystem ist eine Eigenschaft, die nur unter NTFS zur Verfügung steht. In der Literatur wird es auch als EFS (Encrypted File System) bezeichnet. Durch die Integration in das Dateisystem ist die Verschlüsselung völlig transparent. Dateien werden beim Schreiben verschlüsselt und beim Lesen entschlüsselt. Erfolgt ein Zugriff auf eine verschlüsselte Datei, für die keine Zugriffsberechtigungen bestehen, erscheint die Meldung ZUGRIFF VERWEIGERT. Als Zugriff wird Öffnen, Lesen, Verschieben oder Umbenennen gewertet. EFS steht auf allen Medien zur Verfügung, die unter NTFS betrieben werden können. Das ist interessant für JAZ oder ZIP-Medien, wo der Diebstahl des physischen Mediums sehr viel leichter ist als bei einer eingebauten Festplatte.
Eigenschaften
Wenn Sie mit verschlüsselten Daten arbeiten, wollten Sie an folgende Eigenschaften denken: •
Nur Dateien und Ordner auf NTFS-Laufwerken können verschlüsselt werden
•
Es ist nicht möglich, komprimierte Dateien oder Ordner zu verschlüsseln. Wenn das gesamte Laufwerk komprimiert ist, dekomprimieren Sie die Dateien, die verschlüsselt werden sollen.
•
Nur der Benutzer, der die Datei verschlüsselt hat, kann sie wieder entschlüsseln.
•
Verschlüsselte Ordner lassen sich nicht freigeben. Private Daten können per Definition nicht verteilt werden.
•
Die Verschlüsselung wird aufgehoben, wenn verschlüsselte Ordner oder Dateien von einem berechtigten Nutzer auf ein Medium kopiert oder verschoben werden, dass nicht mit NTFS formatiert wurde.
•
Verwenden Sie AUSSCHNEIDEN und EINFÜGEN im Menü BEARBEITEN des Arbeitsplatzes. Drag&Drop dagegen verschlüsselt die Dateien nicht, wenn Sie sie in einen verschlüsselten Ordner schieben.
•
Systemdateien können nicht verschlüsselt werden.
•
Verschlüsselung schützt nicht vor Löschen. Jeder Benutzer mit Löschrechten kann Dateien löschen, unabhängig von der Verschlüsselung.
24.4 Dateiverschlüsselung •
973
Auch temporäre Dateien, die Programme automatisch erzeugen, werden verschlüsselt, wenn sie in einem verschlüsselten Ordner abgelegt werden. Es ist sinnvoll auch den \TEMP-Ordner zu verschlüsseln, da Programme dort auch sensible Daten ablegen.
Entfernte Computer können für die Verschlüsselung von Dateien und Verschlüsselung Ordnern freigegeben werden. Damit ist auch das Ablegen verschlüs- im Netzwerk selter Daten auf einem Server möglich. Für die Übertragung der Daten werden diese jedoch entschlüsselt und unverschlüsselt über das Netzwerk übertragen. Es ist notwendig, zusätzliche Techniken wie SSL (Secure Socket Layer) oder IPSec (Internet Protocol Security) einzusetzen, um den Übertragungsweg abzusichern. Wenn der private Schlüssel verloren geht, ist es ohne Hilfsmittel un- Datenwiedermöglich, Dateien wieder zu entschlüsseln. Wenn die erste Datei auf herstellung einem Windows 2000-System verschlüsselt wird, wird automatisch ein Wiederherstellungsassistent implementiert, der das entschlüsseln im Notfall übernimmt. Wenn Sie Ihre Dokumente im Standardordner EIGENE DATEIEN spei- Empfehlungen chern, verschlüsseln Sie diesen komplett. Verschlüsseln Sie auch den Ordner für temporäre Dateien, beispielsweise \TEMP. Verschlüsseln Sie generell Ordner anstatt einzelner Dateien, da viele Programme temporäre Dateien auch direkt neben den Originaldateien ablegen (beispielsweise MS Word). Nutzen Sie das EXPORT-Kommando in der Management Konsole, um die Zertifikate an einem sicheren Ort zu speichern, die als Grundlage der Verschlüsselung dienen. Sie können Zertifikate auf Diskette speichern und diese beispielsweise in einem Safe ablegen. Falls das Zertifikat durch einen Festplattenfehler oder ein ähnliches Problem zerstört wird, können Sie es wieder importieren.
24.4.2 Dateien und Ordner verschlüsseln Um einen Ordner oder eine Datei zu verschlüsseln, gehen Sie folgen- Verschlüsseln über dermaßen vor. Dazu setzen Sie das Attribut VERSCHLÜSSELUNG, ebenso den Desktop wie jedes andere Datei- oder Ordnerattribut. Sie erreichen diese Einstellungen wie folgt: •
Klicken Sie mit der rechten Maustaste auf den betreffenden Ordner oder Datei
•
Wählen Sie im Kontextmenü Eigenschaften
•
Wählen Sie dort die Schaltfläche erweitert
•
Aktivieren Sie das Kontrollkästchen INHALT VERSCHLÜSSELN.
974
24 Systemwerkzeuge und Sicherheit
Abbildung 24.10: Erweiterte Attribute
Verschlüsseln über die Kommandozeile
Sie können auch eine Kommandozeilenfunktion zum verschlüsseln nutzen. Das entsprechende Kommando heißt: C:>cipher /OPTIONEN Verzeichnisname Mehrere Verzeichnisnamen können angegeben werden, diese müssen durch Leerzeichen getrennt werden. Enthalten die Namen selbst Leerzeichen, schreiben Sie sie in Anführungszeichen. Sie können folgende Optionen verwenden, um die Verschlüsselung anzuzeigen, aufzuheben oder einzuschalten.
Tabelle 24.1: Optionen für
Option
Nicht mit...
Beschreibung
CIPHER
/E
/D
Aktiviert die Verschlüsselung
/D
/E
Deaktiviert die Verschlüsselung
/S:
Führt die Operation für alle Unterverzeichnisse von durch
/A
Führt die Operation für Verzeichnisse und Dateien durch
/I
Setzt nach einem Fehler fort; standardmäßig wird bei einem Fehler abgebrochen
/F
Erzwingt die Verschlüsselung, auch wenn die Dateien bereits verschlüsselt sind
/Q
Gibt nur wichtige Informationen aus
/H
Zeigt versteckte und Systemdateien an
/K
alle anderen
Erstellt einen neuen Schlüssel
24.4 Dateiverschlüsselung Werden keine Optionen angegeben, gibt schlüsselungsstatus aus.
975 CIPHER
den aktuellen Ver-
Das folgende Beispiel zeigt die Anwendung und die Ausgaben eines Beispiel verschlüsselten Verzeichnisses: Abbildung 24.11: Anwendung des Befehls cipher
24.4.3 Verschlüsseln auf Computern im Netzwerk Sie können auch auf Computern im Netzwerk Dateien verschlüsselt ablegen. Der Verschlüsselungsstatus wird wie bei lokalen Dateien ermittelt. Der Zugriff hängt vom Anmeldenamen am Netzwerk an. Um Zugriff auf verschlüsselte Dateien eines Benutzers zu erlangen, genügt es nicht, sich als Administrator anzumelden.
24.4.4 Dateiverschlüsselung und Wiederherstellung Die Datenwiederherstellung für das Verschlüsselnde Dateisystem wird vom System als Komponente der Sicherheitsrichtlinien zur Verfügung gestellt. Wenn das Dateiverschlüsselungszertifikat und der dazugehörige private Schlüssel (beispielsweise auf Grund eines Festplattenfehlers) einmal gelöscht werden sollten, wird die Datenwiederherstellung von der zum Wiederherstellungsagenten ernannten Person ausgeführt. In einer Unternehmensumgebung können Daten, die von einem bestimmten Mitarbeiter verschlüsselt wurden, auch in dessen Abwesenheit wiederhergestellt werden. Das verschlüsselnde Dateisystem setzt die Implementierung einer Die WiederWiederherstellungsrichtlinie voraus. Dadurch entsteht eine integrierte herstellungsDatenwiederherstellung für den Fall, dass das Zertifikat des Benutzers richtlinie verloren ging. Die Wiederherstellungsrichtlinie muss implementiert sein, bevor die Benutzer Dateien verschlüsseln können. Sie gibt an, welche Person als Wiederherstellungsagent eingesetzt wird. Eine standardmäßige Wiederherstellungsrichtlinie wird automatisch implementiert, wenn der Administrator sich erstmalig am System anmel-
976
24 Systemwerkzeuge und Sicherheit det. Der Administrator wird so automatisch zum Wiederherstellungsagenten. Der Wiederherstellungsagent verfügt über ein spezielles Zertifikat mit einem dazugehörigen privaten Schlüssel, die ihn gemäß dem Geltungsbereich der Wiederherstellungsrichtlinie zur Datenwiederherstellung berechtigen. Der Wiederherstellungsagent sollte in MMC unter den Zertifikaten den Befehl EXPORTIEREN ausführen, um eine Sicherungskopie des Wiederherstellungszertifikats und des dazugehörigen privaten Schlüssels an einem sicheren Ort aufzubewahren. Nach dem Sichern löschen Sie das Wiederherstellungszertifikat aus dem persönlichen Speicher des Wiederherstellungsagenten (nicht aus der Wiederherstellungsrichtlinie). Verwenden Sie hierzu den Befehl ZERTIFIKATE in der MMC. Wenn Sie anschließend eine Wiederherstellungsoperation für einen Benutzer ausführen müssen, sollten Sie das Wiederherstellungszertifikat und den dazugehörigen privaten Schlüssel aus dem persönlichen Speicher des Wiederherstellungsagenten wiederherstellen (in MMC über Zertifikate mit dem Befehl IMPORT). Nach erfolgter Wiederherstellung der Daten löschen Sie das Wiederherstellungszertifikat wieder aus dem persönlichen Speicher des Wiederherstellungsagenten. Der Exportvorgang muss jedoch nicht wiederholt werden. Eine zusätzliche Sicherheitsmaßnahme zum Schutz vertraulicher Daten besteht darin, das Wiederherstellungszertifikat des Wiederherstellungsagenten vom Computer zu löschen und an einem sicheren Ort und räumlich vom Computer getrennt aufzubewahren. Die standardmäßige Wiederherstellungsrichtlinie wird auf alleinstehenden Computern lokal konfiguriert. Wenn Computer hingegen in einem Netzwerk zusammengeschlossen sind, wird die Wiederherstellungsrichtlinie entweder für die Domäne, die Organisationseinheit oder einen einzelnen Computer eingerichtet und gilt für alle Windows 2000-Computer im Rahmen des definierten Geltungsbereichs. Die Wiederherstellungszertifikate werden von einer Zertifizierungsstelle ausgegeben und in MMC über die Zertifikate verwaltet. In einer Netzwerkumgebung steuert der Domänenadministrator, wie das verschlüsselnde Dateisystem für die Benutzer aller Computer innerhalb des Geltungsbereichs der Wiederherstellungsrichtlinie implementiert wird. Bei Einrichtung des ersten Domänencontrollers wird der Domänenadministrator in einer Windows 2000-Standardinstallation als Wiederherstellungsagent für die Domäne eingesetzt. Durch seine Konfiguration legt der Domänenadministrator fest, wie das verschlüsselnde Dateisystem auf den lokalen Computern der Benutzer implementiert wird. Der Domänenadministrator meldet sich am ersten Domänencontroller an, um die Wiederherstellungsrichtlinie für die Domäne zu ändern. Die folgende Tabelle zeigt, wie sich die ver-
24.5 Sicherheitsmaßnahmen für Anwender
977
schiedenen Konfigurationsmöglichkeiten für Wiederherstellungsrichtlinien auf den Benutzer auswirken.
Typ der
EFS ist...
Richtlinie
Wiederherstel- Gelöscht werlungsagent
den...
ist... Leer
nicht verwendbar
Keiner
Alle Wiederherstellungsagenten
Keine auf Domänenebene
lokal verfügbar
Administrator des lokalen Computers
Wiederherstellungsrichtlinie auf dem ersten Domänencontroller
Wiederherstellungsagent
lokal verfügbar
Domänenadministrator
Standardkonfiguration in einer Netzwerkumgebung
Durchsetzung, Replikation und Zwischenspeicherung der Wiederherstellungsrichtlinie werden vom Windows 2000-Sicherheitssubsystem verwaltet. Die Benutzer können die Dateiverschlüsselung auf einem System implementieren, das zeitweise offline ist, beispielsweise auf einem Notebook.
24.5 Sicherheitsmaßnahmen für Anwender Auch der Anwender ist mit für die Sicherheit seines Computers zuständig. Das betrifft vor allem den Umgang mit E-Mail, Zugriffen auf das Internet oder den Datenaustausch.
24.5.1 Schutz gegen E-Mail-Viren Durch die zuletzt gehäuft auftretenden E-Mail-Viren ist die Sicherheit des Mediums Internet von vielen Nutzern starken Zweifeln unterworfen. Vor allem die Angriffe auf Outlook und Outlook Express untergraben den Glauben in die Sicherheit des Betriebssystems. Dabei sind solche Angriffe leicht zu unterbinden – mit oder ohne Virenschutzprogramm. Viele Anwender glauben sogar an einen Bug in Exchange oder Outlook, wenn sie Opfer von Viren wie »I Love you« wurden. Tatsächlich sind Schutzmaßnahmen einfach durchzuführen und liegen in der Verantwortung jedes einzelnen Benutzers. Unabhängig davon hat Microsoft mit einem Update zu Outlook reagiert, sodass einige Funktionen nicht mehr automatisch aktiviert sind. Dies betrifft vor
Tabelle 24.2: Konfigurationsmöglichkeiten für Wiederherstellungsrichtlinien
978
24 Systemwerkzeuge und Sicherheit allem die Verknüpfung der Dateierweiterung .VBS, die zur Ausführung des betreffenden Skripts mit dem Windows Scripting Host führt.
Radikale Lösungen Gehen Sie davon aus, dass Skripte grundsätzlich nicht per E-Mail empfangen werden sollen und auch von Programmen nicht benutzt werden, können Sie die Zuordnungen der folgenden Dateierweiterungen entfernen: •
VBS, VBE, WSF, WSH, JS, JSE
Das ist ein drastischer Weg, denn Sie sind nun gezwungen, das passende Skriptprogramm von Hand zu starten, wenn ein Skript ausgeführt werden soll.
Die elegante Lösung Eine elegante Lösung ist die Zwischenschaltung einer Sicherheitsabfrage. Dazu erzeugen Sie ein Skriptdatei mit dem Namen ASK.VBS: Skript zur Absicherung unerlaubter Skriptausführung
dim ynResponse dim oArgs dim oShell dim strArg set oArgs = WScript.Arguments set oShell = CreateObject("WScript.SHELL") strArg = oArgs(0) ynResponse = "Es wird versucht, das Skript " & strArg ynResponse = ynRepsonse & " auszuführen." & vbCrLf ynResponse = ynRepsonse & "SIND SIE SICHER?", vbyesno) MsgBox(ynResponse) if ynResponse = vbYes then oShell.Run "wscript " & strArg end if
Ändern der Zuordnung
Jetzt ändern Sie die Zuordnung für die Dateierweiterung Sie dazu folgendermaßen vor:
VBS.
Gehen
•
Öffnen Sie den Ordner ARBEITSPLATZ
•
Gehen Sie in das Menü EXTRAS | ORDNEROPTIONEN und dort auf die Registerkarte DATEITYPEN
•
Suchen Sie in der Liste die Erweiterung VBS (Hinweis: tippen Sie die Taste »V« an, um in die Nähe des Eintrags zu springen)
•
Klicken nun auf ERWEITERT
24.5 Sicherheitsmaßnahmen für Anwender
979 Abbildung 24.12: Bearbeiten der Zuordnungen der Dateierweiterungen
•
Wählen Sie nun den Vorgang OPEN und dann BEARBEITEN.
•
Fügen Sie zwischen dem Programmaufruf WSCRIPT.EXE und den Parametern ihre Skriptdatei ein: ASK.VBS; wie in der folgenden Abbildung gezeigt: Abbildung 24.13: Einfügen der Sicherheitsabfrage
•
Schließen Sie alle Dialoge.
Sie erhalten nun bei jedem Ausführversuch eines Skripts ein Hinweisfenster, in dem Sie die Ausführung bestätigen müssen: Abbildung 24.14: Sicherheitsabfrage vor der Ausführung eines Skripts
24.5.2 Virenschutzprogramme Sie sollten grundsätzlich mindestens ein kommerzielles Virenschutzprogramm installieren. Im Gegensatz zu vielen freien Programmen kosten diese zwar Geld, dafür erhält der Anwender aber auch regel-
980
24 Systemwerkzeuge und Sicherheit mäßig Updates mit den neuesten Virenmustern, die das Programm dann in der Lage ist zu erkennen.
Allgemeine Informationen Für erste und auch aktuelle Informationen in deutscher Sprache finden Sie auf der Website Antivirus-Online. Neben freier Software sind hier auch aktuelle Signaturupdates für kommerzielle Programme zu finden. Die Adresse: www.antivirus-online.de
Hersteller Hersteller finden Sie unter anderem unter folgenden Adressen im Internet: •
SOPHOS:
www.altcomp.com/indextree.htm •
Dr. Solomons: www.drsolomon.com/home/home.cfm
•
McAffee:
www.mcafee.com •
Norton Antivirus:
www.symantec.com
Systemwerkzeuge und Sicherheit
Teil V - Anhänge
V Anhänge
981
Hilfe aus dem Internet
A Hilfe aus dem Internet Hilfe für Windows 2000 findet man im Internet auf unzähligen Seiten.
A.1 Webadressen Die folgende Aufstellung der besten Quellen hilft ohne langes Suchen. Auch die Versorgung mit Software wird dabei nicht ausgeschlossen.
Offizielle Seiten bei Microsoft Erste Anlaufstelle bei Fragen zu Windows ist Microsoft selbst. Dabei ist die englische Site nach wie vor umfangreicher als die deutsche, wo mehr allgemeine und kaufmännische Informationen zu finden sind. Hier einige wichtige Einstiegspunkte: •
Deutsche »Startseite«: www.microsoft.com/germany/windows2000/
•
Englische »Startseite«: www.microsoft.com/windows2000
•
Support-Site (englisch): www.microsoft.com/windows2000/support/
•
Informationen für IT-Profis: Microsoft Technet (englisch): /www.microsoft.com/technet/win2000/
•
Auch Spezialisten werden exklusiv bedient, die »Tech Enthusiasts« (englisch): www.microsoft.com/windows2000/techenthusiast/
•
Technologische Informationen finden Sie unter: www.microsoft.com/windows2000/library/technologies
Von diesen Adressen finden Sie viele aktuelle Informationen sehr viel schneller als über die allgemeine Microsoft-Adresse.
983
984
Hilfe aus dem Internet Problemorientierte Sites
Windows 2000 FAQ Diese Site ist einen gigantische FAQ-Liste, die nach Problemgebiet (beispielsweise Drucker oder Netzwerk) sortiert ist. Viele Tipps sind noch für Windows NT, wobei nicht immer klar unterschieden wird. Trotzdem auch für Windows 2000 sehr sinnvoll, zumal der Name andeutet, wohin die Macher gehen. •
www.windows2000faq.com
Windows 2000 Magazine Network Eine umfassende Site, die als Ausgangspunkt auch für andere Produkte rund um Windows dienen kann. Ein sehr gutes Forum hilft bei der Lösung seltener und häufig auftretender Probleme. Das Netzwerk ist der Online-Ableger der Zeitschrift Windows 2000 Magazine (zweite Adresse). •
www.win2000mag.net
•
www.win2000mag.com
Frank Condrons World O'Windows Diese Site hat sich fest in der Windows-Welt etabliert. Zu Windows 2000 gibt es zwei spezielle Adresse, eine mit Hinweisen zu Treibern, die andere mit Anleitungen für häufige Aufgaben. •
www.worldowindows.com/win2000.asp
•
www.worldowindows.com/w2000/index.htm
•
www.worldowindows.com/ci.htm
Win Total Diese Site ist eine der wenigen deutschsprachigen. Der Teil für Windows 2000 ist noch nicht besonders umfangreich. Vor allem Einsteiger finden hier Informationen. Es gibt aber auch Buchtipps und Links zu Artikeln (die aber teilweise wieder in englisch sind). •
www.wintotal.de/win2000.htm
Hilfe aus dem Internet WinFAQ Diese Site ist eine umfassende FAQ-Liste in deutscher Sprache. Die Liste kann im HTML- oder Hilfe-Format geladen und dann offline gelesen werden. Neben Hilfestellungen finden Sie auch Buchtipps. Das Niveau der Fragen ist eher an den Bedürfnissen von Anfängern orientiert. •
www.winfaq.de
•
www.winfaq.de/faq_html/winfaq.htm
TecChannel.de Diese deutschsprachige Site behandelt alle aktuellen Betriebssysteme überblicksartig und gibt Tipps und Links zu Quellen im Internet. Einige Foren ergänzen das Angebot, dass aber insgesamt nicht tiefgehend erscheint. Die Site lohnt, weil man neben Informationen auch Software, Jobs und rechtliche Tipps erhält. •
www.tecchannel.de
•
www.tecchannel.de/betriebssysteme/windows%202000.html
Software Wenn Sie für Windows 2000 preiswerte Software suchen sind die folgenden Adressen eine gute Quelle. Angeboten wird vor allem Shareware.
Winfiles Winfiles ist eine umfassende Quelle für Shareware und preiswerte kommerzielle Programme. Neben Windows NT/2000 wird auch Software für alle anderen Windows-Versionen angeboten. Die Programme sind nach Kategorien sortiert. •
winfiles.cnet.com/apps/nt/
The Windows NT/2000 Ressource Center Diese Site ist ein Ableger von Internet.com. Wer mit hohen Erwartungen kommt wird nicht enttäuscht. Der Anteil kommerzieller Software ist relativ hoch. Neben Software sind auch Foren und FAQ-Seiten zu finden. Sie finden hier auch Treiber. •
www.bhs.com
985
986
Hilfe aus dem Internet WinDrivers Diese Site hat sich auf Treiber spezialisiert. Wenn Sie ein exotisches Gerät mit Windows NT oder Windows 2000 betreiben müssen, finden Sie hier die nötigen Informationen oder die Sicherheit, dass der Treiber nicht existiert. •
www.windrivers.com
WinSite Neben Winfiles ist dies die Shareware-Site für Windows überhaupt. Daneben gibt es aber auch viele Testversionen, kommerzielle Software und Unterstützung für Programmierer. Die Site hat ein branchenorientiertes Verzeichnis für Software, was das Auffinden sehr erleichert. •
www.winsite.com
A.2 Newsgroups Newsgroups bieten Hilfe von Anwendern für Anwender. Die Benutzung ist für Einsteiger sicher gewöhnungsbedürftig. Es lohnt sich aber, die eine oder andere Gruppe eine Zeitlang zu beobachten.
Microsoft Newsserver Um alle Microsoft-Gruppen lesen zu können, nutzen Sie den folgenden Newsserver: •
msnews.microsoft.com
Liste der offiziellen Newsgroups Microsoft bietet eine ganze Reihe von Newsgroups an, die sich speziellen Themen rund um Windows 2000 widmen. Die folgende Liste zeigt die wichtigsten: •
Active Directory: microsoft.public.win2000.active_directory
•
Advanced Server: microsoft.public.win2000.advanced_server
•
Applications: microsoft.public.win2000.applications
•
Developer: microsoft.public.win2000.developer
•
DNS Issues: microsoft.public.win2000.dns
•
Enable Issues: microsoft.public.win2000.enable
Hilfe aus dem Internet •
FAX: microsoft.public.win2000.fax
•
File System: microsoft.public.win2000.file_system
•
Games: microsoft.public.win2000.games
•
General: microsoft.public.win2000.general
•
Group Policies: microsoft.public.win2000.group_policy
•
Hardware: microsoft.public.win2000.hardware
•
Macintosh: microsoft.public.win2000.macintosh
•
Microsoft Software Installer: microsoft.public.win2000.msi
•
Multimedia: microsoft.public.win2000.multimedia
•
Netware: microsoft.public.win2000.netware
•
Networking: microsoft.public.win2000.networking
•
New User: microsoft.public.win2000.new_user
•
Printing: microsoft.public.win2000.printing
•
Radius: microsoft.public.win2000.radius
•
RAS Routing: microsoft.public.win2000.ras_routing
•
Registry: microsoft.public.win2000.registry
•
Security: microsoft.public.win2000.security
•
Services for NetWare: microsoft.public.sfn5.beta
•
Setup: microsoft.public.win2000.setup
•
Setup & Deployment: microsoft.public.win2000.setup_deployment
•
Setup and Upgrade: microsoft.public.win2000.setup_upgrade
•
Terminal Server: microsoft.public.win2000.termserv.apps
•
Terminal Server Clients: microsoft.public.win2000.termserv.clients
•
Windows 2000 Command Prompt Admin: microsoft.public.win2000.cmdprompt.admin
•
Windows Update: microsoft.public.win2000.windows_update
987
988
Hilfe aus dem Internet
Deutsche Microsoft-Newsgroups Die folgende Liste zeigt alle deutschsprachigen Newsgroups zum Thema Windows 2000: •
Active Directory: microsoft.public.de.german.win2000.active_directory
•
Applications: microsoft.public.de.german.win2000.applications
•
DNS: microsoft.public.de.german.win2000.dns
•
Gruppen-Richtlinien: microsoft.public.de.german.win2000.gruppen_richtlinien
•
Hardware: microsoft.public.de.german.win2000.hardware
•
Networking: microsoft.public.de.german.win2000.networking
•
RAS und Routing: microsoft.public.de.german.win2000.ras_routing
•
Registrierung: microsoft.public.de.german.win2000.registry
•
Installation: microsoft.public.de.german.win2000.setup
•
Sonstiges: microsoft.public.de.german.win2000.sonstiges
•
Terminal-Server: microsoft.public.de.german.win2000.termserv.apps
Abkürzungsverzeichnis
989
B Abkürzungsverzeichnis Abkürzung Bedeutung
Typ
API
Application Programming Interface
Software
AD
Active Directory
Active Directory
ADS
Active Directory Service
Active Directory
ADSI
Active Directory Service Interfaces
Active Directory
ASID
Access, Searching and Indexing of Directories
Active Directory
ATM
Asynchronous Transfer Mode
Netzwerk
BDC
Backup Domain Controller
System
CDFS
Compact Disc File System
Dateisystem
COM
Component Object Model
Software
DAP
Directory Access Protocol
Active Directory
DCOM
Distributet Component Object Model
Active Directory
DDE
Dynamic Data Exchange
System
DDNS
Dynamic DNS
Netzwerk
DEN
Directory Enabled Networks
Active Directory
DES
Data Encryption Standard
Begriff
DHCP
Dynamic Host Computer Protocol
Netzwerk
DISP
Directory Information Shadowing Protocol
Active Directory
DIT
Directory Information Tree
Active Directory
DN
Distinguished Name
Active Directory
DMA
Direct Memory Access
Begriff
DNS
Domain Name Service
Netzwerk
990
Abkürzungsverzeichnis
Abkürzung Bedeutung
Typ
DOC
Distributed Object Computing
Software
DOS
Disc Operating System
System
DOP
Directory Operational Protocol
Active Directory
DSA
Directory System Agent
Active Directory
DSE
Directory Specific Entry
Active Directory
DSP
Directory System Protocol
Active Directory
EFS
Encryption File System
Dateisystem
ETB
Elektronisches Telefonbuch
Active Directory
FAT
File Allocation Table
Dateisystem
FTP
File Transfer Protocol
Netzwerk
GUID
Global Unique IDentifier
System
HAL
Hardware Abstraction Layer
System
HTTP
Hypertext Transfer Protocol
Netzwerk
IETF
Internet Engineering Taskforce
Organisation
ISA
Industrial Standard Architecture
Hardware
ISP
Internet Service Provider
Begriff
IP
Internet Protocol
Netzwerk
IPP
Internet Printing Protocol
Netzwerk
LAN
Local Area Network
Netzwerk
LDAP
Lightweight Directory Access Protocol
Netzwerk
LDIF
LDAP Data Interchange Format
Netzwerk
LPC
Local Procedure Call
System
MAN
Metropolitan Area Network
Netzwerk
Abkürzungsverzeichnis
991
Abkürzung Bedeutung
Typ
MAPI
Messaging Application Program Interface
Netzwerk
MFT
Master File Table
Dateisystem
MIME
Multimedia Internet Mail Enhancements
Netzwerk
MMC
Microsoft Management Console
System
MPR
Multiple Provider Router
System
MSFS
Mail Slots File System
Netzwerk
MS
Microsoft
Organisation
MUP
Multiple Universal Convention Provider
System
NAT
Network Address Translation
Netzwerk
NDIS
Network Driver Interface Specification
Netzwerk
NPFS
Named Pipes File System
Netzwerk
NPI
Network Provider Interface
Netzwerk
NTDS
Windows NT Directory Service
System
NTFS
New Technology File System
Dateisystem
OSI
Open Systems Interconnection
Organisation
ODSI
Open Directory Services Interface
Active Directory
OSF
Open Software Foundation
Organisation
OU
Organizational Unit
Active Directory
PCI
Peripheral Component Interconnect
Hardware
PDC
Primary Domain Controller
System
QoS
Quality of Service
System
RnR
Windows Socket Resolution
Netzwerk
RPC
Remote Procedure Call
System
992
Abkürzungsverzeichnis
Abkürzung Bedeutung
Typ
SASL
Simple Authentication and Security Layer
Netzwerk
SCSI
Small Computer Systems Interface
Hardware
SLAPD
Standalone LDAP-Server
Netzwerk
SMTP
Simple Mail Transfer Protocol (Internet Mail)
Netzwerk
TAPI
Telephony API
Netzwerk
TCO
Total Cost of OwnerShip
Begriff
TCP
Transport Control Protocol
Netzwerk
TDI
Transport Driver Interface
System
UDF
Universal Disc Format
Netzwerk
UNC
Universal Naming Conventions
Netzwerk
USN
Update Sequence Number
Active Directory
UPN
User Principal Name
Active Directory
VDM
Virtual DOS Machine
System
VMM
Virtual Memory Manager
System
WAN
Wide Area Network
Netzwerk
WDM
Windows Driver Model
System
WOSA
Windows Open Services Architecture
System
WSR
Windows Socket Registration
Netzwerk
W2K
Abkürzung für Windows 2000 (K steht für 1000)
Begriff
Referenz Kommandozeilenbefehle
C Referenz Kommandozeilenbefehle C.1
Der Netzwerkbefehl net
Der Befehl net ist der Basisbefehl für alle Netzwerkfunktionen, die von der Kommandoebene aus gesteuert werden können. Wenn Sie Anmeldeprofile einrichten und dazu Stapeldateien verwenden, nutzen Sie im Wesentlichen den Befehl net. Mehr zu den Profilen finden Sie im Kapitel Benutzer und Gruppen.
Übersicht
Net accounts ........................................................................................994 Net computer.......................................................................................995 Net config ............................................................................................996 Net continue ........................................................................................997 Net file..................................................................................................997 Net help................................................................................................997 Net helpmsg ........................................................................................998 Net localgroup.....................................................................................998 Net name ..............................................................................................999 Net pause .............................................................................................999 Net print...............................................................................................999 Net send .............................................................................................1000 Net session.........................................................................................1001 Net share ............................................................................................1001 Net start ..............................................................................................1002 Net stop ..............................................................................................1002 Net use................................................................................................1003 Net user ..............................................................................................1005 Net view .............................................................................................1008
993
994
Referenz Kommandozeilenbefehle Eigenschaften
net /? net option /yes
Diese net-Befehle besitzen einige gemeinsame Eigenschaften: •
Geben Sie net /? ein, um eine Liste aller verfügbaren net-Befehle anzuzeigen.
•
Um Hilfe zur Syntax für einen bestimmten net-Befehl zu erhalten, geben Sie an der Befehlszeile net help Befehl ein. Um beispielsweise die Hilfe zu dem Befehl net accounts aufzurufen, geben Sie net help accounts ein.
•
Für alle net-Befehle stehen die Optionen /yes bzw. /no (als Kurzform können /y bzw. /n verwendet werden) zur Verfügung. Die Option /y antwortet automatisch yes auf jede interaktive Aufforderung, die dieser Befehl bewirkt; /n antwortet no. So fordert net stop server Sie z. B. auf, zu bestätigen, ob alle Dienste beendet werden sollen, die vom Serverdienst abhängig sind; net stop server /y antwortet automatisch yes, und der Serverdienst wird beendet.
Die folgende Befehlsbeschreibung basiert auf der Microsoft-OnlineHilfe und wurde um einige Beispiele ergänzt.
Syntaxbeschreibung
net accounts Aktualisiert die Benutzerkontendatenbank und ändert Kennwort- und Anmeldevoraussetzungen für alle Konten. Der Anmeldedienst muss auf dem Computer ausgeführt werden, dessen Kontenparameter geändert werden sollen.
♦
net accounts [/forcelogoff:{Minuten | no}] [/minpwlen:Länge] [/maxpwage:{Tage | unlimited}] [/minpwage:Tage] [/uniquepw:Anzahl] [/domain] net accounts [/sync] [/domain]
Parameter
•
Ohne: Ohne Parameter zeigt net accounts die aktuellen Einstellungen für Kennwort, Anmeldebeschränkungen und Domäneninformationen an.
•
/forcelogoff:{Minuten | no}. Gibt die Dauer in Minuten an, bevor eine Benutzersitzung an einem Server beendet wird, wenn das Benutzerkonto oder die gültige Anmeldezeit abgelaufen ist. Über die Option no kann die erzwungene Abmeldung deaktiviert werden. Die Standardeinstellung ist no. Mit /forcelogoff:Minuten wird die
Referenz Kommandozeilenbefehle Abmeldung vom Netzwerk erzwungen, und Windows 2000 sendet die angegebene zeit vorher eine Warnmeldung an den Benutzer. Wenn Dateien geöffnet sind, sendet Windows 2000 eine entsprechende Warnmeldung. Wenn für Minuten ein geringerer Wert als zwei angegeben wurde, wird der Benutzer von Windows 2000 dazu aufgefordert, sich unverzüglich vom Netzwerk abzumelden. •
/minpwlen:Länge. Legt die minimale Kennwortlänge für Benutzer-
konten fest. Gültige Werte sind 0-127 Zeichen; die Standardeinstellung sieht 6 Zeichen vor. •
/maxpwage:{Tage | unlimited}. Legt die maximale Gültigkeitsdauer
von Kennwörtern für Benutzerkonten in Tagen fest. Bei der Eingabe von unlimited gilt für Kennwörter keine zeitliche Beschränkung. Der Wert für /maxpwage muss größer sein als der für /minpwage. Gültige Werte sind 1 bis 49.710 Tage (unlimited); die Standardeinstellung sieht 90 Tage vor. •
/minpwage:Tage. Legt fest, nach wie vielen Tagen ein Benutzer sein
Kennwort frühestens ändern kann. Bei Eingabe des Wertes 0 wird kein Zeitminimum festgelegt. Gültige Werte sind 0 bis 49.710 Tage; die Standardeinstellung sieht 0 Tage vor. •
/uniquepw:Anzahl. Lässt die Wiederholung desselben Kennwortes erst nach einer bestimmten Anzahl von Kennwortänderungen zu. Gültige Werte sind 0-24 Kennwortänderungen; die Standardeinstellung sieht 5 Kennwortänderungen vor.
•
/domain. Führt die Operation auf dem primären Domänencontroller der aktuellen Domäne aus. Anderenfalls wird die Operation auf dem lokalen Computer ausgeführt. Dieser Parameter gilt nur für einen Computer, der zu einer Windows 2000 Server-Domäne gehört. Computer unter Windows 2000 Server führen diese Operation standardmäßig auf dem primären Domänencontroller aus.
•
/sync. Bei Verwendung auf dem primären Domänencontroller bewirkt dieser Befehl eine Synchronisierung aller Sicherungsdomänencontroller der Domäne. Bei Verwendung auf einem Sicherungsdomänencontroller wird nur dieser Sicherungsdomänencontroller mit dem primären Domänencontroller synchronisiert. Dieser Befehl gilt nur für Computer, die Mitglied einer Windows 2000 Server-Domäne sind.
net computer Bewirkt, dass Computer einer Domänendatenbank hinzugefügt bzw. aus ihr entfernt werden. Dieser Befehl ist nur auf Computern unter Windows 2000 Server verfügbar.
995
996
Referenz Kommandozeilenbefehle ♦
Parameter
net computer \\Computername {/add | /del} •
\\Computername. Gibt den Computer an, der der Domäne hinzuge-
fügt bzw. aus der Domäne entfernt werden soll. •
/add. Fügt den betreffenden Computer der Domäne hinzu.
•
/del. Entfernt den betreffenden Computer aus der Domäne.
net config Zeigt die konfigurierbaren Dienste an, die derzeit ausgeführt werden. Zeigt die Einstellungen für einen Dienst an oder ändert sie.
♦ Parameter
net config [Dienst [Optionen]] •
Ohne. Ohne Parameter zeigt net config eine Liste der konfigurierbaren Dienste an.
•
Dienst. Ein Dienst, der mit dem Befehl net config konfiguriert
werden kann. Mögliche Eingaben für Dienst sind SERVER (Serverdienst) oder WORKSTATION (Arbeitsstationsdienst). •
Optionen. Die Optionen sind dienstspezifisch. Für die Workstation
werden die Einstellungen für den Arbeitsstationsdienst angezeigt oder geändert, während der Dienst ausgeführt wird. net config workstation [/charcount:Byte] [/chartime:Millisekunden] [/charwait:Sekunden]
♦
Parameter zu
net config workstation
•
Ohne. Ohne Parameter zeigt net config workstation die aktuelle Konfiguration des lokalen Computers an.
•
/charcount:Byte. Gibt die Datenmenge in Byte an, die Windows
2000 ansammelt, bevor die Daten an ein DFÜ-Gerät gesendet werden. Wurde für /chartime:Millisekunden ebenfalls ein Wert angegeben, gilt jeweils die zuerst erfüllte Bedingung. Gültige Werte sind 0-65535 Byte; die Standardeinstellung sieht 16 Byte vor. •
/chartime:Millisekunden. Gibt die Zeitdauer in Millisekunden an, die Windows 2000 Daten sammelt, bevor diese an ein DFÜ-Gerät gesendet werden. Wurde für /charcount:Byte ebenfalls ein Wert angegeben, gilt jeweils die zuerst erfüllte Bedingung. Gültige Werte sind 0-65.535.000 Millisekunden; die Standardeinstellung sieht 250 Millisekunden vor.
•
/charwait:Sekunden. Gibt in Sekunden an, wie lange Windows 2000
auf die Verfügbarkeit eines DFÜ-Geräts wartet. Gültige Werte sind 0-65535 Sekunden; die Standardeinstellung sieht 3600 Sekunden vor.
Referenz Kommandozeilenbefehle
997
net continue Dieser Befehl nimmt unterbrochene Dienste wieder auf. net config Dienst •
♦
Dienst. Folgende Dienste können wieder aufgenommen werden: Parameter LPDSVC, NET LOGON, NETWORK DDE, NETWORK DDE DSDM, NT LM SECURITY SUPPORT PROVIDER, REMOTE ACCESS SERVER, SCHEDULE, SERVER, SIMPLE TCP/IP SERVICES UND WORKSTATION. FTP PUBLISHING SERVICE,
net file Zeigt die Namen aller geöffneten freigegebenen Dateien auf einem Server und die Anzahl der Dateisperren pro Datei an (falls vorhanden). Mit diesem Befehl können Sie außerdem einzelne freigegebene Dateien schließen und Dateisperren aufheben. net file [ID [/close]] •
Ohne. Ohne Parameter zeigt net file eine Liste der geöffneten Da- Parameter teien auf einem Server an.
•
ID. Gibt die Identifikationsnummer einer Datei an.
•
/close. Schließt eine offene Datei und gibt gesperrte Datensätze
♦
frei. Der Befehl muss an dem Server eingegeben werden, auf dem die Datei freigegeben ist.
net help Zeigt eine Liste von Netzwerkbefehlen und Themen an, zu denen Sie Hilfe erhalten können. Stellt Hilfe zu einem bestimmten Befehl oder Thema zur Verfügung. net help [Befehl] net Befehl {/help | /?} •
Ohne. Ohne Parameter zeigt net help eine Liste der Befehle und Parameter Themen an, zu denen Sie Hilfe erhalten können.
•
Befehl. Der Befehl, zu dem Sie Hilfe benötigen. Beachten Sie bei der Eingabe, dass net nicht Teil von Befehl ist.
•
{/help | /?}. Zeigt die Befehlssyntax an. Der Befehl /help stellt eine weitere Möglichkeit dar, den Hilfetext aufzurufen.
♦
998
Referenz Kommandozeilenbefehle
net helpmsg Zeigt Hilfe zu Windows 2000-Fehlermeldungen an.
♦ Parameter
net helpmsg MeldungsID •
MeldungsID. Gibt die vierstellige Zahl der Windows 2000Fehlermeldung an, zu der Sie Hilfe benötigen.
net localgroup Fügt lokale Gruppen hinzu, zeigt sie an oder ändert sie.
♦
net localgroup [Gruppenname [/comment:"Beschreibung"]] [/domain] net localgroup Gruppenname {/add [/comment:"Beschreibung"] | /delete} [/domain] net localgroup Gruppenname Name [ ...] {/add | /delete} [/domain]
Parameter
•
Ohne: Ohne Parameter zeigt net localgroup den Servernamen und die Namen der lokalen Gruppen auf dem Computer an.
•
Gruppenname: Der Name der lokalen Gruppe, die hinzugefügt, erweitert oder gelöscht werden soll. Geben Sie nur dann einen Gruppennamen ein, wenn Sie eine Liste der Benutzer und globalen Gruppen in der lokalen Gruppe anzeigen lassen möchten.
•
/comment:"Beschreibung". Fügt einer neuen oder vorhandenen Gruppe eine Beschreibung hinzu. Die maximale Länge eines Kommentars beträgt 48 Zeichen. Der Text muss in Anführungszeichen eingeschlossen sein.
•
/domain. Führt die Operation auf dem primären Domänencontroller der aktuellen Domäne aus. Anderenfalls wird die Operation auf dem lokalen Computer ausgeführt.
•
Dieser Parameter gilt nur für Windows 2000 ProfessionalComputer, die zu einer Windows 2000 Server-Domäne gehören. Computer unter Windows 2000 Server führen Operationen standardmäßig auf dem primären Domänencontroller aus.
•
Name [ ...]. Gibt einen oder mehrere Benutzer- oder Gruppenna-
men an, die einer lokalen Gruppe hinzugefügt oder aus ihr entfernt werden sollen. Werden mehrere Namen eingegeben, müssen zwischen den einzelnen Einträgen Leerzeichen stehen. Als Namen können lokale Benutzer, Benutzer anderer Domänen oder globale Gruppen angegeben werden, nicht jedoch andere lokale Gruppen. Wenn es sich um einen Benutzer einer anderen Domäne handelt,
Referenz Kommandozeilenbefehle
999
geben Sie vor dem Benutzernamen den Domänennamen ein (z. B. VERKAUF\RALPHR). •
/add. Fügt einer lokalen Gruppe einen globalen Gruppennamen oder einen Benutzernamen hinzu. Es muss bereits ein Benutzerkonto für den Benutzer oder die globale Gruppe eingerichtet sein, bevor der Name mit diesem Befehl einer lokalen Gruppe hinzugefügt werden kann.
•
/delete. Entfernt einen Gruppen- oder Benutzernamen aus einer lokalen Gruppe.
net name Fügt einen Nachrichtennamen (auch Alias genannt) hinzu oder löscht ihn bzw. zeigt eine Liste aller Namen an, unter denen Nachrichten empfangen werden können. Der Nachrichtendienst muss gestartet sein, damit der Befehl net name verwendet werden kann. net name [Name [/add | /delete]]
♦
•
Ohne: Ohne Parameter zeigt net name eine Liste der aktuellen Na- Parameter men an.
•
Name: Der Name, unter dem Nachrichten empfangen werden sollen. Die maximale Länge eines Namens beträgt 15 Zeichen.
•
/add. Fügt einem Computer einen Namen hinzu. Die Angabe der Option /add ist optional.
•
/delete. Löscht einen Namen von einem Computer.
net pause Unterbricht ausgeführte Dienste. net pause Dienst •
♦
Dienst. Einer der folgenden Dienste:
FTP PUBLISHING SERVICE, Parameter
LPDSVC, NET LOGON, NETWORK DDE, NETWORK DDE DSDM, NT LM SECURITY SUPPORT PROVIDER, REMOTE ACCESS SERVER, SCHEDULE, SERVER, SIMPLE TCP/IP SERVICES
und WORKSTATION.
net print Zeigt Druckaufträge und Druckerwarteschlangen an oder steuert sie.
1000
Referenz Kommandozeilenbefehle ♦
net print \\Computername\ Freigabename net print [\\Computername] Auftrag [/hold | /release | /delete]
Parameter
•
Computername. Gibt den Namen des Computers an, der die Dru-
ckerwarteschlange freigibt. •
Freigabename. Gibt den Namen der Druckerwarteschlange an.
Wenn Sie Freigabename und Computer_Name angeben, trennen Sie die beiden Namen durch einen umgekehrten Schrägstrich (\). •
Auftrag. Gibt die Identifikationsnummer eines Druckauftrags in einer Druckerwarteschlange an. Ein Computer mit einer oder mehreren Druckerwarteschlangen weist jedem Druckauftrag eine einmalige Nummer zu. Eine Auftragsnummer, die in einer freigegebenen Druckerwarteschlange eines Computers verwendet wird, kann nicht an einen anderen Druckauftrag vergeben werden, auch wenn dieser sich in einer anderen Druckerwarteschlange des Computers befindet.
•
/hold. Hält in Verbindung mit dem Auftrag einen in der
Druckerwarteschlange wartenden Druckauftrag an. Der angehaltene Druckauftrag bleibt in der Druckerwarteschlange, und andere Druckaufträge werden solange vorgezogen, bis der Druckauftrag freigegeben wird. • •
/release. Gibt einen angehaltenen Druckauftrag frei. /delete. Löscht einen Druckauftrag aus einer Druckerwarteschlan-
ge.
net send Sendet Nachrichten an andere Benutzer-, Computer- oder Nachrichtennamen im Netzwerk. Der Nachrichtendienst muss gestartet sein, damit Nachrichten empfangen werden können.
♦ Parameter
net send {Name | * | /domain[:Name] | /users} Nachricht •
Name. Gibt den Benutzernamen, den Computernamen bzw. den Nachrichtennamen im Netzwerk an, an den die Nachricht gesendet werden soll. Handelt es sich um einen Computernamen, der Leerzeichen enthält, geben Sie den Aliasnamen in Anführungszeichen (") ein. Bei der Verwendung von NetBIOS-Namen treten möglicherweise Probleme auf, wenn lange Benutzernamen verwendet werden. NetBIOS-Namen dürfen höchstens 16 Zeichen lang sein. Unter Windows 2000 wird jedoch das 16. Zeichen für besondere Zwecke reserviert.
Referenz Kommandozeilenbefehle •
*. Sendet die Nachricht an alle Namen in der Domäne oder Arbeitsgruppe.
•
/domain[:Name]. Sendet die Nachricht an alle Namen in der Domä-
1001
ne des Computers. In Verbindung mit Name wird die Nachricht an alle Namen in der angegebenen Domäne oder Arbeitsgruppe gesendet. •
/users. Sendet die Nachricht an alle mit dem Server verbundenen Benutzer.
•
Nachricht. Gibt den Text an, der als Nachricht gesendet werden soll.
net session Zeigt die Arbeitssitzungen von lokalen Computern und verbundenen Clients an oder unterbricht sie. net session [\\Computername] [/delete] •
Ohne. Ohne Parameter zeigt der Befehl Informationen über alle Parameter Arbeitssitzungen am lokalen Computer an.
•
\\Computername. Name des Computers, dessen Sitzungen angezeigt oder unterbrochen werden sollen.
•
/delete. Beendet die Sitzung zwischen dem Computer und \\Computername und schließt alle Dateien auf dem Computer, die für die Arbeitssitzung geöffnet wurden. Wenn Sie \\Computername weglassen, werden alle Sitzungen auf dem lokalen Computer abgebrochen.
♦
net share Erstellt freigegebene Ressourcen, löscht sie oder zeigt sie an. net share Freigabename net share Freigabename=Laufwerk:Pfad [/users:Anzahl| /unlimited] [/remark:"Beschreibung"] net share Freigabename [/users:Anzahl| unlimited] [/remark:"Beschreibung"] net share {Freigabename | Laufwerk:Pfad} /delete •
Ohne: Ohne Parameter zeigt der Befehl Informationen über alle auf Parameter dem lokalen Computer freigegebenen Ressourcen an.
♦
1002
Referenz Kommandozeilenbefehle •
Freigabename. Der Netzwerkname der freigegebenen Ressource.
Wird der Befehl zusammen mit Freigabename verwendet, werden Informationen über die betreffende Freigabe angezeigt. •
Laufwerk:Pfad. Legt den absoluten Pfad des Verzeichnisses fest, das freigegeben werden soll.
•
/users:Anzahl. Legt die maximale Anzahl von Benutzern fest, die gleichzeitig auf die freigegebene Ressource zugreifen können.
•
/unlimited. Legt fest, dass eine unbegrenzte Anzahl von Benutzern gleichzeitig auf die freigegebene Ressource zugreifen kann.
•
/remark:"Beschreibung". Fügt eine Beschreibung der Ressource hinzu. Der Text muss in Anführungszeichen eingeschlossen sein.
•
/delete. Beendet die Freigabe der Ressource.
net start Startet einen Dienst oder zeigt eine Liste der gestarteten Dienste an. Namen von Diensten, die wie beispielsweise NET LOGON oder COMPUTER BROWSER aus mehreren Wörtern bestehen, müssen in Anführungszeichen (") stehen.
♦ Parameter
net stop [Dienst] • •
Ohne. Ohne Parameter zeigt der Befehl eine Liste der gestarteten Dienste an. Dienst. Einer der folgenden Dienste:
ALERTER, CLIENT SERVICE FOR
NETWARE, CLIPBOOK SERVER, CONTENT INDEX, COMPUTER BROWSER, DHCP CLIENT, DIRECTORY REPLICATOR, EVENTLOG, FTP PUBLISHING SERVICE, HYPERMEDIA OBJECT MANAGER, LOGICAL DISK MANAGER, LPDSVC, MEDIA SERVICES MANAGEMENT, MESSENGER,
FAX SERVICE, MICROSOFT INSTALL SERVER, NET LOGON, NETWORK DDE, NETWORK DDE DSDM, NT LM SECURITY SUPPORT PROVIDER, OLE, PLUG AND PLAY, REMOTE ACCESS CONNECTION MANAGER, REMOTE ACCESS ISNSAP SERVICE, REMOTE ACCESS SERVER, REMOTE PROCEDURE CALL (RPC) LOCATOR, REMOTE PROCEDURE CALL (RPC) SERVICE, SCHEDULE, SERVER, SIMPLE TCP/IP SERVICES, SITE SERVER LDAP SERVICE, SMARTCARD RESOURCE MANAGER, SNMP, SPOOLER, TASK SCHEDULER, TCP/IP NETBIOS HELPER, TELEPHONY SERVICE, TRACKING SERVICE, TRACKING (SERVER) SERVICE, UPS, WINDOWS TIME SERVICE und WORKSTATION.
net stop Beendet einen Windows 2000-Netzwerkdienst.
Referenz Kommandozeilenbefehle
1003
net stop Dienst Dienst. Siehe dazu auch beim Befehle net start.
♦ Parameter
net time Synchronisiert die Systemzeit des Computers mit der eines anderen Computers oder einer Domäne. Ohne den Parameter /set zeigt net time die Systemzeit eines anderen Computers oder einer Domäne an. net time [\\Computername | /domain[:Domänenname] | /rtsdomain[:Domänenname]] [/set] net time [\\Computername] [/querysntp] | [/setsntp[:NTP_Server_Liste]] •
Ohne: Zeigt das aktuelle Datum und die aktuelle Uhrzeit auf dem Parameter Computer an, der als Zeitserver für die Windows Server-Domäne des lokalen Computers eingesetzt werden soll.
•
\\Computername. Gibt den Namen des Servers an, dessen Zeit ange-
zeigt oder übernommen werden soll. •
/domain[:Domänenname]. Gibt den Namen der Domäne an, mit der
die Zeit synchronisiert werden soll. •
/rtsdomain[:Domänenname]. Gibt den Namen der Domäne des RTS
(Reliable Time Server) an, mit dem die Zeit synchronisiert werden soll. •
/set. Synchronisiert die Uhr des Computers mit der Zeit des angegebenen Computers oder der angegebenen Domäne.
•
/querysntp. Zeigt den Namen des NTP(Network Time Protocol)Servers an, der zurzeit für den lokalen Computer bzw. für den Computer unter \\Computername konfiguriert ist.
•
/setsntp[:NTP_Server_Liste]. Gibt eine Liste von NTP-Zeitservern an, die vom lokalen Computer genutzt werden sollen. Die Liste kann IP-Adressen oder DNS-Namen umfassen (durch Leerzeichen voneinander getrennt). Wenn Sie mehrere Zeitserver angeben, muss die Liste in Anführungszeichen gesetzt werden.
net use Verbindet einen Computer mit einer freigegebenen Ressource oder trennt die Verbindung und zeigt Informationen über die Verbindungen eines Computers an. Der Befehl steuert außerdem ständige Netzwerkverbindungen.
♦
1004
Referenz Kommandozeilenbefehle ♦
net use [Gerätename | *] [\\Computername\Freigabename[\Datenträger]] [Kennwort | *]] [/user:[Domänenname\]Benutzername] [[/delete] | [/persistent:{yes | no}]] net use Gerätename [/home[Kennwort | *]] [/delete:{yes | no}] net use [/persistent:{yes | no}]
Parameter
•
Ohne: Ohne Parameter zeigt der Befehl eine Liste der Netzwerkverbindungen an.
•
Gerätename. Der Name der Ressource, zu der die Verbindung hergestellt werden soll, oder des Geräts, das getrennt werden soll. Es gibt zwei Arten von Gerätenamen: Laufwerke (D: bis Z:) und Drucker (LPT1: bis LPT3:). Geben Sie ein Sternchen (*) anstelle eines Gerätenamens ein, um den nächsten verfügbaren Gerätenamen zuzuordnen.
•
\\Computername\Freigabename. Der Name des Servers und der freigegebenen Ressource. Wenn der Computername Leerstellen enthält, setzen Sie den gesamten Computernamen, einschließlich der umgekehrten Schrägstriche (\\), in Anführungszeichen (" "). Die Länge des Computernamens kann 1-15 Zeichen betragen.
•
\Datenträger. Gibt einen NetWare-Datenträger auf dem Server an.
Voraussetzung für das Verbinden zu NetWare-Servern ist, dass Client Service für NetWare (Windows 2000 Professional) oder Gateway Service für NetWare (Windows 2000 Server) installiert sind und ausgeführt werden. •
Kennwort. Gibt das Kennwort an, das für den Zugriff auf die freige-
gebene Ressource erforderlich ist. •
*. Die Eingabeaufforderung für das Kennwort wird angezeigt. Wenn Sie Ihr Kennwort hier eingeben, wird es bei der Eingabe nicht angezeigt.
•
/user. Gibt einen anderen Benutzernamen an, mit dem die Verbindung hergestellt wird.
•
Domänenname. Der Name einer anderen Domäne. Beispielsweise verbindet die Eingabe von
net use d: \\Server_Name\Freigabename /user:admin\martin den Benutzer Martin auf dieselbe Weise, als ob die Verbindung von der Domäne Admin aus hergestellt würde. Ohne Eingabe von Domänenname gilt die aktuelle Domäne, an der der Benutzer angemeldet ist.
Referenz Kommandozeilenbefehle •
1005
Benutzername. Gibt den Benutzernamen an, unter dem die Anmel-
dung erfolgen soll. •
/delete. Bricht eine Netzwerkverbindung ab. Bei Angabe eines Sternchens (*) anstelle eines Gerätenamens werden alle Netzwerkverbindungen abgebrochen.
•
/home. Verbindet einen Benutzer mit seinem Basisverzeichnis.
•
/persistent. Steuert die Verwendung ständiger Netzwerkverbindungen. Die Standardeinstellung sieht die zuletzt verwendete Einstellung vor. Verbindungen ohne Gerätenamen können nicht als ständige Gerätenamen fungieren.
•
yes. Speichert alle hergestellten Verbindungen und stellt sie bei der
nächsten Anmeldung wieder her. •
no. Aktuelle und nachfolgende Verbindungen werden nicht ge-
speichert. Bereits bestehende Verbindungen werden bei der nächsten Anmeldung wiederhergestellt. Mit der Option /delete können Sie ständige Verbindungen löschen.
net user Fügt Benutzerkonten hinzu, ändert sie oder zeigt Informationen über Benutzerkonten an. net user [Benutzername [Kennwort | *] [Optionen]] //domain] net user Benutzername {Kennwort | *} /add [Optionen] [/domain] net user Benutzername [/delete] [/domain]
•
Ohne: Bei Verwendung ohne Parameter zeigt net user eine Liste Parameter der Benutzerkonten auf dem Computer an.
•
Benutzername. Gibt den Namen des Benutzerkontos an, das hinzu-
gefügt, gelöscht, geändert oder angezeigt werden soll. Die maximale Länge eines Benutzerkontonamens beträgt 20 Zeichen. •
Kennwort. Weist dem Benutzerkonto ein Kennwort zu oder ändert
es. Das Kennwort muss die mit der Option /minpwlen des Befehls net accounts festgelegte Mindestlänge aufweisen. Die maximale Länge beträgt 127 Zeichen. Wenn Sie Windows 2000 jedoch in einem Netzwerk verwenden, in dem auch Computer mit Windows 95 oder Windows 98 eingesetzt werden, sollten Sie Kennwörter verwenden, die nicht länger als 14 Zeichen sind. Windows 95 und Windows 98 unterstützen Kennwörter nur bis zu einer Länge von
♦
1006
Referenz Kommandozeilenbefehle 14 Zeichen. Mit einem längeren Kennwort kann die Netzwerkanmeldung von diesen Computern aus fehlschlagen. •
*. Eine Aufforderung zur Kennworteingabe wird angezeigt. Wenn Sie Ihr Kennwort hier eingeben, wird es nicht angezeigt.
•
/domain. Führt die Operation auf dem primären Domänencontroller der primären Domäne des Computers aus. Dieser Parameter gilt nur für Computer unter Windows 2000 Professional, die Mitglieder einer Windows 2000 Server-Domäne sind. Computer unter Windows 2000 Server führen diese Operation standardmäßig auf dem primären Domänencontroller aus.
Diese Operation wird auf dem primären Domänencontroller der primären Domäne des Computers ausgeführt. Dies muss nicht die Domäne sein, an die sich der Benutzer angemeldet hat.
Anmerkung
• •
/add. Fügt der Benutzerkontendatenbank ein Benutzerkonto hinzu. /delete. Löscht ein Benutzerkonto aus der Benutzerkontendaten-
bank. Optionen
Legt die folgenden Optionen fest: •
/active:{no | yes}. Aktiviert oder deaktiviert das Benutzerkonto. Ist ein Benutzerkonto deaktiviert, kann der Benutzer nicht auf Ressourcen auf dem Computer zugreifen. Die Standardeinstellung ist yes (aktiviert).
•
/comment:"Text". Hier kann eine Beschreibung zum Benutzerkonto
eingegeben werden. Die maximale Länge einer Beschreibung beträgt 48 Zeichen. Der Text muss in Anführungszeichen eingeschlossen sein. •
/countrycode:nnn. Verwendet die Länder- bzw. regionalen Einstellungen des Betriebssystems, so dass die Hilfe sowie Fehlermeldungen in der jeweiligen Sprache angezeigt werden. Bei Eingabe des Wertes 0 wird die Standardländereinstellung verwendet.
•
/expires:{datum | never}. Lässt ein Benutzerkonto ablaufen, falls
Datum angegeben wurde; legt nicht immer eine zeitliche Beschränkung für das Benutzerkonto fest. Ablaufdaten können im Format TT.MM.JJ, T.M.JJ, TT.MM.JJJJ oder JJJJ-MM-TT eingegeben werden, abhängig von den Ländereinstellungen bzw. regionalen Einstellungen. Die Gültigkeit eines Kontos läuft zu Beginn des angegebenen Datums ab. Monatsnamen können ausgeschrieben, mit drei Buchstaben abgekürzt oder als Zahlen geschrieben werden. Jahreszahlen können aus zwei oder vier Ziffern bestehen. Verwenden Sie als Trennzeichen zwischen Tages-, Monats- und Jahreseingabe Punkte oder Bindestriche, jedoch keine Leerzeichen. Wenn keine Jahreszahl eingegeben wird, wird ausgehend von der Sys-
Referenz Kommandozeilenbefehle temzeit das nächste Auftreten des angegebenen Datums angenommen. So sind folgende Schreibweisen des Datums gültig, sofern die Eingabe zwischen dem 10. Januar 1994 und dem 8. Januar 1995 erfolgt: -
9.Jan
-
9.1.95
-
9,Januar,1995
-
9.1
•
/fullname:"Name". Ermöglicht die Eingabe des vollständigen Namens eines Benutzers. Geben Sie den Namen in Anführungszeichen ein.
•
/homedir:Pfad. Gibt den Pfad für das Basisverzeichnis eines Benutzers an. Der Pfad muss bereits existieren.
•
/passwordchg:{yes | no}. Legt fest, ob Benutzer ihr Kennwort ändern können. Die Standardeinstellung ist yes.
•
/passwordreq:{yes | no}. Legt fest, ob ein Benutzerkonto ein Kennwort benötigt. Die Standardeinstellung ist yes.
•
/profilepath:[Pfad]. Bezeichnet den Pfad für das Anmeldeprofil des Benutzers. Der eingegebene Pfadname verweist auf ein Registrierungsprofil.
•
/scriptpath:Pfad. Bezeichnet den Pfad für das Anmeldeskript des Benutzers. Der für Pfad eingegebene Wert darf kein absoluter Pfad sein; Pfad ist relativ zu:
%systemroot%\System32\Repl\Import\Scripts. •
/times:{Zeiten | all}. Legt fest, wann ein Benutzer den Computer verwenden darf. Der Wert für Zeiten wird als Tag[-Tag][,Tag[Tag]],Uhrzeit[-Uhrzeit][,Uhrzeit[-Uhrzeit]] angegeben, begrenzt auf einstündige Zeitschritte. Tage können ausgeschrieben oder abgekürzt werden (Mo, Di, Mi, Do, Fr, Sa, So). Stunden können im 12- oder 24-Stunden-Format angegeben werden. Beim 12-StundenFormat muss nach der Uhrzeit AM, PM, oder A.M., P.M. stehen. Bei Eingabe des Wertes all kann der Benutzer sich jederzeit anmelden. Ein Nullwert (Leerzeichen) bewirkt, dass der Benutzer sich überhaupt nicht anmelden kann. Tag und Uhrzeit werden mit einem Komma getrennt, mehrere aufeinander folgende Zeitangaben mit einem Semikolon (z. B. Mo,14:00-15:00;Di,11:00-13:00). Verwenden Sie bei den Angaben zu /times keine Leerzeichen.
•
/usercomment:"Text". Legt fest, dass der Administrator eine Beschreibung zum jeweiligen Benutzerkonto eingeben oder sie än-
1007
1008
Referenz Kommandozeilenbefehle dern kann. Der Text muss in Anführungszeichen eingeschlossen sein. •
/workstations:{computername[,...] | *}. Es können maximal acht
Arbeitsstationen eingegeben werden, von denen aus sich der Benutzer am Netzwerk anmelden kann. Trennen Sie mehrere Einträge durch Kommas. Wenn unter /workstations nichts oder * eingetragen ist, kann sich der Benutzer von jedem Computer aus anmelden.
net view Zeigt eine Liste der Domänen, eine Liste der Computer oder die von dem angegebenen Computer freigegebenen Ressourcen an.
♦
net view [\\ | /domain[:<domain>]] net view /network:nw [\\]
Parameter
•
Ohne. Bei Verwendung ohne Parameter zeigt der Befehl eine Liste der Computer in der aktuellen Domäne an.
•
\\. Der Name des Computers, dessen freigegebene Res-
sourcen Sie anzeigen möchten. •
/domain[:<domain>]. Der Name der Domäne, deren verfügbare
Computer Sie anzeigen möchten. Ohne Eingabe eines Domänennamens werden alle Domänen im Netzwerk angezeigt. •
/network:nw. Zeigt alle verfügbaren Server in einem NetWareNetzwerk an. Bei Angabe eines Computernamens werden die Ressourcen angezeigt, die auf diesem Computer im NetWareNetzwerk verfügbar sind. Werden andere Netzwerke zum System hinzugefügt, können sie ebenfalls mit diesem Parameter angegeben werden.
C.2
Kommandozeilenbefehle
Auch unter Windows 2000 steht eine zeichenorientierte Konsole zur Verfügung. Einige Befehle existierten schon unter MS-DOS, andere sind nur unter Windows verfügbar. Hauptanwendungsgebiet sind, ebenso wie die net-Befehle, Stapelverarbeitungsdateien.
Referenz Kommandozeilenbefehle Die folgende Befehlsbeschreibung basiert auf der Microsoft-OnlineHilfe und dient als Orientierungshilfe. Für eine genaue Beschreibung der Parameter rufen Sie die Windows-Hilfe auf und dort den Pfad INFORMATIONEN | MS-DOS-BEFEHLE.
Übersicht
append................................................................................................1012 arp........................................................................................................1012 assoc ....................................................................................................1013 at ..........................................................................................................1013 atmadm...............................................................................................1013 attrib....................................................................................................1013 cacls.....................................................................................................1014 call .......................................................................................................1014 chcp .....................................................................................................1014 chdir (cd) ............................................................................................1014 chkdsk ................................................................................................1015 chkntfs................................................................................................1015 cipher ..................................................................................................1015 cls.........................................................................................................1015 cluster .................................................................................................1016 cmd......................................................................................................1016 color ....................................................................................................1016 comp....................................................................................................1016 compact...............................................................................................1016 convert ................................................................................................1017 copy .....................................................................................................1017 country................................................................................................1017 date......................................................................................................1017 del (erase)...........................................................................................1018 device..................................................................................................1018 devicehigh (dh) .................................................................................1018
1009
1010
Referenz Kommandozeilenbefehle
dir........................................................................................................ 1018 diskcomp ........................................................................................... 1019 diskcopy............................................................................................. 1019 diskperf.............................................................................................. 1019 dos....................................................................................................... 1019 doskey ................................................................................................ 1019 dosonly............................................................................................... 1020 echo..................................................................................................... 1020 echoconfig ......................................................................................... 1020 endlocal.............................................................................................. 1020 evntcmd ............................................................................................. 1021 exit....................................................................................................... 1021 Expand ............................................................................................... 1021 Fc ......................................................................................................... 1021 fcbs...................................................................................................... 1022 files ..................................................................................................... 1022 find ..................................................................................................... 1022 findstr................................................................................................. 1022 forcedos.............................................................................................. 1023 format ................................................................................................. 1023 ftype.................................................................................................... 1023 graftabl............................................................................................... 1023 graphics.............................................................................................. 1023 help ..................................................................................................... 1024 install.................................................................................................. 1024 irftp ..................................................................................................... 1024 label .................................................................................................... 1024 loadfix ................................................................................................ 1024 loadhigh (lh) ..................................................................................... 1025 mem .................................................................................................... 1025
Referenz Kommandozeilenbefehle
mkdir (md).........................................................................................1025 mode ...................................................................................................1025 mountvol ............................................................................................1025 move....................................................................................................1026 ntcmdprompt.....................................................................................1026 path .....................................................................................................1026 pentnt..................................................................................................1026 popd ....................................................................................................1026 print ....................................................................................................1027 prompt ................................................................................................1027 pushd ..................................................................................................1027 rcp........................................................................................................1027 recover ................................................................................................1028 rem ......................................................................................................1028 rename (ren) ......................................................................................1028 replace.................................................................................................1028 rmdir (rd)............................................................................................1029 runas ...................................................................................................1029 set ........................................................................................................1029 setlocal................................................................................................1029 setver...................................................................................................1030 shell.....................................................................................................1030 shift .....................................................................................................1030 stacks...................................................................................................1030 start......................................................................................................1030 subst....................................................................................................1031 switches..............................................................................................1031 tcmsetup .............................................................................................1031 time .....................................................................................................1031 title ......................................................................................................1031
1011
1012
Referenz Kommandozeilenbefehle
tree ...................................................................................................... 1032 type ..................................................................................................... 1032 ver ....................................................................................................... 1032 vol ....................................................................................................... 1032 winnt .................................................................................................. 1032 winnt32 .............................................................................................. 1032 xcopy................................................................................................... 1033 Umleitungssymbole ( > < >> ) ....................................................... 1033 Filterbefehle ( | more, sort, find ) ................................................. 1035 Bedingten Verarbeitung (& && || () ^ )..................................... 1035 Ersetzbare Parameter (%)................................................................ 1036 Schleifenbefehl (for) ....................................................................... 1037 Sprunganweisung (goto) ................................................................ 1037 Bedingungsanweisung (if...else)................................................... 1038 Unterbrechung (pause) ................................................................... 1038 Hinweise Neben jedem Befehl finden Sie einen Hinweis auf den bevorzugten Anwendungsbereich: •
W2K: Windows 2000-spezifische Befehle
•
DOS: Befehle für das MS-DOS-Subsystem
•
BAT: Vorzugsweise für Stapelverarbeitungsdateien
append Ermöglicht Programmen das Öffnen von Datendateien in den angegebenen Ordnern, als wären diese Dateien im aktuellen Ordner gespeichert. Die angegebenen Ordner werden hinzugefügte Ordner (appended) genannt, da zu öffnende Dateien in ihnen so angesprochen werden können, als ob sie sich im aktuellen Verzeichnis befinden würden.
W2K
♦
append [;] [[Laufwerk:]Pfad[;...]] [[/x:{on | off}] [/path:{on | off}] [/e]
Referenz Kommandozeilenbefehle
1013
arp arp dient zur Anzeige oder Änderung der Übersetzungstabellen, die W2K
von ARP (Address Resolution Protocol) für die Umsetzung von IPAdressen in physische Ethernet- oder Tokenringadressen verwendet werden. Dieser Befehl ist nur verfügbar, wenn das Protokoll TCP/IP installiert wurde. arp -a [IP_Adresse] [-N [Schnittstelle]] arp -d IP_Adresse [Schnittstelle] arp -s IP_Adresse Eth_Adresse [Schnittstelle]
♦
assoc Zeigt die Zuordnungen von Dateierweiterungen an oder ändert sie.
W2K
assoc [.erw[=[Dateityp]]]
♦
at Listet geplante Befehle auf oder plant Befehle und Programme, die zu W2K einem bestimmten Zeitpunkt und Datum auf einem Computer ausgeführt werden sollen. Um den at-Befehl verwenden zu können, muss der Zeitplandienst ausgeführt werden. at [\\Computername] [[Id] [/delete] | /delete [/yes]]
♦
at [\\Computername] Zeit [/interactive] [/every:Datum[,...] | /next:Datum[,...]]
atmadm Überprüft die Verbindungen und Adressen, die in einem ATM- W2K Netzwerk (Asynchronous Transfer Mode – asynchroner Übertragungsmodus) von der ATM-Anrufverwaltung aufgezeichnet werden. Sie können dieses Hilfsprogramm verwenden, um statistische Daten zu über ATM-Netzwerkkarten ein- und ausgehenden Anrufen anzuzeigen. atmadm [-c][-a] [-s]
♦
attrib Zeigt die Dateiattribute an oder ändert diese.
W2K
1014
Referenz Kommandozeilenbefehle Mit diesem Befehl können Sie die Dateien oder Verzeichnissen zugewiesenen Attribute SCHREIBGESCHÜTZT, ARCHIV, SYSTEM und VERSTECKT anzeigen, setzen oder löschen.
♦
attrib [+r|-r] [+a|-a] [+s|-s] [+h|-h] [[Laufwerk:][Pfad] Dateiname] [/s[/d]]
cacls Zeigt die Zugriffskontrolllisten (ACL - Access Control List) für Dateien an oder ändert sie.
W2K
♦
cacls Dateiname [/t] [/e] [/c] [/g Benutzer:Berechtigung] [/r Benutzer [...]] [/p Benutzer:Berechtigung [...]] [/d Benutzer [...]]
call Ruft aus einem Stapelverarbeitungsprogramm ein anderes Stapelverarbeitungsprogramm auf, ohne das übergeordnete Stapelverarbeitungsprogramm zu beenden. Der Befehl call kann nun auch mit Marken als Sprungziel ausgeführt werden.
BAT
♦
call [Laufwerk:][Pfad] Dateiname [Batchparameter] call :Marke [Parameter]
chcp Zeigt die Nummer der aktiven Codepage für die Konsole an oder aktiviert die Codepage, die Windows 2000 für die Konsole verwenden soll. Nur die mit Windows 2000 installierte OEM-Codepage wird im Eingabeaufforderungsfenster bei Verwendung von Rasterschriftarten richtig angezeigt. Andere Codepages werden nur im Vollbildmodus oder im Eingabeaufforderungsfenster bei Verwendung von TrueTypeSchriftarten richtig angezeigt. Ohne Angabe wird die aktuelle Codepage angezeigt.
W2K
♦
chcp [nnn]
chdir (cd) DOS W2K
Zeigt den Namen des aktuellen Verzeichnisses an oder wechselt den aktuellen Ordner.
Referenz Kommandozeilenbefehle chdir [/d] [Laufwerk:][Pfad] [..]
1015 ♦
cd [/d] [Laufwerk:][Pfad] [..]
chkdsk Erstellt einen Statusbericht für einen Datenträger in Abhängigkeit vom W2K verwendeten Dateisystem. Chkdsk zeigt auch logische Fehler des Datenträgers an und behebt diese. Falls chkdsk das Laufwerk nicht sperren kann, wird angeboten, das Laufwerk beim nächsten Start des Computers zu prüfen. Wenn Sie den Befehl chkdsk für eine Festplatte ausführen möchten, benötigen Sie Administratorrechte. chkdsk [Laufwerk:][[Pfad] Dateiname] [/f] [/v] [/r] [/l[:Größe]] [/x]
♦
chkntfs Zeigt an oder legt fest, ob eine automatische Systemüberprüfung auf W2K FAT-, FAT32-, oder NTFS-Datenträgern beim Start des Computers ausgeführt werden soll. Sie müssen Mitglied der lokalen Gruppe ADMINISTRATOREN sein, um den Befehl chkntfs zu verwenden. chkntfs [/t[:Zeit]] [/x] [/c] Datenträger: [...]
♦
chkntfs /d
cipher Zeigt die Verschlüsselung von Ordnern und Dateien auf NTFS- W2K Datenträgern an oder ändert sie. cipher [/e| /d] [/s:Verzeichnis] [/a][/i] [/f] [/q] [/h] [Pfadname [...]]
♦
cls Löscht die Bildschirmanzeige. Der geleerte Bildschirm zeigt nur noch W2K die Eingabeaufforderung und die Einfügemarke an. cls
♦
1016
Referenz Kommandozeilenbefehle
cluster Sie können die Cluster-Befehle verwenden, um Servercluster von der Windows 2000-Eingabeaufforderung aus zu verwalten. Sie können auch das Programm CLUSTER.EXE über Befehlsskripte aufrufen, um zahlreiche Clusterverwaltungstasks zu automatisieren. Eine detaillierte Beschreibung der Möglichkeiten finden Sie in Band II der Reihe zu Windows 2000.
W2K
cmd Startet eine neue Instanz des Windows 2000-Befehlsinterpreters CMD.EXE. Ein Befehlsinterpreter ist ein Programm, das die Eingabeaufforderung anzeigt, an der Sie Befehle eingeben. Mit dem Befehl exit beenden Sie die neue Instanz des Befehlsinterpreters und geben die Steuerung an die ursprüngliche Instanz zurück.
W2K
♦
cmd [ [/c | /k] [/q] [/a | /u] [/t:fg] [/x | /y] Zeichenfolge]
color Legt die Standardvordergrund- und Hintergrundfarben fest. Als Parameter wird der Hexadezimalwert der Hinter- und Vordergrundfarbe erwartet.
W2K
♦
color HV
comp Vergleicht den Inhalt zweier Dateien oder Mengen von Dateien byteweise. Der Befehl comp kann Dateien auf demselben Laufwerk oder auf verschiedenen Laufwerken sowie Dateien eines Verzeichnisses oder mehrerer Verzeichnisse vergleichen. Während des Vergleichs zeigt der Befehl comp den Speicherort und die Namen der Dateien an.
W2K BAT
♦
comp [Daten1] [Daten2] [/d] [/a] [/l] [/n=Zahl] [/c]
compact Zeigt die Komprimierung von Dateien oder Verzeichnissen auf NTFSPartitionen an oder ändert diese.
W2K
♦
compact [/c|/u] [/s[:Verzeichnis]] [/a] [/q] [/i] [/f] [Dateiname[...]]
Referenz Kommandozeilenbefehle
1017
convert Konvertiert FAT- und FAT32- in NTFS-Datenträger. Das aktuelle W2K Laufwerk kann nicht konvertiert werden. Wenn convert das Laufwerk nicht sperren kann, werden Sie gefragt, ob das Laufwerk beim nächsten Start des Computers konvertiert werden soll. convert [Laufwerk:] /fs:ntfs [/v]
♦
copy Kopiert eine oder mehrere Dateien an einen anderen Speicherort. Mit W2K diesem Befehl können auch mehrere Dateien zu einer Datei zusam- BAT mengefasst werden. Wenn mehr als eine Datei kopiert wird, zeigt Windows 2000 den Namen jeder kopierten Datei an. copy [/a | /b] Quelle [/a | /b] [[/a | /b] + Quelle[/a | /b] [+ ...]] [/v] [/n] [/y | /-y] [/z] [/a | /b] [Ziel [/a | /b]]
♦
country Ermöglicht es dem MS-DOS-Teilsystem, internationale Uhrzeit, Da- DOS BAT tum, Währung und Dezimaltrennzeichen zu verwenden. Der Befehl country konfiguriert das MS-DOS-Teilsystem so, dass es den verwendeten Zeichensatz und die Interpunktionskonventionen erkennt, wenn eine der unterstützten Sprachen verwendet wird. Verwenden Sie die Datei %SYSTEMROOT%\SYSTEM32\CONFIG.NT oder eine entsprechende Initialisierungsdatei (Initialisierungsdateien werden in der PIF-Datei eines Programms angegeben), um die Ländereinstellung zu laden. country=xxx[,[yyy][,[Laufwerk:][Pfad]Dateiname]]
♦
date Zeigt das Datum an bzw. ermöglicht es, das Datum über die Eingabe- W2K BAT aufforderung oder ein Stapelverarbeitungsprogramm zu ändern. date [tt.mm.jjjj]
♦
1018
Referenz Kommandozeilenbefehle
del (erase) DOS BAT
Löscht die angegebenen Dateien.
♦
del [Laufwerk:][Pfad] Dateiname [/p] [/f] [/s] [/q] [/a[:Attribute]] erase [Laufwerk:][Pfad] Dateiname [ ...] [/p] [/f] [/s] [/q] [/a[:Attribute]]
device Lädt den angegebenen Gerätetreiber in den Arbeitsspeicher. Verwenden Sie die Datei SYSTEMROOT\SYSTEM32\CONFIG.NT oder eine äquivalente Initialisierungsdatei (werden in der PIF-Datei eines Programms angepasst), um Gerätetreiber für das MS-DOS-Teilsystem zu laden.
DOS
♦
device=[Laufwerk:][Pfad]Dateiname [Gerätetreiberparameter]
devicehigh (dh) Lädt Gerätetreiber in den hohen Speicherbereich (Upper Memory Area). Hierdurch bleibt im konventionellen Speicher mehr Platz für andere Programme frei. Verwenden Sie die Datei SYSTEMROOT\SYSTEM32\CONFIG.NT oder eine äquivalente Initialisierungsdatei (Initialisierungsdateien werden in der PIF-Datei eines Programms angepasst), um Gerätetreiber für das MS-DOS-Teilsystem zu laden.
DOS
♦
devicehigh=[Laufwerk:][Pfad]Dateiname [Gerätetreiberparameter] Um den Mindestspeicherplatz anzugeben, der verfügbar sein muss, bevor devicehigh versucht, einen Gerätetreiber in den hohen Speicherbereich zu laden, verwenden Sie folgende Syntax:
♦
devicehigh size=HexGröße [Laufwerk:][Pfad]Dateiname [Gerätetreiberparameter]
dir W2K
Zeigt eine Liste der in einem Verzeichnis enthaltenen Dateien und Unterverzeichnisse an.
Referenz Kommandozeilenbefehle
1019
dir [Laufwerk:][Pfad][Dateiname] [...] [/p] [/w] [/d] [/a[[:]Attribute]][/o[[:]Reihenfolge]] [/t[[:]Zeitfeld]] [/s] [/b] [/l] [/n] [/x]
♦
diskcomp Vergleicht den Inhalt von zwei Disketten.
W2K
diskcomp [Laufwerk1: [Laufwerk2:]]
♦
Siehe auch comp, fc.
diskcopy Kopiert den Inhalt der Diskette im Quelllaufwerk auf eine formatierte W2K oder unformatierte Diskette im Ziellaufwerk. diskcopy [Laufwerk1: [Laufwerk2:]] [/v]
♦
diskperf Startet und beendet Systemleistungsindikatoren.
W2K
diskperf [-y[e]|-n] [\\Computername]
♦
dos Gibt an, ob das MS-DOS-Teilsystem eine Verbindung mit dem hohen DOS Speicherbereich (UMA) aufrechterhalten oder sich selbst teilweise in BAT den oberen Speicherbereich (HMA - High Memory Area) laden soll. dos=high|low[,umb|,noumb]
♦
dos=[high,|low,]umb|noumb
doskey Startet das Programm Doskey, mit dem Befehle von Windows 2000 W2K wiederholt, Befehlszeilen bearbeitet und Makros erstellt werden können. doskey [/reinstall] [/listsize=size] [/macros:[all | exename]] [/history] [/insert|/overstrike] [/exename=exename] [/macrofile=filename] [macroname=[text]]
♦
1020
Referenz Kommandozeilenbefehle
dosonly Stellt sicher, dass nur auf MS-DOSbasierte Anwendungen an der Eingabeaufforderung von Command.com gestartet werden können.
♦
dosonly Wenn Sie eine auf MS-DOS basierende Anwendung schließen, kehrt Windows 2000 normalerweise wieder zum Windows 2000Befehlsinterpreter CMD.EXE zurück. Falls Sie jedoch ein speicherresidentes Programm (TSR) einsetzen oder eine auf MS-DOS basierende Anwendung zeitweilig unterbrechen, um zur Eingabeaufforderung zurückzukehren, führt Windows 2000 standardmäßig COMMAND.COM aus, den MS-DOS-Befehlsinterpreter. Dadurch bleibt die MS-DOSUmgebung erhalten, und Sie können das TSR-Programm sofort verwenden. Da das Starten und Ausführen anderer Anwendungstypen an der Eingabeaufforderung von COMMAND.COM ein TSR-Programm oder eine MS-DOS-basierte Anwendung unterbrechen kann, stellt dosonly sicher, dass nur MS-DOS-basierte Anwendungen an der Eingabeaufforderung von COMMAND.COM gestartet werden können. Sie können den Befehl dosonly in die Datei CONFIG.NT oder in eine entsprechende Initialisierungsdatei in der PIF-Datei einfügen.
echo Schaltet das Anzeigen von Befehlszeilen ein, aus oder zeigt eine Meldung an.
♦
echo [on | off] [Nachricht]
echoconfig Zeigt während der Verarbeitung der Dateien CONFIG.NT und AUTOEXEC.NT eine Meldung an, wenn das MS-DOS-Teilsystem aufgerufen wird. Wird dieser Befehl nicht angegeben, werden keine Meldungen angezeigt. Dieser Befehl muss in der Datei CONFIG.NT des MSDOS-Teilsystems stehen.
♦
echoconfig
endlocal W2K
Beendet die lokale Umgebungsänderung in einem Stapelverarbeitungsprogramm. Jedem Befehl setlocal muss ein Befehl endlocal fol-
Referenz Kommandozeilenbefehle
1021
gen, damit Umgebungsvariablen wiederhergestellt werden können. Jede Stapelverarbeitungsdatei wird mit einem impliziten Befehl endlocal beendet. endlocal
♦
Wenn die Befehlserweiterungen aktiviert sind (Standardeinstellung unter Windows 2000), können Sie diese über einen einzelnen Befehl endlocal wieder auf den Status setzen, in dem sie sich vor der Ausführung des entsprechenden Befehls setlocal befanden.
evntcmd Zeigt SNMP-Ereignisse an.
W2K
evntcmd [/?|/h] [/s Systemname][/v Nummer][/n]
♦
exit Beendet das den Befehlsinterpreter und kehrt zu dem Programm zu- BAT rück, das CMD.EXE aufgerufen hatte oder zum Programm-Manager. exit
♦
expand Erweitert eine oder mehrere komprimierte Dateien. Dieser Befehl wird W2K zur Wiederherstellung komprimierter Dateien von einer Programmdiskette verwendet. expand [-r] Quelle [Ziel]
♦
expand -d Quelle.cab [-f:Dateien] expand Quelle.cab -f:Dateien Ziel
fc Vergleicht zwei Dateien und zeigt die Unterschiede zwischen den bei- W2K den Dateien an. fc [/a] [/b] [/c] [/l] [/lbn] [/n] [/t] [/u] [/w] [/nnnn] [Laufwerk1:][Pfad1]Dateiname1 [Laufwerk2:][Pfad2]Dateiname2 fc /b [Laufwerk1:][Pfad1]Dateiname1 [Laufwerk2:][Pfad2]Dateiname2
♦
1022
Referenz Kommandozeilenbefehle
fcbs Gibt an, wie viele Dateisteuerblöcke (FCB, File Control Block) das MSDOS-Teilsystem gleichzeitig geöffnet haben kann. Verwenden Sie die Datei %SYSTEMROOT%\SYSTEM32\CONFIG.NT oder eine äquivalente Initialisierungsdatei (Initialisierungsdateien werden in der .PIF-Datei eines Programms angegeben), um die Anzahl der Dateisteuerblöcke festzulegen. Ein Dateisteuerblock ist eine Datenstruktur, in der Informationen über eine Datei enthalten sind.
DOS
♦
fcbs=x
files DOS ♦
files=nnnn Legt die Anzahl der Dateien fest, auf die das MS-DOS-Teilsystem gleichzeitig zugreifen kann. Verwenden Sie die Datei %SYSTEMROOR%\SYSTEM32\CONFIG.NT oder eine entsprechende Initialisierungsdatei (angegeben in der PIF-Datei des Programms), um den Parameter files festzulegen.
find Sucht in einer oder mehreren Dateien nach dem angegebenen Text. Nach dem Durchsuchen der angegebenen Dateien zeigt find alle Textzeilen an, die die gesuchte Zeichenfolge enthalten.
♦
find [/v] [/c] [/n] [/i] "Zeichenfolge" [[Laufwerk:][Pfad]Dateiname[...]]
findstr Es wird entweder nach buchstabengetreuer Übereinstimmung oder mit Hilfe von regulären Ausdrücken gesucht. Entspricht etwa grep unter Unix.
W2K
♦
findstr [/b] [/e] [/l] [/c:Zeichenfolge] [/r] [/s] [/i] [/x] [/v] [/n] [/m] [/o] [/g:Datei] [/f:Datei] [/d:Verz_Liste] [/a:Farbattribut] [Zeichenfolgen] [[Laufwerk:][Pfad] Dateiname [...]]
Referenz Kommandozeilenbefehle
1023
forcedos Startet das angegebene Programm im MS-DOS-Teilsystem. Dieser Be- W2K fehl ist nur für die MS-DOS-Programme notwendig, die nicht als sol- DOS che von Windows 2000 erkannt werden. forcedos [/d Verzeichnis] Dateiname [Parameter]
♦
format Formatiert die Diskette oder Festplatte im angegebenen Datenträger W2K für die Verwendung unter Windows 2000. Zum Formatieren von Festplattenlaufwerken müssen Sie über Administratorrechte verfügen. format Datenträger [/fs:Dateisystem] [/v:Datenträgerbezeichnung] [/q] [/a:Einheitengröße] [/f:Größe] [/t:Spuren /n:Sektoren] [/c] [/x] [/1] [/4] [/8]
♦
ftype Zeigt die Dateitypen, die Dateierweiterungen zugeordnet sind, an oder ändert sie. ftype [Dateityp[=[Befehl]]]
♦
graftabl Ermöglicht Windows 2000, im Vollbildmodus die erweiterten Zeichen W2K der angegebenen Codepage anzuzeigen. Im Fenstermodus werden die erweiterten Zeichen nicht dargestellt. graftabl [xxx] [/status]
graphics Programm, das die Ausgabe des Bildschirminhalts auf einen Drucker W2K umleitet. graphics [Typ] [[Laufwerk:][Pfad] Dateiname] [/r] [/b] [/lcd] [/printbox:std | /printbox:lcd]
♦
1024
Referenz Kommandozeilenbefehle
help Liefert Onlineinformationen zu den Befehlen von Windows 2000. Sie können damit die Parameterbeschreibung für alle in diesem Anhang aufgeführten Befehle abrufen.
W2K
♦
help [Befehl]
install Lädt ein speicherresidentes Programm in den Arbeitsspeicher. Verwenden Sie die Datei %SYSTEMROOT%\SYSTEM32\CONFIG.NT oder eine entsprechende Initialisierungsdatei (angegeben in der PIF-Datei eines Programms), um das zu installierende Programm anzugeben.
DOS
install=[Laufwerk:][Pfad] Dateiname [Befehlsparameter]
irftp Sendet Dateien über eine Infrarotverbindung. Hierfür muss ein Infrarotgerät auf dem Computer installiert sein.
W2K
♦
irftp [/h] [[Laufwerk:][Pfad]Dateiname [WeitereDateien]] irftp /s
label Erstellt, ändert oder löscht die Datenträgerbezeichnung (den Namen) eines Datenträgers. Die Datenträgerbezeichnung wird als Teil des Verzeichnisses angezeigt. Wenn eine Datenträgernummer vorhanden ist, wird diese Nummer ebenfalls angezeigt.
W2K
♦
label [Laufwerk:][Bezeichnung]
loadfix Stellt sicher, dass ein Programm oberhalb der ersten 64 KB des konventionellen Arbeitsspeichers geladen wird, und führt das Programm aus.
DOS
♦
loadfix [Laufwerk:][Pfad] Dateiname
Referenz Kommandozeilenbefehle
1025
loadhigh (lh) Lädt ein Programm in den oberen Speicherbereich (Upper Memory DOS Area). Durch das Laden eines Programms in den oberen Speicherbereich verbleibt mehr konventioneller Arbeitsspeicher für andere Programme. Verwenden Sie die Datei %SYSTEMROOT%\SYSTEM32 \CONFIG.NT oder eine äquivalente Initialisierungsdatei (Initialisierungsdateien werden in der PIF-Datei eines Programms angegeben), um die Programme festzulegen, die in den oberen Speicherbereich geladen werden sollen. loadhigh [Laufwerk:][Pfad] Dateiname [Parameter]
♦
lh [Laufwerk:][Pfad] Dateiname [Parameter]
mem Der Befehl mem zeigt Informationen über zugewiesene Speicherberei- DOS che, freie Speicherbereiche und Programme an, die derzeit im Arbeitsspeicher des MS-DOS-Teilsystems geladen sind. mem [/program|/debug|/classify]
♦
mkdir (md) Erstellt ein Verzeichnis oder Unterverzeichnis.
W2K
mkdir [Laufwerk:]Pfad md [Laufwerk:]Pfad
mode Konfiguriert Systemgeräte. Der Befehl mode führt unterschiedliche W2K Aufgaben aus, beispielsweise das Anzeigen des Systemstatus, das Ändern von Systemeinstellungen oder das Neukonfigurieren von Anschlüssen oder Geräten.
mountvol Erstellt, entfernt oder listet Bereitstellungspunkte für Datenträger auf. W2K Mit dem Befehl mountvol können Verbindungen mit Datenträgerpartitionen in Windows 2000 hergestellt werden, ohne dass ein Laufwerkbuchstabe erforderlich ist.
♦
1026
Referenz Kommandozeilenbefehle ♦
mountvol [Laufwerk:]Pfad Datenträgername mountvol [Laufwerk:]Pfad /d mountvol [Laufwerk:]Pfad /l
move Verschiebt eine oder mehrere Dateien aus einem Verzeichnis in das angegebene Verzeichnis.
W2K BAT
♦
move [/y | /-y] [Quelle] [Ziel]
ntcmdprompt Führt den Windows 2000-Befehlsinterpreter CMD.EXE statt COMMAND.COM aus, nachdem ein speicherresidentes Programm (TSR) ausgeführt oder die Eingabeaufforderung innerhalb einer MS-DOSAnwendung gestartet wurde.
W2K
♦
ntcmdprompt
path Legt einen Suchpfad für ausführbare Dateien fest. Windows 2000 verwendet den Befehl path, um in den angegebenen Verzeichnissen nach ausführbaren Dateien zu suchen. Standardmäßig enthält der Suchpfad nur das aktuelle Verzeichnis.
W2K
♦
path [[Laufwerk:]Pfad[;...]] [%path%]
pentnt Erkennt, sofern vorhanden, den Gleitkommadivisionsfehler im Pentiumchip, deaktiviert die Gleitkommahardware und aktiviert die Gleitkommaemulation.
W2K
♦
pentnt [-c] [-f] [-o] [-?|-h]
popd W2K BAT
Wechselt zu dem Verzeichnis, das mit dem Befehl pushd gespeichert wurde. Der Befehl popd kann nur einmal dazu verwendet werden, das
Referenz Kommandozeilenbefehle
1027
Verzeichnis zu wechseln. Der Zwischenspeicher wird nach dem ersten Aufruf geleert. Wenn die Befehlserweiterungen aktiviert sind (Standardeinstellung), löscht der Befehl popd alle temporären Laufwerkbuchstaben, die durch pushd erstellt wurden. popd
♦
print Druckt eine Textdatei oder zeigt den Inhalt einer Druckerschlange an. Dieser Befehl kann im Hintergrund drucken, wenn Sie ein Ausgabegerät an einen der parallelen oder seriellen Anschlüsse des Systems angeschlossen haben. print [/dGerät] [[Laufwerk:][Pfad] Dateiname [...]]
♦
prompt Sie können die Befehlszeile so anpassen, dass jeder beliebige Text mit W2K Informationen wie Name des aktuellen Verzeichnisses, Uhrzeit und BAT Datum oder Versionsnummer von Windows 2000 angezeigt werden kann. prompt [Text]
♦
pushd Speichert den Namen des aktuellen Verzeichnisses für die Verwen- W2K dung des Befehls popd und wechselt dann zum angegebenen Ver- BAT zeichnis. pushd [Pfad]
rcp Kopiert Dateien zwischen einem Windows 2000-Computer und einem W2K System, das rshd, den Remote Shell Daemon, ausführt. Dieser Connectivity-Befehl kann auch zum Kopieren von Dateien zwischen zwei Computern, die rshd ausführen, verwendet werden, wenn der Befehl von einem Windows 2000-Computer abgesetzt wird. Der rshdDaemon ist auf UNIX-Computern verfügbar, nicht jedoch unter Windows 2000. Daher kann der Windows 2000-Computer nur als das System teilnehmen, von dem die Befehle abgesetzt werden. Der Remote-
♦
1028
Referenz Kommandozeilenbefehle computer muss zusätzlich durch Ausführen von rshd das Dienstprogramm rcp bereitstellen.
♦
rcp [-a | -b] [-h] [-r] Quelle1 Quelle2 ...
recover Stellt lesbare Informationen auf einem beschädigten oder fehlerhaften Datenträger wieder her. Der Befehl liest eine Datei sektorweise und stellt Daten aus unbeschädigten Sektoren wieder her. Daten in beschädigten Sektoren können nicht wiederhergestellt werden.
W2K
♦
recover [Laufwerk:][Pfad] Dateiname
rem Erlaubt das Einfügen von Kommentaren (Anmerkungen) in Stapelverarbeitungsprogrammen oder Konfigurationsdateien.
♦
rem [Kommentar]
rename (ren) Ändert den Namen einer oder mehrerer Dateien. Sie können alle Dateien umbenennen, deren Namen dem angegebenen Dateinamen entsprechen. Der Befehl kann nicht verwendet werden, um Dateien auf einem anderen Laufwerk umzubenennen oder diese in ein anderes Verzeichnis zu verschieben.
♦
rename [Laufwerk:][Pfad] Dateiname1 Dateiname2 ren [Laufwerk:][Pfad] Dateiname1 Dateiname2
replace Ersetzt Dateien im Zielverzeichnis durch Dateien aus dem Quellverzeichnis, die den gleichen Namen haben. Sie können mit replace auch Dateien mit eindeutigen Dateinamen in das Zielverzeichnis einfügen.
♦
replace [Laufwerk1:][Pfad1] Dateiname [Laufwerk2:][Pfad2] [/a] [/p] [/r] [/w] replace [Laufwerk1:][Pfad1] Dateiname [Laufwerk2:][Pfad2] [/p] [/r] [/s] [/w] [/u]
Referenz Kommandozeilenbefehle
1029
rmdir (rd) Entfernt (löscht) ein Verzeichnis. rmdir [Laufwerk:]Pfad [/s] [/q]
♦
rd [Laufwerk:]Pfad [/s] [/q]
runas Ermöglicht dem Benutzer das Ausführen spezieller Tools und Programme mit anderen Berechtigungen als es die gegenwärtige Anmeldung erlaubt. Es empfiehlt sich für Administratoren, für nicht administrative Routineaufgaben ein Konto mit eingeschränkten Berechtigungen zu verwenden und nur zur Durchführung spezieller administrativer Aufgaben auf ein Konto mit weit gefassteren Berechtigungen zurückzugreifen. Um diese wechselnden Aufgaben ohne ständiges Ab- und Anmelden durchführen zu können, sollten Sie sich unter einem gültigen Benutzerkennwort anmelden und mit Hilfe des Befehls runas die Tools ausführen , für die weit gefasstere Berechtigungen erforderlich sind. runas [/profile] [/env] [/netonly] /user:Benutzerkontoname program
♦
set Zeigt Windows 2000-Umgebungsvariablen an, legt sie fest oder löscht W2K sie. Umgebungsvariablen steuern das Verhalten einiger Stapelverar- BAT beitungsdateien und Programme. Bestimmte Umgebungsvariablen legen das Erscheinungsbild und die Arbeitsweise von Windows 2000 und dem MS-DOS-Untersystem fest. Der Befehl set wird oft in der Datei AUTOEXEC.NT verwendet, um Umgebungsvariablen zu setzen. set [Variable=[Zeichenfolge]]
♦
setlocal Beginnt die Lokalisierung von Umgebungsvariablen in einem Stapel- W2K verarbeitungsprogramm. Dieser Vorgang wird so lange ausgeführt, bis der Befehl endlocal gefunden oder das Ende der Stapelverarbeitungsdatei erreicht wird. setlocal Option
♦
1030
Referenz Kommandozeilenbefehle
setver Legt die MS-DOS-Versionsnummer fest, die das MS-DOS-Teilsystem an ein Programm meldet.
DOS BAT
♦
setver[Laufwerk:Pfad] [Dateiname n.nn] setver [Laufwerk:Pfad] [Dateiname [/delete [/quiet]] Um die aktuelle Versionstabelle anzuzeigen, verwenden Sie folgende Syntax: setver [Laufwerk:Pfad]
shell Bestimmt den Namen und den Pfad eines alternativen Befehlsinterpreters, den Windows 2000 für das MS-DOS-Subsystem verwenden soll.
DOS BAT
♦
shell=[[Laufwerk:]Pfad] Dateiname [Parameter]
shift Ändert die Position ersetzbarer Parameter in einem Stapelverarbeitungsprogramm.
♦
shift Wurden die Befehlserweiterungen aktiviert (Standardeinstellung) unterstützt der Befehl shift die Option /n. Der Verschiebevorgang beginnt dann beim n-ten Argument, wobei n zwischen Null und Acht liegt.
stacks Unterstützt den dynamischen Einsatz von Datenstapeln (Stacks), um Hardwareunterbrechungsanforderungen zu bearbeiten. Um diese Umgebungsvariable verwenden zu können, fügen Sie sie in die Datei CONFIG.NT ein.
W2K
♦
stacks=n,s
start W2K
Erstellt ein neues Fenster, um ein angegebenes Programm oder einen angegebenen Befehl auszuführen.
Referenz Kommandozeilenbefehle
1031
start ["Titel"] [/dPfad] [/i] [/min][/max][/separate| /shared] [/low|/normal|/high|/realtime] [/wait] [/b] [Dateiname] [Parameter]
♦
subst Ordnet einem Pfad eine Laufwerkbezeichnung zu.
W2K
subst [Laufwerk1: [Laufwerk2:]Pfad]
♦
subst Laufwerk1: /d
switches Erzwingt, dass sich eine erweiterte Tastatur wie eine konventionelle W2K Tastatur verhält. Verwenden Sie diesen Befehl in der Datei CONFIG.NT. switches=/k
♦
tcmsetup Richtet den Telefonieclient ein. Verwenden Sie tcmsetup, um die von W2K einem Telefonieclient verwendeten Remoteserver festzulegen oder um den Client zu deaktivieren. tcmsetup [/q] [/x] /c Server1 [Server2 ... ServerN]
♦
tcmsetup [/q] /c /d
time Zeigt die Systemzeit an oder stellt die interne Uhr Ihres Computers.
W2K
time [Stunden:[Minuten[:Sekunden[.Hunderstel]]][A|P]]
♦
title Erstellt einen Titel für das Eingabeaufforderungsfenster. title [Zeichenfolge]
W2K BAT
♦
1032
Referenz Kommandozeilenbefehle
tree Zeigt die Verzeichnisstruktur eines Pfades oder des Datenträgers in einem Laufwerk grafisch an.
♦
tree [Laufwerk:][Pfad] [/f] [/a]
type Zeigt den Inhalt einer Textdatei an. Verwenden Sie den Befehl type, wenn Sie eine Textdatei anzeigen, sie aber nicht verändern möchten.
♦
type [Laufwerk:][Pfad] Dateiname
ver Zeigt die Versionsnummer von Windows 2000 an.
W2K
♦
ver
vol Zeigt die Datenträgerbezeichnung und (falls vorhanden) die Seriennummer eines Datenträgers an. Eine Seriennummer wird angezeigt, falls der Datenträger mit MS-DOS, Version 4.0 oder höher, formatiert wurde.
W2K
♦
vol [Laufwerk:]
winnt Führt eine Installation oder ein Update auf Windows 2000 durch.
W2K
♦
winnt [/s:Quellpfad] [/t:temp_Laufwerk] [/u:Antwortdatei] [/udf:ID [,UDF-Datei]] [/r:Ordner][/rx:Ordner][/e:Befehl][/a]
winnt32 w2K
Dient zur Einrichtung oder Aktualisierung von Windows 2000 Server oder Windows 2000 Professional. Sie können den Befehl winnt32 an der Eingabeaufforderung von Windows 95, Windows 98 oder Windows NT eingeben.
Referenz Kommandozeilenbefehle winnt32 [/s:Quellpfad] [/tempdrive:Laufwerk] [/unattend[Sekunden]:[Antwortdatei]] [/copydir:Ordnername] [/copysource:Ordnername] [/cmd:Befehlszeile] [/debug[Ebene]:[Dateiname]] [/udf:ID[,UDF-Datei]] [/syspart:Laufwerk] [/checkupgradeonly] [/cmdcons] [/m:Ordnername] [makelocalsource] [/noreboot]
1033 ♦
xcopy Kopiert Dateien und Verzeichnisse einschließlich der Unterverzeich- W2K nisse. xcopy Quelle [Ziel] [/w] [/p] [/c] [/v] [/q] [/f] [/l] [/d[:Datum]] [/u] [/i] [/s [/e]] [/t] [/k] [/r] [/h] [/a|/m] [/n] [/exclude:Dateiname] [/y | /-y] [/z]
♦
Programmieranweisungen für Stapeldateien
Umleitungssymbole ( > < >> ) Umleitungszeichen legen fest, woher ein Befehl seine Informationen bezieht und wohin er sie sendet. Normalerweise erhält Windows 2000 Eingaben von der Tastatur und sendet Ausgaben an den Bildschirm. D Ein- bzw. Ausgabe kann jedoch auch in eine Datei oder zu einem Drucker umgeleitet werden. Beispielsweise können Sie eine Verzeichnisliste vom Bildschirm in eine Datei umleiten. Verwenden Sie eines der folgenden Umleitungszeichen, um die Ein- Umleitungszeichen oder Ausgabe eines Befehls in eine Datei umzuleiten: •
Das Größer-als-Zeichen (>) sendet die Ausgabe eines Befehls an eine Datei oder an ein Gerät, beispielsweise einen Drucker. Einige Befehlsausgaben, beispielsweise Fehlermeldungen, können nicht mit Hilfe des Größer-als-Zeichens (>) umgeleitet werden.
•
Das Kleiner-als-Zeichen (>) fügt die Ausgabe eines Befehls an das Ende einer Datei an, ohne die schon in der Datei vorhandenen Informationen zu löschen.
1034
Referenz Kommandozeilenbefehle •
Die Zeichenfolge >& leitet die Ausgabe von einem der StandardEin-/Ausgabestreams (stdout, stdin, stderr) in den anderen um. So leiten beispielsweise Befehle der Form Befehl >Ausgabedatei 2>&1 alle Fehlermeldungen, die beim Ausführen von Befehl angezeigt werden, vom Bildschirm in die Standarddateiausgabe um. Nachfolgend sind die Zuordnungen zwischen Zahlenwerten und den Standardausgaben angezeigt:
Standardausgabe Entsprechender Zahlenwert
Umleiten der Ausgabe
Stdin
0
Stdout
1
Stderr
2
Fast alle Befehle senden die Ausgabe an den Bildschirm. Auch Befehle, die Ausgaben an ein Laufwerk oder einen Drucker senden, zeigen Meldungen und Eingabeaufforderungen auf dem Bildschirm an. Um die Ausgaben vom Bildschirm an eine Datei oder einen Drucker umzuleiten, verwenden Sie das Größer-als-Zeichen (>). Sie können das Größer-als-Zeichen bei den meisten Befehlen von Windows 2000 verwenden. Ein Beispiel: Im folgenden Befehl wird die vom Befehl dir erstellte Verzeichnisliste in die Datei VERLISTE.TXT umgeleitet. dir > verzeichnung.txt Falls die Datei VERZEICHNIS.TXT nicht existiert, wird sie erstellt, ansonsten ersetzt. Verwenden Sie das doppelte Größer-als-Zeichen (>>), um die Ausgabe eines Befehls an das Ende einer Datei anzuhängen, ohne schon in der Datei vorhandene Daten zu löschen. Ein Beispiel: Im folgenden Befehl wird die vom Befehl dir erstellte Verzeichnisliste an die Datei VERZEICHNIS.txt angehängt. dir >> verzeichnung.txt
Umleiten der Eingabe
Genau wie Sie die Ausgabe eines Befehls an eine Datei oder an einen Drucker statt an den Bildschirm senden können, besteht die Möglichkeit, die Eingabe für einen Befehl aus einer Datei statt von der Tastatur zu entnehmen. Verwenden Sie das Kleiner-als-Zeichen (