Dieses Buch ist die deutsche Übersetzung von: Microsoft Corporation, Microsoft Windows 2000 Server Deployment Planning Guide Microsoft Press, Redmond, Washington 98052-6399 Copyright 2000 by Microsoft Corporation
Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen davon entsteht. Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Bitte informieren Sie sich über die Jahr-2000-Fähigkeit Ihrer Microsoft Produkte im Jahr-2000Informationscenter unter der Telefonnummer 0800/1833654 (gebührenfrei) oder besuchen Sie die Microsoft Jahr-2000-Website www.microsoft.com/germany/jahr2000.
15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 03 02 01 00
Teilband von: ISBN: 3-86063-273-6 © Microsoft Press Deutschland (ein Unternehmensbereich der Microsoft GmbH) Edisonstraße 1, D-85716 Unterschleißheim Alle Rechte vorbehalten
Übersetzung: ATLAS GmbH, München Satz: mediaService, Siegen (www.mediaproject.net) Umschlaggestaltung: HommerDesign, Haar (www.HommerDesign.com) Herstellung, Druck und Bindung: Kösel, Kempten (www.KoeselBuch.de)
Herzlichen Dank an alle, die an diesem Buch mitgewirkt haben:
Abteilungsleiter: Paul Goode, Ken Western Dokumentationsmanager: Peggy Etchevers, Laura Burris, Martin DelRe Programmmanager für technische Referenzen: Louis Kahn, Ryan Marshall, Martin Holladay, Chris Hallum, Paul Sutton Microsoft Windows 2000 Server - Die technische Referenz: Einsatzplanung Programmmanager für den Band „Einsatzplanung“: Todd Hafer, John Gehlsen Dokumentationsmanager: Louise Rudnicki Leitende technische Autorin: Linda Apsley Autoren: Phyllis Collier, Pat Collins, August Depner, Todd Hafer, Stuart Kwan, Joy Miller, Darryl Mondrow, Susan Stevenson, Marc Strauch, Paul Thomsen, Joel Wingert, Roland Winkler, Ellen Zehr Leitende Redakteure: Jennifer Hendrix, Deborah Annan, Kate O'Leary Leitende Buchredaktion: Susan Stevenson Entwicklungsredaktion: Bonnie Birger, Sandra Faucett, Kristen Gill, Thelma Warren Redaktion: Scott Somohano, Mary Rose Sliwoski, Kate McLaughlin, Debbie Uyeshiro Softwareentwicklung für Tools der technischen Referenz: Dan Grube, Michael Hawkins, Zeyong Xu, Darryl Wood Softwareentwicklung für Dokumentationstools: Tom Carey, Ryan Farber, Amy Buck Produktionsleitung: Keri Grassl, Jason Hershey, Jane Dow, Sandy Dean Produktion: Lori Robinson, Dani McIntyre, Michael Faber Leitung der Indexerstellung: Jane Dow, Veronica Maier Index: Diana Rain Leitung Grafikdesign: Flora Goldthwaite Grafikdesigner: Chris Blanton, Siamack Sahafi KonzeptionelleGrafiken: Blaine Dollard, Jenna Kiter, Gabriel Varela Test: Jonathan Fricke, Brian Klauber, Jeremy Sullivan Windows 2000 Server – Die technische Referenz: Testlabor Manager: Edward Lafferty Administratoren: Deborah Jay, Grant Mericle, Dave Meyer, Dean Prince, Robert Thingwold, Luke Walker, Joel Wingert, Frank Zamarron Laborpartner: Cisco Systems, Inc., Compaq, Inc., Hewlett-Packard Corporation, Intel Corporation
TechnischeBeiträge: Paul Adare, Steven Adler, Brent Albrecht, Zubair Ansari, Michael Armijo, Sandy Arthur, David B. Harding, Bill Bain, Rudolph Balaz, Shelly Ballmer, Mark Bartlett, Peres Bayer, Pat Beacham, Mary Beihl, Sid Benavente, Peter Bergler, Andy Berschauer, Manish Bhatt, Amrik Bhogal, Shelly Bird, Frank Blando, Susan Boher, Richard Bond, Russ Bracewell, Kim Brandenburg, John Brezak, Kevin Briody, Eljin Brown, Peter Brundrett, Kevin Bushnell, David C. Winkler, Gavin Carius, Ty Carlson, Carl Carter-Schwendler, Brian Cates, Charlie Chase, Michael Cherry, Behrooz Chitsaz, Eric Churchill, Olivier Ciesielski, John Claugherty, Larry Cleeton, Arren Conner, Michael Conrad, Ray Cort, Ken Crocker, David Cross, Joseph Dadzie, Lamar Damata, Chris Darling, Joseph Davies, Tony de Freitas, Ann Demirtjis, Michael Dennis, Paul Dix, William Dixon, Sandy Donovan, Bo Downey, Simon Earnshaw, David Eitelbach, Joyce Etheridge, Neil Fairhead, Carl Fischer, Tom Fout, Daniel Fox, Michele Freed, Angie Fultz, Rod Gamache, John Gehlsen, Lee Gibson, Marsha Gladney, Bill Gloyeske, Jim Glynn, Mark Gordon, Mark Graceffa, Brad Graziadio, Douglas Groncki, Ye Gu, Shai Guday, Vic Gupta, Don Hacherl, Scott Harang, Andy Harjanto, Brent Harman, Shaun Hayes, Scott Haynie, Sid Hayutin, Bob Heath, André Heim, David Heuss, Sue Hill Grinius-Hill, Anne Hopkins, Seth Hummel, Steve Hvidsten, John Jackson, Michael Jacquet, Romano Jerez, Margaret Johnson, Nikhil Joshi, Steven Judd, Nitin Kanase, Jan Keller, MaryEllen Kennedy, Anat Kerry, Glenn Kieser, Sachin Kukreja, Scott Kuntz, Stuart Kwan, Edward Lafferty, Demetrios Lambrou, Terry Lanfear, Gerry Lang, Klaas Langhout, Robert Larson, Mark Lawrence, Wook Lee, Eric Leseberg, Darlene Lewis-Chinn, Jason Leznek, Jimin Li, Larry Lieberman, Doug Lindsey, Adele Loessberg, Chris Lowde, Hong Lu, Pankaj Lunia, Andreas Luther, Valerie Lutz, Dave MacDonald, Sharon Maffett, Will Martin, Steve Marzulla, Michael McCartney, Patrick McFarland, Andrew McGehee, Randy McKee, Ed McLees, Lyle Meier, Wayne Melvin, John Miller, Pradyumna Misra, Sharon Montgomery, Brian Moore, Tim Moore, Johann Muller, Elliott Munger, Diana Murray, Mark Myers, Joe Neal, Randy Neal, Gregory Newman, Allen Nieman, Karl Noakes, Noel Nyman, Michael Ohata, Lars Opstad, Derrick Orlando, Chris O'Rourke, Krishnan P. Iyer, Luke Packard, Sivaprasad Padisetty, Ashwin Palekar, Jeff Parham, Rashmi Patankar, Dan Perry, Kurt Phillips, Glenn Pittaway, David Potter, Bohdan Raciborski, Kartik Raghavan, Bjorn Rettig, Michael Rian, Brady Richardson, Allison Robin, Ingrid Robson, Cynda Rochester, Yordan Rouskov, Donald Rule, David S. Loudon, John Sanchez, Benjamin Savage, Angela Schmeil, Craig Schwandt, Hannes Sehestedt, Jim Selders, Mark Sestak, Kyle Shannon, Art Shelest, Ron Sherrell, Karthik Sridharan, Eric Stadter, Jonathan Stephens, Matthew Storer, Tom Stratton, Marc Strauch, Chittur Subbaraman, Ace Swerling, Bogdan Tepordei, Varadarajan Thiruvillamalai, Jeff Thomas, Manoj Thomas, Dan Thompson, Rob Trace, David Trulli, Luis Ulloa, Ron Van Zuylen, Helle Vu, Mike Ware, Peter Waxman, Tammy White, Christer Wikström, Kevin Willems, Jon Wojan, Mark Wood, Valerie Wright, Julie Xu, Zev Yanovich, Glen Zorn Ein besonderer Dank gilt den Partnern, die wesentlich zum Entstehen dieser Dokumentation beigetragen haben:
Compaq, Credit Suisse First Boston, Merrill Lynch, Nortel Networks, Siemens, Texaco
vi
Inhaltsverzeichnis Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii Wissenswertes über die Einsatzplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii Wissenswertes über diese Referenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv Dokumentkonventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Symbole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Die CD zur technischen Referenz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviii Supporthinweise für die technischen Referenz . . . . . . . . . . . . . . . . . . . . . . xxix
Teil I
Planung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 . . . . . . . . . . . . . . . . 3 Erste Schritte bei der Erstellung des Plans . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Optimale Nutzung dieses Buchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Der Planungsbeginn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Die Produktfamilie von Windows 2000 im Überblick . . . . . . . . . . . . . . . . . . . 6 Windows 2000 Professional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Windows 2000 Server-Familie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Terminaldienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Windows 2000 optimal einsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 IT-Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Abteilungsleiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Verkaufsrepräsentant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Beispiele für den optimalen Einsatz von Windows 2000 in einer Geschäftsumgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Fallstudie 1: Amerikanische Herstellerfirma . . . . . . . . . . . . . . . . . . . . . . . . 13 Fallstudie 2: Große multinationale Herstellerfirma . . . . . . . . . . . . . . . . . . . 15 Fallstudie 3: Multinationales Finanzdienstleistungsunternehmen . . . . . . . . 16 Fallstudie 4: Internationales Softwareentwicklungsunternehmen . . . . . . . 18 Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen . . . . . 20 Dienste zur Verwaltung der Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . 21 Desktopverwaltungslösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Sicherheitsfunktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Veröffentlichen und Freigeben von Informationen . . . . . . . . . . . . . . . . . . 24 Komponentenanwendungsdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Skalierbarkeit und Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Netzwerk- und Kommunikationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . 27 Speicherverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Planungstaskliste für die Zuordnung von Windows 2000-Funktionen . . . . . 29
Inhaltsverzeichnis
vii
Kapitel 2 ErstelleneinesEinsatzwegweisers . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Projektplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten des Projektplanungsprozesses . . . . . . . . . . . . . . . . . . . . . . . . Ermitteln von Zielsetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsentwurf und -entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows 2000-Pilotprojekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Produktionseinführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsszenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Szenario 1: MultinationalesFinanzdienstleistungsunternehmen. . . . . . . . . Szenario 2: Multinationaler Hersteller von Konsumgütern und industriellen Erzeugnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichtungsteams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Technologieabhängigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipps für die Planung der Windows 2000-Einrichtung . . . . . . . . . . . . . . . . . Planungstaskliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31 32 33 35 36 37 38 38 39
Kapitel 3 Planen desEinsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Einzelheiten des Projektplans . . . . . . . . . . . . . . . . . . . . . . . . . . Projektumfang und -zielsetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Personalbedarf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AktuelleComputerumgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Standards und Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen einer Lückenanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen von Windows 2000 und Durchführen eines Pilotprojekts . . . . . . . . . Zusammenstellen von Unterlagen für die Projektplanung. . . . . . . . . . . . . . . . AdministrativeDokumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichtungsunterlagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsbeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommunikationsstrategie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schulungsplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapazitätsplanung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten von Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Taskliste für die Einsatzplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61 62 62 63 67 69 69 70 71 71 73 74 74 75 76 77 81 82
Kapitel 4 Erstellen eines Testlabors für Windows 2000 . . . . . . . . . . . . . . . . . . . . Vorbereiten der Testumgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufbauen einer Testumgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Labors für das Risikomanagement . . . . . . . . . . . . . . . . . Laborentwicklungsprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten eines vorläufigen Labors. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Strategie für das Labor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überlegungen zur Investitionsrentabilität. . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Labors während des Projekts . . . . . . . . . . . . . . . . . . . . . Bewerten von Labormodellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85 86 86 87 87 89 90 90 91 91 93
45 45 55 56 60
viii
Inhaltsverzeichnis
Auswählen eines Labormodells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Auswählen eines Laborstandorts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Testen in einer verteilten Laborumgebung. . . . . . . . . . . . . . . . . . . . . . . . . 98 Entwerfen des Labors. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Voraussetzungen für das Entwerfen des Labors. . . . . . . . . . . . . . . . . . . 100 Entwürfe für Testszenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Dokumentieren der Laborkonfiguration. . . . . . . . . . . . . . . . . . . . . . . . . . 109 Erstellen des Labors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Verwalten des Labors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Verpflichtungen der Laborverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Entwickeln von Laborrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Aufstellen eines Weiterleitungsplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Erstellen des Testplans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Entwerfen von Testfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Durchführen von Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Dokumentieren von Testergebnissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Testen nach der Einrichtung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Verwenden des Labors für das Änderungsmanagement. . . . . . . . . . . . . 124 Definieren der Rolle des Labors im Änderungsmanagement . . . . . . . . . 125 Planungstasklisten für Labortests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Taskliste für die Laborvorbereitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Taskliste für Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Kapitel 5 Ausführen des Pilotprojekts für Windows 2000. . . . . . . . . . . . . . . . . . . Überblick über das Durchführen eines Pilotprojekts . . . . . . . . . . . . . . . . . . Pilotprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beginnen mit der Informationstechnologie . . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für ein Produktionspilotprojekt . . . . . . . . . . . . . . . . . . Erstellen eines Pilotprojektplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Umfang und Zielsetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzer und Standorte für das Pilotprojekt . . . . . . . . . . . . . . . . . . . . . . Schulungsplan für das Pilotprojekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Supportplan für das Pilotprojekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rollbackplan für das Pilotprojekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zeitplan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten des Pilotprojekts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Standorte für das Pilotprojekt . . . . . . . . . . . . . . . . . . . . Vorbereiten der Benutzer im Pilotprojekt. . . . . . . . . . . . . . . . . . . . . . . . . Entwickeln des Rolloutprozesses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten des Pilotprojekts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bewerten des Pilotprojekts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen des Pilotprojekts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einholen von Rückmeldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
129 130 130 131 132 132 133 134 135 135 136 136 137 137 138 138 139 140 140 141 141
Inhaltsverzeichnis
ix
Planungstaskliste für die Durchführung eines Pilotprojekts. . . . . . . . . . . . . 142
Teil II
Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000 . . . . . . . . . . . Dokumentieren der aktuellen Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware- und Softwareinventar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datei-, Druck- und Webserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unternehmensanwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Architektur der Verzeichnisdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Netzwerkarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitende Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der physikalischen Infrastruktur . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Domänencontroller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Mitgliedsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Sicherheitsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Zusammenarbeit mit anderen Systemen . . . . . . . . . . . . Taskliste für die Vorbereitung der Netzwerkinfrastruktur . . . . . . . . . . .
145 146 146 148 151 152 152 154 155 157 158 159 160 161 161 163 164 165
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen . . . . . . . . . . . . . . Netzwerkverbindung – Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Standorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remoteverbindungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Interne LAN-Verbindung innerhalb von Standorten . . . . . . . . . . . . . . . . Externe Verbindung innerhalb einer Organisation. . . . . . . . . . . . . . . . . . . . . Entwerfen der DMZ (Demilitarized Zone). . . . . . . . . . . . . . . . . . . . . . . . Standortverbindung für eine Organisation. . . . . . . . . . . . . . . . . . . . . . . . Remoteclientverbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows 2000 TCP/IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue Funktionen in der Windows 2000-TCP/IP-Protokollfamilie . . . . . Planungsüberlegungen für Microsoft-TCP/IP . . . . . . . . . . . . . . . . . . . . . TCP/IP und WINS (Windows Internet Name Service) . . . . . . . . . . . . . Routing und RAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPNs mit PPTP (Point-to-Point Tunneling Protocol). . . . . . . . . . . . . . . VPNs mit L2TP über IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internetauthentifizierungsdienst (IAS) und zentralisierte Verwaltung . . . Mehrfachvernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IP-Routinginfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPX-Routingstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AppleTalk-Routingstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
167 168 168 168 168 171 171 172 173 173 174 175 177 177 180 181 181 186 187 187 193 194
x
Inhaltsverzeichnis
Multicastunterstützung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Netzwerkadressübersetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Teil III
Windows 2000 DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Vorteile von DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue Funktionen von Windows 2000 DHCP . . . . . . . . . . . . . . . . . . . . . DHCP-Entwurf für Ihr Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows 2000 ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Vorteile von Windows 2000 ATM . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionen von Windows 2000 ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . Überlegungen zum ATM-Entwurf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS (Quality of Service) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für Netzwerkstrategien . . . . . . . . . . . . . . . . . . . . . . . . . . .
197 197 197 199 201 201 201 204 205 206
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Analysieren der Netzwerkinfrastruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von SMS (Systems Management Server) . . . . . . . . . . . . . . Wie SMS die Einrichtung von Windows 2000 unterstützt . . . . . . . . . . . Unterschiede zu SMS 1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erfassen von Inventar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bewerten des aktuellen Stands Ihrer Hardware. . . . . . . . . . . . . . . . . . . . Bewerten des aktuellen Stands Ihrer Software . . . . . . . . . . . . . . . . . . . . Verwenden des Inventars für die Vorbereitung der Netzwerkinfrastruktur Melden der erfassten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Analysieren und Verwenden der erfassten Daten . . . . . . . . . . . . . . . . . . Überwachen des Netzwerks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherstellen der Anwendungskompatibilität . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste zur Netzwerkanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
207 208 208 210 211 212 212 215 216 216 221 222 224 225 225
Active Directory-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Kapitel 9 Entwerfen der ActiveDirectory-Struktur . . . . . . . . . . . . . . . . . . . . . . . . Active Directory– eine Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Primäre Funktionen von Active Directory. . . . . . . . . . . . . . . . . . . . . . . . Grundlage für neue Technologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen von Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AllgemeinePlanungsprinzipien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammensetzen der Pläne für die Active Directory-Struktur . . . . . . . . Erstellen eines Gesamtstrukturplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungsprozess für die Gesamtstruktur. . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Anzahl der Gesamtstrukturen für das Netzwerk . . . . . . . Erstellen einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
229 230 230 232 233 234 235 235 237 238 241
Inhaltsverzeichnis
Ändern des Gesamtstrukturplans nach der Einrichtung . . . . . . . . . . . . . Erstellen eines Domänenplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungsprozess für die Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Anzahl der Domänen in jeder Gesamtstruktur . . . . . . . . . Wählen einer Gesamtstruktur-Stammdomäne . . . . . . . . . . . . . . . . . . . . . Zuweisen von DNS-Namen zum Erstellen einer Domänenhierarchie . . . Planen der Einrichtung von DNS-Servern. . . . . . . . . . . . . . . . . . . . . . . . Optimieren der Authentifizierung mit verknüpften Vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ändern des Domänenplans nach der Einrichtung . . . . . . . . . . . . . . . . . . Erstellen eines Plans für Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . OU-Struktur und Geschäftsstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungsprozess für Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . Erstellen von Organisationseinheiten zur Delegierung von Administrationsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Organisationseinheiten, um Objekte zu verbergen. . . . . . . Erstellen von Organisationseinheiten für Gruppenrichtlinien. . . . . . . . . . Änderung des Plans für Organisationseinheiten nach der Einrichtung . . Erstellen eines Standorttopologieplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungsprozess für die Standorttopologie . . . . . . . . . . . . . . . . . . . . . . . Definieren von Standorten und Standortverknüpfungen . . . . . . . . . . . . . Platzieren der Server in den Standorten. . . . . . . . . . . . . . . . . . . . . . . . . . Ändern des Gesamtstrukturplans nach der Einrichtung . . . . . . . . . . . . . Planungstaskliste für das Entwerfen der Active Directory-Struktur . . . . . . Kapitel 10 Bestimmen der Strategien für die Domänenmigration. . . . . . . . . . . . . . Beginn des Migrationsplanungsprozesses . . . . . . . . . . . . . . . . . . . . . . . . . . . Phasen im Planungsprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestimmen des Migrationswegweisers . . . . . . . . . . . . . . . . . . . . . . . . . . Überlegungen zur Migration von Domänen. . . . . . . . . . . . . . . . . . . . . . . Planen der Aktualisierung von Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestimmen der unterstützten Aktualisierungspfade . . . . . . . . . . . . . . . . . Überprüfen der vorhandenen Domänenstruktur . . . . . . . . . . . . . . . . . . . Erstellen eines Wiederherstellungsplans. . . . . . . . . . . . . . . . . . . . . . . . . . Der Übergang zur Windows 2000-Gesamtstruktur . . . . . . . . . . . . . . . . Erwägen der Aktualisierung von Ressourcendomänen . . . . . . . . . . . . . . Bestimmen der Strategie für die Aktualisierung von Domänencontrollern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestimmen der Reihenfolge für die Aktualisierung von Domänen . . . . . Bestimmen des Zeitpunkts für den Wechsel in den einheitlichenModus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen von Windows 2000-Gruppen. . . . . . . . . . . . . . . . . . . . . . . . Verwenden von NetBIOS mit Windows 2000 . . . . . . . . . . . . . . . . . . . . Übergang zum Dateireplikationsdienst. . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Routing und RAS in einer gemischten Umgebung . . . .
xi
242 242 244 244 254 255 261 264 265 267 268 269 270 276 276 277 277 279 280 284 286 287 289 290 290 291 295 299 300 301 302 303 303 305 312 317 318 322 323 327
xii
Inhaltsverzeichnis
Planen der Umstrukturierung von Domänen . . . . . . . . . . . . . . . . . . . . . . . . Bestimmen der Gründe für die Umstrukturierung von Domänen. . . . . . Bestimmen des Zeitpunkts für die Umstrukturierung von Domänen . . . Untersuchen der Auswirkungen der Umstrukturierung von Domänen. . Szenarios für die Umstrukturierung von Domänen . . . . . . . . . . . . . . . . . Tools für die Domänenmigration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ClonePrincipal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netdom. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für die Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
328 328 329 330 338 342 343 344 345
Kapitel 11 Planen der verteilten Sicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entwickeln eines Netzwerksicherheitsplans . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitskonzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Strategien zur verteilten Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierendes Zugriffs von allen Benutzern . . . . . . . . . . . . . . . . . . . . Überlegungen zu Planung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos-Authentifizierung und Vertrauen . . . . . . . . . . . . . . . . . . . . . . . Smartcard-Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remotezugriff (RAS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anwenden der Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zugriffskontrolllisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten von Vertrauensstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vertrauensstellungen zwischen Domänen. . . . . . . . . . . . . . . . . . . . . . . . Aktivieren des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verschlüsselndes Dateisystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IP-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen einheitlicher Sicherheitsrichtlinien. . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitseinstellungen der Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . Sicherheitsvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einsetzen sicherer Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authenticode und Signieren von Software . . . . . . . . . . . . . . . . . . . . . . . Sichere E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sichere Websites und Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Delegieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste zur verteilten Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . .
347 348 349 350 354 355 356 357 359 360 362 363 364 370 370 373 374 376 379 380 382 386 388 389 390 392 393 393 395 397
Kapitel 12 Planen der Infrastruktur füröffentliche Schlüssel . . . . . . . . . . . . . . . . 401 Überblick über die Infrastruktur für öffentliche Schlüssel . . . . . . . . . . . . . 402 Funktionsweise der Infrastruktur für öffentliche Schlüssel . . . . . . . . . . 402
Inhaltsverzeichnis
Voraussetzungen für das Implementieren von Infrastrukturen für öffentliche Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So implementieren Sie die Infrastruktur für öffentliche Schlüssel . . . . . Aufbauen der Infrastruktur für öffentliche Schlüssel . . . . . . . . . . . . . . . . . Entwerfen der Infrastruktur für öffentliche Schlüssel . . . . . . . . . . . . . . . . . Erkennen der Zertifikatsanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Zertifikatsrichtlinien und Zertifizierungsstellenmethoden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Vertrauensstrategien für die Zertifizierungsstelle . . . . . . . Festlegen der Sicherheitsanforderungen für Zertifizierungsstellen . . . . . Festlegen des Zyklus bei Zertifikaten. . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Prozesse für die Zertifikatseinschreibung und -erneuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Richtlinien für Zertifikatssperren . . . . . . . . . . . . . . . . . . . Festlegen von Verwaltungsstrategien . . . . . . . . . . . . . . . . . . . . . . . . . . . Entwickeln optionaler benutzerdefinierter Anwendungen . . . . . . . . . . . . . . Durchführen der Ressourcenplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten der Infrastruktur für öffentliche Schlüssel . . . . . . . . . . . . . . . . . Planen der Produktionseinführung in Stufen . . . . . . . . . . . . . . . . . . . . . . Installieren von Zertifizierungsstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren und Konfigurieren von unterstützenden Systemen und Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der auszustellenden Zertifikate . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Veröffentlichung von Zertifikatssperrlisten . . . . . . . . Konfigurieren von Gruppenrichtlinien für öffentliche Schlüssel . . . . . . . Konfigurieren von Zertifikatserneuerungen und -einschreibungen . . . . . Beginnen mit dem Ausstellen von Zertifikaten. . . . . . . . . . . . . . . . . . . . . Planungstaskliste für eine Infrastruktur für öffentliche Schlüssel . . . . . . . .
Teil IV
xiii
404 405 407 408 408 411 412 415 416 418 419 419 421 422 423 423 425 425 426 427 427 429 429 430
Windows 2000 – Aktualisierung und Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Kapitel 13 Automatisieren der Serverinstallation und derAktualisierung . . . . . . . Festlegen einer Aktualisierung oder Neuinstallation . . . . . . . . . . . . . . . . . . . Lösen wichtiger Planungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auswählen der Installationsmethode . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Distributionsordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Antwortdatei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Setup-Befehle für Windows 2000 . . . . . . . . . . . . . . . . . Automatisieren der Installation von Serveranwendungen. . . . . . . . . . . . . . . Verwenden von Cmdlines.txt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Abschnitts [GuiRunOnce] der Antwortdatei . . . . . . . . . Automatisieren der Installation von Windows 2000 Server . . . . . . . . . . . . . Neue Optionen für die automatisierte Installation . . . . . . . . . . . . . . . . . . Methoden für automatisierte Installationen . . . . . . . . . . . . . . . . . . . . . . .
433 434 434 436 436 437 445 450 452 453 454 456 457 458
xiv
Inhaltsverzeichnis
Verwenden von Syspart auf Computern mit unterschiedlicher Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Sysprep zum Duplizieren von Festplatten. . . . . . . . . . . Verwenden von SMS (Systems Management Server) . . . . . . . . . . . . . . Verwenden einer Boot-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
459 461 470 470
Beispiele zu Installationskonfigurationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorhandene Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für die Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
471 471 474 475
Kapitel 14 Verwenden von Systems Management Serverzum Einrichten von Windows2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Systems Management Server zum Verteilen von Software Softwareverteilung mit Hilfe von Systems Management Server 2.0 . . . SMS und das Einrichten von Windows 2000 . . . . . . . . . . . . . . . . . . . . . Packen von Windows 2000 für Systems Management Server . . . . . . . . . . Vorbereiten des Windows 2000 Server-Aktualisierungspakets. . . . . . . . Zulassen von Benutzereingaben während der Aktualisierung . . . . . . . . . Überprüfen der Windows 2000 Server-Paketdefinition . . . . . . . . . . . . . Vorbereiten des Windows 2000 Professional-Aktualisierungspakets . . . Verteilen der Windows 2000-Pakete. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Paketverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verteilen der Pakete an Standorte und Verteilungspunkte . . . . . . . . . . . . Überwachen der Verteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung bei der Verteilung . . . . . . . . . . . . . . . . . . . . . . . . . . Ankündigen der Windows 2000-Pakete . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auswählen von Computern für die Aktualisierung . . . . . . . . . . . . . . . . . Vorbereiten der Clients auf das Empfangen von Ankündigungen. . . . . . Ankündigen der Pakete für Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweitern der Sicherheit an den Verteilungspunkten. . . . . . . . . . . . . . . . Aktualisieren von Computern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen der Ankündigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung bei Ankündigungen . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Systems Management Server zum Vereinfachen der Domänenkonsolidierung und -migration. . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterschiede zwischen Systems Management Server 1.2 und Systems Management Server 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für das Verwenden von Systems Management Server zum Einrichten von Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusätzliche Informationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
477 478 479 482 483 484 486 487 488 491 491 494 496 499 500 500 501 502 503 503 505 508 509 510 511 511
Kapitel 15 Aktualisieren und Installieren von Mitgliedsservern. . . . . . . . . . . . . . . 513 Planen der Aktualisierung und Installation für Mitgliedsserver . . . . . . . . . . 514 Prozess zum Installieren oder Aktualisieren von Windows 2000 . . . . . . 514
Inhaltsverzeichnis
Erstellen eines Aktualisierungs- und Installationsplans . . . . . . . . . . . . . . Vorbereiten der Mitgliedsserver für die Aktualisierung bzw. dieNeuinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestandsaufnahme der vorhandenen Hardware. . . . . . . . . . . . . . . . . . . . Festlegen der Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestimmen der Kompatibilität und Zuverlässigkeit der vorhandenen Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kompatibilität der verwendeten Software von Drittanbietern. . . . . . . . . Durchführen von Aufgaben vor der Installation . . . . . . . . . . . . . . . . . . . Durchführen einer Aktualisierung oder Installation . . . . . . . . . . . . . . . . . . . Checkliste für Aktionen vor einer Aktualisierung . . . . . . . . . . . . . . . . . . Aktualisieren von Mitgliedsservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen einer Neuinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Serverrollen für jeden Server unter Windows 2000 . . . . . . . Dateiserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anwendungsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Webserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Proxyserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen von Tasks nach der Aktualisierung und Installation . . . . . . . . Testen der Netzwerkverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellen der Netzwerkserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Systemverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für die Mitgliedsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 16 Einrichten der Terminaldienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überblick über die Terminaldienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lizenzkomponenten für die Terminaldienste . . . . . . . . . . . . . . . . . . . . . . Erweiterungen durch Dritthersteller . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen des Einsatzplans für die Terminaldienste . . . . . . . . . . . . . . . . . . . . Einrichtungsprozess für die Terminaldienste. . . . . . . . . . . . . . . . . . . . . . Zusammenstellen des Terminaldiensteteams . . . . . . . . . . . . . . . . . . . . . . Definieren der Anforderungen für die Terminaldienste. . . . . . . . . . . . . . Vorbereiten der Systemumgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen des Einrichtungsentwurfs für die Terminaldienste . . . . . . . . . . . . Einrichten eines Lizenzservers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkdesign für den Terminaldienstezugriff . . . . . . . . . . . . . . . . . . . Netzwerklastenausgleich und Terminaldienste . . . . . . . . . . . . . . . . . . . . Entwerfen und Erstellen der Domänenstruktur . . . . . . . . . . . . . . . . . . . . Windows 2000-Benutzerprofile oder servergespeicherte Benutzerprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Basisverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsvorkehrungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remotezugriffe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serverkonfiguration für die Einrichtung der Terminaldienste . . . . . . . . . . .
xv
515 517 517 517 518 519 519 520 520 522 522 523 523 525 528 529 530 531 531 532 533 533 535 536 537 540 540 540 541 541 546 548 549 553 553 554 555 558 559 563 563
xvi
Inhaltsverzeichnis
Vorbereiten der Clienteinrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichtung auf Windows CE-basierten Terminals . . . . . . . . . . . . . . . . . Einrichtung auf Clientcomputern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren auf die Terminaldienste . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren und Konfigurieren von Anwendungen . . . . . . . . . . . . . . . . . Unterstützen mehrsprachiger und internationaler Benutzer . . . . . . . . . . . Drucken unter den Terminaldiensten. . . . . . . . . . . . . . . . . . . . . . . . . . . . Bewährte Methoden der Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . Planen der Test- und Pilotphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überlegungen zum Testlabor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen der Systemleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Support und Verwaltungsprogramme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remotesteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwaltungsprogramme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Taskliste für die Einsatzplanung der Terminaldienste. . . . . . . . . . . . . . . . . .
Teil V
565 565 566 566 567 568 569 571 571 571 572 574 575 575 576
Erweiterte Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000 . . . . . . . . . . . . . . . . Planen der Netzwerksicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Abschätzen der Sicherheitsrisiken im Netzwerk . . . . . . . . . . . . . . . . . . . Festlegen der Servergröße und -platzierung . . . . . . . . . . . . . . . . . . . . . . Schulung der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entwickeln von Sicherheitsrichtlinien und -verfahren. . . . . . . . . . . . . . . Erstellen eines Einsatzplans für die Sicherheitstechnologien. . . . . . . . . . Identifizieren von Benutzerkategorien und deren Sicherheitsanforderungen und Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . Entwickeln von Strategien für sichere Netzwerkverbindungen . . . . . . . . . . Einrichten sicherer Grenzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schutzmaßnahmen gegen „Jeder“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten der Netzwerksicherheitstechnologien . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Windows 2000-Netzwerksicherheitstechnologien . . . . Routing und RAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virtuelle private Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internetauthentifizierungsdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Strategien für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Strategien für Partner. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Taskliste zur Planung der Netzwerksicherheitsstrategien . . . . . . . . . . . . . . Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hohe Verfügbarkeit von Anwendungen und Diensten . . . . . . . . . . . . . . . . . Übersicht über Windows 2000 Advanced Server . . . . . . . . . . . . . . . . . . Prozess zum Herstellen hoher Anwendungs- und Diensteverfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
579 580 581 582 583 583 584 584 585 585 586 588 588 589 592 597 598 599 601 603 604 604 605
Inhaltsverzeichnis
Übersicht über Windows Clustering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Verfügbarkeitsstrategien . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenstellen des Clusterplanungsteams . . . . . . . . . . . . . . . . . . . . . . Ermitteln des Bedarfs für hohe Verfügbarkeit von Anwendungen und Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen des Netzwerklastenausgleichs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungsprozess für Netzwerklastenausgleich-Cluster. . . . . . . . . . . . . . Planen des Clusterdienstes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungsprozess für Servercluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Programme zur Automatisierung der Clusterdiensteinrichtung . . . . . . . . Clusteroptimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen fehlertoleranter Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware-RAID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerkorrektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen der Serverkapazität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen einer Clustersicherungs- und Wiederherstellungsstrategie . . . . . . . . Planungstaskliste für Windows 2000 Clustering . . . . . . . . . . . . . . . . . . . . . Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 19 Festlegen der Speicherverwaltungsstrategienvon Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbessern der Speicherverwaltungsfunktionen . . . . . . . . . . . . . . . . . . . . . Erstellen des Speicherverwaltungsplans . . . . . . . . . . . . . . . . . . . . . . . . . Analysieren des Speicherbedarfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auswählen eines Datenspeichersystems . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Datenträgerressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festplattenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wechselmedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remotespeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Optimieren der Datenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbesserungen des Dateisystems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verteiltes Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Indexdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbesserter Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlertoleranz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eine Datenschutzstrategie für Unternehmensnetzwerke . . . . . . . . . . . . . Verbessern der Notfallwiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Sicherungsrichtlinien und Richtlinien zur Aufbewahrung außerhalb des Standorts . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Plans zur Notfallwiederherstellung . . . . . . . . . . . . . . . . . Planungstaskliste für die Speicherverwaltung . . . . . . . . . . . . . . . . . . . . . . .
xvii
606 607 607 608 611 612 622 623 640 641 642 642 643 643 644 645 646 647 648 648 649 651 652 653 657 658 660 661 662 665 667 670 670 671 672 672 673 674 676
Kapitel 20 Synchronisieren vonActive Directory mit dem ExchangeServer-Verzeichnisdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
xviii
Inhaltsverzeichnis
Überblick über die Verzeichnissynchronisation . . . . . . . . . . . . . . . . . . . . . . Verfahren zum Synchronisieren der Verzeichnisse . . . . . . . . . . . . . . . . . Softwarekomponenten in Windows 2000 Server . . . . . . . . . . . . . . . . . . Erstellen des ADC-Verbindungsabkommensplans . . . . . . . . . . . . . . . . . . . . Zusammenstellen des Einrichtungsteams . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Domänenstruktur sowie der Topologie des Exchange Server-Standorts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten des Netzwerks für die ADC-Einrichtung. . . . . . . . . . . . . . . Verwalten von Objekten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Objekten für die Verzeichnissynchronisation. . . . . . . . . . Einrichten von Verbindungsabkommen. . . . . . . . . . . . . . . . . . . . . . . . . . Testen der Verbindungsabkommenskonfigurationen . . . . . . . . . . . . . . . Erstellen eines Zeitplans für die Verzeichnissynchronisation . . . . . . . . . Schutz vor unbeabsichtigtem Datenverlust . . . . . . . . . . . . . . . . . . . . . . . . . Aufgabenliste zur Planung der Verzeichnissynchronisation . . . . . . . . . . . . . Zusätzliche Informationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Teil VI
Windows 2000 Professional/Clienteinrichtung
678 678 679 683 683 684 685 692 694 696 704 705 706 708 709
...............................
711
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000. . . . . . . . . . Übersicht über das Testen von Anwendungen . . . . . . . . . . . . . . . . . . . . . . . Definition der Geschäftsanwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . Anwendungstestverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Anwendungstests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität . . . . . . . . Ermitteln der Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ordnen der Anwendungen nach Priorität . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten eines Anwendungstestplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen des Umfangs der Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Testmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Ressourcenanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Bewertungskriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufstellen eines Testzeitplans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen von Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entwickeln einer Teststrategie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AllgemeineKompatibilitätsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protokollieren von Testergebnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auswählen eines Protokollierungssystems . . . . . . . . . . . . . . . . . . . . . . . Erfassen von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufzeichnen der Ergebnisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Kompatibilitätsproblemen bei Anwendungen . . . . . . . . . . . . . Planungstaskliste für Anwendungstests . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
713 714 714 714 715 716 716 719 720 721 721 723 724 724 724 725 730 731 732 733 733 734 736 736
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität.
. . . . . . . . . . . . . . . . . 737
Inhaltsverzeichnis
xix
Überblick über die Clientkonnektivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundlagen der Clientkonnektivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows 2000-Dienste und -Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . Windows-Clients und Novell-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows-Clients in einer gemischten Novell NetWare- und Windows 2000 Server-Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ErweiterteClientkonnektivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ATM (Asynchronous Transfer Mode) . . . . . . . . . . . . . . . . . . . . . . . . . . RAS-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
738 739 740 743
Möglichkeiten zur Verbindung von Remotenetzwerken. . . . . . . . . . . . . . . . SOHO-Netzwerke (Small Office/Home Office) . . . . . . . . . . . . . . . . . . . Mittlere bis große Netzwerke. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für die Clientkonnektivität. . . . . . . . . . . . . . . . . . . . . . . . .
749 750 754 758
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbessern der Verwaltung von Clientsystemen . . . . . . . . . . . . . . . . . . . . . Definieren von Benutzertypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definieren von Softwarestandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definieren von Hardwarestandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Analysieren wichtiger Supportprobleme . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen des Verwaltungsmodells sowie der entsprechenden Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Clients unter Verwendung der Gruppenrichtlinie . . . . . . . . . Vergleichen der Windows NT 4.0-Systemrichtlinie mit der Windows 2000-Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Active Directory zum Delegieren der Clientverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vergleichen von eigenständigen und auf Active Directory basierenden Verwaltungsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterstützung des Dateisystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardwareprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Benutzeroberflächenstandards. . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Gruppenrichtlinie zur Konfigurationssteuerung . . . . . . . Hinzufügen mehrsprachiger Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbessern der Eingabehilfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für Clientstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 24 Anwenden der Änderungs- undKonfigurationsverwaltung. . . . . . . . . Bewerten der Änderungs- und Konfigurationsverwaltung. . . . . . . . . . . . . . Technologien zum Aktivieren der Änderungs- und Konfigurationsverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von SMS als Ergänzung zu IntelliMirror . . . . . . . . . . . . . . . Planen des erweiterten Clientsupports mit IntelliMirror . . . . . . . . . . . . .
744 747 747 748
759 760 762 764 765 767 768 770 770 774 783 785 786 786 787 788 792 797 800 801 802 804 807 809
xx
Inhaltsverzeichnis
Aktivieren der Remoteinstallation des Betriebssystems . . . . . . . . . . . . . . . . Festlegen der Benutzeranforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Remoteinstallation des Betriebssystems . . . . . . . . . . . . . Verwenden einer Gruppenrichtlinie zum Verbessern der Softwareverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Softwareverteilung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verteilen von Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zielgerichtete Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Software mit Hilfe von IntelliMirror . . . . . . . . . . . . . . . .
810 811 811
Verwalten von Benutzerdaten und -einstellungen in einem Netzwerk . . . . . Aktivieren servergespeicherter Benutzerprofile . . . . . . . . . . . . . . . . . . . . Umleiten von Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Synchronisation von Offlinedateien . . . . . . . . . . . . . . Einrichten von Datenträgerkontingenten . . . . . . . . . . . . . . . . . . . . . . . . . Auswählen von Änderungs- und Konfigurationsverwaltungsoptionen für die Organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überblick über standardmäßige und erweiterte Optionen . . . . . . . . . . . . Anforderungen technischer Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen stationärer Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen mobiler Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen reisender Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen aufgabenbasierter Benutzer . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungstaskliste für die Änderungs- und Konfigurationsverwaltung . . . . .
829 831 832 833 835
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung . . . . . . . . . . Entscheiden zwischen Aktualisierung und Neuinstallation. . . . . . . . . . . . . . Klären wichtiger Planungsfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auswählen der Installationsmethode . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Distributionsordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Antwortdatei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Setup-Befehle für Windows 2000 . . . . . . . . . . . . . . . . . Automatisieren der Installation von Clientanwendungen . . . . . . . . . . . . . . . Verwenden von Cmdlines.txt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Abschnitts [GuiRunOnce] der Antwortdatei . . . . . . . . . Verwenden des Windows-Installationsdienstes. . . . . . . . . . . . . . . . . . . . Automatisieren der Installation von Windows 2000 Professional . . . . . . . . Neue Optionen für die automatisierte Installation . . . . . . . . . . . . . . . . . . Methoden für automatisierte Installationen . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Syspart auf Computern mit unterschiedlicher Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Sysprep zum Duplizieren von Festplatten. . . . . . . . . . . Verwenden von SMS (Systems Management Server) . . . . . . . . . . . . . .
817 819 822 822 826
836 837 838 839 840 841 842 843 844 845 846 846 848 848 849 857 862 864 864 865 868 869 869 871 871 873 883
Inhaltsverzeichnis
Verwenden einer Boot-CD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remoteinstallation des Betriebssystems. . . . . . . . . . . . . . . . . . . . . . . . . . Beispiele zu Installationskonfigurationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . VorhandeneClientcomputer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue Clientcomputer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installationstaskliste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Teil VII
xxi
883 884 889 889 893 893
Anhänge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895 Anhang A Beispiele für Planungsarbeitsblätter . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden dieses Anhangs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung in die Einsatzplanung von Windows 2000 . . . . . . . . . . . . . . . . . Dienste zur Verwaltung der Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . Desktopverwaltungslösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsfunktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Veröffentlichen und Freigeben von Informationen . . . . . . . . . . . . . . . . . Komponentenanwendungsdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Skalierbarkeit und Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerk- undKommunikationsfunktionen . . . . . . . . . . . . . . . . . . . . . . Speicherverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Testlabors für Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Netzwerkinfrastruktur für Windows 2000 . . . . . . . . . . . . . Bestimmen der Strategien für die Domänenmigration . . . . . . . . . . . . . . . . . Planen der verteilten Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Automatisieren der Serverinstallation und der Aktualisierung . . . . . . . . . . . Aktualisieren und Installieren von Mitgliedsservern . . . . . . . . . . . . . . . . . . . Planungsarbeitsblatt für Mitgliedsserver . . . . . . . . . . . . . . . . . . . . . . . . . Plan für die Sicherung und Wiederherstellung von Serverdaten. . . . . . . Neue Hardwareanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erfassen von Serverspezifikationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Installationsart (Aktualisierung oder Neuinstallation . . . . . . . Sicherstellen der Verfügbarkeit von Anwendungen und Diensten . . . . . . . . Ermitteln des Bedarfs an hoher Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . Planen des Netzwerklastenausgleichs . . . . . . . . . . . . . . . . . . . . . . . . . . . Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Verbindungsvereinbarungen. . . . . . . . . . . . . . . . . . . . . . . . Erstellen des Plans für die Verzeichnissynchronisierung . . . . . . . . . . . . Erfassen der Kontakte für die Verzeichnissynchronisierung. . . . . . . . . . Testen der Anwendungskompatibilität mit Windows 2000 . . . . . . . . . . . . .
897 897 899 900 901 902 903 903 905 906 907 908 911 912 913 914 915 916 918 918 918 920 921 921 924 926 927 929 930 930
xxii
Inhaltsverzeichnis
Definieren von Standards für die Verwaltung und Konfiguration von Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definition der Anforderungen für die Gruppenrichtlinie . . . . . . . . . . . . . Anwenden der Änderungs- und Konfigurationsverwaltung . . . . . . . . . . . . . Automatisieren der Clientinstallation und der Aktualisierung . . . . . . . . . . . .
932 934 936 938
Anhang B Setup-Befehle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Setup-Befehle zur Installation von Windows 2000. . . . . . . . . . . . . . . . . . . . Syntax des Befehls Winnt32.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Syntax des Befehls Winnt.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
941 941 942 945
Anhang C Beispielantwortdateien fürdie unbeaufsichtigte Installation . . . . . . . . Format der Antwortdatei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schlüssel und Werte in Antwortdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beispielantwortdatei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beispiel 1 – Standarddatei Unattend.txt. . . . . . . . . . . . . . . . . . . . . . . . . . Beispiel 2 – Unbeaufsichtigte Installation von Windows 2000 Professional von CD-ROM . . . . . . . . . . . . . . . . . . . . . . Beispiel 3 – Installation und Konfiguration von Windows 2000 und Konfiguration von Microsoft Internet Explorer mit Proxyeinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beispiel 4 – Installation und Konfiguration von Windows 2000 Server mit zwei Netzwerkadaptern . . . . . . . . . . . . . . . . Beispiel 5 – Installation von Windows 2000 Advanced Server mit Netzwerklastenausgleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beispiel 6 – Installation von Windows 2000 Advanced Server mit Windows Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
947 947 948 948 949 950
952 955 958 961
Anhang D Einrichtungstools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 965 Zusätzliche Informationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 975 AnhangE Eingabehilfen für Personen mit Behinderungen . . . . . . . . . . . . . . . . . . Überblick über die Eingabehilfen unter Windows 2000 . . . . . . . . . . . . . . . . Vorteile der Eingabehilfen unter Windows 2000 . . . . . . . . . . . . . . . . . . . Überlegungen vor der Aktualisierung auf Windows 2000 . . . . . . . . . . . Einrichtung von Eingabehilfen unter Windows 2000 . . . . . . . . . . . . . . . . . . Microsoft Active Accessibility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Produkte und Services von Drittanbietern. . . . . . . . . . . . . . . . . . . . . . . . Anpassen des Computers an Eingabehilfen . . . . . . . . . . . . . . . . . . . . . . . . . Remoteinstallation und unbeaufsichtigte Installation von CD . . . . . . . . . Windows Installer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwaltungsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Eingabehilfen unter Windows 2000. . . . . . . . . . . . . . . . . Konfigurieren der Eingabehilfen mit dem Eingabehilfen-Assistenten . . . Konfigurieren von Eingabehilfen mit der Systemsteuerung . . . . . . . . . .
977 978 978 980 981 981 981 982 983 983 984 986 988 988
Inhaltsverzeichnis
Einrichten der Eingabehilfen nach Art der Behinderung . . . . . . . . . . . . . . . . Optionen für Benutzer mit kognitiven Störungen . . . . . . . . . . . . . . . . . . Optionen für Benutzer mit Hörstörungen . . . . . . . . . . . . . . . . . . . . . . . . Optionen für körperbehinderte Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . Optionen für anfallsgefährdete Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . Optionen für Benutzer mit Sehstörungen . . . . . . . . . . . . . . . . . . . . . . . . Zusätzliche Informationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
xxiii
988 988 989 991 994 995 997
Glossar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999 Stichwortverzeichnis
...............................................................
1055
xxiv
Inhaltsverzeichnis
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
xxiii
Einführung
Willkommen zu Microsoft® Windows® 2000 Server – Die technische Referenz: Einsatzplanung. Die technische Referenz für Microsoft® Windows® 2000 Server besteht aus sieben Bänden und einer englischsprachigen CD mit Tools, zusätzlichem Referenzmaterial sowie einer Onlineversion der Bücher. Es werden Ergänzungen zu dieser technischen Referenz veröffentlicht, sobald neue Informationen zur Verfügung stehen. Außerdem werden im Web regelmäßig neue Informationen veröffentlicht.
Wissenswertes über die Einsatzplanung Diese Dokumentation enthält Richtlinien für die Planung der Produktverbreitung sowie Strategien für die Einrichtung der verschiedenen Technologien von Microsoft ® Windows® 2000. Sie finden in dieser Referenz wichtige Entscheidungshilfen und technische Informationen, die Sie bei der Bestimmung der Abfolge und der Prozesse unterstützen. Sie finden außerdem Schrittanleitungen für das Automatisieren von Server- undClientinstallationen. Die anderen Bände dieser Referenz enthalten detaillierte Informationen zu allen Windows 2000Technologien. Sie erfahren beispielsweise, welche Funktionen diese Technologien ausführen und wie sie im Unternehmen optimal eingesetzt werden können.
Zielsetzung Diese Referenz unterstützt die Projektplanung von Teams, die die Einrichtung von Microsoft ® Windows ® 2000 Server und Microsoft® Windows® 2000 Professional betreuen. Die Informationen richten sich an Manager, Netzwerkarchitekten und Systemadministratoren und weitere Mitarbeiter der IT-Abteilung, die für die Einrichtungsplanung von Windows 2000 zuständig sind. Diese Referenz unterstützt Sie in erster Linie bei folgenden Aufgaben: ? Bestimmen des derzeitigen und des geplanten Netzwerkstatus. Sie erfahren
außerdem, wie Sie Ihr Ziel mit Windows 2000 erreichen. ? Bestimmen der Voraussetzungen, die auf allen Planungsebenen – von den Unternehmenszielen bis hin zur phasenweisen Einrichtung von Windows 2000 und Labortests – erfüllt werden müssen. ? Erstellen von Planungsdokumenten, die die gesicherte Verbreitung der neuen Netzwerkinfrastruktur gewährleisten. ? Ausführen der ersten Schritte für die Installation von Windows 2000, um die Vorteile der zahlreichen Funktionen nutzen zu können.
xxiv
Einführung
Wissenswertes über diese Referenz Diese Referenz wurde so aufgebaut, dass Unternehmen mit unterschiedlichen Anforderungen sofort die für sie relevanten Informationen ermitteln können.
Struktur dieser Referenz Sie haben verschiedene Möglichkeiten, um die gewünschten Informationen zu erhalten. Sie können die Kapitel der Reihe nach durchlesen. In diesem Fall beginnen Sie mit Teil I dieser Referenz, die eine umfassende Übersicht aller Fragen und Prozesse zur Einsatzplanung bietet. Anschließend können Sie sich der nächsten Phase widmen, die in Teil II behandelt wird. Hier erhalten Sie wichtige Informationen zur Vorbereitung Ihrer aktuellen Netzwerkinfrastruktur auf einen möglichst reibungslosen Übergang zu Windows 2000. Sie können dann die Active Directory™ -Planung lesen oder direkt zu „Teil IV: Windows 2000 – Aktualisierung und Installation“ übergehen. Dieser Teil bietet Schrittanleitungen für die Serverinstallation. Wenn Sie jedoch in erster Linie mit der Clienteinrichtung beschäftigt sind, ist für Sie Teil VI von Interesse. Alle Teile werden mit einer Inhaltsübersicht eingeleitet.
Kapitelstruktur Den größten Nutzen erhalten Sie, wenn Sie die für Sie relevanten Kapitel von Anfang bis Ende durchlesen und sich dabei auf die nachfolgend beschriebenen Elementekonzentrieren.
Zielsetzungen Sie finden am Anfang der Kapitel den Abschnitt „Zielsetzung“. Anhand dieser Ziele ermitteln Sie die Planungsdokumente, die Sie im jeweiligen Kapitel erstellen können. Die Kapitel enthalten Empfehlungen und Richtlinien zum Erfassen der Informationen, die Sie für diese Planungsdokumente benötigen.
Flussdiagramme Der erste Teil eines Kapitels enthält ein Flussdiagramm für die anstehenden Tasks. Dies sind grundlegende Tasks, die zum Erstellen von Plänen für eine bestimmte Einrichtungsphase erforderlich sind. Hierbei handelt es sich beispielsweise um Pläne zum Einrichten des Verzeichnisdiensts Active Directory oder zum Aufbauen eines Testlabors. Der Inhalt des Kapitels wird in der Reihenfolge der Tasks im Flussdiagramm dargestellt.
Kritische Entscheidungspunkte Sie müssen bei bestimmten Phasen der Einsatzplanung wichtige Entscheidungen treffen, die einen weitreichenden Einfluss auf die Kosten und/oder den Zeitaufwand haben. Diese Entscheidungen wirken sich nicht nur auf die Einrichtung von Windows 2000, sondern auch auf die zukünftige Produktivität und letztendlich auf die Rentabilität Ihres Unternehmens aus. Diese äußerst wichtigen Entscheidungspunkte werden in den verschiedenen Kapiteln hervorgehoben.
Planungstasklisten Jedes Kapitel endet mit einer Tabelle, in der alle beschriebenen Tasks zusammengefasst werden. Wenn Sie diese Tabelle als Checkliste verwenden, stellen Sie sicher, dass alle wichtigen Fragen behandelt wurden.
Einführung
xxv
Planungsarbeitsblätter Viele Kapitel verweisen auf „Beispiele für Planungsarbeitsblätter“ in dieser Dokumentation. Diese Arbeitsblätter können Sie bei der Entwicklung Ihrer Planungsdokumente unterstützen oder als Ausgangsbasis für eigene Formulare dienen. Sie benötigen bestimmte Formulare, um die Informationen für Ihre Planung optimal erfassen zu können.
Dokumentkonventionen In dieser Dokumentation werden folgende Konventionen und Terminologie verwendet. Element
Bedeutung
Fettschrift
Zeichen, die entsprechend den Anleitungen eingegeben werden müssen. Hierzu gehören Befehle und Optionen. Elemente der Benutzeroberfläche sowie Dateinamen werden ebenfalls in Fettschrift gesetzt.
Kursivschrift
Variablen, für die ein bestimmter Wert eingegeben werden muss. Dateiname.ext bezieht sich beispielsweise auf jede gültige Bezeichnung für eine Datei. Codebeispiele.
Nicht-proportionale Schriftart
%SystemRoot%
Der Ordner, in dem Windows 2000 installiert wurde.
Hervorhebungen
Bedeutung
Tipp
Enthält Zusatzinformationen, die für die Ausführung der jeweiligen Task nicht zwingend erforderlich sind. Weist Sie auf Zusatzinformationen hin. Enthält Zusatzinformationen, die für die Ausführung der jeweiligen Task zwingend erforderlich sind. Enthält Hinweise zu Gefahren, beispielsweise zu möglichen Datenverlusten oder Sicherheitsüberschreitungen. Weist auf Verletzungsgefahren oder mögliche Hardwarebeschädigungen hin, falls bestimmte Aktionen ausgeführt bzw. nicht ausgeführt werden.
Hinweis Wichtig Achtung Warnung
Kritischer Entscheidungspunkt
Weist darauf hin, dass Entscheidungen an dieser Stelle nur sehr schwer rückgängig gemacht werden können.
xxvi
Einführung
Symbole Tabelle I.1 enthält die in dieser Dokumentation verwendeten Symbole. Verwenden Sie diese Tabelle als Referenz, wenn Sie die Abbildungen in dieser Dokumentation studieren. Tabelle I.1 Symbole Symbol
Bedeutung Zugriffstoken. Ein Objekt, das Benutzerinformationen enthält und für die Sicherheit verwendet wird.
Symbol
Bedeutung
Symbol
Bedeutung
Automatische Bibliothek. Bandoder Plattenbibliotheken, die eine Mediensammlung und Laufwerke enthalten. Datenbank. Eine gespeicherte Datensammlung, auf die Computer zugreifen können.
Client. EinComputer, der auf gemeinsame Netzwerkressourcen zugreift, die von einem anderen Computer zur Verfügung gestellt werden. Dokument. Eine Arbeitseinheit, die mit einer Anwendung erstellt und auf einen Datenträger gespeichert wurde.
Domäne. In Windows 2000 handelt es sich bei einer Domäne um mehrere von einem Administrator definierten Computer, die eine gemeinsame Verzeichnisdatenban k nutzen. Dateiordner. Ein Verzeichnis oder Unterverzeichnis.
E-Mail. Der Austausch von Textnachrichten und Computerdateien über ein Kommunikationsnetzwerk.
Fehlschlag. Bei einem Fehlschlag ist ein Computersystem oder ein zugehöriges Gerät nicht in der Lage, eine Aktion auszuführen.
Firewall. Teil eines Sicherheitssystems, das den unberechtigten Zugriff auf ein Netzwerk verhindert.
Allgemeiner Server. Ein Computer, auf dem die administrative Software ausgeführt wird.
Festplatte. Ein Medium, auf dem Daten magnetisch gespeichert werden.
Host. Der Hauptcomputer in einem System, dessen Computer oder Terminals durch Kommunikationsverbindungen miteinander verknüpft sind. Internet. Auf die ganze Welt verteilte Netzwerke, die miteinander kommunizieren.
Host. Der Hauptcomputer in einem System, dessen Computer oder Terminals durch Kommunikationsverbindungen miteinander verknüpft sind. Laptop oder tragbarer Computer. Ein kleiner, tragbarer PC.
Cluster. Eine Gruppe von unabhängigen Computern, die in ihrer Gesamtheit als System fungieren.
E/A-Filter. Definitionen, die einem Router den zulässigen Verkehrstyp für jede Schnittstelle angeben.
Einführung
xxvii
(Fortsetzung) Symbol
Bedeutung Macintosh Client. Ein vernetzter PC, der von der Apple Computer Corporation hergestellt wird.
Symbol
Bedeutung
Symbol
Bedeutung
Großrechner (Mainframe). Ein Computer, der für ausgesprochen leistungsintensive Tasks konzipiert wurde. Modem. Ein Kommunikationsgerä tetreiber, über den ein Computer Daten über eine analoge Telefonleitung übertragen kann.
Großrechner (Mainframe) . Ein Computer, der für ausgesprochen leistungsintensive Tasks konzipiert wurde. Modembank. Mehrere Modems, die an einem gemeinsamen Server angeschlossen sind.
Organisationseinhei t. Eine Struktur innerhalb einer Domäne.
Organisationseinheit. Ein logischer Container mit Benutzern, Gruppen, Computern und anderen Organisationseinheiten.
Pakete. Eine Netzwerkübertragun gseinheit mit einer festen maximalen Größe. Stamm. Die höchste Ebene in einer hierarchisch organisierten Informationsgruppe.
Drucker. Ein Druckgerät, das direkt mit dem Netzwerk verbunden ist.
RAS-Verbindung. Eine DFÜ-Verbindung zwischen Servern, Domänencontrollern und Standorten. Sicherheitsschlüssel. Eine Sicherheitsbeschreibung mit der lokalen Sicherheitsrichtlinie, beispielsweise bestimmte Benutzerrechte.
Serverfarm. Eine Servergruppe, die Dienste im Netzwerk zur Verfügung stellt.
Standort. Gut miteinander verbundene TCP/IPSubnetze.
Switch oder Gateway. Ein Gerät, das zwei Netzwerke verbindet und Pakete weiterleiten oder sperren kann.
Band oder Bandsicherung. Ein Kassettenformat für Datensicherungen.
Gemischte Domäne. Ein Modus, in dem Domänencontroller von Windows 2000 und Windows NT in einer Domäne nebeneinander existieren können. Netzwerkadapter. Eine Erweiterungskarte oder ein anderes Gerät zum Verbinden von Computern mit einem LAN.
Router. Ein Vermittlungsgerät, das den Netzwerkverkehr leitet und optimiert.
Steelheadrouter. Ein Computer, der als Vermittlungsgerät in einem Kommunikationsnetzwerk fungiert. Bandlaufwerk. Ein Gerät zum Lesen und Beschreiben von Bändern.
xxviii
Einführung
(Fortsetzung) Symbol
Bedeutung Terminal. Ein Gerät, das aus einem Videoadapter, einem Bildschirm und einer Tastatur besteht. An diesem Gerät werden nur wenige Aktionen ausgeführt. Ein Terminal ist an einem Computer über eine Kommunikationsverbindung angeschlossen. Windows 2000 Server. Ein Server, der zentralisierte Verwaltung im Netzwerk ermöglicht.
Symbol
Bedeutung Tunnel. Der logische Pfad, über den gekapselte Pakete das Netzwerk durchqueren.
Symbol
Bedeutung Windows NT-Domäne. Vernetzte Computer, die Windows NT 4.0 ausführen, eine gemeinsame SAMDatenbank verwenden und als Gruppe verwaltet werden können.
Unterbrechungsfreie Stromversorgung (USV). Ein Gerät, das zwischen einer Stromquelle und einem Computer angeschlossen ist. Dieses Gerät stellt sicher, dass der Stromfluss nicht unterbrochen wird.
Die CD zur technischen Referenz Im Lieferumfang der technischen Referenz zu Windows 2000 Server ist eine CD enthalten. Diese CD enthält verschiedene Tools und Ressourcen, die den optimalen Einsatz von Windows 2000 unterstützen. Hinweis Die Tools der CD wurden nur für die US-Version von Windows 2000 entworfen und getestet. Es liegen keine lokalisierten Versionen vor. Wenn diese Programme bei anderen Sprachversionen von Windows 2000 bzw. unter Microsoft® Windows NT® verwendet werden, kann dies zu unerwarteten Ergebnissen führen. DieBegleit-CD enthält folgendes: Onlinebücher zu Windows 2000Server – Dietechnische Referenz Eine Onlineversion der englischsprachigen Dokumentation im HTML-Hilfeformat. In dieser HTML-Hilfe finden Sie die gleichen detaillierten Informationen zu Windows 2000 wie in den gedruckten Büchern in englischer Sprache. Sie können die Onlineversion vollständig nach den gewünschten Informationen durchsuchen, um beispielsweise eine Task fertigzustellen.
Einführung
xxix
Windows 2000Server – Die technische Referenz: Tools und Hilfe Über 200 Softwaretools, Tooldokumentationen und andere Ressourcen, die die Leistungsstärke von Windows 2000 nutzbar machen. Mit diesen Tools können Sie Active Directory™ und Sicherheitsfunktionen verwalten, mit der Registrierung arbeiten, Standardjobs automatisieren und weitere wichtige Tasks ausführen. Mit Hilfe dieser Dokumentation lernen Sie den genauen Umgang mit administrativen Tools. Windows 2000Server – DietechnischeReferenz: Referenzen Hier finden Sie die folgenden englischsprachigen HTML-Hilfereferenzen: ? Error and Event Messages Help enthält die meisten Meldungen zu Fehlern
und Ereignissen, die von Windows 2000 generiert werden. Jede Meldung wird detailliert erläutert. ? Technical Reference to the Registry enthält detaillierte Beschreibungen
der Windows 2000-Registrierung, beispielsweise zur Unterstruktur, zu Schlüsseln und Unterschlüsseln sowie zu Einträgen, die für fortgeschrittene Benutzer interessant sind. Hierzu gehören zahlreiche Einträge, die über die Tools oder Programmierschnittstellen von Windows 2000 nicht geändert werden können. ? Performance Counter Reference beschreibt alle Datenobjekte und Datenquellen für die Tools des Snap-In Leistungsdaten von Windows 2000. Mit Hilfe dieser Referenz erfahren Sie, wie die Werte der Datenquellen als Hilfestellung bei der Diagnose von Problemen oder der Ermittlung von Systemengpässen verwendet werden können. ? Group Policy Reference enthält detaillierte Beschreibungen der Einstellungen für Gruppenrichtlinien in Windows 2000. Diese Beschreibungen erläutern alle Auswirkungen, die durch Aktivieren, Deaktivieren oder Nichtkonfiguration der jeweiligen Richtlinien entstehen. Außerdem erfahren Sie, wie zusammenhängende Richtlinien interagieren.
Supporthinweise für die technische Referenz Diein Windows 2000 Server – Die technische Referenz enthaltene Software wird nicht unterstützt. Microsoft übernimmt keine Garantie für die Leistung der in der technischen Referenz zu Windows 2000 Server enthaltenen Tools, für die Antwortzeiten bei Anfragen zu Problemen oder für die Fehlerbehebung der Tools. Den Kunden, die Windows 2000 Server – Die technische Referenz erworben haben, wird jedoch die Möglichkeit gegeben, Microsoft über Probleme zu informieren und Lösungen zu diesen Problemen zu erhalten. Sie können Anfragen, möglichst in englischer Sprache, an die E-Mail-Adresse
[email protected] senden. Diese E-Mail-Adresse ist ausschließlich für die Meldung von Problemen vorgesehen, die sich auf diese technische Referenz beziehen. Bei Problemen im Hinblick auf das Windows 2000-Betriebssystem entnehmen Sie bitte den beiliegenden Supportinformationen, welche Ansprechpartner für das jeweilige Produkt zur Verfügung stehen.
xxx
Einführung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
T E I L
I
Planung
Die Planung ist der Maßstab Ihres Erfolges beim Einsatz von Microsoft® Windows® 2000. Teil I liefert Planungsinformationen, die Ihnen helfen werden, zu entscheiden, welche Features von Windows 2000 für Ihre Organisation geeignet sind, einen Einsatzplan zu erstellen, Ihr Testlabor vorzubereiten und Pilotprojekte durchzuführen. Kapitel in Teil I Einführung in die Einsatzplanung von Windows 2000 3 Erstellen eines Einsatzwegweisers 31 Planen des Einsatzes 61 Erstellen eines Testlabors für Windows 2000 85 Ausführen des Pilotprojekts für Windows 2000 129
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
3
K A P I T E L
1
Einführung in die Einsatzplanung von Windows 2000
Mit Hilfe von Microsoft Windows 2000 Server – Die technische Referenz: Einsatzplanung können Sie die Einrichtung von Microsoft® Windows® 2000 entwerfen, planen und entwickeln. Die Lektüre dieses Buches vermittelt Ihnen die Kenntnisse für die Planung der Bereitstellung auf Projektverwaltungs- und Funktionsebene. Dieses Buch enthält Planungsinformationen für die ersten Schritte, beispielsweise für die Ausführung eines Testlabors und eines Pilotprojekts. Außerdem bietet dieses Buch wichtige technische Erläuterungen, die Sie beim Bereitstellen von Windows 2000-Technologien unterstützen. Sie beginnen den Planungsprozess in diesem Kapitel. Das Kapitel enthält eine Einführung zu diesem Buch und eine kurze Übersicht von Windows 2000 und seinen Funktionen. Anschließend wird anhand von Fallstudien erläutert, wie der Prozess der Einsatzplanung bei vier Firmen eingeleitet wurde. Am Schluss des Kapitels finden Sie eine Funktionsübersicht aus der IT-Geschäftsperspektive. Mit Hilfe dieser Übersicht können Sie den Prozess der Einsatzplanung einleiten. Inhalt dieses Kapitels Erste Schritte bei der Erstellung des Plans 4 Die Produktfamilie von Windows 2000 im Überblick 6 Windows 2000 optimal einsetzen 10 Beispiele für den optimalen Einsatz von Windows 2000 in einer Geschäftsumgebung 12 Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen 20 Planungstaskliste für die Zuordnung von Windows 2000-Funktionen 29 Zielsetzungen Mit den Informationen in diesem Kapitel können Sie folgende Planungsunterlagen zusammenstellen: ? Eine Produktliste von Windows 2000 für Ihre Organisation ? Einen Plan für die Zuordnung von Windows 2000-Funktionen zu
geschäftlichen Funktionen WeiterführendeInformationen in der technischen Referenz ? Weitere Informationen zum Prozess der Einsatzplanung finden Sie unter „Erstellen eines Einsatzwegweisers“ in diesem Buch. ? Weitere Informationen zur Einsatzplanung finden Sie unter „Planen des Einsatzes“ in diesem Buch.
4
Teil I Planung
Erste Schritte bei der Erstellung des Plans Die Einrichtung eines neuen Betriebssystems wie Windows 2000 in einer Unternehmensumgebung erfordert die Genehmigung und Bereitstellung von Entscheidungsgremien sowie eine grundlegende Planung. Zu Beginn der Planung benötigen Sie ein allgemeines Verständnis der Produktfamilie von Windows 2000. Anschließend müssen Sie die Funktionen verstehen und sich darüber im Klaren sein, wie Sie die Produktivität erhöhen und gleichzeitig die Gesamtbetriebskosten für Ihr Unternehmen senken. Die folgenden beiden Abschnitte bieten eine Übersicht des Planungsprozesses in diesem Kapitel und eine Einführung in dieses Buch.
Optimale Nutzung dieses Buchs Dieses Buch soll Ihnen beim Entwurf, der Planung und der Implementierung der Installation von Microsoft® Windows® 2000 Professional und Microsoft ® Windows® 2000 Server als Leitfaden dienen. Sie erfahren Richtlinien und Vorsichtsmaßnahmen für die Lösung wichtiger Unternehmensbedürfnisse bei der Installation der Hauptfunktionen von Windows 2000. Außerdem erhalten Sie Schrittanleitungen für die Automatisierung der Installation von Windows 2000 Server und Windows 2000 Professional durch Dienstprogramme, beispielsweise Tools für die unbeaufsichtigte Installation, Skripting und Microsoft® Systems Management Server. Die Informationen werden in logischer Abfolge präsentiert und können somit als direkte Referenz ab Beginn der Bereitstellung verwendet werden. Um diese Zielsetzung zu erreichen, enthält dieses Buch drei verschiedene Kapiteltypen: ? Kapitel für die Planung: Diese Kapitel enthalten Informationen, die Sie beider
Planung der Verbreitung unterstützen. Die Kapitel befassen sich mit dem Testen und der Planung. ? Kapitel für den technischen Entwurf: Hier erhalten Sie Informationen, die Sie bei der Implementierung bestimmter Funktionen von Windows 2000, beispielsweise Active Directory™ , und beim Entwurf des Windows 2000-Netzwerks für Ihre Organisation unterstützen. ? Kapitel für die automatisierte Installation: Hier finden Sie Schrittanleitungen für die Installation von Windows 2000 Server und Windows 2000 Professional mit Hilfe von Tools, beispielsweise Systems Management Server. Tabelle 1.1 listet die sechs Teile dieses Buchs mit den entsprechenden Kapiteln auf. Tabelle 1.1 Kapitel für die Einsatzplanung Nr.
Teil/Kapitel
Typ
Teil I: Planungsübersicht Enthält Informationen für die Planungsaspekte Ihrer Einrichtung sowie für den Testlauf und das Pilotprojekt. 1 2
Einführung in die Einsatzplanung von Windows 2000 Erstellen eines Einsatzwegweisers
Planung Planung
3 4
Planen des Einsatzes Erstellen eines Testlabors für Windows 2000
Planung Planung
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 (Fortsetzung) Nr.
Teil/Kapitel
Typ
5
Planung
6
Ausführen des Pilotprojekts für Windows 2000 Teil II: Voraussetzungen für die Netzwerkinfrastruktur Enthält Informationen für die Bewertung des aktuellen Netzwerks und die Planung der Netzwerkaktualisierung. Vorbereiten der Netzwerkinfrastruktur für Windows 2000
7
Festlegen von Strategien für Netzwerkverbindungen
Technischer Entwurf
8
Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Technischer Entwurf
9
Teil III: Active Directory-Infrastruktur Informationen für die Planung der Bereitstellung bestimmter technischer Funktionen. Entwerfen der Active Directory-Struktur
10
Bestimmen der Strategien für die Domänenmigration
11
Planen der verteilten Sicherheit
12
Planen der Infrastruktur für öffentliche Schlüssel
Technischer Entwurf
Technischer Entwurf Technischer Entwurf Technischer Entwurf Technischer Entwurf
Teil IV: Windows 2000 – Aktualisierung und Installation Enthält Informationen zum Aktualisieren und Installieren von Servern, Mitgliedsservern und Terminaldiensten. 13
Automatisieren der Serverinstallation und der Aktualisierung
Automatisierte Installation
14 15
Verwenden von Systems Management Server zum Einrichten von Windows 2000 Aktualisieren und Installieren von Mitgliedsservern
16
Einrichten von Terminaldiensten
Automatisierte Installation Automatisierte Installation Technischer Entwurf
Teil V: Erweiterte Verwaltung Enthält Informationen zum Planen mehrerer erweiterter Funktionen. 17
Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000
Technischer Entwurf
18
Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
Technischer Entwurf
19
Bestimmen der Strategien für die Speicherverwaltung von Windows 2000 Synchronisieren von Active Directory mit Exchange Server Directory Service Teil VI: Windows Professional/Clienteinrichtung
Technischer Entwurf Technischer Entwurf
20
5
6
Teil I Planung Informationen zur Planung und Einrichtung von Windows 2000 Professional-Clients. (Fortsetzung) Nr.
Teil/Kapitel
Typ
21
Testen der Anwendungskompatibilität mit Windows 2000
22
Festlegen einer Strategie zur Clientkonnektivität
23
Definieren von Standards für die Verwaltung und Konfiguration von Clients Anwenden der Änderungs- und Konfigurationsverwaltung Automatisieren der Clientinstallation und der Aktualisierung
Technischer Entwurf Technischer Entwurf Technischer Entwurf Technischer Entwurf Automatisierte Installation
24 25
Der Planungsbeginn Die Planung für die Installation oder Aktualisierung eines Betriebssystems erfolgt in zahlreichen Schritten und muss gut durchdacht werden. Dieses Kapitel enthält die Informationen, die Sie zu Beginn des Planungsprozesses benötigen. Abbildung 1.1 erläutert die Planungsschritte in diesem Kapitel.
Abbildung 1.1 Planungsbeginn
Die Produktfamilie von Windows 2000 im Überblick Um im neuen digitalen Zeitalter wettbewerbsfähig zu bleiben, benötigen Unternehmen eine erweiterte computerbasierte, Client/Serverinfrastruktur, die Kosten senkt und eine flexible Umgebung gewährleistet. Die Microsoft Windows 2000Plattform – die Kombination aus Windows 2000 Professional und Windows 2000 Server – bietet allen Unternehmen folgende Vorteile:
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
7
? Geringe Gesamtbetriebskosten (TCO). ? Eine rund um die Uhr einsatzfähige Plattform. ? Eine digitale Infrastruktur, die schnellen Änderungen jederzeit gewachsen ist.
Die gesamte Produktfamilie bietet Dienste für Netzwerke, Anwendungen, Kommunikation und das Web, die bestens verwaltbar, sehr zuverlässig und hochverfügbar sind sowie eine optimale Interoperabilität, Skalierbarkeit und Sicherheit gewährleisten. Um den Bedürfnissen von Organisationen jeder Größenordnung gerecht zu werden, stehen verschiedene Windows 2000-Produkte zur Verfügung. In den folgenden Abschnitten werden die Produkte der Windows 2000-Familie erläutert.
Windows 2000 Professional Windows 2000 Professional erhöht die Produktivität in verschiedenen Situationen (beispielsweise bei mobilen Benutzern und Remotebenutzern), stellt die höchste Sicherheit für Benutzerdaten sicher und bietet die Leistungsstärke, die für die neue Generation persönlicher Produktivitätsanwendungen erforderlich ist. Mit Windows 2000 Professional senken Sie die Gesamtbetriebskosten durch: VerbesserteClientverwaltungsfunktionen Mit Windows 2000 haben Administratoren ideale Steuerungsmöglichkeiten über Clientdaten sowie über Anwendungsund Systemeinstellungen. Sie können dadurch die Anzahl der Supportanfragen erheblich reduzieren. Benutzer können nicht mehr versehentlich das System beschädigen und haben auch dann rund um die Uhr Zugriff auf alle benötigten Tools, wenn sie nicht am eigenen Computer arbeiten. UmfassendeUnterstützung für Verwaltungstools Windows 2000 Professional, das unter anderem konzipiert wurde, um die Verwaltbarkeit der Informationstechnologie zu optimieren, enthält „Clientagenten“, die das reibungslose Funktionieren führender Verwaltungslösungen, beispielsweise Systems Management Server, gewährleisten. Benutzerfreundlichkeit Die Benutzeroberfläche bietet dank benutzerdefinierter Menüs und Listen der zuletzt benutzten Dateien und Befehle schnellen Zugriff auf die gewünschten Informationen. (Das Betriebssystem erkennt häufig verwendete Tasks und zeigt diese Tasks im Menü an.) HöhereStabilität Windows 2000 Professional ist ein äußerst zuverlässiges Betriebssystem für Clients und mobile Computer. Clients haben längere Laufzeiten. Dies führt zu einer höheren Produktivität. BessereGeräteunterstützung Windows 2000 Professional unterstützt über 7.000 Geräte. Hierzu gehört die erweiterte Unterstützung für zahlreiche Geräte, die von Microsoft ® Windows NT® Workstation 4.0 bislang nicht unterstützt wurden, beispielsweise viele ältere Drucker, Scanner und digitale Kameras. Insgesamt werden 60 Prozent mehr Geräte unterstützt als unter Windows®NT 4.0. Windows 2000 Professional unterstützt außerdem Microsoft® DirectX 7.0, eine Gruppe von Schnittstellen für die Anwendungsprogrammierung (API), die Zugriff auf leistungsstarke Medienerweiterungen für Windows-basierte Computer ermöglichen. Hinweis Weitere Informationen zu unterstützten Geräte finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/web-
8
Teil I Planung
resources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List (HCL)“ klicken.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
9
EinfachereKonfiguration Mit Hilfe neuer Assistenten können Sie Windows 2000 Professional im Handumdrehen konfigurieren und einrichten. MehrSprachoptionen DieMultiLanguage-Technologie bietet umfassende mehrsprachige Optionen für Endbenutzer und Administratoren. Weitere Informationen zu Windows 2000 Professional finden Sie in den Kapiteln imTeil VI dieser Dokumentation.
Windows 2000 Server-Familie Die Windows 2000 Server-Familie besteht aus zwei Mitgliedern: „Standard“ und „Advanced“. Die Version „Standard“ bietet die Kernfunktionalität der wichtigsten Dienste (beispielsweise Datei-, Drucker-, Kommunikations-, Infrastruktur- und Webserver) für kleinere und mittlere Unternehmen mit mehreren Arbeitsgruppen und Zweigstellen. Die Version „Advanced“ wurde für den unternehmenskritischen Bedarf konzipiert: Hierzu gehören Dienste für Datawarehousing, E-Commerce oder Webhosting für mittlere und große Unternehmen sowie Internetdienstanbieter (ISPs).
Windows 2000 Server Standard Edition Im Kern von Windows 2000 Server befindet sich eine umfassende Reihe von Infrastrukturdiensten, die auf dem Verzeichnisdienst Active Directory basieren. Active Directory vereinfacht die Verwaltung, erhöht die Sicherheit und erweitert die Interoperabilität. Der Dienst bietet eine zentralisierte Methode zum Verwalten von Benutzern, Gruppen, Sicherheitsdiensten und Netzwerkressourcen. Außerdem enthält Active Directory Standardschnittstellen für die Interoperabilität mit mehreren Anwendungen und Geräten. Windows 2000 Server enthält eine umfassende Reihe von Internetdiensten, mit deren Hilfe Organisationen die aktuellsten Webtechnologien nutzen können. Diese integrierte, flexible Webplattform verfügt über eine umfangreiche Palette von Diensten für den Einsatz von Intranets und webbasierten Unternehmenslösungen. Hierzu gehören Sitehosting, erweiterte Webanwendungen und Mediastreaming. Windows 2000 Server erweitert die Anwendungsdienste von Microsoft® Windows NT® Server 4.0. Durch Integration von Anwendungsdiensten, beispielsweise Component Services, Transaction und Message Queuing und Unterstützung der Extensible Markup Language (XML) bietet Windows 2000 Server die ideale Plattform für ISV-Lösungen und angepasste Geschäftsanwendungen. In den letzten Jahren haben viele Firmen von der rasanten Entwicklung bei den Mikroprozessoren profitieren können. Um die Systemleistung durch schnellere Prozessoren verbessern zu können, unterstützt Windows 2000 Server Uniprozessorsysteme oder Systeme mit bis zu vier Prozessoren über Symmetric Multiprocessing (SMP) mit einem realen Speicher von bis zu 4 GB. Ein unter Windows 2000 ausgeführter Server verfügt über die verschiedenen Funktionalitäten, die von Clients und Servern beieinem konventionellen Client/Servermodell sowie bei Arbeitsgruppen benötigt werden. Außerdem können Sie für Ihr Unternehmen zusätzlichen abteilungsspezifischen Bedarf abdecken, beispielsweiseDatei- und Druckserver, Anwendungsserver, Webserver und
10
Teil I Planung
Kommunikationsserver. Zu den Schlüsselfunktionen des Betriebssystems, die Sie beim Installieren und Konfigurieren von Servern unterstützen, gehören: ? Active Directory ? IntelliMirror und Gruppenrichtlinie ? Kerberos-Authentifizierung und PKI-Sicherheit ? Terminaldienste ? Komponentendienste ? Erweiterte Internet- und Webdienste ? SMP-Unterstützung (maximal vier Prozessoren)
Windows 2000 Advanced Server Windows 2000 Advanced Server ist die neue Version von Windows NT Server 4.0, Enterprise Edition. Dieses System enthält eine umfassende Clusteringinfrastruktur für hohe Verfügbarkeit und Skalierbarkeit von Anwendungen und Diensten, beispielsweise Hauptspeicherunterstützung von bis zu 8 GB bei PAESystemen. Um anspruchsvollen Unternehmensanwendungen gerecht zu werden, unterstützt Advanced Server neue Systeme durch Symmetric Multiprocessing (SMP) mit maximal acht Prozessoren. SMP ermöglicht einem der Computerprozessoren, ein Betriebssystem oder einen Anwendungsthread gleichzeitig mit anderen Prozessoren im System auszuführen. Windows 2000 Advanced Server ist für die datenbankintensive Arbeit bestens geeignet und bietet hochverfügbares Serverclustering und Lastenausgleich für eine hohe System- und Anwendungsverfügbarkeit. Windows 2000 Advanced Server enthält alle Funktionalitäten von Windows 2000 Server und besitzt zusätzlich die hohe Verfügbarkeit und Skalierbarkeit, die von Lösungen für Unternehmen und große Abteilungen benötigt werden. Zu den Schlüsselfunktionen von Advanced Server gehören: ? Alle Windows 2000 Server-Funktionen ? Netzwerklastenausgleich (TCP/IP) ??Erweiterte 2-Knoten-Servercluster auf Grundlage von Microsoft Windows
Cluster Server (MSCS) in der Windows NT Server 4.0 EnterpriseEdition ??Bis zu 8 GB Hauptspeicher bei PAE-Systemen ??SMP mit bis zu acht Prozessoren
Terminaldienste Dank der Terminaldienste von Microsoft Windows 2000 Server erhalten Computer, auf denen normalerweise kein Windows ausgeführt werden kann, Windows 2000 Professional und die aktuellsten Windows-basierten Anwendungen. Die Terminaldienste bieten außerdem einen Remoteverwaltungsmodus, damit Administratoren auf Clients zugreifen können, um diese zu verwalten und gegebenenfalls eine Problembehandlung durchzuführen. Über Terminalemulation, können dank der Terminaldienste die gleichen Anwendungen auf unterschiedlichen Computertypen ausgeführt werden. Für Unternehmen, die eine höhere Flexibilität beim Anwendungseinsatz benötigen und den Verwaltungsaufwand für Computer besser steuern möchten, bietet die Architektur der Terminaldienste eine wichtige Erweiterung der konventionellen aus zwei oder drei Schichten bestehenden Client/Server-Architektur, die auf Servern und PCs mit vollständiger Funktionalität
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
11
basiert. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in diesem Buch.
Windows 2000 optimal einsetzen Bei der Einsatzplanung von Windows 2000 stellt sich zuerst die Frage, welchen Vorteil das Unternehmen durch die Aufrüstung erzielt. Die Vorteile von Windows 2000 werden sowohl von Administratoren als auch von Benutzern geschätzt werden. Ihre Administratoren profitieren von einer umfangreicheren mobilen Unterstützung, einer leichter durchführbaren Clientinstallation und einem geringeren Verwaltungsaufwand. Die Mitarbeiter Ihres Unternehmens verfügen über eine einfachere Benutzeroberfläche und genießen die Vorzüge der erhöhten Zuverlässigkeit und Verfügbarkeit. Außerdem erkennen die Benutzer die spezifischen Optimierungen während der Durchführung ihrer Aufgaben. Die Optimierung durch eine Windows 2000-Plattform wird anhand der Analyse dreier Berufskategorien, der des IT-Administrators, des Abteilungsleiters und des Verkaufsrepräsentanten, veranschaulicht. Die folgenden Abschnitte enthalten keine umfassende Auflistung der von der jeweiligen Kategorie beanspruchten Funktionen. Sie enthalten ein Beispiel, das Sie für den Planungsbeginn verwenden können.
IT-Administrator IT-Administratoren erhalten durch Windows 2000 eine zentrale Steuerungsmöglichkeit für alle Clients des Unternehmens. Ein Administrator kann außerdem Anwendungen einsetzen, die speziell für die Nutzung neuer Technologien von Windows 2000 geschrieben wurden. Diese Anwendungen können leichter eingerichtet werden und sind besser verwaltbar sowie zuverlässiger. Daraus ergibt sich ein besserer Service. Bei den folgenden Windows 2000-Funktionen handelt es sich um Beispiele der neuen Windows 2000 Server-Technologien, die ein leistungsstärkeres Arbeiten ermöglichen. IntelliMirror und Active Directory Mit diesen Funktionen können Sie die Gruppenrichtliniezum Konfigurieren von Clients verwenden, um den unterschiedlichen Anforderungen der einzelnen Benutzergruppen gerecht zu werden. Sie können beispielsweise sicherstellen, dass allen Mitarbeitern des Finanzwesens die erforderlichen Programme für die Tabellenkalkulation, Textverarbeitung und Präsentation zur Verfügung stehen. Analog hierzu können Sie für die Mitarbeiter des Vertriebs eine Software zur Umsatzberechnung einrichten. Außerdem können Sie über Richtlinien festlegen, dass Mitarbeitern an jedem Netzwerkcomputer die persönlichen Einstellungen angezeigt werden. Um den Aufwand für den Help Desk zu minimieren, können Sie verhindern, dass die Computerkonfigurationen von Benutzern geändert werden. Remoteinstallationstechnologien Dank dieser Technologien können Sie mittels einer Gruppenrichtlinie eine automatisierte reine Installation von Windows 2000 Professional bei einem Client gewährleisten. Sie können Windows 2000 Professional über das auf der CD für Windows 2000 Server erhältliche Tool RIPrep von einem zentralen Speicherort aus installieren. Sie haben die Möglichkeit, RI mit Microsoft ® IntelliMirror-Technologien zu verbinden, um ein vollständiges System abzubilden. Wenn Sie servergespeicherte Profile verwenden, können Sie dank
12
Teil I Planung
dieser Kombination den Wiederherstellungsprozess nach einem Systemausfall wesentlich besser durchführen.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
13
AnwendungszertifizierungsprogrammfürdasWindows 2000-Logo Diese MicrosoftSpezifikation unterstützt Entwickler beim Aufbau von Anwendungen, die Active Directory, Windows Installer-Software und andere Funktionen von Windows 2000 nutzen, die eine bessere unternehmensweite Verwaltung von Anwendungen gewährleisten. Sie können mit Hilfe der Informationen in dieser Spezifikation Anwendungen entwickeln, die Windows 2000-Funktionen für die Verringerung der Gesamtbetriebskosten nutzen und mit anderen Anwendungen in Ihrem Unternehmen parallel ausgeführt werden können. Weitere Informationen zur Anwendungsspezifikation für das Windows 2000-Logo finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/Windows 2000/reskit/webresources), wenn Sie auf den Hyperlink „MSDN Online“ klicken. Terminaldiensteund mobileGeräte Sie können Dienste von einer beliebigen Position im Netzwerk verwalten. Wenn Sie beispielsweise während des Aufenthalts in einer Zweigstelle einen Anruf zu einem Problem mit der Netzwerkbandbreite erhalten, können Sie über einen drahtlosen Handheldcomputer auf die zentralen Verwaltungstools im Netzwerk zugreifen sowie das Problem diagnostizieren und beheben.
Abteilungsleiter Abteilungsleiter sind für die Koordination von Projekten und Mitarbeitern zuständig. Dank des verbesserten Informationszugriffs können Daten jetzt besser zusammengeführt und analysiert werden. Es folgen Beispiele, wie bestimmte Windows 2000-Funktionen die Arbeit von Abteilungsleitern erleichtern können. Technologien für Terminaldiensteoder das Änderungs- undKonfigurationsmanagement Mit Hilfe der Änderungs- und Konfigurationsmanagementtechnologien stellt Ihr Administrator sicher, dass die von Ihnen benötigte Softwareprodukte, Daten und Desktopeinstellungen an jedem Netzwerkstandort zur Verfügung stehen. Wenn Sie die Buchhaltungsgruppe aufsuchen und einen Bericht einsehen müssen, können Sie sich über die Terminaldienste bei einem Thin-Client-Gerät anmelden und die gleichen Einstellungen Ihres Bürocomputers nutzen. Support für NetMeeting, Quality of Service und USB Plug & Play Mit Hilfe von Microsoft ® NetMeeting® können mehrere Benutzer eines Netzwerks über Video kommunizieren und Dokumente in Echtzeit bearbeiten. Um zu verhindern, dass die Videoverbindung schlechter wird, kann der Administrator über die in Active Directory integrierte Unterstützung für Quality of Service (QoS) den Benutzern und Anwendungen mehr Bandbreite zuweisen. Mit Hilfe der USB-Unterstützung können Benutzer Plugingeräte, beispielsweise Videokameras, schnell installieren. Um beispielsweise eine Videokonferenz einzurichten, brauchen Sie lediglich die Kamera anzustecken und auf die entsprechenden Namen im Adressbuch zu klicken.
14
Teil I Planung
Verkaufsrepräsentant Mit Hilfe der Änderungs- und Konfigurationsmanagementtechnologien kann Ihr Administrator sicherstellen, dass Sie immer über die benötigte Software verfügen. Sie haben somit schnellen Zugriff auf alle erforderlichen Tools und Daten. Es gibt außerdem zusätzliche Funktionen für Benutzer, die sich in der Regel außerhalb des Büros aufhalten. Mehrere Windows 2000-Funktionen sorgen im Innen- wie im Außendienst für einen leistungsstärkeren Arbeitsablauf. Synchronisationsverwaltung Mit der Synchronisationsverwaltung können Sie Daten im Offlinebetrieb genauso wie im Netzwerk bearbeiten. Sie können beispielsweise Ihre Kundendateien mitnehmen, während des Außendiensts bearbeiten und anschließend synchronisieren, nachdem Sie sich im Firmennetz angemeldet haben. Sie können auch Webseiten über die Intranetsite der Firma downloaden und diese im Offlinebetrieb bearbeiten. Nachdem Sie sich wieder angemeldet haben, können Sie die Intranetdaten Ihres Laptops und die Kundendaten im Netzwerk aktualisieren. ServergespeicherteBenutzerprofile Mit diesen Profilen können Sie benutzerdefinierte Desktopeinstellungen verwenden und auf Ihre Dokumente von einem beliebigen Netzwerkstandort zugreifen. Wenn Sie sich auf Reisen befinden, können Sie sich auch beim Firmennetzwerk anmelden, so dass Sie immer Zugriff auf Ihre Daten haben. Der Einsatz von Disketten oder E-Mail-Nachrichten für den Zugriff auf wichtige Daten gehört jetzt der Vergangenheit an.
Beispiele für den optimalen Einsatz von Windows 2000 in einer Geschäftsumgebung Organisationen erwägen den Einsatz aus unterschiedlichen Blickwinkeln, je nachdem, wie die Implementierung eines neuen Betriebssystems in der jeweiligen Umgebung geplant wird. Die meisten Organisationen richten ein Betriebssystem in verschiedenen Phasen ein. Dadurch werden Ausfallzeiten verhindert und die erfolgreiche Durchführung kritischer Schritte gewährleistet. Die folgenden Abschnitte enthalten einige Fallstudien und Beispiele für Ansätze von Firmen, die die Einrichtung aus der Perspektive der Produktfunktion eingeleitet haben. Diese Beispiele enthalten Informationen darüber, wie dringliche Geschäftsaspekte von großen Unternehmen gelöst wurden. Diese Informationen dienen als Anregung für den leistungsstarken Einsatz von Windows 2000 in Ihrem Unternehmen.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
15
Fallstudie 1: Amerikanische Herstellerfirma Bei diesem Unternehmen handelt es sich um einen Produktionsbetrieb. Die Fertigung findet in verschiedenen Niederlassungen der USA statt, ihre Zweigstellen sind jedoch auf die ganze Welt verteilt. Dieses Unternehmen hat somit eine weitreichend verteilte globale Computerumgebung. Es gibt verschiedene primäre Fertigungsabteilungen mit mehreren Produktgruppen. Die zahlreichen internen Teams in aller Welt benötigen verschiedene Zugriffsebenen auf Kundendokumente und auf interne Dokumente. Die Benutzer in den jeweiligen Sparten benötigen eine hochwertige clientbasierte Anpassung. Außerdem gibt es verschiedeneLieferanten und Subunternehmen, die Netzwerkzugriff innerhalb der Firewall oder lediglich externen Zugriff benötigen. Netzwerkadministratoren müssen unterschiedliche Sicherheitsebenen entsprechend des Bedarfs der jeweiligen internen und externen Teams zur Verfügung stellen.
Vorhandene IT-Umgebung Das Unternehmen verwendet derzeit eine gemischte Netzwerkumgebung bestehend aus Windows NT Server 4.0 Service Pack (SP 4) und UNIX sowie eine gemischte Clientumgebung aus Microsoft® Windows® 95 (85 Prozent), Windows NT Workstation 4.0 (10 Prozent) und UNIX (5 Prozent). Die Informationstechnologie wird zentral verwaltet, wobei die Steuerung der Anwendungen und Ressourcen auf IT-Manager hierarchisch verteilt ist. Das Unternehmen benötigt eine hohe Bandbreite und eine robuste Clientverwaltung. Microsoft® Exchange Server ist derzeit eine globale unternehmenskritische Anwendung für Kommunikation und Planung.
Zielsetzung für die Einrichtung von Windows 2000 Dieses Unternehmen möchte nur noch ein Netzwerkbetriebssystem und ein Clientsystem einsetzen, um die Kosten zu reduzieren. Außerdem soll Exchange Server mit Active Directory integriert werden, um ein allgemeines Verzeichnis zu erstellen und die Teamarbeit zu fördern. Ferner soll ein Multimedianetzwerk für den Informationsaustausch eingerichtet werden. Tabelle 1.2 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.2 IT-Ziele für die amerikanische Herstellerfirma Ziele
Das Angebot von Windows 2000
Unterstützung eines Standardbetriebssystems für Clients mit Schnellinstallation und -konfiguration bei kostengünstiger Einrichtung.
Clientverwaltungsfunktionen, beispielsweise IntelliMirror, und automatisierte Installations- und Aktualisierungstechnologien, beispielsweise Remoteinstallationsdienste und Systems Management Server.
Installation eines sicheren Netzwerkbetriebssystems, das flexibel und robust genug ist, um auf zahlreichen Hardwaretypen ausgeführt werden zu können.
Sicherheitsfunktionen der KerberosAuthentifizierung und Internet Protocol Security (IPSec). Enthält eine größere Hardwareauswahl in der HCL. Enthält Plug & Play-Funktionalität.
16
Teil I Planung (Fortsetzung) Ziele
Das Angebot von Windows 2000
Verringern der Kosten für die Bereitstellung und Verwaltung durch Einrichten von lediglich einem Serverbild. Unterstützung einer allgemeinen Serverplattform und Zusammenführen von kleineren Server in größere.
Eine erweiterte Serverfunktionalität deckt den Bedarf der gesamten Organisation ab, weil Clustering, Lastenausgleich und zusätzliche Unterstützung für Prozessoren gewährleistet werden.
Gewährleisten einer hohen Serververfügbarkeit für Exchange Server, weil dieser für das Unternehmen kritisch ist. Erstellen eines zentralisierten administrativen Modells, das die Möglichkeit zur verteilten Steuerung bei Domänen unterer Ebenen bietet.
Windows 2000 enthält eine stabile Betriebssystemplattform für Exchange Server. Active Directory bietet übergeordneten Administratoren die Möglichkeit, die Steuerung bestimmter Elemente innerhalb von Active Directory an Einzelpersonen oder Gruppen zu delegieren. Dadurch ist es nicht mehr erforderlich, dass mehreren Administratoren Befugnisse für eine gesamte Domäne erteilt werden müssen. Mit Active Directory kann die Firma die Netzwerkumgebung nach dem Geschäftsmodell gestalten.
Interoperabilität mit aktuellen UNIXServern und Einsatz eines allgemeinen Sicherheitsprotokolls.
Das dynamische Aktualisierungsprotokoll Domain Name System (DNS) bietet die gewünschte Interoperabilität. Kerberos kann auf beiden Plattformen ausgeführt werden. Verteilte Sicherheit, einschließlich IPSec, Kerberos-Authentifizierung und PKI.
Unterstützen weiterer plattformübergreifender Sicherheit für das Unternehmen. Ein Netzwerkbetriebssystem und eine Domänenstruktur, die den Unternehmensbedarf darstellt.
Windows 2000 ist so flexibel, dass die Domänen- und Sicherheitsumgrenzungen die Struktur Ihres Unternehmens darstellen können. Ihre Organisation ist nicht mehr von den Einschränkungen des Serverbetriebssystems abhängig.
Erstellen eines großen Computerverzeichnisses für das Unternehmen.
Sie können Active Directory-Daten mit Exchange Server-Daten für ein gemeinsames Verzeichnis zusammenführen. Dank NetMeeting können Gruppen in aller Welt miteinander kommunizieren. Mit QoS können Sie die Bandbreite während eines Multimedianetzwerkereignisses zuteilen. Mit Hilfe von Plug & Play können Kameras für Multimediaereignisse im Handumdrehen eingerichtet werden.
Multimedianetzwerk für den Informationsaustausch.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
17
Fallstudie 2: Große multinationale Herstellerfirma Diese Organisation hat zahlreiche Zentralen in Europa und verwaltet Niederlassungen in über 190 Ländern. Das Wachstum erfolgt über expandierte Märkte, steigende Umsätze für die Produkte sowie über Unternehmenszusammenführungen und Übernahmen. Die Firma hat ein breitgefächertes Produktangebot, es werden beispielsweise Elektrogeräte, Computer und Instrumente für Verbraucher und die Industrie hergestellt. Jede einzelne Fertigungseinheit wird als unabhängige Firma unter der Leitung der Muttergesellschaft geführt. Es gibt über 130 Betriebe mit einer eigenen Berichtsstruktur sowie leitenden Angestellten für das Finanz- und Informationswesen. Dadurch wird die inner- und zwischenbetriebliche Dynamik beeinflusst, weil jede IT-Organisation unterschiedliche Ziele, Budgets, Richtlinien und Einschränkungen hat. Die Muttergesellschaft muss den Support und die Richtlinien für die zwischenbetriebliche IT-Kooperation zur Verfügung stellen.
Vorhandene IT-Umgebung Es gibt keine zentralisierte IT-Betriebsgruppe und nur einige allgemeine ITStandards für alle Betriebsgesellschaften, die für Netzwerk- oderClientbetriebssysteme oder für die Clientproduktivitätsanwendungen gelten. Die zentrale ITAbteilung ist für unternehmensübergreifende Richtlinien und Standards verantwortlich.
Zielsetzung für die Einrichtung von Windows 2000 1998 hat die IT-Abteilung ein Projekt für den Entwurf einer globalen Windows 2000 Active Directory-Architektur in die Wege geleitet. Das Konzept gilt für alle dezentralisierten Betriebsgesellschaften. Repräsentative Gruppen aus verschiedenen Betriebsgesellschaften richteten ihr Hauptaugenmerk auf die Architektur und Einrichtung von Windows 2000 Server und Windows 2000 Professional. Die Integration erfolgte nach Bedarf. Die Muttergesellschaft betreute die Entwicklung eines gemeinsamen Rahmens, der von den jeweiligen Betriebsgesellschaften bei Bedarf übernommen wird. Tabelle 1.3 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.3 IT Ziele der großen multinationalen Herstellerfirma Ziele
Das Angebotvon Windows 2000
Einrichtung einer allgemein IT-Referenz, die von allen IT-Gruppen der Betriebsgesellschaften für ein globales Multioperatormodell verwendet werden kann.
Die Gesamtstrukturarchitektur von Active Directory enthält einen Anmeldepunkt und Funktionen für den globalen Katalog.
Einrichtung eines gemeinsamen Verzeichnisdienstes, der von allen Betriebsgesellschaften verwendet werden kann.
Active Directory ist flexibel, erweiterbar und kann auf den jeweiligen IT- und Unternehmensbedarf der einzelnen Betriebsgesellschaften zugeschnitten werden.
Ein gemeinsames Modell für die Migration von Windows NT zu Windows 2000.
Remoteinstallationstechnologien sowie weitere Tools für die ferngesteuerte oder automatische Installation, beispielsweise Systems Management Server.
18
Teil I Planung (Fortsetzung) Ziele
Das Angebot von Windows 2000
Ausführung eines Pilotprojekts zur Produktverbreitung, die als Implementierungsstandar d für alle IT-Gruppen in den anderen Betriebsgesellschaften verwendet werden kann.
Die Fähigkeit, einen Sicherheitsprincipal von einer anderen Windows NT-Domäne zu klonen, und die SID-Protokollfunktion, die das sichere Verschieben zu einer Pilotumgebung mit Rollbackoptionen ermöglicht.
Einrichten eines gemeinsamen Clientbetriebssystems, das für alle Betriebsgesellschaften verwendet werden kann.
Ein allgemeines Sicherheitsmodell für Desktops und tragbare Computer. Plug & Play-Funktion. Allgemeine Hardwareunterstützung. Gruppenrichtlinie, IntelliMirror und andere Clientverwaltungstools können über Active Directory verwaltet werden.
Fallstudie 3: Multinationales Finanzdienstleistungsunternehmen Das multinationale Finanzdienstleistungsunternehmen besteht aus sieben separaten Betriebsgesellschaften. Das Unternehmen hat Hauptniederlassungen in Nordamerika, Europa, Kleinasien und Südostasien. Über 50 Bezirksfilialen bietet einen vollständigePalettevonFinanzdienstleistungen (Investment und Bankwesen, Vermögensverwaltung und Versicherungen). Jede Betriebsgesellschaft ist eine autonome Unternehmenseinheit. Auf lokaler Ebene hat jedoch jede Firma gemeinsame Niederlassungen mit anderen Betriebsgesellschaften. Diese Firma unterliegt in Bezug auf Finanzwesen, Handel sowie IT-Funktionalität und -Sicherheit den Kartellbestimmungen und Gesetzgebungen mehrerer Länder. Aus diesem Grund ist die Verwaltung sicherer und stabiler Systeme auf den Ebenen der Netzwerk- und Desktopbetriebssysteme erforderlich.
Vorhandene IT-Umgebung Es gibt keine zentrale IT-Gruppe für alle Betriebsgesellschaften, deshalb gibt es keine umfassenden IT-Standards für die gesamte Organisation. Jede Betriebsgesellschaft hat eigene Standards erstellt und unterliegt somit einer eigenen ITInfrastruktur. Bei einigen Standorten nutzen verschiedene Betriebsgesellschaften ein gemeinsames Netzwerk. Bei anderen Standorten entspricht die Anzahl der Netzwerke der Anzahl der Betriebsgesellschaften, die eine gemeinsame örtliche Niederlassung haben. Lokale Niederlassungen, insbesondere die Standorte für den Einzelhandel, verwalten eigene Dateiund Druckserver, obwohl Filialen in der Regel mit Domänencontrollern ausgestattet sind. Die Filialen sind in allen anderen Fällen auf ihre IT-Funktionen begrenzt. Einige Finanzanwendungen benötigen das Betriebssystem UNIX. Derzeit werden alle Infrastrukturdienste, beispielsweise Dynamic Host Configuration Protocol (DHCP) und DNS, in einer UNIX-Umgebung verwaltet. Das dynamische Aktualisierungsprotokoll Windows 2000 DNS wird verwendet, während die Firma die Möglichkeit der Migration von angepassten Anwendungen von UNIX-Servern zu Windows 2000 ermittelt.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
19
Die aktuelle Umgebung für das Netzwerkbetriebssystem wird zu 95 Prozent von Windows NT Server 4.0 und zu fünf Prozent von Novell NetWare Bindery betrieben. Die aktuellen Clientbetriebssysteme der jeweiligen Betriebsgesellschaften werden zu 80 Prozent von Windows NT Workstation 4.0, zu ungefähr 15 Prozent von Windows NT Workstation 3.51 und zu etwa 5 Prozent von Windows 95 ausgelastet. Einige Finanzexperten verwenden sowohl UNIX- als auch Windows NT 4.0-Clients.
Zielsetzung für die Einrichtung von Windows 2000 Eine Betriebsgesellschaft entwickelt eine Active Directory-Struktur mit dem Ziel eines gemeinsamen, globalen Verzeichnisentwurfs für die gesamte Organisation. Eine von der Muttergesellschaft eingeleitete, von einer Gruppe aus IT-Experten geführte IT-Initiative,die jede Betriebsgesellschaft darstellt, arbeitet außerdem an einer unternehmensweiten Active Directory-Struktur. Die Organisation plant, NetWare Bindery nach der Inbetriebnahme von Windows 2000 abzuschaffen. Das Netzwerk verwendet in nächster Zukunft sowohl Windows 2000 als auch UNIX. Tabelle 1.4 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.4 IT-Ziele für ein multinationales Finanzdienstleistungsunternehmen Ziele
Das Angebot von Windows 2000
Ein gemeinsames Clientbetriebssystem für die gesamte Umgebung als Standard, um die Verwaltbarkeit und administrative Funktion zu erhöhen und die Gesamtbetriebskosten zu verringern.
Dank erweiterter Hardwareunterstützung wird eine umfangreicherer Auswahl an Firmenstandardcomputern (Desktops und tragbare Laptops) ermöglicht. Dank einer verbesserten Energieverwaltung sind Netzwerkdaten auf tragbaren Computern und Desktops gleichermaßen verfügbar. Sie können Gruppenrichtlinien und andere Verwaltungstools in der gesamten IT-Umgebung aktivieren. Windows 2000 bietet Clustering, Lastenausgleich und die Möglichkeit, große Datenspeicher und komplexe Objekte zu verwalten. Ein einzelner Administrationsstandort benötigt nur eine Administratorgruppe. Die Gruppenrichtlinie ermöglicht eine ausgefeilte Verwaltung für alle Clients. Windows 2000 kann Sicherheit für tragbare Computer und Desktop gleichermaßen gewährleisten. Eine CPU unterstützt mehrere Bildschirme.
Gemeinsame Netzwerkbetriebssysteme, die allen Betriebsgesellschaften Skalierbarkeit und Verfügbarkeit für ITUmgebungen mit unterschiedlichem Bedarf bieten.
Clientsicherheit auf allen Desktops und tragbaren Computern. Mehrere Bildschirme bei jedem Desktop, damit der Handel überwacht und gleichzeitig Kundendaten abgerufen werden können. Senkung der Gesamtbetriebskosten durch verringerte Clientverwaltung und
Verbesserte Gruppenrichtlinie und Integration mit Systems Management Server.
20
Teil I Planung gleichzeitige Erhöhung des Service. (Fortsetzung) Ziele
Das Angebot von Windows 2000
Verringerung des Aufwands für die Softwareentwicklung und Senkung der zugehörigen Kosten.
Komponentendienste und andere Tools, beispielsweise Windows Installer, die im Lieferumfang von Windows 2000 Server enthalten sind, vereinfachen das Erstellen von Tools und verringern den Zeitaufwand für die Entwicklung von angepassten Anwendungen.
Ein allgemeines Verzeichnis für alle Betriebsgesellschaften. Jede Firma soll über eigene untergeordnete Domänen verfügen.
Active Directory kann für alle Betriebsgesellschaften eingesetzt werden. Active Directory verwendet einen übergeordneten Domänennamen als Platzhalterdomäne. Deshalb kann jede Firma eigene untergeordnete Domänen besitzen. Sie können das Verzeichnis für Microsoft® Exchange Server 5.5 mit Active Directory über Active Directory Connector synchronisieren. Die Terminaldienste werden nicht im Anwendungsservermodus, sondern im „abgespeckten“ Administrationsmodus konfiguriert. Dadurch steht Administratoren eine weitere Option für die Remoteverwaltung zur Verfügung, ohne dabei die Serverleistung zu beeinträchtigen.
Ein allgemeines Verzeichnis, das von Exchange Server und Windows 2000 Server gemeinsam genutzt wird. Remoteverwaltung der Dienste.
Fallstudie 4: Internationales Softwareentwicklungsunternehmen Ein führendes Entwicklungsunternehmen für computerbasierte Betriebssysteme und Anwendungen für Verbraucher und Industrie hat seine Hauptniederlassungen im Westen der USA. Die Abteilungen für den Verkauf, Support und die Softwareentwicklung sind auf 180 Standorte in aller Welt verteilt. Die IT-Abteilung hat zwei primäreZuständigkeitsbereiche: ? Anbieten und Verwalten von IT-Systemen und -Lösungen, die den Mitarbeitern
ein effizientes und effektives Arbeiten ermöglichen. ? Zusammenarbeit mit Produktentwicklungsgruppen, um Betaversionen in einer Unternehmensumgebung zu testen und einzurichten.
Vorhandene IT-Umgebung Die aktuelle IT-Umgebung des Unternehmens ist eine homogene Windows NT Server 4.0-Umgebung mit einer breitgefächerten Mischung aus den Clientsystemen Windows NT 4.0, Windows 95 und Microsoft® Windows® 98, einschließlich mehrerer Computer in Benutzerabteilungen, die häufig Betasoftware ausführen. Die IT-Gruppezentralisiert die folgenden Funktionen: ? Verzeichnisdienste.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 ? E-Mail-Dienste und Dienste für die Zusammenarbeit.
21
22
Teil I Planung ? Verwaltung der Sicherheitsdienste, Netzwerkkonten, Webdienste und des
Netzwerks von Windows NT Server 4.0. Die Benutzer sind über den ganzen Globus verstreut. 80 bis 90 Prozent der Mitarbeiter führen die Problembehandlung bei ihren Clientdesktops selbst aus. Viele Benutzer greifen auf das Netzwerk von einem entfernten Standort aus zu und benötigen deshalb stabile RAS-Dienste. IT unterstützt auch Außendienstmitarbeiter sowie Mitarbeiter, die internationalen Zugriff auf das Unternehmensnetzwerk benötigen.
Zielsetzung für die Einrichtung von Windows 2000 Das Hauptziel dieser Firma ist die Aktualisierung aller Server und Benutzer auf Windows 2000 innerhalb der nächsten 12 Monate. Während der Migration muss die IT-Gruppe alle Dienste der kritischen Anwendungen verwalten und gleichzeitig Ressourcendomänen in geographische Hauptdomänen für Benutzer unterteilen. Durch Beseitigung zahlreicher Ressourcendomänen sollen die Anzahl der Server im Netzwerk, der Verwaltungsaufwand sowie der Hardware- und Softwaresupport verringert werden. Die IT-Abteilung muss auch die Attributinformationen zwischen Active Directory und Exchange Server 5.5 sowie weiteren unternehmensweit eingesetzten Systemen synchronisieren. Es müssen alle Onlinekomponenten kooperieren, die Active Directory verwenden. Abschließend sollen eine gemeinsame Konsolenstruktur und ein gemeinsames Verzeichnis erstellt werden. Tabelle 1.5 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.5 IT-Ziele für das internationale Softwareentwicklungsunternehmen Ziele
Das Angebot von Windows 2000
Zusammenführen von globalen Servern, um die Verwaltbarkeit zu verbessern und den Supportaufwand zu verringern.
Die Serverzusammenführung wird über die leistungsstarke Speicherverwaltung und Multiprozessorfunktionalität von Advanced Server gewährleistet. Diese Funktionen verbessern die Skalierbarkeit der Plattform, die als geeignete Basis für die Serverkonsolidierung dient.
Erwerb der aktuellsten Hardware, um ein neues Hochgeschwindigkeitsnetzwerk für das Unternehmen zu erstellen.
Neue Technologien in Windows 2000Server wurden für die Integration erweiterter Computerarchitekturen und Mikrochipentwürfe entwickelt. Hierzu gehören Advanced Power Management, USB-Geräte, FireWire,SmartcardLeser und Infrarotunterstützung.
Verwendung eines Standardclients um eine bessere administrative Steuerung und Berechtigungsdelegierung zu gewährleisten, sowie weitere Optionen für die Remoteinstallation und verwaltung.
Sie erzielen eine verbesserte Desktopverwaltung über die Gruppenrichtlinie und organisatorische Einheiten, die von Active Directory, IntelliMirror und anderen Änderungs- und Konfigurationsmanagementtechnologien aktiviert werden.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
23
(Fortsetzung) Ziele
Das Angebotvon Windows 2000
Erzielen einer Steigerung der Leistungsstärke und Zuverlässigkeit gegenüber Windows NT 4.0 Server um50% auf allen Computern mit Advanced Server.
Grundlegende Verbesserungen auf Kernelebene beim Kernbetriebssystem gewährleisten Optimierungen bei der Speicherverwaltung, beim Zwischenspeichern und beim präemptiven Multitasking.
Wechsel einer verhältnismäßig komplexen Windows NT Server 4.0-Umgebung zu einer stark vereinfachten Windows 2000-Umgebung.
Active Directory enthält einen erhöhten Objektspeicher, eine erweiterte granulare Verwaltung von Servern und Clients sowie Verbesserungen beim vereinfachten Domänenentwurf durch DNS (Domain Name System) und das dynamische DNS-Aktualisierungsprotokoll.
Ersetzen der Windows NT Server 4.0-Domänenstruktur durch das Active Directory-Modell mit Domänen und Gesamtstrukturen.
Active Directory enthält eine flexiblere Domänenstruktur für den aktuellen und zukünftigen Unternehmensbedarf.
Verbesserung der Sicherheit, des Informationsaustausch und der Transaktionsfunktionalität innerhalb der Firma und in Zusammenhang mit anderen Unternehmen und Kunden.
Sie können ein virtuelles Privatnetzwerk mit den erweiterten Netzwerk- und Sicherheitsfunktionen von Windows 2000 Advanced Server aktivieren.
Verbesserung der E-MailSicherheit.
Verwenden Sie PKI und Zertifikate.
Verwalten eines voll funktionsfähigen Unternehmensnetzwerks während des Übergangszeitraums.
Gleichzeitige Verwaltung und Überwachung der Server unter Windows NT Server 4.0 und Windows 2000 Advanced Server, einschließlich aller Drucker, Dateiserver, RAS-Server, Proxyserver und internen Webserver des Unternehmens. Interoperabilität mit Clients unter Windows 95, Windows 98 und Windows NT 4.0.
Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen In den vorherigen Abschnitten wurden die Funktionen und Vorteile der Windows 2000-Plattform im Hinblick auf Unternehmen mit Beispielen zu Firmen und Benutzern sowie zu Produktfunktionen erläutert. In diesem Abschnitt werden Funktionen mit dem Ziel unter die Lupe genommen, die unternehmenskritischen Technologien zu bestimmen. Lesen Sie die Erläuterungen im Hinblick auf die kurz, mittel- und langfristigen Pläne Ihres Unternehmens. Kapitel, die sich auf den Entwurf beziehen, erläutern detailliert, wie die jeweilige Technologie in anderen Windows 2000-Technologien unter Berücksichtigung der Entwurfsabhängigkeiten integriert werden. Die folgenden Abschnitte enthalten Tabellen mit den Windows 2000-Funktionen für Ihre Organisation. Ermitteln Sie die Vorteile der aufgelisteten Funktionen und bestimmen Sie jeweils die Priorität für Ihre Organisation. Anschließend können Sie
24
Teil I Planung
einen Einrichtungsplan unter Berücksichtigung der Termineinhaltung und Kosteneffizienzerstellen. Alle Tabellen in diesem Abschnitt finden Sie auch im Anhang dieser Dokumentation unter „Beispiele für Planungsarbeitsblätter“. Die Tabellen im Anhang sind so formatiert, dass Sie eigene Kommentare zur möglichen Bedeutung dieser Funktionen für Ihr Unternehmen eintragen können. Mit diesen Arbeitsblättern können Sie eine auf Ihre Bedürfnisse zugeschnittene Zusammenfassung der Windows 2000-Funktionen für Ihr Unternehmen erstellen. Hinweis Die folgenden Tabellen heben die grundsätzlichen Vorzüge von Windows 2000 Server und Windows 2000 Professional hervor. Sie enthalten keine vollständige Beschreibung aller Funktionen. Weitere Informationen zu einer bestimmten Funktion finden Sie in der Onlinehilfe des Produkts oder im jeweiligen Kapitel der entsprechenden technischen Referenz zu Microsoft® Windows® 2000.
Dienste zur Verwaltung der Infrastruktur Mit Hilfe der Dienste zur Verwaltung der Infrastruktur von Windows 2000 Server verfügen IT-Abteilungen über Tools zum Einrichten hochentwickelter Dienste, die entscheidend zur Senkung der Betriebskosten beitragen können. Tabelle 1.6 beschreibt die Vorzüge der Dienste zur Verwaltung der Infrastruktur von Windows 2000 Server. Tabelle 1.6 Dienste zur Verwaltung der Infrastruktur Funktion
Beschreibung
Vorteile
Verzeichnisdienste
Active Directory speichert Daten zu allen Objekten im Netzwerk. Dadurch lassen sich diese Daten leicht ermitteln. Sie erhalten eine flexible Verzeichnishierarchie, eine granulare Sicherheitsdelegierung, effiziente Berechtigungsdelegierung, integriertes DNS, Programmierschnittstellen sowie einen erweiterbaren Objektspeicher.
Verwaltungsdienste
Die Microsoft Management Console (MMC) bietet Administratoren eine gemeinsame Konsole für die Überwachung von Netzwerkfunktionen und die Verwendung von administrativen Tools. MMC kann vollständig angepasst werden.
Sie benötigen lediglich eine Gruppe mit Schnittstellen, um administrative Tasks, beispielsweise das Hinzufügen von Benutzern, das Verwalten von Druckern und das Ermitteln von Ressourcen, durch einmaliges Anmelden auszuführen. Entwickler können Anwendungen in einem bestimmten Verzeichnis leicht aktivieren. MMC standardisiert Ihre Verwaltungstools, verringert den Schulungsaufwand und erhöht die Produktivität neuer Administratoren. Außerdem wird die Remoteverwaltung vereinfacht. Sie können ferner Tasks delegieren.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
25
Gruppenrichtlinie
Mit Hilfe der Gruppenrichtlinie können Administratoren den Status bei Computern und Benutzern definieren und steuern. Die Gruppenrichtlinie kann auf jeder Ebene des Verzeichnisdiensts einschließlich der Sites, Domänen und Organisationseinheiten eingerichtet werden. Sie können die Gruppenrichtlinie außerdem anhand von Sicherheitsgruppenmitgliedschaften filtern.
Dank der Gruppenrichtlinie können Administratoren festlegen, welche Benutzer auf bestimmte Computer, Funktionen, Daten und Anwendungen zugreifen können.
Instrumentationsdienste
Mit Hilfe der WindowsVerwaltungsinstrumentation (WMI) können Administratoren Bezüge zu Daten und Ereignissen aus mehreren Quellen auf lokaler oder unternehmensweiter Basis herstellen.
Dank WMI können Sie angepasste Anwendungen und Erweiterungen durch Zugriff auf Windows 2000Objekte erstellen.
Funktion
Beschreibung
Vorteile
Skriptingdienste
Windows Scripting Host (WSH) unterstützt die direkte Ausführung von Microsoft® Visual Basic Script, Java und anderen Skripts über die Benutzeroberfläche oder die Befehlszeile.
Dank WSH können Administratoren und Benutzer Aktionen, beispielsweise das Herstellen und Trennen einer Verbindung zum Netzwerk, automatisieren.
(Fortsetzung)
Weitere Informationen zum Entwerfen und Einrichten der Verzeichnisdienste und Gruppenrichtlinie von Windows 2000 finden Sie unter „Entwerfen der Active Directory-Struktur“ „Planen der verteilten Sicherheit“, „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Anwenden des Änderungs- und Konfigurationsmanagements“ in dieser Dokumentation.
Desktopverwaltungslösungen Mit Hilfe der Funktionen für Desktopverwaltungslösungen werden die Gesamtbetriebskosten Ihres Unternehmen verringert, weil Sie Clients schneller installieren, konfigurieren und verwalten können. Diese Funktionen wurden auch als Tools entworfen, die die Arbeit mit Ihren Computern erleichtern. Tabelle 1.7 erläutert, wie die Funktionen zur Desktopverwaltung von Windows 2000 Server und Windows 2000 Professional dazu beitragen, die Produktivität der Benutzer zu erhöhen. Tabelle 1.7 Desktopverwaltungslösungen Funktion
Beschreibung
Vorteile
IntelliMirror
Bei IntelliMirror handelt es sich um eine Funktionsgruppe, mit deren Hilfe die Daten, Anwendungen und benutzerdefinierten Betriebssystemeinstellungen der Benutzer an verschiedenen Computern des Unternehmens genutzt werden können.
Benutzer haben auch dann Zugriff auf alle benötigten Informationen und Anwendungen, wenn sie nicht mit dem Netzwerk verbunden sind. Administratoren brauchen somit Desktops nicht mehr aufzusuchen, um Aktualisierungen bei Anwendungen oder Betriebssystemen vorzunehmen.
26
Teil I Planung
Windows Installer
Windows Installer steuert die Installation, Änderung, Reparatur und Deinstallation von Software. Enthält ein Modell zur Zusammenfassung von Installationsdaten und APIs, damit Anwendungen mit Windows Installer agieren können.
Remoteinstallation
Die DHCP-basierte Remotestarttechnologie installiert das Betriebssystem auf der lokalen Festplatte des Clients von einer Remotequelle. Der Netzwerkstart kann von einer PXE-Umgebung, einer PXENetzwerkkarte, einer bestimmten Funktionstaste oder einer Remotebootdiskette (für Clients ohne PXE) erfolgen. Servergespeicherte Benutzerprofile kopieren Registrierungswerte und Dokumentinformationen auf einen Speicherort im Netzwerk, damit die Benutzereinstellungen von jedem Standort aus zur Verfügung stehen.
Servergespeichert e Benutzerprofile
Sie können die Remoteeinrichtung und verwaltung von Anwendungen durch Systemadministratoren aktivieren. Die Anzahl der DLL-Konflikte wird verringert. Anwendungen für die automatische Fehlerbehandlung werden aktiviert. Der Administrator braucht den Computer nicht aufzusuchen, um das Betriebssystem zu installieren. Die Remoteinstallation enthält außerdem eine Lösung für die Übermittlung und Verwaltung eines einheitlichen Desktopbilds im Unternehmen.
Benutzer können den Arbeitsplatz verlassen. Die Dokumente und Systemdaten stehen jederzeit zur Verfügung.
(Fortsetzung) Funktion
Beschreibung
Vorteile
Manager für optionale Komponenten
Über das Installationsprogramm von Windows 2000 Server können Sie Windows-Komponenten während oder nach einer Systeminstallation über ein Installationsmodul packen und installieren. Sie können eine Installation von Windows 2000 Server oder Windows 2000 Professional anpassen und für andere Computer klonen.
Es wird der Zeitaufwand für die Installation verringert. Außerdem müssen weniger Computer aufgesucht werden.
Datenträgerduplizierung
Durch Klonen sparen Sie bei der Einrichtung zahlreicher Server oder Clients Zeit und Geld.
Hinweis Sie können mit Systems Management Server die Desktopverwaltungstechnologien von Windows 2000 erweitern. Weitere Informationen zum Einrichten der Verwaltungslösungen von Windows 2000 Server und Windows 2000 Professional finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Anwenden des Änderungs- und Konfigurationsmanagements“ in dieser Dokumentation.
Sicherheitsfunktionen Die Sicherheit auf Unternehmensebene muss flexibel und robust sein, damit Administratoren Regeln für mögliche Sicherheitsprobleme konfigurieren können, ohne den Datenfluss zu beeinträchtigen. Tabelle 1.8 erläutert die Sicherheitsfunktionen von Windows 2000.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
27
Tabelle 1.8 Sicherheitsfunktionen Funktion
Beschreibung
Vorteile
Sicherheitsvorlagen
Administratoren können verschiedene globale und lokale Sicherheitseinstellungen, beispielsweise sicherheitsrelevante Registrierungseinträge; Zugangskontrollen für Dateien und Registrierung, sowie Sicherheit bei Systemdiensten vornehmen.
Administratoren können Vorlagen für die Sicherheitskonfiguration definieren und diese Vorlagen anschließend ausgewählten Computern in einem einzigen Vorgang zuweisen.
KerberosAuthentifizierung
Das primäre Sicherheitsprotokoll für den Zugriff innerhalb oder außerhalb von Windows 2000-Domänen. Enthält beidseitige Authentifizierung von Clients und Servern und unterstützt die Delegierung und Berechtigung über Proxymechanismen.
Infrastruktur für öffentliche Schlüssel (PKI)
Sie können die integrierte PKI für erhöhte Sicherheit bei mehreren Unternehmensund Internetdiensten von Windows 2000, beispielsweise für die extranetbasierte Kommunikation, verwenden.
Beschleunigt die Ausführung durch Verringern der Serverauslastungen, während die Verbindungen hergestellt werden. Sie können das Protokoll auch verwenden, um auf andere Unternehmensplattformen zuzugreifen, die das KerberosProtokoll unterstützen. Mit PKI können Unternehmen Informationen sicher freigeben. ohne einzelne Windows 2000Konten zu erstellen. Außerdem werden Smartcards und sicherer EMail-Versand aktiviert.
(Fortsetzung) Funktion
Beschreibung
Vorteile
Smartcardinfrastruktur
Windows 2000 enthält ein Standardmodell zum Installieren von Smartcard-Lesern und Karten mit Computern und geräteunabhängigen APIs für Anwendungen, die Smartcards unterstützen. IPSec unterstützt Authentifizierung, Datenintegrität und Verschlüsselung, um die Kommunikation im Intranet, Extranet und im Internet zu schützen.
Die Smartcardtechnologien von Windows 2000 können verwendet werden, um Sicherheitslösungen im Intranet, Extranet und in öffentlichen Websites zu aktivieren. Die Unternehmenskommunikation wird ohne Benutzerbeteiligung transparent geschützt. Vorhandene Anwendungen können IPSec für die sichere Kommunikation verwenden. Administratoren und Benutzer können Daten mit einem zufällig generierten Schlüssel codieren.
IPSec-Verwaltung
NTFS-Verschlüsselung
Auf öffentlichen Schlüsseln basierendes NTFS kann auf Datei- oder Verzeichnisbasis aktiviert werden.
Weitere Informationen zum Einrichten der Sicherheitsdienste von Windows 2000 finden Sie unter „Planen der verteilten Sicherheit“ und „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation.
Veröffentlichen und Freigeben von Informationen Die Windows 2000-Technologien zum Veröffentlichen und Freigeben von Informationen erleichtern die Datenfreigabe im Intranet, Extranet oder im Web.
28
Teil I Planung
Tabelle 1.9 erläutert die Funktionen zum Veröffentlichen und Freigeben von Informationen. Tabelle 1.9 Veröffentlichen und Freigeben von Informationen Funktion
Beschreibung
Vorteile
Integriert Webdienste
Mit Hilfe der integrierten Webdienste von Windows 2000 Server können Sie verschiedene Webpublishingprotokolle verwenden. Mit Hilfe von integrierten Indexdiensten können Benutzer bei Dateien in unterschiedlichen Formaten und Sprachen eine Volltextsuche durchführen. Diesere Dienste besteht aus Server- und Toolkomponenten für die Verteilung von Audio, Video, Illustrated Audio-Dateien und anderen Multimediatypen in Netzwerken.
Flexible Möglichkeiten zum Veröffentlichen von Informationen im Extranet, Intranet oder im Web.
Windows 2000 macht alle freigegebenen Drucker in Ihrer Domäne in Active Directory verfügbar.
Benutzer können die geeignete Druckquelle schnell ermitteln.
Indexdienste
Multimediadienste
Drucken
Erhöht die Produktivität.
Neue Möglichkeiten für Schulungen, Zusammenarbeit und Datenfreigabe erhöhen die Produktivität.
Weitere Informationen zum Einrichten der Dienste zum Veröffentlichen und Freigeben von Informationen in Windows 2000 finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dem Band Microsoft InternetInformationsdienste – Die technische Referenz.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
29
Komponentenanwendungsdienste Die Entwicklungsplattform Windows 2000 bietet Unterstützung für Component Object Model (COM) und Distributed COM (DCOM). Dadurch haben Entwicklerteams die Möglichkeit, skalierbarere Anwendungen auf Komponentenbasis effizient zu erstellen. Tabelle 1.10 erläutert die Funktionen der Komponentenanwendungsdienste. Tabelle 1.10 Komponentenanwendungsdienste Funktion
Beschreibung
Vorteile
Eingereihte Komponenten
Entwickler und Administratoren können das geeignete Kommunikationsprotokoll (DCOM oder Asynchrones Protokoll) zum Zeitpunkt der Einrichtung auswählen.
Verlegen und abonnieren
COM Events enthalten einen einheitlichen Mechanismus zum „Verlegen und Abonnieren“ für alle Windows 2000 Server-Anwendungen. Diese Dienste bieten Datenaktualisierungen durch Aufruf einer Anwendung auf einem Großrechner oder durch Senden und Empfangen von Nachrichten aus einer Nachrichtenwarteschlange. Diese Dienste stellen sicher, dass Nachrichtentransaktionen entweder ausgeführt oder sicher in die Unternehmensumgebung zurückgeführt werden.
Entwickler können Dienste ohne Hinzufügen von Codes besser speichern und weiterleiten, die von den integrierten Message Queuing-Diensten von Windows 2000 Server angeboten werden. Entwickler brauchen keine fundamentalen Dienste mehr zu programmieren.
Transaktionsdienste
Message Queuing-Dienste
Webanwendungsdienste
Entwickler können mit Active Server Pages ein webbasiertes Frontend für vorhandene serverbasierte Anwendungen erstellen.
Entwickler können die Richtigkeit der Anwendungen beim Aktualisieren von mehreren Datenquellen gewährleisten.
Entwickler erhalten die Möglichkeit, Anwendungen zu erstellen und einzurichten, die zuverlässig auf unzuverlässigen Netzwerken und mit anderen Anwendungen auf unterschiedlichen Plattformen ausgeführt werden. Dank der Webanwendungsdienste können Remoteserver über einen Webbrowser mit minimalem Verbindungsaufwand verwaltet werden.
Weitere Informationen zum Einrichten der Komponentenanwendungsdienste von Windows 2000 und der Schnittstelle für Microsoft ® Sicherheitsunterstützungsanbieter finden Sie unter „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation. Weitere Informationen für Entwickler finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „MSDN Platform SDK“ klicken. Hinweis Sie können diese Funktionen und deren Wert für Ihr Unternehmen mit
30
Teil I Planung
den Mitarbeitern des Anwendungsentwicklungsteams besprechen. Deren Erfahrungen können Sie bei der Bestimmung der geeigneten Technologien für Ihr Unternehmen unterstützen.
Skalierbarkeit und Verfügbarkeit Schnellere CPUs und Netzwerkadapter sind die herkömmlichen Eckwerte für die Netzwerkleistung. In der Zukunft werden leistungsstärkere Funktionen zum Lesen/Schreiben, verbesserte Eingabe/Ausgabe (E/A) und schnellerer Zugriff auf Datenträger auch eine wichtige Rolle bei Netzwerkarchitekturen spielen. Umgebungen mit unternehmenskritischen Computern können jetzt die erweiterten Funktionen von Windows 2000 nutzen. Tabelle 1.11 erläutert Windows 2000Funktionen, die Sie bei der Erhöhung der Skalierbarkeit und Verfügbarkeit des Netzwerks unterstützen. Tabelle 1.11 Skalierbarkeit und Verfügbarkeit Funktion
Beschreibung
Vorteile
Speicherarchitektur des Unternehmens
Mit Windows 2000 Advanced Server können Sie auf bis zu 32 GB Prozessorspeicher zugreifen.
Verbesserte SMPSkalierbarkeit
Windows 2000 Advanced Server unterstützt jetzt SMP-Server mit bis zu acht Prozessoren.
Anwendungen für Dialogverarbeitung oder Entscheidungsunterstützung bei großen Datengruppen werden leistungsstärker, weil mehr Datenspeicher zur Verfügung steht. Unternehmen können jetzt schnellere Prozessoren vollständig ausnutzen.
Clusterdienst
Es können mehrere Server als Einzelsystem verwendet werden.
Dank einer vereinfachten Verwaltung haben Sie eine höhere Verfügbarkeit, Zuverlässigkeit, Stabilität und Sicherheit.
Unterstützung für intelligente Eingabe/Ausgabe (I2O)
I2O entlastet den Host bei interruptintensiven E/A-Tasks, weil Haupt-CPUs einen geringeren Verarbeitungsaufwand haben.
Die E/A-Leistung wird bei Anwendungen mit hoher Bandbreite gesteigert.
Terminaldienste
Durch Terminalemulation kann die gleiche Anwendungsgruppe auf unterschiedlicher Clienthardware ausgeführt werden. Hierzu gehören Thin Clients, ältere Computer oder Clients, auf denen Windows nicht ausgeführt wird. Diese Dienste können auch als Option für die Remoteverwaltung eingesetzt werden.
Netzwerklastenausgleich
Es können bis zu 32 Server unter Windows 2000 Advanced Server zu einem Lastenausgleichscluster zusammengeführt werden. Diese Funktion wird häufig zum Verteilen von eingehenden Webanforderungen über den Cluster der Internetserveranwendungen
Anwendungen und Desktops können für taskbasierte Mitarbeiter zentral verwaltet werden. Die Dienste ermöglichen auf vorhandenen Desktops den Einsatz einer vollständigen Microsoft ® Win32®-Umgebung. Remotebenutzer erhalten über DFÜ-Verbindungen die Leistung eines lokalen Netzwerks. Außerdem ist die grafische Remoteverwaltung von Computern mit Windows 2000 Server möglich. Die Verfügbarkeit und Skalierbarkeit von Webservern, FTP-Servern, Streaming Media-Servern und anderen unternehmenskritischen Programmen wird erhöht, indem die Funktionalität mehrerer Hostcomputer (Server eines Cluster) zusammengeführt wird.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 verwendet. Mit Hilfe von IntelliMirror können Benutzer Daten, Anwendungen und Einstellungen nutzen, obwohl sie nicht mit dem Netzwerk verbunden sind.
IntelliMirror
31
Die Daten sind stets verfügbar. Außerdem ist die Umgebung immer konsistent, auch wenn der Client nicht mit dem Netzwerk verbunden ist.
Weitere Informationen zum Einrichten des Clusterdiensts von Windows 2000 finden Sie unter „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ in diesem Buch. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in diesem Buch.
Netzwerk- und Kommunikationsfunktionen Sie können mit Hilfe der in Tabelle 1.12 genannten Windows 2000-Technologien Ihre Netzwerkumgebung optimieren. Sie erhalten eine bessere Bandbreitensteuerung, sicheren Remotenetzwerkzugriff und native Unterstützung einer neuen Generation von Kommunikationslösungen. Tabelle 1.12 Netzwerk- undKommunikationsfunktionen Funktion
Beschreibung
Vorteile
Protokoll für die dynamische DNSAktualisierung
Die DNS-Datenbank braucht nicht mehr manuell bearbeitet und repliziert zu werden.
Die Kosten für Verwaltung und Ausstattung werden gesenkt, indem die Anzahl der DNS-Server zur Unterstützung eines Netzwerks verringert wird.
Quality of Service (QoS)
QoS-Protokolle und -Dienste bieten ein garantiertes System für die schnelle Abwicklung des IPVerkehrs.
Resource Reservation Protocol (RSVP)
Mit diesem Signalisierungsprotokoll können der Absender und Empfänger einen für die Datenübertragung reservierten Pfad mit einem angegebenen QoS einrichten.
Sie können den Netzwerkverkehr priorisieren und somit sicherstellen, dass kritische Prozesse ausgeführt und Daten sofort und vollständig übermittelt werden. Erhöht die Zuverlässigkeit für Verbindungen und Datenübertragungen.
Asynchronous Transfer Mode (ATM)
Ein ATM-Netzwerk kann gleichzeitig unterschiedliche Datentypen, beispielsweise Sprache, Daten, Bilder und Video, im Netz übermitteln.
Die Vereinheitlichung mehrerer Datentypen auf einem Netzwerk kann Kosten erheblich senken.
Streaming Media-Dienste
Server- und Toolkomponenten für die Übertragung von Multimediadateien über ein Netzwerk.
Mit Hilfe von Streaming Media können Reisekosten sowie Aufwendungen für Teamarbeit und Schulungen durch Onlinebesprechungen und Datenaustausch erheblich gesenkt werden.
Fibre Channel
Fibre Channel bewältigt ein Datenvolumen von einem Gigabit pro Sekunde. Die Übertragung erfolgt durch Zuordnen von allgemeinen
Erhöhte Flexibilität, Skalierbarkeit, Verwaltbarkeit, Kapazität und Verfügbarkeit bei SCSI-Technologien für anspruchsvolle Anwendungen.
32
Teil I Planung Übertragungsprotokollen und Zusammenführen von Netzwerk-E/A und Hochgeschwindigkeits-E/A bei einer einzigen Verbindung. TAPI 3.0 (TAPI = Telephony API) vereinigt IP und konventionelle Telefonie.
IP-Telefonie
Entwickler können mit TAPI Anwendungen erstellen, die im Internet oder Intranet genau so wie in einem konventionellen Telefonnetz ausgeführt werden können.
WeitereInformationen zu den Netzwerk- und Kommunikationsfunktionen von Windows 2000 finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ und „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
Speicherverwaltung Windows 2000 Server enthält Speicherdienste, die sowohl die Zuverlässigkeit als auch den Benutzerzugriff erhöhen. Tabelle 1.13 erläutert diese Dienste. Tabelle 1.13 Speicherverwaltung Funktion
Beschreibung
Vorteile
Remotespeicher
Überwacht den verfügbaren Speicherplatz auf einer lokalen Festplatte. Wenn der Grenzwert für den freien Speicherplatz auf der primären Festplatte unterschritten wird, entfernt der Remotespeicher lokale Daten, die bereits auf den Remotespeicher kopiert wurden. Administratoren können Wechseldatenträger und Funktionen verwalten. Administratoren können Medienpools erstellen, die von einer bestimmten Anwendung verwendet werden.
Administratoren können den zur Verfügung stehenden Speicherplatz durch Kopieren von Dateien auf Bandmedien verwalten. Die Dateien sind aus der Benutzerperspektive weiterhin aktiv.
Wechselmedien
NTFS-Optimierungen
Es werden unter anderem folgende Leistungsoptimierungen unterstützt: Dateiverschlüsselung, die Möglichkeit, einem NTFS-VolumeSpeicherplatz ohne Neustart hinzuzufügen, Überwachung verteilter Verknüpfungen, Datenträgerkontingente auf Benutzerbasis, um die Auslastung von Speicherplatz zu überwachen und einzuschränken.
Datenträgerkontingente
Administratoren können die Auslastung von Datenträgern besser planen und implementieren. Mit dieser Funktion können Benutzer Daten auf verschiedenen Speichermedien, beispielsweise auf
Backup
Administratoren können die Netzwerkleistung durch Steuerung des Speicherorts optimieren. Es ist mehreren Anwendungen möglich, die gleichen Speichermedien zu verwenden. Die Dateiverschlüsselung minimiert das Risiko, dass vertrauliche Daten Unbefugten zugänglich sind. Durch Erweiterung von Partitionen werden die Ausfallzeiten der Server und des Netzwerks und das Risiko des Datenverlusts verringert.
Der Aufwand für die Hardwareadministration und die Wartung wird verringert. Der Datenverlust durch Ausfall von Hardware oder Speichermedien wird verringert.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 Festplatten sowie magnetischen und optischen Medien, sichern. DFS-Unterstützung
Administratoren können eine Verzeichnisstruktur erstellen, die mehrere Dateiserver und Dateifreigaben enthält und Interoperabilität zwischen Windows 2000-Clients und beliebigen Dateiservern ermöglicht, die ein übereinstimmendes Protokoll verwenden.
Dank DFS können Administratoren und Benutzer Daten im Netzwerk besser ermitteln und verwalten. DFS enthält außerdem einen Netzwerkordner mit Fehlertoleranzfür wichtige Netzwerkdateien.
Weitere Informationen zum Einrichten der Speicherverwaltungstechnologien von Windows 2000 Server finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
33
34
Teil I Planung
Planungstaskliste für die Zuordnung von Windows 2000-Funktionen Mit der Planungstaskliste in Tabelle 1.14 können Sie den Prozess der Einsatzplanung für Windows 2000 beginnen. Tabelle 1.14 Planungstaskliste für die Zuordnung von Windows 2000-Funktionen Task
Kapitel
Das Verständnis der Struktur dieser Dokumentation unterstützt Sie beim Prozess der Einsatzplanung.
Erste Schritte bei der Erstellung des Plans
Wissenswertes über die Produktfamilie von Windows 2000.
Die Produktfamilie von Windows 2000im Überblick
Analyse des Einsatzes bestimmter Funktionen für die Optimierung der Mitarbeiterproduktivität. Prüfen der Windows 2000-Funktionen im Hinblick auf die Unternehmensziele.
Windows 2000 optimal einsetzen
Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
35
31
K A P I T E L
2
Erstellen eines Einsatzwegweisers
Die Planung Ihres Einrichtungsprojekts ist ein wichtiger Schritt in der logischen Abfolge der Implementierung von Microsoft® Windows® 2000. Windows 2000 wurde für eine inkrementelle Einrichtung konzipiert – auf Grundlage der spezifischen geschäftlichen Anforderungen und der IT-Ausstattung einer Organisation beliebiger Größe –, und aus diesem Grund müssen Sie entscheiden, welche Funktionen für Ihre Organisation infrage kommen. Darüber hinaus müssen Sie berücksichtigen, wie die Windows 2000-Funktionen, die Sie einsetzen möchten, technisch und im Hinblick auf das Projektmanagement voneinander abhängen. Und schließlich sind auch die Anforderungen zu berücksichtigen, die Ihre bestehende IT-Umgebung in puncto Interoperabilität und Koexistenz stellt. In diesem Kapitel wird ein allgemeiner Projektmanagementprozess beschrieben. Darüber hinaus werden wichtige Phasen für die Einrichtung genannt, die Ihnen helfen, einen Projektplan – einen Wegweiser – zu erstellen , nach dem Ihr Team dann bei der Einrichtung von Windows 2000 in Ihrer Organisation vorgeht. Inhalt dieses Kapitels Erstellen eines Projektplans 32 Bereitstellungsszenarios 38 Technologieabhängigkeiten 55 Tipps für die Planung der Windows 2000-Einrichtung Planungstaskliste 60
56
Zielsetzungen Mit den Informationen in diesem Kapitel können Sie folgende Planungsunterlagen zusammenstellen: ? Einen Projektplan. ? Einen Projektmanagementprozess, der für Ihre Organisation geeignet ist.
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Aufstellen des Einrichtungsprojektplans finden Sie unter „Planen des Einsatzes“ in diesem Buch. ? Weitere Informationen zum erfolgreichen Ausführen eines Windows 2000Pilotprojekts finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch. ? Weitere Informationen zum Entwerfen eines Testlabors und zum Bewerten der Windows 2000-Funktionen finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
32
Teil I Planung
Erstellen eines Projektplans Durch das Aufstellen eines Projektplans für die Einrichtung von Windows 2000 ist gewährleistet, dass die Einrichtung erfolgreich verläuft. Sie werden zwar einen Projektplan aufstellen, der ausschließlich Ihren geschäftlichen Anforderungen und Ihren IT-Anforderungen entspricht. Es gibt aber allgemeine Elemente, die im Plan enthalten sein müssen, damit er effizient als Wegweiser für Ihr Projekt eingesetzt werden kann. Der Schwerpunkt dieses Kapitels ist die Integration vorläufiger Technologieentscheidungen in einen Projektmanagementplan, den Sie für die Einrichtung von Windows 2000 verwenden können. Weitere Informationen zu bestimmten Projektmanagementfragen, die bei der Vorbereitung des Projektplans zu berücksichtigen sind, finden Sie unter „Planen des Einsatzes“ in diesem Buch. In Abbildung 2.1 sind einige Schritte dargestellt, die Sie für das Aufstellen eines Projektplans ausführen können.
Abbildung 2.1 Aufstellen eines Projektplans
Wenn er effizient eingesetzt wird, kann ein Projektplan eindeutig bestimmte Phasen des Einrichtungsprozesses kennzeichnen und einen leicht zu verstehenden und nützlichen Wegweiser darstellen. Es ist zwar nicht erforderlich, bei einem Einrichtungsprozess nach Vorschriften vorzugehen – wie dies bei einem Installationsverfahren üblich ist –, aber ein Einrichtungsprozess für die Infrastruktur bietet einen konzeptionellen Rahmen für Ihr Windows 2000-Einrichtungsprojekt und erleichtert es Ihren Einrichtungsteams, den Fortschritt zu bewerten.
Kapitel 2 Erstellen eines Einsatzwegweisers
33
Viele Organisationen haben bereits Projektmanagementmethoden und -strukturen implementiert. Damit Sie mit der von Ihnen vorgenommenen Einrichtung einen maximalen Erfolg erzielen, gehen Sie nach einer Projektmanagementstruktur vor, die für Ihre Organisation geeignet ist. In den folgenden Abschnitten werden die Grundlagen einer Beispiel-Projektmanagementstruktur dargestellt und die von zwei Beispielunternehmen eingesetzten Projektmanagementstrukturen beschrieben. Im Verlauf dieses Kapitels finden Sie Verweise auf Ihr Einrichtungsteam, die Unterlagen für die Projektplanung, das Einrichten und Einsetzen eines Testlabors und ein Pilotprojekt für Windows 2000. In Tabelle 2.1 sind die Kapitel dieser Dokumentation aufgeführt, in denen Sie weitere Informationen für die Aufstellung Ihres Projektplans erhalten. Tabelle 2.1 In dieser Dokumentation enthaltene Informationen für die Planung der Einrichtung Kapitel
Beschreibung
Planen des Einsatzes
Enthält Informationen über die Analyse der aktuellen Computerumgebung, das Durchführen einer Lückenanalyse, die Anforderungen an das Personal, die Planung von Tasks, die Unterlagen für die Einrichtungsplanung, Kapazitätsplanung, Risikobewertung sowie Schulung und Training. Enthält Informationen über den Entwurf, den Aufbau und die Verwaltung eines Testlabors, das Testen für die Einrichtung sowie das Testen nach der Einrichtung. Enthält Informationen über die erfolgreiche Durchführung eines Windows 2000-Pilotprojekts.
Erstellen eines Testlabors für Windows 2000
Ausführen des Pilotprojekts für Windows 2000 Testen der Anwendungskompatibilität mit Windows 2000
Enthält Informationen über das Testen von Anwendungen (sowohl selbstprogrammierte als auch im Handelerhältliche) zum Ermitteln der Kompatibilität mit Ihrer Windows 2000-Konfiguration.
Vorbereiten des Projektplanungsprozesses Jedes Einrichtungsprojekt durchläuft einen Zyklus – einen Prozess, zu dem das Festlegen von IT-Zielsetzungen gehört, weiterhin der Entwurf und die Entwicklung von Funktionen, die Durchführung eines Pilotprojekts und die Installation des neuen Betriebssystems in Ihrer Produktionsumgebung. Ein Projektplanungsprozess dient in erster Linie dazu, die Reihenfolge festzulegen, in der Ihr Einrichtungsteam die erforderlichen Aktivitäten benennt, implementiert, testet und durchführt. In Abbildung 2.2 ist ein Beispiel für einen Projektmanagementprozess für die Einrichtung von Windows 2000 dargestellt. Die einzelnen Phasen sind im oberen Bereich der Abbildung aufgeführt. Im Hauptteil dieser Abbildung finden Sie Tasks, die in den verschiedenen Phasen der Einrichtung ausgeführt werden müssen. Darüber hinaus enthält er Vorschläge, welche Windows 2000-Technologien für die Einrichtung berücksichtigt werden sollten.
34
Teil I Planung
Abbildung 2.2 Beispiel für Projektmanagementprozess für Windows 2000
Die beiden Balken im unteren Teil der Abbildung beziehen sich auf ein Testlabor. Das Testen ist ein integraler Bestandteil der Windows 2000-Einrichtung und findet im Verlauf des gesamten Einrichtungsprozesses statt. Die vier in Abbildung 2.2 dargestellten Projektmanagementphasen werden in den folgenden Abschnitten beschrieben.
Kapitel 2 Erstellen eines Einsatzwegweisers
35
Ermitteln von Zielsetzungen Während dieser Phase bewerten Sie die Funktionen von Windows 2000 im Hinblick auf die Anforderungen Ihrer Organisation. In dieser Zeit sichern Sie sich auch die Unterstützung der entsprechenden Führungskräfte (auch in finanzieller Hinsicht), definieren Zielsetzungen mit Schwerpunkten und stellen ein Einrichtungsteam zusammen. Und schließlich beginnen Sie mit dem Einsatz des Testlabors, um die Windows 2000-Funktionen zu untersuchen. Der erste Meilenstein ist die Abzeichnung des Gesamtplans für die Einrichtung von Windows 2000 in Ihrer Organisation durch die entsprechenden Führungskräfte. Skizzieren Sie beim Aufstellen Ihres Plans die allgemeinen geschäftlichen und die IT-Zielsetzungen Ihrer Einrichtung, um der Implementierung eine klare Richtung zu geben. Legen Sie auch eindeutig fest, welche Funktionen von Windows 2000 in die verschiedenen Phasen der Einrichtung einbezogen werden. Während dieser Phase sind u. a. folgende Fragen zu beantworten: ? Warum richtet Ihre Organisation Windows 2000 ein? ? Welche geschäftlichen Vorteile wird Windows 2000 Ihrer Organisation ? ? ? ? ? ? ? ?
bringen? Welche IT-Vorteile wird Windows 2000 Ihrer Organisation bringen? Welche Unterschiede bestehen zwischen der gegenwärtig in Ihrer Organisation eingesetzten IT-Umgebung und der von Ihnen angestrebten Umgebung? Wann muss dieses Projekt abgeschlossen sein, und wie sieht der Terminplan aus? Was liegt im Rahmen dieses Projekts, was außerhalb? Wer ist von diesem Projekt betroffen? Was sind die entscheidenden Erfolgsfaktoren? Was sind die Risiken? Welche Gruppen, Organisationen und Einzelpersonen werden in den Prozess einbezogen?
Für diesen Meilenstein sollten Sie u. a. folgende Unterlagen zusammenstellen: ? Zielsetzungen. ? Übersicht über die aktuelle Umgebung, einschließlich der Benutzerprofile. ? Risikobewertung. ? Lückenanalyse.
Weitere Informationen zu Risikobewertung und Lückenanalyse finden Sie unter „Planen des Einsatzes“ in diesem Buch. Diese Phase ist wichtig für die Erstellung des Einsatzwegweisers. Nachdem Sie Ihre Ziele definiert haben, können Sie einfacher bestimmen, welche Windows 2000-Funktionen Sie benötigen und wie diese Funktionen mit der vorhandenen Umgebung zusammenhängen. Durch die Analyse können Sie auch ein Verständnis für entscheidende Technologieabhängigkeiten gewinnen. Die Bewertung muss zwar gründlich sein, diese Phase kann aber innerhalb eines kurzen Zeitraums abgeschlossen werden. Eine Zielsetzungsphase hilft Ihnen, eine Projektvision zu entwerfen, die von IT-Abteilung, Endbenutzern und Management gemeinsam getragen wird, und die Einrichtung erfolgreich abzuschließen.
36
Teil I Planung
Hinweis Ihre Organisation hat diese Phase unter Umständen – formell oder informell – bereits abgeschlossen. Auch wenn das Management bereits die Entscheidung getroffen hat, Windows 2000 einzurichten, müssen Sie trotzdem noch die Unterlagen zu den Zielsetzungen zusammenstellen und formal abzeichnen lassen, bevor Sie mit der Phase des Funktionsentwurfs und der Funktionsentwicklung fortfahren.
Funktionsentwurf und -entwicklung Während der Phase des Funktionsentwurfs und der Funktionsentwicklung stellen Sie den eigentlichen, manchmal auch als Funktionsbeschreibung bezeichneten Entwurf für die Windows 2000-Funktionen auf, die Sie in Ihrer Organisation implementieren möchten. Zu diesem Zeitpunkt ermitteln Sie auch, wie die ausgewählten Funktionen in einer Produktionsumgebung überhaupt zusammenarbeiten. Die technischen Abhängigkeiten der Windows 2000-Funktionen gewinnen während dieser Phase an Bedeutung, und es ist daher wichtig, dass die verschiedenen Einrichtungsteams zusammenarbeiten und sich austauschen über den Leistungsumfang, die Funktionalität und die gegenseitigen Abhängigkeiten der einzelnen Funktionen. Mit den Kapiteln zu den technischen Entwürfen im restlichen Teil dieser Dokumentation können Sie bestimmen, wie bestimmte Funktionen in Ihrer Organisation eingesetzt werden. Die Funktionsbeschreibung besteht aus den gesamten Entwürfen, die Sie testen und weiter verbessern. Sie haben z. B. unter Umständen mehrere Entwurfsvarianten für den Microsoft® Active Directory™-Namespace, die auf verschiedenen geschäftlichen oder IT-Anforderungen basieren. All diese Varianten werden im Hinblick auf die für Ihre Organisation geltenden geschäftlichen und IT-Kriterien bewertet. Zum Schluss sind Sie durch technische Tests und Analysen in der Lage, einen Active Directory-Namespace für Ihre Organisation zu implementieren. Es darf nicht vergessen werden, dass dieser Prozess und seine Ergebnisse sich ausschließlich auf Ihre Organisation beziehen. In dieser Phase beginnt der schrittweise ablaufende Entwurfs- und Testprozess. Die einzelnen Einrichtungsteams stellen ihre Pläne auf und stimmen sie aufeinander ab, um eine umfassende Funktionsbeschreibung zu erstellen. Auch Ihr Testlabor ist in dieser Phase von Bedeutung. Verschiedene Konfigurationen werden getestet, um zu ermitteln, wie die Windows 2000-Funktionen zum Erreichen der Projektziele eingesetzt werden können. Die Funktionsbeschreibung muss den Projektteams genügend Einzelheiten über die Funktionen geben, die in Ihrer Organisation eingerichtet werden, damit die Teams problemlos Ressourcenanforderungen und Verpflichtungen für die Implementierung der Windows 2000-Infrastruktur benennen können. Während dieser Phase stellen Sie auch einen Projektplan auf. Dieser Projektplan enthält die Funktionsbeschreibung (die zusammengeführten Pläne der einzelnen Teams) und einen Zeitplan. Den Projektplan können Sie implementieren, wenn Sie vom Management die Genehmigung erhalten, mit der Einrichtung fortzufahren. In den Plan können Sie u. a. folgende wichtige Teillieferungen für das Projekt aufnehmen: ? Funktionsbeschreibung
Kapitel 2 Erstellen eines Einsatzwegweisers
37
? aktualisierter Risikomanagementplan ? Master-Projektplan und Master-Projektzeitplan ? Funktionsplan, in dem aufgeführt ist, welche Funktionen im Rahmen des Pro-
jekts und welche außerhalb liegen
Windows 2000-Pilotprojekt Nachdem Sie den Funktionsentwurf und die Funktionsentwicklung abgeschlossen und die Funktionskonfigurationen gründlich getestet haben, können Sie ein Pilotprojekt durchführen. Das Einrichtungsteam muss eine Reihe von Meilensteinen festlegen, zu denen Zwischenergebnisse vorzulegen sind. Sie alle umfassen die Entwicklung von Lösungen, das Testen, die Validierung im Hinblick auf vordefinierte Leistungskriterien und die Überarbeitung der Entwürfe. Das Verfolgen von Problemen, die während der Einrichtung auftreten, sowie die effiziente Lösung dieser Probleme sind von entscheidender Bedeutung, um die Einrichtungsziele innerhalb des Zeitplans und des vorgegebenen Budgets zu erreichen. Wenn das Pilotprojekt stabil läuft, können der Projektträger und das Einrichtungsteam zusammenkommen, um die Funktionalität der neuen Windows 2000-Infrastruktur zu bewerten und zu überprüfen, ob die Pläne für Produktionseinführung und Support umgesetzt werden können. Zu den wichtigsten Meilensteinen und Einrichtungsunterlagen in dieser Phase können u. a. gehören: ? Technologievalidierung ist abgeschlossen ? Funktionsbeschreibung ist vollständig und muss nicht mehr geändert werden ? konzeptioneller Nachweis abgeschlossen ? Vorlauftest abgeschlossen ? Pilotprojekt abgeschlossen ? aktualisierter Risikomanagementplan
Darüber hinaus könnten Sie u. a. folgende zusätzliche Einrichtungsunterlagen zusammenstellen: ? Schulungsplan ? Support- oder Helpdeskplan ? Plan für Betriebsumstellung ? Wiederherstellungsplan ? Toolliste
In dieser Phase passen Sie die Entwürfe auf Grundlage der Pilottests an. Sie werden feststellen, dass Änderungen erforderlich sind, wenn Sie die Entwürfe für die einzelnen einzurichtenden Funktionen integrieren und anschließend diese Entwürfe testen, um die entsprechende Integration sicherzustellen. Weitere Informationen zum Validieren und Testen des Windows 2000 Server-Einrichtungsplans über Labortests mit konzeptionellem Nachweis und ein Pilotprojekt finden Sie unter „Erstellen eines Testlabors für Windows 2000“ und „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
38
Teil I Planung
Weitere Informationen zum Testen der Kompatibilität von Anwendungen mit Windows 2000 Professional finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch.
Produktionseinführung Die letzte Phase des Windows 2000-Projekts ist die Produktionseinführung. Zu diesem Zeitpunkt haben Sie alle Entwürfe im Labor getestet und ein Pilotprogramm durchgeführt, um die Entwürfe weiter zu verbessern und zu testen. Sie können nun Windows 2000 inkrementell im gesamten Unternehmen einrichten. Für einige Unternehmen ist das zu Beginn durchgeführte Pilotprojekt die erste Phase der Einführung. Andere werden unter Umständen die während des Pilotprojekts vorgenommenen Installationen entfernen und die Produktionseinführung mit neuen Installationen beginnen. Während der Produktionseinführungsphase sind Test- und Supportaktivitäten weiterhin von Bedeutung, da nun schrittweise ablaufende Zyklen aus Einrichtung, Testen, Validierung und Support den Hauptschwerpunkt bilden. Nach abgeschlossener Einrichtung und dem Erreichen des entsprechenden Meilensteins wird die neue Windows 2000 Server- und Windows 2000 Professional-Infrastruktur formell an die Betriebs- und Supportgruppen übergeben. Dies ist der Zeitpunkt für eine Projektnachbereitung. Während dieser Phase sollten Sie u. a. folgende wichtige Meilensteine definieren und Einrichtungsunterlagen zusammenstellen: ? Produktionseinführungsplan. ? Freigabeplan für Windows 2000 Server und/oder Windows 2000 Professional. ? Betriebs- und Supportinformationssystem (Informationsbank, Verfahren und
? ? ? ? ?
Prozesse für leistungsbezogenen Support, einschließlich der Testergebnisse und Testtools). Lade- oder Abbildsatz und Installationsskripts. Dokumentationsarchiv (Ausdrucke und Dateien aller Projektunterlagen, einschließlich der Einrichtungsaufzeichnungen, werden archiviert). Schulungsmaterial für Endbenutzer, Administration, Helpdesk- und Betriebspersonal. Projektabschlussbericht. Wiederherstellungsplan.
Nach Abschluss der Einrichtung und des Projektabschlussberichts für den Projektträger sollten Sie das Projekt nachbereiten. Die Nachbereitung können Sie nutzen, um die Stärken und Schwächen des gesamten Projekts objektiv zu bewerten und um zu analysieren, wie Sie mit dem aus der praktischen Erfahrung gewonnenen Wissen zukünftige Infrastruktureinrichtungen verbessern könnten.
Bereitstellungsszenarios Jedes Unternehmen stellt einen eigenen Projektplan auf, der auf den eigenen geschäftlichen Anforderungen und Projektmanagementprozeduren basiert. Die folgenden Szenarios sind Beispiele dafür, wie für verschiedene Organisationen – in diesem Fall Unternehmen verschiedener Größe – Ziele in Meilensteine und Leistungskriterien umgesetzt wurden. Diese Szenarios basieren auf den Erfahrungen von Unternehmen, die am Joint Development Program for Windows 2000 teilgenommen haben.
Kapitel 2 Erstellen eines Einsatzwegweisers
39
Szenario 1: Multinationales Finanzdienstleistungsunternehmen Diese Organisation besteht aus neun verschiedenen Betriebsgesellschaften. Jede Gesellschaft besitzt ihre eigene IT-Organisation, und es gibt keine gemeinsamen IT-Standards. Als Organisation haben die Gesellschaften Probleme mit Sicherheitsrichtlinien, Domänenstrukturen und Netzwerkkonfigurationen. Die meisten Server laufen gegenwärtig unter Microsoft® Windows NT® Server 4.0. Die wichtigsten Ziele der Gesellschaften sind die Erstellung: ? einer neuen IT-Umgebung mit Windows 2000-Funktionalität und ? eines gemeinsamen Verzeichnisses für alle neun Betriebsgesellschaften.
Das Einrichtungsteam hat die folgenden wichtigen Punkte benannt, die definieren, wie die Einrichtung abläuft: ? Phase 1: Bewertung ? Phase 2: Entwurf und Entwicklung ? Phase 3: Testen ? Phase 4: Migration (Einrichtung)
Phase 1: Bewertung Während der Bewertungsphase einigen sich die IT-Verantwortlichen der einzelnen Gesellschaften darüber, dass ein gemeinsamer Namespace gefunden werden muss. Es sind zwar bereits verschiedene DNS-Namen (Domain Name System) von den und für die einzelnen Betriebsgesellschaften registriert; die Aufgabe besteht aber darin, einen Namen zu finden, der als Stammname für alle Unternehmen verwendet wird. Dieser einzelne „Platzhalter“ muss folgende Kriterien erfüllen: ? Den Stamm der Struktur für alle neun Betriebsgesellschaften genau definieren. ? Neu für die Organisation sein (von keiner der Betriebsgesellschaften bisher
intern oder extern verwendet). Das IT-Management stellt organisationsweite Entwicklungsteams zusammen, die in acht Arbeitsgruppen unterteilt sind. Grundlage sind dabei die Pläne für eine Grundkonfiguration, die für die einzelnen Betriebsgesellschaften getestet, modifiziert und angepasst werden kann. In Tabelle 2.2 sind die Einrichtungsteams und ihre Zuständigkeiten beschrieben. Tabelle 2.2 Teams für die Einsatzplanung Einrichtungsteam
Schwerpunkt
Server und Infrastrukturentwurf
Zuständig für Gesamtentwurf, Entwurfsschritte und die Entwicklungsschlussphase.
Active Directory
Domänen- und Strukturentwurf unterhalb der Domänenhauptebene und laufendes Active DirectoryManagement in den entsprechenden Domänen, insbesondere in Bezug auf Sicherheitsberechtigungen und Administratorrechte.
40
Teil I Planung Mobil- und Desktopentwurf
Windows 2000-Konfigurationen für alle Desktopcomputer und tragbaren Computer entwickeln und die Gruppenrichtlinien und Microsoft ® IntelliMirror™ -Funktionen ermitteln, die für die Verwaltung dieser Konfigurationen geeignet sind.
(Fortsetzung) Einrichtungsteam
Schwerpunkt
Migration
Windows NT Server 4.0 in eine Windows 2000ServerUmgebung migrieren. Schwerpunkte sind Interoperabilität, Migration und Koexistenz während der Übergangsperiode mit parallelen Domänen bis zum Abschluss der Migration. Dateiverschlüsselung und Infrastruktur für öffentliche Schlüssel. Windows 2000-Konfiguration für Clients mit wechselnden Arbeitsplätzen entwickeln und die Gruppenrichtlinien und IntelliMirror-Funktionen ermitteln, die für die Verwaltung dieser Konfigurationen geeignet sind. Windows 2000 Logo–Kompatibilität aller internen Anwendungen sicherstellen. Das für Desktopcomputer und tragbare Computer optimale Einrichtungstool ermitteln (über eine intern entwickelte Push-Anwendung oder Windows 2000Installationstools). Gemeinsam genutzte Laufzeitkomponenten ermitteln. Mechanismen für Systemdateischutz untersuchen. Vorhandene Anwendungen parallel für minimale Wartung ausführen.
Zertifikatsdienste Wechselnde Arbeitsplätze
Anwendungsverwaltung
Das Team ermittelt, dass die geschäftlichen und die IT-Anforderungen in erster Linie durch folgende Punkte erfüllt werden: ? Active Directory ? Neuer Domänenentwurf ? IntelliMirror ? Verteiltes Dateisystem (DFS) ? Datenträgerkontingent-Management ? Remoteinstallation des Betriebssystems ? Synchronisation von Active Directory mit Exchange-Verzeichnisdiensten
Phase 2: Entwurf und Entwicklung Der wichtigste Punkt während dieser Phase ist die Entscheidung, ob es erforderlich ist, dass der Domänenstammname über das Internet sichtbar ist (auf ihn zugegriffen werden kann) oder ob er nur intern verfügbar sein soll. Die Betriebsgesellschaften sind bereits als Gesamtgruppe im Internet präsent, so dass der Intranetname anders lauten muss. Es wird ein interner Stammname als Platzhalter angelegt, damit für jede der neun Betriebsgesellschaften eine eigene Domäne angelegt werden kann. Die einzelnen Unternehmen behalten ihre Eigenständigkeit in Gebieten wie Konfigurationserstellung, Management und Sicherheit. Sie nutzen diese Phase auch, um die Konfigurationen für die einzelnen Funktionen zu entwerfen und zu testen. Anschließend ermitteln die Teams gemeinsam, wie die
Kapitel 2 Erstellen eines Einsatzwegweisers
41
ausgewählten Windows 2000-Funktionen sich gegenseitig beeinflussen. Darüber hinaus erstellen sie Schulungsunterlagen und beginnen mit der Aufstellung eines Supportplans.
Hauptziele Als treibende Kraft hinter der Migration in Windows 2000 müssen Active Directory und der Domänenentwurf die folgenden geschäftlichen und IT-Kriterien erfüllen, damit sie von allen Betriebsgesellschaften übernommen werden können: ? Eine Stammdomäne ist erforderlich, damit alle Betriebsgesellschaften sich an
einem gemeinsamen Verzeichnis beteiligen können. ? Jedes Unternehmen möchte die vollständige administrative Kontrolle über seine gesamte Organisation behalten; dazu gehören alle separaten Windows NT Server 4.0-Domänen und -Strukturen. Weiterhin möchten die Unternehmen gegenüber den anderen Betriebsgesellschaften völlig unabhängig sein. ? Domänen und Verzeichnisse müssen so flexibel entworfen werden, dass Firmenübernahmen, Abtrennungen und die Umstrukturierung von bestehenden Betriebgesellschaften möglich sind. ? Jede Betriebsgesellschaft ist für ihre eigene Domäne und die darunter liegenden Elemente zuständig, wobei die spezifischen Anforderungen der jeweiligen Betriebsgesellschaft ausschlaggebend sind. Beim Active Directory-Entwurf muss das Migrationsteam überlegen, ob Computer dupliziert oder aktualisiert werden sollen. Das Duplizieren von Computern ist ein Prozess, bei dem für neue Betriebssysteminstallationen eine Installation und Konfiguration erstellt und diese Konfiguration anschließend auf alle neuen installierten Computer kopiert wird. Da die für den Namespace getroffenen Entscheidungen für das Erreichen der Ziele des Unternehmens von Bedeutung sind, wird ein Ausschuss für den Entwurf des Namespace gebildet. Er setzt sich aus Mitgliedern der IT-Gruppen der einzelnen Betriebsgesellschaften zusammen. Die leitenden Ausschussmitglieder und die ITOrganisationen der einzelnen Betriebsgesellschaften müssen den Schlussentwurf für den Namespace vereinbaren. Für den Entwurf des Namespace berücksichtigen sie u. a. folgende Faktoren: ? Auswirkungen auf das Domänenmodell von Windows 2000 ? Auswirkungen auf den vorhandenen Namespace von Windows NT Server 4.0 ? Konflikte mit dem vorhandenen DNS-Namespace
Der Domänenentwurf und DNS sind für das Unternehmen bei der Aktualisierung von Windows NT Server 4.0 auf Windows 2000 aus zwei Gründen von entscheidender Bedeutung: ? Wenn die vorgeschlagene Windows 2000-Domänenstruktur die bisher verwen-
dete Windows NT Server 4.0-Domänenstruktur widerspiegelt, ist eine direkte Aktualisierung von der Windows NT-Domäne auf die Windows 2000-Domäne möglich. ? Wenn die Entscheidung getroffen wird, für Windows 2000 dieselbe Domänenstruktur wie für einen noch in Betrieb befindlichen Windows NT Server 4.0 zu verwenden, sind zwei parallele Domänenstrukturen erforderlich. Die Windows
42
Teil I Planung
NT Umgebung muss darüber hinaus so lange aufrechterhalten werden, bis die neue Windows 2000-Umgebung stabilisiert wurde. Das Team ermittelt, dass für die Entscheidung, ob eine Aktualisierung oder eine Migration durchgeführt werden soll, folgende Punkte ausschlaggebend sind: ? Die vorhandene Domänenstruktur ? Die vorhandene Funktionalität ? Die neue Funktionalität, die mit Windows 2000 implementiert wird
Das Team erkennt dann, dass erst über die Inhalte der einzelnen Domänen entschieden werden kann, wenn folgende Punkte analysiert wurden: ? Bewerten der Probleme, die im aktuellen Domänenentwurf von Windows NT
Server 4.0 auftreten. ? Entscheiden, welche Funktionen von Windows NT Server 4.0 im Domänenentwurf von Windows 2000 erhalten bleiben sollen. ? Entscheiden, welche neuen Funktionen von Windows 2000 implementiert werden sollen (ausschlaggebend ist, welchen zusätzlichen Wert sie für die neue Domänenstruktur besitzen). ? Ermitteln, ob die Windows NT Server 4.0-Umgebung eine systemeigene Umgebung ist oder ob sie modifiziert oder angepasst wurde (von internen Entwicklungsteams oder mit Lösungen oder Entwicklungen von Drittanbietern). Die Organisation setzt beispielsweise ein internes Skriptingtool ein, das Benutzer bestimmten Anwendungen zuordnet. Dieses Tool gibt Anwendungen auf ähnliche Weise frei wie Windows Installer unter Windows 2000. Es muss daher entschieden werden, ob das interne Tool weiterhin eingesetzt oder ob Windows Installer verwendet werden soll. Durch den Einsatz von Windows Installer würden die internen Entwicklungskosten und damit die Gesamtbetriebskosten (Total Cost of Ownership, TCO) verringert. Die Organisation entscheidet sich daher für den Einsatz von Windows Installer. Weitere Informationen zum Active Directory-Domänenentwurf finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. Weitere Informationen zur Domänenmigration finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
Weiteres Ziel Das weitere Ziel besteht darin, andere Funktionen von Windows 2000 zu ermitteln, die nicht bereits in Windows NT Server 4.0 enthalten, aber für die Umgebung von Nutzen sein können. Anschließend wird ein Plan aufgestellt, um zu ermitteln, ob die neuen Funktionen für die Umgebung geeignet sind. Die Organisation entscheidet beispielsweise, dass die folgenden Funktionen ihre geschäftlichen und ihre IT-Anforderungen erfüllen: Offlinedateien Personen, die mit tragbaren Computern arbeiten, haben unterwegs Zugriff auf Netzwerkdaten, da persönliche Dateien und Netzwerkdateien auf ihren lokalen Computern abgelegt sind. Für intern arbeitende Personen stellt diese Funktion sicher, dass bei LAN- oder WAN-Unterbrechungen die Produktivität aufrechterhalten wird, da Dateien auf den lokalen Festplatten gespeichert werden.
Kapitel 2 Erstellen eines Einsatzwegweisers
43
FehlertolerantesverteiltesDateisystem Mit dem verteilten Dateisystem (Distributed File System, DFS) kann eine einzelne Verzeichnisstruktur erstellt werden, die mehrere Dateiserver und Dateifreigaben für eine Gruppe, einen Geschäftsbereich oder ein Unternehmen umfasst. Damit können über das Netzwerk verteilte Dateien oder Ordner leicht gefunden werden. Der Einsatz eines fehlertoleranten DFS ist mit servergespeicherten Benutzerprofilen verbunden, die bereits über ihre Windows NT Server 4.0-Infrastruktur verwendet werden. Dateien können im Netzwerk gespeichert werden, was zu einer verbesserten Replikation zwischen den Gesellschaften des Unternehmens führt. Datenträgerkontingent-Management Das Datenträgerkontingent-Management gibt dem Unternehmen die Möglichkeit, mit dem NTFS-Dateisystem formatierte Datenträger zu verwenden, um den einzelnen Personen zur Verfügung stehenden Serverspeicherplatz zu überwachen und zu begrenzen. Es kann auch festlegen, wie vorzugehen ist, wenn Personen die angegebenen Schwellenwerte überschreiten. In der Vergangenheit verwendete die Organisation Tools von Drittanbietern. In dem Bestreben, interne Entwicklungskosten und die Gesamtbetriebskosten (TCO) zu reduzieren, wechselt sie nun zu systemeigenen Windows 2000-Tools. RemoteinstallationdesBetriebssystems Die Organisation verfügt bereits über einen erweiterten Skriptingprozess für die Installation, aber die Skripts müssen bei jeder Änderung der Clientgrundkonfiguration aktualisiert werden. Sie wird die Windows 2000-Remoteinstallation für die Erstinstallation von Windows 2000 Professional verwenden, außerdem für die schnelle Aktualisierung fehlerhaft arbeitender Computer. Die Organisation plant, die Remoteinstallation zusammen mit IntelliMirror einzusetzen, um den Austausch von Computern zu beschleunigen und zu vereinfachen und auf diese Weise die Gesamtbetriebskosten zu reduzieren. Exchange-Verzeichnisdienst mit Active Directory-Integration Die Organisation plant, den Exchange 5.5-Verzeichnisdienst unter Verwendung von Active Directory Connector (ADC) zu synchronisieren und später zu integrieren, wenn sie auf die nächste Version von Exchange aktualisiert.
Phase 3: Testen Die Beispielorganisation hat ein Testlabor für Funktions- und Pilottests eingerichtet. Sie möchte die tatsächlichen Bedingungen ihrer Produktmigration simulieren. Nachdem der Migrationsprozess mit den Labor- und Pilottests validiert wurde, kann die Organisation mit der Produktionseinführung beginnen. Die vorläufigen Entwurfspilotprojekte werden während der Entwurfsphase an das IT-Personal verteilt, damit es die Entwürfe testen und weiter verbessern kann. Zu den Punkten des Entwurfs, die zu Beginn getestet und bewertet werden sollen, gehören u. a.: ? Active Directory-Entwurf (Platzhalterdomäne und vier untergeordnete Do-
mänen). ? Clientstandardkonfiguration.
Die Ziele des Pilotprojekts sind u. a.: ? Windows 2000 und das vorgeschlagene Active Directory-Modell in einer realen
Produktionsumgebung bewerten.
44
Teil I Planung ? Im größtmöglichen Umfang neue, systemeigene Windows 2000-Technologie
einsetzen. ? Die Standardkonfigurationen für stationäre und mobile Clients zusammen-
führen. ? Die vorgeschlagene zukünftige Konfiguration den Unternehmen der Organisa-
tion demonstrieren und konstruktive Kritik zusammentragen. ? Isolierte Windows 2000-Projekte in der gesamten Organisation konsolidieren und ihnen neue Schwerpunkte zuweisen. Während dieser Phase setzt das Einrichtungsteam die Überarbeitung des Entwurfs und das Testen fort, bis der Entwurf allgemeine Zustimmung findet. Der neue Entwurf muss folgende Akzeptanzkriterien erfüllen: ? Erhöhte Stabilität ? Verbesserte Arbeitsumgebung ? Verwaltung möglich mit aktuellen und neuen oder zusätzlichen administrativen
Ressourcen ? Erfüllung der Budgetanforderungen
Nachdem der Domänenentwurf getestet und in seine endgültige Fassung gebracht wurde, wird er von den organisationsweiten Entwicklungsteams abgezeichnet. Anschließend muss der Entwurf vom oberen IT-Management aller neun Betriebsgesellschaften genehmigt werden.
Phase 4: Migration Da es nach Auffassung der Organisation erforderlich ist, die servergespeicherten Profile für Personen, die mit tragbaren Computern arbeiten, beizubehalten, wird entschieden, während der Übergangsphase mit zwei parallelen Umgebungen zu arbeiten. Viele Personen mit servergespeicherten Profilen, die zu Hause auf Windows 2000 aktualisieren, werden feststellen, dass ihre Arbeitsumgebung noch nicht aktualisiert wurde. Durch die Beibehaltung paralleler Umgebungen unterstützt die Infrastruktur alle Personen und ermöglicht ihnen unabhängig von dem von ihnen eingesetzten Betriebssystem den Zugriff auf ihre Dateien. Die Migration muss jedoch so schnell wie möglich stattfinden. Die Organisation plant, die duale Umgebung mit Windows NT Server 4.0 und Windows 2000 für 12 bis 24 Monate beizubehalten. Es besteht die Möglichkeit, in beiden Umgebungen zu arbeiten, bis die IT-Umgebung in allen neun Betriebsgesellschaften vollständig auf Windows 2000 umgestellt ist. Für diese Organisation ist die Einstellung des Betriebs der Windows NT Server 4.0-Umgebung die wichtigste Entscheidung in der gesamten Migration. Sie möchte sicher sein, dass die durchgeführten Labor- und Pilottests ausreichen, um die Auswirkungen größerer Probleme, die durch Ungenauigkeiten im Entwurf entstehen können, in Grenzen zu halten. Die Organisation hofft, durch die im angemessenen Umfang durchgeführten Tests Netzausfallzeiten zu vermeiden. Nach Abschluss der Tests wird sie mit der Migration in Windows 2000 in den Betriebsgesellschaften fortfahren und dann den Betrieb der Windows NT Server 4.0-Umgebung einstellen.
Kapitel 2 Erstellen eines Einsatzwegweisers
45
Szenario 2: Multinationaler Hersteller von Konsumgütern und industriellen Erzeugnissen Szenario 2 basiert auf einem in hohem Maße dezentralisierten Unternehmen mit einer verteilten IT-Umgebung, das aus 175 separaten Betriebsgesellschaften besteht. Fertigung und Montage finden in 49 Ländern auf sechs Kontinenten statt. Das Unternehmen beschäftigt weltweit rund 390.000 Mitarbeiter, die rund 120 Sprachen sprechen. Damit der Übergang für alle Betriebsgesellschaften erleichtert wird und die Supportkosten für die Einrichtung reduziert werden, sind eine gemeinsame Schnittstelle und ein gemeinsamer Implementierungsprozess erforderlich. Alle Betriebsgesellschaften möchten Lösungen für die folgenden allgemeinen Punkte finden: ? Kunden einfachen Zugriff auf eine gemeinsame Wissensbasis bieten, die im ? ? ? ?
? ?
Hinblick auf das Unternehmen und seine Geschäftstätigkeit von Bedeutung ist. Durch Erstellen einer Gesamtstruktur die IT-Administrationskosten reduzieren und den Service verbessern. Windows NT 4.0-basierte Server für die Aktualisierung konsolidieren. Allen Betriebsgesellschaften eine gemeinsame IT-Umgebung bieten. Richtlinien für die Einrichtung von Windows 2000 in der Organisation festlegen, die eine stabile IT-Umgebung bieten und vermeiden, dass einzelne Gruppen separate Produkte oder Funktionen einsetzen, die nicht von der zentralen IT-Abteilung unterstützt werden. IT-Angelegenheiten in allen Betriebsgesellschaften kommunizieren. Einen effizienten Entwurf für Active Directory vorlegen, da damit zahlreiche weitere Windows 2000-Funktionen aktiviert werden.
Einrichtungsteams Die Organisation stellt ein Einrichtungsteam zusammen, das aus einem Server- und einem Clientteam besteht. In jedem Team sind Personen aus den wichtigsten Betriebsgesellschaften vertreten. Ihr Ziel besteht darin, ein Modell sowohl für Server- als auch Clientbetriebsumgebungen zu entwickeln, das in allen Betriebsgesellschaften eingesetzt werden kann. Im Grunde genommen besteht ihr Ziel darin, einen Entwurfs- und Einrichtungsprozess einzuführen und zu validieren, der von allen Betriebsgesellschaften genutzt werden kann, anstatt Windows 2000 in einer Produktionsumgebung einzurichten. Sie gliedern ihren Plan in drei Phasen: ? Phase 1: Infrastrukturbackboneentwurf und -entwicklung ? Einrichtung von Kerndiensten für die primäre Unternehmensdomäne ? Einrichtung von Servern in den größeren Unternehmensniederlassungen ? Phase 2: Einsatzplanung in den Betriebsgesellschaften ? Einrichten von Pilotdomänen in allen Betriebsgesellschaften ? Konfigurieren von Standorten und Standortverknüpfungsbrücken ? Erstellen von Benutzerkonten ? Einrichtung von Vertrauensstellungen zwischen Windows NT Server 4.0-
und Windows 2000-Domänen ? Durchführen eines Pilotprojekts mit Windows 2000 Professional in mehreren Betriebsgesellschaften
46
Teil I Planung ? Phase 3: Migration der Hauptdienste von Windows NT Server 4.0 in
Windows 2000 Server ? Windows Internet Name Service (WINS) ? Dynamic Host Configuration Protocol (DHCP) ? Drucken ? Webserver, die Internet Information Services (IIS) einsetzen
Zu den ersten Tasks, die das Team ausführt, gehört das Aufstellen einer Liste mit den wichtigsten Angelegenheiten und den Hauptrisiken für das Gesamtprojekt. Diese Liste enthält folgende Punkte: ? Erkennen, dass es für die Koordination, die für den Aufbau eines globalen
Unternehmens erforderlich ist, kein Beispiel gibt. (Es dauert durchschnittlich drei Jahre, ein Betriebssystem sowohl für Server als auch für Clients in allen Betriebsgesellschaften einzurichten.) ? Nach Bedarf die Koexistenz mit UNIX und auf Großrechnern ausgeführten Geschäftsbereichsanwendungen vorbereiten. (Viele Betriebsgesellschaften haben beispielsweise Sun RISC 6000-Server, auf denen unter Windows NT Server 4.0 ein FIBU-Programm ausgeführt wird.) ? Tools bereitstellen, um Teile der Gesamtstruktur nach Bedarf zu verschieben
und zusammenzuführen; ausschlaggebend sind interne Änderungen im Unternehmen und häufige Übernahmen, Zusammenschlüsse und Abtrennungen. ? Die Position für die Domänenadministration erstmals besetzen; die Person muss: ? schnell auf Änderungsanforderungen und Anforderungen im Stammdomänensupport reagieren. ? die Erstellung von untergeordneten Domänen und Standorten effizient
delegieren können. ? Erkennen, dass ein einzelnes Schema unter Umständen nicht die Konfigura-
tionsanforderungen aller Betriebsgesellschaften erfüllt; daher ist für den Geschäftsbetrieb zwischen den Gesellschaften eventuell ein Tool für die Verzeichnissynchronisation erforderlich. ? IP-Abhängigkeiten (Internet Protocol) im Unternehmen erkennen, beispielsweise: ? Firewalls ? Netzwerkleistung
Das Servereinrichtungsteam Das Servereinrichtungsteam ist verantwortlich für die Planung und den Entwurf des Servereinrichtungsprozesses. Grundlage sind die Phasen, die für das gesamte Einrichtungsteam definiert wurden. Das Servereinrichtungsteam setzt sich aus vier Teams zusammen, deren Schwerpunkte technische Planung, Active Directory, Logistik und Migration sind. Die vom Serverteam benannten strategischen Ziele sind: ? Windows 2000 Active Directory-Dienste definieren, die von allen
Betriebsgesellschaften eingesetzt werden können.
Kapitel 2 Erstellen eines Einsatzwegweisers
47
? Einen Plan für die Migration von der aktuellen Windows NT Server 4.0-
Umgebung in eine Windows 2000-Umgebung aufstellen. ? Kurzfristige vorbereitende Schritte konzipieren. ? Ein Backbonepilotprojekt für das Unternehmen implementieren. ? Richtlinien und Windows 2000-Modelle für alle Betriebsgesellschaften im-
plementieren. In Abbildung 2.3 ist der Projektmanagementrahmen dargestellt, den das Serverteam für die Einrichtung von Windows 2000 einsetzt.
Abbildung 2.3
Servereinrichtungsprozess für einen multinationalen Hersteller
Serverphase 1: Ermitteln der zu implementierenden Funktionen Das Hauptziel des Servereinrichtungsteams besteht darin, Einrichtungsstandards für ein gemeinsames Verzeichnis- und Domänenmodell zu erstellen, das von allen Betriebsgesellschaften verwendet werden kann. Darüber hinaus muss es eine globale Windows 2000-Infrastruktur entwickeln, die alle Betriebsgesellschaften unterstützt. Das Team konzentriert sich zunächst darauf, einen Infrastrukturbackbone zu entwerfen, der weltweit auf die wichtigsten IP-Backbone-POPs (Points of Presence) zurückgreift. Der Backbone ist kein physikalischer Netzwerkbackbone, sondern ein logischer Backbone aus Stammnamespace und Domänencontrollern. Das Team muss unter Verwendung der Windows 2000-Infrastruktur einen Backbone entwickeln, an dem sich alle Betriebsgesellschaften beteiligen können. Jede Betriebsgesellschaft muss über eine Schnittstelle zum Stamm der Gesamtstruktur verfügen und auf einen gemeinsam genutzten globalen Katalog zugreifen können. Anschließend beginnt das Team damit, auf Grundlage der geschäftlichen Anforderungen die Technologien zu ermitteln, die speziell für das Unternehmen erforderlich sein werden. Da die Systemadministration weltweit auf Englisch miteinander kommuniziert, ist auf Serverebene beispielsweise keine Sprachenunterstützung erforderlich. Das Team trifft die Entscheidung, sich u. a. auf folgende spezifische Punkte zu konzentrieren: ? Entwerfen von Domänen und Standorten ? Entwerfen von Organisationseinheiten
48
Teil I Planung ? Festlegen der Verwendung von DNS- oder WINS-Namensauflösung ? Verständnis gewinnen für Replikation und Active Directory-Container ? Synchronisieren des Exchange-Verzeichnisdiensts mit Active Directory ? Entwerfen von Windows 2000 Active Directory ? Entwickeln von Standards für eine allgemeine
Serverbetriebssystemkonfiguration ? Festlegen von Platzierungskriterien für Domänencontroller und den globalen Katalog sowie ihrer Standorte Die Tabelle 2.3 enthält eine vom Unternehmen aufgestellte Checkliste mit Tätigkeiten; anhand dieser Liste soll festgestellt werden, wann das Serverteam die für Phase 1 gesteckten Ziele erreicht hat. Tabelle 2.3 Checkliste für die in Phase 1 erreichten Meilensteine Abgeschlossen
Punkt Pilotprojekte mit vier bis sechs Servern an mindestens drei Standorten einrichten. Die Genehmigung für die Verwendung von <domänenname>.net/ <domäne>.int für den Stammdomänennamen einholen. Windows 2000 Server an einer angegebenen Anzahl von IT-POPs des Unternehmens installieren. Die
-DNS-Struktur definieren; dazu gehören: Server für die integrierte dynamische DNS-Aktualisierung für die -Domäne am europäischen Standort X konfigurieren. Server für die integrierte dynamische DNS-Aktualisierung am USamerikanischen Standort A konfigurieren. Die IT-Hauptserver mit den neuen Domänendaten aktualisieren. Datensatzserialisierung und Zonenübertragung mit dem Hauptbetriebsstandort verifizieren. Direct Host in am dd/mm/jjjj starten. Die zentrale Betriebskonfiguration definieren; dazu gehören: Globale Kataloge an den europäischen Standorten X und Z festlegen. Subnetze benennen. X Standorte erstellen. Standortverknüpfungen zwischen den europäischen Standorten X und Z einrichten. Managementfunktionen durch die Installation der Windows 2000 Terminaldienste für die Remoteadministration erweitern. Die elektronische Softwareverteilung durch die Konfiguration von Backbonestandorten für die Replikation von Windows 2000-Builds an den europäischen Standort Z aktivieren.
Kapitel 2 Erstellen eines Einsatzwegweisers
49
(Fortsetzung) Abgeschlossen
Punkt Die Verzeichnisdaten des Unternehmens (mehr als 200.000 Namen) in den Verzeichnisdienst des Pilotprojekts laden. Replikation und Laden auf dem System verifizieren. Die geladenen Daten nach dem Test löschen.
Serverphase 2: Vorbereiten des abschließenden Entwurfs für die Serverarchitektur und Durchführen von Pilotprojekten Das Team kann sich nun auf Phase 2 konzentrieren und damit beginnen, die verschiedenen Betriebsgesellschaftsdomänen für das Pilotprojekt einzurichten. Einige Domänen sind neu, während andere von Windows NT Server 4.0 migriert werden. Das Team hat die Entscheidung getroffen, sich u. a. auf folgende spezifische Punkte zu konzentrieren: ? Active Directory-Struktur entwerfen und Struktur im Testlabor validieren. ? Pläne für die Migration von Windows NT Server 4.0 in Windows 2000 Server
aufstellen. ? Standardinstallationsprozess für die Servereinrichtung entwickeln. ? Labor für die unternehmensweite Integration einrichten. ? Spezifikationen für weitere Windows 2000-Funktionen definieren. ? Kommunikationsplan für Endbenutzer umsetzen; dies umfasst das IT-Personal
in anderen Betriebsgesellschaften, die IT-Administration und die an Desktopsystemen arbeitenden Personen. Die Tabelle 2.4 enthält eine vom Unternehmen aufgestellte Checkliste mit Tätigkeiten; anhand dieser Liste soll festgestellt werden, wann das Serverteam die für Phase 2 gesteckten Ziele erreicht hat. Tabelle 2.4 Abgeschlos sen
Checkliste für den Abschluss von Phase 2 Punkt 10 Standorte für das Pilotprojekt bestimmen, darunter vier in den USA und fünf in Europa; ein Standort ist das europäische Clientlabor. 18 bis 24 Server in einer Pilotumgebung einsetzen. 30 bis 40 Arbeitsstationen in einer Pilotumgebung einsetzen. Den IP-Backbone des Unternehmens über ein virtuelles privates Netzwerk (VPN) konfigurieren; hierzu werden Firewalls für den VPNZugriff zwischen Betriebsgesellschaften und entsprechenden Backbonestandorten des Unternehmens konfiguriert. Administrative Delegierung definieren; dazu gehören: Domänen für die Betriebsgesellschaften vorab erstellen. Betriebsgesellschaften in DNS-Zonen delegieren.
50
Teil I Planung (Fortsetzung) Abgeschlossen
Punkt Eine Domäne für die Betriebsgesellschaften erstellen; dazu gehören: Betriebsgesellschaftsdomänen an fünf europäischen und vier USamerikanischen Standorten einrichten. Teilnehmende Betriebsgesellschaftssubnetze bestimmen. Standorte erstellen und Standortmanagement delegieren. Standortverknüpfungen zwischen den Standorten der Betriebsgesellschaften und den Backbonestandorten erstellen. An jedem teilnehmenden Standort (nicht Betriebsgesellschaft) einen globalen Katalog festlegen. Delegierung für die einzelnen Betriebsgesellschaften definieren; dazu gehören: Eine Organisationseinheitsstruktur innerhalb der Betriebsgesellschaftsdomäne erstellen. Die Administration der Organisationseinheiten delegieren. Benutzerkonten ermitteln und Konten für die Mitglieder des Serverund des Clienteinrichtungsteams anlegen. Clientcomputer des Windows 2000-Einrichtungsteams den Betriebsgesellschaftsdomänen zuordnen. Eine Windows NT Server 4.0-Vertrauensstellung als Produktionsressourcendomäne für die Betriebsgesellschaft einrichten. WINS in geeigneter Weise in den Betriebsgesellschaftsbackbone integrieren. Microsoft® Exchange Server durch Konfiguration von Active Directory Connector in den einzelnen Betriebsgesellschaften integrieren und eine einseitige Synchronisation zur Aktualisierung der Active DirectoryDaten einrichten. Eine Zertifizierungsstelle einrichten. Verzeichnisdienstreplikationeinrichten. Mit folgenden Schritten Windows 2000 Professional in Absprache mit dem Clienteinrichtungsteam einrichten: Eine unbeaufsichtigte Installation eines Clientprototypen in verschiedenen Domänen entwickeln. Gruppenrichtlinien für Clients in allen Domänen verwenden. Sprachenunterstützung auf einem Clientprototypen mit drei Beispielsprachen installieren. Internationales Clientroaming aktivieren. Die Standardsoftware der einzelnen Betriebsgesellschaften an all den Standorten installieren und einsetzen, die auf Gruppenrichtlinienobjekten basieren. Sicherstellen, dass Arbeitsstationen über vorhandene RAS-Dienste
Kapitel 2 Erstellen eines Einsatzwegweisers
51
von Windows NT 4.0 auf Ressourcen zugreifen können, die auf Windows 2000 basieren. (Fortsetzung) Abgeschlossen
Punkt Mit folgenden Schritten Benutzer definieren: Gruppenrichtlinien für Benutzer in allen Domänen verwenden. Sicherstellen, dass serverbasierte Benutzerprofile in verschiedenen Domänen ordnungsgemäß eingesetzt werden können (Clientstandardsprache muss gleich sein). Sicherstellen, dass serverbasierte Benutzerprofile international ordnungsgemäß eingesetzt werden können (unterschiedliche Clientstandardsprachen). Sicherstellen, dass der Zugriff auf Ressourcen weltweit in verschiedenen Domänen ordnungsgemäß funktioniert.
Serverphase 3: Vorstellen der Migrationspläne in den Betriebsgesellschaften Der Schwerpunkt von Phase 3 ist die Migration der Dienste von Windows NT Server 4.0 in Windows 2000. Die Dienste werden nach einer Risikobewertung migriert, die entworfen wurde, um den Einfluss auf bestehende Produktionssysteme zu reduzieren. Wenn das Team bei der Migration von Schlüsselkomponenten in gewissem Umfang erfolgreich war, steigt die Komplexität und damit das Risiko. Das Einrichtungsteam wird die Pläne nach umfassenden Tests den Betriebsgesellschaften vorlegen, damit sie diese als Prototypen verwenden können. Zu den Tätigkeiten während dieser Phase gehören: ? Eine Migrationsstrategie vorstellen. ? Den Betriebsgesellschaften Windows 2000-Konzepte und vorgeschlagene
Entwürfe vorstellen. ? Den vorgeschlagenen Entwurf gegenüber der Geschäftsführung (IT-Prüfausschuss) vertreten. ? Das Projekt und den vorgeschlagenen Entwurf gegenüber den Endbenutzern vertreten. ? Einen Wiederherstellungsplan erarbeiten, der Geschäftsunterbrechungen vermeidet; dies gilt insbesondere für: ? Eine Sicherungsstrategie ? Eine Rollback-(Fallback-)Strategie auf Windows NT 4.0 nach der Migration zu Windows 2000. Die Tabelle 2.5 enthält eine vom Unternehmen aufgestellte Checkliste mit Tätigkeiten; anhand dieser Liste soll festgestellt werden, wann das Serverteam die für Phase 3 gesteckten Ziele erreicht hat.
52
Teil I Planung Tabelle 2.5 Checkliste für den Abschluss von Phase 3 Abgeschlossen
Punkt An mehreren geographischen Standorten, darunter Nordamerika, Europa und Asien, Standorte für die Migration bestimmen. Für die einzelnen Domänen und Standorte festlegen, wie viele Server in die Migration einbezogen werden. Für die einzelnen Domänen und Standorte festlegen, wie viele Clientcomputer in die Migration einbezogen werden. Durch Aufnahme eines Windows 2000WINS-Server in eine vorhandene Umgebung eine WINS-Migration durchführen. Durch Aufnahme eines Windows-DHCP-Servers in eine vorhandene Umgebung eine DHCP-Migration durchführen. Durch Auswahl einer Anzahl von Druckservern, die keine Windows NT Server 4.0-Domänencontroller sind, und ihre Aktualisierung auf Windows 2000 eine Druckservermigration durchführen. Eine Internetservermigration durchführen; hierzu wird mit IIS 5.0 eine Website für die Einrichtung von Windows 2000implementiert und ein Zeiger von der vorhandenen zentralen Site erstellt. Inhalte von der Versuchssite auf die neue Site replizieren. DNS-Datensätze zu diesem Server hinzufügen. Ressourcendomänen reduzieren; hierzu wird eine Windows NT 4.0Ressourcendomäne ausgewählt und in Windows 2000Servermigriert. Neue Kontendomänen erstellen; hierzu wird der primäre Domänencontroller für Windows NT 4.0-Kontendomänen in Windows 2000 Server migriert.
Das Clienteinrichtungsteam Die größte Herausforderung für das Clienteinrichtungsteam ist die Arbeit mit allen Betriebsgesellschaften, um die allgemeine Zustimmung zu einer Clientcomputerkonfiguration zu erhalten. Die vorhandenen Clientbetriebssysteme in der Organisation umfassen Windows 95, Windows 98 und Windows NT 4.0 Workstation. Weiterhin befasst sich das Clientteam mit folgenden Punkten: ? Unternehmensweit die Anzahl der eingesetzten Anwendungen verringern.
Derzeit gibt es gut 1000 Anwendungen, wodurch es dem IT-Team erschwert wird, Support zu leisten. ? Den IT-Schwerpunkt von den tragbaren Computern auf die Personen verlagern, die mit den tragbaren Computern arbeiten. ? Untersuchen, ob statt der bisherigen Methode der Softwareverteilung in Windows NT Server 4.0 eine andere Methode eingeführt werden sollte. ? Mehr Hardwaresupport für tragbare Computer leisten. Das Team muss einen Vorschlag entwickeln, der die Betriebsgesellschaften bei der Entscheidung unterstützt, ob zunächst die Client- oder die Serverinfrastruktur aktualisiert wird. Das Team stellt fest, dass zwar beide Optionen möglich sind, kommt aber zu dem Schluss, dass die folgenden Punkte, die dafür sprechen,
Kapitel 2 Erstellen eines Einsatzwegweisers
53
zunächst die Serverinfrastruktur zu aktualisieren, für die Organisation von Bedeutung sind:
? Erhöhte zentralisierte Kontrolle über die Clientcomputer. ? Die mit den Clientcomputern arbeitenden Personen haben weniger Möglich-
keiten, die Konfiguration zu ändern. ? Einsatz von Windows 2000-Tools für die Installation. ? Es ist ein globaler Katalog aktiviert, auf den alle zugreifen können. Das Team stellt fest, dass die meisten Betriebsgesellschaften in der Organisation zunächst ihre Server aktualisieren möchten. Nachdem dann Active Directory und ein globaler Katalog aktiviert sind, möchten sie Gruppenrichtlinien und andere Tools für Änderungen und Konfigurationsmanagement implementieren, um zu einer differenzierteren Administration der Clientcomputer zu gelangen. Das Team erkennt auch, dass die Entscheidung, ob zunächst die Server aktualisiert werden sollen, von besonderer Bedeutung ist, wenn es beabsichtigt, für die Einrichtung der Software die Verwendung von Windows 2000-Gruppenrichtlinien zu empfehlen. Es muss untersuchen, welchen Einfluss der Einsatz von Gruppenrichtlinien auf Active Directory haben wird. Die Organisation hat folgende Ziele für das Clientarchitekturteam: ? Eine Standardclientkonfiguration als modulares Produkt für alle Betriebsgesell-
schaften entwickeln. ? Eine Referenzinstallation mit Hardware, Software und Betriebsabläufen erstellen. ? Einen Rahmen für ein globales Modell entwerfen, das die Anmeldung an jedem beliebigen Ort weltweit ermöglicht. ? Ein Modell für Schulung und Helpdesksupport entwickeln.
Die Arbeit des Clientteams gliedert sich in zwei Phasen: ? Phase 1: Fragen zur Clientstandardkonfiguration ? Phase 2: Softwarelogistik
Phase 1: Fragen zur Clientstandardkonfiguration Damit die Ziele für den weltweiten geschäftlichen Einsatz erreicht werden, entscheidet das Clientteam, eine standardisierte Konfiguration mit folgenden Komponenten zu verwenden: ? Windows 2000 Professional-Clients ? Microsoft® Office 97 oder Office 2000 ? Virenprüfungsfunktionen ? Webbrowser ? E-Mail-Client ? Sprachenunterstützung ? Windows-Terminaldienste-Funktionen (sicherstellen, dass der Cliententwurf
für Terminaldienste geeignet ist).
54
Teil I Planung
? Internationales Clientroaming aktivieren, damit weltweit Verbindungen bzw.
Einwählverbindungen mit dem IP-Backbone des Unternehmens und der Zugriff auf folgende Komponenten möglich sind: ? Benutzerdefinierte Einstellungen für Desktops und Anwendungen. ? Persönliche Dokumente und Mail (überall verfügbar). ? Unternehmensweite Standardsoftware.
Phase 2: Softwarelogistik Während der zweiten Phase konzentriert sich das Team auf die Entwicklung einer Strategie, um das neue Betriebssystem und die Clientkonfiguration auf geordnete und effiziente Weise auf stationären und tragbaren Clients zu installieren. Das Team benennt folgende Punkte: ? Installationspakete für folgende Anwendungen erstellen: ? Unternehmensanwendungen. ? Gemeinsame Anwendungen für alle Betriebsgesellschaften. ? Selbstprogrammierte Anwendungen für die einzelnen Betriebsgesellschaften
(nach Bedarf). ? EineAnleitung für Installationspakete erstellen, die folgendes enthält: ? Standardisierte Paketzusammenstellung weltweit für alle
Betriebsgesellschaften. ? Ein einziges Installationspaket pro Anwendung weltweit für nichtstandardisierte Software. ? Anwendungen für die einzelnen Betriebsgesellschaften nach Bedarf neu zusam-
menstellen. ? Installationspakete zuordnen: ? Allen Benutzern. ? Benutzergruppen nach Funktion oder Organisation. ? Nach clientspezifischen Anforderungen. ? Anwendungen auf Grundlage von Benutzeranforderungen installieren
Das Clienteinrichtungsteam hat festgestellt, dass das Management die Praxis fortsetzen möchte, neue Clientbetriebssysteme und Konfigurationsabbilder in Verbindung mit dem Erwerb neuer Hardware zu installieren. Der Betriebssystemeinsatz in der Organisation dauert durchschnittlich drei Jahre. Interne Studien zu den Gesamtbetriebskosten haben ergeben, dass diese Kosten reduziert werden können, wenn im Voraus mehr Mittel für bessere Hardware aufgewendet werden und vor dem Einbau der neuen Hardware in die Benutzersysteme das neue Clientkonfigurationsabbild aktualisiert wird. Darüber hinaus bringen neue Funktionen und erweiterte Funktionalität der Systemadministration und IT-Fachleuten in punkto Clients erhebliche Vorteile. Die mit den Clients arbeitenden Personen und Führungskräfte müssen hingegen deutlich erkennbare Beweise bekommen, dass die Produktivität erhöht wird. Es ist daher erforderlich, dass sowohl die Führungskräfte, die die Entscheidungen treffen, als
Kapitel 2 Erstellen eines Einsatzwegweisers
55
auch die Personen, die mit den Systemen arbeiten, vom Projekt überzeugt sind, bevor in den einzelnen Betriebsgesellschaften die Einrichtungsphase beginnt.
Technologieabhängigkeiten Windows 2000 Server ist ein Mehrzwecknetzwerkbetriebssystem, das mit klar umrissenen, aber dennoch integrierten Funktionen konzipiert wurde, die inkrementell eingerichtet werden können. Aus diesen Gründen gibt es zahlreiche Technologieabhängigkeiten, die Sie bei der Planung der Einrichtung berücksichtigen müssen. In den folgenden Beispielen sind einige dieser Technologieabhängigkeiten dargestellt.
Active Directory und Domänennamespace Die Active Directory-Struktur, das Domain Name System (DNS) sowie die Infrastrukturpläne für Windows Internet Name Service (WINS), Dynamic Host Configuration Protocol (DHCP), Netzwerkprotokolle, Dateien, Drucken, Streaming-Media und weitere bandbreitenintensive Anwendungen müssen unter Berücksichtigung der geschäftlichen Anforderungen und der IT-Leistung entworfen werden. Wenn die geschäftlichen Anforderungen zahlreiche Tochtergesellschaften sowie servergespeicherte Profile und Remotezugriff vorgeben, müssen Sie Organisationseinheiten, Gruppenrichtlinien, Sicherheit und IntelliMirror-Technologien in Ihre Überlegungen einbeziehen. Möchten Sie sichere Intranet- oder Extranetfunktionen bieten, sind IP-Sicherheit (IPSec) und eine Infrastruktur für öffentliche Schlüssel (PKI) wichtige Komponenten in den Entwürfen. Wenn Sie Windows 2000 Professional als Hauptbetriebssystem für Desktops und Laptops einsetzen möchten, sollten Sie Installationsoptionen, Sprachenunterstützung, Sicherheit, Active Directory und weitere Technologien für Änderungen und Konfigurationsmanagement in Ihre Überlegungen einbeziehen. Und schließlich müssen Sie in einer heterogenen Umgebung, in der neben Windows NT und Windows 2000 noch andere Netzwerkbetriebssysteme eingesetzt werden, Optionen für Interoperabilität und Koexistenz berücksichtigen.
Active Directory und Exchange Server Sie planen unter Umständen, Active Directory in einer geographisch verteilten Umgebung einzusetzen, in der ein zentralisiertes IT-Management durch langsame WAN-Verbindungen erschwert wird und die Wahrscheinlichkeit hoch ist, dass stabile und sichere Verbindungen beeinträchtigt werden. Auf der anderen Seite haben Sie aber auch die geschäftliche Anforderung eines stabilen, sicheren und allgemeinen Systems für den E-Mail-Verkehr und die Zusammenarbeit verschiedener Betriebsgesellschaften, darunter geographisch entfernte Standorte. Sie müssen die Beziehungen zwischen Active Directory und dem Exchange Server 5.5-Verzeichnisdienst berücksichtigen; darunter fallen auch Gruppenrichtlinien, IP-Sicherheit und virtuelle private Netzwerke (VPNs). Planen Sie den Einsatz von Active Directory Connector (ADC), um Daten kontinuierlich mit dem ExchangeVerzeichnis zu synchronisieren. Sie müssen auch den DNS-Entwurf in Ihre Überlegungen einbeziehen. Dies gilt insbesondere, wenn es mehrere Organisationen gibt, Tochtergesellschaften mit eigenem Internetdomänennamen, eigenen Domänen- und Verzeichnisstrukturen und Sicherheitsanforderungen sowie unterschiedlichen Netzwerkbetriebssystemen
56
Teil I Planung
oder IT-Standards. Der DNS-Entwurf ist besonders wichtig, wenn nicht das Windows 2000-Team, sondern andere Gruppen für den DNS-Namespace zuständig sind. Dies ist beispielsweise bei vielen UNIX-zentrierten IT-Organisationen der Fall.
Integrieren von Exchange Server Wenn Sie einen gemeinsamen E-Mail-Standard und ein gemeinsames Verzeichnis benötigen, Ihre Organisation aber nicht mit Exchange Server 5.5 arbeitet, müssen Sie unter Umständen vor der Einrichtung von Windows 2000 Exchange Server 5.5 implementieren, damit über ADC eine Synchronisation mit Active Directory möglich ist. Sie können dieses Ziel aber auch zurückstellen, bis die Einrichtung von Windows 2000 abgeschlossen ist, und dann die nächste Version von Exchange einsetzen.
Remoteinstallation des Betriebssystems Ein weiteres Beispiel ist ein Benutzerstandort mit eingeschränktem Support, aber hervorragender Konnektivität, an dem die lokale Clientinstallation bisher manuell durchgeführt wurde. Mit der Remoteinstallation und IntelliMirror sind nun Installationen und Problembehandlung an Remotestandorten möglich, ohne dass Support vor Ort erforderlich ist. Weitere Informationen zu Technologieabhängigkeiten finden Sie in den einzelnen Kapiteln zur technischen Planung in dieser Dokumentation. Beachten Sie, dass jede Funktion, die Sie einsetzen möchten, einen eigenen Entwurf erfordert, damit sie formal im Labor und in Pilotumgebungen getestet werden kann.
Tipps für die Planung der Windows 2000-Einrichtung Das Ziel, das Sie beim Erstellen von Planungsunterlagen und Ausarbeiten eines Einrichtungsplans letztlich verfolgen, ist die erfolgreiche Einrichtung von Windows 2000 mit den in Ihrer Organisation bewährten Projektmanagementtechniken. Die Listen in den folgenden Abschnitten enthalten Punkte, die bei der Planung der Einrichtung zu berücksichtigen sind. BestmöglicheallgemeineVerfahren Die folgende Liste enthält allgemeine Verfahren, die sich für einige Organisationen, die früh auf Windows 2000 migriert sind, als die am besten geeigneten Verfahren erwiesen. ? Untersuchen Sie anhand des Organigramms Ihrer Organisation, in welchem
Umfang die Managementstruktur der Organisation den Anforderungen der Organisation und den Netzwerk-LAN-Verbindungen entspricht. Bauen Sie auf Grundlage dieser Überlegungen eine Active Directory-Infrastruktur auf. ? Legen Sie fest, in welchem Umfang Funktionen international ausgerichtet sein sollen, und welche Nachteile Sie dafür in Kauf nehmen können. ? Berücksichtigen Sie in Ihrem Zeitplan, dass das Testen des Produkts komplexer werden kann als ursprünglich geplant. ? Planen Sie die Anwendungsinstallation um Windows Installer. ? Legen Sie fest, wie die Zuständigkeiten für die Systemadministration aufgeteilt
werden, und geben Sie an, wer Administratorrechte erhalten soll.
Kapitel 2 Erstellen eines Einsatzwegweisers
57
? Legen Sie fest, welche Richtlinien auf einem normalen Benutzersystem gelten
sollen. ? Nutzen Sie die neuen Komponenten von Windows 2000. Integrieren Sie sie
überlegt, um ihren Einfluss auf die Leistung Ihrer Anwendung gering zu halten. ? Planen Sie genügend Zeit für die Installation von Windows 2000 Server ein –
ein Prozess, der mehrere Stunden in Anspruch nehmen kann. ? Nehmen Sie internationale Gesichtspunkte in Ihre Windows 2000-Fragenliste und Testüberwachungssysteme auf. ? Stellen Sie Arbeitsgruppen zusammen, um taskbasierte Architekturentscheidungen zu untersuchen. ? Schreiben Sie einen gut umsetzbaren Testplan und richten Sie ein Testlabor ein, das im Hinblick auf die verwendeten Hardware- und Softwaretypen Ihre Produktionsumgebung exakt abbildet. ? Aktualisieren Sie zunächst langsam. Wenn erste Erfolge eintreten, können Sie
die Geschwindigkeit des Prozesses und die Einrichtungsrate erhöhen. Einrichtungsphasen Ermitteln Sie, welche Reihenfolge für die Einrichtung von Windows 2000 in Ihren Organisationen allgemein am besten geeignet ist. Ein Unternehmen ist in der folgenden Reihenfolge vorgegangen: ? Definieren Sie die aktuelle Umgebung; ermitteln Sie dazu, welche Server- und
Clientbetriebssysteme derzeit in Ihrer Organisation eingesetzt werden. Untersuchen Sie, welche Funktionen sie besitzen und zu welchen Zwecken sie eingesetzt werden. ? Untersuchen Sie, ob sich die Benutzerzahl möglicherweise durch Zusammen?
? ? ? ? ?
schlüsse, Übernahmen, Umstrukturierungen oder Wachstum ändert. Untersuchen Sie, in welchem Maße die Serverumgebung skaliert werden muss (ermitteln Sie den Bedarf an Clustering und Lastenausgleich sowie Terminaldiensten). Entwerfen Sie die Active Directory-Struktur und nehmen Sie den DNS-Namespace auf. Aktualisieren Sie die Netzwerkinfrastruktur und Mitgliedsserver. Implementieren Sie Active Directory und Speicherverwaltung. Aktualisieren oder migrieren Sie die Clients auf Windows 2000 Professional. Implementieren Sie Desktop-Verwaltung mit Tools für Änderungen und Konfigurationsmanagement.
Gesichtspunkte für die Installation von Anwendungen Berücksichtigen Sie die folgenden Tipps, wenn Sie die Installation von Anwendungen in Ihren Organisationen planen. ? Investieren Sie früh in die Dokumentation der Installation. Nehmen Sie sich die
Zeit, bereits in einer frühen Phase des Produktentwicklungszyklus den Installationsprozess darzustellen. ? Beziehen Sie Entwickler in die Dokumentation der Installation ein. Dadurch
können bereits früh Abhängigkeiten entdeckt werden.
58
Teil I Planung ? Beachten Sie, dass Windows Installer-Validierungen die Anwendungsleistung
beeinflussen können. ? Vermeiden Sie, wenn irgend möglich, Neustarts während der Installation. ? Nehmen Sie keine Einträge in Win.ini, System.ini, Autoexec.bat oder
Config.sys vor. ? Geben Sie allen, die Ihre Anwendungen testen, vor, diese mit Windows Installer zu installieren. ? Beachten Sie, dass die Systemadministration Ihr Produkt in den Startmenüs
oder auf den Desktops der Benutzer ankündigen kann, ohne dass das Produkt vollständig installiert wird. Die Anwendung wird installiert, sobald auf eine Verknüpfung oder ein Dokument des Typs doppelgeklickt wird, den die Anwendung unterstützt. ? Gewinnen Sie ein Verständnis für Gesichtspunkte zum Systemdateischutz und planen Sie entsprechend. InternationaleGesichtspunkte Die folgenden Tipps helfen Ihnen bei der Planung internationaler Installationen. ? Vermeiden Sie Annahmen über die Sprachversion des Betriebssystems, das
Ihre Anwendung ausführt. ? Vermeiden Sie die Annahme, dass Gebietsschema, Codepage und Benutzerschnittstelle für eine vorgegebene Person oder einen vorgegebenen Computer zusammenpassen. ? Verwenden Sie Windows Installer. Die Anwendung ist sowohl in einer ANSI-
als auch in einer Unicode-Version verfügbar. ? Ermitteln Sie, welche Schriften benötigt werden. Oft sind für die Unterstützung international einsetzbarer Funktionen nur die richtigen Schriften erforderlich. ? Verwenden Sie die neuesten Windows 2000-Druckertreiber. Sie bieten die bestmögliche Unterstützung für internationale Funktionen. ? Überprüfen Sie bei der Isolierung von Problemen, die bei internationalen Installationen auftreten, sowohl die Anwendung als auch das Betriebssystem. Leistungsgesichtspunkte Das Aufrechterhalten eines hohen Leistungsstands ist wichtig, um die Ziele der meisten Einrichtungen zu erreichen. Die folgenden Tipps helfen Ihnen bei Ihren Plänen für eine Leistungsverbesserung. ? Verzögern Sie, wo immer es möglich ist, Startinitialisierungen. ? Vereinfachen Sie die Startbildschirme, damit weniger Grafikbits über das
Netzwerk gesendet werden. ? Berücksichtigen Sie Netzausfälle und allgemeine Gesichtspunkte zur Netzwerkleistung in Ihren Planungen. ? Verwenden Sie die von Windows 2000 für die Dateisysteme bereitgestellte Cacheschicht, wenn eine Freigabe offline geht. ServergespeicherteBenutzerprofileundTerminaldienste Die folgenden Tipps unterstützen Sie bei der Planung von Installationen für servergespeicherte Benutzerprofile und Terminaldienste.
Kapitel 2 Erstellen eines Einsatzwegweisers
59
? Wenn Sie das Szenario mit servergespeicherten Benutzerprofilen sorgfältig
planen, ist damit auch ein beträchtlicher Teil der Arbeit, die für die Implementierung von Terminaldiensten anfällt, nicht mehr erforderlich. ? Unterstützen Sie servergespeicherte Benutzerprofile und Statusseparation. ? Trennen Sie die Einstellungen für Einzelbenutzer von den Einstellungen für
Einzelcomputer. ? Schreiben Sie nicht vor, dass für die Einzelcomputereinstellungen Schreibzugriff erforderlich ist. ? Beachten Sie, dass reguläre Windows 2000-Benutzer Daten nur in ihren Benutzerprofilen ändern können. Es ist nicht möglich, mit Ihrer Anwendung Abschnitte der Unterstruktur HKEY_LOCAL_MACHINE in der Registrierung zu ändern. ? Melden Sie sich als Benutzer (nicht als Administrator) an, wenn Sie Ihre Anwendung ausführen. Testen Sie sie auf Computern, auf denen Benutzer keine Administratorrechte besitzen. Dadurch können Sie Probleme früh erkennen. Administration Berücksichtigen Sie beim Aufstellen Ihres Plans folgende Tipps, um die Administration der Windows 2000-Installation zu erleichtern. ? Stellen Sie sicher, dass die administrativen Funktionen Ihrer Anwendung so
einfach wie möglich sind, aber doch alle Funktionen bieten. Dies unterstützt die Einrichtung der Anwendung in kleinen oder mittelgroßen Organisationen, in denen keine eigenen Tools entwickelt werden. ? Unterstützen Sie Skripting in Ihrer Anwendung. Eine Strategie: Wenn Sie einen Anbieter für Windows Management Instrumentation (WMI) schreiben, haben Sie die Möglichkeit, kostengünstig einfache Skriptingunterstützung in Ihrer Anwendung bereitzustellen. ? Unterstützen Sie OnNow/ACPI-Anforderungen. Verwalten Sie Ruhezustand-
und Reaktivierungsbenachrichtigungen und -anforderungen. ? Beachten Sie, dass die Standardsicherheitseinstellungen im Vergleich zu Windows NT 4.0 für normale Benutzer erheblich enger gefasst wurden. Für Aufgaben, die sie unter Windows NT 4.0 noch ausführen konnten, müssen sie unter Windows 2000 unter Umständen Hauptbenutzer sein.
60
Teil I Planung
Planungstaskliste In Tabelle 2.6 sind die Tasks zusammengefasst, die Sie für die Erstellung des Windows 2000-Einsatzwegweisers ausführen müssen. Tabelle 2.6 Taskliste für Einsatzwegweiser Task
Kapitel
Einen Projektmanagementprozess definieren, der wichtige Meilensteine und Projektergebnisse benennt, die den Anforderungen Ihres Unternehmens entsprechen. Während der Entscheidung für bestimmte Funktionen, die eingerichtet werden sollen, deren Technologieabhängigkeiten im Zusammenhang mit anderen Windows 2000-Funktionen und -Technologien untersuchen.
Vorbereiten des Projektplanungsprozesses
Einschränkungen im Projektmanagement benennen, die die Einrichtung beeinflussen können. Beispiele hierfür sind finanzielle Einschränkungen oder Einschränkungen bei den Personalressourcen, weiterhin organisatorische Logistik wie die Umsetzung der Urlaubsplanung oder Gesichtspunkte im Zusammenhang mit dem Bestand am Jahresende. Einen Prozess für die Risikobewertung entwickeln und eine umfassende Risikoanalyse vorbereiten. Die Reihenfolge festlegen, in der die Einrichtung umgesetzt wird. Einen Projektplan für Ihre Organisation aufstellen, der sich auf Windows 2000-Funktionen, Einrichtungsteams, Zeitpläne und dazugehörige Abhängigkeiten konzentriert.
Funktionsentwurf und -entwicklung
Ermitteln von Zielsetzungen
Ermitteln von Zielsetzungen Bereitstellungsszenarios Bereitstellungsszenarios
Weitere Informationen zum Projektmanagement finden Sie unter dem Hyperlink „Microsoft Solutions Framework“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources.
61
K A P I T E L
3
Planen des Einsatzes
Nachdem Sie die Projektmanagementstruktur für Ihre Einsatzplanung festgelegt haben, können Sie damit beginnen, die Einzelheiten Ihres Plans auszuarbeiten. In diesem Kapitel erhalten Sie Informationen für die Ausarbeitung bestimmter Abschnitte Ihres Projektplans. Das Projektmanagement muss beispielsweise die Personalanforderungen ermitteln, Einrichtungsteams zusammenstellen, festlegen, welche Planungsunterlagen erstellt werden sollen, sowie eine Lückenanalyse durchführen und eine Funktionsbeschreibung erstellen. Microsoft hat zwar festgestellt, dass die in diesem Kapitel beschriebenen Methoden zu einer erfolgreichen Einrichtung beitragen, es handelt sich aber um Empfehlungen, die an die Anforderungen und die Struktur Ihrer Organisation angepasst werden können. Inhalt dieses Kapitels Festlegen der Einzelheiten des Projektplans 62 Testen von Windows 2000 und Durchführen eines Pilotprojekts Zusammenstellen von Unterlagen für die Projektplanung 71 Einrichten von Windows 2000 81 Taskliste für die Einsatzplanung 82
70
Zielsetzungen Mit den Informationen in diesem Kapitel können Sie folgende Planungsunterlagen zusammenstellen: ? Projektumfang und -zielsetzungen ? Personalbedarf und Projektteams ? Lückenanalyse ? Administrative Pläne ? Kommunikationsstrategie ? Schulungsplan ? Risikobewertungsmatrix
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Aufstellen des Projektplans finden Sie unter „Erstellen eines Einsatzwegweisers“ in diesem Buch. ? Weitere Informationen zum erfolgreichen Ausführen eines Microsoft® Windows® 2000-Pilotprojekts finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
62
Teil I
Planung ? Weitere Informationen zum Entwerfen eines Testlabors und zum Bewerten der
Windows 2000-Funktionen finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
Festlegen der Einzelheiten des Projektplans Damit Sie Windows 2000 optimal nutzen können, müssen Sie die Einrichtung sorgfältig planen. Ihr Projektplan enthält verschiedene Aspekte Ihres Geschäftsbetriebs und der technischen Infrastruktur Ihres Netzwerks. Berücksichtigen Sie zu Beginn die in den folgenden Abschnitten beschriebenen Schritte.
Projektumfang und -zielsetzungen Der erste Schritt in der Einsatzplanung ist die Definition der Projektziele. In diesem Schritt benennen Sie die spezifischen geschäftlichen Ziele, die Sie erreichen möchten, und wie Windows 2000 Ihnen helfen kann, diese Ziele zu erreichen. Diese Strategie hilft Ihnen auch dabei, die für Sie am besten geeigneten Windows 2000-Funktionen auszuwählen. Geben Sie in Ihren Projektzielsetzungen die speziellen geschäftlichen Angelegenheiten an, mit denen Sie sich befassen müssen. Nehmen Sie spezielle, kurzfristige Zielsetzungen auf, wie beispielsweise „Windows 2000 bis zum Ende des Quartals auf 2.500 Computern einrichten“, aber auch allgemeinere, langfristige Zielsetzungen wie beispielsweise „die laufenden Kosten für Softwareverteilung reduzieren“. Legen Sie Ihre Zielsetzungen fest, bevor Sie die Einsatzplanung fortsetzen, denn sie beeinflussen, was Sie durchführen und wie Sie es durchführen. Klare Zielsetzungen helfen Ihnen, auf dem eingeschlagenen Weg zu bleiben. Geben Sie beim Dokumentieren des Projektumfangs die Bereiche, Funktionen und Umgebungen an, die Ihre Windows 2000-Implementierung abdeckt. Es könnte beispielsweise für Sie von Interesse sein, einen älteren Dateiserver zu aktualisieren, nicht aber Active Directory in der gesamten Infrastruktur einzurichten. In Tabelle 3.1 sind einige allgemeine geschäftliche Angelegenheiten und Projektzielsetzungen skizziert, die mit Windows 2000 zusammenhängen. Beachten Sie, dass diese Tabelle nur ein Beispiel darstellt. Damit Sie Ihre eigenen Zielsetzungen ableiten können, müssen Sie Ihre eigenen geschäftlichen Angelegenheiten bewerten. Sie werden unter Umständen feststellen, dass eine einzelne geschäftliche Angelegenheit durch eine Reihe von Projektzielsetzungen behandelt werden kann oder eine einzelne Projektzielsetzung eine Reihe von geschäftlichen Angelegenheiten abdecken kann. Tabelle 3.1 Beispiel für geschäftliche Angelegenheiten und Projektzielsetzungen im Zusammenhang mit Windows 2000 Geschäftliche Angelegenheit
Projektzielsetzung
Gesamtbetriebskosten durch Verlängern der Betriebsdauer älterer Systeme erhöhen.
Mit Terminaldiensten Windows 2000Desktop-Funktionalität für die Systeme bereitstellen, für die anderenfalls eine Aktualisierung erforderlich wäre. Mit Microsoft® Active Directory™ Informationen über alle Objekte im Netzwerk speichern.
Das Finden von Ressourcen im Netzwerk und den Zugriff auf die Ressourcen vereinfachen.
Kapitel 3 Planen des Einsatzes
63
(Fortsetzung) Geschäftliche Angelegenheit
Projektzielsetzung
Mobile Benutzer unterstützen, indem ihnen von mehreren Computern aus der Zugriff auf ihre Dokumente und Systeminformationen ermöglicht wird.
Mit servergespeicherten Benutzerprofilen Desktopeinstellungen und Dokumente auf einen Speicherort im Netzwerk kopieren, damit Personen überall dort, wo sie sich anmelden, auf ihre Einstellungen und Dokumente zugreifen können.
Personalbedarf Organisieren Sie Ihr Einrichtungsteam und ordnen Sie dann den Teammitgliedern bestimmte Rollen zu. Je nach Größe Ihrer Organisation und der Komplexität Ihrer Einrichtung sollten Sie auch Untergruppen bilden. Bewerten Sie die Schlüsselkompetenzen Ihres IT-Personals. Beziehen Sie auch seine Erfahrung im Hinblick auf Windows 2000-Technologien in die Bewertung ein. Entscheiden Sie dann, wie Sie bei Defiziten verfahren. In der folgenden Liste finden Sie Optionen, die Sie für Schulungen in Betracht ziehen sollten: ? Beginnen Sie erst mit der Einrichtung, wenn das Personal umfassend in den
neuen Technologien geschult ist. ? Verlagern Sie Teile der Arbeit nach außen, um Schwachpunkte abzudecken. Veranlassen Sie dann, dass dem Personal die erforderlichen Fähigkeiten von den externen Mitarbeitern vermittelt werden. ? Verlagern Sie die Einrichtung, den Support und die Verwaltung für Ihr Unternehmen nach außen. Wichtig Sich eine Person zu sichern, die das Projekt trägt und die allgemeinen Anforderungen vertritt, die die Organisation an das Projekt stellt, ist in der Regel entscheidend für den erfolgreichen Verlauf. Diese Person kann dazu beitragen, dass das Einrichtungsteam ein Verständnis für seine Ziele gewinnt und diese Ziele erreicht.
Organisieren des Einrichtungsteams Der Personalbedarf kann sich während der Planung und Einrichtung von Windows 2000 ändern, für die Einrichtung von Betriebssystemen ist aber in der Regel eine Reihe von Personen erforderlich. Nehmen Sie für eine große Organisation mindestens zwei oder drei Personen, die für die Betriebssystemadministration erforderlich sind, in Ihr zentralisiertes Team auf. Nehmen Sie auf jeden Fall auch Helpdesk- oder Supportpersonal auf. Versuchen Sie von Beginn an, Personen in Ihr Einrichtungsprojekt einzubeziehen, die das Unternehmen sehr gut kennen, und geben Sie ihnen einen Überblick über Windows 2000 und seine Vorteile. Dieser Personenkreis kann Ihnen helfen, die allgemeineren Anforderungen Ihrer Organisation zu erfüllen. Wenn es sich bei Ihrer Organisation um eine internationale Organisation handelt, sollten Sie wichtige Personen von Standorten in anderen Länderneinbeziehen. Nehmen Sie Personen auf, die an Schulungen für das Betriebssystem Windows 2000 teilgenommen haben und ein umfassendes Verständnis für Ihre Netzwerkumgebung besitzen.
64
Teil I
Planung
Die Mitglieder eines Kernteams, das aus Fachleuten aus den Bereichen Sicherheit, Netzwerk, Interoperabilität und Anwendungen besteht, könnten auch die Untergruppen in ihrem Fachgebiet leiten. Teammitglieder müssen detailorientierte Projektmanagementerfahrung besitzen, weiterhin praktische technische Erfahrungen und die Fähigkeit, innovativ zu arbeiten und neue Technologien schnell und unabhängig zu bewältigen. Sie benötigen außerdem in hohem Maße ausgeprägte analytische Fähigkeiten, um die Projektvision mit den Einzelheiten verknüpfen zu können, die zur Erfüllung der Vision erforderlich sind. Nehmen Sie die Unterlagen für den Umfang und die Zielsetzungen des Projekts als Richtlinie, um festzulegen, welche Untergruppen für das Planen und das Testen der Einrichtung derjenigen Funktionen zuständig sind, die eingesetzt werden sollen. Sie sollten überlegen, ob Sie Ihr Kernteam für die Einrichtung in ein Server- und ein Clientteam aufteilen und die Zuständigkeiten für die Untergruppen wie in der folgenden Liste aufgeführt delegieren: ? Basisserverteam ? Active Directory ? Domain Name System (DNS) ? Netzwerkentwurf ? Dynamic Host Configuration Protocol (DHCP) und Windows Internet
Name Service (WINS) ? Sicherheit ? Tools für die Administration ? Microsoft Exchange Server und E-Mail ? Basisclientteam ? Client- und Desktopfunktionen wie Microsoft ® IntelliMirror™ ,
Betriebssystem und Anwendungsinstallation sowie vorhandene Anwendungen. ? Notebook- und Laptopgesichtspunkte wie Energieverwaltung, Docking, Remotezugriff und servergespeicherte Profile. Planen Sie Ihre Teams so, dass sie die interne Struktur widerspiegeln, weiterhin die geschäftlichen Anforderungen und die Windows 2000-Funktionen und -Dienste und die Art und Weise, in der Sie sie einsetzen möchten. Die Organisation Ihrer Einrichtungsteams spiegelt die oben dargestellten Rollen wider. Eine Möglichkeit, ein Einrichtungsteam zu organisieren, ist in Tabelle 3.2 dargestellt. Tabelle 3.2
Beispiel für Einrichtungsteams
Team
Zuständigkeiten
Lenkung
Die Leitung aller anderen Teams für Gesamtkoordination und -kommunikation einbeziehen. Personen aufnehmen, die strategisch planen und die Abläufe in der Organisation kennen – Personen, die beispielsweise wissen, dass vorhandene Systeme implementiert sind und warum sie benötigt werden.
Kapitel 3 Planen des Einsatzes
65
(Fortsetzung) Team
Zuständigkeiten
Planung und Koordination
Behandelt Support und Schulung, Unternehmensplanung, Planung vor der Migration, unternehmenswichtige Systeme und Consulting von Drittanbietern. Lösungen auf folgenden Gebieten entwickeln und testen: Clustering, Hierarchical Storage Management (HSM), Sicherung, Wiederherstellung, Terminaldienste, Integration und Hardwareanforderungen. Befasst sich mit dem Domänenmodell, Active Directory, LAN-Gesichtspunkten, Telekommunikation, verteiltem Dateisystem (DFS), globalem Dateizugriff, Domain Name System (DNS) und Remotezugriff. Entwickelt Standards für Internet-, Intranet- und Extranetdienste sowie Domänensicherheit und Richtlinienimplementierung. Systems Network Architecture (SNA), Kerberos-Verknüpfungen mit Mainframes und UNIX sowie UNIX/MainframeIntegration, NetWare- und OS/2-Integration/-Koexistenz.
Server
Infrastrukturentwurf
Sicherheit
Interoperabilität
Anwendungsintegra-tion
Integration von Messaging-, Datenbank- und Arbeitsgruppenanwendungen und -Suites, Internettools sowie Unternehmensanwendungen und Anwendungen von Drittanbietern.
Netzwerk
Verzeichnisaktivierte Netzwerklösungen untersuchen, testen und entwickeln.
Client
Lösungen für Anwendungen, Aktualisierung/Migration, Hardware und Laptops finden und testen.
Desktopadministration
Die Pläne der Organisation für Änderungs- und Konfigurationsmanagement entwickeln und testen; dazu gehören Gruppenrichtlinien, Softwareinstallation und Verwaltung von Benutzerdaten und Einstellungen.
Ausschuss für die Entgegennahme von Anregungen
Setzt sich aus Personen aus dem Benutzerkreis zusammen. Gibt Feedback zu den Entscheidungen des Einrichtungsteams.
Zuordnen von Rollen in Windows 2000-Teams Die Tätigkeiten im Zusammenhang mit der Einrichtung von Windows 2000 gliedern sich in zahlreiche Kategorien. In kleinen Implementierungsprojekten füllt eine Person unter Umständen mehrere Rollen aus, in großen Implementierungsprojekten wird eventuell verschiedenen Personen eine Rolle zugewiesen. Beachten Sie, dass Windows 2000 sich bei der Aktivierung von Verzeichnisdiensten erheblich von Umgebungen unterscheidet, in denen Verzeichnisdienste nicht verwendet werden. Für die Verwendung von Verzeichnisdiensten muss die IT-Organisation entsprechende Schulungen erhalten und langsam in eine neue Support- und Administrationsstruktur migriert werden. Diese Änderung beeinflusst die gesamte Organisation und erfordert im Vergleich zu einer normalen Aktualisierung ein noch höheres Maß an Managementausbildung und -beteiligung.
66
Teil I
Planung
In Tabelle 3.3 sind die Rollen, Zuständigkeiten, Anforderungen, und Arbeitsbelastungsvariablen beschrieben, die Sie für Ihren Personalbedarf im Zusammenhang mit Windows 2000 berücksichtigen müssen. Tabelle 3.3 Rollen für die Verwaltung von Windows 2000 Rollen und Zuständigkeiten
ErforderlicheFähigkeiten
IT-Management oder Projektträger Legt Prioritäten für die Windows 2000Infrastruktur fest. Legt die geschäftliche Grundlage für das Projekt fest. Definiert die Vision für die Einrichtung und sichert die Finanzierung. Tritt sowohl für das Team als auch für die Organisation ein. Beseitigt Hindernisse, kontrolliert die Balance zwischen Funktionen und engem Zeitplan und ist für den Kommunikationsplan zuständig. Projektmanagement Forciert die wichtigen Entscheidungen, die für die Freigabe der Windows 2000Infrastruktur notwendig sind. Entwickelt zusammen mit dem Einrichtungsteam Lösungen und definiert den Umfang der Einrichtung. Erstellt zusammen mit anderen Teammitgliedern die Funktionsbeschreibung. Vereinfacht die tägliche Koordination für die Bereitstellung der Windows 2000-Systeme in Übereinstimmung mit den organisatorischen Standards und den Zielen für die Interoperabilität. Forciert allgemeine wichtige Entscheidungen, bei denen möglicherweise Nachteile in Kauf genommen werden müssen. Entwicklung/Entwurf Bewertung technischer Lösungen, die beim Entwurf und bei der Entwicklung der Windows 2000-Infrastruktur eingesetzt werden sollen. Definition der Strategie für die einzelnen Windows 2000-Funktionen, die während der Einrichtung freigegeben werden. Spielt eine fundamentale Rolle im Entwurf der anfänglichen Infrastruktur. Entwirft die für die Implementierung erforderliche Infrastruktur und baut diese auf. Fachleute für Themen/technische Punkte Zuständig für den Entwurf und die Entwicklung von Strategien für ihre Themenbereiche. Leiten die Untergruppen.
Verständnis für die geschäftlichen Probleme der Organisation und die Lösungen, die Windows 2000 bieten wird. Kenntnis der Hauptfunktionen und -leistungsmerkmale von Windows 2000 Server und Windows 2000 Professional.
Detaillierte Kenntnisse über die Funktionalität von Windows 2000 Server und Windows 2000 Professional. Fähigkeit, die Ziele der Geschäftsführung mit den Zielen des Projektteams zu koordinieren.
Erfahrung in der Entwicklung von komplexen Betriebssystemdiensten. Verständnis für die technischen Anforderungen bei der vorhandenen und der neuen Netzwerkinfrastruktur.
Umfangreiche technische Erfahrungen in den jeweiligen Fachbereichen und im Zusammenhang mit Windows 2000. Detailorientierte Projektmanagementerfahrungen.
Kapitel 3 Planen des Einsatzes
67
(Fortsetzung) Rollen und Zuständigkeiten
Erforderliche Fähigkeiten
Testen Hilft bei der Entwicklung der ersten Lösungsentwürfe. Stellt sicher, dass dem Team alle Fragen bekannt sind und dass diese Fragen vor der Produktionseinführung bearbeitet wurden. Entwirft Testlabore und baut diese auf und führt alle Tests und Validierungen vor der Produktionseinführung durch. Führt Skalierbarkeitsanalysen und Leistungstests durch.
Vertrautheit mit Windows 2000 Server und dazugehöriger Netzwerkhardware oder Windows2000 ProfessionalKonnektivität. Erfahrung im Entwerfen, Ausführen und Debuggen von Tests. Erfahrung im Testen von Anwendungen.
Dokumentation Unterstützt die Entwicklung von Projektdokumentation einschließlich der Planungsunterlagen, Berichte und Whitepapers. Kann schreibendes, bearbeitendes und produzierendes Personal umfassen. Benutzerschulung Tritt für die Benutzerinnen und Benutzer ein. Bewertet Benutzeranforderungen, legt Schulungszielsetzungen fest und entwickelt Schulungsprogramme, um Benutzern die optimale Nutzung der Windows 2000-Infrastruktur zu ermöglichen.
Vertrautheit mit relevanten Technologien. Erfahrungen in Kommunikation, Schreiben und Bearbeiten sowie Kenntnisse in der technischen Dokumentation.
Logistikmanagement Gewährleistet reibungslose Einführung, Installation und Migration für die Betriebsund Supportgruppen, einschließlich Helpdesk und Schulung.
Vertrautheit mit dem IT-System der Organisation, der Netzwerkinfrastruktur und den Windows 2000-Funktionen. Kenntnisse über Lösungen zur Selbsthilfe und Präsentationssoftware. Erfahrungen in Kommunikation und Schulung. Gute Kenntnisse über die Funktionen und die Funktionsabläufe von Windows 2000 Server und Windows 2000 Professional.
Bei der Untersuchung Ihrer administrativen Anforderungen stellen Sie unter Umständen fest, dass Sie die aktuelle Organisation verändern möchten. Nutzen Sie diese Gelegenheit, um festzustellen, wie das System gegenwärtig verwaltet wird und ob eine Umstrukturierung nützlich wäre. Wenn zum Beispiel zwei getrennte Teams Microsoft Exchange und Microsoft® Windows NT ® verwalten, sollten Sie in Betracht ziehen, ein eigenes Team für die Verwaltung von Windows 2000 zusammenzustellen.
Aktuelle Computerumgebung Bevor Sie die Windows 2000-Umgebung entwerfen, müssen Sie ein umfassendes Verständnis für die aktuelle Computerumgebung gewinnen. Die Dokumentation der vorhandenen Computerumgebung hilft Ihnen, die Struktur Ihrer Organisation zu verstehen und zu erkennen, und wie sie die Benutzer unterstützt. Sie hilft Ihnen außerdem, Ihren Windows 2000-Einsatzplan aufzustellen. Diagramme sind hilfreich beim Umgang mit komplexen Konzepten wie beispielsweise dem Netzwerklayout. Wo es angebracht ist, erstellen Sie solche Diagramme und nehmen Sie sie in Ihre Projektplanunterlagen auf.
68
Teil I
Planung
Weitere Informationen zu Netzwerkdiagrammen finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ und „Bestimmen der Strategien für die Netzwerkverbindung“ in diesem Buch. Dokumentieren Sie bei der Überprüfung der aktuellen Computerumgebung auf jeden Fall folgende Punkte: Geschäftliche Organisation und geographische Anforderungen Beschreiben Sie die Standorte und die Organisation der Unternehmenseinheiten. Befinden sich große Gruppen von Mitarbeiterinnen und Mitarbeitern in geographisch weit voneinander getrennten Gebieten oder sind sie alle nahe beieinander? Stehen die Unternehmenseinheiten in engen Beziehungen zueinander oder unterscheiden sich ihre Anforderungen deutlich voneinander? Wichtigegeschäftliche Prozesse Wenn Sie wichtige geschäftliche Prozesse ändern, nehmen Sie Diagramme auf, die diese Prozesse darstellen und erläutern, wie die neue IT-Infrastruktur sie beeinflussen wird. In einigen Organisationen könnte beispielsweise ein wichtiges Ziel bei der Einrichtung von Windows 2000 darin bestehen, die Administration auf lokales Administrationspersonal zu verteilen. Durch die verteilte Administration kann das Administrationspersonal besser auf die Anforderungen der lokalen Benutzerinnen und Benutzer reagieren. Wenn dies der Fall ist, erstellen Sie ein Modell, das darstellt, wie durch den Gesamtplan dieses Ziel erreicht wird. Informationsarchitektur Stellen Sie in dem Diagramm zu den wichtigen geschäftlichen Prozessen dar, wie die Informationen, die zum Treffen von wichtigen Entscheidungen erforderlich sind, zur richtigen Zeit am richtigen Ort zur Verfügung gestellt werden. Sind beispielsweise Verkauf und Marketing in der Lage, für Kundenaufträge genaue Liefertermine zu bestätigen? Überprüfen Sie in Ihrem konzeptionellen Entwurf, ob wichtige Datenspeicher gut organisiert und leicht zugänglich sind. Anwendungsanforderungen Führen Sie eine vollständige Bestandsaufnahme der Anwendungen durch, die in Ihrer Organisation eingesetzt werden. Nehmen Sie alle selbstprogrammierten (internen) Anwendungen auf. Achten Sie bei der Dokumentation der Computerumgebung auch darauf, zu welchen unterschiedlichen Aufgaben die Computer eingesetzt werden und wie der Wechsel auf Windows 2000 diese Arbeiten beeinflussen wird. Wenn beispielsweise eine alte Unternehmensanwendung eingesetzt wird, die auf bestimmte ODBC-Treiberversionen angewiesen ist, muss diese Anwendung getestet werden, um sicherzustellen, dass sie funktioniert. Technologiearchitektur Nehmen Sie bei der Dokumentation der Netzwerkarchitektur auf jeden Fall Topologie, Größe, Typ und Verkehrsverlauf auf. Bedeutende Änderungen, die Sie für die Technologiearchitektur planen, beispielsweise in den Bereichen Hardware, Netzwerk und Dienste, müssen in Übersichtsdiagrammen dargestellt werden. Aktuelle und zukünftige IT-Standards Im Laufe der Zeit werden die Netzwerk- und Anwendungsstandards in vielen Organisationen aufgesplittert oder sie veralten. Dies ist häufig in Organisationen der Fall, die sich mit anderen Unternehmen zusammengeschlossen oder sie übernommen haben. Nicht zueinander passende Systeme, die über einen langen Zeitraum aufgebaut, von verschiedenen Personen entworfen wurden und oft geographisch getrennt sind, stellen ein potentielles Risiko für eine erfolgreiche Einrichtung dar. Eine Prüfung der vorhandenen Systeme trägt zum Erfolg des Einrichtungsteams bei.
Kapitel 3 Planen des Einsatzes
69
AdministrativesModell Durch die Untersuchung des vorhandenen administrativen Modellsidentifizieren Sie die administrativen Tasks, die das IT-Personal in allen Bereichen Ihrer Organisation ausgeführt hat. Dies hilft Ihnen bei der Entscheidung, ob Sie Aspekte des vorhandenen administrativen Betriebsentwurfs ändern müssen, damit Sie Funktionen von Windows 2000, die Sie einsetzen möchten, aufnehmen können.
Festlegen von Standards und Richtlinien Viele Organisationen stellen fest, dass durch die Aufstellung von Standards und Richtlinien für Windows 2000 Zeit und Geld eingespart werden kann. Dies rührt daher, dass eine Standardumgebung das Potential für zu viele Konfigurationskombinationen reduziert und damit die administrative und architektonische Arbeitsauslastung effizienter gestaltet. Nehmen Sie als Grundlage für diese Standards, wie Computer vom Personal eingesetzt werden. Personen, die mit CAD befasst sind, haben beispielsweise höhere Anforderungen als andere, die allgemeine Büroanwendungen einsetzen. Damit Sie optimale Ergebnisse erzielen, legen Sie Standardkonfigurationen für Clients und Server fest. Nehmen Sie Richtlinien auf mit Mindestanforderungen und empfohlenen Werten für CPU, RAM und Festplatten sowie für Zubehör wie CDROM-Laufwerke und unterbrechungsfreie Stromversorgung. Bestimmen Sie die Standardsoftwarekonfigurationen, die in Ihrer Organisation eingesetzt werden. Nehmen Sie Betriebssysteme und andere Anwendungen sowie Richtlinien auf, wie diese Software verteilt wird, welcher Support für sie geleistet wird und in welchem Umfang ihre Verwendung Einschränkungen unterliegt. Stellen Sie Richtlinien für die in Ihrer Organisation verwendeten Netzwerkbetriebssysteme und -protokolle auf. Nehmen Sie Standardkonfigurationen für alle Netzwerkkomponenten auf (z. B. Router, Hubs und Repeater). StellenSie Richtlinien für den Support und die Verwaltung dieser Konfigurationen auf. Führen Sie schließlich die für Windows 2000 erforderlichen neuen Standards und Richtlinien ein. Dazu gehören Schemaverwaltung und -überwachung, Standortentwurf und Benennungsstandards.
Durchführen einer Lückenanalyse Vergleichen Sie die aktuelle Computerumgebung mit der zukünftigen, auf Ihren Projektzielsetzungen basierenden Umgebung. Die Lücke zwischen der bestehenden Umgebung und Ihren Zielen hilft Ihnen, die Funktionen von Windows 2000 zu benennen, die eingerichtet werden sollen. Die wichtigsten Schritte für die Durchführung einer Lückenanalyse sind: ? Bestimmen Sie die Lücke zwischen der heutigen Arbeitsweise des Personals
und der von Ihnen angestrebten Arbeitsweise nach Abschluss der Einrichtung. Computer und Betriebssysteme sind nur dann wertvoll für Ihr Geschäft, wenn sie für das Personal wertvoll sind. Eine erfolgreiche Einrichtung schließt die Lücke zwischen der heutigen Arbeitsweise des Personals und der Arbeitsweise, die ihm das neue System nach Abschluss der Einrichtung ermöglicht. Wenn das Team später damit beginnt, die Erfolgsrate zu messen, ist das wichtigste Messergebnis, wie das System die Arbeit derjenigen verbessert hat, die es einsetzen.
70
Teil I
Planung ? Sofern vorhanden, gehen Sie die Unterlagen früherer Computer- und Netz-
?
?
?
?
werkaktualisierungen durch. Die vorhandenen Unterlagen bieten nicht nur nützliche Informationen über die aktuelle Computerumgebung, sie könnten auch ein Schema darstellen, nach dem Sie in Ihrem Entscheidungsprozess vorgehen. Gehen Sie die von Hardware- und Softwareherstellern erhaltenen Unterlagen durch. Unterlagen zu der aktuellen Hardware und Software in Ihrer Infrastruktur unterstützen Sie bei der Entscheidung, ob Computerressourcen aktualisiert oder ausgetauscht werden sollten. Benennen Sie Tasks und bestimmen Sie die Ressourcenanforderungen für die einzelnen Tasks. Nachdem Sie die Tasks angegeben und ermittelt haben, welche Ressourcen für die Ausführung dieser Tasks erforderlich sind, können Sie festlegen, welche Gruppen innerhalb der Organisation einbezogen werden müssen und ob zusätzliche externe Ressourcen benötigt werden. Aktualisieren Sie Unterlagen wie Kalkulationstabellen oder Zeitpläne mit Planungs-, Arbeits- und Ressourcenzuordnungen. Diekontinuierliche Aktualisierung von Unterlagen erleichtert die Planung von Arbeitszeitplänen und die Zuordnung von Ressourcen. Senden Sie die Unterlagen zur Lückenanalyse zur Genehmigung an die entsprechenden Entscheidungsträger in Ihrer Organisation. Wenn die Genehmigung erteilt wird, können Sie mit dem Projekt beginnen; anderenfalls müssen Sie die Unterlagen ändern und erneut den Genehmigungsprozess durchlaufen, bevor Sie mit der Implementierung beginnen.
Spezifische Planungs- und Entwurfsrichtlinien werden in allen Abschnitten dieser Dokumentation bereitgestellt.
Testen von Windows 2000 und Durchführen eines Pilotprojekts Testen Sie Ihren Windows 2000-Entwurf in einem Labor, bevor Sie Windows 2000 einsetzen. In den ersten Planungsphasen müssen Sie Standorte für Tests und Pilotprojekte auswählen und Hardwareanforderungen bewerten. Sobald das Labor in Betrieb ist, gewinnen Sie mit ihm ein besseres Verständnis für das Produkt, können die Richtigkeit von Konzepten belegen und Lösungen validieren. Gehen Sie davon aus, dass das Labor sich im Verlauf des Projekts entwickelt. Nehmen Sie allgemein so viele Einzelheiten wie möglich in Ihre Testplanunterlagen auf, damit die Test- und Einrichtungsteams alle Informationen haben, die sie für eine erfolgreiche Arbeit benötigen. Beschreiben Sie in Ihrem Testplan den Umfang, die Zielsetzungen, Methoden, den Zeitplan und die Ressourcen (Hardware, Software, Personal, Schulung und Tools). Die einzelnen Teams und Untergruppen müssen für ihre technischen Fachbereiche eigene Testpläne aufstellen und Testfälle verfassen. Testfälle beschreiben, auf welche Weise getestet werden soll. Dadurch ist es möglich, Testergebnisse zu replizieren und zu vergleichen. In den Anfangsphasen des Projekts liegt der Schwerpunkt der Tests auf den Komponenten, um die Entwürfe zu validieren. Später verlagert sich der Schwerpunkt der Tests auf die Interoperabilität der Komponenten, um zu gewährleisten, dass sie alle gemeinsam eingesetzt werden können. Sie müssen die Kompatibilität von Anwendungen mit Windows 2000 testen. Testen Sie zu Beginn die Funktionen, die
Kapitel 3 Planen des Einsatzes
71
für Ihre Organisation unternehmenswichtig sind und bei denen die Änderung des ausgewählten Entwurfs kosten- und zeitintensiv wäre. Nehmen Sie einen Plan auf, mit dem alle auftretenden Fragen jeweils an die Person weitergeleitet werden, die am ehesten in der Lage ist, in der betreffenden Situation eine Lösung zu finden. Ein klar definierter Weiterleitungsprozess unterstützt das Team dabei, sich auf die Lösung zu konzentrieren und unmittelbar Korrekturmaßnahmen zu ergreifen. Wenn Sie Active Directory einrichten, testen Sie auf jeden Fall die Anwendungen mit dem Verzeichnisdienst. Nachdem Sie Ihre Windows 2000-Einrichtung in der Laborumgebung verifiziert haben, führen Sie mindestens ein Pilotprojekt durch, bevor Sie mit der allgemeinen Einrichtung beginnen. Das Pilotprojekt ist für die endgültige Einrichtung bestimmend; es ist daher wichtig, auf alle Aspekte des Projekts umfassend vorbereitet zu sein. Sie müssen ermitteln, wie viel Zeit die Installation in Anspruch nimmt, wer benötigt wird, welche Tools benötigt werden, um den Prozess zu vereinfachen, und müssen den Gesamtzeitplan aufstellen. Das Pilotprojekt bietet die Möglichkeit, Ihre Einsatzplanung zu testen. Es bietet weiterhin die Möglichkeit, das Supportpersonal zu schulen und die Benutzerreaktionen auf das Produkt zu messen und auf diese Weise im Voraus auf Supportanforderungen einzugehen. Weitere Informationen zum Einrichten eines Testlabors finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in dieser Dokumentation. Weitere Informationen zu Pilotprojekten finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch. Hinweis Schließen Sie Ihr Pilotprojekt ab, bevor Sie mit der Produktionseinrichtung im großen Rahmen fortfahren. Dokumentieren Sie nach Abschluss der einzelnen Phasen des Pilotprojekts die Ergebnisse, überprüfen Sie, ob die Projektanforderungen erfüllt wurden, und überarbeiten Sie den Plan nach Bedarf. Lösen Sie alle größeren Probleme, bevor Sie mit der Phase der Einrichtung im großen Rahmen beginnen. Stellen Sie sicher, dass alle Aspekte Ihrer Produktionsumgebung im Pilotprojekt enthalten sind. Wenn Sie beispielsweise eine internationale Einrichtung mit mehreren Sprachen durchführen, stellen Sie sicher, dass Ihr Pilotprojekt sich erfolgreich mit internationalen und sprachbezogenen Gesichtspunkten befasst.
Zusammenstellen von Unterlagen für die Projektplanung Im gesamten Verlauf Ihres Projekts müssen Sie eine Reihe von Unterlagen zusammenstellen, die Ihre Vision definieren, für Unterstützung werben, Richtlinien bieten und den Einrichtungsprozess zusammenfassen. Unabhängig davon, ob sich diese Informationen in wenigen oder zahlreichen Dokumenten befinden, nehmen Sie die in den folgenden Abschnitten besprochenen Informationen auf.
72
Teil I
Planung
Administrative Dokumente Die administrativen Dokumente sind Teil Ihres Projektplans. Sie helfen Ihnen, Ihre Zielsetzungen zu definieren, kontinuierlich vorbereitet zu sein und im Zeitplan zu bleiben. Nehmen Sie folgende Informationen in Ihre administrativen Dokumente auf:
Kapitel 3 Planen des Einsatzes
73
Umfang und Zielsetzungen Stellen Sie wie zuvor beschrieben sicher, dass Ihr Plan klar die Projektzielsetzungen und den Umfang festlegt und Methoden bereitstellt, mit denen Fortschritt und Erfolg gemessen werden können. Phasen und Meilensteine Legen Sie Projektphasen fest, damit Ihr Personal die Zeit hat, sich zu orientieren, und damit Sie mit Hilfe dieser Phasen die Annahmen überprüfen können, zu denen Sie in der Planungsphase gelangt sind. Gehen Sie davon aus, dass zumindest ein Teil des Prozesses schrittweise abläuft. Legen Sie Meilensteine fest und überwachen Sie diese, damit das Projekt wie geplant verläuft. Weitere Informationen finden Sie unter „Erstellen eines Einsatzwegweisers“ in dieser Dokumentation. Budget Benennen und überwachen Sie die erwarteten Kosten und Kostenbeschränkungen für das Projekt; dazu gehören Entwicklung, Hardware, Räumlichkeiten, Schulung, Personal, Testen und Einrichtung. Geben Sie an, durch welche zusätzlichen Quellen unerwartete Ausgaben abgedeckt werden können. Stellen Sie sicher, dass die unternehmensweite Vision für das Projekt klar definiert ist, damit auch die Aufteilung der Gelder klar definiert ist. Personal Planen Sie das Personal für die Windows 2000-Standorte. Hierzu ist ein Dokument geeignet, das Berichtstrukturen, Zuständigkeiten, die Häufigkeit von Besprechungen sowie Kommunikationsstrategien skizziert und aufführt, wer allgemein für bestimmte Aufgaben und Funktionen verantwortlich ist. Weitere Informationen finden Sie unter „Zuordnen von Rollen in Windows 2000-Teams“ weiter oben in diesem Kapitel. Räumlichkeiten Benennen Sie Anforderungen für Räumlichkeiten und sprechen Sie mit den entsprechenden Gruppen in Ihrer Organisation. Definieren Sie früh Ihre Anforderungen und lassen Sie sich die entsprechenden Räumlichkeiten geben, damit später praktisch ausgeschlossen werden kann, dass diese Gesichtspunkte ein Hindernis für Ihre Einrichtung werden können. AllgemeineRisikobewertung Benennen Sie die Projektrisiken, die sich außerhalb der Einrichtung befinden. Zu den möglichen Risiken können die Verfügbarkeit von Ressourcen, bevorstehende Zusammenschlüsse sowie der Verlust von wichtigen Personen gehören. Kommunikationsstrategie Schaffen Sie bei Management und Benutzer ein verstärktes Bewusstsein für das Einrichtungsprojekt, indem Sie Ihre Planungen anderen Gruppen in Ihrer Organisation mitteilen. Bauen Sie früh Unterstützung und Akzeptanz für das Projekt auf, indem Sie ihre Planungen von anderen Führungskräften und Personen in Schlüsselstellungen in vereinbarten Intervallen überprüfen lassen. Weitere Informationen finden Sie unter „Kommunikationsstrategie“ weiter unten in diesem Kapitel.
74
Teil I
Planung
Einrichtungsunterlagen Sie sollten die folgenden Einrichtungsunterlagen als Teil Ihres Projektplans zusammenstellen. Übersicht überdie aktuelle Netzwerkumgebung Nehmen Sie eine Übersicht auf, die die aktuelle Netzwerkumgebung beschreibt; dazu gehören Netzwerkinfrastruktur, Hardware, Richtlinien, Anzahl und Art der Benutzer sowie geographische Standorte. Einrichtungsentwurf Führen Sie im Einzelnen auf, wie der Übergang auf Windows 2000 stattfinden wird; dazu gehören die Aktualisierungs- und Migrationsstrategie für die Server und die Clientcomputer, sowie Angaben darüber, wo, wann und in welcher Form diese Aktualisierungen stattfinden und wer einbezogen wird. Berücksichtigen Sie vorhandene Systeme und Anwendungen, z. B. bei den Auswirkungen, die ein Wechsel des Betriebssystems auf vorhandene Anwendungen und Speicher- und Hardwareleistung hat. Lückenanalyse Befassen Sie sich mit den spezifischen Lücken zwischen der vorhandenen Umgebung und dem Projektziel. Listen Sie dann die Änderungen auf, die speziell zum Erreichen der Projektziele erforderlich sind. Weitere Informationen finden Sie unter „Durchführen einer Lückenanalyse“ weiter oben in diesem Kapitel. Kapazitätsplan Benennen Sie die Gesichtspunkte und Eventualitäten, mit denen Sie sich befassen werden, um zu gewährleisten, dass die Hardware- und Netzwerkkapazitäten für die einzusetzenden Windows 2000-Funktionen ausreichen (z. B. der Replikationsverkehr, der durch Active Directory oder die Remoteinstallation des Betriebssystems entsteht). Sie möchten die Gewissheit haben, dass wichtige Dienste während oder nach der Einführung nicht in ihrer Funktion beeinträchtigt werden. Weitere Informationen finden Sie unter „Kapazitätsplanung“ weiter unten in diesem Kapitel. Risikobewertung Benennen Sie die Risiken in Ihrem Plan und entwickeln Sie Alternativpläne, um diesen Risiken zu begegnen. Bewerten Sie Ihren Einrichtungsplan kontinuierlich neu und führen Sie nach Abschluss der einzelnen Phasen des Projekts jeweils eine formelle Bewertung durch. Weitere Informationen finden Sie unter „Risikobewertung“ weiter unten in diesem Kapitel. Plan für die Problemweiterleitung Geben Sie einen Weiterleitungspfad an, den Personen in Ihrer Organisation nutzen können, um Fragen den Anforderungen entsprechend zu lösen und weiterzuleiten. Ordnen Sie die Art der Probleme oder Situationen den Personen zu, die am besten geeignet sind, sich mit ihnen zu befassen. Ein Weiterleitungsprozess gibt dem Team die Möglichkeit, sich auf die Lösung der Probleme zu konzentrieren. Pilotplan Geben Sie die Zielsetzungen für die Server und Clients an, die in die erste Einführung einbezogen werden, welche Funktionen Sie einrichten werden und welche Mechanismen Sie einsetzen werden, um Rückmeldungen von den am Pilotprojekt beteiligten Personen zu erhalten. Weitere Informationen zur Vorbereitung und Durchführung eines Pilotprojekts finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
Kapitel 3 Planen des Einsatzes
75
Testen und Einrichtungsstrategien Planen Sie, wie Windows 2000 getestet und eingerichtet wird. Weitere Informationen finden Sie unter „Testen von Windows 2000 und Durchführen eines Pilotprojekts“ weiter oben in diesem Kapitel.
Funktionsbeschreibung Die Funktionsbeschreibung gibt Einzelheiten zu den Betriebssystemfunktionen an, die implementiert werden, und wie diese Funktionen konfiguriert und eingerichtet werden. All diese Elemente müssen am Umfang und an den Zielsetzungen des Einrichtungsprojekts ausgerichtet sein. Beschreiben Sie die verschiedenen Arten von Benutzern, welche wichtigen Tasks sie ausführen, wie diese derzeit ausgeführt werden und wie die Leistung in der neuen Netzwerkumgebung verbessert werden kann. Wenn es sich bei Ihrer Organisation um eine große Organisation mit mehreren Standorten oder um eine internationale Organisation handelt, müssen Sie Einzelheiten zu geographischen Gesichtspunkten angeben. Zahlreiche Funktionen von Windows 2000 stehen miteinander in Beziehung; dies gilt besonders, wenn Sie die Einrichtung von Active Directory planen. Aus diesem Grund ist eine Matrix zu Abhängigkeiten sehr wichtig und kann als ein Hauptdokument angesehen werden. Einrichtungsteams müssen zusammenarbeiten, um die Tasks zu bestimmen, die für die Integration der einzelnen Komponenten erforderlich sind, und um abzuschätzen, wie viel Zeit für die Ausführung dieser Tasks benötigt wird. Benennen Sie alle Gesichtspunkte, deren Teammitglieder und Management sich bewusst sein müssen. Es ist besonders wichtig, die Abhängigkeiten anzugeben, die andere Teams beeinflussen. Sie stellen z. B. unter Umständen fest, dass die Arbeit einer Reihe von Teams sich mit dem Domain Name System (DNS) befasst und dass ihre Tasks koordiniert werden müssen, um doppelte Anstrengungen zu vermeiden.
Kommunikationsstrategie Ein detaillierter Kommunikationsplan kann die Effizienz Ihres Einrichtungsprojekts erhöhen. Eine angemessene Kommunikation erhöht die Wahrscheinlichkeit, dass Ihre Planung und Einrichtung von Windows 2000 die Arbeit anderer Teams, die neue IT-Projekte einrichten, ergänzen und die Tätigkeiten integriert werden. Dies hilft dem Management, die Projektteams bei der Überwindung von Hindernissen zu unterstützen, und bereitet Benutzer darauf vor, die neue Infrastruktur zu nutzen. Eine effiziente Kommunikationsstrategie benennt die Anforderungen verschiedener Personenkreise, z. B. Geschäftsführung, Projektteams, IT-Organisation und Benutzer auf allen Ebenen. Personen kontinuierlich zu informieren bedeutet, sie kontinuierlicheinzubeziehen. Nutzen Sie Ihre Kommunikationsstrategie, um Unterstützung für Ihr Einrichtungsprojekt, die neuen Windows 2000-Technologien und die geschäftlichen Prozesse aufzubauen, die die Technologien unterstützen.
76
Teil I
Planung
Beim Aufstellen des Kommunikationsplans ist die Auseinandersetzung mit folgenden Fragen von Bedeutung: Wie werden Informationen zur Einrichtung verbreitet? Zur Ergänzung traditionellerer Medien, z. B. gedruckter Materialien, können Sie E-Mail und Intranet einsetzen. Das Erstellen einer Intranetsite, die auf einfache Weise mit Statusberichten zur Einrichtung aktualisiert werden kann, ist eine der einfachsten Möglichkeiten, Benutzer auf dem Laufenden zu halten. Die Benutzer werden positiv gefördert, wenn sie in ausreichendem Maße in der Lage sind, eigene Lösungen zu entwickeln. Damit werden Unsicherheiten reduziert und Supportkosten gesenkt. Welche Informationen werden weitergegeben? Erläutern Sie, wie die neue Infrastruktur Arbeiten vereinfacht und den geschäftlichen Anforderungen der Organisation dient. Der Status der Einrichtung ist eine der wichtigsten Informationen, die Sie an Benutzer und Mitglieder des Einrichtungsteams weitergeben können. Heben Sie die Erfolge hervor, gestehen Sie aber auch Hindernisse ein. Wie häufig werden Informationenverbreitet? Für Endbenutzer könnten monatlich aktualisierte Informationen ausreichen. Für das Management einzelner Abteilungen sind eventuell häufigere Aktualisierungen angebracht, insbesondere wenn das Pilotprojekt oder Produktionseinführungen bevorstehen. Mitglieder der ITAbteilung sollten unabhängig davon, ob sie direkt in die Einrichtung einbezogen sind, wöchentlich aktualisierte Informationen erhalten. Die von Ihnen eingeführten Änderungen haben einen direkten Einfluss auf die Arbeitsweise des IT-Personals. Sie müssen den Fortgang Ihres Einrichtungsprojekts aufmerksam beobachten. Welche Arten von Rückmeldungsmechanismen werden eingeführt? Teilen Sie Einzelheiten zu Ihren Planungen mit, um Rückmeldungen der Endbenutzer zu erhalten. Die Einrichtung eines Rückmeldungsmechanismus, mit dem Benutzer Ihre Sorgen und Enttäuschungen ausdrücken können, ist wichtig für Ihren Erfolg. Ein Kanal für die wechselseitige Kommunikation eröffnet Benutzern die Möglichkeit, Teil des Projekts zu sein und als Teammitglieder wertvolle Informationen zu geben, die zum Erfolg Ihres Projekts beitragen können.
Schulungsplan Informieren Sie Benutzer in Schulungen über die Windows 2000-Funktionen, bevor Sie mit der Einrichtung beginnen. Es empfiehlt sich auch, offizielles Training anzubieten und einen Rückmeldungsmechanismus zu entwickeln. Microsoft Official Curriculum (MOC) für Microsoft Windows 2000 Professional und Windows 2000 Server bietet Computerfachleuten Training für die Einrichtung, die Administration und die Unterstützung eines auf Windows 2000 basierenden Netzwerks. Dieser praxisorientierte technische Lehrplan enthält Kurse, die Teilnehmern das Wissen und die Fähigkeiten für folgende Bereiche vermitteln: ? Die Funktionsweise und die Funktionen von Windows 2000 verstehen. ? Auf Windows 2000 aktualisieren und Windows 2000 installieren und
konfigurieren. ? Ein auf Windows 2000 basierendes Netzwerk administrieren.
Kapitel 3 Planen des Einsatzes
77
? Supportfähigkeiten von Microsoft Windows NT 4.0 auf Windows 2000
aktualisieren. ? Eine Infrastruktur für Windows 2000-Verzeichnisdienste entwerfen. ? Eine Infrastruktur für Windows 2000-Netzwerkdienste entwerfen. ? Eine Infrastruktur für Änderungen und Konfigurationsmanagement entwerfen.
Weitere Informationen zu MOC für Windows 2000 finden Sie unter dem Link „Microsoft Training and Certification - Microsoft Official Curriculum“ auf der Webressourcenseite unter http://windows.microsoft.com/windows2000/reskit/webresources.
Kapazitätsplanung Die Kapazitätsplanung bietet eine sichere Grundlage für die Planung und Verwaltung der Computerumgebung. Wenn Sie die Computerressourcen ermitteln, die zur Erfüllung Ihrer geschäftlichen Anforderungen benötigt werden, erzielen Sie folgendeVorteile: ? Servicezielsetzungen werden erreicht. ? Produktivität wird gesteigert. ? Skalierbarkeit wird entwickelt und verwaltet. ? Gesamtbetriebskosten werden unter Kontrolle gebracht oder verringert.
Eine der wichtigsten Tasks bei der Kapazitätsplanung ist die Erstellung einer repräsentativen Grundlinie für die Arbeitsauslastung und die Computerressourcen. Die mit der Kapazitätsplanung und der Unternehmensplanung beschäftigten Personen müssen zusammenarbeiten, um die geschäftlichen Komponenten zu benennen, die von Computerressourcen abhängig sind, und um die aus der Arbeitsauslastung entstehenden Anforderungen zu prognostizieren. Anlagenwirtschaft ist der Schlüssel für die Durchführung einer Hardwarebestandsaufnahme. Wenn der Austausch von Hardware erforderlich ist, überprüfen Sie vor der Aktualisierung sorgfältig, was ausgetauscht werden muss. Einige Organisationen verlassen sich bei der Kapazitätsplanung auf das Fachwissen der Führungskräfte, andere arbeiten mit analytischen Modellen, Simulation, Benchmarking oder, in entscheidenden Situationen, Experimenten. Unabhängig davon, welche Technik Sie einsetzen, ist für die erfolgreiche Verwaltung der Computerumgebung ein proaktiver Ansatz erforderlich. Ein guter Ansatzpunkt besteht darin, die verschiedenen Aktivitäten zu skizzieren, die in Ihrem Netzwerk oder in den Subnetzen pro Stunde, Tag oder Monat stattfinden; dazu gehört z. B. Folgendes: ? Anzahl der Kennwortänderungen. ? Anzahl der Benutzeranmeldungen. ? Anzahl der DNS-Abfragen. ? Anzahl der Kennwortänderungen für Computerkonten.
78
Teil I
Planung
Ermitteln Sie anschließend für jeden der vorhergehenden Punkte den niedrigsten, den höchsten und den Mittelwert. Sie möchten wissen, wie viele dieser Ereignisse stattfinden, wie viel Bandbreite sie im Netz beanspruchen und wie viel Verarbeitungsleistung und Speicherplatz sie auf dem Server nutzen. Ermitteln Sie, in welchem Umfang dieselben Elemente im neuen Produkt auftreten. Anhand dieser Informationen können Sie dann Ihre Server optimieren und die Domänen- und Standortstruktur planen. Weitere Informationen zu Kapazitätsplanung und Windows 2000-Funktionen finden Sie in den Kapiteln dieser Dokumentation, die die von Ihnen geplanten Technologienbehandeln.
Risikobewertung Wenn Sie planen, ein Betriebssystem und eine Netzwerkstruktur einzurichten, planen Sie das Unerwartete ein. Auch der beste Einrichtungsplan kann durch Änderungen in den geschäftlichen Anforderungen, wirtschaftliche Änderungen, andere Benutzeranforderungen oder Unterbrechungen wie Stromausfälle oder Unwetter beeinträchtigt werden. Ein Risikomanagementplan hilft Ihnen, potentielle Risiken zu benennen, bevor sie eintreten, und bereitet Sie darauf vor, schnell zu reagieren, wenn sie eintreten. Ein gut durchdachter und proaktiver Risikomanagementplan kann Ihnen bei folgenden Punkten hilfreich sein: Die Wahrscheinlichkeit verringern, dass ein Risikofaktor tatsächlich eintritt Wenn nur ein Mitglied des Personals vollständig mit der Sicherheitsinfrastruktur vertraut ist, könnte der Verlust dieser Person in der laufenden Einrichtung ernsthafte Auswirkungen haben. Sie können dieses Risiko reduzieren, indem Sie für alle Fachleute in Schlüsselstellungen Personen schulen, die diese Fachleute ersetzen können, und die Unterlagen auf dem neuesten Stand und zugänglich halten. Das Ausmaß des Verlusts in Grenzen halten, wenn ein Risiko eintritt Wenn Sie vermuten, dass das Budget für Ihr Windows 2000 Server-Einrichtungsprojekt nicht a usreicht, haben Sie unter Umständen die Möglichkeit, verschiedene zusätzliche Quellen anzugeben, die unerwartete Ausgaben abdecken. Die Konsequenzen eines Risikosändern Eine plötzlich stattfindende Umstrukturierung, Übernahme oder Abtrennung in einer laufenden Einrichtung kann Ihre Planungen erheblich stören. Wenn Sie einen Prozess für schnelle Änderungen definiert haben, können Sie die Herausforderung so bewältigen, dass Ihr Projektzeitplan kaum oder überhaupt nicht beeinträchtigt wird.
Kapitel 3 Planen des Einsatzes
79
Auf die Abschwächung von Risiken während der Einrichtung vorbereitet sein Dies ist möglich durch eine strategische Planung von Installation und Einführung. Sie können beispielsweise damit beginnen, neue Windows 2000-Domänencontroller in eine vorhandene Windows NT 4.0-Domäne aufzunehmen. Eine andere Möglichkeit besteht darin, eine neue Windows 2000-Domäne aufzubauen, eine Vertrauensstellung mit der vorhandenen Kontendomäne einzurichten und dann die Benutzerkonten zu duplizieren. Sie könnten aber auch neue Windows NT 4.0Domänencontroller in Ihrer Domäne installieren, sie in ein privates Netzwerk verschieben und dann aktualisieren, um die neue Domäne einzurichten. In jedem dieser Beispiele hätten Sie die Möglichkeit, auf einfache Weise wieder zur vorhergehenden Umgebung zurückzukehren, wenn dies erforderlich wäre.
Risikomanagement Für ein effizientes Risikomanagement muss der Risikomanagementplan gewisse Anforderungen erfüllen. Der Plan muss: ? Unternehmenswichtige Anwendungen benennen. ? Potentielle Risiken benennen und analysieren. ? Potentielle Auswirkungen der Risiken mengenmäßig erfassen. ? Einzelheiten zu Weiterleitungsprozessen angeben. ? Lösungen benennen. ? Dem oberen Management und den Projektmitgliedern mitgeteilt werden. ? Bestandteil des täglichen Projektmanagements werden. ? Auf dem neuesten Stand gehalten werden.
Risikomanagement muss Teil der regelmäßigen Aktivitäten Ihres Teams sein und alle wichtigen Personen, Prozesse sowie geschäftlichen und technologischen Bereiche Ihrer Windows 2000-Einrichtung umfassen. Sie müssen folgende Aufgaben ausführen: Risiken in allen Bereichen bewerten, die Ihr Projekt beeinflussen könnten Bitten Sie jedes Team darum, die potentiellen Risiken, die mit seinem Zuständigkeitsbereich (z. B. Sicherheit, Netzwerk, Einrichtung, Support oder Schulung) verknüpft sind, zu benennen und sich mit ihnen zu befassen. Den Risiken Prioritäten zuordnen Risiken können sich in Ausmaß und Wahrscheinlichkeit unterscheiden. Ermitteln Sie, welche Risiken die größte Bedrohung für Ihre Organisation darstellen. Befassen Sie sich zunächst mit den Hauptrisikofaktoren. Mit Personen zusammenkommen, die Unternehmensanwendungen und vorhandene Anwendungen unterstützen Ältere Anwendungen und Unternehmensanwendungen stellen ein besonderes Risiko dar. Treffen Sie sich zu einem frühen Zeitpunkt mit den Personen, die umfassende Kenntnisse über diese Anwendungen besitzen. Wenn ein Drittanbieter für eine dieser Anwendungen zuständig ist, beziehen Sie ihn so schnell wie möglich in den Prozess ein.
80
Teil I
Planung
Ein Urteil zur Realisierbarkeit vermeiden, dasausschließlich auf der Anzahlder ermittelten Risiken basiert Ein Projekt mit 20 ermittelten Risiken läuft nicht unbedingt reibungsloser ab als ein Projekt, für das 40 Risiken ermittelt wurden. Eine Risikobewertung, die eine größere Zahl von Risiken ermittelt, könnte einfach nur gründlicher sein als eine mit weniger Risiken. Verwenden Sie dieses Dokument, um genau zu bestimmen, welche Risiken den geplanten Verlauf eines Projekts verhindern und welche geringere Auswirkungen besitzen. Eine Umgebung fördern, in der Personen, die Risiken benennen, nicht negativ beurteilt werden Personen, die in einer Organisation die praktischen Arbeiten verrichten, erkennen Probleme oft vor ihren Führungskräften. Wenn sie schlechte Nachrichten nur widerstrebend weitergeben, könnte dies Ihre Risikobewertung beeinträchtigen. Ziehen Sie ein Prämienprogramm für die Personen in Betracht, die Risiken benennen, als auch für diejenigen, die an Lösungen zur Vermeidung dieser Risiken mitarbeiten.
Risikobewertungsmatrix Damit potentielle Risiken klar benannt werden können, entwickeln Sie ein grundlegendes Verständnis für die Abhängigkeiten, die zwischen den verschiedenen Elementen der Einrichtung bestehen. Eine Risikomatrix kann Ihnen helfen, diese Elemente zu benennen und miteinander zu verknüpfen. Tabelle 3.4 enthält ein Beispiel für eine Risikobewertungsmatrix, die verschiedene Gesichtspunkte aufführt; dazu gehören z. B. die Wahrscheinlichkeit, dass das Risiko eintritt, die Auswirkungen, die ein bestimmtes Risiko auf Ihr Projekt haben kann, und die Strategie, die erforderlich ist, um das Risiko abzuschwächen. Tabelle 3.4 Beispiel für Risikobewertungsmatrix Risiko
Wahrscheinlichkeit
Auswirkung
Zuständige Person
Lösungsdatum
Abschwächungsstrategie
Es ist ein Zusammenschluss im Gespräch.
Mittel
Hoch
Einrichtungsteamleitung
tt/mm/jj
Bis zur Einrichtung von Windows 2000 werden nicht alle Computer eine Konfiguration besitzen, die die Hardwaremindestanforderungen erfüllt.
Mittel
Mittel
Programmmanagement-, Helpdeskund Logistikteams
tt/mm/jj
Eine Strategie für eine schnelle Integration mit den entsprechenden Teammitgliedern in anderen Organisationen entwerfen. Entscheiden, ob Hardware zum Zeitpunkt der Installation aktualisiert wird oder bis zu einer Aktualisierung der Hardware in der gesamten Organisation gewartet wird.
Kapitel 3 Planen des Einsatzes
81
Erstellen Sie die Matrix zu einem frühen Zeitpunkt der Planungsphase, und aktualisieren Sie sie in regelmäßigen Zeitabständen oder wenn sich Änderungen bei Zeitplan, Beschreibung, Management, Team, Umfang oder Einführungsstrategie ergeben.
Risikogesteuerter Zeitplan Es gibt wenige Komponenten einer Einrichtung, die zum Entstehen von Risiken mehr beitragen als ein schlecht ausgearbeiteter Zeitplan. Wenn Ihre Organisation z. B. im vierten Quartal die Einrichtung einfriert, kann die Qualität der Tests und der Einführung beeinträchtigt werden, wenn zu viele wichtige Schritte in der letzten Minute eingeschoben werden. Wenn Sie die Einrichtung zeitlich so planen, dass die einfachsten Komponenten zuerst berücksichtigt werden, und mit den Komponenten, die am komplexesten sind und die meisten Risiken bergen, bis zuletzt warten, schränken Sie die Zeit ein, die Ihnen für die Lösung komplexerer Probleme zur Verfügung steht. Ein Zeitplan, in dem die Risikobewertung berücksichtigt ist, kann die Wahrscheinlichkeit ernsthafter Probleme nahezu ausschließen. Die folgenden Richtlinien können Sie bei der Aufstellung eines risikogesteuerten Zeitplans unterstützen: Nehmen Sie Schätzungen auf Taskebene als Grundlage für den Zeitplan Beginnen Sie mit Schätzungen auf Taskebene, arbeiten Sie weiter bis zu Teamzeitplänen und integrieren Sie dann die Zeitpläne mehrerer Teams. Den Zeitplan von unten nach oben aufzubauen und Schätzungen auf Taskebene als Grundlage zu nehmen, zwingt dazu, die Punkte zu benennen und zu lösen, die ein Projekt verzögern oder sogar den geplanten Ablauf verhindern können. Entwickeln Sie zunächst die Komponenten, die die meisten Risiken bergen Befassen Sie sich zunächst mit den Komponenten der Einrichtung, die die meisten Risiken bergen. Die Auswirkungen, die Verzögerungen, Entwurfsänderungen oder andere Probleme auf den übrigen Teil der Einrichtung haben, sind geringer, wenn Sie sich früh mit ihnen befassen. Legen Sie Meilensteine für wichtige Ergebnisse und Zwischenergebnisse fest Meilensteine sind Prüfpunkte, an denen der Fortschritt anhand von Tests überprüft wird. Zahlreiche Meilensteine für Zwischenergebnisse geben Ihnen die Möglichkeit, bereits zu Beginn des Prozesses den Fortschritt anhand neuer Informationen neu zu bewerten und das Risiko zu verringern, dass die Meilensteine für wichtige Ergebnisse nicht erreicht werden. Planen Sie Zeit für unvorhergesehene Umstände ein Wenige große Einrichtungen werden abgeschlossen, ohne dass sie von Ereignissen beeinträchtigt werden, die zu Unterbrechungen im Zeitplan führen. Dazu gehören z. B. die Erkrankung von Schlüsselpersonal, unerledigte Hardwareaufträge oder Probleme bei der Finanzierung. Planen Sie Zeitpolster für diese unvorhergesehenen Umstände ein. Planen Sie Zeitfür Projektmanagement ein Es nimmt Zeit in Anspruch, die Vision zu definieren, die Finanzierung zu sichern und alle anderen Projektmanagementtasks durchzuführen. Planen Sie entsprechend Zeit für das Projektmanagement ein.
82
Teil I
Planung
Verwenden Sie ein Tool für die Projektplanung Tools für die Projektplanung geben Ihnen die Möglichkeit, Tasks mit (gegenseitigen) Abhängigkeiten zu verknüpfen und schnell die für Tasks zuständigen Personen sowie den Status von Tasks anzugeben. Sie können auch dafür genutzt werden, den Fortschritt der verschiedenen Teams und ihrer Tasks zu überwachen, um sicherzustellen, dass der Zeitplan für das Projekt eingehalten wird. Halten Sie den Zeitplan auf dem neuesten Stand Aktualisieren Sie immer dann den Zeitplan, wenn sich geschäftliche Umstände oder Umstände im Zusammenhang mit der Einrichtung ändern, neue Aktivitäten aufgenommen oder Meilensteine erreicht werden. Halten Sie leitende Projektmitarbeiter auf demLaufenden, wenn Änderungen im Projektplanerforderlichsind Durch die Definition von Zielsetzungen erfahren Personen, wann die Einrichtung gestoppt werden muss. Wenn Sie z. B. Windows 2000 auf zehn Computern eingeführt haben und feststellen, dass der Dienst eines Drittanbieters beeinträchtigt wird, sollten Sie zunächst dieses Problem lösen, bevor Sie die Einrichtung fortsetzen.
Einrichten von Windows 2000 In der letzten Phase der Einsatzplanung wird definiert, wie ein reibungsloser Übergang vom Pilotprojekt in die Produktion realisiert wird. Ihr Ziel ist die erfolgreiche und effiziente Einrichtung von Windows 2000 bei minimalen Unterbrechungen für Benutzer und die geschäftlichen Kernfunktionen der Organisation. Die Einrichtung von Windows 2000 in der Produktionsumgebung und die Einrichtung von Windows 2000 in der Pilotphase haben viele gemeinsame Merkmale. Damit die Einrichtung erfolgreich verläuft, sollten Sie u. a. folgende Schritte ausführen: Führen Sie die Einrichtung in Phasen durch Mit einer inkrementellen Einrichtung haben Sie die Möglichkeit, Risiken zu verringern und Unterbrechungen zu minimieren. Stellen Sie einen Sicherungsplan für die Einrichtung auf Mit einem zuverlässigen und getesteten Sicherungsplan haben Sie die Möglichkeit, auf schnelle und einfache Weise eine vorhergehende Umgebung wiederherzustellen, wenn Sie während der Einrichtung auf Probleme stoßen. Stellen Sie einen Sicherungs-/Wiederherstellungsplanauf Da es selbst bei den besten Datenschutzstrategien zu schwerwiegenden Ausfällen bei Computern oder Standorten kommen kann, benötigen Sie einen Plan, mit dem Systeme nach einem schwerwiegenden Ausfall wiederhergestellt werden. Weitere Informationen zum Aufstellen eines Wiederherstellungsplans finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in dieser Dokumentation.
Kapitel 3 Planen des Einsatzes
83
Angemessene Schulung anbieten Stellen Sie sicher, dass Ihr Support- und Ihr Administrationsteam für die Einrichtung umfassend geschult und vorbereitet sind. Halten Sie Endbenutzer auf dem Laufenden Informieren Sie Endbenutzer über Windows 2000, bevor Sie es auf ihren Computern einrichten, und bieten Sie entsprechende Schulungen an. In einigen Organisationen müssen Endbenutzerschulungen durchgeführt werden, bevor neue Technologien eingesetzt werden können. Wenn dies eine Strategie ist, die Sie in Betracht ziehen, planen Sie zusätzliche Ressourcen und Kosten ein. Halten Sie Teams auf dem Laufenden Stellen Sie sicher, dass den Teams bewusst ist, wie die Einrichtungspläne in Ihrer Gesamtheit aussehen, in welchem Umfang sie zuständig und einbezogen sind und welche Änderungen im Plan oder Zeitplan auftreten können. Legen Sie wichtige Einrichtungsaktivitäten in Zeiten außerhalb der Geschäftsstunden Sie können die Auswirkungen für Benutzer und Netzwerk auf ein Minimum reduzieren, wenn Sie die Zeiten, in denen wichtige Windows 2000-Aktivitäten durchgeführt werden, sorgfältig planen. Warten Sie z. B. mit der Einrichtung von Windows 2000 für eine bestimmte Gruppe, bis diese Gruppe einen Projekttermin erreicht oder ein großes Projekt abgeschlossen hat.
Taskliste für die Einsatzplanung In Tabelle 3.5 sind die Tasks zusammengefasst, die Sie für die Planung des Windows 2000-Einsatzes ausführen müssen. Tabelle 3.5 Taskliste für die Einsatzplanung Task
Kapitel
Den Umfang des Projekts sowie langfristige und kurzfristige Zielsetzungen definieren. Windows 2000-Funktionen auf Projektzielsetzungen abbilden. Aktuelle Computerumgebung dokumentieren. Lückenanalyse durchführen.
Projektumfang und -zielsetzungen
Rollen für das Personal und den Zeitbedarf für die Erfüllung von Tasks definieren.
Personalbedarf
Standards für Hardware, Software und Netzwerkkonfigurationen festlegen. Administrative Unterlagen zusammenstellen. Einrichtungsunterlagen zusammenstellen.
Festlegen von Standards und Richtlinien Administrative Dokumente
Einrichtungsentwurf erstellen. Kommunikationsstrategie entwerfen.
Einrichtungsentwurf Kommunikationsstrategie
Kapazitätsanforderungen bewerten. Risiken bestimmen. Zeitplan aufstellen und verwalten.
Kapazitätsplanung Risikobewertung Risikogesteuerter Zeitplan
Projektumfang und -zielsetzungen Aktuelle Computerumgebung Durchführen einer Lückenanalyse
Einrichtungsunterlagen
84
Teil I
Planung (Fortsetzung) Task
Kapitel
Schulungsplan aufstellen. Testplan entwickeln.
Schulungsplan Testen von Windows 2000 und Durchführen eines Pilotprojekts
Pilotprojekt planen.
Testen von Windows 2000 und Durchführen eines Pilotprojekts
Reibungslosen Übergang auf Windows 2000 planen.
Einrichten von Windows 2000
Kapitel 3 Planen des Einsatzes
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
85
85
K A P I T E L
4
Erstellen eines Testlabors für Windows 2000
Testen Sie vor der Einrichtung von Microsoft® Windows® 2000 – auch in einem Pilotprojekt – Ihren vorgeschlagenen Entwurf unbedingt in einer Umgebung, die Ihre Produktionsumgebung simuliert und schützt. Sie können Ihren Entwurf überprüfen, indem Sie Tests entwerfen und durchführen, die die Bedingungen in der Zielumgebung widerspiegeln. In diesem Kapitel finden das Testmanagement sowie die Einrichtungsprojektteams allgemeine Überlegungen für den Entwurf und den Betrieb eines Testlabors, das die besonderen Anforderungen Ihrer Organisation erfüllt. Darüber hinaus werden in der gesamten Dokumentation in einzelnen Kapiteln Fragen im Zusammenhang mit dem Testen bestimmter Windows 2000-Funktionen behandelt. Inhalt dieses Kapitels Vorbereiten der Testumgebung 86 Festlegen der Strategie für das Labor 90 Entwerfen des Labors 99 Erstellen des Labors 113 Verwalten des Labors 115 Testen 117 Testen nach der Einrichtung 124 Planungstasklisten für Labortests 126 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Laborbeschreibung ? Labordiagramm ? Weiterleitungsplan ? Testplan ? Testfälle WeiterführendeInformationen inder technischen Referenz ? Weitere Informationen zum Planen von Anwendungstests finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. ? Weitere Informationen zum Planen eines Pilotprojekts in Ihrer Produktionsumgebung finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
86
Teil I
Planung
Vorbereiten der Testumgebung Ein wichtiger Faktor für den Erfolg Ihres Windows 2000-Projekts sind umfassende Tests auf der Grundlage von realistischen Szenarios. Realistische Szenarios erfordern eine Testumgebung, die Ihre Produktionsumgebung so weit wie möglich simuliert. In dieser Testumgebung können die Mitglieder des Planungsteams ihre Annahmen überprüfen, Einrichtungsprobleme ermitteln, den Einrichtungsentwurf optimieren und ein tieferes Verständnis für die Technologie gewinnen. Diese Tätigkeiten reduzieren das Fehlerrisiko und schließen praktisch aus, dass während und nach der Einrichtung Ausfallzeiten in der Produktionsumgebung entstehen.
Aufbauen einer Testumgebung Eine Testumgebung umfasst alle Standorte, die Tests unterstützen, wobei für das Unternehmensnetzwerk keine Risiken entstehen. Viele große Organisationen verteilen ihre Testumgebungen auf zahlreiche physische oder sogar geographische Standorte, um Tests in verschiedenen technischen, geschäftlichen oder politischen Kontexten durchzuführen. Die Entscheidungen, die Sie im Zusammenhang mit der Testumgebung treffen, werden von folgenden Faktoren beeinflusst: ? Ihre Testmethoden ? Funktionen und Komponenten, die Sie testen werden ? Personen, die die Tests durchführen werden
Eine Testumgebung kann aus einem oder mehreren Laboren bestehen, und ein Labor kann einen oder mehrere Standorte umfassen. Mit „Labor“ wird in diesem Kapitel ein Netzwerk bezeichnet, das für Tests konzipiert wurde und vom Unternehmensnetzwerk isoliert ist. Sie gelangen für Ihr Windows 2000-Projekt unter Umständen zu der Entscheidung, verschiedene unabhängige Labore für unterschiedliche Testzwecke einzurichten. Sie könnten z. B. ein Labor für das Testen der Netzwerkinfrastruktur und der Server und ein weiteres Labor für das Testen der Clientcomputer und der Anwendungen einrichten. Umgekehrt könnte ein einzelnes Labor mehrere Standorte umfassen. Sie könnten z. B. ein Labor für die Netzwerkinfrastruktur einrichten, das mehrere, durch ein WAN verbundene Standorte umfasst, um die Auswirkungen verschiedener Verbindungsgeschwindigkeiten zu testen. Wenn Sie Microsoft® Windows® 2000 Server und Microsoft® Windows® 2000 Professional gleichzeitig einrichten, beeinflussen zahlreiche Faktoren die Entscheidung, ob für die beiden Projekte getrennte Labore eingerichtet werden oder ob sie ein gemeinsames Labor erhalten sollen. Zu diesen Faktoren gehören u. a.: ? Komplexität der Einrichtung (z. B. häufige Änderungen in der Produktions? ? ? ? ?
umgebung und die neuen Funktionen, die Sie implementieren möchten). Größe, Standort und Struktur Ihrer Projektteams. Umfang Ihres Budgets. Verfügbarkeit von Räumlichkeiten. Standort des Testpersonals. Verwendung der Labore nach der Einrichtung.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
87
Die Überlegungen in diesem Kapitel gelten für Labore, die Sie für das Testen von Windows 2000 Server oder Windows 2000 Professional entwerfen.
Verwenden des Labors für das Risikomanagement Ein gut entworfenes Testlabor bietet eine gesteuerte Umgebung für die Tests, die im Verlauf des Projekts anfallen – von Experimenten mit der Technologie über den Vergleich von Entwurfslösungen bis hin zur Optimierung des Rolloutprozesses. Ein gutes Labor muss keine Investition sein, für die umfangreiche Ressourcen oder Mittel aufgewendet werden; es kann von wenigen Hardwarekomponenten in einem kleinen Raum bis hin zu einem vollständigen Netzwerk in einer Datacenterumgebung reichen. Das Testlabor ist eine Investition, die ein Vielfaches einbringen kann durch die Einsparung der Kosten für Support und erneute Einrichtung, die bei schlecht getesteten Lösungen entstehen. Es ist ein wichtiger Teil des Risikomanagementplans für Ihr Windows 2000-Projekt. Sie können Risiken im Labor identifizieren, wenn Tests z. B. folgende Probleme offenbaren: ? Hardware- oder Softwareinkompatibilitäten ? Schwächen im Entwurf ? Leistungsgesichtspunkte ? Schwierigkeiten bei der Interoperabilität ? Begrenzte Kenntnisse über neue Technologien ? Ineffizienz bei Betrieb oder Einrichtung
Wenn Tests Probleme dieser Art offenbaren, bietet das Labor die Möglichkeiten zur Entwicklung und Validierung von Alternativlösungen. Das Labor ist darüber hinaus der Ort für folgende Tätigkeiten: ? Pläne für die vorzeitige Beendigung entwerfen und validieren und auf diese
Weise während Pilotprojekt- und Produktionsrollout die Risiken für die geschäftlichen Abläufe verringern. ? Lernen, wie der Einrichtungsprozess optimiert werden kann, und auf diese Weise den Zeit- und Kostenaufwand für die Einrichtungsaktivitäten reduzieren. ? Effiziente administrative Prozeduren entwickeln und auf diese Weise den Zeitund Personalbedarf für die laufende Wartung nach der Einrichtung reduzieren. ? Die Fortschritte anhand des Projektplans überprüfen und den Projektzeitplan weiter verbessern.
Laborentwicklungsprozess Abbildung 4.1 ist ein Flussdiagramm, in dem die Phasen für die Vorbereitung des Labors für Tests dargestellt werden. In der Strategiephase legen Sie die Ziele und einen allgemeinen Ansatz für das Labor fest. Die Entscheidungen, die Sie in dieser Phase treffen, beeinflussen die Entscheidungen in der Entwurfsphase. In der Entwurfsphase planen und dokumentieren Sie die logische und physische Struktur des Labors. Mit den Entscheidungen in der Entwurfsphase legen Sie fest, was in der Aufbauphase erstellt wird.
88
Teil I
Planung
In der Aufbauphase richten Sie das Labor ein und testen die Netzwerkkomponenten, bevor das Testen von Windows 2000 beginnt. Die Entwurfs- und die Aufbauphase sind iterativ, denn mit wachsendem Kenntnisstand, sich entwickelnden Anforderungen und sich ändernden Testschwerpunkten müssen Sie Komponenten des Labors neu entwerfen und neu aufbauen. Darüber hinaus müssen Sie Komponenten neu aufbauen, wenn die bei Hardware, Software oder Testmethoden zusammengekommenen Änderungen beginnen, sich auf die Testergebnisse auszuwirken.
Abbildung 4.1 Prozess für die Einrichtung eines Testlabors
Kapitel 4 Erstellen eines Testlabors für Windows 2000
89
Testprozess Abbildung 4.2 ist ein Flussdiagramm, in dem die Phasen für die Planung und Durchführung von Tests im Labor dargestellt werden. Die Haupttätigkeitensind: ? Einen Testplan erstellen, der Umfang, Zielsetzungen und Methoden beschreibt. ? Testfälle entwerfen, in denen beschrieben ist, wie Tests durchzuführen sind. ? Tests durchführen und Ergebnisse auswerten. ? Testergebnisse dokumentieren. ? Probleme zur Lösung an die geeigneten Personen weiterleiten.
Abbildung 4.2 Prozess für die Planung und Durchführung von Tests
90
Teil I
Planung
Einrichten eines vorläufigen Labors Sofern Sie nicht bereits über ein Labor verfügen, ist es in Ihrem Projekt für die Einrichtung von Windows 2000 wichtig, so früh wie möglich mit den Arbeiten dafür zu beginnen. Sie benötigen das Labor zu einem frühen Zeitpunkt in der Planungsphase, um Kenntnisse über das Produkt zu gewinnen, Konzepte zu beweisen, verschiedene Szenarios im Hinblick auf Ihr Geschäftsmodell zu testen und Lösungen zu validieren. Ganz zu Beginn des Projekts können Sie den Standort auswählen, mit der Auswertung von Hardwareanforderungen beginnen, vorhandene Laborausrüstung neu konfigurieren und unter Umständen damit beginnen, Hardware für das Labor zu erwerben oder wieder herzurichten. Ihre frühzeitige Planung zahlt sich bei den Tests aus, wenn Sie ausreichend Raum für die notwendige Ausrüstung und die richtigen Konfigurationen für genaue Tests bereitgestellt haben. Dokumentieren Sie die von Ihnen getroffenen Entscheidungen zu Hardware-, Software- und Personalanforderungen in Ihrem Testplan. Weitere Informationen zum Testplan finden Sie unter „Testen“ weiter unten in diesem Kapitel. Wenn Sie ein permanentes Labor planen, müssen Sie unter Umständen die Genehmigung des Managements sowie Mittel erhalten, die nicht mit Ihrem Windows 2000-Einrichtungsprojekt zusammenhängen. Ist dies der Fall, beginnen Sie so früh wie möglich mit dem Genehmigungsprozess. Zu einem frühen Zeitpunkt im Planungsprozess kann Ihr Labor Sie dabei unterstützen, Ihren grundlegenden Namespaceentwurf zu erstellen und einen Übersichtsplan für die Einrichtung aufzustellen; diese können Sie dann als Grundlage für weitere Tests und Entwicklungen verwenden. Wenn Sie das Labor als Grundkonfiguration verwenden und dann schrittweise Funktionen hinzufügen, können Sie die Probleme vermeiden, die bei unabhängig voneinander entwickelten Entwürfen entstehen. Damit Sie mit sondierenden Tests beginnen können, bauen Sie ein vorläufiges Labor mit zwei oder drei Servern und Clientcomputern auf, verwenden Sie ein vorhandenes Labor oder richten Sie eine Client/Server-Konfiguration in einem Büro ein. Wenn Sie dann eine Entscheidung über den allgemeinen Entwurf treffen, fügen Sie die Teile für das offizielle Labor zusammen. Das Labor entwickelt sich zwar im Laufe des Projekts, um Änderungen bei den Testschwerpunkten widerzuspiegeln; stellen Sie aber sicher, dass es vor den im Vorfeld des Pilotprojekts stattfindenden Integrationstests vollständig ausgerüstet ist und unterbrechungsfrei läuft.
Festlegen der Strategie für das Labor Sie haben unter Umständen bereits ein Labor und planen, es für das Testen von Windows 2000 einzusetzen. Eventuell hoffen Sie auch, für das Projekt ein neues Labor aufbauen zu können. Unabhängig von Ihrer aktuellen Situation nützt es Ihnen sehr, Ihre Ziele für das Labor und seinen langfristigen Zweck zu durchdenken. Sie gelangen unter Umständen zu dem Entschluss, dass nun der richtige Zeitpunkt gekommen ist, das zu einem anderen Zweck eingerichtete Labor zu aktualisieren, damit Sie es in Zukunft für das Änderungsmanagement in Ihrer Windows 2000-Umgebung einsetzen können.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
91
Wenn Sie bereits über ein permanentes Labor verfügen, dass Sie für das Testen Ihres Windows 2000 Entwurfs einsetzen möchten, sollten Sie direkt mit „Entwerfen des Labors“ weiter unten in diesem Kapitel fortfahren.
Überlegungen zur Investitionsrentabilität Wenn Sie die Entscheidung treffen, ein neues Labor für die Windows 2000-Einrichtungstests aufzubauen, müssen Sie unter Umständen die Investitionen gegenüber den Projektträgern begründen. Damit dies für Sie möglich ist, verschaffen Sie sich einen allgemeinen Überblick über alle damit zusammenhängenden Kosten. Die im Labor durchgeführten Tests führen zu saubereren Implementierungen und reduzieren die Supportkosten. Wenn Sie das Labor für die Entwicklung von betrieblich effizienten Vorgängen entwickeln (z. B. automatisierte administrative Tools und Remoteprozeduren), können Sie die Gesamtbetriebskosten Ihrer Organisation reduzieren. Über einen gewissen Zeitraum hinweg betrachtet, sind die Kosten für den Aufbau und den Unterhalt eines Labors daher wahrscheinlich beträchtlich niedriger als die Kosten für die Behebung von Problemen in der Produktion, für die erneute Einrichtung von schlecht durchdachten oder getesteten Lösungen oder die Verwaltung der Produktionsumgebung mit ressourcenintensiven Prozessen. In Organisationen, die für verschiedene Projekte getrennte Labore einrichten, ist es oft möglich, auf die Betriebsgröße bezogene Kostenvorteile zu erzielen. Durch Konsolidierung der Labore und Formalisierung der Nutzung und Verwaltung des neuen Labors können Sie veranlassen, dass mehrere Projekte sich gemeinsam an den reduzierten Kosten für ein einzelnes Labor beteiligen. Wenn Sie die Entscheidung treffen, ein gemeinsam genutztes Labor einzurichten, versuchen Sie aber, Projekte auszuwählen, deren Zeitpläne und Ausrüstungsanforderungen zueinander passen. Es ist einfacher und kostengünstiger, ein paar neue Komponenten hinzuzufügen, um das Labor für ein neues Projekt zu aktualisieren, als jedes Mal von neuem zu beginnen. Für je mehr Zwecke Sie das Labor einrichten, desto einfacher ist es, die Investitionskosten für die Räumlichkeiten, die Ausrüstung und den Support, die für Aufbau und Betrieb benötigt werden, zu begründen. Das Labor kann zu Zwecken eingesetzt werden, die von frühzeitigem praktischem Training bis zur Lösung von Problemen nach der Implementierung reichen. Sie sollten das Labor als erste Schulungsinvestition ansehen. Sie können es sogar zu Lehrzwecken einsetzen, um z. B. dem Management oder anderen Gruppen Funktionen oder Einrichtungsprozesse zu demonstrieren.
Verwenden des Labors während des Projekts Damit Sie die Kosten für das Labor begründen können, berücksichtigen Sie die zahlreichen Einsatzmöglichkeiten im Verlauf des Projekts. Dieser Abschnitt enthält Beispiele dafür, wie Sie das Labor einsetzen könnten.
Planung Zu Beginn der Planungen nutzen die Mitglieder des Projektteams das Labor, um praktische Erfahrungen zu gewinnen. Sie nutzen es, um die Technologie besser zu verstehen, ihre Hypothesen zu testen und Probleme für die Implementierung sowie Supportanforderungen zu ermitteln. Dies ist auch ein guter Zeitpunkt, nach Mög-
92
Teil I
Planung
lichkeiten zur Optimierung von bestehenden betrieblichen Prozessen zu suchen, z. B. Tasks ermitteln, die automatisiert oder im Remotebetrieb ausgeführt werden können. Im Verlauf des Entwurfsprozesses nutzen die Teammitglieder das Labor, um neue Technologien, Modelle und Prozesse zu testen, während sie nach Lösungen für geschäftliche Anforderungen suchen. Diese Entwicklung von Prototypen und Modellen führt zu geschäftlichen Entscheidungen darüber, wie Windows 2000Funktionen implementiert werden.
Entwicklung Während der Entwicklung bietet das Labor eine gesteuerte Umgebung zum Testen und Bewerten einer Vielzahl von Gesichtspunkten, z. B.: ? Windows 2000-Funktionen ? Netzwerkinfrastrukturkompatibilität ? Interoperabilität mit anderen Netzwerkbetriebssystemen ? Hardwarekompatibilität ? Anwendungskompatibilität ? Leistungs- und Kapazitätsplanung ? Dokumentation von Installation und Konfiguration ? Administrative Prozeduren und Dokumentation ? Produktionsrollout (Prozesse, Skripts, Dateien und Pläne für die vorzeitige
Beendigung) ? Grundlegende Verkehrsverläufe (Verkehrsvolumen ohne Benutzeraktivität) ? Tools (Windows 2000, von Drittanbietern oder eigene) ? Wirtschaftlichkeit
Einrichtung Während der Einrichtung des Pilotprojekts bietet das Labor den Betriebsteams, z. B. dem Helpdesk und dem Betriebspersonal, den Platz, um mit der Planung der laufenden Supportstruktur zu beginnen. Darüber hinaus können Sie im Labor während der Pilotprojekt- und Produktionseinrichtung Probleme im Einrichtungsprozess isolieren, reproduzieren, analysieren und korrigieren.
Nach der Einrichtung Nach der Einrichtung kann das Supportteam im Labor die Probleme, die in der Produktionsumgebung aufgetreten sind, reproduzieren und lösen. Das Labor bietet auch einen sicheren Ort, um im Rahmen des Änderungsmanagementprozesses Änderungen wie z. B. Service Packs, Patches, neue Anwendungen oder neue Desktopkonfigurationen zu testen. In Abbildung 4.3 sind die vielfältigen Einsatzmöglichkeiten für das Labor sowie die Projektphasen angegeben, in die einige Tätigkeiten fallen können. Die Zeitrahmen sind Schätzungen und stellen keine tatsächliche Einrichtung dar.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
93
Abbildung 4.3 Rolle des Labors im Verlauf des Projekts
Das Labor ist nicht der einzige Ort, an dem Tests durchgeführt werden. Mitglieder des Projektteams können Funktionen auch auf ihren eigenen Testcomputern testen. Das Testlabor ist jedoch der Ort, an dem überprüft wird, ob die Komponenten und Funktionen in einer integrierten Umgebung, die die für die Einrichtung vorgesehene Produktionsumgebung simuliert, zusammen eingesetzt werden können. Die simulierte Umgebung sollte sowohl die Einführungsphase, in der keine einheitliche Funktionalität vorhanden ist, als auch die Schlussphase des Projekts, in der die neue Funktionalität vollständig implementiert ist, widerspiegeln.
Bewerten von Labormodellen Viele Organisationen richten für jedes neue Projekt, für das sie Einrichtungen testen müssen, ein Ad-hoc-Labor ein. Andere Organisationen richten ein permanentes Labor ein, das an unterschiedliche Projekte angepasst werden kann, und setzen es für das Änderungsmanagement ein. Sowohl Ad-hoc-Labore als auch Änderungsmanagementlabore haben ihre Vor- und Nachteile.
Ad-hoc-Labore Ad-hoc-Labore werden für ein bestimmtes Projekt eingerichtet. Wenn das Projekt abgeschlossen ist, wird die Ausrüstung zu anderen Zwecken eingesetzt. Sie könnte z. B. in der Produktionsumgebung verwendet werden, in das Inventar aufgenommen oder an den Hersteller zurückgegeben werden. Die kurzfristigen Kosten eines Ad-hoc-Labors liegen unter Umständen unter denen eines permanenten Labors, da die gesamte Ausrüstung wieder zu anderen Zwecken eingesetzt wird. Diese Beurteilung der Kosten ist jedoch kurzsichtig, denn für jedes Projekt, für das ein Labor erforderlich ist, muss ein neues Labor eingerichtet werden. Ad-hoc-Labore können z. B. zu folgenden Problemen führen: ? Wenn für jedes neue Projekt ein neues Labor erforderlich ist, wird Zeit zu
einem kritischen Faktor. Da die Teams das Labor zu einem frühen Zeitpunkt im Projekt benötigen, treten z. B. folgende Probleme auf:
94
Teil I
Planung ? Können die entsprechenden Hardware- und Softwarelizenzen rechtzeitig
besorgt werden? ? Führt der Austausch von Hardware oder Software dazu, dass nicht im
erforderlichen Umfang getestet werden kann? ? Ist es möglich, die Hersteller, Modelle und Versionen ausfindig zu machen,
die benötigt werden, um die in der Produktion eingesetzten Hardware- und Softwarekombinationen angemessen zu testen? ? Können Sie die Räumlichkeiten reservieren, die für den Aufbau der Netzwerkkonfiguration und die Durchführung der Tests benötigt werden? ? Führt der Zeitaufwand für den Aufbau und das Debuggen des Testlabors dazu, dass weniger Zeit für das Testen zur Verfügung steht und möglicherweise nicht alle Tests durchgeführt werden können? ? Wenn viele Teams Hardware- und Softwarelizenzen suchen, wird es schwierig, nachzuvollziehen, wer was verwendet und wer Käufe genehmigt. Da somit keine Rechenschaftspflicht besteht, kann es zu überplanmäßigen Ausgaben und erhöhten Kosten kommen.
Änderungsmanagementlabore Die im vorhergehenden Abschnitt dargestellten Probleme sind überzeugende Gründe dafür, ein permanentes, offizielles Labor einzurichten. Nachdem Windows 2000 implementiert wurde, können Sie in einem permanenten Labor z. B. folgende Änderungen in der Umgebung testen: ? Netzwerkaktualisierungen ? Service Packs und Softwarepatches ? Kompatibilität von Geschäftsanwendungen ? Desktopkonfigurationen ? Neue Hardwareplattformen ? Administrative Prozesse und Supportprozesse ? Verwaltungstools für Clientcomputer
Ein vollständig ausgerüstetes permanentes Labor, das für das Änderungsmanagement eingesetzt wird, besitzt folgende Vorteile: LangfristigeKosteneinsparung. Über Projekte hinweg betrachtet sind die Kosten für ein permanentes Labor wahrscheinlich angemessener als diejenigen für Ad-hoc-Labore, bei denen Käufe nicht überwacht werden oder die finanzielle Rechenschaftspflicht nicht mehr klar zu erkennen ist. VermindertegeschäftlicheRisiken. Labore verringern die Risiken für die Produktionsumgebung, denn zuverlässige Tests führen zu saubereren Implementierungen. Es ist z. B. verlockend, auf umfassende Tests für eine augenscheinlich unbedeutende Änderung zu verzichten, wenn ein Testlabor nicht sofort zur Verfügung steht. Aber selbst eine kleine Änderung kann einen geschäftlichen Prozess zum Stillstand bringen. Steht ein permanentes Labor für das Änderungsmanagement zur Verfügung, ist es leichter, selbst kleine Änderungen zu testen. Je deutlicher das Labor die Produktionsumgebung widerspiegelt, desto zuverlässiger können die Tests sein.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
95
Zeiteinsparung für das Projekt Die Zeiten für Setup und Debugging werden auf ein Minimum reduziert, denn es nimmt weniger Zeit in Anspruch, Aktualisierungen in einem vorhandenen Labor vorzunehmen, als jedes Mal ein neues Labor einzurichten. Die Zeitersparnis ist von entscheidender Bedeutung, wenn Sie planen, Laborausrüstung für die laufende Prototypentwicklung einzusetzen. Wenn das Labor sowohl für die Einrichtung als auch für das Testen eingesetzt wird, steht weniger Zeit für den Aufbau zur Verfügung. Unterstützungbei der angemessenen Ausstattung des Labors Wenn Sie ein Änderungsmanagementlabor planen, ist es unter Umständen einfacher für Sie, den Kauf von Ausrüstung zu begründen, die Sie für bestimmte Testanforderungen benötigen. Bei Ad-hoc-Laboren ist es wahrscheinlich, dass die Ausrüstung aus einem anderen Einsatzbereich übernommen oder im Hinblick auf die Anforderungen in ihrem zukünftigen Einsatzbereich gekauft wird und damit unter Umständen nicht Ihre Testanforderungen erfüllt. Es ist auch wahrscheinlicher, dass Sie die richtige Ausrüstungskombination beibehalten können, die die Produktionsumgebung genau widerspiegelt. Im Laufe der Zeit können Sie mit der ursprünglichen Ausrüstung weiterarbeiten und neue Ausrüstung erwerben, um die sich ständig ändernde und vielfältige Produktionsumgebung abzubilden. Indem Sie die richtige Ausrüstungskombination im Labor beibehalten, ermöglichen Sie umfassende Regressionstests während des Änderungsmanagementprozesses. Unterstützungbei der Einrichtung konsistenter Methoden Wenn Sie über ein permanentes Labor verfügen, können Sie Personen bestimmen, die ausschließlich für den Support im Labor zuständig sind. Mit einem permanenten Labor und einem kontinuierlichen Labormanagement können Sie konsistente Testprozesse und -techniken entwickeln, die konsistente, über Zeiträume hinweg vergleichbare Ergebnisse hervorbringen.
Auswählen eines Labormodells Zu Ihrer Entscheidung über die Art des Labors – Ad-hoc- oder Änderungsmanagementlabor – tragen zahlreiche Faktoren bei. Die folgenden Faktoren können Ihre Entscheidung beeinflussen: ? Budget ? Verfügbare Zeit und verfügbares Personal für das Einrichten des Labors ? Vorhandene Labore ? Einschränkungen im Hinblick auf Räumlichkeiten oder Umgebung ? Unternehmenskultur ? Projektziele oder Unternehmensziele
Der erste Schritt beim Treffen dieser Entscheidung besteht darin, die langfristigen Test- und Risikomanagementziele einzuschätzen. Betrachten Sie anschließend die Vor- und Nachteile der einzelnen Modelle im Hinblick auf Ihre Zielsetzungen.
96
Teil I
Planung
Sie stellen unter Umständen fest, dass ein Modell für Ihre Ziele am besten geeignet ist, die Umstände aber einen anderen Ansatz vorzuschreiben scheinen. Sie sehen z. B. die Vorteile eines für eine längere Zeit eingerichteten Labors, in dem Sie Softwarepatches und -aktualisierungen testen können, aber Ihre Organisation scheint nicht über das Budget zu verfügen, um ein permanentes Labor einzurichten und zu betreiben. Sie müssen zwar die möglichen Ergebnisse der gegensätzlichen Lösungen abwägen, gelangen aber unter Umständen zu kreativen Möglichkeiten, die Ihre Ideallösung unterstützen. Stellen Sie sich z. B. folgende Fragen: ? Welche Auswirkungen hat die Entscheidung auf die Qualität der Tests? ? Welche Auswirkungen hat die Entscheidung auf die Schulung des Teams und ? ? ?
?
den Support für den Entwurf? Wird das Labor auch anderen vorhandenen Projekten nützen? Können andere Projekte ihre Anstrengungen und Budgets zusammenführen, um ein Labor gemeinsam zu nutzen? Ist es für Sie möglich, das Labor stufenweise aufzubauen, indem Sie mit den unbedingt notwendigen Komponenten beginnen und sie dann nach Budgetlage ergänzen? Werden Hardwarehersteller einer besonderen Vereinbarung zustimmen? Ist es z. B. möglich, dass Hersteller die Ausrüstung zunächst leihweise bereitstellen, bevor sie gekauft wird, oder werden sie Ihnen die Ausrüstung überlassen, wenn sie im Gegenzug den Namen Ihrer Organisation für Marketingzwecke nutzen können?
Auswählen eines Laborstandorts Ihre Entscheidungen über das Labormodell und den Laborstandort hängen wahrscheinlich miteinander zusammen. Der Standort für ein permanentes Labor, das von einer Vielzahl von Gruppen genutzt werden soll, erfordert mehr Überlegungen als ein für kurze Zeit betriebenes Labor, das von wenigen Gruppen genutzt wird. Raum für zukünftige Erweiterungen ist z. B. ein wichtiger Gesichtspunkt, wenn Sie planen, das Labor langfristig zu nutzen. Damit Sie diese Entscheidungen treffen können, berücksichtigen Sie die folgenden Fragen: ? Welche Laboreinrichtungen sind bereits vorhanden? Wie geeignet sind sie? Wie ? ? ?
?
leicht können sie an die Testanforderungen angepasst werden? Können vorhandene Labore konsolidiert werden? Welchen Umfang besitzt die Implementierung, und wie komplex ist sie? Wie möchten Sie das Budget für das Labor aufteilen? Berücksichtigen Sie folgende Punkte: ? Aufwendungen für Einrichtungen und Arbeitsbereich (Raum, Heizung, Lüftung, Klimaanlage, Stromversorgung, Verkabelung, Patchfelder, Servergestelle und Arbeitsflächen). ? Hardware und Software. ? Support- und weiteres Laborpersonal. Muss das Labor mit dem Produktionsnetzwerk oder anderen Laboren verbunden werden? Wenn es mit dem Produktionsnetzwerk verbunden werden muss, wie werden Sie die Verbindung regulieren und Router konfigurieren, um das Produktionsnetzwerk zu schützen?
Kapitel 4 Erstellen eines Testlabors für Windows 2000
97
Weitere Informationen zum Verbinden des Labors mit dem Produktionsnetzwerk finden Sie unter „Simulieren der vorgeschlagenen Serverumgebung“ weiter unten in diesem Kapitel. Bei der Auswahl von Laborstandorten sind noch die folgenden zusätzlichen Gesichtspunkte zu berücksichtigen: Aktualisierung oder Neuaufbau Wenn Sie sich dazu entscheiden, ein vorhandenes Labor zu verwenden, können Sie unter Umständen mit kleineren Aktualisierungen die Voraussetzungen für das Testen von Windows 2000 schaffen. Sie sollten z. B. die Server im Hinblick auf Speicher, Festplattenkapazität, Prozessortyp und Prozessorgeschwindigkeit auf den Stand der Server bringen, die Sie einsetzen möchten. Erreichbarkeit Das Labor sollte für alle Gruppen zugänglich sein, die es verwenden. Wenn Sie ein Programm implementieren, in dem Personen, die nicht zum Projektteam gehören, hinzukommen, um ihre eigenen Anwendungen zu testen, sollte das Labor über Einrichtungen, z. B. Parkraum, für Besucher verfügen. Sicherheit Stellen Sie sicher, dass Sie das Labor physisch absichern können, um Ihre Ausrüstung vor unberechtigter Benutzung zu schützen. Räumlichkeiten Unabhängig davon, ob Sie ein neues Labor einrichten oder ein vorhandenes aktualisieren, sind Räumlichkeiten ein Hauptgesichtspunkt. Für die Ausführung von Windows 2000 selbst ist keine hochentwickelte, teure Ausrüstung erforderlich. Da es wichtig ist, die Produktionsumgebung so genau wie möglich zu simulieren, beeinflusst die Komplexität dieser Umgebung die Komplexität des Labors. Zu den Faktoren in der aktuellen und der vorgeschlagenen Produktionsumgebung, die die Komplexität und damit den Raumbedarf ihres Labors bestimmen, gehören u. a.: ? Anzahl und Kombination der Funktionen, die Sie implementieren möchten.
Planen Sie die Implementierung einer Domäne, die sich über mehrere Standorte erstreckt? Planen Sie die Implementierung eines virtuellen privaten Netzwerks (VPN)? ? Vielschichtigkeit der Produktionsumgebung. Verfügen Sie über oder planen Sie den Einsatz von Standardausrüstung, -anwendungen und -konfigurationen in Ihrer Produktionsumgebung, oder werden Sie zahlreiche Hersteller, Modelle, Versionen und Konfigurationen nutzen? ? Komplexität der Netzwerkkonfiguration. Verfügen Sie in Ihrem Produktionsnetzwerk über mehrere Topologietypen? Planen Sie Schnittstellen zwischen Windows 2000 Server- und Großrechner-, Macintosh- oder UNIX-Systemen?
98
Teil I
Planung
Zusätzlich zu den Faktoren in der Produktionsumgebung können sich auch einige Testsituationen auf die Komplexität des Labors auswirken. Sie möchten z. B. eventuell weitere Server einsetzen, um bestimmte Testarten zu isolieren (wie im weiteren Verlauf dieses Kapitels beschrieben). Der Platzbedarf wird auch durch die Anzahl der Personen bestimmt, die nach Ihren Überlegungen an den Tests teilnehmen werden. Berücksichtigen Sie, wie vielen Benutzern Sie gleichzeitig Platz bieten müssen. Umgebungsbedingungen Der Standort für das Labor sollte, z. B. im Hinblick auf Temperatur, Feuchtigkeit und Sauberkeit, geeignete Umgebungsbedingungen aufweisen. Diese Anforderungen ähneln denen Ihres Datacenters. Der Laborstandort muss außerdem Ihre Anforderungen an Stromversorgung, Verkabelung und Netzwerkverbindungen erfüllen. Anzahl der Standorte In manchen Fällen empfiehlt es sich, dass Sie Ihr Labor an mehreren, miteinander verbundenen Standorten einrichten, damit Sie die Auswirkungen von geographisch getrennten Netzwerksegmenten testen können. Wenn Sie z. B. die Implementierung des Microsoft® Active Directory™ -Verzeichnisdiensts mit mehreren Active Directory-Standorten planen, sollten Sie die Replikation über eine ähnliche WANoder Internetverbindung testen. Weitere Informationen zu Active Directory-Standorten und Replikation finden Sie unter „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation. In anderen Fällen empfiehlt es sich, mehrere unabhängige Labore für verschiedene Einsatzzwecke einzurichten. So könnten Sie ein eigenes Labor für Anwendungstests oder getrennte Labore für das Testen von Windows 2000 Server und Windows 2000 Professional einrichten.
Testen in einer verteilten Laborumgebung Eine Laborumgebung kann über zahlreiche physische oder sogar geographische Standorte verteilt sein. Die hier vorgestellten Fallstudien beschreiben, wie zwei Organisationen zu der Entscheidung gelangt sind, Labore auf diese Weise einzusetzen.
Fallstudie 1: Funktionelle Laborstandorte Ein großer Hochtechnologie-Hardwarehersteller ist nach funktionellen Gesichtspunkten organisiert. Seine regionalen Niederlassungen befinden sich an verschiedenen geographischen Standorten, die ausgewählt wurden, weil sie sich in der Nähe der Zulieferer und Lieferanten befinden, die die Funktion der jeweiligen Region unterstützen. Dieser Hersteller hat ein Labor entwickelt, das sich in drei seiner Hauptstandorte im Südwesten und Westen der USA befindet. Jeder Laborstandort wurde dafür konzipiert, die Funktionen und Konfigurationen zu testen, die für den Geschäftsbetrieb des jeweiligen Standorts eingesetzt werden. Bei jedem Labor handelt es sich um ein permanentes Labor, das für das Änderungsmanagement in der Produktionsumgebung eingesetzt wird.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
99
Zum Schluss plant die Organisation, das Labor auf internationale Standorte zu erweitern, z. B. Städte im Nahen und Fernen Osten, in Osteuropa und auf den Britischen Inseln. Die Organisation wird diese Remotestandorte dazu verwenden, Lösungen für die Herausforderungen eines globalen Unternehmens zu entwerfen und zu testen, z. B.: ? Konnektivität in stabilen Ländern ? Langsame Verbindungen ? Zeitweilig unstabile Verbindungen ? Mehrere Sprachen ? Mehrere Zeitzonen ? UnterschiedlicheWährungen ? Varianten bei Computer- und Netzwerkhardware
Fallstudie 2: Laborstandorte für Notfälle Für eine andere Organisation ist es wichtig, auf Notfälle vorbereitet zu sein. Diese Organisation möchte, dass ihre geographisch getrennten Standorte erforderlichenfalls in der Lage sind, die Rolle einer zentralisierten IT-Abteilung zu übernehmen. In dieser Organisation ist das Labor ein permanentes Änderungsmanagementlabor, das auch für Wiederherstellungstests eingesetzt wird. Bei einem Notfall würden Produktionssysteme am ausgewählten Standort eingesetzt, um auf ihnen die Aufgaben der IT-Abteilung auszuführen. Damit dies jederzeit möglich ist, führt die Organisation Tests im Labor durch, um zu gewährleisten, dass alle benötigten Hardware- und Softwarekomponenten am Alternativstandort verfügbar sind und ordnungsgemäß eingesetzt werden können. Diese Tests umfassen Folgendes: ? Laden von Anwendungen und Datenbanken ? Einstellen von Konfigurationen ? Ausführen von Anwendungen
Entwerfen des Labors Bevor Sie das Labor entwerfen, müssen Sie über einen allgemeinen Einrichtungsplan verfügen. Sie müssen z. B. den vorgeschlagenen Namespaceentwurf kennen. Darüber hinaus muss Ihnen die Domänenarchitektur bekannt sein, und Sie müssen wissen, wie Server für Dienste wie Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) und Windows Internet Name Service (WINS) konfiguriert werden. Damit gewährleistet ist, dass das Labor die Testanforderungen widerspiegelt, müssen die Projektuntergruppen Informationen über die von ihnen benötigte Hardware und Software und die benötigten Konfigurationen weitergeben. Wenn Sie die Entscheidung treffen, ein permanentes Labor einzurichten, das Sie nach der Einrichtung von Windows 2000 für das Änderungsmanagement verwenden können, sollte der Entwurf sowohl bezüglich des Raumbedarfs als auch bezüglich der Raumaufteilung flexibel genug sein, um zukünftige Entwicklungen aufzunehmen.
100
Teil I
Planung
Je mehr Planung in den Entwurf des Labors geht, desto genauer können die Tests die tatsächliche Implementierung abbilden.
Voraussetzungen für das Entwerfen des Labors Da das Labor die Umgebung simulieren soll, in der Sie Windows 2000 einrichten werden, benötigen Sie Informationen über die aktuelle und die vorgeschlagene Umgebung, bevor Sie das Labor entwerfen können. Microsoft® Systems Management Server (SMS) kann Sie dabei unterstützen, Informationen über Ihr aktuelles System zusammenzutragen. Weitere Informationen zur Verwendung von SMS zur Aufnahme des Systeminventars finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in dieser Dokumentation. Die Informationen über die vorgeschlagene Umgebung sollten in den Planungsdokumenten enthalten sein, die vom Projektteam erstellt werden. Zusätzlich zu einem allgemeinen Verständnis für die Windows 2000-Funktionen benötigen Sie folgende Informationen: ? Den aktuellen Netzwerkentwurf (logisch und real). ? Den vorgeschlagenen Windows 2000-Entwurf. ? Eine Liste der Funktionen, die ausgewertet und untersucht werden müssen. ? Eine Bestandsaufnahme der vorhandenen Hardware (Server, Clientcomputer
und tragbare Computer). ? Eine Liste der für den Einsatz von Windows 2000 vorgeschlagenen Hardware. Diese Liste wird im Verlauf der Testphase erweitert, Sie benötigen jedoch zu Beginn eine Liste für die Ausrüstung des Labors. ? Eine Liste der administrativen Tools (Windows 2000, von Drittanbietern und eigene). ? Eine Liste der Aktualisierungen, beispielsweise Service Packs, Treiber und BIOS, die Sie installieren müssen, um Windows 2000 einrichten zu können.
Entwürfe für Testszenarios Bemühen Sie sich bei Ihrem Entwurf darum, das Labor flexibel auszulegen. Versuchen Sie darüber hinaus, zumindest die folgenden zwei Kriterien zu erfüllen: ? Simulieren der vorgeschlagenen Umgebung – Entwurf für das, was Sie testen
werden. ? Aufnehmen des Testprozesses – Entwurf dafür, wie Sie testen werden. Sie gelangen zwar unter Umständen zu der Entscheidung, für das Testen der Server und der Clientcomputer ein Labor einzusetzen, in diesem Abschnitt werden aber die Überlegungen für den Entwurf des Labors getrennt dargestellt.
Simulieren der vorgeschlagenen Serverumgebung Planen Sie, aus der vorgeschlagenen logischen und realen Produktionsumgebung so viele Komponenten wie möglich zu testen; dies umfasst Computerhardware, Netzwerktopologie,WAN-Verbindungen, Domänenarchitektur, Dienste, Datenbanken, Geschäftsanwendungen, administrative Tools, das Sicherheitsmodell, die Methodik für die Anwendungseinrichtung und die Speichermethoden für Netzwerkserver.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
101
In diesem Abschnitt werden einige Überlegungen für den Entwurf eines Labors zum Testen von Windows 2000 Server vorgestellt. Die hier vorgebrachten Punkte gelten unter Umständen nicht für alle Implementierungen von Windows 2000 Server. Konzentrieren Sie sich auf die Überlegungen, die für Ihren Entwurf gelten.
Serverhardware und Treiber Verwenden Sie dieselben Hardwarekomponenten und Treiber, die Sie auf den Servern in der Produktionsumgebung einsetzen oder deren Einsatz Sie planen. Achten Sie auf jeden Fall darauf, dass Sie ein aktualisiertes BIOS erhalten, das mit Windows 2000 kompatibel ist.
Dienste und Konfigurationen Verwenden Sie dieselben Dienste und Konfigurationen, die Sie in der tatsächlichen Einrichtung einsetzen werden. Duplizieren Sie z. B. die DNS-, DHCP- und WINSKonfigurationen. Wenn Sie nicht den Einsatz der in Windows 2000 integrierten DNS- und DHCP-Dienste planen, nehmen Sie die Dienste von Drittanbietern auf, die Sie verwenden möchten.
Benutzerkonten Wenn Sie von Microsoft® Windows NT® 4.0 migrieren, richten Sie die Domänencontroller als Replikate der Domänencontroller in der Produktion ein, und verwenden Sie dazu Kopien der Benutzerkonten aus der Produktion. Mit dem Tool ClonePrincipal können Sie Benutzer aus der Produktion in Ihre Testdomäne kopieren. Weitere Informationen zu Strategien für die Migration von Benutzerkonten und die einzusetzenden Tools finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation. Sprechen Sie sich immer mit den für die IT-Sicherheit zuständigen Personen ab, wenn Sie Produktionsdaten auf Labordatenbanken kopieren.
Domänenstruktur Wenn Sie Active Directory implementieren, simulieren Sie die Domänenhierarchie. Nehmen Sie z. B., je nach den Erfordernissen, eine Gesamtstruktur mit mehreren Strukturen auf, eine Struktur mit über- und untergeordneten Domänen und transitive und einseitige Vertrauensstellungen. Bilden Sie Ihre zentralisierte oder dezentralisierte IT-Administration in der Organisationseinheit ab. Nehmen Sie, je nach Bedarf, Active Directory-Standorte auf.
Serverstrategie Nehmen Sie Datei- und Druckserver auf, Anwendungsserver, Webserver, Datenbankserver und anderweitig genutzte Dienstprogrammserver, die sich in der Produktionsumgebung befinden oder befinden werden. Wenn Sie den Einsatz von SMS für die Einrichtung von Windows 2000 Server planen, nehmen Sie es in das Labor auf.
Gemischte Umgebungen Damit sowohl die gemischte Umgebung während eines in Phasen ablaufenden Rollouts als auch die Windows 2000-Umgebung nach Abschluss des Rollouts berücksichtigt wird, planen Sie folgende Domänentypen ein: ? Nativer Modus ? Gemischter Modus
102
Teil I
Planung ? Aktuelles Produktionsbetriebssystem
Durch die Simulation des Übergangsstatus können Sie funktionelle Probleme ermitteln, die während der in Phasen ablaufenden Implementierung unter Umständen auftreten. Die Server, auf denen andere Betriebssysteme als Windows 2000 Server ausgeführt werden, sollten die Dienste in der aktuellen Produktionsumgebung widerspiegeln.
Clientcomputerkonfiguration Verwenden Sie dieselbe Kombination von Clientcomputern wie in der Produktionsumgebung. Wenn Sie planen, zunächst Windows 2000 Server und später Windows 2000 Professional einzurichten, nehmen Sie das Clientbetriebssystem auf, das Sie verwenden werden, bis Windows 2000 Professional eingerichtet ist. Planen Sie, zunächst Windows 2000 Professional einzurichten, testen Sie, wie die erweiterte Serverfunktionalität bei der Einrichtung der Infrastruktur in Ihre Umgebung eingeführt wird. Wenn Sie ein in Phasen ablaufendes Rollout planen, nehmen Sie dieselbe Kombination auf, die während des Rollouts eingesetzt wird. Setzen Sie z. B. Clientcomputer mit Microsoft® Windows® 95 und Clientcomputer mit Windows 2000 Professional ein.
Netzwerktopologie und Protokolle Bilden Sie so genau wie möglich die in der Produktionsumgebung verwendete Netzwerktopologie und die eingesetzten Protokolle ab. Wenn z. B. in Ihrem Produktionsnetzwerk sowohl Ethernet als auch Token Ring verwendet werden, sollten beide in das Labor aufgenommen werden.
WAN-Verbindungen Wenn Sie mit einem WAN arbeiten, sollte das Labor mit Routern zum Testen der Netzwerklatenz ausgestattet sein. Wenn Sie über die Einrichtungen und das Budget verfügen, sollten Sie ein zweites Labor an einem Remotestandort einrichten, um die Netzwerklatenz über die WAN-Verbindung zu testen. Testen Sie z. B. Domänencontroller und die Replikation mit dem globalen Katalog über die Verbindung. Wenn Sie in einer multinationalen Organisation arbeiten, ist es empfehlenswert, das zweite Labor in einer anderen Region der Welt einzurichten, um reale Verzögerungsprobleme zu testen. Wenn Sie nicht über einen Standort für ein zweites Labor verfügen, an dem Sie die WAN-Verbindung testen können, haben Sie die Möglichkeit, zwei Router im selben Labor miteinander zu verbinden und die Verbindung mit einem Verbindungssimulator zu testen.
Remotekonnektivität Stellen Sie dieselben Arten von Remotekonnektivität, z. B. Routing und Remote Access Service und VPN zur Verfügung, damit Sie die Möglichkeit haben, das PPTP-Protokoll (Point-to-Point Tunneling Protocol), IPSec (Internet Protocol Security), das L2TP-Protokoll (Layer 2 Tunneling Protocol) und das Routing für Wählen bei Bedarf zu testen.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
103
Peripheriegeräte Nehmen Sie eine repräsentative Auswahl der Typen von Peripheriegeräten auf, die in der Produktionsumgebung eingesetzt werden. Nehmen Sie z. B. dieselben Drucker- und Scannertypen mit den dazugehörigen Treibern auf.
Interoperabilität Wenn Sie planen, Windows 2000 Server für den Betrieb mit Netzwerken oder Computern mit anderen Betriebssystemen zu implementieren, ahmen Sie die Infrastruktur für die Interoperabilität nach. Bauen Sie z. B. Verbindungen zu Großrechnerhosts, UNIX-Systemen oder anderen Netzwerkbetriebssystemen auf. Damit die Laborkonfiguration und die Testreihe überschaubar bleiben, entscheiden Sie, welche Interoperabilitätsszenarios für Ihre Organisation am wichtigsten sind, und konzentrieren Sie sich auf diese.
Administrative Tools Nehmen Sie die Tools (Windows 2000, von Drittanbietern oder eigene) auf, die Sie derzeit für serverbasierte administrative Tasks verwenden oder deren Einsatz Sie planen. Sie müssen testen, ob die Tools mit der neuen Umgebung kompatibel sind und effektiv eingesetzt werden können.
Fehlertoleranztechniken Testen Sie alle Fehlertoleranztechniken, die Sie in der Produktionsumgebung einsetzen möchten. Wenn Sie z. B. den Einsatz von Clustering planen, nehmen Sie einen Clusterserver in das Labor auf.
Terminaldienste Wenn Sie die Implementierung von Terminaldiensten planen, installieren Sie die entsprechende Kombination von Anwendungen auf dem Server. Sie müssen verstehen, welche Auswirkungen die Ausführung von Anwendungen in einer Mehrbenutzerumgebung hat. Unter Umständen müssen Sie für einige Anwendungen die Standardbetriebsumgebung ändern, um die gewünschte Funktionalität zu erhalten. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in dieser Dokumentation. Anmerkung Wenn Sie Bedenken haben, dass einige Ihrer wichtigen Anwendungen unter Umständen nicht mit Windows 2000 Professional kompatibel sind, ziehen Sie die Installation der Terminaldienste in Betracht. Sie können die Terminaldienste auf einem Windows NT 4.0-Server einrichten und die Windows 2000-Clientcomputer so einrichten, dass die Clients die problematischen Anwendungen auf diesem Server nutzen. Ziehen Sie diesen Ansatz aber nur als Alternativplan in Betracht, um in letzter Minute auftretende Verzögerungen im Zeitplan zu vermeiden.
Produktionsnetzwerkkonnektivität Isolieren Sie das Testlabor vom Unternehmensnetzwerk. Wenn Sie eine Verbindung vom Labor zum Unternehmensnetzwerk aufbauen müssen, planen Sie Möglichkeiten ein, diese Verbindung zu regulieren und zu steuern, und entwickeln Sie eine Möglichkeit, die Verbindung schnell zu beenden.
104
Teil I
Planung
Entwerfen Sie Routerkonfigurationen zum Schutz des Produktionsnetzwerks. Ziehen Sie z. B. die Verwendung eines mehrfach vernetzten Routers mit zwei Netzwerkadaptern in Betracht, um für bestimmte, kontrollierte Einsatzzwecke eine Verbindung zwischen dem Labor und dem Produktionsnetzwerk aufzubauen. Konfigurieren Sie den Router so, dass vom Produktionsnetzwerk der Zugriff auf das Testnetzwerk möglich ist, vom Testnetzwerk aber nicht auf das Produktionsnetzwerk zugegriffen werden kann. Mit diesem Ansatz wird die Produktionsumgebung vor den Abläufen im Labor geschützt, Benutzer in der Produktion können aber auf Ressourcen im Labor zugreifen. Sie können z. B. mit diesem Ansatz arbeiten, um Anmeldeskripts auf einem Laborserver mit einer kleinen Zahl von Benutzern zu testen, bevor Sie die Skripts in ein Pilotprojekt in der Produktionsumgebung verschieben.
Simulieren der vorgeschlagenen Clientcomputerumgebung Entwerfen Sie das Clientcomputerlabor so, dass Sie dieselben Funktionen testen können, die in der Produktionsumgebung verwendet werden. Nehmen Sie dieselben Hardware-, Anwendungs- und Netzwerkkonfigurationstypen auf. In diesem Abschnitt werden einige Überlegungen für den Entwurf eines Labors zum Testen von Windows 2000 Professional behandelt. Die hier vorgebrachten Punkte gelten unter Umständen nicht für alle Implementierungen von Windows 2000 Professional. Konzentrieren Sie sich auf die Überlegungen, die für Ihren Entwurf gelten.
Clientcomputerhardware Nehmen Sie pro Hersteller und Modell mindestens einen Clientcomputer auf, auf dem Windows 2000 in der Produktionsumgebung ausgeführt werden soll. Wenn in Ihrer Organisation Laptops, Dockingstationen oder Portreplikatoren eingesetzt werden, nehmen Sie unbedingt auch diese Hersteller und Modelle auf. Achten Sie auf jeden Fall darauf, dass Sie ein aktualisiertes BIOS erhalten, das mit Windows 2000 kompatibel ist. Es empfiehlt sich, im Rahmen des Einrichtungsprojekts eine Standardhardwarekonfiguration für Windows 2000 Professional zu entwickeln. Die im Labor durchgeführten Tests können Sie dabei unterstützen, eine Standardkonfiguration zu definieren und weiter zu verbessern. Überprüfen Sie bei der Definition der Hardwarekonfigurationen, ob die Komponenten mit Windows 2000 kompatibel sind. Sie müssen z. B. unter Umständen die Kompatibilität der folgenden Komponenten überprüfen: ? USB-Adapter ? CD- und DVD-Laufwerke ? Audioadapter ? Netzwerkadapter ? Videoadapter ? SCSI-Adapter ? Massenspeichercontroller ? Wechselmedien ? Zeigegeräte (Mäuse, Trackballs, Tabletts) ? Tastaturen
Kapitel 4 Erstellen eines Testlabors für Windows 2000
105
Um die Kompatibilität zu ermitteln, schlagen Sie die Komponenten in der Hardwarekompatibilitätsliste (Hardware Compatibility List, HCL) von Microsoft nach. Sie finden dieses Liste unter http://www.microsoft.com, wenn Sie eine Suche mit dem Schlüsselwort „HCL“ durchführen. Die HCL enthält die gesamte von Microsoft unterstützte Hardware. Wenn Ihre Hardware sich nicht in der Liste befindet, wenden Sie sich an den Hersteller, um herauszufinden, ob ein Treiber zur Verfügung steht. Wenn Ihre Komponenten mit 16-Bit-Treibern arbeiten, müssen Sie 32-Bit-Treiber besorgen. Sie können zur Überprüfung der Hardwarekompatibilität auch Windows 2000 Professional Setup verwenden. Führen Sie Setup im Modus „Nur auf Aktualisierung prüfen“ aus, um Protokolldateien zu erhalten, in denen inkompatible Hardware und Software sowie Gerätetreiber angegeben sind, die aktualisiert werden müssen. Das Befehlszeilenformat für den Modus „Nur auf Aktualisierung prüfen“ lautet wie folgt: winnt32 /checkupgradeonly
Auf Computern mit Windows 9x trägt die Protokolldatei den Namen Upgrade.txt und befindet sich im Windows-Installationsordner. Auf Systemen mit Windows NT heißt die Protokolldatei Winnt32.log und befindet sich im Installationsordner. Wenn im Lieferumfang von Windows 2000 keine aktualisierten Gerätetreiber für Ihre Geräte enthalten sind, wenden Sie sich an den Hersteller, um einen aktualisierten Treiber zu erhalten. Nachdem Sie sich für eine Standardhardwarekonfiguration entschieden haben, inventarisieren Sie die Computer in der Produktionsumgebung, um zu ermitteln, welche Computer vor der Einrichtung von Windows 2000 aktualisiert werden müssen. Informationen zur Verwendung von SMS zur Inventarisierung finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in diesem Buch. Weitere Informationen zur Entwicklung von Clientcomputerstandards finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
Netzwerkverbindung Stellen Sie Verbindungen zu denselben Netzwerktypen her, die in der Produktionsumgebung eingesetzt werden, z. B. LAN, WAN oder Internet. Wenn Sie planen, Routing, Remotezugriff oder einen Proxynetzwerkdienst in der Produktionsumgebung einzusetzen, nehmen Sie diese Verbindungstypen in das Labor auf.
Serverbasierte Dienste Konfigurieren Sie Server für die in der Produktionsumgebung eingesetzten Dienste. Nehmen Sie z. B. folgende Dienste auf: ? DNS, WINS und DHCP ? Verzeichnisdienste (z. B. X.500 und NetWare) ? Dateifreigabe
106
Teil I
Planung ? Drucken im Netzwerk ? Serverbasierte Unternehmensanwendungen, sowohl zentralisiert als auch
dezentralisiert ? IntelliMirror Vergessen Sie nicht, z. B. folgende administrative Dienste vorzubereiten: ? Remoteinstallation des Betriebssystems ? Serverbasierte Anwendungseinrichtung ? Tools für die Verwaltung von Clientcomputern (z. B. SMS)
Domänenauthentifizierung Wenn Ihre Organisation Domänenauthentifizierung einsetzt oder den Einsatz plant, simulieren Sie die Authentifizierungskonfiguration im Labor. Wenn Sie von Windows NT 4.0 in Windows 2000 Server migrieren, planen Sie die Authentifizierung in der gemischten Umgebung ein, die während des in Phasen ablaufenden Rollouts auftreten wird.
Netzwerkverwaltungsdienste Nehmen Sie die in der Umgebung verwendeten Netzwerkdienste auf, z. B. SNMP (Simple Network Management Protocol).
Netzwerkprotokolle Verwenden Sie die Protokolle, die Sie in der Produktionsumgebung einsetzen möchten. Überprüfen Sie die von Ihnen verwendeten Protokolle auf Clientcomputern, bevor Sie sie in das Produktionsnetzwerk einbinden.
Anwendungen Sie benötigen Lizenzen für als auch Zugriff auf die Software für alle eigenständigen und serverbasierten Anwendungen, die auf Windows 2000 ProfessionalClientcomputern unterstützt werden sollen. Weitere Informationen zum Testen von Anwendungen in einem Labor finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch
Peripheriegeräte Nehmen Sie eine repräsentative Auswahl der Typen von Peripheriegeräten, z. B. Drucker und Scanner, auf, die in der Produktionsumgebung eingesetzt werden.
Serverplattform-Interoperabilität Simulieren Sie die Serverplattformen, auf die Windows 2000 Professional-Clientcomputer zugreifen sollen. Wenn Sie ein separates Serverlabor haben, ziehen Sie in Betracht, das Clientcomputerlabor mit diesem Labor zu verbinden, anstatt Server im Clientcomputerlabor zu installieren. Sie müssen unter Umständen Verbindungen zu den folgenden Systemen aufbauen: ? Windows 2000 Server ? Windows NT ? Großrechner, die die 3270-Emulation unterstützen ? UNIX
Kapitel 4 Erstellen eines Testlabors für Windows 2000
107
? Andere Netzwerkbetriebssysteme
Wenn Sie planen, Windows 2000 Professional gleichzeitig mit Windows 2000 Server einzurichten, nehmen Sie jeden Servertyp auf, auf den ein Clientcomputer während der Einrichtungsperiode zugreifen kann – sofern diese Tests nicht vom Windows 2000 Server-Team durchgeführt werden sollen.
Desktopkonfigurationen Im Rahmen Ihres Windows 2000 Professional-Projekts gelangt Ihre Organisation unter Umständen zu der Entscheidung, Clientstandardkonfigurationen und die für ihre Verwaltung eingesetzten Gruppenrichtlinien zu bewerten. Aus Labortests können Informationen gewonnen werden, um dem Management bestimmte Konfigurationen und Gruppenrichtlinienobjekte zu empfehlen. Wenn Sie entscheiden, diese Art von bewertenden Tests durchzuführen, vergleichen Sie parallel unterschiedliche Konfigurationen und Gruppenrichtlinieneinstellungen. Planen Sie genügend Computer derselben Marke und desselben Modells ein, um die parallelen Bewertungen durchführen zu können. Bewerten Sie Clientkonfigurationen auf der Grundlage von Leistung, Benutzerfreundlichkeit, Stabilität, Hardware- und Softwarekompatibilität, Funktionalität und Sicherheitsmodell. Überprüfen Sie bei der Bewertung der Gruppenrichtlinienobjekte, ob sie zu den gewünschten Ergebnissen führen, besonders wenn für eine Konfiguration mehrere gelten, und ob die resultierende Anmeldezeit akzeptabel ist.
Leistung Nutzen Sie das Labor, um mit der Bewertung der Auswirkungen auf den Netzwerkverkehr zu beginnen. Testen Sie hierzu Änderungen in grundlegenden Verkehrsverläufen ohne Benutzeraktivität. Weiter Informationen zu Leistungskonzepten und Überwachungstools finden Sie unter „Überblick über die Leistungsüberwachung“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Betrieb.
Produktionsnetzwerkkonnektivität Das Clientcomputerlabor muss wie das Serverlabor vom Unternehmensnetzwerk isoliert werden. Wenn Sie eine Verbindung zwischen dem Labor und dem Unternehmensnetzwerk aufbauen müssen, planen Sie, auf welche Weise Sie Router zur Trennung der beiden Netzwerke einsetzen.
Koordinieren von Testprozessen Da einige Tests die Laborumgebung verändern, können sie ungewollt andere Tests beeinflussen. Achten Sie darauf, diese Art von Tests zu isolieren, sie zu koordinieren und zu verwalten. So ändern z. B. Tests zu Serveraktualisierungen den Status der Server. Befassen Sie sich im Labordomänenentwurf mit Szenarios dieser Art. Mit anderen Szenarios müssen Sie sich unter Umständen in den Verfahren für die Laborverwaltung befassen. So wirken sich z. B. Schemarevisionen auf die Gesamtstruktur aus. Planen Sie daher für diese Art von Tests Zeiten ein, und informieren Sie andere Laborbenutzer darüber. Vergessen Sie nicht, dass das Labor häufig geändert werden muss, damit es die jeweils aktuellen Testschwerpunkte widerspiegelt. Erstellen Sie Sicherungen von Grundkonfigurationen, damit das Testpersonal einen Computer schnell wieder auf seinen vorherigen Status zurücksetzen kann. Testen Sie auf jeden Fall den Wieder-
108
Teil I
Planung
herstellungsprozess. Dokumentieren Sie die Sicherungsdateien, und lagern Sie sie an einem sicheren, zugänglichen Ort.
Entwerfen von Testdomänen Bieten Sie mit Ihrem Entwurf für die Labordomänenstruktur ein konsistentes Setup und eine konsistente Konfiguration, damit das Testpersonal sich auf eine Infrastruktur mit bekanntem Status verlassen kann. Planen Sie z. B. eine einzelne Domäne für Migrationstests und Tests im gemischten Modus ein. Dabei sollte die Domäne sich immer im Status für den gemischten Modus befinden. Die Ausnahme bilden eingeplante Zeiträume, in denen sie zum Testen des Migrationsprozesses auf den vorherigen Status zurückgesetzt wird. Auf diese Weise wissen Laborbenutzer immer, was sie zu erwarten haben. Zusammenzufassend: Entwerfen Sie die Labordomänenhierarchie so, dass Tests in eigene Domänen aufgeteilt werden. Beispiele für die Arten von Tests, für die unter Umständen getrennte Domänen benötigt werden, sind: ? DNS ? Nativer Modus ? Gemischter Modus ? Migrationsprozess ? Replikat der Produktionsdaten
Fallstudie für das Entwerfen von Testdomänen Ein großes Fertigungsunternehmen hat sein Labor mit dem Ziel entworfen, darin spezifische Tests durchzuführen. In Abbildung 4.4 ist die logische Struktur der Domänen des Labors dargestellt. Das Unternehmen hat eine Stammdomäne mit vier untergeordneten Domänen angelegt. Die Domänenstruktur hat es dem Projektteam ermöglicht, für jede der folgenden Testarten eine eigene Domäne zu verwenden: ? Windows 2000 Server-Funktionen in einer Domäne im nativen Modus,
einschließlich Drucken. ? Virtuelle private Netzwerke. ? Interoperabilität im gemischten Modus und Migrationsprozess. ? Microsoft® Exchange Server-Integration mit Windows 2000. In einer isolierten Domäne hatte das Team die Möglichkeit, DNS zu testen, ohne andere Tests zu beeinflussen.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
109
Abbildung 4.4 Beispiel für das Entwerfen von logischen Domänen im Testlabor
Dokumentieren der Laborkonfiguration Dokumentieren Sie den Laborentwurf sowohl in einer Beschreibung als auch in einem Diagramm. Bringen Sie das Diagramm im Labor an, damit leicht auf Informationen zum Labor zugegriffen werden kann und Laborbenutzer aktuell über Änderungen im Entwurf informiert werden. Das Testpersonal kann die Laborbeschreibung und das Diagramm beim Entwerfen von Testfällen verwenden, um sicherzustellen, dass der Testplan alles abdeckt und Tests reproduziert werden können.
Beschreibung des Labors Nehmen Sie in die Laborbeschreibung folgende Informationen auf: ? Domänenstruktur. Hierzu gehören: ? Gesamtstruktur und Strukturhierarchie. ? Gruppenrichtlinienobjekte(die Einstellungen und deren Anwendung). ? Zweck der jeweiligen Domäne. ? Methode zum Laden von Benutzerkontodaten. ? Vertrauensstellungen (transitiv und explizit). ? Domänencontroller. Hierzu gehören: ? Primäre Domänencontroller (PDC) und Reservedomänencontroller (BDC),
wenn Sie von Windows NT 4.0 migrieren. ? Server, die als Domänencontroller fungieren sollen, wenn Sie von einem
anderen Betriebssystem migrieren. ? Mitgliedsserver, einschließlich der Dienste, die darauf ausgeführt werden sollen.
110
Teil I
Planung ? Clientcomputer. Hierzu gehören: ? Marke und Modell des Computers. ? Speichervolumen. ? Typ und Geschwindigkeit des Prozessors. ? Festplattenkapazität. ? Grafikkarten (Typ, Auflösung und Farbtiefe). ? Verwendung des Laborentwurfs für bestimmte Tests. Hierzu gehören: ? Tests im gemischten und im nativen Modus. ? DFÜ-Tests und weitere Remotetests. ? Interoperabilitätstests (UNIX, Großrechner und andere Systeme). ? Replikations- und Active Directory-Standorttests. ? Testen der WAN-Verbindungen.
Labordiagramme Nehmen Sie in das Labordiagramm sowohl die logische als auch die physische Struktur des Labors auf. Je nach Komplexität des Labornetzwerks können die logische und die physische Ansicht in einem Diagramm zusammengefasst werden.
Logisches Diagramm Nehmen Sie folgende Informationen in das logische Diagramm auf: ? Domänenhierarchie, einschließlich Gesamtstrukturen und Strukturen. ? Domänennamen. ? Active Directory-Standorte. ? Server für besondere Dienste (Domänencontroller, globaler Katalog, DNS,
DHCP und WINS) mit folgenden Informationen: ? Computername ? IP-Adresse ? Serverfunktion ? Transitive Vertrauensstellungen. ? Explizite einseitige Vertrauensstellungen. Abbildung 4.5 ist ein Beispiel für ein logisches Diagramm. Dieses Labor besitzt eine Struktur, die aus einer Stammdomäne und drei untergeordneten Domänen besteht. Pfeile mit zwei Spitzen geben transitive Vertrauensstellungen zwischen den Windows 2000-Domänen an. Die Windows NT 4.0-Domäne hat explizite einseitige Vertrauensstellungen mit der Windows 2000-Struktur. Dieses Labor besitzt keine Active Directory-Standorte. In dieser Testphase enthält das Labor Domänencontroller, von denen einige auch DNS-Server sind, die das Protokoll für die dynamische Aktualisierung unterstützen, weiterhin DHCP-Server und einen Server für den globalen Katalog.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
Abbildung 4.5 Beispiel für das logische Diagramm eines Testlabors
Physisches Diagramm Nehmen Sie folgende Informationen in das physische Diagramm auf: ? Netzwerkkomponenten. Hierzu gehören: ? Router und Brücken. ? Hubs. ? Verbindungssimulatoren. ? Proxyserver. ? Sniffer und Verkehrserzeuger. ? Analoge Verbindungen und ISDN-Verbindungen. ? LAN-, WAN- und Internetverbindungen und Geschwindigkeiten. ? Server. Hierzu gehören: ? Domänenname. ? Computername. ? IP-Adresse. ? Serverfunktion. ? Clientcomputer. Hierzu gehören: ? Computername. ? IP-Adresse, wenn die statische Adressierung eingesetzt wird.
111
112
Teil I
Planung
Abbildung 4.6 ist ein Beispiel für ein physisches Diagramm. Dieses physische Diagramm ist für dasselbe Labor wie das logische Diagramm in Abbildung 4.5. In diesem Diagramm sehen Sie die drei Subnetze für die drei untergeordneten Domänen. Jedes Subnetz besitzt sowohl einen Windows 2000 ProfessionalClientcomputer als auch einen anderen Clientcomputertyp. Das Labor benutzt simulierte Frame Relay-Verbindungen und besitzt einen UNIX-Server.
Abbildung 4.6. Beispiel für das physische Diagramm eines Testlabors
Kapitel 4 Erstellen eines Testlabors für Windows 2000
113
Erstellen des Labors Nachdem Sie das Labor entworfen und dokumentiert haben, veranlassen Sie, dass die Projektuntergruppen den Plan überprüfen, um zu gewährleisten, dass alle Erfordernisse abgedeckt wurden. Wenn der Laborplan genehmigt wurde, können Sie mit Kauf und Installation von Hardware und Software beginnen. Wenn Sie planen, das Labor bei geänderten Testschwerpunkten in regelmäßigen Abständen neu aufzubauen, ziehen Sie für die Verwaltung der Änderungen im Labor Tools oder Produkte wie z. B. SMS in Betracht. Sie sollten auch überlegen, ob Sie die Funktion für die Remoteinstallation des Betriebssystems einsetzen, damit Sie mit ihr schnell Änderungen an den Clientcomputerkonfigurationen im Labor vornehmen können. Weitere Informationen zum Verwenden der Remoteinstallation des Betriebssystems zum Automatisieren der Clientcomputerinstallationen erhalten Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ in dieser Dokumentation. Active Directory Service Interfaces (ADSI) und Windows Scripting Host können Sie dabei unterstützen, Benutzer, Gruppen und Organisationseinheiten in der Laborumgebung schnell zu erstellen, zu löschen oder zu ändern. Dokumentieren Sie beim Erstellen oder erneuten Aufbau des Labors jede von Ihnen an Servern und Clientcomputern vorgenommene Änderung in chronologischer Reihenfolge. Diese Aufzeichnungen können Ihnen helfen, Probleme zu lösen sowie zu verstehen, warum sich ein bestimmter Computer im Laufe der Zeit in der gezeigten Weise verhält. Sie unterstützen Sie auch dabei, die zuletzt vorgenommenen Änderungen rückgängig zu machen, um ein kurzfristiges Problem zu lösen. Das Erstellen des Labors umfasst folgende Schritte: ? Kauf von Hardware und Software, einschließlich der administrativen Tools.
Sie können die Ausrüstung entweder kaufen oder von anderen Einsatzorten übernehmen. Welches Vorgehen Sie wählen, hängt von Ihrem Budget und dem von Ihnen gewählten Labormodell ab. Es ist in beiden Fällen wichtig, Ausrüstung zu erhalten, mit der Sie Ihre Einrichtung ausreichend testen können und die Ihre Produktionsausrüstung widerspiegelt. Stellen Sie sicher, dass die von Ihnen eingesetzte Hardware sich in der Hardwarekompatibilitätsliste von Microsoft befindet. Sie können sich auch an die Hersteller wenden, um herauszufinden, ob die Produkte auf Windows 2000 vorbereitet sind. Stellen Sie sicher, dass die Hersteller mit Ihrer Hardware aktiv Windows 2000 unterstützen. Verwenden Sie dieselben Modelle von denselben Herstellern, die Sie auch bei der Hardware und Software in der Produktionsumgebung einsetzen werden. Diese Richtlinie gilt für: ? Hubs, Switches, Router und Brücken ? Netzwerkadapter ? Servercomputerhardware und -betriebssysteme ? Clientcomputerhardware und -betriebssysteme
114
Teil I
Planung ? Installieren und konfigurieren Sie Netzwerkkomponenten. Beschriften Sie alle
Netzwerkkabel. ? Testen Sie alle Netzwerkverbindungen.
?
?
?
?
? ?
Wenn Sie das Netzwerk vor der Installation der Server testen, können Sie Probleme leichter eingrenzen und lösen. Installieren und konfigurieren Sie alle Server. Wenn Sie Server von anderen Einsatzorten übernehmen, müssen Sie sie unter Umständen aktualisieren, um sie mit Windows 2000 Server einsetzen zu können. Verwenden Sie denselben Speicher, dieselbe Plattenkapazität und dieselbeCPU-Geschwindigkeit, die Sie für die Einrichtung planen. Führen Sie unbedingt eine Virenprüfung durch, und defragmentieren Sie die Festplatten. Installieren Sie das entsprechende Betriebssystem, entweder Windows 2000 Server oder das Betriebssystem, dessen Aktualisierung Sie planen. Partitionieren Sie die Festplatten genau so, wie Sie es für die Einrichtung geplant haben. Wenn Sie die Domänencontroller aktualisieren, führen Sie vor der Aktualisierung Sicherungen für die Server durch. Testen Sie die Sicherungen, und lagern Sie sie an einem sicheren Ort. Durch das Erstellen zuverlässiger Sicherungen vermeiden Sie Störungen in der Produktionsumgebung, wenn der Aktualisierungsprozess sich ändert oder nicht erfolgreich verläuft, oder Sie den ursprünglichen Stand wiederherstellen müssen. Wenn Sie neue Ausrüstung kaufen, führen Sie einen zwei- oder dreitägigen Probelauf mit den Komponenten durch, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Installieren Sie Anwendungssoftware, wenn Sie bereit sind, sie in die Tests einzubeziehen. Installieren Sie alle serverbasierten Anwendungen, z. B. Microsoft® BackOffice®- und Geschäftsanwendungen, die sich in der Produktionsumgebung befinden. Erstellen oder laden Sie Kopien der dazugehörigen Datenbanken. Installieren Sie die administrativen Tools, die Sie einsetzen oder deren Einsatz Sie planen. Installieren Sie Tools für Tests und Administration. Wenn Sie planen, den Netzwerkverkehr zu überprüfen oder die Leistung zu testen, sollten Sie einen Hardware- oder einen Softwaresniffer aufnehmen. Wenn Sie Terminaldienste implementieren, installieren Sie eine repräsentative Gruppe von Anwendungen, damit Sie den gleichzeitigen Zugriff durch mehrere Benutzer testen können. Installieren und konfigurieren Sie alle Clientcomputer. Wenn Sie planen, Sicherungen für die Wiederherstellung von Grundkonfigurationen zu erstellen, richten Sie die Grundkonfigurationen ein, und erstellen Sie die Sicherungen. Wenn Sie z. B. anstatt einer Neuinstallation die Aktualisierung von Windows 95 auf Windows 2000 Professional planen, sichern Sie einen Windows 95Clientcomputer, auf dem sich Ihre Standardanwendungen befinden. Die Grundkonfigurationen sollten alle Service Packs umfassen, die in Ihrer Umgebung unterstützt werden. Testen und dokumentieren Sie auf jeden Fall den Wiederherstellungsprozess.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
115
? Testen Sie die einzelnen Komponenten im Labor, um Probleme zu isolieren, die
nicht mit Windows 2000 Server und der Einrichtung zusammenhängen. Wenn Sie mit dem Testen beginnen, möchten Sie nicht Probleme mit dem Labor beheben, sondern Ihre Zeit für das Debugging von Einrichtungsproblemen einsetzen. ? Wenn Sie eine Verbindung zum Produktionsnetzwerk herstellen müssen, konfigurieren und testen Sie Router, um das Labor von der Produktion zu isolieren.
Verwalten des Labors Wenn Ihr Labor ein permanentes Labor sein soll oder von zahlreichen Gruppen verwendet wird, müssen Sie unter Umständen eine Person für die Verwaltung benennen. Dies ist insbesondere dann der Fall, wenn das Labor während des Änderungsmanagementprozesses von mehreren Gruppen genutzt werden soll. Für kleinere Labore oder Labore, die von einem einzelnen Team genutzt werden, ist es eventuell nicht nötig, eine Person für die Verwaltung zu benennen. Auch wenn Sie nicht entscheiden, eine Person zu benennen, die ausschließlich für die Verwaltung zuständig ist, wählen Sie eine Person aus, die für das Labor verantwortlich ist. Richten Sie unabhängig von Ihrer Entscheidung über die Laborverwaltung ein Kommunikationssystem ein, das sich gut dafür eignet, Informationen über die Verfügbarkeit und den Status des Labors zu verbreiten. Laborbenutzer müssen wissen, wann sie ihre eigenen Tests durchführen können, ob ihre Tests andere Tests unterbrechen und welchen Status das Labor besitzt. Wenn z. B. eine Domäne im Labor zum Testen des Migrationsprozesses und zum Testen der Funktionen im gemischten Modus verwendet wird, müssen Laborbenutzer wissen, ob die Computer aktualisiert werden können oder bereits aktualisiert wurden. Wenn Sie sich dafür entscheiden, eine Person mit der Laborverwaltung zu beauftragen, wägen Sie im Hinblick auf die entstehenden Nachteile und Kosten ab, ob eine Person ausschließlich für die Laborverwaltung zuständig sein soll, oder ob Sie ein Mitglied des Projektteams mit dieser Rolle betrauen. Welche Entscheidung Sie treffen, hängt von Größe und Komplexität des Labors ab. Die zusätzlichen Pflichten in der Laborverwaltung neben den anderen Verpflichtungen im Projekt führen unter Umständen zu einer übermäßigen Belastung.
Verpflichtungen der Laborverwaltung Die mit der Laborverwaltung betraute Person ist für folgende Arten von Aufgaben verantwortlich: ? Hardware und Software beschaffen. ? Netzwerkzugänge und Serverkapazität und -konfigurationen verwalten. ? Hardware- und Softwarekonfigurationen und -aktualisierungen verwalten. ? Tests der Untergruppen koordinieren (Wer testet wann was?).
Wenn für Tests die Konfiguration von Servern oder Clientcomputern geändert werden muss, müssen diese Änderungen zeitlich geplant und anderen Laborbenutzern mitgeteilt werden.
116
Teil I
Planung ? Änderungssteuerungsprozess entwickeln und überwachen.
? ?
? ? ? ? ? ? ? ?
Im Änderungssteuerungsprozess wird festgelegt, wer zu Änderungen in der Laborumgebung berechtigt ist. Labordokumentation führen (z. B. Laborbeschreibungen, Diagramme und Prozesse). Physische Sicherheit herstellen. Die mit der Laborverwaltung betraute Person ergreift Maßnahmen, um die unbefugte Nutzung von Laborausrüstung zu vermeiden, und verwaltet den Zugang zum Labor mit Schlüsseln oder elektronischen Schlössern. Inventarkontrollsystem einrichten. Laborbudget für Supportkosten aufstellen. Hardware beschriften (einschließlich Verkabelung). Probleme mit der Umgebung lösen. Präventives Wartungsprogramm für die Ausrüstung implementieren. Genehmigungsprozess für die Entnahme von Ausrüstungsgegenständen einrichten (z. B. Ausleihen). Regelmäßige Serversicherungen erstellen. Sauberkeit und Ordnung im Labor sicherstellen.
Letzten Endes ist die mit der Verwaltung des Labors betraute Person dafür verantwortlich, das Labor so einsatzfähig und flexibel wie möglich zu machen. Alle Prozesse, die zur Erfüllung dieser Aufgaben entworfen werden, sollen die Nutzung des Labors erleichtern, nicht behindern.
Entwickeln von Laborrichtlinien Es empfiehlt sich, Richtlinien dafür zu entwickeln und zu implementieren, wie Teammitglieder das Labor einsetzen sollten. Formulieren Sie die Richtlinien so, dass die Mitglieder sie sich leicht merken und problemlos umsetzen können. Verfolgen Sie die Absicht, zu erläutern anstatt vorzuschreiben. Benennen und dokumentieren Sie Folgendes: Rollen und Zuständigkeiten Geben Sie an, wer für Aufgaben wie das Aufstellen eines Zeitplans für die Laborbenutzung und das Erstellen von Sicherungen zuständig ist. Einrichtungen und Richtlinien für besondere Arten von Tests Geben Sie z. B. an, welche Domänen und Konfigurationen Teammitglieder zum Testen des Migrationsprozesses nutzen sollen. Richtlinien fürdie Änderungskontrolleim Labor Geben Sie an, wer zu Änderungen an der Konfiguration berechtigt ist. Definieren Sie den Genehmigungsprozess für Änderungsanforderungen. Geben Sie z. B. an, wer Schemarevisionen vornehmen darf, und wer über vorgenommene Revisionen benachrichtigt werden soll. Legen Sie fest, in welcher Form Änderungen im Labor dokumentiert werden müssen. InitialisierungsprozedurenfürServer Dokumentieren Sie die Schritte für die Installation und Konfiguration von Domänencontrollern und Mitgliedsservern und das Laden von Daten auf diese Controller und Server. Nehmen Sie DNS-Einstellungen auf, wenn Sie nicht das in Windows 2000 integrierte DNS verwenden.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
117
LaborwiederherstellverfahrenfürRollouttests Dokumentieren Sie die Schritte, mit denen der ursprüngliche Zustand von Domänencontrollern wiederhergestellt und Benutzerkontodaten aktualisiert werden. Dokumentieren Sie die gesamten Serverkonfigurationen. Testen Sie den Aktualisierungsprozess, bevor Sie mit den Migrationstests beginnen. WiederherstellverfahrenfürClientcomputer Wenn Sie planen, Clientcomputer zum Testen verschiedener Konfigurationen häufig neu einzurichten, dokumentieren Sie, welche Tools einzusetzen sind, um schnell einen bekannten Ausgangszustand des Computers wiederherzustellen. Sie sollten z. B. RIS einsetzen.
Testen Gut durchgeführte Tests reduzieren das Risiko für den Geschäftsbetrieb, wenn Sie Änderungen in der Produktionsumgebung einführen. Intensives Testen erfordert jedoch sorgfältige Planung. Wenn Ihre Tests genau widerspiegeln sollen, wie Ihr vorgeschlagener Entwurf funktionieren wird, müssen Sie sie so entwerfen, dass sie die Bedingungen und Veränderungen in Ihrer Umgebung realistisch darstellen. Selbst ein gut entworfenes Testlabor kann einen schlecht entworfenen Test nicht ausgleichen. Tests sind eine zentrale Komponente des Risikomanagements: ? Mit ihnen wird überprüft, ob Ihr Entwurf die geschäftlichen und technischen
Anforderungen erfüllt, die für das Windows 2000-Projekt formuliert wurden. ? Sie offenbaren potentielle Risiken für Ihre Produktionsumgebung. ? Sie offenbaren potentielle Risiken für Ihren Projektzeitplan. Denken Sie beim Planen Ihrer Tests daran, dass es nicht möglich ist, alles zu testen. Anstatt alle Kombinationen zu testen, konzentrieren Sie sich auf Einschränkungen. Testen Sie z. B. den langsamsten Clientcomputer, den am stärksten ausgelasteten Server oder die am wenigsten zuverlässige Netzwerkverbindung. Konzentrieren Sie sich darüber hinaus auf Bereiche, die die größten Risiken bergen oder am wahrscheinlichsten sind. Es ist wichtig, dass die Reihe Ihrer Testfälle überschaubar bleibt. Die Tests werden im gesamten Projekt fortgesetzt und entwickeln sich von Tests auf Komponentenebene (Einheitentests) zu Integrationstests. Diese Tests werden folgendermaßen definiert: Einheitentests In diesen Tests wird überprüft, ob einzelne Funktionen, Komponenten oder Anwendungen ordnungsgemäß arbeiten. Die Einheitentests beginnen mit dem Start der Entwurfsphase und werden fortgesetzt, bis der Entwurf nicht mehr geändert werden muss. Sie laufen iterativ mit dem Entwurf ab – Testergebnisse validieren den vorgeschlagenen Entwurf oder führen zu Änderungen. Einheitentests werden in der Regel von den Personen durchgeführt, die sich mit der Systemarchitektur und der Entwicklung befassen.
118
Teil I
Planung
Integrationstests In diesen Tests wird überprüft, ob die Funktionen und Komponenten als Einheit zusammenarbeiten. Während Einheitentests sich mit der Tiefe einer Komponente befassen, betreffen Integrationstests die Breite eines Systems. Integrationstests finden nach den Einheitentests statt, wenn der Entwurf nicht mehr geändert werden muss. Mit der Umsetzung des Entwurfs werden die Tests zunehmend komplexer und integriert, bis sie die gesamte Interoperabilität der Funktionen und Komponenten umfassen. Für Integrationstests ist ein vollständig ausgerüstetes Testlabor erforderlich, in dem Testkonfigurationen und -bedingungen genau kontrolliert werden können. Es empfiehlt sich, dass die Integrationstests von einer Gruppe durchgeführt werden, die nicht mit der Entwicklung befasst ist. Viele Organisationen verfügen über Testteams, die Integrationstests planen und durchführen. Neben der Überprüfung, ob die Technologie wie vorgeschlagen eingesetzt werden kann, sollten die mit den Integrationstests befassten Personen die Testergebnisse auch unter einem geschäftlichen Gesichtspunkt betrachten. Sie sollten überlegen, wie Endbenutzer mit der Lösung arbeiten werden und wie leistungsfähig die Lösung in diesem Einsatzgebiet ist. Sie sollten auch überprüfen, ob die vorgeschlagene Lösung die geschäftlichen und technischen Anforderungen für das Windows 2000-Projekt erfüllt.
Aufstellen eines Weiterleitungsplans Stellen Sie vor Beginn der Tests einen Weiterleitungsplan auf, den das Projektteam bei auftretenden Problemen verwendet. Der Weiterleitungsplan sollte sich mit folgenden Punkten befassen: ? Wo melden Teammitglieder nicht erfolgreich verlaufene Tests oder andere
? ?
? ? ?
Probleme? Geben Sie beide in das System zur Problemprotokollierung ein, oder geben Sie Probleme an einer anderen Stelle ein, z. B. auf einer Website? Welche Schritte befolgen sie, bevor sie die Angelegenheit oder das Problem melden? Muss das Problem z. B. reproduziert werden? Von wem? Welche Informationen muss die Meldung über das Problem enthalten? Beispiele sind: ? Informationen zu Ansprechpartnern (Telefonnummer, Pagernummer und E-Mail-Adresse für die Leitung der Untergruppe und den externen Support) ? Status des Problems (neu oder laufend) ? Priorität und geschäftliche Begründung des Problems ? Reihenfolge der Ereignisse, die zum Problem führen (nehmen Sie relevante Informationen wie IP-Adresse und Domänennamen mit auf) ? Ursachen (bekannt oder vermutet) ? Informationen zur Problembehandlung (Ablaufverfolgung, Diagnose) Wie benachrichtigen sie die Entwurfsgruppe über die Angelegenheit oder das Problem? Wer überprüft und löst die Probleme? Welche Benachrichtigungshierarchie besteht?
Kapitel 4 Erstellen eines Testlabors für Windows 2000
119
Erstellen des Testplans In einer frühen Planungsphase von Windows 2000 sollte jede Entwurfsuntergruppe einen Testplan aufstellen, in dem beschrieben wird, wie sie ihre spezifische Technologie testen wird. So könnte z. B. das Netzwerkteam einen Plan schreiben, der beschreibt, wie es Netzwerkfunktionen testen wird. Alle Mitglieder sollten vor Beginn der Tests den Testplan prüfen und genehmigen. Auf Grundlage des Testplans werden Testfälle (Szenarios) entwickelt, die beschreiben, wie die einzelnen Funktionen getestet werden sollen. Eine ausführlichere Beschreibung von Testfällen erhalten Sie im Abschnitt „Entwerfen von Testfällen“ weiter unten in diesem Kapitel. Der Testplan gilt sowohl für Einheiten- als auch für Integrationstests. Er bietet einen umfassenden Überblick über den Testaufwand und sollte die nachfolgend aufgeführten Themen behandeln.
Umfang und Zielsetzungen Beschreiben Sie in diesem Abschnitt des Testplans, was Ihre Tests abdecken werden und was Sie nicht testen werden. So könnten Sie z. B. das Testen der Clientcomputerhardware auf die unterstützten Mindestkonfigurationen oder die Standardkonfigurationen beschränken. Beschreiben Sie, was Sie mit Ihren Tests erreichen möchten. Eine Organisation hatte z. B. das Ziel, die Windows NT 4.0-Umgebung Komponente für Komponente in Windows 2000 zu migrieren und dabei die Zugriffssteuerungslisten (ACLs) und Exchange-Berechtigungen beizubehalten. Das Ziel einer anderen Organisation bestand darin, während bestimmter Verzeichnisdiensttasks den Netzwerkverkehr zu messen und die Serverleistung zu überwachen.
Testmethoden Beschreiben Sie die allgemeine Strategie, die Sie für Ihre Tests einsetzen werden. Ihre Strategie für das Testen von Schemarevisionen könnte z. B. darin bestehen, eine isolierte Domäne im Labor zu konfigurieren, in der Schemarevisionen durchgeführt werden können, ohne dass dies Auswirkungen auf andere Labortests hat. Dieser Abschnitt des Testplans könnte folgende Beschreibungen enthalten: ? Für den Test verwendete Domänenarchitektur ? Für die Durchführung der Tests oder das Messen der Ergebnisse verwendete
Tools und Techniken ? Für die Tests verwendete automatisierte Techniken
Erforderliche Ressourcen Listen Sie die folgenden Arten von Ressourcen auf, die Sie für die Tests benötigen: Hardware Geben Sie z. B. an, welche Standardkonfigurationen nach Ihren Planungen für Clientcomputer unterstützt werden. Nehmen Sie Komponenten wie Grafikkarten, Modems und externe Laufwerke auf. Software Nehmen Sie z. B. Microsoft® BackOffice®- oder andere serverbasierte Produkte auf, die Sie testen müssen.
120
Teil I
Planung
Datenbanken Nehmen Sie Datenbanken auf, die Sie zum Testen von Anwendungen einrichten müssen. Es empfiehlt sich, eine Beschreibung der Ressourcen, z. B. Personal und Produktionsdaten, aufzunehmen, die Sie benötigen, um Daten in die Datenbanken zu laden. Personal Geben Sie an, wie viele Personen das Testteam umfassen soll und welcher Kenntnisstand erforderlich ist. Nehmen Sie Berater und weiteres Supportpersonal auf. Schulung Geben Sie an, welche Windows 2000-Schulungen das Testpersonal benötigt, um die Technologie, die es testet, zu verstehen. Tools Nehmen Sie z. B. Verbindungssimulatoren zum Testen von WAN-Verbindungen auf, wenn Sie nicht über ein zweites Labor verfügen, dass Sie zu diesem Zweck einsetzen können. Führen Sie alle Tools auf, die Sie zum Automatisieren von Tests und zum Protokollieren von Testergebnissen benötigen.
Funktionen Nehmen Sie eine Liste aller Funktionen oder Funktionsaspekte auf, die getestet werden sollen. Diese Liste beschreibt, was getestet werden soll, und nicht, wie es zu testen ist. Einige Organisationen fügen eine Liste der Tests als Anhang zu ihrem Testplan bei. Andere Organisationen erstellen ein separates Dokument, eine Testbeschreibung, die die Tests auflistet und kurz beschreibt, was die einzelnen Tests abdecken müssen. Wiederum andere Organisationen nehmen die Liste der Tests als Tasks in ihren Projektzeitplan auf. Der folgende Abschnitt ist ein Beispiel aus der Testbeschreibung einer Organisation: Test 1 — Beibehalten der Vertrauensstellungen Beschreibung: Alle Vertrauensstellungen zu und von einer Domäne müssen beibehalten werden, wenn die Domänencontroller auf Windows 2000 aktualisiert werden. Zeigen Sie die Vertrauensstellungen mit dem Domänenstrukturmanager an. Wenn die Vertrauensstellungen nicht angezeigt werden, war der Test nicht erfolgreich.
Beachten Sie, dass die Beschreibung keine Anweisungen darüber enthält, wie der Test durchgeführt werden soll. Im weiteren Verlauf des Projekts entwickeln die Teammitglieder detaillierte Verfahren, in denen beschrieben wird, wie die einzelnen, im Testplan aufgeführten Tests durchgeführt werden. Der Abschnitt „Entwerfen von Testfällen“ weiter unten in diesem Kapitel enthält weitere Informationen über die Entwicklung von Testverfahren. Ihr Testplan sollte die folgenden Arten von Tests behandeln: ? Die Funktionalität der einzelnen Funktionen und Dienste, die Sie implementieren
werden. ? Interoperabilität mit den in der Produktionsumgebung vorhandenen Komponenten und Systemen, sowohl während und nach eines in Phasen ablaufenden Rollouts. Diese Tests umfassen die gemischte Umgebung während des in Phasen ablaufenden Rollouts und die Windows 2000-Umgebung nach dem Abschluss des Rollouts.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
121
? Hardware- und Treiberkompatibilität für jeden Computertyp, auf dem
Windows 2000 ausgeführt wird. ? Anwendungskompatibilität für jede Anwendung, die unter Windows 2000
ausgeführt wird. ? Grundlinien und Beanspruchungstests für die Kapazitätsplanung. ? Grundlinien für die Überwachung der Leistung. ? Optimierung von Konfigurationen, z. B. für standardisierte Desktops auf
Clientcomputern. ? Verfahren für die Administration während und nach der Einrichtung, z. B. Aktualisierung eines Clientcomputers und Pläne für die vorzeitige Beendigung. ? Tools und Dienstprogramme. Weitere Informationen zum Planen von Anwendungskompatibilitätstests finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch.
Risiken Beschreiben Sie die bekannten Risiken, die erfolgreiche Tests verhindern könnten. So ist es z. B. möglich, dass das Labor hinter dem Zeitplan zurückliegt, Hardware oder Software nicht zur Verfügung steht oder Testpersonal an anderen Projekten arbeitet oder zusätzliche Schulung benötigt.
Zeitplan Skizzieren Sie einen Zeitplan, der jeden im Testplan aufgeführten Test enthält. Dieser Zeitplan kann Sie dabei unterstützen, die Nutzung des Labors mit anderen Untergruppen zu koordinieren.
Entwerfen von Testfällen Ein Testfall ist ein detailliertes Verfahren, mit dem eine Funktion oder ein Funktionsaspekt vollständig getestet wird. Während im Testplan beschrieben ist, was getestet werden soll, beschreibt ein Testfall, wie ein bestimmter Test durchzuführen ist. Sie müssen für jeden Test, der im Testplan oder in der Testbeschreibung aufgeführt ist, einen Testfall entwickeln. Testfälle sollten von einer Person geschrieben werden, die die zu testende Funktion oder Technologie versteht, und sollten von einer gleichrangigen Person überprüft werden. Testfälle enthalten z. B. folgende Informationen: ? Zweck des Tests ? Besondere Hardwareanforderungen, z. B. ein Modem ? Besondere Softwareanforderungen, z. B. ein Tool ? Spezifische Setup- oder Konfigurationsanforderungen ? Beschreibung, wie der Test durchgeführt werden soll ? Erwartete Ergebnisse oder Erfolgskriterien für den Test
122
Teil I
Planung
Das Entwerfen von Testfällen kann im Testzeitplan eine zeitaufwendige Phase sein. Sie könnten zwar versucht sein, Abkürzungen zu nehmen, aber die investierte Zeit wird sich langfristig auszahlen. Sie können Tests schneller durchführen, wenn diese sorgfältig geplant sind. Anderenfalls wird Zeit für das Debuggen und erneute Durchführen von Tests aufgewendet. Organisationen verfolgen bei der Dokumentation von Testfällen verschiedene Ansätze, die von der Entwicklung von detaillierten, Rezepten ähnelnden Schrittfolgen bis hin zum Verfassen von allgemeinen Beschreibungen reichen. In detaillierten Testfällen wird in den Schritten genau beschrieben, wie der Test durchzuführen ist. Bei beschreibenden Testfällen entscheidet das Testpersonal zum Zeitpunkt des Tests, wie er durchgeführt wird und welche Daten verwendet werden. Zu den Vorteilen von detaillierten Testfällen gehört, dass sie reproduzierbar und leichter zu automatisieren sind. Dieser Ansatz ist besonders wichtig, wenn Sie planen, die Testergebnisse über einen Zeitraum hinweg zu vergleichen (z. B. bei der Optimierung von Konfigurationen). Ein Nachteil von detaillierten Testfällen ist, dass in Entwicklung und Verwaltung mehr Zeit investiert werden muss. Andererseits sind Testfälle, die Interpretationen zulassen, nicht reproduzierbar und können zu Debuggingzeiten führen, die eher mit dem Test als mit dem, was getestet wird, verbunden sind. Sie sollten einen Kompromiss zwischen den beiden Gegensätzen finden, der zu mehr Einzelheiten tendiert. Wägen Sie Gründlichkeit und Durchführbarkeit miteinander ab, damit Sie Ihr Ziel erreichen, die Tests einheitlich und überschaubar zu gestalten. Tabelle 4.1 enthält ein Beispiel für die ersten Schritte eines detaillierten Testfalls: Tabelle 4.1 Beispiel für Testfall Schritt
Verfahren
Erfolgskriterien
1
Den Server abmelden und wieder zum Bildschirm für die Anmeldung im Netz wechseln. Die Domänenliste anklicken, um sie zu öffnen.
Keine.
3
Die Domänenliste anklicken, um sie zu öffnen.
Die Stammdomäne wird in der Liste angezeigt.
4
Über Konto mit Administratorrechten am Server anmelden.
Konto wird fehlerfrei am Server angemeldet.
2
Ergebnis
Der Name des lokalen Servers wird nicht in der Liste angezeigt.
Durchführen von Tests Bevor Sie mit den Tests beginnen, passen Sie die Einrichtung des Labors erforderlichenfalls an, damit sie die im Testfall genannten Anforderungen erfüllt. Gehen Sie beim Testen genau nach dem aufgezeichneten Testfall vor. Sie müssen genau wissen, welche Testschritte durchgeführt wurden, bevor Sie die Ergebnisse richtig auswerten oder den Test reproduzieren können, um die Ergebnisse über einen Zeitraum hinweg zu vergleichen.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
123
Analysieren Sie bei der Durchführung der Tests die Ergebnisse anhand der Kriterien im Testfall, um zu ermitteln, ob der Test erfolgreich oder nicht erfolgreich verlaufen ist. Wenn ein Test nicht erfolgreich verlaufen ist, kann es sich um ein Problem mit dem Test selbst, der Einrichtung des Labors oder dem vorgeschlagenen Entwurf handeln. Ziehen Sie bei nicht erfolgreich verlaufenen Tests folgende Schritte in Betracht: Problem mit demTestfall Überarbeiten Sie den Testfall, führen Sie den Test erneut aus und dokumentieren Sie alle vorgenommenen Änderungen. Problem mit der Einrichtung des Labors Gehen Sie nach dem Änderungssteuerungsprozess für das Labor vor, konfigurieren Sie das Labor neu, und führen Sie den Test erneut aus. Problem mit demEntwurf. Gehen Sie nach dem Weiterleitungsverfahren für das Projekt vor, um die entsprechenden Personen über das Problem zu informieren. Weisen Sie den offenen Problemen Prioritäten zu und verfolgen Sie sie, bis sie gelöst und erneut getestet wurden. Berücksichtigen Sie bei der Vergabe von Prioritäten für Probleme die potentiellen Auswirkungen und die Wahrscheinlichkeit, dass sie auftreten.
Dokumentieren von Testergebnissen Auch wenn Sie Probleme und Fehler unter Umständen in Ihrem System zur Problemprotokollierung aufzeichnen, benötigen Sie zusätzlich ein Überwachungssystem für die Aufzeichnung von Testergebnissen. Ein solches System unterstützt Sie bei der Überwachung der Testfortschritte und der Erfolgsquote von Tests. Diese Informationen sind nützlich für Berichte an das Management, die Überprüfung von Trends und die Validierung des Personalbestands. Einige Organisationen setzen ein Hardcopysystem ein, bei dem die Testergebnisse im Testfallpapier dokumentiert werden. Mit einem solchen System kann jedoch schwieriger nachvollzogen werden, was getestet wurde; auch das Verfassen von Berichten wird erschwert. Eine Alternative ist der Kauf eines kommerziellen Produkts, mit dem Testfälle protokolliert und Berichte über sie erstellt werden können. Eine weitere ist die Entwicklung einer Datenbankanwendung für die Organisation und Verwaltung der Testfälle. Mit diesen Ansätzen haben Sie die Möglichkeit, Berichte zu automatisieren und auf diese Weise die Testergebnisse und die Fortschritte bei den Tests zu überwachen. Unabhängig davon, welche Methode Sie auswählen, ist es wichtig, dass die Mitglieder des Projektteams leicht auf das Testprotokoll zugreifen können. Weitere Informationen zum Einrichten eines Testüberwachungssystems finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Wofür Sie sich bei der Protokollierung Ihrer Tests auch entscheiden, es ist wichtig, die Ergebnisse jedes einzelnen Tests zu dokumentieren. Nehmen Sie z. B. folgende Informationen auf: ? Name und Abteilung der Person, die den Test durchgeführt hat ? Wann der Test durchgeführt wurde (Datum und Uhrzeit) ? Windows 2000-Produktname (Server oder Professional)
124
Teil I
Planung ? Vollständige Beschreibung der Ergebnisse ? Problemlösungen ? Nummern, unter denen Probleme in das System zur Problemprotokollierung
eingegeben wurden
Testen nach der Einrichtung Ihr Labor kann sich noch lange nach der Einrichtung von Windows 2000 als wertvoll erweisen, wenn Sie es im Rahmen Ihres Änderungsmanagementprozesses einsetzen. Die Bedeutung, die das Testen von Änderungen in der Computerumgebung besitzt – ob Sie neue Netzwerkinfrastrukturkomponenten aufnehmen, neue Server installieren, Hersteller von Clientcomputern wechseln, Konfigurationen ändern oder Service Packs und Patches implementieren –, kann nicht oft genug betont werden. Über ein noch so gut entworfenes und ausgerüstetes Labor zu verfügen reicht aber nicht aus. Damit Sie das Labor so effizient wie möglich nutzen können, legen Sie fest, wie Sie es zur Implementierung von Änderungen in der Produktionsumgebung einsetzen werden. Vergessen Sie nicht, die Komponenten im Labor in regelmäßigen Abständen zu bewerten, um die Auswirkungen der zusammengekommenen Änderungen zu ermitteln. So verhält sich z. B. ein Computer, auf dem zahlreiche Änderungen vorgenommen wurden, unter Umständen nicht so wie ein Computer, auf dem dieselbe Konfiguration neu installiert wurde.
Verwenden des Labors für das Änderungsmanagement Ein Änderungsmanagementlabor ist der Ort, an dem Sie für die Umgebung vorgeschlagene Änderungen testen, bevor Sie sie in der Produktion implementieren; dies gilt auch für Pilotprojekte. Wenn Sie das Labor für das Änderungsmanagement einsetzen, wird es Teil eines größeren Prozesses. Dieser Prozess gibt den Informationsfluss und die Reihenfolge der Aktivitäten ab dem Zeitpunkt an, zu dem eine Änderung vorgeschlagen wurde, bis zu dem Zeitpunkt, zu dem sie implementiert wird. Der von Ihnen entwickelte Prozess hängt ab von der Art der Änderungen, die Sie durchführen, den beteiligten Teams und der Unternehmenskultur. Zur Zusammenstellung eines Änderungsmanagementprozesses in einer IT-Umgebung stehen Ihnen zahlreiche Ressourcen zur Verfügung. Der erste Schritt ist die Aufstellung eines Änderungsmanagementplans. Berücksichtigen Sie vor der Aufstellung des Plans folgende Gesichtspunkte: ? Wer genehmigt Änderungen? ? Wie werden Vorschläge dokumentiert und vorgelegt? ? Wer analysiert den Vorschlag, um seine Wichtigkeit und seine Auswirkungen
zu bestimmen? ? Welche Rollen spielen Methoden und Verfahren (einschließlich des Labors)? ? Wie wird der Status einer Änderung dokumentiert und berichtet? Das Testen im Labor ist ein Schritt in dem Prozess, mit dem Änderungen in der Produktionsumgebung vorgenommen werden. Zahlreiche Unternehmen testen alle Patches und Service Packs bis zur Zertifizierung, bevor sie ein Pilotprojekt oder ein eingeschränktes Rollout einrichten. Wenn Sie Änderungen in verschiedenen
Kapitel 4 Erstellen eines Testlabors für Windows 2000
125
Szenarios und Situationen testen, verringern Sie erheblich das Risiko, während der Implementierung auf Probleme zu stoßen.
Definieren der Rolle des Labors im Änderungsmanagement Wie bereits erläutert, ist es wichtig, im Rahmen des Prozesses für die Implementierung von Änderungen Tests im Labor durchzuführen. Darüber hinaus ist es wichtig, zu definieren, wie das Labor in diesem Prozess eingesetzt wird. Sie können das Risiko, dass im Labor etwas vergessen wird, dadurch reduzieren, dass Sie die Schritte und Anforderungen für allgemeine Änderungen beschreiben. Es ist z. B. hilfreich, Folgendes zu benennen: ? Komponenten, die vor der Implementierung der Änderung im Labor benötigt ? ? ? ?
werden. Schritte, die für die Implementierung der Änderung erforderlich sind. Dokumentation, die im Labor zu erstellen ist. Zu ergreifende Maßnahme, falls der Labortest nicht erfolgreich verläuft. Zu ergreifende Maßnahme, wenn der Labortest erfolgreich verläuft.
In Abbildung 4.7 ist dargestellt, wie eine große Organisation ihr Clientcomputerlabor zum Testen von Änderungen an den Desktopstandardkonfigurationen einsetzt.
Abbildung 4.7 Beispiel für die Verwendung eines Labors im Änderungsmanagementprozess
126
Teil I
Planung
Planungstasklisten für Labortests Verwenden Sie die beiden folgenden Tasklisten als Kurzreferenz für die Planung der Einrichtungstests für Windows 2000. Die erste Checkliste hilft Ihnen bei der Vorbereitung des Labors, die zweite unterstützt Sie beim Erstellen, Ausführen und Dokumentieren der Tests.
Taskliste für die Laborvorbereitung In Tabelle 4.2 sind die Tasks zusammengefasst, die Sie beim Entwerfen und Aufbauen eines Testlabors ausführen müssen. Tabelle 4.2 Taskliste für die Laborvorbereitung Task
Kapitelüberschrift
Ein Labormodell auswählen. Einen oder mehrere Laborstandorte auswählen. Ein Übergangslabor einrichten (sofern benötigt).
Festlegen der Strategie für das Labor Festlegen der Strategie für das Labor
Raumbedarf und Umgebungsanforderungen für das Labor bestimmen.
Entwerfen des Labors
Erforderliche Stromversorgung und Netzwerkverbindungen bestimmen.
Entwerfen des Labors
Logische und physische Konfiguration des Labors entwerfen und dokumentieren.
Entwerfen des Labors
Hardwareanforderungen bestimmen. Softwareanforderungen bestimmen (einschließlich Geschäftsanwendungen und Tools). Festlegen, wer das Labor benutzen muss.
Entwerfen des Labors Entwerfen des Labors
Datenbankanforderungen bestimmen. Verkabelungs- und Netzwerkzugangsplanungen festlegen. Hardware erwerben (einschließlich Verkabelung und Software). Arbeitsbereichausrüstung erwerben, z.B. Schreibtische, Stühle, Whiteboards, Pinnwände, Lampen, Telefone und Regale. Das Netzwerk aufbauen und konfigurieren.
Entwerfen des Labors Entwerfen des Labors
Netzwerkverbindungen testen. Die Server aufbauen und konfigurieren. Anwendungen und Datenbanken auf den Servern installieren. Tools für Tests und Administration installieren. Die Clientcomputer aufbauen und konfigurieren.
Erstellen des Labors Erstellen des Labors Erstellen des Labors
Einrichten eines vorläufigen Labors
Entwerfen des Labors
Erstellen des Labors Erstellen des Labors
Erstellen des Labors
Erstellen des Labors Erstellen des Labors
Kapitel 4 Erstellen eines Testlabors für Windows 2000
127
(Fortsetzung) Task
Kapitelüberschrift
Anwendungen auf den Clientcomputern installieren. Alle Laborkomponenten testen.
Erstellen des Labors
Eine Person für die Laborverwaltung bestimmen.
Verwalten des Labors
Einen Änderungssteuerungsprozess für das Labor definieren.
Entwickeln von Laborrichtlinien
Den Laborwiederherstellungsprozess erstellen, testen und dokumentieren.
Entwickeln von Laborrichtlinien
Erstellen des Labors
Taskliste für Tests In Tabelle 4.3 werden die Tasks für Tests zusammengefasst, die Sie durchführen müssen. Tabelle 4.3
Taskliste für Tests
Task
Kapitelüberschrift
Einen Testplan schreiben. Testfälle aufbauen.
Erstellen des Testplans Entwerfen von Testfällen
Weiterleitungsverfahren entwickeln. Tests durchführen und Ergebnisse auswerten. Testergebnisse dokumentieren.
Aufstellen eines Weiterleitungsplans Durchführen von Tests Dokumentieren von Testergebnissen
128
Teil I
Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
129
K A P I T E L
5
Ausführen des Pilotprojekts für Windows 2000
Das Pilotprojekt ist der letzte große Schritt vor der Einrichtung von Microsoft® Windows® 2000 im großen Rahmen. Bevor Sie mit dem Pilotprojekt beginnen können, müssen die Integrationstests in der Laborumgebung abgeschlossen sein. Während des Pilotprojekts testen Sie Ihren Entwurf in einer gesteuerten, realen Umgebung, in der normale geschäftliche Aufgaben mit den neuen Funktionen ausgeführt werden. Rechtzeitig vor dem Pilotprojekt müssen die im Projektmanagement und in der Systemplanung tätigen Personen festlegen, wo und wann das Pilotprojekt durchgeführt wird. Dieses Kapitel unterstützt Sie beim Aufstellen eines Pilotprojektplans, beim Auswählen von Benutzern und Standorten und bei der Entscheidung, wie die Pilotprojektumgebung eingerichtet werden soll. Inhalt dieses Kapitels Überblick über das Durchführen eines Pilotprojekts 130 Erstellen eines Pilotprojektplans 132 Vorbereiten des Pilotprojekts 137 Einrichten des Pilotprojekts 140 Bewerten des Pilotprojekts 140 Planungstaskliste für die Durchführung eines Pilotprojekts
142
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Pilotprojektplan ? Rolloutprozedur im Pilotprojekt
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu den Tests vor dem Pilotprojekt finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch. ? Weitere Informationen über die Migration von Microsoft® Windows NT®, Version 3.51 oder höher, zu Windows 2000 finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 für Server erhalten Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ in diesem Buch. ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 für Clientcomputer erhalten Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch.
130
Teil I Planung
Überblick über das Durchführen eines Pilotprojekts Nachdem Sie Ihren Windows 2000-Entwurf in Ihrer Testumgebung verifiziert haben, müssen Sie ihn mit einer begrenzten Zahl von Benutzern in Ihrer Produktionsumgebung testen. Ein Pilotprojekt verringert das Risiko, dass während der im großen Rahmen durchgeführten Einrichtung Probleme auftreten. Ein Pilotprojekt soll in erster Linie zeigen, dass Ihr Entwurf in der Produktionsumgebung wie von Ihnen erwartet eingesetzt werden kann und dass er die geschäftlichen Anforderungen Ihrer Organisation erfüllt. Es soll weiterhin dem Installationsteam die Möglichkeit geben, den Einrichtungsprozess zu üben und weiter zu verbessern. Das Pilotprojekt gibt den Benutzern die Möglichkeit, Ihnen Rückmeldungen über die Arbeitsweise der Funktionen zu geben. Nutzen Sie diese Rückmeldungen, um aufgetretene Fragen zu klären oder einen Alternativplan aufzustellen. Anhand der Rückmeldungen können Sie auch ermitteln, in welchem Umfang nach der vollständigen Einrichtung wahrscheinlich Supportleistungen erforderlich sein werden. Und schließlich führt das Pilotprojekt zu der Entscheidung, ob die Einrichtung im großen Rahmen fortgesetzt oder ob sie verzögert werden soll, damit Probleme gelöst werden können, die die Einrichtung gefährden könnten. Damit Risiken während der Einrichtung praktisch ausgeschlossen werden, sollten Sie mehrere Pilotprojekte oder Pilotprojektphasen in Betracht ziehen. Sie könnten z. B. ein Pilotprojekt für den Entwurf des Namespace durchführen, ein weiteres für die Standarddesktopkonfigurationen und das Sicherheitsmodell und schließlich ein zusätzliches Projekt für die Remoteeinrichtung von Anwendungen.
Pilotprozess Der Pilotprozess ist iterativ. Sie richten eine begrenzte Zahl von Computern in einer gesteuerten Umgebung ein, werten die Ergebnisse aus, beheben Probleme und richten ein weiteres Pilotprojekt ein, bis Sie den Umfang und die Qualität für eine vollständige Einrichtung erreicht haben. In Abbildung 5.1 sind die wichtigsten Schritte für die Planung und die Durchführung eines Pilotprojekts dargestellt.
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
131
Abbildung 5.1 Prozess für die Durchführung eines Pilotprojekts
Beginnen mit der Informationstechnologie Wenn Sie mehrere Pilotprojekte planen, starten Sie im kleinen Umfang und steigern Sie den Umfang der Pilotprojekte allmählich. Viele Organisationen führen ihr erstes Pilotprojekt in der IT-Abteilung (Informationstechnologie) durch. Sie bauen zu Beginn ein System auf, das die in der Produktionsumgebung geplante Einrichtung emuliert; Teilnehmer nutzen Testcomputer in einem Testnetzwerk. Anschließend binden die Organisationen schrittweise IT-Personal in das Pilotprojekt ein. Wenn Sie im Laufe der Zeit immer mehr Benutzer in das System aufnehmen, können Sie ein solches IT-Pilotprojekt dazu verwenden, offene Fragen zu Skalierbarkeit und Leistung zu lösen. Nachdem Sie alle Probleme gelöst haben, können Sie mit dem ersten Pilotprojekt in der Produktionsumgebung beginnen. Zu diesem Zeitpunkt richten Sie Windows 2000 auf Produktionscomputern in Unternehmenseinheiten für Endbenutzer ein.
Voraussetzungen für ein Produktionspilotprojekt Bevor Sie mit dem ersten Pilotprojekt in der Produktion beginnen, muss der Testlaborbetrieb unterbrechungsfrei ablaufen, und die Testteams müssen die Integrations- und Anwendungstests abgeschlossen haben. Validieren Sie auf jeden Fall die Komponenten Ihres Entwurfs, bevor Sie sie im Unternehmensnetzwerk implementieren. Validieren Sie z. B. die Protokolle, die Sie einsetzen möchten, den Replikationsverkehr über die WAN-Verbindungen sowie die Sicherungs- und Wiederherstellungsprozeduren. Führen Sie keine neuen Technologien oder
132
Teil I Planung
Prozeduren in das Pilotprojekt ein, die noch nicht im Labor getestet wurden. Wenn das Testen des Rolloutprozesses eines der Ziele Ihres Pilotprojekts ist, muss das Installationsteam den Prozess umfassend entwickelt, getestet und dokumentiert haben. Lösen Sie offene Probleme in Ihrem Entwurf oder entwickeln Sie einen Alternativplan. Sie müssen außerdem eine Testreihe entwickeln und validieren, die das Installationsteam nach Aktualisierung der Computer ausführen kann. Diese Tests gewährleisten, dass die Installation ordnungsgemäß funktioniert, bevor Sie sie an die Benutzer übergeben. Bevor Sie mit der Einrichtung des Pilotprojekts beginnen, holen Sie die Genehmigung des Managements für Ihren Pilotprojektplan ein. Beginnen Sie frühzeitig mit der Arbeit am Pilotprojektplan, damit bis zu dem Zeitpunkt, zu dem Sie mit der Einrichtung des Pilotprojekts beginnen können, die Kommunikationskanäle eingerichtet und die teilnehmenden Personen vorbereitet sind.
Erstellen eines Pilotprojektplans Das Pilotprojekt ist für die vollständige Einrichtung bestimmend; es ist daher wichtig, dass sie es sorgfältig planen, in ständigem Austausch mit den Teilnehmern stehen und die Ergebnisse umfassend auswerten. Das Aufstellen eines Plans für Ihr Pilotprojekt hilft Ihnen, die einzelnen Gesichtspunkte zu durchdenken und zu definieren, was alle daran beteiligten Personen erwarten dürfen. Wenn Sie mehrere Pilotprojekte durchführen, sollten Sie mehrere Pilotprojektpläne aufstellen. Jede Untergruppe könnte beispielsweise ein eigenes Pilotprojekt durchführen und einen eigenen Plan aufstellen. Ihr Pilotprojektplan sollte folgende Punkte enthalten: ? Umfang und Zielsetzungen ? Teilnehmende Benutzer und Standorte ? Schulungsplan für Benutzer im Pilotprojekt ? Supportplan für das Pilotprojekt ? Kommunikationsplan für das Pilotprojekt ? Bekannte Risiken und Alternativpläne ? Rollbackplan ? Zeitplan für Einrichtung und Durchführung des Pilotprojekts
Wenn Sie den Pilotprojektplan aufgestellt haben, bitten Sie das IT-Management und das Management der teilnehmenden Unternehmenseinheiten, den Plan zu überprüfen und zu genehmigen, bevor Sie fortfahren.
Umfang und Zielsetzungen Legen Sie im ersten Planungsschritt für das Pilotprojekt fest, was enthalten und was nicht enthalten sein soll (Umfang) und was Sie erreichen möchten (Zielsetzungen). Definieren Sie klar den Umfang und die Zielsetzungen, damit deutlich wird, was zu erwarten ist, und Sie Erfolgskriterien benennen können. Greifen Sie nach Möglichkeit auf Ihre Zielsetzungen zurück, um Metriken für die Bewertung des Pilotprojekts zu entwickeln. Geben Sie auch eine Dauer für das
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
133
Pilotprojekt an, entweder im Hinblick auf den zeitlichen Umfang oder im Hinblick auf die zu erfüllenden Kriterien.
Umfang des Pilotprojekts In einem Pilotprojekt wird das Testen auf Benutzer ausgedehnt, die an Produktionsaufgaben arbeiten. Gehen Sie nicht davon aus, im Pilotprojekt jeden Teil der Funktionalität zu testen. Konzentrieren Sie sich auf Funktionen, die die größten Risiken bergen, und auf Ereignisse, die mit der größten Wahrscheinlichkeit eintreten. Definieren Sie den Umfang des Pilotprojekts; geben Sie dazu an, was enthalten und was nicht enthalten sein soll. Listen Sie die Dienste und Funktionen auf, die Sie in das Pilotprojekt aufnehmen möchten, und geben Sie an, was Sie mit ihnen zu erreichen hoffen. Beschreiben Sie die Funktionalitätsbereiche, auf die sich die Implementierung des Pilotprojekts auswirken wird, und in welchem Ausmaß und in welchen Situationen dies der Fall sein wird. Listen Sie die Dienste und Funktionen auf, die Sie nicht in das Pilotprojekt aufnehmen möchten. Wenn bestimmte Aspekte Ihres Entwurfs nicht vom Pilotprojekt abgedeckt werden können, beschreiben Sie diese Aspekte. Wenn Sie beispielsweise planen, bei der Aktualisierung die vorhandene Domänenarchitektur zu verwenden und die Struktur erst später zu ändern, enthält das erste Pilotprojekt unter Umständen noch nicht den Umstrukturierungsprozess. Beschreiben Sie, was Sie für die Zeit nach dem Pilotprojekt erwarten. Wenn Sie planen, einige Funktionen beizubehalten und andere nicht mehr zu verwenden, formulieren Sie Erwartungen darüber, was bleibt und was entfernt wird. Glauben Sie, dass Sie das Pilotprojekt später eventuell entfernen und nicht für das Produktionssystem beibehalten möchten, formulieren Sie in Ihrem Pilotprojektplan die Erwartung, dass das Projekt entfernt wird. Wenn Sie beispielsweise den Namespace neu entwerfen, möchten Sie unter Umständen die Möglichkeit haben, ihn nach dem Pilotprojekt zu ändern. Die Aufnahme dieser Informationen in Ihren Pilotprojektplan prägt frühzeitig die Erwartungen der Benutzer.
Zielsetzungen für das Pilotprojekt Geben Sie explizit die Ziele an, die Ihr Pilotprojekt erfüllen soll. Bestimmen Sie anhand Ihrer Zielsetzungen Kriterien, mit denen Sie den Erfolg Ihres Pilotprojekts messen. Viele Organisationen haben beispielsweise folgende Hauptziele: ? Sicherstellen, dass das System in der eigenen Umgebung ordnungsgemäß
eingesetzt werden kann. ? Sicherstellen, dass der Entwurf den geschäftlichen Anforderungen entspricht. ? Unterstützung der Benutzer für das Windows 2000-Projekt aufbauen. Zu den zusätzlichen Zielen vieler Organisationen gehören beispielsweise: ? Den Einrichtungsprozess testen. ? Das Installationsteam schulen. ? Dokumentation für die gesamte Einrichtung erstellen. ? Die Support- und Helpdeskteams schulen.
134
Teil I Planung ? Informationen zusammentragen, mit denen zukünftige Supportanforderungen
abgeschätzt werden können. ? Die Administrationsteams schulen. ? Schulungsmaterialien für Endbenutzer entwickeln und testen.
Benutzer und Standorte für das Pilotprojekt Wählen Sie sorgfältig aus, welche Benutzer und Standorte an dem Pilotprojekt teilnehmen sollen. Legen Sie zunächst die Auswahlkriterien fest und entscheiden Sie sich dann für eine Methode zur Auswahl von Kandidaten. Zu den Methoden, die Sie einsetzen können, gehören Interviews, Fragebogen und Anfragen um freiwillige Mitarbeit. Wenn Sie mehrere Pilotprojekte durchführen, ändert sich wahrscheinlich im Verlauf der Projekte der von Ihnen ausgewählte Benutzerkreis. Zum Schluss sollten Sie Endbenutzer einbeziehen, die typisch für Ihre Organisation sind. Für ein früheres Pilotprojekt sollte eine geeignete Benutzergruppe jedoch folgende Eigenschaften besitzen: ? In der Lage, einen spürbaren Nutzen aus Windows 2000 zu ziehen. ? Keine entscheidende Rolle im täglichen Betriebsablauf spielen.
Die Gruppe sollte in der Lage sein, bei auftretenden Problemen auf Ausfallzeiten und abfallende Leistung so zu reagieren, dass ihre Arbeit nicht gravierend beeinträchtigt wird. ? Repräsentativ für die Zielumgebung. Wählen Sie Gruppen oder Standorte, die keine nur für Sie geltenden Anforderungen oder Betriebsumgebungen besitzen, denn das Pilotprojekt soll Voraussagen darüber zulassen, wie Ihr Entwurf und das Rollout in der Umgebung insgesamt funktionieren. ? Mit vielfältiger Computerhardware vielfältige Aktivitäten ausführen. ? Dem Windows 2000-Projekt äußerst aufgeschlossen gegenüberstehen. ? Zugang zu Technologie haben. Benutzer, die einen Zugang zu Technologie haben, gehen in der Regel gelassener mit Problemen um, die während eines Pilotprojekts auftreten, und geben dem System wahrscheinlich eher Impulse. Dieser Benutzerkreis nimmt jedoch unter Umständen Probleme hin, für die Support geleistet werden sollte. Veranlassen Sie diese Benutzer dazu, alle auftretenden Probleme zu berichten. Anderenfalls werden Sie feststellen, dass ihre Lernkurve nicht der eines normalen Benutzers entspricht. Berücksichtigen Sie bei der Planung nachfolgender Pilotprojekte und bei der vollständigen Einrichtung, welche Auswirkungen diese Unterschiede in den Benutzergruppen haben. ? Bereit, an Schulungen teilzunehmen. Beachten Sie, dass Benutzer, die mit der Technologie weniger vertraut sind, für die Vorbereitung auf ihre Rolle mehr Anleitungen und während des Pilotprojekts mehr Unterstützung benötigen. Ermitteln Sie auf Grundlage der folgenden Kriterien die Anzahl der Standorte und Benutzer für das Pilotprojekt: ? Ziele für das Pilotprojekt
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
135
? Anzahl der Funktionen, die getestet werden ? Größe des Supportteams
Wählen Sie eine Person aus dem Teilnehmerkreis als Verbindungsperson zu den Benutzern. Wählen Sie jemanden mit ausgeprägten kommunikativen Fähigkeiten und guten Beziehungen sowohl zur Pilotprojektgruppe als auch zum Projektteam. Arbeiten Sie mit dieser Person bei der Planung des Pilotprojekts zusammen. Die Verbindungsperson kann Sie darüber informieren, welche Arbeiten die Pilotprojektgruppe ausführt, und kann die Gruppe auf ihre Rolle vorbereiten. Bewegen Sie Benutzer zur Teilnahme und zu Rückmeldungen, indem Sie ein Programm mit entsprechenden Anreizen einrichten. Sie könnten beispielsweise Prämien vergeben oder veranlassen, dass das Management den teilnehmenden Personen, die während des Pilotprojekts einen besonderen Beitrag geleistet haben, eine entsprechende Anerkennung zukommen lässt.
Schulungsplan für das Pilotprojekt Sie müssen rechtzeitig vor dem Pilotprojekt festlegen, wie und wann die teilnehmenden Personen geschult werden sollen. Benennen Sie die Ressourcen, die Sie für die Schulung einsetzen werden. Ziehen Sie z. B. in Betracht, externes Trainingspersonal heranzuziehen, Seminare durchzuführen, ein Programm für die Schulung der Schulenden zu entwickeln oder die Schulungsinhalte über Medien zu verbreiten. Viele Organisationen stellen fest, dass die Schulung am besten unmittelbar vor der Installation durchgeführt wird. Legen Sie fest, was die Schulung abdecken sollte, und schätzen Sie ab, wie lange sie dauern wird. Beschränken Sie die Schulung auf das, was die Benutzer wissen müssen, um ihre Arbeit zu erledigen. Vergessen Sie nicht, die Schulung in Ihren Pilotprojektzeitplan aufzunehmen.
Supportplan für das Pilotprojekt Entwickeln Sie Ihren Supportplan auf jeden Fall frühzeitig, da Sie unter Umständen das Supportpersonal schulen müssen. Ihr Supportplan sollte sich damit befassen, wer Support leistet, in welchem Umfang Support geleistet werden muss und wie Benutzer Probleme berichten können. Bestimmen Sie, wer die Benutzer im Pilotprojekt unterstützen wird. Wird es das Projektteam sein, der Helpdesk, oder werden externe Ressourcen herangezogen? Wenn der Helpdesk Support leistet, wie werden Sie ihn schulen? Welche Rolle wird das Projektteam spielen? Wenn die Schulung des Helpdeskpersonals zu den Zielsetzungen Ihres Pilotprojekts gehört, benötigen Sie sowohl aus dem Projektteam als auch aus dem Helpdeskteam Ressourcen. Legen Sie fest, auf welchen Serviceebenen Sie während des Pilotprojekts Support leisten können. Müssen kritische Probleme z. B. innerhalb einer bestimmten Zahl von Stunden gelöst werden? Zu welchen Zeiten muss der Support Benutzern zur Verfügung stehen? Dokumentieren Sie die Prozesse für Änderungs- und Problemmanagement für das Pilotprojekt. Ihr Prozess sollte sich mit folgenden Gesichtspunkten befassen: ? Wie werden Änderungsanforderungen vorgelegt, genehmigt, getestet und
implementiert?
136
Teil I Planung ? Wo melden Benutzer aufgetretene Probleme?
Können sie Probleme in einem vorhandenen System melden, oder benötigen Sie einen neuen Mechanismus, z. B. eine Website, mit dem Benutzer Probleme und Fragen protokollieren können? ? Wie werden Sie Probleme überprüfen, ihnen Prioritäten zuweisen und sie
lösen? ? Welchen Weiterleitungsprozess werden Sie einsetzen, um das entsprechende Personal zu benachrichtigen?
Kommunikation Beschreiben Sie in Ihrem Pilotprojektplan, wie Sie mit Teilnehmern kommunizieren werden, um sie auf das Pilotprojekt vorzubereiten und um während des Pilotprojekts Statusberichte auszutauschen. Nehmen Sie die Art von Informationen auf, die Sie weitergeben möchten, sowie wem, wie und wie oft Sie sie weitergeben. Beschreiben Sie z. B., wie und wann Sie Benutzer über das Pilotprojektrollout benachrichtigen werden. Weitere Informationen zu Kommunikationsstrategien finden Sie unter „Planen des Einsatzes“ in dieser Dokumentation. Legen Sie fest, wie Sie während des Pilotprojekts kommunizieren werden, und beginnen Sie dabei mit dem Aufbau der Mechanismen, die verwendet werden. Stellen Sie z. B. E-Mail-Verteiler für die verschiedenen Gruppen auf, die bestimmte Arten von Informationen erhalten müssen. Sie sollten festhalten, welche Arten von Informationen Sie an die einzelnen Verteilerlisten senden. Richten Sie Mechanismen ein, um Informationen über das Pilotprojekt weiterzugeben, beispielsweise Websites, häufig gestellte Fragen, Verfahren und Statusberichte.
Rollbackplan für das Pilotprojekt Ein entscheidender Teil Ihres Pilotprojektplans ist die Rollbackprozedur, die Sie einsetzen werden, wenn das Pilotprojekt nicht erfolgreich verlaufen sollte. Entwickeln Sie ein detailliertes Verfahren, das erläutert, wann und wie Sicherungen erstellt und wie sie wiederhergestellt werden. Werden Sie beispielsweise Abbilder oder inkrementelle Sicherungen erstellen? Dokumentieren Sie den Sicherungs- und Wiederherstellungsprozess, und testen Sie diese Prozesse. Wählen Sie zum Lagern der Sicherungsmedien einen sicheren Platz, und nehmen Sie den Ort in Ihren Rollbackplan auf.
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
137
Geben Sie die Kriterien dafür an, wann die Rollbackprozedur eingesetzt wird. So könnten Sie z. B. ein System einrichten, mit dem der Schweregrad von Problemen klassifiziert wird, und beschreiben, auf welchen Ebenen die Beendigung des Pilotprojekts gerechtfertigt ist. Sie sollten auch festlegen, dass für unterschiedliche Arten von Problemen unterschiedliche Rollbackpläne aufgestellt werden. So sollten Sie z. B. eine Prozedur entwickeln, mit der das gesamte Pilotprojekt beendet wird, wenn ein umfassendes Problem aufgetreten ist, und eine weitere Prozedur, bei der bestimmte Komponenten nicht weitergeführt werden, wenn das Problem sich isolieren lässt. Es empfiehlt sich auch, eine zusätzliche Wiederherstellungsprozedur für den Fall einzurichten, dass die Integrität der Daten im Verzeichnisdienst erheblich verletzt wurde.
Zeitplan Eine der frühesten Aktivitäten in der Planung eines Pilotprojekts ist das Aufstellen eines Zeitplans. Dieser sollte Aufgaben beinhalten für die Planung des Pilotprojekts, für die Vorbereitung der Benutzer und Standorte, die Einrichtung des Pilotprojekts und das Testen während des Pilotprojekts. Vergessen Sie nicht, Zeit für die Schulung von Benutzern, Supportpersonal und Installationsteam einzuplanen. Planen Sie auch Zeit ein für eine Inventaraufnahme an den Standorten, die Aktualisierung der Hardware und die Bewertung des Pilotprojekts. Sie müssen unter Umständen auch Aufgaben für die Entwicklung der Support- und Kommunikationsmechanismen aufnehmen, die Sie während der Planung benennen. Damit Sie den Zeitplan für die Einrichtungsphase aufstellen können, müssen Sie wissen, wie viele Computer aktualisiert werden sollen und wie lange die Aktualisierung pro Computer schätzungsweise dauert. Legen Sie in Ihren Planungen fest, wie viele Systeme pro Tag aktualisiert werden und in welcher Reihenfolge die Aktualisierung stattfinden soll. Überlegen Sie, welche Tageszeiten und welche Wochentage am besten für die Aktualisierung der Server und Clientcomputer geeignet sind. Sollen Computer außerhalb der Büro- und Geschäftszeiten aktualisiert werden, um Unterbrechungen im Benutzerbetrieb zu vermeiden? Sollen die Clients während der Arbeitszeit aktualisiert werden, so dass Benutzer während dieser Zeit an Schulungen teilnehmen können? Haben Sie in Ihre Planungen als Anforderung aufgenommen, dass Endbenutzer an Schulungen teilgenommen haben müssen, bevor Sie deren Computer auf Microsoft® Windows® 2000 Professional aktualisieren oder es auf den Computern installieren? Ist dies der Fall, hängt die Einrichtung des Pilotprojekts vom Schulungszeitplan ab. Während der Einrichtung des Pilotprojekts können Sie Ihren Zeitplan mit aktualisierten Schätzwerten, die auf den von Ihnen während der Installation gewonnenen Erfahrungen basieren, weiter verbessern, so dass er genauere Daten für die vollständige Einrichtung enthält.
Vorbereiten des Pilotprojekts Wenn das Anfangsdatum für Ihr Pilotprojekt näher rückt, beginnen Sie mit den Rolloutvorbereitungen. Planen Sie genügend Zeit ein, um sowohl die Benutzer als auch die physischen Standorte vorzubereiten. Während die Benutzer den Windows 2000-Entwurf testen, muss das Installationsteam die Rolloutprozedur entwickeln, testen, dokumentieren und weiter verbessern.
138
Teil I Planung
Vorbereiten der Standorte für das Pilotprojekt Bereiten Sie die Standorte auf das Pilotprojekt vor, damit das Installationsteam beim Start des Projekts mit der Aktualisierung des Betriebssystems beginnen kann. Sie sollten bereits über eine Inventarliste der Computer und Netzwerkkomponenten verfügen. Weitere Informationen zum Zusammenstellen einer Inventarliste der Netzwerkausrüstung finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ in diesem Buch. Bewerten Sie die Computer und die Netzwerkausrüstung, die am Standort für das Pilotprojekt eingesetzt werden, und ermitteln Sie dann, welche Hardwareaktualisierungen erforderlich sind. Bestimmen Sie zumindest die erforderlichen Änderungen und erwerben Sie die Komponenten. Sofern möglich, installieren Sie die neuen Komponenten und testen Sie sie frühzeitig. Überprüfen Sie die folgenden Arten von Aktualisierungen: ? Aktualisierungen der Clientcomputer auf die unterstützte
Hardwaremindestkonfiguration (Speicher, Festplattenkapazität, Prozessorgeschwindigkeit/-typ, Netzwerkadapter). ? Serveraktualisierungen für optimale Hardwarekonfigurationen. ? Netzwerkaktualisierungen zur Erfüllung von Entwurfsanforderungen. ? Client- und Serveraktualisierungen für die Kompatibilität mit Windows 2000
(Hardware, Anwendungen, Treiber). Darüber hinaus müssen Sie Folgendes ermitteln: ? Am Standort eingesetzte Anwendungen. ? Besondere Sicherheitsanforderungen. ? Besondere Konnektivitätsanforderungen.
Stellen Sie sicher, dass die gesamte Hardware und Software auf ihre Kompatibilität getestet wurde und das Installationsteam auf besondere Anforderungen vorbereitet ist.
Vorbereiten der Benutzer im Pilotprojekt Es ist wichtig, frühzeitig mit der Pilotprojektgruppe in Kontakt zu treten. Bei Ihrer ersten Kontaktaufnahme sollten Sie darstellen, über welche Kanäle kommuniziert wird und was zu erwarten ist. Wenn das Startdatum für das Pilotprojekt näher rückt, schulen Sie die Benutzer und informieren Sie sie über besondere Einrichtungsplanungen und Termine.
Frühzeitige Kommunikation Wenn Sie die Teilnehmer ausgewählt haben, treffen Sie sich bald darauf mit ihnen zu folgenden Zwecken: ? Unterstützung für das Pilotprojekt einholen. ? Verbindungsperson zu den Benutzern bestimmen. ? Zuständigkeiten klären. ? Support- und Rollbackpläne besprechen.
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
139
Die Teilnehmer des Pilotprojekts müssen verstehen, was das Projekt mit sich bringen wird. Sie müssen verstehen, wie das Pilotprojekt unter Umständen ihre Arbeit beeinflusst und welche Zuständigkeiten sie haben werden. Besprechen Sie die Dauer des Pilotprojekts, in welchem Umfang Sie Support leisten werden und welche Tests die Teilnehmer durchführen sollen. Die Teilnehmer am Pilotprojekt werden zwar weiterhin ihren täglichen geschäftlichen Aufgaben nachgehen, Sie sollten aber einige Bereiche angeben, auf die sie sich konzentrieren sollten. Befassen Sie sich mit etwaigen Bedenken, die die Teilnehmer im Hinblick auf das Pilotprojekt und ihre Rolle haben.
Kontinuierliche Information der Teilnehmer Im Verlauf Ihrer Pilotprojektplanungen kann die Verbindungsperson zu den Benutzern Sie über deren Bedenken informieren und die Benutzer über neue Entwicklungen auf dem Laufenden halten. Teilen Sie beim Aufstellen der Supportpläne den Benutzern mit, wie und wann sie Support anfordern müssen und wie sie Probleme oder Fragen weitergeben sollten. Informieren Sie die Benutzer über die Art der Schulung, die sie erhalten werden, und wann sie damit rechnen können. Einige Organisationen bieten ein- bis zweistündige Schulungen unmittelbar vor der Einrichtung. Erinnern Sie zu Beginn der Einrichtung des Pilotprojekts die Teilnehmer an Folgendes: ? Termine für Schulungen und für die Aktualisierung von Computern. ? Verfahren, die sie befolgen müssen, bevor ihre Computer aktualisiert werden. ? Namen und Rufnummern von Supportansprechpartnern.
Entwickeln des Rolloutprozesses Wenn das Testen des Rolloutprozesses zu den Zielen Ihres Pilotprojekts gehört, muss das Installationsteam die Prozeduren während der Projekttestphase entwickeln, dokumentieren und testen. Das Testlabor ist gut geeignet, um Debugging bei auftretenden Problemen durchzuführen, aber das Pilotprojekt bietet eine realen Test, in dem die Prozeduren im Hinblick auf Genauigkeit und Effizienz weiter verbessert werden können. Stellen Sie sicher, dass die Skripts und Tools für die Automatisierung der Aktualisierungen für die Computer in der Pilotprojektumgebung geeignet sind. Erstellen Sie bei der Entwicklung von Prozeduren für die Einrichtung von Windows 2000 auf verschiedenen Arten von Computern eine Dokumentation, die die mit der Installation befassten Personen unterstützt. Ihre Dokumentation für das Rollout sollte u. a. folgende Punkte enthalten: ? Listen mit Tools und Materialien, die für die Installation benötigt werden. ? Listen mit Skripts und ihren Speicherorten. ? Sicherungen, die die mit der Installation befassten Personen vor und während
der Einrichtung durchführen müssen. Nehmen Sie auch Sicherungen der Benutzerdaten auf Clientcomputern auf.
140
Teil I Planung ? Schritte für die Migration in die neue Domänenstruktur.
?
?
?
?
Weitere Informationen zu Strategien für die Migration in die neue Domänenstruktur und die einzusetzenden Tools finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation. Schritte für die Durchführung von automatisierten und manuellen Computeraktualisierungen. Die manuelle Methode kann eingesetzt werden, wenn die automatisierte Methode nicht ordnungsgemäß funktioniert. Weitere Informationen zur Automatisierung von Installationen finden Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ und „Automatisieren der Clientinstallation und der Aktualisierung“ in dieser Dokumentation. Akzeptanztests, die die mit der Installation befassten Personen während und unmittelbar nach der Einrichtung durchführen müssen, um zu überprüfen, ob die Einrichtung erwartungsgemäß funktioniert. Betriebsprozeduren, die die mit Installation und Administration befassten Personen ausführen müssen (Berechtigungen zurücksetzen, Kennwörter ändern, Benutzerdaten wiederherstellen). Schritte zur Beendigung, wenn das Pilotprojekt nicht ordnungsgemäß verläuft.
Einrichten des Pilotprojekts Führen Sie vor der Einrichtung des Pilotprojekts einen Trockentest für den Prozess durch. In einem Trockentest wird zu einem geplanten Zeitpunkt außerhalb der Büro- und Geschäftszeiten der gesamte Aktualisierungsprozess durchlaufen, das neue Setup wird umfassend getestet und anschließend wird alles wieder entfernt. Denken Sie bei der Einrichtung des Pilotprojekts daran, die gesamten Sicherungen zu überprüfen. Beschriften Sie die Sicherungsmedien eindeutig und lagern Sie sie an einem sicheren Ort. Verifizieren Sie jeden Schritt bei der Durchführung. Zeichnen Sie im Verlauf Ihrer Arbeit auf, wie viel Zeit die Installation in Anspruch nimmt, damit Sie Ihren Zeitplan weiter verbessern können. Veranlassen Sie, dass während der Einrichtung ein Mitglied der Systemadministration zur Verfügung steht, das umfassende Sicherheitsberechtigungen besitzt; dazu gehören auch die Rechte, Mail- und Datenbankserverkennwörter zu verwalten. Vergessen Sie nicht, Korrekturen in den Rolloutprozeduren festzuhalten. Nehmen Sie Korrekturen in der laufenden Arbeit vor, und testen Sie die Korrekturen in der nächsten Aktualisierung. Benennen und dokumentieren Sie ineffiziente Schritte und Methoden, und benutzen Sie die Informationen, um den Rolloutprozess weiter zu verbessern.
Bewerten des Pilotprojekts Ihr Team muss über das gesamte Projekt hinweg den Fortschritt überwachen und aufgetretene Probleme beheben und die Lösungen neu testen. Veranlassen Sie, dass das System zur Verfolgung von Problemen zu Beginn des Pilotprojekts zur Verfügung steht, und fordern Sie die am Pilotprojekt beteiligten Benutzer auf, es für ihre Problemberichte einzusetzen. Benutzer vernachlässigen im Alltag oft die Weitergabe von Problemen, da sie entweder glauben, ein Problem sei unbedeutend, oder eine Möglichkeit finden, es zu umgehen. Damit Sie Ihr Pilotprojekt genau
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
141
bewerten können, ist es aber für Sie erforderlich, dass die Benutzer alle Probleme berichten. Zum Abschluss des Pilotprojekts müssen Sie Informationen aus einer Vielzahl von Quellen einholen, um den Erfolg des Pilotprojekts zu bewerten. Je mehr Informationen Sie während des Pilotprojekts zusammentragen, desto genauer können Sie es zum Abschluss bewerten.
Überwachen des Pilotprojekts Ihr Team sollte das Netzwerk für das Pilotprojekt kontinuierlich überwachen und Engpässe und Bereiche ermitteln, bei denen eine Optimierung erforderlich ist. Überwachen Sie sowohl den Verkehrsfluss als auch die Anwendungsleistung. Tools zur Überwachung geben zwar zahlreiche Informationen, es ist aber auch hilfreich, in regelmäßigen Abständen den Pilotprojektstandort zu besuchen. Durch häufige Gespräche mit Benutzern werden Probleme entdeckt, die anderenfalls unbemerkt bleiben würden. Gehen Sie auf jeden Fall häufig die Problemberichte durch und ermitteln Sie Trends. Bewerten Sie während des Pilotprojekts die Risiken für das Projekt. Achten Sie z. B. auf Folgendes: ? Änderungen im Umfang ? Kostensteigerungen ? Probleme bei der Interoperabilität ? Unvorhergesehene Ausfallzeiten
Einholen von Rückmeldungen Bewerten Sie zum Abschluss des Pilotprojekts den Erfolg und geben Sie dem Management Empfehlungen über den nächsten Schritt. Das Management muss dann entscheiden, ob das Projekt über das Pilotprojekt hinaus fortgesetzt wird. Für die Bewertung und die Empfehlungen hilft Ihnen die Analyse von Informationen aus einer Vielzahl von Quellen. Entnehmen Sie die Informationen z. B. aus: ? Website-Feedbackformularen ? Sitzungen mit dem Management ? Problemberichten ? Endbenutzerumfragen ? Beobachtungen des IT-Projektteams
Versuchen Sie, Informationen sowohl zum Entwurf als auch zum Einrichtungsprozess einzuholen. Überprüfen Sie, was funktioniert und was nicht funktioniert hat, damit Sie Ihren Plan überarbeiten und weiter verbessern können. Sammeln Sie z. B. Informationen über folgende Punkte: ? Schulung ? Rolloutprozess ? Support ? Kommunikation ? Aufgetretene Probleme
142
Teil I Planung ? Verbesserungsvorschläge
Verwenden Sie die Rückmeldungen, um zu überprüfen, ob der bereitgestellte Entwurf die Funktionsbeschreibung und die geschäftlichen Anforderungen erfüllt. Hat das Pilotprojekt die Erfolgskriterien erfüllt, die Sie vor Beginn des Projekts definiert hatten. Wenn Sie Metriken für die Messung des Erfolgs festgelegt hatten, welche Werte wurden für das Pilotprojekt erzielt?
Planungstaskliste für die Durchführung eines Pilotprojekts In Tabelle 5.1 werden die Tasks zusammengefasst, die Sie bei der Planung eines Pilotprojekts durchführen müssen. Tabelle 5.1 Planungstaskliste für die Durchführung eines Pilotprojekts Task
Kapitelüberschrift
Plan für das Pilotprojekt mit folgendem Inhalt aufstellen: ? Projektumfang und -zielsetzungen. ? Benutzer und Standorte.
Erstellen eines Pilotprojektplans
? Schulungs-, Support-, Kommunikations-
und Rollbackpläne. ? Zeitplan.
Benutzer und Standorte vorbereiten. Rolloutprozess entwickeln.
Vorbereiten des Pilotprojekts Vorbereiten des Pilotprojekts
Pilotprojekt einrichten. Pilotprojekt unterstützen und überwachen. Rückmeldungen über das Pilotprojekt einholen.
Einrichten des Pilotprojekts Bewerten des Pilotprojekts Bewerten des Pilotprojekts
Ergebnisse des Pilotprojekts bewerten.
Bewerten des Pilotprojekts
T E I L
I I
Netzwerkinfrastruktur
Das Vorbereiten der Netzwerkinfrastruktur ist ein wichtiger Schritt vor dem Einsatz. Teil II bietet Informationen zur Dokumentation Ihrer aktuellen Netzwerkumgebung und zur Vorbereitung Ihres Netzwerks für Microsoft ® Windows® 2000. Kapitel in Teil II Vorbereiten der Netzwerkinfrastruktur für Windows 2000 145 Festlegen von Strategien für Netzwerkverbindungen 167 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur 207
144
Teil 1
Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
145
K A P I T E L
6
Vorbereiten der Netzwerkinfrastruktur für Windows 2000 Bevor Sie Microsoft® Windows® 2000 in Ihrer Organisation einrichten, müssen Sie das Netzwerk vorbereiten. Wenn Sie mit der Netzwerkverwaltung befasst sind, hilft Ihnen dieses Kapitel dabei, die Bereiche der Netzwerkinfrastruktur, z. B. Server, Router und Netzwerkdienste, zu ermitteln, die vor der Einrichtung von Windows 2000 unter Umständen aktualisiert oder geändert werden müssen. Es behandelt außerdem die Dokumentierung der aktuellen Netzwerkinfrastruktur. Bevor Sie dieses Kapitel lesen, gehen Sie die Informationen in „Erstellen eines Einsatzwegweisers“ und „Planen des Einsatzes“ in diesem Buch durch. Inhalt dieses Kapitels Dokumentieren der aktuellen Umgebung 146 Vorbereiten der Netzwerkarchitektur 155 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Inventar, Diagramme und Dokumentation der aktuellen Netzwerkumgebung. ? Plan zur Vorbereitung der Infrastruktur für die Einrichtung von
Windows 2000. WeiterführendeInformationen in der technischen Referenz ? Weitere Informationen zu Windows 2000 TCP/IP finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. ? Weitere Informationen zum Bewerten des vorhandenen Netzwerks, der Infrastruktur und der Protokolle finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“in diesem Buch. ? Weitere Informationen zum Erstellen eines Plans für die Domänenmigration finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
146
Teil II
Netzwerkinfrastruktur
Dokumentieren der aktuellen Umgebung Die physikalische und logische Topologie des vorhandenen Netzwerks zu dokumentieren und eine vollständige und genaue Inventarliste der in Ihrer Organisation eingesetzten Hardware und Software aufzustellen, sind sehr wichtige vorbereitende Schritte, bevor Sie mit den Planungen für die Netzwerkinfrastruktur von Windows 2000 beginnen. Folgende Bereiche der aktuellen Netzwerkumgebung müssen Sie dokumentieren, um das Netzwerk für die Einrichtung von Windows 2000vorzubereiten: ? Hardware und Software ? Netzwerkinfrastruktur ? Datei-, Druck- und Webserver ? Unternehmensanwendungen ? Architektur der Verzeichnisdienste ? Sicherheit
Zum Dokumentieren des Netzwerks eignen sich Microsoft Windows NT®Anwendungen zur Netzwerkdiagnose, z. B. Netzwerkmonitor. OEMs bieten oft Software für Problembehandlung oder Konfiguration, die zum Dokumentieren der Konfiguration von Ausrüstung und Treibern ideal geeignet ist. Im Verlauf der Vorbereitung der Netzwerkinfrastruktur für Windows 2000 werden Sie umfangreiche Planungen vornehmen. In „Erstellen eines Einsatzwegweisers“ weiter oben in dieser Dokumentation haben Sie den Umfang Ihres Einrichtungsprojekts definiert und die Windows 2000-Funktionen ausgewählt, die eingesetzt werden sollen. Darüber hinaus haben Sie technische Abhängigkeiten von Windows 2000 ermittelt, die sich unter Umständen auf Ihre Planungen auswirken, und einen Projektplan für die Einrichtung aufgestellt. Der Schwerpunkt dieses Kapitels ist die Vorbereitung der Netzwerkinfrastruktur für Windows 2000, aber diese Vorbereitungen lassen sich nicht von den Planungen trennen, die in anderen Kapiteln dieser Dokumentation beschrieben werden. Unabhängig davon, ob Sie ein neues Netzwerk vorbereiten oder Windows 2000 in eine vorhandene Netzwerkstruktur migrieren, werden Ihre Planungen in den Bereichen Domänenumstrukturierung, Serveraktualisierungen und Infrastrukturanforderungen ausschlaggebend dafür sein, welche spezifischen Tasks Sie zur Vorbereitung der Infrastruktur durchführen müssen.
Hardware- und Softwareinventar Sofern noch nicht geschehen, nehmen Sie auf allen Servern und Clientcomputern, die im Netzwerk eingesetzt werden, das Hardware- und Softwareinventar auf. Dokumentieren Sie alle Router, Drucker, Modems und weitere Hardware, z. B. RAID-Arrays und RAS-Serverhardware. Nehmen Sie unbedingt auch Details wie BIOS-Einstellungen auf, weiterhin die Konfiguration aller Peripheriegeräte, z. B. Drucker, Scanner und Eingabegeräte. Zeichnen Sie Treiberversionen und weitere Software- und Firmwareinformationen auf.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
147
Nehmen Sie in die Softwareinventarliste alle Anwendungen auf allen Computern auf. Zeichnen Sie auch die Versionsnummern (oder Datums- und Zeitstempel) der DLLs der Anwendungen auf Ihrem System auf. Vergessen Sie nicht, die Service Packs zu dokumentieren, die Sie für das Betriebssystem oder Anwendungen installiert haben. Sie können Skripts und eine Reihe von Fremdanbieteranwendungen einsetzen, um diese Informationen in Windows- und Windows NTNetzwerken mit WMI (Windows Management Instrumentation) zu ermitteln. Systems Management Server unterstützt Sie beim Zusammenstellen von Informationen über das Windows NT-Netzwerk. Sie können damit ausführliche Berichte über die Hardware, Software und Anwendungen erstellen, die in Ihrer Organisation eingesetzt werden. Weitere Informationen über die Analyse des Netzwerks mit Systems Management Server finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“. Dokumentieren Sie die Netzwerkkonfigurationen für Server und Clientcomputer. Auf Computern mit Windows NT können Netzwerkeinstellungen leicht abgerufen werden. ? So rufen Sie Netzwerkeinstellungen in Windows NT ab 1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie auf Systemsteuerung . 2. Doppelklicken Sie auf Netzwerk. 3. Notieren Sie die Informationen auf den Registerkarten Identifikation, Dienste, Protokolle, Netzwerkkarte und Bindungen. Öffnen Sie auf jedem Computer, für den eine statische IP-Adresse vergeben wurde, ein Befehlszeilenfenster, führen Sie den Befehl ipconfig /all aus und zeichnen Sie die Ergebnisse auf. Hardwarefremdanbieter stellen oft Diagnose- und Verwaltungssoftware zur Verfügung, die ausführliche Informationen über Hardware- undKonfigurationseinstellungen zusammenstellt. Die Inventarlisten können Sie zu folgenden Zwecken nutzen: ? Bestätigen Sie, dass die aktuelle Infrastruktur, die Serverhardware, das Com-
puter-BIOS und die Softwarekonfigurationen mit Windows 2000 Server kompatibel sind. Vergleichen Sie dazu Ihr Inventar mit der Hardwarekompatibilitätsliste (HCL). Weitere Informationen zur HCL finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. ? Ermitteln Sie die spezifischen Aktualisierungspfade für die einzelnen Server und Clientcomputer und skizzieren Sie Spezifikationen für den Kauf neuer Ausrüstung.
148
Teil II
Netzwerkinfrastruktur
Netzwerkinfrastruktur Achten Sie beim Dokumentieren der aktuellen Netzwerkumgebung besonders auf Bereiche, in denen gegenwärtig Probleme auftreten. Wenn Sie das Netzwerk vor der Einrichtung eines neuen Betriebssystems stabilisieren, werden Einrichtung und Problembehandlung einfacher, und Sie können mehr Vertrauen zu demaktualisierten Netzwerk haben. Das Einrichten eines Testlabors zum Duplizieren von Problemen und Konfigurationen ist eine gute Möglichkeit, die Auswirkungen der Einrichtung von Windows 2000 mit einem bestimmten Satz von Protokollen, Hardwaretreibern und Client/Serverkonfigurationen zu bewerten. Weitere Informationen zum Einrichten eines Testlabors finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch. Beim Dokumentieren der Netzwerkinfrastruktur erhalten Sie sowohl Hardwaredaten, die den physikalischen Aufbau der Infrastruktur dokumentieren, als auch Softwaredaten, die angeben, welche Protokolle im Netzwerk verwendet werden und wie diese dokumentiert sind. Darüber hinaus müssen Sie die logische Organisation des Netzwerks dokumentieren, die Methoden für die Auflösung von Namen und Adressen sowie die vorhandenen Dienste und ihre Konfiguration. Die Netzwerkstandorte und die zwischen ihnen zur Verfügung stehende Bandbreite zu dokumentieren, wird Ihnen auch bei der Entscheidung helfen, ob Sie bei der Aktualisierung auf bzw. Migration in Windows 2000vollständigautomatisierte oder bedarfsgesteuerte Installationen durchführen. Weitere Informationen zu Installation, Aktualisierung und Migration in das Betriebssystem Windows 2000 finden Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ und „Automatisieren der Serverinstallation und der Aktualisierung“ in diesem Buch. Mit einem physikalischen und einem logischen Netzwerkdiagramm können Sie die zusammengetragenen Informationen auf verständliche und intuitive Weise organisieren.
Physikalisches Netzwerkdiagramm Mit dem physikalischen Diagramm stellen Sie folgende Informationen über Ihr bestehendes Netzwerk dar: ? Details zu den physikalischen Kommunikationsverbindungen, z. B.Kabellänge,
?
? ?
?
-qualität und ungefährer Verlauf der Verkabelung, der analogen sowie der ISDN-Verbindungen. Server mit Computernamen, IP-Adresse (sofern statisch), Serverrolle und Domänenmitgliedschaft. Ein Server kann zahlreiche Rollen innehaben, u. a. primärer oder Reservedomänencontroller, DHCP-Server, DNS-Server, WINSServer, Druckserver, Router, Anwendungs- oder Dateiserver. Standorte von Geräten wie Druckern, Hubs, Switches, Modems, Routern und Brücken sowie von Proxyservern im Netzwerk. WAN-Kommunikationsverbindungen (analog und ISDN) und die zwischen den Standorten verfügbare Bandbreite. Dies kann ein Näherungswert oder die tatsächliche gemessene Kapazität sein. Anzahl der Benutzer an den einzelnen Standorten, einschließlich der mobilen Benutzer.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
149
Abbildung 6.1 ist ein Beispiel für ein physikalisches Netzwerkdiagramm.
Abbildung 6.1 Physikalisches Netzwerkdiagramm
Dokumentieren Sie für alle Geräte im Netzwerk die Firmwareversion, den Durchsatz sowie etwaige besondere Konfigurationsanforderungen. Wenn Sie statische IP-Adressen für Geräte vergeben haben, zeichnen Sie diese auf. Weitere Informationen zu Netzwerkverbindungen und Windows 2000 finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
Logisches Netzwerkdiagramm Im logischen Diagramm wird die Netzwerkarchitektur dargestellt; es enthält u. a. folgendeInformationen:
150
Teil II
Netzwerkinfrastruktur ? Domänenarchitektur, einschließlich der bestehenden Domänenhierarchie,
Namen und des Adressierungsschemas. ? Serverrollen, einschließlich der primären und Reservedomänencontroller, DHCP-Server oder WINS-Server. ? Vertrauensstellungen, einschließlich der Darstellungen von transitiven, einseitigen und zweiseitigen Vertrauensstellungen. Abbildung 6.2 ist ein Beispiel für ein logisches Netzwerkdiagramm.
Abbildung 6.2 Logisches Netzwerkdiagramm
Netzwerkkonfiguration Die allgemeinen Bereiche Ihrer Netzwerkkonfiguration, die Sie dokumentieren müssen, sind in den folgenden Abschnitten aufgeführt.
Namensauflösungsdienste Stellen Sie sicher, dass Sie alle DNS- und WINS-Server im Netzwerk dokumentiert und Konfigurationen, Versionsdaten sowie Hardwaredetails aufgezeichnet haben. Halten Sie fest, ob DNS-Server im Netzwerk, auf denen nicht Windows NT ausgeführt wird, die dynamische Registrierung und Ressourceneinträge des Typs Dienstidentifizierung (SRV) unterstützen und ob Aktualisierungen für dieses Leistungsmerkmal vom Softwarehersteller erhältlich sind. Wenn Sie über Hosts im Netzwerk verfügen, auf denen nicht Windows NT ausgeführt wird, dokumentieren Sie die Dienste, die sie nutzen und bereitstellen, z. B. UNIX BIND. Dokumentieren Sie auch die Versionen der einzelnen eingesetzten Dienste. Wenn z. B. BIND im Netzwerk eingesetzt wird, beachten Sie, dass Versionen vor 4.9.4 nicht mit Windows 2000 kompatibel sind. Dokumentieren Sie
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
151
SAP- (Service Advertising Protocol) und RIP-Dienste (Routing Information Protocol), wenn sie derzeit im Netzwerk verwendet werden.
IP -Adressiermethoden und Dienstkonfigurationen Stellen Sie sicher, dass Sie alle DHCP-Server im Netzwerk dokumentiert haben; dazu gehört Folgendes: ? Alle IP-Adressen, die Sie für Server oder Clientcomputer vergeben haben. ? DHCP-Einstellungen, z. B. das Standardgateway. ? Details zu den Subnetzen und ihre Beziehung zur allgemeinen
Domänenstruktur. ? Die Anzahl der Subnetze und Hosts im Netzwerk. Halten Sie auch die im Netzwerk eingesetzten IP-Adressen und Subnetzmasken fest. ? Wie lange ein Client eine IP-Adresse im Netzwerk leasen kann.
Remotenetzwerk und DFÜ-Netzwerk Wenn es Remotebenutzer oder mobile Benutzer gibt, dokumentieren Sie Ihre RASund DFÜ-Konfigurationen. Verwenden Sie für mobile Benutzer Software von Fremdanbietern, überprüfen und dokumentieren Sie die Konfiguration dieser Produkte. Wenn Sie virtuelle private Netzwerke (VPNs) verwenden, dokumentieren Sie die Konfiguration des VPNs, um zu bewerten, ob Sie es durch Windows 2000 VPN ersetzen können. Fragen zur Bandbreite Dokumentieren Sie die aktuelle Bandbreitennutzung im Netzwerk, um eine Grundlinie zu ermitteln, von der aus Änderungen gemessen werden können. Zum Messen von Bandbreitenmetriken, z. B. gesendete oder empfangene Bytes und Pakete, Übertragungs- und Empfangsfehler und Pakete pro Sekunde, können Sie eine Reihe von Microsoft-Tools oder Tools von Fremdanbietern verwenden. Dokumentieren Sie die Geschwindigkeit der Netzwerkverbindungen zwischen den Netzwerksegmenten und geografischen Standorten Ihrer Organisation. Prüfen Sie die logische und geografische Verteilung Ihrer Organisation unter dem Gesichtspunkt der Bandbreite. Hat sie Niederlassungen oder mobile oder Remotemitarbeiter? Berücksichtigen Sie Umfang und Art des Verkehrs, der über die Kommunikationsverbindungen der Organisation abläuft. Wird z. B. die Geschwindigkeit der WAN-Verbindungen regelmäßig durch Domänenreplikation zwischen Domänencontrollern an verschiedenen Standorten verringert? Dokumentieren Sie die verfügbare Nettobandbreite aller WAN-Verbindungen und Netzwerksegmente. Versuchen Sie, die verfügbare Bandbreite während niedriger, normaler und hoher Netzwerkauslastung aufzuzeichnen.
Datei-, Druck- und Webserver Dokumentieren Sie die Konfigurationsdetails der Mitgliedsserver. Achten Sie besonders auf Konfigurationen, die nur einmal vorhanden sind (z. B. ein Server mit angeschlossenem Modempool oder ein Abteilungsserver mit mehreren Netzwerkadaptern). Halten Sie fest, ob der Server ein Unternehmens- oder ein Abteilungsserver ist. Notieren Sie besondere Betriebsanforderungen der Server und stellen Sie fest, ob für diese Server besondere Protokolle oder Treiber erforderlich sind. Wenn z. B. ein Produkt sich auf einem Reservedomänencontroller befinden muss, wird die Funktionalität des Produkts unter Umständen beeinflusst, wenn der
152
Teil II
Netzwerkinfrastruktur
Reservecontroller auf Windows 2000 aktualisiert wird. Ermitteln Sie wie bei jedem Computer die Windows 2000-Kompatibilität der Hardware und der dazugehörigen Treiber auf diesen Computern über die HCL. Ermitteln Sie die Standorte der Drucker in Ihrer Organisation und dokumentieren Sie deren Konfigurationen. Achten Sie besonders auf Web- und Proxyserver – während der Planung der Einrichtung müssen Sie die möglichen Sicherheitsaspekte bei dieser Klasse von Servern sowie die Bandbreite berücksichtigen, die die einzelnen Server unter Umständen benötigen (insbesondere für Active Directory™ ). Weitere Informationen zu Planungen für Datei-, Druck- und Webserver finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dieser Dokumentation.
Unternehmensanwendungen Ermitteln Sie alle Anwendungen, über die Ihr Unternehmen verfügen muss, um seine Hauptziele verfolgen zu können. Üblicherweise werden Sie eine zentrale Gruppe von Anwendungen finden, z. B. eine Datenbankanwendung, ein E-MailSystem und ein Finanzsoftwarepaket, die alle ordnungsgemäß funktionieren müssen, damit Ihr Unternehmen seine Ziele erreichen kann. Überprüfen Sie diese Anwendungen auf ihre Windows 2000-Kompatibilität. Wenn z. B. das E-MailProgramm mit Active Directory integriert werden soll, müssen Sie beim Hersteller in Erfahrung bringen, ob ein Aktualisierungspfad auf Windows 2000- und Active Directory-Kompatibilität verfügbar oder geplant ist. Viele Softwarehersteller haben in Partnerschaften mit Microsoft zusammengearbeitet, um sicherzustellen, dass ihre Produkte ordnungsgemäß unter Windows 2000 ausgeführt werden. Das „Zertifiziert für Windows“-Logo gibt Ihnen die Gewissheit, dass ein Produkt kompatibel ist. Weitere Informationen zur Prüfung der Windows 2000-Kompatibilität von Anwendungen finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Weitere Informationen zu Anwendungen, die mit Windows 2000 kompatibel sind, finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Directory of Windows 2000 Applications“ klicken.
Architektur der Verzeichnisdienste Dokumentieren Sie die vorhandene Domänenstruktur im Rahmen Ihrer Planungen für den Wechsel zu Active Directory. Ermitteln Sie die Domänenarchitektur, die Benutzer und Benutzergruppen in der Organisation, ihre geographischen Standorte sowie Ressourcendomänen und administrative Domänen. Dokumentieren Sie die ein- und zweiseitigen Vertrauensstellungen zwischen den Domänen. Halten Sie fest, ob der Namespace nicht fortlaufend ist; dies kann auf Übernahmen, Zusammenschlüsse oder andere Tätigkeiten zurückzuführen sein. Diese Informationen werden hilfreich sein, wenn Sie die Windows 2000-Domänengesamtstruktur planen und festlegen, welche Art von Vertrauensstellung zwischen den Domänen eingerichtet werden soll. Ermitteln Sie alle im Netzwerk ausgeführten Verzeichnisdienste, bei denen es sich nicht um Windows NT-Dienste handelt (z. B. Microsoft® Exchange Server-Verzeichnisdiensterweiterungen oder UNIX BIND). Ermitteln Sie weiterhin alle Benutzerkonten, die für die einzelnen Benutzer angelegt wurden. Diese Informationen sind sowohl für die Migration in Active Directory als auch für die Verwaltung der ordnungsgemäßen Funktionalität zwischen Active Directory und anderen
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
153
Verzeichnisdiensten hilfreich, da für die einzelnen Benutzer alle Kontodaten verfügbar sind.
Modell für die Domänenverwaltung Benennen Sie das Hauptmodell (oder Standards) für die Domänenverwaltung. Haben Sie ein zentralisiertes, hierarchisches Verwaltungsmodell oder lässt Ihre Organisation ein verteiltes Verwaltungsmodell zu? Welche Tätigkeiten kann die lokale Administration im Vergleich zur unternehmensweiten Administration ausführen? Gibt es bei den Verwaltungsmodellen in Ihrer Organisation Überlappungen? Mit Hilfe dieser Informationen können Sie ermitteln, ob administrative Pflichten unter Windows 2000 neu strukturiert werden können, wodurch die Domänenverwaltung kostengünstiger und effizienter wird. Windows 2000 bietet beträchtliche Verbesserungen für die Verwaltung sowohl größter als auch kleinster Netzwerkkomponenten. Dokumentieren Sie bei der Untersuchung der vorhandenen Domänenstruktur folgende Informationen für Ihr Netzwerk: TypderDomänenstruktur Die meisten Netzwerke haben mehrere Masterkontodomänen mit noch mehr Ressourcendomänen. Bei der Migration oder der Aktualisierung der vorhandenen Domänen auf Windows 2000 wird die vorhandene Domänenstruktur Ihren Entwurf für die Windows 2000-Domänenstruktur beeinflussen. Weitere Informationen finden Sie unter „Bestimmen der Strategien für die Domänenmigration“in diesem Buch. VorhandeneVertrauensstellungen Zeichnen Sie die im Netzwerk vorhandenen einund zweiseitigen Vertrauensstellungen auf. Geben Sie die Domänen und Vertrauensstellungen an, die Sie nicht in die Windows 2000-Domänengesamtstruktur übernehmen möchten. Domänen, die auf Windows 2000-Domänen aktualisiert werden und als Teil derselben Gesamtstruktur gekennzeichnet sind, werden über transitive Vertrauensstellungen mit anderen Windows 2000-Domänen verbunden. Nach der Aktualisierung der Domänen auf Windows 2000 müssen Sie explizite Vertrauensstellungen zwischen Windows 2000-Domänen und den Domänen erstellen, die Sie nicht in die neue Gesamstruktur übernehmen möchten. Anzahl und Standorte der Domänencontrollerim Netzwerk Dies gibt Ihnen die Möglichkeit, die Aktualisierung der einzelnen Domänen zu planen. Geben Sie die primären und die Reservedomänencontroller im physikalischen und logischen Netzwerkdiagramm an. Zeichnen Sie ihre physikalischen Standorte und Konfigurationsdetails auf. Weitere Informationen zum Festlegen der Reihenfolge und des zeitlichen Ablaufs von Domänencontrolleraktualisierungen finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. Diein der Organisation vorhandenen DNS-Namespaces Wenn Ihnen bekannt ist, welche Namespaces in Ihrer Organisation vorhanden sind, hilft Ihnen dies, einen eindeutigen Namespace für die Windows 2000-Gesamtstruktur zu erstellen. Die Entscheidung, welcher DNS-Namespace als Stamm der Active DirectoryHierarchie verwendet werden soll, ist ein wichtiger Teil Ihrer Planungen, denn der Stammnamespace kann nach dem Entwurf der Hierarchie nur schwer geändert werden. Weitere Informationen zum Planen der Active Directory-Domänenstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch.
154
Teil II
Netzwerkinfrastruktur
Sicherheit Die Überprüfung und Implementierung der Sicherheitsstandards in Ihrer Organisation ist selbst dann nützlich, wenn Sie kein neues Betriebssystem einführen; wenn Sie aber ein neues System einführen, werden diese Schritte außerordentlich wichtig. Überprüfen Sie die Sicherheitsstandards und -verfahren für mobile und Desktopbenutzer, interne und externe Netzwerke sowie DFÜ- und RAS-Konten. Werden administrative Tasks, z. B. das Anlegen von Benutzern und Gruppen, Dateifreigaben, das Ändern von Kennwörtern und die Konfiguration von Geräteund Objektattributen, von einer zentralisierten Gruppe oder von mehreren Gruppen ausgeführt? Welche spezifischen Rechte haben diese Gruppen, und wie setzen sichdieMitgliedslisten zusammen? Dokumentieren Sie die Arten von Beziehungen, die derzeit zwischen Niederlassungsstandorten, Unternehmenseinheiten und Abteilungen in Ihrer Organisation bestehen. Befassen sich diese Einheiten gemeinsam mit administrativen Tasks, oder ist jede Einheit für ihre eigene Verwaltung verantwortlich? Umfassen Ihre Benutzergruppen mehrere Abteilungen oder Standorte des Unternehmens, oder bauen Sie sie nach Organisationseinheit auf? Dokumentieren Sie dies und alle vorhandenen Sicherheitsrichtlinien zu Benutzern und Unternehmen. Dokumentieren Sie, welche Arten von Informationen welchen Gruppen zur Verfügung stehen, und halten Sie wichtige Einschränkungen fest, die für bestimmte Arten von Informationen, z. B. Abrechnungsdaten, erforderlich sind. Dokumentieren Sie alle Richtlinien, die im Hinblick auf die angemessene Nutzung des Netzwerks bestehen, z. B. ob und zu welchen Zwecken Personal auf das Web zugreifen kann und was einen verbotenen oder unangemessenen Zugriff darstellt. Die Beziehungen Ihres Unternehmens mit externen Herstellern, Kunden und Jointventure- oder Geschäftspartnern beeinflussen Ihre Sicherheitsstrategie. Beantworten Sie die folgenden Fragen zu den Beziehungen Ihres Unternehmens: ? Bestehen Verpflichtungen zur Einhaltung bestimmter Dienstebenen zwischen
Ihnen und Ihren Partnern, oder gestatten Sie ihren Partnern auf der Ebene anerkannter Benutzer den Zugriff auf Ihr Netzwerk? ? Welche Richtlinien haben Sie im Hinblick auf ihren Zugriff auf Ihre Netzwerkdaten und -ressourcen? ? Können sie Daten nur schreibgeschützt anzeigen oder haben sie die Möglichkeit, Daten im Netzwerk zu ändern oder hinzuzufügen? ? Wie beschränken Sie den Zugriff auf Anwendungen? Dokumentieren Sie die in Ihrer Organisation derzeit angewandten oder geplanten Sicherheits- und Verschlüsselungsstandards. Nehmen Sie dazu folgende Informationen auf: ? Dokumentieren Sie die Sicherheitsrechte im Netzwerk nach Benutzern und
Benutzergruppen. ? Listen Sie die Domänen und die vorhandenen Vertrauensstellungen zwischen den Domänencontrollern auf. ? Dokumentieren Sie Ihre Kennwortstandards – wie lang ein Kennwort sein muss, zulässige Zeichenkombinationen, wie lange ein Benutzer ein Kennwort beibehalten kann usw.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
155
? Listen Sie die im Netzwerk verwendeten Sicherheitsprotokolle auf. ? Dokumentieren Sie, wie Sie externe Benutzer (über Internet, DFÜ- und WAN-
Verbindungen) im Netzwerk authentifizieren. ? Dokumentieren Sie Details über mehrere Konten für einzelne Benutzer. Haben z. B. Benutzer ein Konto für Windows NT und ein weiteres Konto für UNIX? Dokumentieren Sie die Berechtigungen, Benutzer und Benutzergruppenmitgliedschaften und andere Einzelheiten zu diesen Mehrfachkonten. Weitere Informationen zu den Gesichtspunkten im Zusammenhang mit dem Aufstellen eines Netzwerksicherheitsplans finden Sie unter „Planen der verteilten Sicherheit“ in dieser Dokumentation. Zu diesen Punkten gehört, dass Sie die Arten von Sicherheitsrisiken erkennen, denen Ihre Organisation unter Umständen ausgesetzt ist, und die Möglichkeiten planen, diesen Risiken zu begegnen. Im Rahmen dieses Prozesses planen und entwickeln Sie Richtlinien zur Infrastruktur für öffentliche Schlüssel und zur Benutzerauthentifizierung und entwickeln Möglichkeiten zur Sicherung von E-Mail- und Webservern. Beziehen Sie in die Überprüfung der bestehenden Sicherheitsvorkehrungen auch die Überprüfung Ihrer Sicherungsschemas ein. Hierzu gehören die Fragen, ob Sie Sicherheitsrisiken unter Umständen dadurch reduzieren können, dass Sie Sicherungsmedien extern lagern, und ob Ihr Wiederherstellungsplan aktuell ist und der aktuellen Netzwerkgröße und den aktuellen Netzwerkanforderungen entspricht. Weitere Informationen zum Entwickeln einer Richtlinie für die Speicherkonfiguration und zum Aufstellen eines Wiederherstellungsplans finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in dieser Dokumentation. Weitere Informationen zu Sicherheitsgesichtspunkten und Sicherheitsplanungen unter Einsatz von Windows 2000-Funktionen finden Sie unter „Internetprotokollsicherheit“ in Microsoft Windows 2000 Server – Die technische Referenz: TCP/IPNetzwerke und unter „Planen der verteilten Sicherheit“ in diesem Buch.
Vorbereiten der Netzwerkarchitektur In den folgenden Abschnitten ist beschrieben, wie die Netzwerkinfrastruktur für Windows 2000 vorbereitet wird. Netzwerke unterscheiden sich zwar voneinander, und Ihre Prioritäten werden von zahlreichen technischen und organisatorischen Faktoren bestimmt werden – Sie können aber für die Vorbereitung nach der in Abbildung 6.3 dargestellten allgemeinen Methode vorgehen.
156
Teil II
Netzwerkinfrastruktur
Abbildung 6.3 Flussdiagramm für die Vorbereitung des Netzwerks
All diese Themen werden in den weiteren Kapiteln dieser Dokumentation ausführlich behandelt. In diesem Kapitel werden die Punkte erläutert, deren Sie sich in jedem dieser Bereiche bewusst sein sollten, wenn Sie Ihre Netzwerkinfrastruktur für Windows 2000 vorbereiten. Es verweist Sie auch auf das entsprechende Kapitel in diesem Buch, in dem Sie weitere Einzelheiten zu den Themen befinden.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
157
Vorbereitende Schritte Wenn Sie damit beginnen, Ihre Netzwerkinfrastruktur für Windows 2000 vorzubereiten, stabilisieren Sie das vorhandene Netzwerk und überprüfen Sie die Netzwerkprotokolle.
Stabilisieren des vorhandenen Netzwerks Bevor Sie eine Netzwerkaktualisierung oder ein Migrationsprojekt implementieren, ermitteln und korrigieren Sie alle Übertragungsengpässe im Netzwerk, schlecht funktionierende Hardware, unstabile oder problematische Konfigurationen sowie weitere Bereiche, die Anlass zu Bedenken geben. In einem Migrations- oder Aktualisierungsprojekt führen geringe Bandbreiten und unstabile Netzwerkkomponenten dazu, dass die Ziele des Projekts schwerer erreicht werden. Zielen Sie bei Ihren Planungen zur Hardwareaktualisierung auf unstabile Computer, Peripheriegeräte und Netzwerkgeräte. Bringen Sie mit Ihrer Arbeit den Zeitplan für die Netzwerkverwaltung auf den neuesten Stand, bevor Sie die Aktualisierung durchführen. Wenn Sie Netzwerkgeräte, z. B. Netzwerkadapter, austauschen, ersetzen Sie sie durch Windows 2000–kompatible Geräte, die in der HCL aufgeführt sind.
Überprüfen der Netzwerkprotokolle In jedem Netzwerk werden je nach den Erfordernissen verschiedene Protokolle verwendet. Organisationen, die ein Ethernet-Netzwerk unterhalten, nutzen unter Umständen eine Kombination aus TCP/IP, NetBEUI, SPX/IPX u. a.; dies ist abhängig von den Netzwerk-, Authentifizierungs- undSicherheitsanforderungen und -funktionen des eingesetzten Betriebssystems. Geben Sie die Protokolle an, die in Ihrem Netzwerk eingesetzt werden. Überlegen Sie in diesem Zusammenhang, welche dieser Protokolle durch Windows 2000 Versionen ersetzt oder welche entfernt werden können, da sie von aktualisierten Clients nicht mehr benötigt werden. Wenn Sie z. B. im Rahmen Ihrer Migration alle Clients, die SPX/IPX einsetzen, durch Windows 98- oder Windows 2000 Professional-Clients ersetzen, haben Sie unter Umständen die Möglichkeit, IPX/SPX aus Ihrem Netzwerk zu entfernen und so Bandbreite freizugeben. Ziehen Sie in Betracht, Ihr Netzwerk zu vereinfachen, indem Sie nur Protokolle aus der TCP/IP-Protokollfamilie verwenden. Die TCP/IP-Protokollfamilie von Windows 2000 bietet gegenüber früheren Versionen eine erweiterte Funktionalität, z. B. Unterstützung großer Empfangsfenster und selektive Bestätigung. Sie müssen den Microsoft TCP/IP-Protokollstapel verwenden, um bestimmte Funktionen, z. B. Active Directory-Unterstützung, zu erhalten und die erweiterten Funktionen von Windows 2000 nutzen zu können. So nutzen z. B. frühere Versionen von Windows NT das Point-to-PointTunnelingProtokoll (PPTP) für die Sicherung von Kommunikationsverbindungen. Windows 2000 unterstützt PPTP, bietet aber erweiterte Funktionalität und erhöhte Sicherheit bei den Kommunikationsverbindungen, da das Layer 2 TunnelingProtokoll (L2TP) zusätzlich unterstützt wird. Weitere Informationen zu den Funktionen und den Leistungssteigerungen in der Windows 2000-TCP/IPProtokollfamilie finden Sie unter „Windows 2000 TCP/IP“ in Microsoft Windows 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
158
Teil II
Netzwerkinfrastruktur
Vorbereiten der physikalischen Infrastruktur Beziehen Sie in Ihre Überlegungen die Qualität und die Bandbreite der vorhandenen Netzwerkverkabelungenund -geräte ein, weiterhin die Frage, ob sie für die Aktualisierungs- und Migrationspläne ausreichen. Sind die Netzwerkgeräte, z. B. Hubs und Verkabelung, für Ihre Zwecke schnell genug? Wie schnell sind Ihre Verbindungen zu geographisch verteilten Standorten? Wie viel Verkehr wird im internen Netzwerk und über Verbindungen generiert? So generiert z. B. eine Remoteniederlassung, die hauptsächlich eine Textverarbeitung oder eine Tabellenkalkulation als Desktopanwendung einsetzt, nicht viel Netzwerkverkehr zum Zweigstellenserver, so dass Netzwerkverkabelung der Kategorie 3 mit einer Übertragungskapazität von 10 Megabit pro Sekunde (Mbps), zusammen mit Hubs gleicher Geschwindigkeit, angemessen erscheint. In der Hauptniederlassung werden hauptsächlich freigegebene Anwendungen mit freigegebenen Daten, z. B. Datenbanken und Buchhaltungssysteme, als Desktopanwendungen eingesetzt. Diese Anwendungen generieren erheblich mehr Netzwerkverkehr und erforde rn schnellere Netzwerkgeräte und -verkabelungen. Auf den Desktops im Unternehmen über Internetzugang und Multimedia zu verfügen, wird zunehmend wichtiger und trägt zu den Bandbreitenanforderungen bei. Für Ethernet-Netzwerke, in denen freigegebene Anwendungen ausgeführt werden, ist unter Umständen Verkabelung der Kategorie 5 mit einer Übertragungskapazität von 100 Mbps erforderlich. Werten Sie in Ihrem Labor die Bandbreitenanforderungen für eine spezifische Konfiguration aus. Wenn Ihre Organisation z. B. plant, Sprache und Video über das Datennetzwerk zu übertragen, müssen Verkabelung und Switches in der Lage sein, die Bandbreitenanforderungen dieser Dienste zu verarbeiten. Diagnosetools von Fremdanbietern und in Windows NT integrierte Diagnosetools können Sie z. B. dabei unterstützen, die Bandbreitenanforderungen zu ermitteln, die durch das Senden eines komprimierten Videosignals über die WAN-Verbindungen des Netzwerks entstehen. In Ihrem Labor können Sie jedoch mehrere mögliche Konfigurationen für Ausrüstung und Betriebsparameter testen, um die niedrigste Anforderung zu ermitteln. Ihr Einrichtungsplan wird von den Konfigurationsanforderungen für diejenigen Windows 2000-Funktionen beeinflusst werden, deren Einsatz Sie planen. Wenn z. B. ein DFS-Datenträger in einer Zweigstelle eine Replikation über eine langsame Verbindung zu einem alternativen DFS-Datenträger durchführt, gelangen Sie unter Umständen zu der Entscheidung, die Verbindung zu aktualisieren, um die Bandbreite zu verbessern, oder den alternativen Datenträger in der Zweigstelle zu platzieren, um den Netzwerkverkehr über die langsame Verbindung zu reduzieren. Für einige Funktionen von Windows 2000 ist eine besondere Konfiguration erforderlich. Dies gilt z. B., wenn Sie als Teil einer sicheren VPN-Verbindungeinen VPN-Server an einem Ende einer WAN-Verbindung platzieren. Sie müssen Konfigurationsgesichtspunkte in Ihre Planungen aufnehmen, z. B., wie Sie die Integration des VPN-Servers mit den Proxyservern planen. Betrachten Sie die vorhandene Infrastruktur Ihres Netzwerks und die Vorteile und Funktionen, z. B. sichere WAN-Verbindungen mit VPN, die Sie mit der Einrichtung von Windows 2000 erwarten. Weitere Informationen zur Konfiguration im Rahmen der Windows 2000Sicherheitsstrategie finden Sie unter „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation. Weitere Informationen zur Sicherheit finden Sie unter „Planen der verteilten Sicherheit“ in dieser Dokumentation.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
159
Überprüfen Sie, ob Ihre Netzwerkgeräte mit Windows 2000 kompatibel sind. Suchen Sie in der Hardwarekompatibilitätsliste nach Netzwerkkarten, Modems und bestimmten Arten von Hubs. So kann Windows 2000 z. B. die Berechnung von TCP-Prüfsummen Netzwerkadaptern übertragen, die diese Windows 2000Funktion unterstützen, und so die Netzwerkleistung verbessern. Weitere Informationen zu den genehmigten Systemen und Geräten in der HCL finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. Windows 2000 unterstützt Asynchronous Transfer Mode (ATM) und bietet mit den LAN-Emulationsdiensten (LANE) einen zusätzlichen Migrationspfad von traditionellen Netzwerken mit gemeinsam genutzten Medien in ATM. Windows 2000 unterstützt darüber hinaus IP über ATM. Wenn Sie den Einsatz von Windows 2000 ATM planen oder derzeit Windows NT 4.0 ATM nutzen, vergewissern Sie sich, dass Ihr ATM-Händler aktualisierte Treiber für Windows 2000 liefert. Stellen Sie sicher, dass Ihre ATM-Adapter in der HCL aufgelistet sind.
Vorbereiten der Server Sie setzen Windows 2000 unter Umständen in einer Umgebung im gemischten Modus ein oder wechseln zum Abschluss in ein einheitliches Windows 2000Netzwerk. Ihre Planungen in „Entwerfen der Active Directory-Struktur“ und „Bestimmen der Strategien für die Domänenmigration“ weiter unten in diesem Buch werden z. B. hilfreich sein, wenn Sie Ihren IP -Adressierungsplan im Zusammenhang mit Ihrer Active Directory-Planung implementieren oder aktualisieren. Sie haben bereits die Infrastrukturserver ermittelt – die primären und die Reservedomänencontroller, DNS-, DHCP-, WINS- und weitere Server, die die Infrastruktur bilden. Überprüfen Sie, ob Ihre Hardwaretreiber für Windows 2000 verfügbar sind. Wenn die von Ihnen eingesetzten Treiber oder Ausrüstungskomponenten nicht in der HCL aufgeführt sind, setzen Sie sich mit dem Hersteller in Verbindung, um aktualisierte Treiber zu erhalten, oder testen Sie sie selbst, um ihre KompatibilitätmitWindows 2000 zu ermitteln. Vorhergehende Versionen von Windows NT und zahlreiche DNS-Server von Fremdanbietern können keine dynamische Synchronisation mit DHCP durchführen und daher die Verknüpfungen zwischen Namen und IP-Adressen nicht kontinuierlich aktualisieren. Ziehen Sie aus diesem Grund in Betracht, Ihre DNS-Dienste auf Windows 2000-kompatible DNS-Dienste zu aktualisieren. Windows 2000 DNS aktualisiert DNS-Datensatzfelder automatisch und verringert so den bisher erforderlichen Aufwand für die manuelle Aktualisierung. Berücksichtigen Sie bei der Aktualisierung des Netzwerks die Platzierung der DHCP-Server im Verhältnis zu Anzahl und Größe der geographischen Standorte im Netzwerk und zu Geschwindigkeit und Zuverlässigkeit der WAN-Verbindungen. DHCP-Verkehr zwischen Remotestandorten erfordert verbesserte Bandbreiten und erhöhte Zuverlässigkeit der Verbindungen zwischen den Standorten. Weitere Informationen zu diesem Thema finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
160
Teil II
Netzwerkinfrastruktur
Wenn Sie die Unterstützung von Clients planen, die IP-Adressen mit NetBIOSAnforderungen auflösen, müssen Sie weiterhin mit WINS arbeiten, um Computernamen in IP-Adressen aufzulösen. Im Allgemeinen verwenden Systeme mit MS-DOS®, Windows 3.2x und früheren Versionen, Windows 95, Windows 98 und Windows NT NetBIOS zur Auflösung von IP-Adressen. Dies ist nun ein guter Zeitpunkt, um mit der Entfernung von WINS aus dem Netzwerk zu beginnen. Windows 2000 DHCP bietet Multimediaunterstützung durch erweiterte Überwachung, ein Management-Snap-In und Unterstützung von Multicasting. Windows 2000 DHCP ist darüber hinaus zur Unterstützung von Active Directory dynamisch mit Windows 2000 DNS integriert. Ältere Versionen von DNS bieten diese Unterstützung nicht, und Sie sollten eine Aktualisierung in Betracht ziehen, wenn Sie den Einsatz von Active Directory planen oder mit Netzwerklastenausgleich die Belastung der DHCP-Server ausgleichen möchten. Für LAN-zu-LAN- und sichere VPN-Verbindungen und für den Remotezugriff ist die Installation von Windows 2000-Routing- und -RAS-Servern erforderlich. Routing und RAS sind in Windows 2000 integriert und unterstützen eine Vielzahl anderer Protokolle, z. B. IPX/SPX und AppleTalk. Wenn Sie Windows 2000 in einer gemischten Umgebung mit UNIX-Systemen einsetzen, achten Sie auf die BIND-Version, die sich auf Ihrem System befindet. Windows 2000 ist zwar mit früheren Versionen von BIND voll kompatibel, bietet aber mit den BIND-Versionen 4.9.4 und höher eine verbesserte DNSFunktionalität.
Vorbereiten der Domänencontroller Einige Unternehmen werden die inkrementelle Einrichtung von Windows 2000 in ihrer Produktionsumgebung planen, andere werden eine vollständige Migration in das neue System planen. Wenn Sie Windows 2000 auf wenigen Servern in Ihrer Organisation installieren, können Sie im Rahmen der Windows 2000-Domäne die vorhandene Windows NT 4.0-Domäne und die vorhandenen Vertrauensstellungen beibehalten und dem Unternehmen die Zeit geben, sich mit den Betriebsabläufen und Konzepten von Windows 2000 vertraut zu machen. Weitere Informationen zu Migrationsstrategien finden Sie unter „Bestimmen der Strategien für die Domänenmigration“in diesem Buch. Windows 2000 ist für den Einsatz in einem Windows NT 4.0-Netzwerk konzipiert. Windows NT 4.0-Arbeitsstationen können mit dem NTLM-Protokoll Netzwerkauthentifizierungsanforderungen an jeden Windows 2000Domänencontroller senden, der in einer Windows NT-Domäne als Domänencontroller fungiert. Vertrauensstellungen zwischen Windows 2000- und Windows NT 4.0-Domänen werden auf einfache Weise eingerichtet und unterstützen die Authentifizierung zwischen Domänen. Bei der Einrichtung von Windows 2000 ist es nicht notwendig, alle Windows NT 4.0-Domänengleichzeitig in Windows 2000 zu migrieren. Wenn Sie eine Domäne auf Windows 2000 aktualisieren, müssen Sie zuerst den primären Domänencontroller aktualisieren. Aktualisieren Sie dann die Reservedomänencontroller in dieser Domäne in dem von Ihnen gewünschten Zeitraum auf Windows 2000-Domänencontroller. Nehmen Sie anschließend die Domäne in die Active Directory-Struktur auf. Sie können Mitgliedsserver und Clientcomputer unabhängig von Ihrer Strategie für die Domänenaktualisierung aktualisieren, wenn
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
161
aber kein Windows 2000-Domänencontroller installiert ist, haben diese Computer keinen Zugriff auf Active Directory oder andere erweiterte Funktionen. Stellen Sie für die Aktualisierung von Domänencontrollern, wie für die meisten Netzwerkoperationen, einen Plan auf, nach dem Sie Ihre Änderungen rückgängig machen, wenn Fehler auftreten. Einer der Tasks, die Sie zur Vorbereitung einer Aktualisierung von Domänencontrollern durchführen sollten, ist die Aktualisierung und Isolierung eines Reservedomänencontrollers, damit er im Notfall als Domänencontroller eingesetzt werden kann. Weitere Informationen zum Vorbereiten eines Domänencontrollers für Notfälle finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. Wenn ein Windows 2000-Domänencontroller in einer Domäne mit Windows NTReservedomänencontrollern eingesetzt wird, sollte die Gesamtzahl der Objekte (Benutzer, Benutzergruppen und Computer) in dieser Domäne nicht die für Windows NT-Domänen empfohlene Obergrenze von 40.000 überschreiten.
Vorbereiten der Mitgliedsserver Ein Mitgliedsserver ist ein Server, der zu einer Windows NT- oder Windows 2000-Domäne gehört, aber nicht die Rolle des Domänencontrollers einnimmt. Mitgliedsserver nehmen u. a. folgende Rollen ein: ? Datei-, Anwendungs- und Druckserver ? Web-, Proxy- und RAS-Server ? Datenbankserver ? Zertifikatsserver
Durch Installation von Windows 2000 auf den Mitgliedsservern kann die Funktionalität in allen Mitgliedsserverrollen verbessert werden. Denken Sie bei der Bewertung der Hardwarekompatibilität eines Computers daran, seine Rolle nach der Aktualisierung zu berücksichtigen. Für Einschätzungen, welche Hardwarekomponenten für eine bestimmte Funktion erforderlich sind, gibt es keine festen Spezifikationen. Sie müssen den Computer in seiner Rolle testen (vorzugsweise im Testlabor, nicht im Produktionsnetzwerk), um zu ermitteln, ob er im Hinblick auf CPU-Geschwindigkeit, RAM und Festplattenplatz seiner Rolle gerecht wird und ob seine Leistung bei der Ausführung der Treiber, Anwendungen und Protokolle für seine vorgesehene Rolle ausreicht. Weitere Informationen zur Vorbereitung der Mitgliedsserver finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ und „Automatisieren der Serverinstallation und der Aktualisierung “ in diesem Buch.
Vorbereiten der Sicherheitsinfrastruktur Microsoft Windows 2000 wurde mit dem Ziel konzipiert, sehr hohe Sicherheitsstufen bereitzustellen und der Administration gleichzeitig die Vorteile einer einfachen Implementierung und Verwaltung zu bieten. Neue Funktionen wie z. B. IPSec, Kerberos-Authentifizierung und öffentliche Schlüssel bieten eine höhere Sicherheit als vorhergehende Versionen von Windows NT.
162
Teil II
Netzwerkinfrastruktur
Da Windows 2000 für den Betrieb in einer vorhandenen Windows NT-Domänenstruktur entworfen wurde, können Sie Server, die auf Windows 2000 basieren, leicht in die vorhandene Netzwerksicherheitsstruktur einbinden. Wenn Sie aber das bestehende Windows NT-Netzwerk nach Windows 2000 migrieren oder es aktualisieren, wird Ihre Sicherheitsstrategie von den sicherheitsspezifischen Windows 2000-Funktionen beeinflusst, deren Einrichtung Sie planen. Setzen Sie z. B. derzeit Microsoft Proxy Server im Netzwerk ein, müssen Sie dieses Produkt für Windows 2000 aktualisieren und die entsprechende Clientsoftware installieren, um den Dienst nutzen zu können. Windows 2000 unterstützt die Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI), eine Authentifizierungsmethode, für die Zertifikate, Zertifizierungsstellen und Software zur Verwaltung von Zertifikaten eingesetzt werden. Sie können die Authentifikation mit Zertifikaten zur Sicherung von E-Mail-Clients und der Kommunikation im Internet einsetzen (womit die Smartcardtechnologie unterstützt wird). Weiterhin kann sie über IPSec zur Sicherung der Kommunikation mit Clients eingesetzt werden, die nicht mit Kerberos arbeiten. Weitere Informationen zum Planen und Einrichten einer PKI finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch. Wie Sie die PKI einrichten, wird im Einzelnen durch die von Ihnen eingesetzten spezifischen Zertifikatsdienste bestimmt – Sie können mit Microsoft Certificate Services oder Zertifikatsdiensten von Fremdanbietern arbeiten. Definieren Sie Ihre Anforderungen, Methoden und Strategien für Zertifikate. Wenn Sie die Implementierung einer PKI eines Fremdanbieters planen, stellen Sie sicher, dass sie mit Windows 2000 kompatibel ist. In diesem Fall bedeutet Kompatibilität die Unterstützung von Stammzertifizierungshierarchien, wie sie in Windows 2000 implementiert sind. Beachten Sie, dass die Windows 2000 PKI nicht die für Windows-Domänen vorhandenen Vertrauensstellungs- und Autorisierungsmechanismen, z. B. das Kerberos-Protokoll, ersetzt. Die PKI-Funktionen von Windows 2000 sind mit den Domänencontroller- und Kerberos-Authentifizierungsdiensten integriert. Sie können die PKI in Stufen implementieren, um je nach Ihren Prioritäten bestimmte Ziele, z. B. für E-Mail, oder die Authentifizierung in vorhandenen Systemen zu unterstützen. ? So implementieren Sie die PKI in Stufen 1. Installieren Sie für jede Windows 2000-Struktur in der Domänengesamtstruktur Stammzertifizierungsstellen in den übergeordneten Domänen. 2. Installieren Sie Zwischenzertifizierungsstellen in den Domänen der einzelnen Geschäftsbereiche. 3. Installieren und konfigurieren Sieausstellende Zertifizierungsstellen und Dienste in den Domänen für die einzelnen Benutzergruppen (je nach den Erfordernissen an den einzelnen Standorten).
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
163
Vorbereiten der Clients Da Windows 2000 für Interoperabilität konzipiert wurde, können Clientcomputer, auf denen frühere Versionen von Windows ausgeführt werden, in einer Umgebung im gemischten Modus gemeinsam mit Windows 2000 eingesetzt werden. Durch die Aktualisierung der Clientcomputer auf Windows 2000 Professional erhalten Sie jedoch eine verbesserte Clientcomputer- und Benutzersicherheit, höhere Zuverlässigkeit und mehr Funktionalität. Nicht alle Versionen von Windows können auf Windows 2000 Professional aktualisiert werden. Die Aktualisierung ist möglich für folgende Versionen von Windows und Windows NT: Windows 95 Alle Versionen werden für die Aktualisierung unterstützt, einschließlich OSR2.x. Wenn aber die Clients Windows 95 von einem Server ausführen, müssen Sie es direkt auf den Computern installieren oder eine Neuinstallation von Windows 2000 Professional durchführen. Windows 98 Alle Versionen werden für die Aktualisierung unterstützt. Siehe „Überlegungen zur Aktualisierung auf Windows 2000 Professional“ weiter unten in diesem Kapitel. Windows NT Workstation 4.0 Alle Versionen werden für die Aktualisierung unterstützt. Siehe „Überlegungen zur Aktualisierung auf Windows 2000 Professional“ weiter unten in diesem Kapitel. Windows NT Workstation 3.51 Alle Versionen werden für die Aktualisierung unterstützt. Eine wichtige Anforderung für die Clientcomputer ist die Hardware- und Treiberkompatibilität mit Windows 2000.
Überlegungen zur Aktualisierung auf Windows 2000 Professional Bei einigen Anwendungen und Treibern, die mit dem vorhergehenden Betriebssystem eingesetzt werden konnten, werden bei der Ausführung in einer Windows 2000 Professional-Umgebung Probleme auftreten. In den folgenden Abschnitten werden die Schwierigkeiten beschrieben, die bei der Aktualisierung von Windows NT-, Windows 95- und Windows 98-Clients auftreten können. Anmerkung Windows 3.1 und frühere Versionen sind für die Aktualisierung nicht geeignet.
Aktualisieren von Windows NT-Clients Windows NT-Clients können im Allgemeinen leicht auf Windows 2000 Professional aktualisiert werden, wobei Folgendes zu berücksichtigen ist: ? Alle Anwendungen auf Clientebene, die auf Dateisystemfilter angewiesen sind,
z. B. Antivirenprogramme oder Software für Datenträgerkontingentierung, werden wegen der Änderungen im Dateisystemmodell von Windows 2000 nicht ordnungsgemäß ausgeführt.
164
Teil II
Netzwerkinfrastruktur ? Wenn auf den Clients Netzwerkprotokolle ausgeführt werden, für die im
Ordner I386\Winntupg auf der Betriebssystem-CD von Windows 2000 keine aktualisierte Version bereitgestellt wird, überdenken Sie die Verwendung dieser Protokolle oder besorgen Sie für die Aktualisierung neuere, mit Windows 2000 kompatibleVersionen. ? Wenn die Clients für die Energieverwaltung Tools von Fremdanbietern verwenden, ziehen Sie den Einsatz von Windows 2000 ACPI (Advanced Configuration and Power Interface) und APM (Advanced Power Management) in Betracht, um diese vorherigen Lösungen zu ersetzen. ? Entfernen Sie vor der Aktualisierung auf Windows 2000 Plug & Play-Treiber von Fremdanbietern.
Aktualisieren von Windows 95- und Windows 98-Clients Der Aktualisierungspfad für Windows 95- und Windows 98-Clients ist im Allgemeinen einfach. Wenn Sie die Aktualisierung dieser Clients in Betracht ziehen, vergessen Sie nicht folgende Vorsichtsmaßnahmen: ? Wie bereits erwähnt, werden alle Anwendungen auf Clientebene, die auf
frühere Dateisysteme angewiesen sind, nicht ordnungsgemäß ausgeführt. So können z. B. keine Dienstprogramme zur Datenträgerkomprimierung eingesetzt werden; das Gleiche gilt für Tools wie z. B. Defragmentierungsprogramme. Antivirusanwendungen müssen mit Windows 2000 kompatibel sein, damit sie ordnungsgemäß ausgeführt werden können. ? Anwendungen und Tools, die virtuelle Gerätetreiber (VxDs) und .386-Treiber einsetzen, werden nicht ordnungsgemäß ausgeführt. Bringen Sie bei den Herstellern dieser Anwendungen in Erfahrung, ob aktualisierte Treiber verfügbar sind. ? Auf vielen Clientcomputern sind Gerätetreiber von Fremdanbietern installiert. Mit diesen Treibern wird in manchen Fällen auch eine Anwendung in der Systemsteuerung installiert, die zusätzliche Funktionalität (z. B. Konfigurationssteuerung) bietet. Testen Sie diese Systemsteuerungsanwendungen in einer Windows 2000-Umgebung und erkundigen Sie sich beim Hersteller nach der Windows 2000-Kompatibilität. ? Auch für Windows 98- und Windows 95-Clients gelten die zuvor beschriebenen Vorsichtsmaßnahmen im Zusammenhang mit Netzwerkprotokollen sowie Energieverwaltungstools und Plug & Play-Treibern von Fremdanbietern.
Vorbereiten der Zusammenarbeit mit anderen Systemen Viele Organisationen arbeiten in einer heterogenen Umgebung mit verschiedenen Betriebssystemen. Windows 2000 Server bietet Gateway Services für andere Betriebssysteme, die Windows-Clients den Zugriff auf andere Betriebssysteme und Ressourcen ermöglichen. Wenn Sie z. B. Gateway Services für NetWare installieren, können Ihre Windows-Clients davon profitieren, sich in einem Windows 2000-Netzwerk zu befinden und gleichzeitig weiterhin in der Lage zu sein, sich in NDS-Hierarchien(Novell-Verzeichnisdienste) zu bewegen, Anmeldeskripts für Novell 4.x oder höher zu verwenden und sich bei einem Novell-Server zu authentifizieren.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
165
Taskliste für die Vorbereitung der Netzwerkinfrastruktur Tabelle 6.1 beschreibt die Tasks, die Sie durchführen müssen, um die vorhandene Netzwerkinfrastruktur für Windows 2000 vorzubereiten. Tabelle 6.1 Planungstaskliste für die Vorbereitung der Infrastruktur Task
Kapitelüberschrift
Ein Hardware- und Softwareinventar erstellen.
Hardware- und Softwareinventar
Bestätigen, dass die gesamte Hardware der HCL entspricht und für Ihre Einrichtungsplanung geeignet ist, und für jeden Computer einen spezifischen Plan für die Aktualisierung der Hardware aufstellen. Server- und Clientnetzwerkkonfigurationen dokumentieren. Infrastrukturserver dokumentieren.
Hardware- und Softwareinventar
Die Details der Netzwerkkonfiguration dokumentieren – die Dienste für die Namensauflösung, IP-Adressierung, Einzelheiten zu WAN-Verbindungen und physikalisches Layout. Ein physikalisches und logisches Netzwerkdiagrammerstellen. Die Konfiguration der Mitgliedsserver dokumentieren. Alle kritischen Anwendungen ermitteln und sie auf Windows 2000-Kompatibilität überprüfen. Die Domänenstruktur und das administrative Modell dokumentieren; hierzu gehören Vertrauensstellungen, Standorte primärer und Reservedomänencontroller und DNSNamespaces.
Netzwerkinfrastruktur
Details zur Netzwerksicherheit dokumentieren. Das Netzwerk stabilisieren.
Sicherheit Vorbereitende Schritte
Netzwerkprotokolle überprüfen. Die physikalische Infrastruktur vorbereiten. Netzwerkgeräte auf Windows 2000Kompatibilität überprüfen.
Vorbereitende Schritte Vorbereiten der physikalischen Infrastruktur Vorbereiten der physikalischen Infrastruktur
Infrastrukturserver vorbereiten. Domänencontroller aktualisieren.
Vorbereiten der Netzwerkinfrastruktur Vorbereiten der Domänencontroller
Netzwerkinfrastruktur
Netzwerkinfrastruktur Datei-, Druck- und Webserver Unternehmensanwendungen
Architektur der Domänendienste
166
Teil II
Netzwerkinfrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
167
K A P I T E L
7
Festlegen von Strategien für Netzwerkverbindungen
Microsoft® Windows® 2000 Server verfügt über mehrere neue Funktionen, die Netzwerkadministratoren zur Erweiterung von neuen oder bereits bestehenden Netzwerkinfrastrukturen verwenden können. Dieses Kapitel enthält Informationen zu Netzwerkverbindungen, Zuordnungsadressen, TCP/IP und anderen Protokollen. Diese Informationen sollen Ihnen dabei helfen, die beste Strategie für die Netzwerkverbindung Ihrer Organisation festzulegen. Kenntnisse über Microsoft® Windows NT® und Netzwerke unter Windows NT sind hilfreich, um die Informationen dieses Kapitels optimal nutzen zu können. Sie sollten auch mit grundlegenden und fortgeschrittenen Netzwerkkonzepten, wie der TCP/IP-Adressierung, Routingprotokollen und RAS vertraut sein. Inhalt dieses Kapitels Netzwerkverbindung – Übersicht 168 Externe Verbindung innerhalb einer Organisation Windows 2000 TCP/IP 173 IP-Routinginfrastruktur 187 Windows 2000 DHCP 197 Windows 2000 ATM 201 QoS (Quality of Service) 205 Planungstaskliste für Netzwerkstrategien 206
171
Zielsetzungen Dieses Kapitel will bei der Entwicklung folgender Planungsdokumente Hilfestellung leisten: ? Einer Bewertung des aktuellen Netzwerks, seiner Protokolle und der
Routinginfrastruktur. ? Einer Netzwerkverbindungsstrategie. ? Einem Diagramm für einen physikalischen Netzwerkentwurf. ? Einem Netzwerkprotokoll und dem Entwurf einer Routinginfrastruktur. `
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu Windows 2000 TCP/IP finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
168
Teil II
Netzwerkinfrastruktur ? Weitere Informationen zu Windows 2000 Routing und RAS finden Sie in
Microsoft® Windows® 2000 Server – Die technische Referenz: Internetworking. ? Weitere Informationen zur Sicherheit innerhalb einer Windows 2000-
Infrastruktur finden Sie im Abschnitt „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in diesem Buch.
Netzwerkverbindung – Übersicht Bei der Implementierung oder Aktualisierung Ihres Netzwerks auf Windows 2000 sind mehrere Punkte zu berücksichtigen. Falls ein Netzwerkdiagramm Ihres aktuellen Netzwerks vorhanden ist, ziehen Sie dieses Diagramm heran, um festzulegen, an welcher strategisch günstigen Stelle die neuen Funktionen von Windows 2000 implementiert werden sollen. Sie müssen z. B. Clients, Server, Switches und Router prüfen, um festzustellen, ob sie aktuell Dienste wie QoS (Quality of Service), ATM (Asynchronous Transfer Mode) oder Routingprotokolle verwenden. Prüfen und ändern Sie, falls nötig, auch die TCP/IP-Adressierungsschemas, um die neuen Optionen des Windows 2000-DHCP-Clientdienstes (Dynamic Host Configuration Protocol) nutzen zu können. Falls Sie dies nicht bereits getan haben, erstellen Sie physikalische und logische Diagramme, die die Anforderungen an Ihr Netzwerk veranschaulichen. Dies ist von elementarer Bedeutung, da die Diagramme einen Gesamtüberblick über die Infrastruktur geben, bevor irgendwelche konkreten Schritte zum Aufbau des Netzwerks unternommen werden. Darüber hinaus wird so die Zusammenarbeit von Entwicklern und Administratoren bei der Implementierung von Netzwerksystemen und Geräten ermöglicht. Die folgenden Abschnitte beschreiben, was Sie in das Diagramm aufnehmen können:
Standorte Zeigen Sie in einer grafischen Abbildung an, wo Standorte im Diagramm positioniert sind. Dies hilft Ihnen beim Festlegen von Methoden für die WAN- und Remotestandortverbindungen. Sie müssen die Standorte entsprechend geographischer und/oder administrativer Grenzen implementieren.
Remoteverbindungsmethoden Fügen Sie auch Medien für die Verbindung von Remotestandorten zu dem zentralen Standort in Ihr Diagramm ein. Dies können T1, E1, Frame Relay, ISDN oder das analoge Telefonwählnetz sein. Sie können das Diagramm auch dazu verwenden, die Routertypen anzuzeigen, die die Standorte mit dem WANBackbone verbinden. Diese Router können Windows 2000-Router oder Router eines beliebigen Fremdanbieters sein. Zeigen Sie die Verbindungsmethoden für Remotebenutzer zu den Standorten an, die Technologien wie direkten DFÜ-Zugriff oder ein VPN (Virtuelles privates Netzwerk) verwenden.
Interne LAN-Verbindung innerhalb von Standorten Erstellen Sie ein Diagramm der internen Netzwerke der Standorte, um die neuen Funktionen von Windows 2000 möglichst effektiv zu nutzen. Berücksichtigen Sie dabei folgende Informationen:
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
169
Netzwerkmedium Beziehen Sie die Infrastruktur, die Sie verwenden möchten, mit ein, wie z. B. eine 10- oder 100BaseT-Verbindung, ATM oder Gigabit-Ethernet. Wenn Sie ATM verwenden möchten, legen Sie fest, welche Abschnitte des Netzwerks direkt mit ATM verbunden werden sollen, indem Sie IP-über-ATM oder eine LAN-Emulation (LANE) verwenden. Routing- und Switchinginfrastruktur Legen Sie fest, wo Sie Router und Switches positionieren möchten. Dies ist wichtig, um die Bandbreite des Netzwerks zu erhalten und Engpässe zu minimieren. Vergewissern Sie sich auch, dass die Routing- und Switchinghardware, die Sie verwenden möchten, Technologien wie QoS unterstützt. Protokolle Wenn Sie TCP/IP verwenden möchten, verdeutlichen Sie das IP-Adressierungsschema für jedes Subnetz innerhalb des Standorts. Wenn Sie andere Protokolle wie IPX, AppleTalk oder NetBEUI (NetBIOS Enhanced User Interface) verwenden möchten, zeigen Sie auch diese an. Denken Sie auch an Routingprotokolle wie OSPF oder RIP, die Sie möglicherweise für die Verbindung Ihrer Netzwerke verwenden möchten. Weitere Informationen über die Verwendung von TCP/IP finden Sie in Microsoft® Windows® 2000 Server - Die technische Referenz: TCP/IP-Netzwerke. Siehe auch die Abschnitte „ IPUnicastrouting“, „IPX-Routing“ und „Services für Macintosh“ in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. DNS- und Active Directory-Struktur Entwerfen Sie die Struktur für die Dienste DNS- und Active Directory™ in Ihrem Netzwerk. Fügen Sie zu Ihrem Netzwerkdiagramm ein logisches Domänendiagramm hinzu, das die Domänen und Gesamtstrukturen in Ihrem Unternehmen anzeigt. Weitere Informationen über Active Directory finden Sie im Abschnitt „Entwerfen der Active Directory-Struktur“ in diesem Buch. Serverinfrastruktur Zeigen Sie die Platzierung von DNS-, DHCP- und WINS-Servern in Ihrem Diagramm. Remoteverbindungsmethoden Zeigen Sie in Ihrem Diagramm, wie Remoteclients und Remotenetzwerke mit dem Firmennetzwerk verbunden werden. Die folgenden Abschnitte erörtern den Entwurf eines Netzwerks, das die Funktionen von Windows 2000 Server am besten in Ihre Organisation einbindet und umreißen die Schritte zur Festlegung einer Netzwerkverbindungsstrategie. Abbildung 7.1 zeigt die ersten Schritte zur Festlegung Ihrer Netzwerkverbindungsstrategie.
170
Teil II
Netzwerkinfrastruktur
Abbildung 7.1 Vorgang bei der Festlegung von Netzwerkverbindungsstrategien
Der Entwurf eines Netzwerks für Windows 2000 besteht zuerst aus dem Bilden von vielen kleinen Netzwerkteilen, die dann zur Gesamtinfrastruktur zusammen gesetzt werden. Die folgenden Abschnitte beschreiben die unterschiedlichen Aspekte eines WAN-Netzwerks (Wide Area Network) und einige damit verbundene Vorgänge und Entwurfsüberlegungen. Die externen WAN-Aspekte eines Firmennetzwerks, wie DMZs (Demilitarized Zones), Standortimplementierung und RASVerbindung werden behandelt. Die internen Aspekte des Netzwerks, wie Protokolle, Sicherheit und Methoden der LAN-Verbindung werden ebenfalls geprüft.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
171
Externe Verbindung innerhalb einer Organisation Sie benötigen eine Verbindungsmethode, die Verbindungen von Standort-zuStandort und zu den Remoteclients zulässt, um Remotebenutzern Zugang zum zentralen Standort zu ermöglichen. Der zentrale Standort Ihrer Organisation benötigt ein Netzwerk, das diesen anderen Standorten und Remoteclients einen Zugriff auf die interne Netzwerkstruktur des zentralen Standorts erlaubt. Die folgenden Abschnitte beschreiben, was in eine externe Verbindungsstrategie aufzunehmen ist:
Entwerfen der DMZ (Demilitarized Zone) Ein wichtiger Teil eines großen Firmennetzwerks ist die DMZ. Dieser Abschnitt beschreibt, wofür eine DMZ verwendet wird. Spätere Abschnitte enthalten Beispiele dafür, wie eine DMZ eingesetzt wird. Eine DMZ (demilitarized Zone) ist ein Netzwerk, das die Einbeziehung des Internets in ein privates Netzwerk erlaubt, dabei jedoch immer die Sicherheit dieses Netzwerks gewährt. Die DMZ ermöglicht einem Unternehmen die Nutzung des Internets als kostensparendes Medium und erlaubt ihm zugleich, sich im Internet zu präsentieren. Die DMZ spart nicht nur durch die Verwendung der vorhandenen Infrastrukturen des Internet mit VPNs Geld. Sie erspart auch WAN-Verbindungskosten für das Mieten von Leitungen. Grundsätzlich ist eine DMZ ein Netzwerk, das sich zwischen einem privaten Netzwerk und dem Internet befindet. Die DMZ enthält Geräte wie Server, Router und Switches, die das interne Netzwerk vor einer Exponierung im Internet schützen. Die Server, die sich innerhalb einer DMZ befinden, bestehen gewöhnlich aus Proxyserver-Arrays, die das Netzwerk zum Erteilen eines Webzugangs für interne Benutzer verwendet, externen Internet-Informationsdiensten (IIS), die eine Organisation für ihre Präsentierung im Internet verwenden kann, sowie einigen VPN-Servern, die sichere Verbindungen für Remoteclients zur Verfügung stellen. Weitere Informationen zu VPNs finden Sie unter „VPN-Sicherheit“ und „VPNs mit L2TP-über-IPSec“ weiter unten in diesem Kapitel. In Abbildung 7.2 wird ein Beispiel einer DMZ gezeigt. Das Gerät an der Schwelle einer DMZ ist ein Router. Die optimale Geschwindigkeit einer Verbindung zum Internet für ein großes Unternehmen entspricht mindestens DS3, also 45 Megabit pro Sekunde (Mbps). Die Verbindung zwischen dem Router und den Servern in der DMZ kann jedes Hochgeschwindigkeits-LAN bilden, empfehlenswert ist jedoch ein Gigabit-Ethernet oder ATM, wenn Sie starken Internet-Datenverkehr erwarten. Sie können für ein kleines bis mittleres Netzwerk einen Windows 2000 Routingund RAS-Router an einer DMZ-Schnittstelle verwenden. An der Internetschnittstelle kann Paketfilterung aktiviert werden, als Schutz gegen ungewünschten Datenverkehr und zur allgemeinen Sicherheit.
172
Teil II
Netzwerkinfrastruktur
Standortverbindung für eine Organisation Viele große Unternehmen haben Büros, die auf unterschiedliche geographische Standorte verteilt sind. Diese Büros müssen mit dem Hauptsitz oder Zentralbüro verbunden werden und verbunden bleiben. Weltweit werden die unterschiedlichsten WAN-Verbindungsmedien verwendet. Tabelle 7.1 beschreibt die verschiedenen WAN-Technologien und ihre Einsatzmöglichkeiten. Tabelle 7.1 WAN-Technologien WAN-Technologie
Beschreibung
T1
Die Übertragung erfolgt mit einer Geschwindigkeit von 1,544 Mbps über 23 B-Kanäle für Daten und einen D-Kanal für die Taktrate. T1 kann auch in separate Segmente von 64 Kilo Bytes pro Sekunde (KBps) unterteilt werden. Wird vorwiegend in Europa verwendet. Die Übertragungsgeschwindigkeit beträgt 2,048 Mbps. Überträgt DS3-Daten bei 44,736 Mbps.
E1 T3 Frame Relay
Digital Subscriber Line (DSL – Digitaler Teilnehmeranschluss)
Paketweise geschaltete Technologie, die als Ersatz für das Protokoll X.25 gilt. Die Geschwindigkeiten sind in etwa die gleichen wie bei T1. DSL besteht aus einem asymmetrischen digitalen Teilnehmeranschluss (ADSL), einem digitalen Teilnehmeranschluss mit hoher Datenrate (HighData-Rate Digital Subscriber Line, HDSL), einem digitalen Teilnehmeranschluss über nur eine Leitung (Single-Line Digital Subscriber Line, SDSL) sowie einem digitalen Teilnehmeranschluss mit sehr hoher Datenrate (Very-High-Data-Rate Digital Subscriber Line,VDSL).
Für Verbindungen mit niedrigen Übertragungsraten oder zu Sicherungszwecken kann die Standortverbindung auch andere DFÜ-Medien verwenden, wie beispielsweise ISDN oder analoge Telefonleitungen. So kann eine Organisation beispielsweise über einen kleinen Standort verfügen, der normalerweise über eine segmentierte T1-Leitung angeschlossen ist. Falls jedoch der WAN-Provider ausfallen sollte, kann zu Sicherungszwecken auch die Telefonleitung verwendet werden. Normalerweise werden mehrere Standorte innerhalb einer Organisation durch Router verbunden. Windows 2000 Routing- und RAS-Dienste bietet Routingdienste, die es einer Organisation ermöglichen, kosteneffektiv Remotestandorte mit dem zentralen Unternehmensstandort zu verbinden. Über das Internet können Standorte mit Hilfe von VPNs verbunden werden - eine kostengünstige Alternative für Ihre Organisation. Wenn ein Standort nicht rund um die Uhr mit der Zentrale verbunden sein muss, kann eine Router-zu-Router-Verbindung für Wählen bei Bedarf eingerichtet werden. Dies spart WAN-Verbindungskosten.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
173
Remoteclientverbindungen Die Effektvität einer Organisation beruht unter anderem auf der Möglichkeit für ihre Benutzer, jederzeit auf die Unternehmensressourcen zuzugreifen, ob sie sich zu Hause oder auf Reisen befinden. Viele Unternehmen haben begonnen, vermehrt Telearbeit einzusetzen. Diese Strategie erspart den Mitarbeitern aufwendige Fahrten zum Arbeitsplatz, und ermöglicht gleichzeitig dem Unternehmen die kosteneffektive Verwaltung von Büroräumen bei steigenden Beschäftigtenzahlen. Ein weiterer Vorteil von Remoteclientverbindungen ist die Möglichkeit für Außendienst- und Service-Mitarbeiter, über eine Einwählverbindung auf Dateien und E-Mail zuzugreifen. In jedem Fall benötigen Benutzer auch außerhalb des Büros Zugangsmöglichkeiten zu ihren Mail- und Dateiservern, die sich innerhalb der Infrastruktur des Unternehmensnetzwerks befinden. Windows 2000 Routing und RAS ermöglicht diesen Zugang durch den Empfang eingehender Remote-Zugriffsverbindungen und ihre anschließende Weiterleitung an das angegebene Ziel. Die Routing- und RASDienste können auch für den Empfang eingehender VPN-Verbindungen verwendet werden und bieten somit eine sichere Übertragungsmethode für Daten über das Internet. Weitere Informationen zu VPNs finden Sie unter „VPN-Sicherheit“ und „VPNs mit L2TP-über-IPSec“ an späterer Stelle in diesem Kapitel. Der Zugang zu einer Unternehmensinfrastruktur über Remoteclients beschränkt sich nicht nur auf IP-Clients (Internet Procotcol). Über seine Multiprotokollfunktion ermöglicht Windows 2000 Routing und RAS den Remotezugriff auch für andere Clients, wie zum Beispiel Macintosh-, UNIX- oder NetWare-Clients. Auch die in Windows 2000 unterstützten VPN-Protokolle (PPTP und das Layer-2Tunneling-Protokoll, L2TP) unterstützen Multiprotokollverbindungen über das Internet.
Windows 2000 TCP/IP In modernen Organisationen erfordern Netzwerke heute ein leistungsfähiges Protokoll mit größtmöglicher Skalierbarkeit, das darüber hinaus zur Interoperabilität mit dem Internet fähig ist. Das TCP/IP-Protokoll ist eine Protokollsammlung nach Industriestandard und die Grundlage für große übergreifende Netzwerke, die LAN- und WAN-Netze umfassen. Es wird sowohl für Intranets als auch für das Internet rasch das führende Protokoll werden. Windows 2000 TCP/IP ist: ? Ein auf Industriestandards basierendes Netzwerkprotokoll. ? Ein routbares Netzwerkprotokoll, das die Verbindung von Windows-basierten
Servern und Clients mit LANs und WANs unterstützt. ? Ein skalierbares Protokoll zur Integration von Windows-basierten Servern und Arbeitsstationen in heterogene Systeme. ? Die Grundlage für den Zugang zu globalen Internetdiensten. Microsoft-TCP/IP bietet grundlegende und fortgeschrittene Funktionen, die es einem Computer unter Windows 2000 ermöglichen, Verbindungen zu anderen Betriebssystemen wie z. B. UNIX aufzubauen und Informationen mit diesen auszutauschen.
174
Teil II
Netzwerkinfrastruktur
Neue Funktionen in der Windows 2000-TCP/IP-Protokollfamilie Die neue Microsoft-TCP/IP-Protokollfamilie kann sich selbst anpassen, um unveränderte Zuverlässigkeit und Leistung zu gewährleisten. Die folgenden vier Abschnitte behandeln die neuen Funktionen in der TCP/IP-Protokollfamilie.
APIPA (Automatic Private IP Addressing) -Konfiguration Die Konfiguration der automatischen privaten IP-Adressvergabe (APIPA, Automatic Private IP Addressing) besteht in der automatischen Zuweisung einer eindeutigen Adresse im Bereich von 169.254.0.1 bis 169.254.255.254 mit einer Subnetzmaske von 255.255.0.0, wenn kein DHCP-Server vorhanden ist. APIPA wird bei einzelnen Subnetzen (Single Subnet Networks) wie beispielsweise SOHONetzwerken verwendet, die zu klein sind, um einen eigenen DHCP-Server zu rechtfertigen. Wenn Sie beispielsweise ein Büro zu Hause haben und den internen Windows 2000-Servern und -Clients IP-Adressen zuweisen möchten, ist lediglich die Verbindung der Systeme durch ein Netzwerkmedium erforderlich. Die einzelnen Windows 2000-Computer weisen sich dann selbst eine Adresse aus dem mit APIPA definierten Adressbereich zu.
Unterstützung großer Empfangsfenster Die Unterstützung großer Empfangsfenster erhöht die Datenmengen, die gleichzeitig pro Verbindung gepuffert werden können, reduziert den Netzwerkverkehr und beschleunigt die Datenübertragung. Anmerkung Die Unterstützung großer Empfangsfenster ist nicht standardmäßig aktiviert. Standardmäßig beträgt die Fenstergröße etwa 16 Kilobyte (KB); dies ist das Doppelte der Fenstergröße in Windows NT 4.0.
Selektive Bestätigung Selektive Bestätigungen ermöglichen es dem Empfänger, den Sender zu informieren, dass anstelle ganzer Datenblöcke nur die noch nicht empfangenen Daten erneut übertragen werden sollen. Dies bewirkt eine effizientere Auslastung der Netzwerkbandbreite.
Verbesserte Schätzung der Umlaufzeiten TCP verwendet die Umlaufzeit (Round Trip Time, RTT), um die Zeitverzögerung bei der Kommunikation zwischen Sender und Empfänger zu schätzen. Windows 2000 TCP liefert verbesserte Schätzwerte durch den Einsatz von Übertragungszeitgebern und bietet damit eine allgemein verbesserte TCP-Leistung. Diese Verbesserung in TCP ist vor allem in WANs von Vorteil, die große Distanzen überwinden müssen, oder nur langsame Verbindungen wie z. B. Satellitenkommunikation nutzen können.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
175
Planungsüberlegungen für Microsoft-TCP/IP Wenn Ihr Netzwerk nicht bereits TCP/IP verwendet, müssen Sie einen umfassenden IP-Adressierungsplan entwickeln. Bei der Planung der IP-Infrastruktur sind IP-Netzwerkkennungen und Subnetzmasken einzubeziehen. Mit Hilfe der Informationen in den folgenden Abschnitten können Sie einen funktionsfähigen Plan aufstellen.
IP-Adressklassen Welche Adressklasse verwendet werden soll, hängt davon ab, ob es sich um ein privates oder ein Netzwerk mit Internetanbindung handelt. Die Netzwerkadressierung wird auch durch die Größe der Infrastruktur bestimmt. Sie hängt direkt damit zusammen, welcher Adressbereich verwendet wird. Bei der Planung der IP-Adressen für Ihr Netzwerk sollten Sie Folgendes beachten: Inventar der physikalischen Subnetze und Hosts Zählen Sie die Subnetze und Hosts in Ihrem derzeitigen Netzwerk, und legen Sie anschließend fest, wie viele Sie in Ihrem neuen Netz benötigen werden, indem Sie den IP-Adressbereich in Subnetze unterteilen. Planen Sie hierbei mindestens fünf Jahre voraus, so dass Ihnen die IP-Adressen oder Subnetze nicht vorzeitig ausgehen. Wenn das Netzwerk direkt mit dem Internet verbunden ist, benötigen Sie einen IP-Adressbereich, der von Ihrem Internetdienstanbieter (ISP) zugewiesen wird. Weitere Informationen zur Unterteilung von IP-Adressbereichen in Subnetze finden Sie unter „Internetprotokollsicherheit“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. Anmerkung Ein Netzwerk sollte nur wenige TCP/IP-Systeme besitzen, die direkt mit dem Internet verbunden sind, wie die DMZ. Je weniger Systeme vom Internet aus zugänglich sind, desto sicherer ist Ihr Netzwerk vor unbefugten Zugriffen. Private Netzwerke mit oder ohne Proxyverbindung zum Internet Sie können für private TCP/IP-Netzwerke, die nicht mit dem Internet oder durch einen Proxyserver mit dem Internet verbunden sind, jeden Bereich von gültigen IPAdressen der Klasse A, B oder C verwenden. Es wird jedoch empfohlen, private Adressen zu verwenden, um eine Neunummerierung Ihres Netzwerks zu verhindern, wenn Sie eine Verbindung mit dem Internet herstellen. Der private IPAdressraum ist in drei Arten von IP-Adressen definiert, die von der IANA (Internet Assigned Numbers Authority) reserviert wurden. Dies sind die reservierten IP-Bereiche: ? 10.0.0.1/8 bis 10.255.255.254/8 ? 172.16.0.1/12 bis 172.31.255.254/12 ? 192.168.0.1/16 bis 192.168.255.254/16
176
Teil II
Netzwerkinfrastruktur
Anmerkung Weitere Informationen über private Adressierung erhalten Sie in RFC 1918. Der hier gezeigte private Adressbereich verwendet eine NetzwerkPräfixnotation, auch bekannt als CIDR-Notation (Classless Interdomain Routing – klassenloses Interdomänen-Routing) zur Definition von Subnetzmasken.
Subnetzmasken und benutzerdefinierteTeilvernetzung Da öffentliche IP-Adressen knapp sind, können Sie zur Implementierung von IPSubnetzen benutzerdefinierte Subnetzmasken verwenden. Benutzerdefinierte Teilvernetzung ist entweder definiert als Teilvernetzung, CIDR (Classless Interdomain Routing) oder als VLSM (Variable Length Subnet Mask) Mit einer benutzerdefinierten IP-Teilvernetzung können Sie die Einschränkungen der Standardsubnetzmasken umgehen und Ihren IP-Adressbereich effektiver nutzen. Durch die benutzerdefinierte Anpassung der Länge der Subnetzmaske können Sie die Anzahl der Bits reduzieren, die für die aktuelle Hostkennung verwendet werden. In manchen Fällen können Sie Standardsubnetzmasken für Standardnetzwerke der Klassen A, B und C einsetzen. Standardsubnetzmasken sind durch Punkte getrennte Dezimalwerte, die die Netzwerkkennung von der Hostkennung einer IP-Adresse trennen. Wenn Sie z. B. für ein Netzwerksegment den IPAdressbereich der Klasse A von 10.0.0.0 an verwenden, lautet die Standardsubnetzmaske 255.0.0.0. Normalerweise eignen sich Standardsubnetzmasken für Netzwerke ohne besondere Anforderungen, bei denen jedes IP-Netzwerksegment einem einzelnen physikalischen Netzwerk entspricht. Anmerkung Vergewissern Sie sich, dass alle TCP/IP-Computer eines Netzwerksegments dieselbe Subnetzmaske verwenden, um Adressierungs- und Routingprobleme zu verhindern. Sie können Subnetzmasken mit Ihren IP-Adressen auch anzeigen, indem Sie eine Netzwerk-Präfixnotation verwenden. Diese Option gestattet Ihnen, eine verkürzte Version der Subnetzmaske anzuzeigen, während ihr Wert bestehen bleibt. Die Tabelle 7.2 beschreibt diesen Vorgang. Die unterstrichenen Bits in Tabelle 7.2 bilden das Netzwerkpräfix. Tabelle 7.2 Netzwerkpräfix und Länge der Subnetzmaske Adressklasse
Subnetzmaske(binär)]
Netzwerkpräfixmit entsprechendem Dezimalwert
Klasse A Klasse B
11111111 000000000000000000000000 11111111111111110000000000000000
/8 = 255.0.0.0 /16=255.255.0.0
Klasse C
111111111111111111111111 00000000
/24=255.255.255.0
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
177
TCP/IP und WINS (Windows Internet Name Service) WINS (Windows Internet Name Service) ist ein Dienst, der NetBIOS-Namen (Network Basic Input/Output System) IP-Adressen zuordnet. In Versionen von Windows vor Windows 2000 wurde WINS in Verbindung mit DHCP dazu verwendet, um NetBIOS-Namen und dynamisch zugewiesene IP-Adressen bei der WINS-Datenbank zu registrieren. In diesem Fall fragt ein DHCP-fähiger Host einen DHCP-Server nach einer IP-Adresse und der DHCP-Server weist dann dem DHCP-Client einen WINS-Server als DHCP-Option zu. Nach Abschluss des DHCP-Zuweisungsvorgangs werden der NetBIOS-Name und die zugehörige IPAdresse in der WINS-Datenbank durch den DHCP-Client registriert. Windows 2000 bietet die Integration von DNS und WINS. Wenn ein Windows 2000-DNS-Server einen vollqualifizierten Domänennamen (FQDN) nicht auflösen kann, wandelt es den FQDN in einen NetBIOS-Namen um und fragt einen konfigurierten WINS-Server ab. Die vom WINS-Server erhaltene IPAdresse wird an den DNS-Client weitergeleitet. In Windows 2000 ist WINS und NetBIOS über TCP/IP nicht erforderlich, wenn Sie nur Windows 2000-Server und -Clients verwenden. Wenn Sie jedoch Systeme wie Windows NT, Version 3.5x, Windows NT 4.0, Windows 95, Windows 98 oder Windows 3.x verwenden, ist WINS immer noch erforderlich, da diese Betriebssysteme NetBIOS-Namensauflösungen und NetBIOS-Sitzungen verwenden, um Datei- und Druckfreigabenverbindungen zu erstellen.
Überlegungen zum WINS-Entwurf Wenn NetBIOS-Namensauflösung erforderlich ist, müssen Sie zunächst die erforderliche Anzahl von WINS-Servern bestimmen. Beachten Sie dabei den Standort der Router auf Ihrem Netzwerk und die Verteilung der Clients in jedem Subnetz. In einem kleineren Netzwerk kann ein einzelner WINS-Server zuverlässig bis zu 10.000 Clients für NetBIOS-Namenauflösungsanforderungen bewältigen. In größeren Netzwerken sind je nach Anzahl von Clientverbindungen pro Server mehrere WINS-Server erforderlich.. Sie können den WINS-Server entweder auf demselben System wie den DNS-Server oder separat installieren. Sie müssen an einer anderen Stelle des Netzwerks auch einen WINS-Server für Sicherungszwecke installieren. Sie können diesen Sicherungs-WINS-Server entweder auf demselben System wie den Windows 2000-Domänencontroller oder separat installieren.
Routing und RAS Beim Routing werden Adressierungsdaten eines Netzwerkpakets verwendet, um den optimalen Pfad festzulegen, auf dem das Paket sein Ziel erreichen kann. Routing ist erforderlich, wenn sich der Quellhost und der Zielhost in verschiedenen logischen Netzwerken befinden. Routing ist ebenfalls in größeren Netzwerkinfrastrukturen erforderlich, da es unpraktisch ist, nur einen Adressensatz für ein ganzes Netzwerk zu verwenden. Denn wenn ein Netzwerk an Größe zunimmt, wächst gleichzeitig die Adressierungskomplexität. Zudem ist es nicht praktikabel, alle Systeme eines großen Netzwerks in demselben logischen Netzwerk zu platzieren. Dies erhöht den Netzwerkverkehr erheblich. Sie können ein TCP/IP-Netzwerk segmentieren, indem Sie den IP-Adressbereich in Subnetze aufteilen. Sobald die IP-Adressen aufgeteilt wurden, verwenden die neu gebildeten Subnetze Router, um die Daten von einem Subnetz zum anderen weiterzuleiten. Sie können Routing auch verwenden, um ungleiche Netzwerke wie Ethernet, ATM und Token Ring zu verbinden.
178
Teil II
Netzwerkinfrastruktur
Routingtabellen werden dazu verwendet, die Routen zwischen den Hosts unterschiedlicher Subnetze zu überwachen. Die Anzahl der Router innerhalb einer Infrastruktur und die Größe der Routingtabellen nehmen entsprechend der Größe eines Netzwerks zu. Wenn Administratoren diese Routen überwachen müssten, müssten sie permanent das Netzwerk nach Routern absuchen, die offline geschaltet sind oder nach zeitweise ausgefallenen Verbindungen, um diese Informationen dann manuell in die Routingtabellen einzutragen. Router verwenden Routingprotokolle nach Industriestandard, um die Routingtabellen den Netzwerkveränderungen entsprechend dynamisch zu aktualisieren. Windows 2000 Server versorgt Firmen mit LAN-zu-LAN-Routing und bietet eine Alternative zum Kauf spezieller Routerhardware, da Routing und RAS in Windows 2000 Server integriert ist. Dieser Service unterstützt die Fähigkeit TCP/IP-, IPX- (Internetwork Packet Exchange) und AppleTalk-Datenverkehr durch die Verwendung von integrierten Routingprotokollen dynamisch weiterzuleiten. Routing und RAS können auch Remoteoffice-Verbindungen bieten, indem sie WAN-Verbindungen unterstützen.
Neue Funktionen von Windows 2000 Routing und RAS Dieser Abschnitt stellt die neuen Funktionen von Windows 2000 Routing und RAS vor, die es Firmen und ihren angeschlossenen RAS-Clients durch die Nutzung des Internets als Datenpfad erlauben, Daten sicherer zu senden und zu empfangen. Clients innerhalb der Windows 2000-Netzwerkstruktur können die Vorzüge des Zugriffs auf Multicastdaten aus dem Internet nutzen. Tabelle 7.3 beschreibt die neuen Funktionen von Windows 2000 Routing und RAS. Tabelle 7.3 Neue Funktionen von Windows 2000 Routing und RAS. Funktion
Beschreibung
Windows 2000 Active Directory-Integration
Erlaubt das Durchsuchen und Verwalten von RASServern mit auf Active Directory basierenden Tools wie dem Verwaltungsprogramm „Routing und RAS“. Sorgfältige Überprüfung von Anmeldeinformationen und Generierung von Verschlüsselungsschlüsseln. Dieses Protokoll wurde speziell für die Authentifizierung von VPN-Verbindungen entwickelt, die das PPTPProtokoll verwenden.
Microsoft Challenge Handshake Authentication-Protokoll (CHAP), Version 2 Extensible AuthenticationProtokoll (EAP)
Erlaubt die Einbindung von Authentifizierungsmethoden von Fremdanbietern in die Implementation des Windows 2000-Point-to-PointProtokolls (PPP). Die interne Methode EAP/Transport Layer Security (TLS) unterstützt den Gebrauch von Smartcards zur Authentifizierung und der leistungsfähigen Generierung von Verschlüsselungsschlüsseln.
Bandwidth AllocationProtokoll
Erlaubt eine effektivere Multilink-PPP-Verbindung durch dynamisches Hinzufügen und Löschen von Verbindungen entsprechend den Änderungen im Verkehrsfluss. Dies ist nützlich für Netzwerke, deren Gebühren sich nach der beanspruchten Bandbreite richten. Das Gleiche gilt für ISDN-Leitungen und
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
179
ähnliche Kommunikationstechnologien. (Fortsetzung) Funktion
Beschreibung
RAS-Richtlinien
Geben Administratoren die Möglichkeit, Verbindungen anhand der Tageszeit, der Gruppenmitgliedschaft, der Verbindungsart und anderen Kriterien zu kontrollieren. Bietet Client-zu-Gateway und Gateway-zu-GatewayVPN-Verbindungen, gesichert durch IPSec (Internet Protocol Security).
Layer-2-TunnelingProtokoll(L2TP) IP-Multicastunterstützung
Netzwerkadressübersetzun g (NAT)
Gemeinsame Nutzung der Internetverbindung (ICS)
Unterstützt IGMP (Internet Group Membership Protocol), Version 2 und fungiert als ein MulticastWeiterleitungsrouter, der die Weiterleitung von IPMulitcast-Datenverkehr zwischen verbundenen Clients und demInternet oder einem Firmennetzwerk ermöglicht. Bietet ein kleines bis mittleres Netzwerk mit nur einer Schnittstelle, die eine Verbindung mit dem Internet herstellt und einen Übersetzungsdienst für IP-Adressen zwischen öffentlichen und privaten IP-Adressen bietet. Bietet darüberhinaus IP-Adresszuweisung und DNSProxynamensauflösung für interne Netzwerkclients. Bietet ein kleines Netzwerk mit einer leicht zu konfigurierenden, aber begrenzten Schnittstelle, die SOHOClients mit dem Internet verbindet. ICS bietet DNSNamensauflösung, automatische Adresszuweisung und einen einzigen IP-Adressbereich zur IPAdressverteilung.
RAS-Richtlinie In den Windows NT Versionen 3.5x und 4.0 basierte die RAS-Autorisierung auf der einfachen Option Dem Benutzer Einwählrechte erteilen im Benutzer-Manager oder dem RAS-Verwaltungsprogramm. Rückrufoptionen wurden ebenfalls auf Einzelbenutzerbasis konfiguriert. In Windows 2000 wird die Autorisation basierend auf den DFÜ-Eigenschaften eines Benutzerkontos und den RAS-Richtlinien erteilt. Bei den RAS-Richtlinien handelt es sich um eine Gruppe von Bedingungen und Verbindungseinstellungen, die Netzwerkadministratoren bei der Autorisierung von Verbindungsversuchen mehr Flexibilität gewähren. Windows 2000 Routing und RAS und der Windows 2000-Internetauthentifizierungsdienst (IAS) verwenden RAS-Richtlinien, um festzulegen, ob Verbindungsversuche angenommen oder zurückgewiesen werden. In beiden Fällen werden die RAS-Richtlinien lokal gespeichert. Die Richtlinie wird nun auf Einzelanrufbasis vorgeschrieben. Mit Hilfe von RAS-Richtlinien können Autorisierungen nach bestimmten Uhrzeiten oder Wochentagen, nach der Windows 2000-Gruppe, der der RAS-Benutzer angehört, nach Art der angeforderten Verbindung (DFÜ-Netzwerk- oder VPNVerbindung) usw. gewährt oder verweigert werden. Sie können die Einstellungen unterschiedlich konfigurieren und z. B. die maximale Sitzungslänge beschränken, Kriterien für die Authentifizierung und Verschlüsselung definieren, Richtlinien für das Bandwidth Allocation Protocol (BAP) festlegen und so weiter.
180
Teil II
Netzwerkinfrastruktur
In jedem Fall ist zu beachten, dass eine Verbindung bei der Verwendung von RASRichtlinien nur autorisiert ist, wenn die Verbindungseinstellungen mindestens eine der RAS-Richtlinien erfüllen (abhängig von den Bedingungen der DFÜEigenschaften des Benutzerkontos und den Profileigenschaften der RAS-Richtlinie). Wenn die Verbindungseinstellungen nicht mindestens eine der RAS-Richtlinien erfüllen, wird der Verbindungsversuch ungeachtet der DFÜ-Eigenschaften des Benutzerkontos verweigert.
Überlegungen zum RAS-Entwurf Die folgenden Überlegungen behandeln den Entwurf von RAS-Schemas. ? Ist ein DHCP-Server installiert, konfigurieren Sie den Routing- und RAS-Server
für die Verwendung von DHCP, um IP-Adressen für die RAS-Clients zu erhalten. ? Ist kein DHCP-Server installiert, konfigurieren Sie den Routing- und RAS-
Server mit einem statischen IP-Adresspool. Dieser ist ein Teil der Adressen des Subnetzes, an das der RAS-Server angeschlossen ist. ? Beim Konfigurieren von IPX sollte der RAS-Server so eingerichtet werden, dass er allen RAS-Clients automatisch dieselbe Netzwerkkennung zuweist.
VPN-Sicherheit Die Netzwerksicherheit spielt in den meisten Organisationen eine wichtige Rolle. Zwei Protokolle, die Windows 2000-Netzwerke verwenden, um sichere Verbindungen über das Internet zu gewährleisten, sind das Point-to-Point-TunnelingProtokoll (PPTP) und L2TP, das in Verbindung mit der Funktion Internet Protocol Security (IPSec) verwendet wird. Microsoft TCP/IP, PPTP und L2TP/IPSec bieten maximale Sicherheit und schützen die Pfade zwischen Hosts und Gateways.
Vorteile virtueller privater Netzwerke Die folgende Liste zeigt die Vorteile von VPN-Verbindungen gegenüber direkten DFÜ-Fernverbindungen. Reduzierter Kostenaufwand Zu den wichtigsten Anliegen einer Organisation gehört der Kostenaufwand – und Telefonkosten sind eine der größten Ausgabenpositionen eines Unternehmens. Die Verwendung des Internets als Verbindungsmedium anstelle von Telefonverbindungen reduziert die Telefonkosten erheblich und verringert darüber hinaus den erforderlichen Hardwareaufwand. So muss sich der Client z. B. lediglich beim lokalen ISP einwählen. Mit Hilfe von L2TP und IPSec können Benutzer dann sichere Verbindungen zu Windows 2000-VPN-Servern aufbauen, die mit dem Internet verbunden sind und auf denen Routing und RAS läuft. Reduzierter Verwaltungsaufwand Da die örtliche Telefongesellschaft die Leitungen für Ihre VPN-Verbindungen besitzt und wartet, ist der Verwaltungsaufwand für Ihre Netzwerkadministratoren geringer.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
181
Zusätzliche Sicherheit Windows 2000 verwendet standardisierte interoperable Authentifizierungs- und Verschlüsselungsprotokolle, welche die Daten vor der ungesicherten Internetumgebung verbergen, den Zugriff darauf für Benutzer des Unternehmens über ein VPN jedoch weiterhin ermöglichen. Wenn der VPN-Tunnel also mit Hilfe von IPSec verschlüsselt wird, sieht das Internet lediglich die externen IP-Adressen, während die internen Adressen geschützt sind. Daher ist es für Hacker außerordentlich schwierig, die durch einen VPN-Tunnel gesendeten Daten zu interpretieren.
VPNs mit PPTP (Point-to-Point Tunneling Protocol) PPTP ist eine hervorragende Lösung für die Anforderungen von Clients an das „Tunneln“. Verglichen mit L2TP/IPSec ist es relativ leicht einzurichten und bietet einen guten Sicherheitsschutz bei der Verwendung mit einer Kombination aus Benutzername und Kennwort. PPTP ist ein Protokoll nach Industriestandard, das zuerst in Windows NT 4.0 unterstützt wurde. Dieses Protokoll nutzt die Authentifizierung, Datenkompression und die Verschlüsselungstechnik von PPP. PPTP wird auch heute noch in zahlreichen Netzwerken eingesetzt. Da L2TP gemeinsam mit der IPSec-Verschlüsselung mehr Sicherheit bietet, werden diese beiden Funktionen in diesem Kapitel ausführlicher behandelt.
VPNs mit L2TP über IPSec VPNs mit L2TP über IPSec ermöglichen den Transport von Daten über das Internet unter Beibehaltung eines hohen Sicherheitsniveaus zum Schutz dieser Daten. Dieser Typ einer sicheren Verbindung eignet sich besonders für Clients in kleinen oder entfernten Büros, die Zugang zum Unternehmensnetzwerk benötigen. VPNs mit L2TP über IPSec können auch für Router an entfernten Standorten eingesetzt werden. Hierbei wird der lokale ISP verwendet und eine bei Bedarf herzustellende Verbindung zu dem Hauptsitz des Unternehmens aufgebaut. Bei der Planung von L2TP über IPSec-Verbindungen sollten Sie darauf achten, dass der VPN-Server am Zugangspunkt zum Internet oder in der DMZ des Netzwerks installiert wird. Der VPN-Server ist für die Durchsetzung von Zugriffsrichtlinien von Benutzern verantwortlich, die im Benutzerkonto des Windows 2000-Domänencontrollers, in den RAS-Richtlinien und den DFÜBenutzerprofilen auf dem VPN-Server oder im IAS definiert wurden. L2TP erzeugt die erforderlichen IPSec-Sicherheitsrichtlinien für einen sicheren Tunnelverkehr. Es ist nicht nötig, jedem Computer eigene IPSec-Richtlinien zuzuweisen oder diese auf ihnen zu aktivieren. Ist auf einem Computer bereits eine IPSec-Richtlinie aktiv, fügt L2TP zu dieser Richtlinie einfach eine Sicherheitsregel hinzu, um den L2TP-Tunnelverkehr zu sichern.
182
Teil II
Netzwerkinfrastruktur
Überlegungen zum Einsatz von L2TP Für eine L2TP über IPSec-Verbindung müssen Sie auf dem VPN-Client und dem VPN-Server Computerzertifikate installieren. Nachdem ein Client eine VPNVerbindung angefordert hat, wird der VPN-Zugang durch die Kombination der DFÜ-Eigenschaften im Benutzerkonto mit den RAS-Richtlinien gewährleistet. In Windows NT 4.0 musste der Administrator lediglich die Option Dem Benutzer Einwählrechte erteilen in den DFÜ-Eigenschaften im Benutzer-Manager oder Benutzer-Manager für Domänen auswählen, um den RAS-Zugriff zu ermöglichen. In Windows 2000 kann der Administrator den RAS-Zugriff auf das Unternehmensnetzwerk mit Hilfe von RAS-Richtlinien auf dem VPN-Server und in IAS gewähren oder verweigern. Dies ermöglicht eine bessere Einrichtung der Sicherheitseinstellungen. Bei der Verwendung von RAS-Richtlinien wird eine Verbindung nur zugelassen, wenn ihre Einstellungen mindestens eine der Richtlinien erfüllen. Ist dies nicht der Fall, wird die Verbindung abgelehnt. Für den Einsatz großer VPNs mit RAS-Zugriff können Sie den VerbindungsManager und das Verbindungs-Manager-Verwaltungskit verwenden, um eine benutzerdefinierte Wählhilfe mit vordefinierten VPN-Verbindungen zu allen RASClients in Ihrem Unternehmen einzurichten. Diese Programme erzeugen eine DFÜund VPN-Verbindung für Benutzer, die mit einem Mausklick aufgebaut werden kann, und verbinden damit zwei oder sogar drei Arbeitsschritte in einem einzigen.
L2TP-Beispiele Nachstehend finden Sie einige Beispielsituationen für die Verwendung von L2TP: Permanente Verbindung über Router-to-Router-VPN Ein Router-to-Router-VPN wird normalerweise verwendet, um entfernte Büros zu verbinden, wobei beide Router über eine permanente WAN-Verbindung wie z. B. T1, T3, Frame-Relay und Kabelmodem mit dem Internet verbunden sind. Bei diesem Konfigurationstyp müssen Sie an jedem Router nur eine einzige Schnittstelle für Wählen bei Bedarf konfigurieren. Permanente Verbindungen können nach dem Aufbau 24 Stunden am Tag bestehen bleiben. Abbildung 7.2 zeigt ein Routerto-Router-VPN.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
183
Abbildung 7.2 Router-to-Router-VPN
Router-to-Router-VPN bei Bedarf Ist es aufgrund des Standorts oder des Kostenaufwands nicht möglich oder praktikabel, eine permanente WAN-Verbindung einzurichten, können Sie eine Router-to-Router-VPN-Verbindung bei Bedarf konfigurieren. Hierzu müssen Sie den antwortenden Router permanent mit dem Internet verbinden. Der anrufende Router wird mit Hilfe einer DFÜ-Verbindung, z. B. über eine analoge Telefonoder ISDN-Leitung mit dem Internet verbunden. So müssen Sie beim antwortenden Router nur eine einzige Schnittstelle für Wählen bei Bedarf konfigurieren.
184
Teil II
Netzwerkinfrastruktur
VPN-Sicherheit mit IPSec IPSec muss auf dem VPN-Server eingesetzt werden, der sich in der DMZ des Unternehmens befindet. Der Entwurf in Abbildung 7.3 zeigt den VPN-Server in einer Kombination mit einem Multiprotokoll-RAS-Server. Diese Kombination hält den RAS-Teil des Netzwerks auf effektive Weise zusammen und vereinfacht somit Verwaltung und Sicherheit. Wenn sich ein Client im Unternehmensnetzwerk einwählt, das ein VPN mit IPSec einsetzt, bestimmt er selbst, welche Art von IPSecSicherheitsrichtlinie verwendet wird, sowie den RAS-Server, auf dem IPSec installiert ist. Dann richtet er automatisch den Tunnel ein, wie er vom Client definiert wurde.
Abbildung 7.3 Routing- und RAS-Clientverbindung über einen L2TP/IPSec-Tunnel
In diesem Beispiel verfügt der VPN-Server über drei Schnittstellen: eine in der DMZ, eine Schnittstelle mit Verbindung zu einem Router im internen Netzwerk und eine RAS-Schnittstelle. Die unsicherste Schnittstelle ist die Schnittstelle in der DMZ. Die DMZ ist ein Bereich, in dem, wie oben erläutert, das Internet auf das interne, private Netzwerk trifft, und der alle Server enthalten muss, die im Internet nach außen präsent sind. Die Windows 2000-Implementierung von IPSec basiert auf Industriestandards, die derzeit von der IPSec-Arbeitsgruppe der IETF entwickelt werden. Datenverschlüsselung ermöglicht es Firmen, das Internet als sichere, kostengünstige Lösung zur Übermittlung von Informationen von einem entfernten Standort oder Benutzer in die Infrastruktur des Unternehmens zu nutzen. Diese Strategie ist kostengünstig, da das bereits vorhandene Medium Internet verwendet wird. Für die Sicherheit sorgt IPSec. Im Internet stellt L2TP die Daten in einen Tunnel. IPSec bietet Sicherheit für den Tunnel, in dem die Daten geschützt sind. Was aber ist mit der ausgesetzten Schnittstelle? Sie können eine Schnittstelle zum Internet auf dem VPN-Server mit folgenden Mitteln vor Angreifern schützen:
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
185
? Beim erstmaligen Einrichten des VPN-Servers ist sicherzustellen, dass sich in
der Schnittstelle in der DMZ kein Routingprotokoll befindet. Die Schnittstelle muss stattdessen über eine Anzahl zusammengefasster statischer Routen in das private Unternehmensnetzwerk zeigen. ? Auf der Schnittstelle des privaten Netzwerks sollte ein Routingprotokoll aktiviert sein. ? Verwenden Sie Routing und RAS-Filter (keinen IPSec-Filter) an der Internetschnittstelle, um Ein- und Ausgabefilter für L2TP einzurichten, das den UDPPort (User Datagram Protocol) „Any“ und den Zielport 1701 verwendet. Richten Sie auch die Ein- und Ausgabefilter für Routing und RAS für das Internetschlüsselaustauschprotokoll (IKE-Protokoll) ein, das den UDP-Quellport „Any“ und den Zielport 500 verwendet. Damit wird Datenverkehr ausschließlich über L2TP-über-IPSec zugelassen. Konfigurieren Sie anschließend die Paketfilterung im RAS-Richtlinienprofil für Benutzergruppen und damit die Zulassung oder Verweigerung bestimmter Arten von IP-Datenverkehr. Die Handhabung für die Benutzer wird vereinfacht, wenn bei der Filterkonfiguration der Setup-Assistent für den Routing- und RAS-Server verwendet wird. Dann ist keine Konfiguration durch die Benutzer mehr erforderlich. Bei L2TP über IPSec-Verbindungen verwendet die IPSec-Sicherheitsaushandlung (IKE) eine auf Zertifikaten basierende Authentifizierungsmethode für die Computer selbst. L2TP führt die Benutzerauthentifizierung entweder unter Verwendung einer Kombination aus Domänen-/Benutzer-ID und Kennwort durch oder mit Hilfe einer Smartcard, eines Zertifikats oder einer Token-Card mit dem Extensible Authentication-Protokoll (EAP). Weitere Informationen über das Überschreiben dieser Standardeinstellungen und die Verwendung einer Authentifizierung mit vorinstallierten Schlüsseln finden Sie unter „Virtuelle Private Netzwerke“ in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. IPSec erfordert die Einrichtung der Vertrauensstellungen mit Hilfe von Zertifikaten, die für jeden Computer ausgestellt werden. Ein Verkaufsrepräsentant aus der Domäne domain.com führt regelmäßig Transaktionen mit reskit.com durch. Zur Entgegennahme der Bestellungen wählt sich der Verkaufsrepräsentant wöchentlich ein, um das Auftragsformular von der Abteilung für Betriebsmittel herunterzuladen. Um sicherzustellen, dass alle Transaktionen vor Mitbewerbern von domain.com gesichert sind, erfolgt die Einwahl bei reskit.com über einen ISP unter Verwendung eines VPN mit L2TP über IPSec. Sowohl der Remoteclient als auch der VPN-Server müssen ein Zertifikat besitzen und dem Zertifikat des jeweils anderen Computers vertrauen. Der Computer des Verkaufsrepräsentanten benötigt ein Computerzertifikat, um eine Vertrauensstellung mit dem VPN-Server von reskit.com auszuhandeln. Normalerweise wurde diesem Computer beim Anschluss an domain.com durch einen Windows 2000-Zertifikatserver ein Zertifikat ausgestellt. Der Computer erhielt eine Gruppenrichtlinieneinstellung mit Anweisungen für die Registrierung beim Zertifikatserver von domain.com, eine sogenannte Richtlinie für die automatische Zertifikatseinschreibung. Die Richtlinie für die Infrastruktur für öffentliche Schlüssel (PKI) für Zertifikate gibt darüber hinaus an, dass der Client dem Zertifikatserver, der dem VPN-Server das Zertifikat ausgestellt hat (vermutlich der Zertifikatserver von reskit.com), vertrauen kann. Der VPN-Server ist so konfiguriert, dass er dem Zertifikatserver von domain.com vertraut und akzeptiert daher das Zertifikat, das der Client vorweist.
186
Teil II
Netzwerkinfrastruktur
Nach erfolgter IPSec-Sicherheitszuordnung für L2TP wird die RAS-Richtlinie des Verkaufsrepräsentanten überprüft. Diese Eigenschaft ermöglicht dem Benutzerkonto in der Domäne den Remotezugriff. Benutzerzugriffe können detaillierter gesteuert werden, wenn der Internetauthentifizierungsdienst (IAS) verwendet wird, ein Server, der die Zugriffsrichtlinien über das RADIUS-Protokoll mitteilt. Sie können IPSec auch verwenden, um sicherzustellen, dass nur bestimmte Computer mit den entsprechenden Zertifikaten und Referenzen mit anderen Computern verbunden werden. Die Windows 2000-Benutzerkennungen und -gruppen, die in Zugriffssteuerungslisten (ACLs) definiert wurden, kontrollieren, wer Zugang zu bestimmten Freigaben besitzt. Anmerkung IPSec kann auch in einem Unternehmensnetzwerk verwendet werden, um Daten bei der Übertragung von Client zu Client oder von Client zu Server zu verschlüsseln. Weitere Informationen zu IPSec finden Sie unter „Internetprotokollsicherheit“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Internetauthentifizierungsdienst (IAS) und zentralisierte Verwaltung In großen Unternehmensnetzwerken können Verwaltungsrichtlinien auf mehreren RAS-Servern sehr aufgabenintensiv sein. IAS unterstützt Netzwerkadministratoren bei der Verwaltung geographisch verteilter RAS-Server von einem zentralen Standort aus. IAS bietet folgende Funktionen: ZentraleBenutzerauthentifizierung IAS unterstützt die Fähigkeit zur zentralen Verwaltung von Benutzerrichtlinien durch die Authentifizierung von Benutzern, die in Windows NT 4.0- und Windows 2000-Domänen angemeldet sind. Hierzu unterstützt IAS eine Vielzahl unterschiedlicher Authentifizierungsprotokolle. Dazu gehören: ? Password Authentication-Protokoll (PAP) ? ChallengeHandshake-Protokoll (CHAP) ? Microsoft Challenge Handshake-Protokoll (MS-CHAP) ? Extensible Authentication-Protokoll (EAP)
Auslagern der RAS-Dienste Dies ermöglicht die Verwendung des Netzwerks eines lokalen ISP und erlaubt den Mitarbeitern die Verbindung mit dem Unternehmensnetzwerk durch einen VPNTunnel. IAS ermöglicht die Nachverfolgung sowohl von Telefonkosten als auch von Benutzern, die sich mit dem ISP verbinden. Sie zahlen dem ISP nur die tatsächlich genutzten Dienstleistungen. So kann der Kostenaufwand für die ganze Organisation reduziert werden.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
187
Zentrale Verwaltung von RAS-Servern IAS ermöglicht es Netzwerkadministratoren, die RAS-Richtlinien auf nur einem RAS-Server zu konfigurieren. Die übrigen RAS-Server fungieren dann als RADIUS-Clients und erhalten ihre Richtlinien vom IAS-Server. Skalierbarkeit Kleine und mittlere Netzwerke in großen Unternehmen und ISPs können ebenfalls IAS verwenden. Remote-Überwachung Mit Hilfe der Ereignisanzeige, des Netzwerkmonitors oder durch Installation von SNMP (Simple Network Management Protocol) können Netzwerkadministratoren die IAS-Server von einem beliebigen Standort im Netz aus überwachen. Import/Export der IAS-Konfiguration Netzwerkadministratoren können IAS-Konfigurationen auch über ein befehlszeilenorientiertes Programm importieren oder exportieren. Weitere Informationen zu IAS finden Sie unter „Internetauthentifizierungsdienst“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Internetworking.
Mehrfachvernetzung Ein Computer, der mit mehreren IP-Adressen konfiguriert wurde, wird als mehrfach vernetztes System („multihomed system“) bezeichnet. Mehrfach vernetzte Systeme können, entsprechend den individuellen Anforderungen, auf unterschiedliche Arten genutzt werden. Mit mehrfach vernetzten DHCP-Servern können mehrere Subnetze versorgt werden. DNS kann ebenfalls von der Mehrfachvernetzung profitieren, da der DNS-Dienst auf einzelnen Schnittstellen individuell aktiviert und nur an bestimmte, festgelegte IP-Adressen gebunden werden kann. Standardmäßig erfolgt die Bindung mit DNS an allen auf dem Computer konfigurierten Schnittstellen. Mehrfachvernetzung wird auf unterschiedliche Arten unterstützt. ? Mehrere IP-Adressen für jeden Netzwerkadapter ? Mehrere Netzwerkadapter
IP-Routinginfrastruktur Damit Benutzer und Administratoren den vollen Funktionsumfang von Windows 2000 Server als Router nutzen können, müssen Sie die Netzwerkstruktur analysieren und entscheiden, welche Art von Routinginfrastruktur die Anforderungen Ihrer Organisation am besten erfüllt. Tabelle 7.4 beschreibt die verschiedenen Routingkonfigurationen und ihre Einsatzmöglichkeiten.
188
Teil II
Netzwerkinfrastruktur Tabelle 7.4 Routingkonfigurationen Routingkonfiguration
Beschreibung
Statisch geroutetes Netzwerk
Verwendet manuell hinzugefügte Routen zur Weiterleitung des Netzwerkverkehrs. VerwendetRIP-für-IP zur dynamischen Weiterleitung von Routinginformationen zwischen Routern. Verwendet das OSPF-Routingprotokoll zur dynamischen Weiterleitung von Routinginformationen zwischen Routern.
Routing Information-Protokoll (RIP) für IP-Netzwerke OSPF- (Open Shortest Path First)Netzwerk
Statisch geroutete Netzwerke Ein statisch geroutetes IP-Netzwerk verwendet keine Routingprotokolle wie z. B. RIP-für-IP oder OSPF für die Weiterleitung von Routinginformationen zwischen Routern. Alle Routinginformationen werden in einer Routingtabelle auf jedem Router gespeichert. Wenn Sie statisches Routing einsetzen möchten, sollten Sie sicherstellen, dass jeder Router die entsprechenden Routen in seiner Tabelle hat, so dass der Datenverkehr zwischen zwei beliebigen Endpunkten im IP-Netzwerk problemlos fließen kann. Mit Hilfe des zu Beginn des Kapitels beschriebenen Netzwerkdiagramms können Sie alle statischen Routen in einer Netzwerkinfrastruktur dokumentieren. Es bietet eine ideale Möglichkeit, die Routen für künftige Referenzen zu organisieren. Das Eintragen von statischen Routen in die Routingtabelle in einem Windows 2000Router kann über die Routing- und RAS-Verwaltungskonsole erfolgen. Weitere Informationen über das Hinzufügen statischer Routen finden Sie unter „ IP-Unicastrouting“ in Microsoft® Windows® 2000 Server - Die technische Referenz: Internetworking. Bevor Sie diesen Routingdienst nutzen können, müssen Sie ihn von der Verwaltungskonsole aus konfigurieren und aktivieren. Weitere Informationen über das Starten und Konfigurieren von Windows 2000 Routing und RAS finden Sie in der Onlinehilfe zu Windows 2000 Server. Weitere Informationen über das Installieren und Aktualisieren von Windows 2000-Mitgliedsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in diesem Buch. Sie können statische Routen in kleinen Netzwerken implementieren, die nur einen geringen Administrationsaufwand erfordern und in der näheren Zukunft keine große Ausdehnung erwarten lassen, wie beispielsweise in kleinen Firmen mit weniger als zehn Netzwerksegmenten. Da dennoch Verwaltungsaufwand erforderlich ist, können sie auch als unpraktisch angesehen werden, besonders angesichts der Fähigkeit des Windows 2000-Routing- und RAS-Dienstes, mit Hilfe von OSPF oder RIP-für-IP dynamisch Routinginformationstabellen für kleine zu großen Netzwerken zu erstellen.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
189
Entwurf eines RIP-für-IP-Netzwerks RIP für IP ist ein Distanzvektor-Routingprotokoll, das Routinginformationen zwischen benachbarten Routern dynamisch austauscht, wobei es je nach Bedarf Routen hinzufügt oder entfernt. Die Anzahl der Abschnitte ist bei RIP auf 16 begrenzt. Alle Ziele, die 16 und mehr Abschnitte entfernt sind, werden als nicht erreichbar angesehen. RIP-Netzwerke eignen sich am besten für kleine bis mittelgroße Infrastrukturen wie mittlere Unternehmen oder Zweigstellen. Weiter ist bei der Implementierung von RIP-für-IP in einem Netzwerk Folgendes zu beachten: ? RIP-für-IP verwendet eine Abschnittszählung als Kriterium für die optimale
Route. Wenn ein Standort z. B. über eine T1-Verbindung und eine Satellitensicherungsverbindung verfügt, und die Kosten für beide Verbindungen identisch sind, steht RIP-für-IP die Wahl zwischen beiden Verbindungen frei. Um dieses Problem zu umgehen, können Sie die langsamere Verbindung (über Satellit) mit den doppelten Kosten konfigurieren. Dies zwingt den Router, die T1-Verbindung als primäre Verbindung auszuwählen. ? Darüber hinaus ist der Bandbreitenverbrauch zu berücksichtigen, da RIP-
Router alle 30 Sekunden ihre Listen erreichbarer Netzwerke ankündigen. Je nach der Größe des Netzwerks können diese Ankündigungen kostbare WANBandbreiten verbrauchen. Bei wachsender Netzwerkgröße steigt überdies die Gefahr möglicher Engpässe. Mit Hilfe autostatischer RIP-Aktualisierungen können Sie die durch das Routingprotokoll genutzte Bandbreite reduzieren. Der Windows 2000-Routing- und RAS-Dienst unterstützt die Versionen 1 und 2 von RIP-für-IP. Die Version 1 von RIP wurde für Klassenumgebungen entworfen und meldet nicht die Subnetzmaske für jede Route. Wenn sich in Ihrem Netzwerk Router befinden, die nur die Version 1 von RIP unterstützen und Sie klassenloses Interdomänen-Routing (CIDR - Classless Interdomain Routing) oder VLSM (Variable Length Subnet Mask) verwenden, aktualisieren Sie die Router für die Unterstützung der Version 2 von RIP oder überspringen Sie RIP ganz und setzen Sie OSPF ein. Sie können RIP-für-IP wie folgt implementieren: 1. Konsultieren Sie Ihr Netzwerkdiagramm und finden Sie heraus, wo die RIPRouter platziert werden sollen. Falls Sie kein aktuelles Diagramm besitzen, sollten Sie sich die Anfertigung eines Entwurfs vor Beginn überlegen. Denken Sie daran, die Router in ein Netzwerk mit großer Bandbreite zu stellen, um Engpässe auf ein Minimum zu reduzieren. 2. Legen Sie fest, welches IP-Adressschema verwendet werden soll. Schreiben Sie auf, welche Adressen für Router, welche für Server und welche für Clients verwendet werden sollen. Wenn Sie z. B. den privaten Adressbereich von 172.16 0.0/22 benutzen, können Sie dem in Tabelle 7.5 gezeigten Format folgen. Tabelle 7.5 IP-Adressschemas Router
Adresse
Schnittstelle auf Router1 des Netzwerks 172.16.4.0/22
172.16.4.1
Schnittstelle auf Router2 des Netzwerks 172.16.8.0/22 Domänencontroller auf Netzwerk 172.16.4.0/22
172.16.8.1 172.16.4.10
190
Teil II
Netzwerkinfrastruktur (Fortsetzung) Router
Adresse
DomänencontrollerimNetzwerk172.16.8.0/22 ClientimNetzwerk172.16.4.0/22 ClientimNetzwerk172.16.8.0/22
172.16.8.10 172.16.4.20 172.16.8.20
3. Legen Sie nun fest, welche RIP-Version an jeder Schnittstelle verwendet werden soll. Wenn Sie ein neues Netzwerk einrichten, ziehen Sie in Erwägung, nur die Version 2 von RIP zu verwenden, da diese Version CIDR und VLSM unterstützt. Bei einem bereits vorhandenen Netzwerk, das die Version 1 von RIP verwendet, ziehen Sie eine Aktualisierung auf Version 2 von RIP in Erwägung.
OSPF-Netzwerkentwurf RIP-für-IP bietet eine einfache Möglichkeit, ein Routingprotokoll in Ihre kleine bis mittlere Netzwerkumgebung zu integrieren. Bei der Implementierung eines größeren Netzwerks könnte RIP-für-IP jedoch nicht ausreichen. Ein anderes vom Windows 2000 Routing- und RAS-Dienst unterstütztes Routingprotokoll heißt OSPF (Open Shortest Path First). Ein OSPF-Netzwerk ist am besten geeignet für eine große Infrastruktur mit mehr als 50 Netzwerken. OSPF ist ein Verbindungsstatus-Routingprotokoll, das die Einträge von Routingtabellen durch den Aufbau einer Struktur des kürzesten Pfads kalkuliert. Es ist ein effizienteres Protokoll als RIP ohne das einschränkende Problem der Anzahl von 16 Abschnitten, wodurch Daten nach dem 16. Abschnitt gelöscht werden. Ein OSPF-Netzwerk kann einen akkumulierten Pfadkostenwert von 65.535 haben, wodurch Sie sehr große Netzwerke (innerhalb der maximalen Lebensdauer von 255) aufbauen und einen großen Kostenbereich zuordnen können. OSPF unterstützt außerdem dedizierte Punkt-zu-Punkt-Verbindungen, Broadcast-Netzwerke wie Ethernet und Non-Broadcast-Netzwerke wie Frame Relay. Ein Nachteil von OSPF liegt in der Konfiguration, die komplexer ist als bei anderen Routingprotokollen, wie etwa RIP. Sie können dieses Netzwerk hierarchisch strukturieren. Die folgenden Abschnitte beschreiben OSPF ausführlich.
Autonome Systeme Ein autonomes System (AS) ist eine Ansammlung von Netzwerken, die sich eine gemeinsame Administrierungsautorität teilen. Die Berücksichtigung folgender Richtlinien wird für den Entwurf eines OSPF-AS empfohlen: ? Unterteilen Sie das AS in OSPF-Bereiche.
Partitionieren Sie ein AS in Bereiche, so dass OSPF den Datenverkehr kontrollieren kann, um seine Fähigkeit, nur bereichsinternen Verkehr weiterzuleiten, optimal einzusetzen. Dabei wird die Kommunikation mit anderen Bereichen innerhalb des AS auf ein Minimum beschränkt. ? Bestimmen Sie den Backbone-Bereich als ein Netzwerk mit großer Bandbreite. Erstellen Sie ein Backbone, das hohe Kapazitäten verarbeiten kann, um Engpässe zwischen den Bereichen auf ein Minimum zu reduzieren.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
191
? Stellen Sie sicher, dass jeder Verkehr zwischen den Bereichen das Backbone
durchquert. Vermeiden Sie das Erstellen von virtuellen Verknüpfungen, die neue oder wechselnde Bereiche mit dem Backbone verbinden. Abbildung 7.4 zeigt ein AS.
Abbildung 7.4 Ein Autonomes System
OSPF-Bereichsentwurf OSPF-Bereiche sind Unterteilungen eines OSPF-AS, die eine Anzahl von benachbarten Subnetzen enthalten. Bereiche sind Administrierungsgrenzen, die Sie zur Trennung von Standorten, Domänen oder Gruppen verwenden können. Innerhalb dieser Bereiche befinden sich Netzwerke, die, wenn sie durch ein Backbone zusammengefügt werden, ein AS bilden. Konfigurieren Sie in einem internen Netzwerk diese Bereiche so, dass die Kommunikation zwischen den Bereichen auf ein Minimum reduziert wird. Dies kann auch DNS-Namensauflösungs- und Active Directory-Replikationsaktivität einschließen.
192
Teil II
Netzwerkinfrastruktur
Eine Möglichkeit für das Eintreten und Verlassen des Datenverkehrs in einen OSPF-Bereich bietet die Verwendung eines ABR (Area Border Router) genannten Routers. Dieser Router ist mit einem Backbone verbunden, das Bereich 0.0.0.0. genannt wird. Dieses Backbone verbindet dann die OSPF-Bereiche. ABRs haben in der Regel eine Schnittstelle in einem Backbone-Bereichsnetzwerk. Es gibt jedoch Situationen, in denen ein ABR physikalisch nicht mit einem BackboneNetzwerksegment verbunden werden kann. In diesem Fall können Sie die neuen OSPF-Bereiche durch eine virtuelle Verknüpfung mit dem Backbone verbinden. Obwohl diese Methode funktioniert, ist sie nicht zu empfehlen, da sie sehr kompliziert einzurichten und für Fehler anfällig ist. Abbildung 7.5 zeigt das Backbone, die Bereiche und eine virtuelle Verknüpfung.
Abbildung 7.5 Ein OSPF-Bereichsentwurf
Berücksichtigen Sie beim Entwerfen eines OSPF-Bereichs folgende Richtlinien: ? Das Zuweisen der IP-Adressen in fortlaufender Reihe erlaubt, dass sie zu-
sammengefasst werden können. Routezusammenfassung ist der Vorgang der Bereichsverschmelzung von IP-Adressen. Im Idealfall fasst der ABR für einen Bereich alle seine Netzwerk-IP-Adressen in eine zusammen. Dieses Verfahren verringert die Routinginformationen, reduziert die Arbeitsauslastung auf den ABRs und die Anzahl der OSPF-Routingtabelleneinträge. ? Erstellen Sie wann immer möglich Stubbereiche. Berücksichtigen Sie dabei Folgendes: ? Stubbereiche können so konfiguriert werden, dass alle externen Routen und Routen, die aus dem OSPF-AS nach außen gehen, in einer einzigen statischen Standardroute zusammengefasst werden. ? Routen, die sich außerhalb eines AS befinden (externe Routen), können von einem Stubbereich nicht erfasst werden, ebenso Routen, die andere Routingprotokolle verwenden. Dies bedeutet, dass Stubbereiche keine ASBRs (Autonome Systemgrenzrouter) verwenden können.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
193
? Vermeiden Sie die Erstellung von virtuellen Verknüpfungen. Virtuelle Ver-
knüpfungen werden eingesetzt, um neue Bereiche in einem AS mit dem Backbone zu verbinden. Virtuelle Verknüpfungen können u. a. Routingprobleme verursachen und schwer zu konfigurieren sein. Bemühen Sie sich immer, neue Bereiche in Ihrem AS direkt mit dem Backbone zu verbinden. Vergewissern Sie sich dessen bei der Planung, bevor Ihr AS implementiert ist.
IPX-Routingstruktur NetWare-Server und Windows 2000-Systeme eines Netzwerks werden durch die Verwendung von NWLink, Microsoft Client Service für NetWare und Gateway Service für NetWare interoperabel gemacht. Windows 2000 Server bietet Dienste, die zusammen mit Novell NetWare-Netzwerken und -Servern eingesetzt werden können und interoperabel sind. Das kompatible NWLink IPX/SPX/NetBIOS-Übertragungsprotokoll (NWLink) ist in Windows 2000 enthalten. Dieses Protokoll sorgt für die Konnektivität zwischen Windows 2000 und Novell NetWare-Systemen. Folgende Gründe sprechen für die Verwendung von IPX/SPX in einer gemischten Umgebung und die Aktivierung von IPX-Routing: ? Windows 2000-Router könnten für das Routen von Datenverkehr zwischen
NetWare-Clients und -Servern erforderlich sein. ? Windows 2000-Clients könnten Zugang zu Diensten auf NetWare-Servern
benötigen. Windows 2000 Routing unterstützt RIP-für-IPX, das in seiner Funktionalität sehr ähnlich dem RIP-für-IP und SAP- (Service Advertising Protocol) für-IPX ist, einem Protokoll, das Knoten wie Dateiservern und Druckservern die Möglichkeit gibt, ihre Dienstnamen und IPX-Adressen anzuzeigen. Server, die als Hosts Dienste zur Verfügung stellen, senden regelmäßig SAP-Broadcasts. IPX-Router und SAP-Server empfangen diese Broadcasts und leiten die Dienstinformation durch SAP-Ankündigungen weiter, die alle 60 Sekunden gesendet werden.
IPX-Netzwerkentwurf Die IPX-Netzwerkkennung ist eine 4-Byte-Kennung, die als achtstellige Hexadezimalzahl ausgedrückt wird. Diese Netzwerkkennung muss eindeutig sein, sonst können für NetWare-Clients Netzwerkverbindungsprobleme auftreten. Die 4-ByteIPX-Netzwerkkennung ist ein Adressraum, den Sie zur Gruppierung von IPXNetzwerken folgender Art verwenden können: Interne oder externe Netzwerke Interne Netzwerke sind virtuelle Netzwerke innerhalb von Novell NetWareServern, Windows 2000-Routern und anderen IPX-Routern, die auch als Hosts Dienste anbieten. Die Bestimmung eines internen Netzwerks gewährleistet ein korrektes Routing zu diesen Diensten. Netzwerke für verschiedene Ethernet-Rahmentypen Bei IPX-Umgebungen, die mehrere Ethernet-Rahmentypen unterstützen müssen, müssen Sie jeden Ethernet-Rahmentyp mit einer eigenen IPX-Netzwerkkennung konfigurieren.
194
Teil II
Netzwerkinfrastruktur
RAS-Netzwerke Wenn Sie einen Computer, auf dem Windows 2000 läuft, als RAS-Server verwenden, wird RAS-Clients eine IPX-Netzwerkkennung zugewiesen. Standardmäßig wählt der RAS-Server eine eindeutige IPX-Netzwerkkennung. Sie können eine IPX-Netzwerkkennung oder einen IPX-Netzwerkkennungsbereich festlegen, so dass der RAS-IPX-Datenverkehr durch seine Quell-IPX-Netzwerkadresse identifiziert wird. Abteilung oder geographischer Standort Sie können Teile des IPX-Adressraums geographischen Gegebenheiten (Gebäuden oder Standorten) oder Abteilungen (wie Vertrieb oder Forschung) zuweisen. So könnten z. B. in einer großen Universitätsumgebung alle IPX-Netzwerke in Gebäude 5 die 5 als erste Ziffer ihrer Adressen verwenden. Maximaldurchmesser Der Maximaldurchmesser von RIP- und SAP-für-IPX beträgt 16 Abschnitte, genau wie bei RIP-für-IP. Durchmesser ist ein Größenmaß für Netzwerke, das die Anzahl der Router anzeigt, die ein Paket durchqueren muss, um sein Ziel zu erreichen. Netzwerke und Dienste, die weiter als 16 Abschnitte entfernt sind, gelten als unerreichbar. Beschränken und Leiten von NetBIOS-über-IPX-Datenverkehr Sie können NetBIOS-über-IPX-Datenverkehr dadurch kontrollieren, dass Sie die Weiterleitung von NetBIOS-über-IPX-Broadcasts an spezifische Schnittstellen deaktivieren und statische NetBIOS-Namen konfigurieren. Wenn z. B. ein spezifisches IPX-Netzwerk keinen Knoten enthält, der NetBIOS über IPX verwendet, können Sie die NetBIOS-über-IPX-Broadcastweiterleitung an alle mit diesem Netzwerk verbundenen Routerschnittstellen deaktivieren. Verhindern der Weiterleitung von SAP-Broadcasts Das Protokoll SAP (Service Advertising Protocol) wird auf IPX-Netzwerken dazu verwendet, Netzwerkclients über verfügbare Netzwerkressourcen und Dienste zu informieren. Wenn es SAP-Broadcasts gibt, die nicht durch das gesamte Netzwerk weitergeleitet werden müssen, können Sie die SAP-Filterung verwenden, um die Ankündigung von IPX-Diensten außerhalb einer Gruppe von IPX-Netzwerken zu verhindern. Wenn Sie z. B. die Dateiserver in der Personalabteilung verbergen möchten, können Sie die Router, die mit dem Netzwerk der Personalabteilung verbunden sind, so konfigurieren, dass sie SAP-Broadcasts filtern, die den Dateiund Druckfreigabediensten der Dateiserver der Personalabteilung entsprechen. Ein weiterer Grund ist die Reduktion von Datenverkehr zu Subnetzen, die keine SAPDienste benötigen.
Apple Talk-Routingstruktur Der Netzwerkbetrieb auf der Macintosh-Plattform beruht auf der AppleTalkProtokollsammlung. Diese Protokolle beinhalten integrierte Routingfunktionen, die zur Einrichtung von Routern in einem AppleTalk-Netzwerk aktiviert werden können.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
195
Multicastunterstützung Mediendienste werden im Internet und auf privaten Netzwerken immer häufiger. Windows 2000 TCP/IP unterstützt die Weiterleitung des dabei entstehenden Multicastverkehrs. Windows 2000 Routing und RAS unterstützt IGMP (Internet Group Management Protocol) als Router. IGMP wird von Hosts für die Verbindung zu Multicastgruppen verwendet. Routing- und RAS-IGMP-fähige Schnittstellen können in einem der beiden folgenden Modi betrieben werden: ? IGMP-Proxymodus-Schnittstellen leiten IGMP-Berichte und Multicastverkehr
von anderen Schnittstellen weiter, die im IGMP-Routermodus betrieben werden. ? IGMP-Routermodus-Schnittstellen überwachen den IGMP-Datenverkehr der Hosts, aktualisieren entsprechend die TCP/IP-Multicast-Weiterleitungstabelle und senden IGMP-Abfragen. Der mit Windows 2000 Server ausgestattete IGMP-Proxy-Server wurde dafür entwickelt, Pakete mit IGMP-Mitgliedschaftsberichten von einem einzelnen Intranet zu einem multicastfähigen Teil des Internets weiterzugeben. Sie können den IGMP-Proxyrouter in der DMZ einer Firmeninfrastruktur positionieren, um für interne Netzwerkhosts Video- und Audio-Datenverkehr aus dem Internet bereitzustellen. Vergewissern Sie sich, dass der IGMP-Router sich auf einem Netzwerk mit großer Bandbreite und schnellen Switches befindet, um Engpässe auf ein Minimum zu reduzieren. Der VPN-Server in der DMZ kann auch als IGMP-Router verwendet werden. Dies funktioniert jedoch nur in kleineren Netzwerkstrukturen, in denen der Server nicht mit RAS- und Multicastverkehr überlastet wird. Wenn Sie die IGMP-Schnittstellen konfigurieren, befasst sich die Schnittstelle im Proxymodus mit dem multicastfähigen Internet und die Schittstelle im Routermodus mit dem internen Netzwerk. Abbildung 7.6 zeigt ein Beispiel.
Abbildung 7.6 IGMP-Schnittstelle im Proxymodus
Anmerkung Das Beispiel in Abbildung 7.6 funktioniert nur, wenn der Hardware-
196
Teil II
Netzwerkinfrastruktur
router, der den Windows 2000-IGMP-Router mit dem Internet verbindet, multicastfähig ist, und der ISP sich auf dem Multicast-Backbone befindet.
Netzwerkadressübersetzung Windows 2000 Netzwerkadressübersetzung (NAT) ermöglicht Computern in einem kleinen Netzwerk, beispielsweise in einem kleinen oder Heimbüro (SOHO), die gemeinsame Nutzung eines einzigen Internetanschlusses. Der Computer, auf dem NAT installiert ist, kann als Netzwerkadressübersetzer, vereinfachter DHCPServer, DNS-Proxy und WINS-Proxy fungieren. NAT ermöglicht Hostcomputern die gemeinsame Nutzung einer oder mehrerer öffentlich registrierter IP-Adressen und spart damit öffentlichen Adressraum. Es gibt zwei Arten von Verbindungen mit dem Internet: geroutete und übersetzte Verbindungen. Bei der Planung einer gerouteten Verbindung benötigen Sie einen Bereich von IP-Adressen von Ihrem ISP für die Verwendung im internen Teil des Netzwerks. Der ISP liefert Ihnen auch die IP-Adresse des DNS-Servers, den Sie verwenden werden. Sie können die IP-Adressenkonfiguration jedes SOHOComputers statisch konfigurieren oder einen DHCP-Server verwenden. Der Windows 2000-Router muss mit einem Netzwerkadapter für das interne Netzwerk konfiguriert werden (z. B. 10- oder 100BaseT Ethernet). Er muss darüber hinaus mit einer Internetverbindung wie beispielsweise einem analogen oder ISDNModem, xDSL-Modem, Kabelmodem oder einer segmentierten T1-Leitung konfiguriert werden. Die übersetzte Verbindung (NAT) bietet mehr Sicherheit für Ihr Netzwerk, da die Adressen des privaten Netzwerks vor dem Internet vollständig verborgen werden. Der gemeinsame Verbindungscomputer, auf dem NAT läuft, führt alle Übersetzungen von Internetadressen für Ihr privates Netzwerk und umgekehrt aus. Beachten Sie jedoch, dass der NAT-Computer nicht alle Nutzlasten übersetzen kann. Der Grund hierfür ist, dass manche Anwendungen die IP-Adressen in anderen Feldern verwenden als in den standardmäßigen TCP/IP-Vorspannfeldern. Folgende Protokolle arbeiten nicht mit NAT zusammen: ? Kerberos ? IPSec
Die DHCP-Zuordnungsfunktionalität in NAT ermöglicht allen DHCP-Clients im SOHO-Netzwerk, automatisch eine IP-Adresse, eine Subnetzmaske, ein StandardGateway und eine DNS-Serveradresse vom NAT-Computer zu erhalten. Wenn sich im Netzwerk auch einige nicht DHCP-fähige Computer befinden, sollten Sie deren IP-Adressen statisch konfigurieren. In einem SOHO-Netzwerk wird nur ein Windows 2000-Server benötigt. So bleibt der Ressourcenaufwand minimal. Abhängig davon, ob Sie eine übersetzte oder geroutete Verbindung verwenden, kann dieser Server für NAT, APIPA, Routing und RAS oder DHCP eingesetzt werden. Weitere Informationen zu NAT und der Konfiguration finden Sie in der Onlinehilfe zu Windows 2000 Server.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
197
Windows 2000 DHCP Jeder Computer in einem TCP/IP-Netzwerk benötigt einen eindeutigen Namen und eine IP-Adresse. Das Protokoll Windows 2000 DHCP (Dynamic Host Control Protocol) bietet eine Möglichkeit, diesen Vorgang zu vereinfachen und zu automatisieren: die IP-Adressen werden den Clients im Netzwerk dynamisch zugewiesen, ungeachtet dessen, wo sie sich befinden und wie oft sie verlegt werden. Dies reduziert den Verwaltungsaufwand für den Administrator erheblich.
Die Vorteile von DHCP DHCP erlaubt eine zuverlässige Zuweisung von IP-Adressen in einem Netzwerk und reduziert dabei die Notwendigkeit, jedem Host manuell Adressen zuzuweisen. Dadurch werden IP-Konflikte verhindert, die ein Netzwerk funktionsunfähig machen können. Mobile Benutzer profitieren stark von den Vorzügen von DHCP. Es erlaubt ihnen, sich beliebig innerhalb des Netzwerks zu bewegen und automatisch IP-Adressen zu empfangen, wenn sie die Verbindung zum Netzwerk wiederherstellen. Interoperabilität mit DNS-Servern bietet die Namensauflösung für Netzwerkressourcen. Dies ermöglicht DHCP-Servern und DHCP-Clients die Registrierung mit DNS.
Neue Funktionen von Windows 2000 DHCP Die neuen Funktionen von Windows 2000 DHCP ermöglichen eine flexiblere und erweiterungsfähige Form, einem Host IP-Adressen zuzuweisen. Diese neuen Funktionen werden in den folgenden Abschnitten beschrieben.
Erweiterte Serverberichte Der allgemeine Status von DHCP-Servern, -Bereichen und -Clients oder Mitgliedselementen („member items“) kann grafisch durch die Verwendung der im DHCPManager angezeigten Symbole überwacht werden. Weitere Informationen zu diesem Thema finden Sie in der Onlinehilfe zu DHCP-Manager.
Zusätzliche Bereichsunterstützung Eine Erweiterung des Windows 2000-DHCP-Protokollstandard unterstützt die Zuweisung von IP-Multicastadressen, die in derselben Weise verteilt werden wie Einzelsendungsadressen. In Multicast-DHCP sind Multicastbereiche in der gleichen Weise konfiguriert wie reguläre DHCP-Bereiche. Statt der Verwendung der Klasse A-, B-, oder C-Adressen, verwendet der Klasse D-Bereich jedoch einen Bereich von 224.0.0.0 bis 239.255.255.255. Typische Anwendungen für Multicast sind Video- und Audiokonferenzen, die von den Benutzern gewöhnlich die Konfigurierung spezieller Multicastadressen erfordern. Eine Multicastadresse ist, anders als IP-Broadcasts, die für alle Computer eines Netzwerks lesbar sein müssen, eine Gruppe von Computern, die eine Gruppenmitgliedschaft verwendet, um den Empfänger einer Nachricht zu ermitteln.
198
Teil II
Netzwerkinfrastruktur
Die Funktion zur Multicastadresszuweisung besteht aus zwei Teilen: dem Server, der Multicastadressen vergibt, und der Schnittstelle für Anwendungsprogrammierung (API) des Clients, die Multicastadressen anfordert, erneuert und freigibt. Wenn Sie diese Funktion zu verwenden möchten, müssen Sie über das DHCPSnap-In zunächst die Multicastbereiche und die entsprechenden Multicast-IPBereiche auf dem Server konfigurieren. Die Multicastadressen werden dann wie normale IP-Adressen verwaltet, und der Client kann die APIs anrufen, um eine Multicastadresse für einen Bereich anzufordern.
DHCP- und DNS-Integration DNS-Server bieten die Namensauflösung für Netzwerkressourcen an und sind eng mit DHCP-Diensten verbunden. In Windows 2000 können DHCP-Server und -Clients mit dem Windows 2000-Protokoll für die dynamische DNS-Aktualisierung registriert werden. Die Integration von DHCP und DNS ermöglicht die Registrierung beider Datensatztypen: A (Name-zu-Adresse) und PTR (Pointer) oder Adresse-zu-Name. Dies ermöglicht die Einrichtung des DHCP-Servers als Proxyserver für Windows 95- und Windows NT 4.0-Workstation-Clients zur dynamischen DNS-Aktualisierung im Active Directory.
Überlegungen zum Entwurf der DHCP- und DNS-Integration Wenn Sie DHCP und DNS gemeinsam in einem Netzwerk einsetzen, sollten Sie überlegen, ob Sie noch ältere, statische DNS-Server verwenden. Statische DNSServer können mit DHCP nicht dynamisch interagieren und synchronisieren auch weiterhin die Zuordnungsinformationen von Namen zu Adressen, wenn sich die Konfigurationen der DHCP-Clients ändern, wie etwa bei mobilen Benutzern, die innerhalb eines Intranets von Subnetz zu Subnetz wechseln. In dieser Situation ist es am besten, alle statischen DNS-Server auf DNS-Server unter Windows 2000 zu aktualisieren.
Erkennung von nicht autorisierten DHCP-Servern Der DHCP-Dienst für Windows 2000 soll verhindern, dass bei der Zuweisung von Adressen durch nicht autorisierte DHCP-Server Konflikte entstehen. Dies löst die Probleme, die entstehen würden, wenn Benutzer nicht autorisierte DHCP-Server erstellen, die anderen Clients im Netzwerk ungültige IP-Adressen zuweisen könnten. Ein Benutzer könnte beispielsweise in der Absicht, einen lokalen DHCPServer zu erzeugen, Adressen verwenden, die nicht eindeutig sind. Der lokale DHCP-Server wiederum könnte diese Adressen unbeabsichtigt an nicht befugte Clients weiterleiten, die von anderen Netzwerkstandorten aus Adressen anfordern. Die Verwaltungsfunktionen des DHCP-Servers für Windows 2000 verhindern den nicht autorisierten Einsatz von Servern und erkennen vorhandene, nicht autorisierte DHCP-Server. In der Vergangenheit konnten DHCP-Server in einem Netzwerk von jedem beliebigen Benutzer erzeugt werden, heute ist dazu eine Autorisierung erforderlich. Zu den autorisierten Personen gehören normalerweise der Administrator der Domäne, zu der die Windows 2000-Serverplattform gehört oder jemand, der für die Verwaltung der DHCP-Server verantwortlich ist.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
199
Dynamische Unterstützung für BOOTP-Clients DHCP-Server reagieren sowohl auf BOOTP- (Bootstrap protocol) als auch auf DHCP-Anforderungen. BOOTP ist ein bewährter TCP/IP-Standard [RFC 951] zur Hostkonfiguration, die DHCP vorausgeht. BOOTP wurde ursprünglich entworfen, um eine Startkonfiguration für laufwerkslose Arbeitsstationen zu ermöglichen. Diese Arbeitsstationen haben nur eine beschränkte Fähigkeit, IP-Adressen und andere konfigurierbare Daten, die während des Startvorgangs für die Verbindung zu einem TCP/IP-basierten Netzwerk benötigt werden, zu speichern und lokal abzurufen. Mit der neuen Unterstützung für dynamisches BOOTP kann ein Adresspool für BOOTP-Clients (Bootstrap Protocol) in der gleichen Weise festgelegt werden, in der ein Bereich für DHCP-Clients verwendet wird. Dies gestattet, IP-Adressen für die Verteilung an BOOTP-Clients dynamisch zu verwalten. Zudem kann der DHCP-Dienst im dynamischen BOOTP-Adresspool verwendete IP-Adressen zurückfordern, nachdem er zuerst sicherstellt, dass eine festgelegte Leasedauer verstrichen ist und jede Adresse immer noch durch den BOOTP-Client verwendet wird.
Schreibgeschützter Konsolenzugriff auf DHCP-Manager Diese Funktion bietet eine spezielle lokale Benutzergruppe, die DHCP-Benutzergruppe, die hinzugefügt wird, wenn Sie den DHCP-Dienst installieren. Indem Sie mit der DHCP-Managerkonsole Mitglieder zu dieser Gruppe hinzufügen, können Sie für Nichtadministratoren schreibgeschützten Zugriff auf Informationen zu DHCP-Diensten auf einem Servercomputer anbieten. Dies ermöglicht einem Benutzer, der Mitglied dieser lokalen Gruppe ist, Informationen und Eigenschaften, die auf einem festgelegten DHCP-Server gespeichert sind, anzusehen, nicht aber zu ändern. Diese Funktion ist nützlich für Helpdesks, wenn sie DHCP-Statusberichte herunterladen müssen. Lese/Schreibzugriff kann nur über die Mitgliedschaft in der DHCP-Administratorengruppe gewährt werden.
DHCP-Entwurf für Ihr Netzwerk Wenn Sie Ihr Netzwerk entwerfen oder aktualisieren, können Sie DHCP mit einer zentralisierten oder verteilten Methode implementieren. (Siehe Abbildungen 7.7 und 7.8.) In einer zentralisierten Umgebung werden IP-Adressen zentral an den DHCPServer verteilt. Dabei ist ein DHCP-Server verantwortlich für die Verteilung der Adressen an sein zugehöriges Subnetz oder seinen Standort. In einer verteilten Umgebung kann ein DHCP-Server für den Standort, in dem er sich befindet, und für jeden anderen lokalen oder entfernten Standort, der sich in einer gegebenen Firmenstruktur befindet, verantwortlich sein. Berücksichtigen Sie die in den folgenden Abschnitten erörterten Punkte, um effektiv zu planen, welches Adressverteilungsschema Sie verwenden möchten.
Größe der Netzwerkinfrastruktur Wie viele Standorte weist Ihre Domänenstruktur auf? Wenn Sie nur einen zentralen Standort und zwei Remotestandorte haben, ist die Implementierung eines verteilten DHCP ideal. Eine Domänenstruktur mit drei oder mehr Standorten erfordert eine zentralisierte DHCP-Struktur, in der die DHCP-Server den vorhandenen Standorten IP-Adressen zuweisen.
200
Teil II
Netzwerkinfrastruktur
Die Abbildungen 7.7 und 7.8 zeigen Beispiele für zentralisierte und verteilte DHCPUmgebungen. Eine verteilte Umgebung wird dazu verwendet, IP-Adressen an Remotestandorte zu verteilen. Eine zentralisierte Umgebung wird dazu verwendet, IPAdressen innerhalb eines Standorts zu verteilen. Da Windows Clustering mit allen clusteringfähigen Windows-Diensten arbeitet, können andere clusteringfähige Dienste auf demselben Server laufen, auf dem clusteringfähige DHCP-Dienste arbeiten. Abbildung 7.7 zeigt zwei Standorte: einen Haupt- oder Zentralstandort und einen Remotestandort. Beide Seiten verfügen über ein DHCP-Cluster, das an seinem jeweiligen Standort IP-Adressen vergibt. Es fließt kein DHCP -Verkehr über die WAN-Verbindung.
Abbildung 7.7 Zentralisierte DHCP-Umgebung
Abbildung 7.8 zeigt wiederum zwei Standorte, einen zentralen und einen Remotestandort. In dieser Umgebung ist jedoch der zentrale Standort für die Verteilung von IP-Adressen am eigenen und am Remotestandort verantwortlich. Beachten Sie, dass der Remotestandort einen Backup-DHCP-Clusterserver besitzt, der bei einem Ausfall der WAN-Verbindung oder anderen Problemen den DHCP-Verkehr übernimmt.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
201
Abbildung 7.8 Verteilte DHCP-Umgebung
Weitere Informationen zu DHCP finden Sie in der Windows 2000-Hilfe und in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Windows 2000 ATM Windows 2000 ATM bietet eine flexible, skalierbare Hochgeschwindigkeitslösung für die steigenden Anforderungen an die Qualität der Dienste in Netzwerken, die unterschiedliche Informationsarten, wie beispielsweise Daten, Sprache und Echtzeit-Video-Daten und Echtzeit-Audio-Daten unterstützen. Mit Hilfe von ATM können alle diese unterschiedlichen Daten über eine einzige Netzwerkverbindung übertragen werden. Windows 2000 ATM-Dienste ermöglichen die nahtlose Migration bestehender Netzwerk-Backbones zu ATM sowie die Anbindung an traditionelle LANs mit Hilfe von Windows 2000 LAN Emulation (LANE). Weitere Informationen über LANE finden Sie unter „Funktionen von Windows 2000 ATM“ an späterer Stelle in diesem Kapitel.
Die Vorteile von Windows 2000 ATM Windows 2000 ATM bietet folgende Vorteile: ? Kommunikation mit hoher Geschwindigkeit. ? Verbindungsorientierte Dienste, ähnlich der traditionellenTelefonie. ? Schnelles hardwarebasiertes Umschalten. ? Einzelner, universeller und interoperabler Netzwerktransport. ? Eine einzige Netzwerkverbindung, die zuverlässig Sprache, Video und Daten mischen kann. ? Flexible und effiziente Zuweisung der Netzwerkbandbreite. ? Unterstützung von QoS (Quality of Service), das es Administratoren ermöglicht, die Netzwerkbandbreite basierend auf verschiedenen Parametern zur Verfügung zu stellen. Zu diesen Parametern gehören u. a.: wer die Anforderung eingeleitet hat, der gesendete Datentyp (wie Videostreaming) oder das Datenziel. Weitere Informationen zu QoS finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Funktionen von Windows 2000 ATM Die neuen Funktionen von Windows 2000 lassen ein erweiterungsfähigeres, skalierbares Framework zu, in das verschiedene Netzwerkstrukturen wie ATM integriert werden können. Die folgenden Abschnitte beschreiben die neuen, in Windows 2000 ATM enthaltenen Funktionen.
ATM-UNI-Anruf-Manager Windows 2000 enthält einen Anruf-Manager, der Anrufe bei einem ATM-Netzwerk unterstützt und verwaltet. Er entspricht den Wählspezifikationen von ATM Forum UNI Version 3.1 und unterstützt die Erstellung von SVCs (Switched Virtual Circuits) und PVCs (Permanent Virtual Circuits).
202
Teil II
Netzwerkinfrastruktur
Aktualisierte NDIS- und ATM-Hardwareunterstützung NDIS Version 5 unterstützt ATM-Netzwerkadapter direkt. Dies erlaubt Herstellern von ATM-Adaptern, ihre Hardware mit Hilfe von ATM-Miniport-Gerätetreibern, die die Schnittstelle zu Windows 2000 bilden, effektiver zu verwenden. Die Treiber für die meisten Hersteller von ATM-Netzwerkadaptern sind nun in Windows 2000 enthalten.
ATM-LAN-Emulation ATM-LAN-Emulation (LANE)-Dienste werden benötigt, um Interoperabilität zwischen ATM- und traditionellen LAN-Umgebungen zu bieten. LANE erlaubt eine einfachere Migration und Integration mit traditionellen LAN-Netzwerktechnologien wie Ethernet oder Token Ring durch Emulieren dieser LANs auf ATM-Netzwerke. Windows 2000 unterstützt die ATM-LAN-Emulation und kann sich als ein LAN-Emulationsclient (LEC) an einem emulierten LAN (ELAN) beteiligen. Der Windows 2000-LAN-Emulationsclient kann die LAN-Emulationsdienste verwenden, die ATM-Hersteller mit ihren Netzwerkswitches liefern. Windows 2000 installiert den LAN-Emulationsclient standardmäßig, wenn es entdeckt, dass ein ATM-Netzwerkadapter installiert wurde. Der LEC versucht ebenfalls standardmäßig an einem unspezifizierten Standard-ELANteilzuhaben. Ihre LAN-Emulationsdienste müssen für dieses Standard-ELAN konfiguriert sein. Abbildung 7.9 zeigt ein LANE-Netzwerk.
Abbildung 7.9 LANE-Netzwerk
IP über ATM IP über ATM ermöglicht es TCP/IP, die Funktionen von ATM-Netzwerken direkt zu verwenden. Windows 2000 enthält IP über ATM-Unterstützung. Durch diese Unterstützung können Anwendungen, die für die Verwendung von TCP/IP geschrieben wurden, direkt auf ATM-Netzwerke zugreifen. Ebenso können Anwendungen, die für die Verwendung von Generic QoS (Quality of Service) unter Windows Sockets geschrieben wurden, direkt von den inhärenten QoSFähigkeiten eines ATM-Netzwerks profitieren. IP über ATM ist eine Gruppe von Diensten für die Kommunikation über ein ATMNetzwerk, die als Alternative zu einer ATM-LAN-Emulation verwendet werden
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
203
kann. IP über ATM wird von zwei Hauptkomponenten gesteuert: dem IP/ATMClient und dem IP/ATM-Server. Der IP/ATM-Server enthält einen ATM-ARPServer und einen MARS (Multicast Address Resolution Server). Die IP/ATMServerkomponenten können sich auf einem Windows 2000-Server oder einem ATM-Switch befinden. Der Hauptvorteil bei der Verwendung von IP über ATM ist, dass es schneller als LANE ist, da mit IP über ATM den Paketen auf ihrem Weg durch den Protokollstapel keine zusätzlichen Vorspanninformationen hinzugefügt werden. Sobald ein IP/ATM-Client eine Verbindung eingerichtet hat, können Daten ohne Änderung übertragen werden. Mit IP über ATM können Sie entweder eine statische IP-Adresse einsetzen oder das TCP/IP-Profil für die Verwendung eines DHCP-Server konfigurieren. Abbildung 7.10 zeigt ein IP-über-ATM-Netzwerk.
Abbildung 7.10 IP über ATM
MARS (Multicast and Address Resolution Service) Windows 2000 enthält MARS (Multicast and Address Resolution Service) um die Verwendung von IP über ATM zu unterstützen. Dieser Dienst unterstützt das IP/ATM-ARP und ermöglicht die effiziente Verwendung von Multicasting mit ATM-Netzwerken.
PPP über ATM Mit dem Auftreten von xDSL- (Digital Subscriber Line - DigitalerTeilnehmeranschluss) Technologien wurden Hochgeschwindigkeitszugriffe auf Netzwerke von Home- und Small-Office-Umgebungen weiter verbreitet. In diesen Bereichen gibt es verschiedene Standards, darunter die unsymmetrische digitale Teilnehmerleitung (ADSL) und universelle ADSL (UADSL oder DSL Lite). Diese Technologien operieren über die lokale Schleife (das letzte Stück Kupferdraht zwischen dem Telefonnetzwerk und dem Standort). In den meisten Gebieten der USA ist diese lokale Schleife mit einem ATM-Kernnetzwerk verbunden.
204
Teil II
Netzwerkinfrastruktur
ATM über dem xDSL-Dienst behält die Hochgeschwindigkeitsmerkmale bei und QoS garantiert die Verfügbarkeit auf Kernnetzwerkebene, ohne die Protokolle zu wechseln. Dies erzeugt das Potential für ein End-to-End-ATM-Netzwerk zur Wohnung oder einem kleinen Büro. Dieses Netzwerkmodell bietet verschiedene Vorteile, wie beispielsweise folgende: ? Protokolltransparenz ? Unterstützung für mehrere Klassen von QoS mit Garantien ? Skalierbarkeit der Bandbreite ? Mögliche Weiterentwicklung zu neueren DSL-Technologien
Das Hinzufügen von PPP (Point-to-Point-Protocol) über diese End-to-EndArchitektur erhöht noch den Nutzen und die Funktionalität. PPP bietet die folgenden, zusätzlichen Vorteile: ? Authentifizierung einer Verbindung auf Benutzerebene ? Adresszuweisung auf Schicht 3 ? Mehrere parallele Sitzungen zu unterschiedlichen Zielen ? Protokolltransparenz auf Schicht 3 ? Verschlüsselung und Komprimierung
Wenn jeder VC (Virtual Circuit) nur eine PPP-Sitzung weiterleitet, besitzt jedes Ziel seine eigene authentifizierte PPP-Sitzung. Dies bietet die Authentifizierung für jeden VC. So wird ein zusätzliches Maß an Sicherheit und eine garantierte Bandbreite gewährleistet, ähnlich wie bei einer dedizierten Leitung. Die Verwendung von Null Encapsulation over AAL5 (keine Einkapselung über Aal5, da PPP Protokollmultiplexing bietet) kann den Aufwand weiter reduzieren.
Überlegungen zum ATM-Entwurf ATM-Netzwerke bestehen aus drei charakteristischen Komponenten: Endpunktelemente (Benutzer), ATM-Switches und Schnittstellen. Berücksichtigen Sie die in den folgenden Abschnitten erörterten Richtlinien, wenn Sie ein ATM-Netzwerk entwerfen. Verwenden Sie das Standard-ELAN Windows 2000 ATM ist ursprünglich mit einem standardmäßig unspezifizierten ELAN-Namen konfiguriert. Wenn Sie nur eine kleine LAN-Emulation implementieren möchten, wird empfohlen, diese vorkonfigurierte, standardmäßig unspezifizierte ELAN zu verwenden. Wenn Sie ein größeres ATM-Netzwerk implementieren möchten, sind mehrfache ELANs besser zu verwalten und sicherer. Beim Einkauf eines ATM-Switches sollten Sie in der Produktspezifizierung prüfen, ob er mit einem ELAN vorkonfiguriert ist, das den standardmäßig unspezifizierten ELAN-Namen verwendet. Switches, die mit einem Standard-ELAN vorkonfiguriert sind, erlauben eine problemlosere Einrichtung in einer kleinen ATM-Umgebung. Verwenden von unterstützten ATM-Adaptern Bevor Sie einen ATM-Adapter für den Einsatz unter Windows 2000 kaufen, vergewissern Sie sich, dass er sich auf der Windows 2000-Hardwarekompatibilitäts-
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
205
liste befindet. Weitere Informationen hierzu finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Hardware Compatibility List“ klicken. Notieren der Konfigurationen vorder Aktualisierung Bevor Sie Windows NT 4.0 zu Windows 2000 aktualisieren, notieren Sie die folgenden Konfigurationsinformationen für jeden der zur Aktualisierung anstehenden LAN-Emulationsclients: ? den ELAN-Namen ? den auf dem LAN emulierten Medientyp ? die ATM-Adressen für den LES (LAN Emulation Server) und BUS (Broadcast
and Unknown Server), die mit dem ELAN verbunden sind. Konfigurieren der ELANs Verwenden Sie, nachdem Sie diese Konfigurationsparameter notiert haben, die Konfigurationsschnittstelle Ihres ATM-Switches, um den LECS (LAN Emulation Configuration Service), den LES (LAN Emulation Service) und den BUS (Broadcast and Unknown Service) zu konfigurieren und die ELANs und ihre zugehörigen Parameter zu unterstützen. Installieren Sie dann Windows 2000 und konfigurieren Sie den ELAN-Namen für jeden LEC. Verwenden von nur einem ATM-ARP/MARS für jedes logische IP-Subnetz Wenn Ihr Netzwerk IP über ATM verwendet, wird empfohlen, dass Sie nur einen ATM-ARP/MARS für jedes logische IP-Subnetz auf Ihrem Netzwerk konfigurieren. Wenn Sie mehrere ARP-Server auf demselben Netzwerksegment haben, und Ihr ARP-Client mit den Adressen für diese Server konfiguriert wurde, könnte es sein, dass die ARP-Caches nicht mehr übereinstimmen. Dadurch können Teile des Netzwerks unerreichbar werden.
QoS (Quality of Service) Windows 2000 Quality of Service (QoS) ist eine Gruppe von Komponenten und Technologien, die es einem Netzwerkadministrator ermöglichen, End-to-EndNetzwerkressourcen zuzuweisen und zu verwalten. QoS ermöglicht konsistente Bandbreitenresultate für Netzwerkverkehr, wie Video-, Audio- und ERP-Anwendungen, die normalerweise eine große Netzwerkbandbreite beanspruchen. Mit QoS können Netzwerke ihren Datenverkehr effizient steuern, wodurch möglicherweise Gelder für neue Hardwareressourcen eingespart werden können. Die Verwaltung wird mit dem Zugangssteuerungsdienst, einer Verwaltungsschnittstelle von QoS, leichter, da es eine zentralisierte Verwaltung von QoS-Richtlinien zulässt. Diese Richtlinien, die Sie den Anforderungen von Benutzern, Programmen oder physikalischen Standorten entsprechend konfigurieren können, legen fest, wie Sie Bandbreitenprioritäten reservieren und zuweisen können. In der Vergangenheit wurde QoS in die Router- und Switchhardware integriert. Heute ist es als Teil von Windows 2000 verfügbar. Damit ist nun eine neue Steuerungsebene quer durch das ganze Unternehmen auf dem Desktop erreichbar. Windows 2000 QoS bietet Ihnen folgende Vorteile: ? ZentralisierteRichtlinien- und Subnetzkonfiguration durch die QoS-Zugangs-
steuerungsdienstverwaltung.
206
Teil II
Netzwerkinfrastruktur ? Die Verwendung von Unternehmens-, Subnetz- und Benutzerkennungen als
Kriterien für die Reservierung von Netzwerkressourcen und Festlegung von Richtlinien. ? Sicherstellung der Reservierung von Bandbreitenprioritäten, die für den Benutzer transparent ist und keine besondere Schulung erfordert. ? Ermöglicht es einem Netzwerkadministrator, dem Datenverkehr mit Prioriät Netzwerkressourcen zuzuweisen. ? Schutzvorkehrungen für End-to-End-Lieferdienste mit garantiert niedrigen Verzögerungen. ? Interoperabilität mit LAN-, WAN-, ATM-, Ethernet-, und Token Ring-
Konfigurationen. ? Unterstützung von Multicastübertragung von
Bandbreitenreservierungsmeldungen. ? Die Windows 2000-QoS-Zugangssteuerung vereinfacht die Verwaltung von Bandbreitenprioriäten bei niedrigen Betriebskosten. Die niedrigen Betriebskosten kommen in diesem Fall der Kostenersparnis gleich, die erzielt wird, wenn keine Netzwerkmedien ausgetauscht werden müssen, um höhere Bandbreiten zu erzielen. Weitere Informationen zu QoS finden Sie in der Windows 2000-Hilfe und in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Planungstaskliste für Netzwerkstrategien Tabelle 7.6 beschreibt die Aufgaben, die bei der Planung von Netzwerkverbindungsstrategien durchzuführen sind. Tabelle 7.6
Planungstaskliste für Netzwerkstrategien
Aufgabe
Kapitelabschnitt
Untersuchen Sie die Verbindungsstruktur Ihres aktuellen Netzwerkdiagramms. Liegt noch kein Diagramm vor, entwerfen Sie eines. Untersuchen Sie die TCP/IP-Struktur.
Netzwerkverbindung - eine Übersicht
Legen Sie die Verbindungsmethoden für Internet und Routing und RAS fest.
Routing und RAS
Bestimmen Sie die Anforderungen an WINS.
TCP/IP und WINS (Windows Internet Name Service)
Prüfen Sie die Überlegungen zu Routing und RAS. Prüfen Sie die Überlegungen zur Datensicherheit.
Routing und RAS
Windows 2000TCP/IP
Untersuchen Sie die IP-Routingstruktur.
VPN-Sicherheit und VPNs mit L2TP-über-IPSec IP-Routinginfrastruktur
Bestimmen Sie die Multicastanforderungen. Legen Sie die DHCP-Anforderungen fest.
Multicastunterstützung Windows 2000DHCP
Prüfen Sie alle QoS-relevanten Aspekte.
QoS (Quality of Service)
207
K A P I T E L
8
Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur Netzwerkadministratoren können Microsoft ® Systems Management Server (SMS) verwenden, um eine Vielzahl von Microsoft ® Windows® 2000-Einrichtungstasks auszuführen, u. a. die Erfassung von Planungsdetails, die Vorbereitung der Computer, das Einrichten von Windows 2000 und die Überwachung des Einrichtungsvorgangs. Dieses Kapitel konzentriert sich auf die SMS-Funktionen, die Sie für die Analyse Ihrer Netzwerkstruktur verwenden können. Das Ergebnis dieser Analyse hilft Ihnen beim Festlegen der Änderungen der Netzwerkstruktur, die Sie für die Vorbereitung des Einsatzes von Windows 2000 durchführen müssen. Durch die Verwendung von SMS können Sie die Einrichtung auf Unternehmensebene kostensparend durchführen. Für das Verständnis der in diesem Kapitel vorgestellten Konzepte und Vorgänge benötigen Sie keine weiteren Erfahrungen mit SMS. Das Kapitel enthält jedoch keine Verfahren für den Einsatz und die Verwendung von SMS. Ziehen Sie für diese Details die SMS-Dokumentation heran. Für einen gut geplanten, richtigen Einsatz und Gebrauch von SMS benötigen Sie geschulte Mitarbeiter. Weitere Informationen über Ressourcen, die Ihnen Kenntnisse über SMS vermitteln können, finden Sie im Abschnitt „Zusätzliche Ressourcen“ am Ende dieses Kapitels. Inhalt dieses Kapitels Analysieren der Netzwerkinfrastruktur 208 Erfassen von Inventar 212 Verwenden des Inventars für die Vorbereitung der Netzwerkinfrastruktur Überwachen des Netzwerks 222 Sicherstellen der Anwendungskompatibilität 224 Planungstaskliste zur Netzwerkanalyse 225 Zusätzliche Ressourcen 225
216
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Analyse der Netzwerkinfrastruktur mit Hilfe von SMS ? detaillierte Berichte über die vorhandene Netzwerkinfrastruktur, einschießlich
der verwendeten Hard- und Software
208
Teil II
Netzwerkinfrastruktur
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen über den Einsatz von Windows 2000 mit SMS finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. ? Weitere Informationen über das Prüfen der Windows 2000-Kompatibilität von
Anwendungen finden Sie im Kapitel “Testen der Anwendungskompatibilität mit Windows 2000” in diesem Buch.
Analysieren der Netzwerkinfrastruktur Ein kritischer Schritt bei der Einrichtung von Windows 2000 ist die Vorbereitung Ihrer Netzwerkinfrastruktur. Um Ihr Netzwerk für den Einsatz vorzubereiten, müssen Sie eine Reihe von Tasks durchführen. Sie beginnen mit einer Analyse des aktuellen Zustands Ihrer Netzwerkinfrastruktur. Die ersten Tasks, die Sie zur Analyse und Vorbereitung Ihres Netzwerks für die Einrichtung von Windows 2000 durchführen müssen, umfassen folgende Schritte: ? Identifizieren von Computern, die über keine ausreichende oder kompatible
Hardware verfügen. ? Aktualisieren der Hardware. ? Identifizieren von Computern, deren Software nicht kompatibel ist oder mit
Windows 2000 nicht fehlerfrei zusammenarbeitet. ? Identifizieren der am häufigsten verwendeten Anwendungen, so dass alle wichtigen Anwendungen einer Kompatibilitätsprüfung unterzogen werden können. ? Analysieren der Netzwerkauslastung, um die verfügbare Kapazität des Netzwerks, die verwendeten Protokolle und die Verwendung von Computern als Server festzustellen. ? Aktualisieren nicht kompatibler Anwendungen. ? Sicherstellen, dass nicht kompatible Anwendungen nicht verwendet werden.
Systems Management Server (SMS) liefert Ihnen die Tools, die Sie zu einer effizienten Durchführung dieser Tasks in einer Unternehmensumgebung benötigen.
Verwenden von SMS (Systems Management Server) SMS ist ein extrem skalierbares System, das Sie für eine Vielzahl von Tasks für die Computeradministration verwenden können. Beim Einrichten von Windows 2000 können Sie durch die Verwendung von SMS die Leistung vieler, sich wiederholender Tasks erhöhen. Abbildung 8.1 zeigt die Tasks zur Einsatzplanung der Netzwerkanalyse und -vorbereitung. Anmerkung In diesem Kapitel wird die Netzwerkinfrastruktur definiert, um alle SMS-kompatiblen Computer Ihres Netzwerks zu berücksichtigen. Hierzu gehören Computer, auf denen Windows 2000, Windows NT Server, Windows NT Workstation, Windows 95, Windows 98, Windows 3.1 oder Windows für Workgroups ausgeführt werden.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Abbildung 8.1
209
Prozessablauf für die Analyse Ihrer Netzwerkinfrastruktur mit SMS
Die Verwendung von SMS für die Planungs- und Einsatzprozesse von Windows 2000 erfordert zusätzliche Ressourcen. Die Kosten, die Sie für die Planung und Verwendung von SMS aufbringen müssen, werden jedoch durch die Möglichkeit der Automatisierung der Einrichtungstasks für Windows 2000 irrelevant.
210
Teil II
Netzwerkinfrastruktur
Mit Hilfe von SMS können Sie Tasks zur Einrichtung von Windows 2000 für viele Endbenutzer gleichzeitig automatisieren. Die Tasks und selbst die anfängliche Einbeziehung von Computern in SMS können durchgeführt werden, ohne dass technisches Servicepersonal vor Ort benötigt wird. Die automatisierten Tasks bieten folgende Vorteile: ? Starke Reduktion von manueller Arbeit und Standortbesuchen. ? Verteilung über einen großen geographischen Bereich. ? Angemessene Wiederherstellung im Fehlerfall. ? Flexible Planung. ? Statusaktualisierungen auf Tagesbasis (oder häufiger).
Anmerkung SMS ist von Softwarekomponenten abhängig, die auf einem Client betrieben werden, und (zumindest gelegentlich) über ein Netzwerk mit der SMS-Infrastruktur verbunden sind. Daher können Sie SMS nicht verwenden, um Windows 2000 auf neuen Computern zu installieren, die noch kein Betriebssystem und keinen Netzwerkclient haben. Das Kapitel „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch empfiehlt Methoden, die Sie für die Einrichtung neuer Computer mit Windows 2000 verwenden können.
Wie SMS die Einrichtung von Windows 2000 unterstützt SMS kann Ihnen beim Planen der Einrichtung von Windows 2000 durch die Beantwortung einer Reihe wichtiger Fragen behilflich sein. Es kann Ihnen beim Einrichten von Windows 2000 folgendermaßen behilflich sein: ? Bei der Vorbereitung Ihrer Computer. ? Bei der Verteilung der Windows 2000-Quelldateien an die Benutzercomputer. ? Bei der Initialisierung von Windows 2000-Aktualisierungen auf eine gesteuerte,
sichere Weise. ? Bei der Erstellung von Berichten über den Stand der Einrichtung. SMS unterstützt Sie auch bei der Lösung von Problemen, die bei der Einrichtung auftreten, und bei der Einrichtung einer Vor-Ort-Verwaltungsstruktur für die Windows 2000-Infrastruktur. Dieses Kapitel behandelt die Verwendung von SMS für das Erfassen von Details der Netzwerkinfrastruktur, die Sie für die Einrichtung von Windows 2000 benötigen. Sie können eine Vielzahl von Berichtsprogrammen für das Formatieren von Daten in benutzerfreundlichen Berichten verwenden. Sie können für weitere Analysen Daten in andere Programme importieren, wie z. B. in Microsoft® Excel. Darüber hinaus können Sie die erfassten Informationen für die Automatisierung von Einrichtungstasks verwenden.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
211
Die von Ihnen erfassten Informationen helfen Ihnen bei der Beantwortung einer Vielzahl von wichtigen Fragen der Einsatzplanung: ? Wie viele Computer besitzen Sie? Wo befinden sie sich? Verfügen Sie über
Hardware, die den Anforderungen von Windows 2000 entspricht? Welche Computer verfügen nicht über eine Windows 2000-kompatible Hardware? ? Welche Software ist auf den Computern Ihrer Benutzer installiert? Welche Software verwenden Sie gerade? Welche Computer verfügen über Software, die nicht mit Windows 2000 kompatibel ist? ? Wie hoch ist die Kapazität Ihrer Netzwerkverbindungen? Welche Protokolle werden auf Ihrem Netzwerk verwendet? Sie werden auch lernen, wie Ihnen SMS bei potentiellen Anwendungsinkompatibilitäten helfen kann. Anmerkung Ein anderer wichtiger Vorteil der Verwendung von SMS bei der Einrichtung von Windows 2000 ist seine Fähigkeit, Windows 2000 an Computer zu verteilen, die verlegt werden sollen, anschließend die Aktualisierung zu initialisieren und den neuen Status zu melden. Diese Themen werden ausführlich im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch erörtert.
Unterschiede zu SMS 1.2 SMS 2.0 unterscheidet sich wesentlich von seinem Vorläufer, SMS 1.2. Beide Versionen haben ähnliche Gesamtfunktionen, erzielen diese Funktionen jedoch durch die Verwendung völlig unterschiedlicher Techniken. Wenn Sie vorhaben, SMS 1.2 für die Netzwerkanalyse und die Einrichtung von Windows 2000 zu verwenden, müssen Sie die folgenden Unterschiede zwischen dieser Version und SMS 2.0 berücksichtigen: ? das Softwareinventar basiert auf vordefinierten Anwendungsdefinitionen.
Daher müssen Sie prüfen, welche Anwendungen möglicherweise in Ihrer Organisation verwendet werden, und sicherstellen, dass diese Anwendungen für SMS definiert sind. Während SMS eine große Anzahl vordefinierter Anwendungen enthält, müssen die meisten Organisationen für die Erfassung eines SMS 1.2-Softwareinventars weit mehr definieren, um ihren Bedürfnissen gerecht zu werden. Solche Definitionen sind auch bei Beratern, im Internet und bei unabhängigen Softwarehändlern erhältlich. ? Das Hardwareinventar ist nicht so umfassend, daher kann es Schwierigkeiten bereiten, alle erforderlichen Hardwaredetails zu erhalten. Erstrangige Computerhersteller verfügen über Computermanagement-Agenten von DMI (Desktop Management Interface), die ausführliche Informationen zum Hardwareinventar bieten, die SMS 1.2 erfassen kann. Die verschiedenen Hersteller bieten jedoch unterschiedliche Lösungen, so dass diese Agenten in einer gemischten Umgebung schwer einzusetzen sind. Unabhängige Softwarevertreiber bieten Lösungen, die die Hardwareinventare verbessern können. ? Die Softwareverteilung ist nicht so flexibel, sowohl hinsichtlich der Zielerfassung als auch der Ausführung.
212
Teil II
Netzwerkinfrastruktur ? Das Hardwareinventar ist für alle Clients erforderlich. Es gibt keine Entspre-
chung zum SMS 2.0-Clienterkennungsprozess. Daher kann SMS 1.2. nicht mit Clients arbeiten, solange sie nicht über ein Hardwareinventar gemeldet wurden. ? Es gibt kein Verfahren zur Softwaremessung. Daher kann SMS 1.2. Benutzer nicht davor schützen, inkompatible Anwendungen zu betreiben. Es sind jedoch Anwendungen zur Softwaremessung von Drittanbietern verfügbar, von denen viele SMS 1.2 in unterschiedlicher Weise integrieren. ? Es gibt keine Produktkompatibilitätsdatenbank Ein entsprechendes System kann jedoch eingerichtet werden, indem eine vergleichbare Datenbanktabelle definiert wird. ? Es gibt kein Tool zur Steuerung des Netzwerkmonitors und keine Netzwerkmonitorexperten, die Erweiterungen des Netzwerkmonitors sind (siehe später in diesem Kapitel). ? SMS 1.2 basiert auf der Windows NT-Replikation zwischen Domänen-
controllern für die Weiterleitung der SMS-Anmeldeskripts und ihrer ggf. verwendeten Komponenten.
Erfassen von Inventar Sie beginnen die Analyse Ihrer Netzwerkinfrastruktur mit der Erfassung des Hardware- und Softwareinventars. Diese Daten sind für die Einrichtung von Windows 2000 von wesentlicher Bedeutung.
Bewerten des aktuellen Stands Ihrer Hardware Windows 2000 wurde für den Betrieb auf einer Vielzahl unterschiedlicher Computer entwickelt. In den letzten Jahren wurden jedoch so viele verschiedene Computermodelle und -komponenten hergestellt, dass möglicherweise nicht alle Computer für die Verwendung von Windows 2000 bereit sind. SMS kann Sie bei der Ermittlung solcher Computer unterstützen.
Hardwarekapazität In jüngerer Zeit gekaufte Computermodelle verfügen wahrscheinlich über ausreichende Kapazitäten für Windows 2000. Ältere Computer haben jedoch möglicherweise nicht die erforderlichen Ressourcen. Unzureichende Ressourcen sind vor allem zu geringer Arbeitsspeicher, nicht ausreichender Festplattenspeicherplatz, ein sehr langsamer Prozessor, das Fehlen eines CD-ROMLaufwerks oder ein besonders alter Prozessor. Sie müssen die Computer mit mangelnden Ressourcen ausfindig machen, um sie zu aktualisieren oder zu ersetzen. Der Aktualisierungsprozess für die Computer wird jedoch weit effizienter, wenn Sie Ihre Verteilung vorausplanen und genau wissen, wo sich die Computer befinden, die aktualisiert werden müssen. Wenn Sie dann an einem Standort eintreffen, kennen Sie bereits die korrekten Komponenten und können direkt an die zu bearbeitenden Computer herangehen.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Hardwarekompatibilität Ein Vielzahl von Hardwaredetails kann für Ihre Aktualisierungsplanung von Bedeutung sein. Zusätzlich zu den üblichen Punkten wie Speicherplatz, Arbeitsspeicher und Prozessorgeschwindigkeit sollten Sie folgende Komponenten berücksichtigen: ? BIOS ? Grafikkarte ? Netzwerkkarte ? Festplattencontroller ? Energieverwaltung ? Andere Hardware wie z. B. der CPU-Chipsatz
Es ist nicht wahrscheinlich, dass diese Komponenten nicht mit Windows 2000 kompatibel sind, aber es ist möglich. Wenn Sie Computer gekauft haben, die vom Verkäufer als Windows 2000-kompatibel zertifiziert wurden, oder sich auf der Windows 2000 Hardwarekompatibilitätsliste befinden, bereiten sie Ihnen wahrscheinlich keine Probleme. Die Hardwarekompatibilitätsliste können Sie über eine Suche nach dem Schlüsselwort „HCL“ auf der Webseite http://www.microsoft.com finden. Andernfalls sollten Sie einen Kontrolltest durchführen, um solche Modelle zu entdecken. Ein Kontrolltest umfasst das Testen einer relevanten Anzahl von jedem Computermodell, das Ihr Unternehmen verwendet, vor der Aktualisierung der betreffenden Benutzer. Wenn Sie die nicht-kompatiblen Modelle oder Komponenten identifiziert haben, können Sie mit der Inventarfunktion von SMS alle anderen Computer Ihres Unternehmens suchen, die dasselbe Problem haben. Durch die Prüfung der Details des SMS-Hardwareinventars für die Komponenten, die unter Windows 2000 Probleme verursachen, können Sie Merkmale auswählen, die speziell diese fehlerverursachenden Komponenten und die Computer, die sie verwenden, identifizieren. Sie können dann Ihre Hardwareberichte so anpassen, dass Sie andere Computer mit denselben Problemen finden. Es wird empfohlen, einen weiteren Test durchzuführen, um zu überprüfen, dass alle auf diese Weise identifizierten Computer tatsächlich Probleme bereiten und dass alle Probleme gefunden wurden. Mit zunehmendem Vertrauen in diese Tests und ihre Resultate haben Sie eine größere Gewissheit, dass die auf der Basis dieser Berichte vorgenommenen Aktualisierungen erfolgreich sind.
Verwenden des Hardwareinventars von SMS (Systems Management Server) Wenn Sie SMS in Ihrem Unternehmen eingerichtet haben, ist die Aktivierung von SMS-Hardwareinventar relativ problemlos. Die SMS-Clientsoftware, die Hardwareinventardetails erfasst, arbeitet bei der Durchsuchung des Computers nach Hardwaredetails mit WMI-Komponenten (Windows Management Instrumentation). WMI ist ein Teil von SMS und aus anderen Quellen verfügbar. Die Clientcomputer übergeben die Hardwareinventardetails automatisch an die SMS-Server, und die Daten werden in der Hierarchie nach oben übertragen. Sie können dann von einem zentralen Standort auf die Daten zugreifen. Standardmäßig werden die Daten einmal wöchentlich aktualisiert, Sie können diese Frequenz jedoch ändern.
213
214
Teil II
Netzwerkinfrastruktur
Anmerkung SMS sucht Computer über Prozesse, die Erkennungsmethoden genannt werden. Die Erkennung liefert einige Basisinformation über Ihre Computer, u. a. die Bestätigung, dass sie überhaupt vorhanden sind, ihre Namen, ihre Netzwerkadressen, und wo sie aufgestellt sind. Dies kann für einige Typen von Hardwareinventarabfragen und -berichte ausreichen. Die Erkennung bietet den Vorteil, dass sie weniger Ressourcen benötigt als das Hardwareinventar. Die Ressourcenunterschiede sind jedoch oft nicht ausschlaggebend. SMS erfasst eine sehr umfangreichen Satz von Hardwareinventardetails, der die meisten von Ihnen benötigten Informationen enthält. Das SMS-Hardwareinventar kann leicht erweitert werden, wenn Sie zusätzliche Details benötigen. Eine typische Erweiterung ist die Frage an die Benutzer, auf welchem Stockwerk sie sich befinden, in welchem Büro usw. Eine andere typische Erweiterung ist die Erfassung von händlerspezifischen Informationen, die im BIOS enthalten sein können, wie die Serien- oder Modellnummer. Diese Art von Daten ist elektronisch oft nur schwer erfassbar, da sie bei der Verwendung standardisierter Techniken nicht verfügbar sind oder von subjektiven Vorgaben abhängen. Daher sind kundenspezifische Erweiterungen erforderlich. Diese Erweiterungen sind jedoch, wie in der SMS-Dokumentation beschrieben, leicht zu implementieren. Tabelle 8.1 enthält hypothetische Beispiele für Hardwarekomponenten, die möglicherweise Kapazitäts- oder Kompatibilitätsprobleme mit Windows 2000 aufweisen. Sie enthält die SMS-Klasse und Eigenschaften, die für ihre Überprüfung verwendet werden. Die Verwendung der Klassen und Werte wird im folgenden Abschnitt über das Berichten, Analysieren und Verwenden der erfassten Daten erörtert. Tabelle 8.1 Beispiel: Windows 2000-Hardwareanforderungen Ressource
Professional
Server
SMS-Klasse
SMS-Eigenschaft
Speicher Festplatten -speicher Prozessor
90 MB 1GB
128 MB 1GB
SMS_G_System_X86_PC_MEMORY SMS_G_System_Logical_Disk
TotalPhysicalMemory FreeSpace
Pentium
Pentium II
SMS_G_System_PROCESSOR
Name
Grafikkarte
nicht identifiziert
nicht identifiziert
MS_G_System_VIDEO
AdapterChipType
Die in der Tabelle als Anforderungen aufgelisteten Werte sind nur hypothetische Werte, wie sie in manchen Firmen verwendet werden. Die Anforderungen variieren entsprechend den unterschiedlichen Benutzertypen und Aktualisierungspfaden. Selbst ähnliche Computerkonfigurationen arbeiten unterschiedlich. Daher ist es wichtig, dass Sie hinsichtlich der Mindestanforderungen für Windows 2000 Ihre eigene Einschätzung vornehmen. Auch haben Grafikkarten normalerweise keine Kompatibilitätsprobleme mit Windows 2000. Die Auswahl von Systemen zur Aktualisierung, die darauf basiert, ob Ihre Grafikkarten von SMS identifziert wurden oder nicht, wurde nur als ein Beispiel für ein Hardwarekompatibilitätskriterium verwendet – möglicherweise finden Sie heraus, dass Sie Computer aufgrund eines bestimmten Grafikkartenchips oder einer beliebigen Anzahl anderer Hardwaredetails, für die SMS Daten liefern kann, ausschließen müssen.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
215
Bewerten des aktuellen Stands Ihrer Software Windows 2000 enthält dieselben Programmschnittstellen und Funktionen, die in vorhergehenden Versionen von Windows verfügbar waren. Bewährte Funktionen verhalten sich jedoch nicht immer in der gleichen Weise. Potentielle Inkompatibilitäten werden gewöhnlich durch verschiedene Programmierungsstandards immer unwahrscheinlicher, es wurden jedoch nicht alle Anwendungen unter strikter Einhaltung dieser Standards entwickelt. Aus diesen und ähnlichen Gründen kann Software, die für die verschiedenen Versionen von Windows entworfen wurde, mit Windows 2000 inkompatibel sein. Das Kapitel „Testen der Anwendungskompatibilität mit Windows 2000“ erörtert ausführlich mögliche Softwareinkompatibilitäten und liefert Details, wie Sie herausfinden, welche Ihrer Anwendungen Windows 2000-kompatibel sind. Dennoch sehen Sie sich weiterhin mit zwei wichtigen Fragen konfrontiert: „Welche Softwareanwendungen verwendet Ihr Unternehmen?“ und „Auf welchen Computern sind diese Anwendungen installiert oder welche Computer verwenden sie?“ SMS bietet Ihnen die Antworten auf diese Fragen. Sie aktivieren und verwenden das SMS-Softwareinventar ähnlich wie das SMSHardwareinventar. Die von SMS verwendete Methode zur Datenerfassung unterscheidet sich jedoch. Die Festplatte jedes Clientcomputers wird nach Dateien mit der Namenerweiterung .exe durchsucht. Diese Dateien werden dann auf die Verfügbarkeit von zusätzlichen Details hin untersucht, und diese Information wird an die SMS-Standortserver gemeldet. Sie können das SMS-Softwareinventar erweitern, indem Sie SMS so konfigurieren, dass auch andere Erweiterungen als .exe, wie .dll oder .com, gesucht werden. Da das SMS-Softwareinventar Details über alle ausführbaren Programme auf jedem Computer erfasst, können Sie sicher sein, dass jede Software, die auf einem Computer Ihrer Organisation installiert ist, identifiziert wird. Das SMS-Softwareinventar versucht auch, aus jedem Programm die Vorspanndaten zu extrahieren. Vorspanndaten sind Informationen über die Software, die in den ausführbaren Dateien enthalten sind. Diese Daten sind in den meisten in jüngerer Zeit entwickelten Programmen enthalten. Meist weisen Computer jedoch auch einige ältere Programme auf. Die extrahierten Programmvorspanndaten enthalten anstelle der oftmals kryptischen Programmdateinamen oft beschreibende Namen. Tabelle 8.2 enthält verschiedene Eigenschaften, die Sie für die Arbeit mit den Daten aus dem SMS-Softwareinventar benötigen. Die Eigenschaften für Software mit Vorspanndaten stammen aus der Klasse SMS_G_System_SoftwareProduct. Die Eigenschaften für Software ohne Vorspanndaten stammen aus der Klasse SMS_G_System_UnknownFile. Tabelle 8.2 Softwaredaten Daten
Softwaremit Vorspanndaten
Software ohne Vorspanndaten
Dateiname
FileName
FileName
Dateigröße Produktname
FileSize ProductName
FileSize N/A
Produktversion Produktsprache
ProductVersion ProductLanguage
N/A N/A
216
Teil II
Netzwerkinfrastruktur
Das SMS-Softwareinventar kann die gesamte Software, die auf Ihren Computern installiert ist, identifizieren, es kann Ihnen jedoch nicht sagen, welche Software gerade verwendet wird. Wenn Software nicht mehr benutzt wird, ist es nicht nötig, die Kosten für eine Aktualisierung dieser Anwendungen aufzubringen. Das SMS-Softwareinventar kann Dateien von Ihren Clientcomputern erfassen. Wenn Sie viele Clientcomputer mit großen Dateien haben, kann dies eine ziemliche Auslastung Ihres Netzwerks und des Speicherplatzes auf Ihren Standortservern nach sich ziehen. Sparsam eingesetzt kann das Softwareinventar jedoch ein leistungsfähiges Tool sein. Sie können z. B. die Windows 2000-Aktualisierung auf Computern mit Windows 95 oder Windows 98 in einer Weise durchführen, dass nur ein Aktualisierungsbericht erstellt wird (Upgrade.txt im Windows-Verzeichnis). Verwenden Sie den Befehl Winnt32 /checkupgradeonly oder eine entsprechende Antwortdatei sowie die im Abschnitt „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ beschriebenen Verfahren, um einen Aktualisierungsbericht zu erstellen. Das SMS-Softwareinventar kann dann diese Datei für jeden Computer erfassen und zentral speichern, so dass sie Ihnen bei Bedarf zur Verfügung steht. Die Aktualisierungsberichte können auf Hardwareoder Softwareprobleme hinweisen, die gelöst werden müssen, bevor ein Versuch zur Aktualisierung der Computer unternommen werden kann. SMS enthält die Funktion Softwaremessung, die Berichte über die aktuelle Verwendung von Software erstellt. Die Softwaremessung zeichnet den Aufruf jedes Programms auf und leitet diese Daten an die SMS-Standortdatenbank weiter. Programme, die mit dem Betriebssystem geliefert werden, wie z. B. Notepad, werden oft aus dieser Datenerfassung ausgeschlossen. Das Kapitel „Messen von Software“ im Microsoft® Systems Management Server Administratorhandbuch beschreibt, wie Sie die Softwaremessung in SMS verwenden und auf diesen Daten basierende Berichte erstellen können. Erwägen Sie die Verwendung des Offlinemodus, der dieselben Daten erfasst, jedoch seltener Berichte weiterleitet. Dies bedeutet eine deutliche Reduzierung der Netzwerk-, Client- und Serverauslastung.
Verwenden des Inventars für die Vorbereitung der Netzwerkinfrastruktur Wenn Sie alle Daten erfasst haben, können Sie sie zur Beantwortung der Fragen verwenden, die bei der Planung Ihrer Windows 2000-Einrichtung auftreten. Sie können mit diesen Daten auch den Einrichtungsprozess steuern.
Melden der erfassten Daten Hauptsächlich werden die SMS-Inventardaten dazu verwendet, Berichte zu generieren, die bestimmte Fragen beantworten. Weitere Informationen hierzu finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Systems Management Server Technical Details“ klicken.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
217
Für die Einrichtung von Windows 2000 können Sie folgende Berichte generieren: ? Computer mit der Kapazität für Windows 2000 ? Computer, die mit Windows 2000 kompatibel sind
Das technische Personal, das die Windows 2000-Aktualisierung durchführt, kann diese beiden Berichte verwenden, um die Computer zu identifizieren, die Hardwareaktualisierungen erfordern. Sie können auch eine Kombination aus diesen Berichten verwenden, da Sie in der Regel mit beiden Problemen konfrontiert sind. ? Computer, die eine Hardwareaktualisierung erfordern Dieser Bericht kann vom technischen Personal verwendet werden, das die Hardwareaktualisierungen durchführt. Damit kann es die passende Hardware bestellen und feststellen, für welche Computer eine Aktualisierung erforderlich ist. ? Computer, die eine Softwareaktualisierung erfordern Dieser Bericht kann vom technischen Personal verwendet werden, das die Softwareaktualisierungen durchführt. Damit kann es die passende Software bestellen und feststellen, für welche Computer eine Aktualisierung erforderlich ist. Jeder dieser Berichte kann nach Standorten oder in weitere Details unterteilt werden, je nachdem, wie Ihre Organisation die Informationen am besten verwenden kann.
Beispiel eines SMS-Berichts über Windows 2000-Fähigkeit Die folgende Abfrage verwendet die in Tabelle 8.1 aufgelisteten SMS-Klassen, um nach Computern zu suchen, die für die Aktualisierung mit Windows 2000 bereit sind. Die in diesem Fall verwendeten Kriterien sind, dass Laufwerk C: über 1 GB freien Speicherplatz verfügt, dass der Computer mindestens 90 MB Arbeitsspeicher und einen Pentium-Prozessor besitzt und die Grafikkarte nicht unidentifiziert (d. h. nicht gleich Null) ist. Diese Kriterien gehen davon aus, dass das Laufwerk C: die Benutzersystempartition ist. Der von dieser Beispielabfrage generierte Bericht wird in Abbildung 8.2 gezeigt.
Abbildung 8.2 Beispiel eines SMS-Berichts über Computer mit der Kapazität für Windows 2000.
218
Teil II
Netzwerkinfrastruktur
Viele Organisationen möchten vielleicht auch Computer aktualisieren, die weniger als 90 MB Arbeitsspeicher oder 1GB verfügbaren Festplattenspeicherplatz besitzen. Eine von SMS nicht identifizierte Grafikkarte ist nicht unbedingt inkompatibel zu Windows 2000. Wenn Sie eine Grafikkarte haben, von der Sie vermuten, dass sie zu Windows 2000 nicht kompatibel ist, können Sie den Nullstring der Karte durch ihren Chiptypwert ersetzen. Zusätzliche Kriterien können nach Bedarf hinzugefügt werden. Die Beispielabfrage lautet: SELECT DISTINCT SMS_G_System_LOGICAL_DISK.FreeSpace, SMS_G_System_PROCESSOR.Name, SMS_G_System_X86_PC_MEMORY.TotalPhysicalMemory, SMS_G_System_VIDEO.AdapterChipType, SMS_R_System.Name, SMS_R_System.SMSAssignedSites FROM (((SMS_R_System LEFT JOIN SMS_G_System_PROCESSOR ON SMS_R_System.ResourceId = SMS_G_System_PROCESSOR.ResourceID) LEFT JOIN SMS_G_System_VIDEO ON SMS_R_System.ResourceId = SMS_G_System_VIDEO.ResourceID) LEFT JOIN SMS_G_System_X86_PC_MEMORY ON SMS_R_System.ResourceId = SMS_G_System_X86_PC_MEMORY.ResourceID) LEFT JOIN SMS_G_System_LOGICAL_DISK ON SMS_R_System.ResourceId = SMS_G_System_LOGICAL_DISK.ResourceID WHERE (((SMS_G_System_LOGICAL_DISK.FreeSpace)>1000) AND ((SMS_G_System_X86_PC_MEMORY.TotalPhysicalMemory)>90000) AND ((SMS_G_System_VIDEO.AdapterChipType)<>'') AND ((SMS_G_System_LOGICAL_DISK.DeviceID)='C:') AND ((InStr(1,[SMS_G_System_PROCESSOR].[Name],"Pentium"))>0)) ORDER BY SMS_R_System.SMSAssignedSites;
Sie können diese Abfrage mit Microsoft Access verwenden. Wenn Sie diese Abfrage in der SMS-Administratorkonsole verwenden, kann sie danach über das Programm SMS Query Extract direkt in Microsoft Access verwendet werden. Dieses Programm befindet sich im Supportverzeichnis der SMS 2.0-CD und ist in Microsoft® BackOffice ® Resource Kit 4.5 enthalten. Weitere Informationen über die Generierung von SMS-Berichten mit Microsoft Access und mit oder ohne SMS Query Extract finden Sie auf der oben erwähnten Webseite der technischen Referenz.
Verwenden des Teilsystems zur Produktkompatibilität SMS verfügt über eine Produktkompatibilitätsdatenbank, die normalerweise verwendet wird, um die vom SMS-Teilsystem zum Softwareinventar gemeldete Software mit einer Liste von Software mit Problemen hinsichtlich der Jahr-2000Produktkompatibilität zu vergleichen. Sie können dieses Teilsystem auch zum Vergleich der Software mit einer Liste von Software mit bekannten Problemen mit dem Euro-Währungszeichen verwenden. Dasselbe kann auch für die Windows 2000-Kompatibilität durchgeführt werden. Sie können die Produktkompatibilitätsdatenbank in SMS-Berichten dazu verwenden, Computer mit Problemen bei der Kompatibilität mit Windows 2000-Anwendungen zu markieren. SMS enthält keine Liste von Softwareprodukten mit potentiellen Inkompatibilitäten zu Windows 2000. Das Kapitel „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch hilft Ihnen bei der Suche nach Anwendungen mit potentiellen Inkompatibilitäten in Ihrer Organisation.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
219
Erweitern des Teilsystems zur Produktkompatibilität mit Informationen zur Hardware- oder Softwarekompatibilität von Windows 2000 Das Kapitel „Ermitteln der Produktkompatibilität“ im Microsoft® Systems Management Server Administratorhandbuch beschreibt das SMS-Teilsystem zur Produktkompatibilität. Es enthält Verfahren zum Hinzufügen neuer Produkte und für die Berichterstellung, die auf den Klassenfeldern zur Produktkompatibilität basiert. Sie fügen mit Hilfe der SMS-Administratorkonsole einen neuen Eintrag zur Produktkompatibilitätsdatenbank hinzu. Wählen Sie Produktkompatibilität. Wählen Sie anschließend im Menü Vorgang die Option Neu und dann Produktkompatibilität. Das Dialogfeld Eigenschaften von Produktkompatibilität wird geöffnet. Die Onlinehilfe beschreibt jedes einzelne Feld. Vorsicht Die Produktkompatibilitätsfelder müssen exakt den beim SMS-Softwareinventarvorgang gefundenen Feldern entsprechen. Verwenden Sie die Schaltfläche Durchsuchen, um eine bestimmte Version einer Datei zu suchen. So stellen Sie sicher, dass der Name und die Größe korrekt sind. Die Felder Produktname, Produktversion und Produktsprache bieten Dropdownlistenfelder, die Ihnen die Auswahl der exakten Werte, die das SMS-Softwareinventar gefunden hat, ermöglicht. Beachten Sie besonders die Felder Kompatibilitätstyp und Kompatibilitätslevel. Jedes Feld enthält ein Dropdownlistenfeld, das alle zuvor in diesem Feld verwendeten Werte anzeigt. Kompatibilitätstyp weist standardmäßig nur den Wert „Year 2000 Compliance“ auf. Sie können jedoch jeden beliebigen Wert eingeben. Vielleicht möchten Sie „Windows 2000-Kompat.“ verwenden. (Der Wert ist auf 20 Zeichen begrenzt). Das Listenfeld Kompatibilitätslevel bleibt leer, bis Sie einen Typ ausgewählt haben. Wenn Sie einen Kompatibilitätstyp ausgewählt haben, enthält das Listenfeld Kompatibilitätslevel alle Werte, die zuvor für diesen Typ verwendet wurden. Da zuvor noch keine Werte verwendet wurden, ist die Liste leer. Sie können jeden beliebigen Wert eingeben, wie „Kompatibel“, „Inkompatibel“, „Kompatibel mit kleineren Problemen“, oder „Kompatibel mit größeren Problemen“. Anmerkung Wenn Sie dieselben Kompatibilitätslevel für Windows 2000 verwenden möchten, wie sie für die Jahr-2000-Fähigkeit geliefert werden, dann wählen Sie als Typ vorübergehend „Jahr-2000-Kompatibilität“, wählen Sie anschließend die gewünschte Ebene, und kopieren Sie es in die Zwischenablage. Ändern Sie den Type in „Windows 2000“ und fügen Sie den kopierten Wert in das Feld Kompatibilitätslevel ein.
220
Teil II
Netzwerkinfrastruktur
Erstellen von Berichten mit dem Teilsystem zur Produktkompatibilität Sie verwenden die Datenbank des SMS-Standorts, um über die Windows 2000Kompatibilität zu berichten. Die Klasse SMS_G_System_SoftwareProduct enthält die Eigenschaften für alle Softwareprodukte, die während des SMS-Softwareinventarprozesses festgestellt wurden. SoftwareProductCompliance enthält die Eigenschaften der Produktkompatibilitätsdatenbank. Ein Vergleich der entsprechenden Eigenschaften der beiden Tabellen ermöglicht es Ihnen herauszufinden, ob ein Softwareprodukt für seine potentielle Inkompatibilität bekannt ist. Tabelle 8.3 enthält die von Ihnen benötigten Eigenschaften. Tabelle 8.3 Daten zur Produktkompatibilität Daten
Eigenschaft in SMSSoftwareinventar
Eigenschaft in SMSProduktkompatibilität
Dateiname Dateigröße
FileName FileSize
FileName FileSize
Produktname Produktversion
ProductName ProductVersion
ResProdName ResProdVer
Produktsprache Kompatibilitätstyp Kompatibilitätslevel
ProductLanguage N/A N/A
ResProdLangID Typ Kategorie
Die einfachste Art, das SMS-Teilsystem zur Produktkompatibilität für Berichte zur Windows 2000-Kompatibilität zu verwenden, ist das Kopieren der Abfrageanweisung einer bereits vorhandene Abfrage zur Jahr-2000-Fähigkeit. Erstellen Sie dann eine neue, leere Abfrage, und fügen Sie die Abfrageanweisung in diese ein. Ändern Sie den Wert für den Kompatibilitätstyp, und geben Sie den Rest der Abfragedetails ein. Die folgende Abfrage basiert z. B. auf der Standardabfrage „Jahr-2000-kompatible Software an diesem und untergeordneten Standorten“. Die Abfrage wurde nur an zwei Stellen geändert – anstelle von „Jahr-2000Kompatibilität“ wurde „Windows 2000-Kompatibilität“eingefügt. Die Beispielabfrage lautet: SELECT DISTINCT sys.Name, compl.Category, compl.ProdName, compl.ProdVer, compl.ProdCompany, compl.ProdLang, compl.URL, compl.Comment FROM SMS_SoftwareProductCompliance as compl INNER JOIN SMS_G_System_UnknownFile as unknownfile ON UPPER(unknownfile.FileName) = UPPER(compl.FileName) AND unknownfile.FileSize = compl.FileSize AND unknownfile.ProductId = 0 INNER JOIN SMS_R_System as sys ON unknownfile.ResourceID = sys.ResourceID WHERE compl.Category != "Kompatibel" AND compl.Type = "Windows 2000-Kompatibilität" UNION SELECT DISTINCT sys.Name, compl.Category, compl.ProdName, compl.ProdVer, compl.ProdCompany, compl.ProdLang, compl.URL, compl.Comment FROM SMS_SoftwareProductCompliance as compl INNER JOIN SMS_G_System_SoftwareProduct as prod ON compl.ResProdName = prod.ProductName AND compl.ResProdVer = prod.ProductVersion INNER JOIN SMS_G_System_SoftwareFile as prodfile ON UPPER(prodfile.FileName) = UPPER(compl.FileName) AND prodfile.FileSize = compl.FileSize INNER JOIN SMS_R_System as sys ON prod.ResourceID = sys.ResourceID WHERE compl.Category != "Kompatibel" AND compl.Type = "Windows 2000-Kompatibilität" AND (compl.ResProdLangID = prod.ProductLanguage OR compl.ResProdLangID = 65535) AND prod.ProductID = prodfile.ProductID
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Diese Abfrage listet die inkompatible Software nach Standort auf. Sie können mit diesen Daten, wie in Abbildung 8.3 gezeigt, einen Microsoft Access-Bericht erstellen.
Abbildung 8.3 Beispiel für einen Bericht über Softwarekompatibilität
Die Administratoren der entsprechenden Standorte können dann benachrichtigt werden, dass sie diese Kompatibilitätsprobleme der Anwendungen an ihren Standorten lösen müssen. Die Computernamen oder andere Details können auf Wunsch einfach in den Bericht integriert werden. Die Abfrageergebnisse können auch als Basis für eine SMS-Erfassung verwendet werden, zu der ein SMS-Paket angewiesen werden kann, die Anwendung zu aktualisieren oder zu entfernen.
Analysieren und Verwenden der erfassten Daten Die Daten der Berichte werden häufig analysiert, um folgende Fragen zu beantworten: „Wie teuer wird es, Clientcomputer für Windows 2000 zu aktualisieren?“ oder „Wie hoch ist diese Kostenstelle zu veranschlagen?“. Es kann jedoch einfach zu arbeitsintensiv sein, eine solche Analyse manuell durchzuführen, wenn viele Standorte und Computer betroffen sind. Daher ist es besser, die Daten in ein Programm zu importieren, das Sie für die Durchführung dieser Analyse verwenden möchten. Sie können mit dem Programm SMS Query Extract die SMS-Daten, die Ihnen bei der Einrichtung von Windows 2000 behilflich sein können, ganz einfach in Programme wie Microsoft Excel oder Microsoft Access importieren. Sie finden dies ausführlich beschrieben im Kapitel „Reporting Options for SMS 2.0“ in dem Handbuch Microsoft® Systems Management Server Resource Guide, einem Bestandteil von Microsoft® BackOffice® Resource Kit 4.5. Ihr eigentliches Ziel ist es, Windows 2000 einzurichten. Mit den Daten, die SMS erfasst hat, können Sie diesen Prozess automatisieren. Dieselben Abfragen, die Daten für Berichte wie „Unsere zu Windows 2000 kompatiblen PCs“ liefern, können als Basis von Computererfassungen in der SMS-Datenbank dienen, für die Windows 2000 angezeigt ist. Ähnlich wie bei dem SMS-Teilsystem zur Produktkompatibilität angeführt, muss die Software einiger Computer aktualisiert werden, um Windows 2000-fähig zu sein. Die erfassten Softwareinventardaten können auch verwendet werden, um diese Computer für die entsprechenden Aktualisierungen zu ermitteln, die mittels SMS geliefert werden können.
221
222
Teil II
Netzwerkinfrastruktur
Vielleicht möchten Sie auch andere Tools als SMS verwenden, um Windows 2000 zu installieren oder Anwendungen zu aktualisieren. Diese Tools benötigen ebenfalls eine Computerliste für die Zielermittlung. Sie können die SMS-Daten für diesen Zweck verwenden. Die Daten können mit den zuvor genannten Techniken extrahiert und in andere Tools importiert werden. Weitere Informationen über den Einsatz von Windows 2000 mit SMS finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. Die Einrichtung Windows 2000-kompatibler Anwendungen erfolgt in ähnlicher Weise.
Überwachen des Netzwerks Ein wesentlicher Aspekt bei der Vorbereitung der Einrichtung von Windows 2000 ist die genaue Kenntnis Ihres Netzwerks. Sie sollten z. B. folgende Fragen beantworten können: ? Welche Netzwerkverbindungen und -segmente haben nur beschränkte
Kapazitäten? ? Welche Protokolle werden verwendet? ? Wo befinden sich die DHCP-, WINS- und ähnliche Server?
Die Übertragung der Windows 2000-Quelldateien zu Remotestandorten erfordert eine beachtliche Netzwerkkapazität. Zur Installation von Windows 2000 von freigegebenen Quellen aus wird noch mehr Kapazität benötigt, es muss jedoch auf LANs verfügbar sein. Wenn Sie prüfen, welche Protokolle verwendet werden und wo sich die einzelnen Netzwerkserver befinden, können Sie sichergehen, dass Ihre Planung alle relevanten Details berücksichtigt. SMS enthält den Netzwerkmonitor und verwandte Funktionen. Mit ihrer Hilfe können Sie Ihr Netzwerk analysieren und diese und ähnliche Fragen beantworten. Mit dem Netzwerkmonitor können Sie die Aktivitätsebenen in jedem Netzwerksegment anzeigen (siehe Abbildung 8.4). Der Netzwerkmonitor kann auch für die Erfassung von Netzwerkpaketen verwendet werden. Sie können diese Pakete dann anzeigen, um zu sehen, welche Protokolle verwendet werden und welche Computer Dienste anbieten. Der Netzwerkmonitor enthält eine Funktion namens Netzwerkmonitorexperten. Hiermit lässt sich eine Tabelle der Protokolle erstellen, die angibt, welchen Prozentsatz an Frames und Bytes jedes Protokoll verwendet.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
223
Abbildung 8.4 SMS-Netzwerkmonitor
Sie können das Tool zur Steuerung des Netzwerkmonitors so konfigurieren, dass die Netzwerkaktivitäten nicht autorisierter DHCP- und WINS-Server fortlaufend überwacht werden. Sie übergeben dem Programm die Adressen der Ihnen bekannten DHCP- und WINS-Server, und das Programm zeigt die Adressen aller anderen DHCP- und WINS-Server an, für die es Pakete ermittelt. Das Kapitel „Verwenden von SMS für die Netzwerkverwaltung“ in Microsoft® Systems Management Server Administratorenhandbuch beschreibt den Netzwerkmonitor im Detail. Anmerkung Windows 2000 enthält eine Version des Netzwerkmonitors. Diese Version überwacht jedoch nur den Verkehr zu und von dem Computer, auf dem sie installiert ist, einschließlich Broadcastnachrichten. Die SMS-Version von Netzwerkmonitor überwacht den gesamten Netzwerkverkehr in den Segmenten, für deren Überwachung das Programm konfiguriert wurde. Die SMS 2.0-Version von Netzwerkmonitor beinhaltet darüber hinaus noch andere Erweiterungen, wie beispielsweise die Netzwerkmonitorexperten.
224
Teil II
Netzwerkinfrastruktur
Sicherstellen der Anwendungskompatibilität SMS kann Ihnen auf verschiedene Arten bei der Einrichtung von Windows 2000 behilflich sein. Eine wichtige Funktion von SMS ist es, die Verwendung von Windows 2000-kompatiblen Anwendungen zu erzwingen. Sie können SMS verwenden, um die geeigneten Computer für Softwareaktualisierungen zu ermitteln und die Software zu den Computern zu übermitteln. Die Aktualisierungen können automatisch oder mit Benutzereingaben erfolgen. Der Zeitpunkt für Aktualisierungen kann vom SMS-Administrator geplant werden. Die Benutzer können diesen Zeitplan individuell anpassen, so dass die Aktualisierung erfolgt, wenn die Benutzer bei einem Treffen sind, oder zu einem anderen geeigneten Zeitpunkt. Die Aktualisierung kann auch unter Verwendung besonderer Sicherheitsrechte durchgeführt werden, die SMS verliehen werden, so dass die Benutzer auf ihren Computern keine zusätzlichen Rechte erhalten, auch nicht für einen begrenzten Zeitraum. Einer der größten Vorteile bei der Verwendung der SMS-Softwareverteilung ist die Rückgabe von Statusmeldungen durch die Aktualisierungen. So können Sie jederzeit über den Stand der Aktualisierung berichten. SMS dient auch zur Sicherstellung der Anwendungskompatibilität mit Windows 2000, indem es Benutzern die Verwendung nicht kompatibler Anwendungen verbietet. Möglicherweise möchten Benutzer Anwendungen oder bestimmte Versionen von Anwendungen benutzen, mit denen sie vertraut sind, auch wenn die aktualisierten Versionen die unbestreitbaren Vorteile von Unternehmensstandards bieten oder neue Funktionen enthalten. Daher kann es erforderlich sein, die Erfüllung der vorgegebenen Anwendungsstandards zu erzwingen. Die unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch beschriebenen Verfahrensweisen sind erforderlich, um festzustellen, welche Anwendungen nicht mit Windows 2000 kompatibel sind. Ist die Kompatibilität festgestellt, können die Anwendungen für die SMS-Softwaremessung definiert, und die Anzahl der verfügbaren Lizenzen kann auf Null gesetzt werden. Dies verhindert, dass Benutzer alte Softwareversionen verwenden. Dieses Verfahren sollte von einem effektiven Kommunikations- und Schulungsplan begleitet werden, so dass die Benutzer die Notwendigkeit für die Verwendung autorisierter Anwendungen verstehen und den Übergang leichter bewältigen können. Anmerkung Die SMS-Softwaremessung kann in zwei Modi arbeiten: online oder offline. Im Onlinemodus führen die Clients bei jedem Programmaufruf eine Überprüfung beim Server durch. Dieser Modus ist bei der gemeinsamen Nutzung von Lizenzen erforderlich. Im Offlinemodus zeichnen die Clients alle Programmaufrufe auf und führen in unregelmäßigen Abständen einen Upload der Daten durch. Dies bewirkt eine deutliche Reduzierung der Netzwerk-, Client- und Serverauslastung. Im Offlinemodus kann die gemeinsame Nutzung von Lizenzen nicht erzwungen werden. Der Aufruf bestimmter Programme kann jedoch untersagt werden, indem die Anzahl der Lizenzen auf Null und der Zeitraum der Nichtverfügbarkeit dieser Programme auf 24 Stunden am Tag gesetzt wird. Die Erzwingung von Lizenzen darf nicht auf der Mitgliedschaft in einer Windows NTBenutzergruppe basieren.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Weitere Informationen über die Softwareverteilung einschließlich der Prozesse für die Erstellung, Verteilung, Bekanntmachung und Messung eines SMS-Softwareverteilungspakets finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. Allgemeine Angaben zu den Themen SMS-Softwareverteilung und SMS-Softwareüberwachung finden Sie im Systems Management Server Administratorenhandbuch.
Planungstaskliste zur Netzwerkanalyse Mit Hilfe der Tabelle 8.4 können Sie sicherstellen, dass Sie alle notwendigen Schritte zur Vorbereitung Ihrer Netzwerkinfrastruktur durchführen. Tabelle 8.4
Planungstaskliste zur Netzwerkanalyse
Task
EntsprechendesKapitel
Erstellen eines Hardwareinventars Erstellen eines Softwareinventars
Bewerten des aktuellen Stands Ihrer Hardware
Erfassen von Daten zur Softwarenutzung
Bewerten des aktuellen Stands Ihrer Software
Berichte über die erfassten Daten Analyse der erfassten Daten Analyse der erfassten Daten anhand der Produktkompatibilitätsdatenbank
Melden der erfassten Daten Analysieren und Verwenden der erfassten Daten Melden der erfassten Daten
Überwachen des Netzwerks
Überwachen des Netzwerks
Bewerten des aktuellen Stands Ihrer Software
Zusätzliche Ressourcen ? Weitere Informationen zur Planung und Verwendung von SMS finden Sie im
Microsoft® Systems Management Server Administratorenhandbuch, das im Lieferumfang von SMS 2.0 enthalten ist. ? Weitere Informationen über SMS finden Sie auf der Website der technischen Referenz (http://windows.microsoft.com/windows2000/reskit/webresources) unter dem Hyperlink „Microsoft Systems Management Server“. ? Weitere Informationen über das Schreiben von Berichten anhand der von SMS erfassten Daten finden Sie auf der Website der technischen Referenz (http://windows.microsoft.com/windows2000/reskit/webresources) unter dem Hyperlink „Microsoft Systems Management Server Technical Details“. ? Weiterführende Informationen zu SMS finden Sie in der Dokumentation Microsoft® Systems Management Server Resource Guide in Microsoft BackOffice Resource Kit 4.5.
225
226
Teil II
Netzwerkinfrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
T E I L
I I I
Active DirectoryInfrastruktur Die Planung für Microsoft® Active Directory™ erfordert ein umfangreiches Verständnis vieler Funktionen von Microsoft® Windows® 2000 und deren Zusammenwirken. Teil III liefert Informationen für die Entwicklung von Active Directory, Sicherheit und Domänenmigrationsplänen für Ihre Organisation. Kapitel in Teil III Entwerfen der Active Directory-Struktur 229 Bestimmen der Strategien für die Domänenmigration 289 Planen der verteilten Sicherheit 347 Planen der Infrastruktur für öffentliche Schlüssel 401
228
Teil 1 Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
229
K A P I T E L
9
Entwerfen der Active DirectoryStruktur
Microsoft ® Windows® 2000 Server enthält einen Active Directory™ genannten Verzeichnisdienst. Die in diesem Kapitel vorgestellten Konzepte, Architekturelemente und Funktionen von Active Directory sind dem IT-Architekten und strategischen Planer Ihrer Organisation dabei behilflich, die für einen erfolgreichen Einsatz von Microsoft ® Windows® 2000 Active Directory wesentlichen Entwurfsdokumente herzustellen. Bevor Sie mit der Lektüre dieses Kapitels beginnen, sollten Sie sich detaillierte Kenntnisse über die IT-Verwaltungsgruppen, die Verwaltungshierarchie und die Netzwerktopologie Ihrer Organisation aneignen. Diese Kenntnisse werden Sie bei der Anwendung der Planungsrichtlinien dieses Kapitels auf Ihre eigene, individuelle Umgebung unterstützen. Inhalt dieses Kapitels Active Directory – eine Übersicht 230 Planen von Active Directory 233 Erstellen eines Gesamtstrukturplans 235 Erstellen eines Domänenplans 242 Erstellen eines Plans für Organisationseinheiten 267 Erstellen eines Standorttopologieplans 277 Planungstaskliste für das Entwerfen der Active Directory-Struktur
287
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Gesamtstrukturplan ? Domänenplan für jede Gesamtstruktur ? Plan der Organisationseinheit (OE) für jede Domäne ? Standorttopologieplan für jede Gesamtstruktur
Weiterführende Informationen inder technischen Referenz ? Weitere Informationen über das Migrieren von Domänen zu Windows 2000 finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. ? Weitere Informationen über Sicherheitsstandards von Windows 2000 wie beispielsweise das Kerberos-Protokoll finden Sie unter „Planen der verteilten Sicherheit“ in diesem Buch.
230
Teil III
Active Directory-Infrastruktur ? Weitere Informationen über fortgeschrittene Netzwerkkonzepte finden Sie
unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch. ? Weitere Informationen über Microsoft ® IntelliMirror™ oder Gruppenrichtlinien finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch. ? Weitere technische Informationen zu Active Directory finden Sie im Handbuch Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme. ? Weitere Informationen zu DNS (Domain Name System) finden Sie unter „Einführung in DNS“ im Handbuch Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Active Directory – eine Übersicht Active Directory erfüllt viele Funktionen, vom Backbone für verteilte Sicherheit bis hin zum Anbieten eines Frameworks zur Veröffentlichung von Diensten. Active Directory bietet einen zentralen Dienst für Administratoren zur Organisation von Netzwerkressourcen, zur Verwaltung von Benutzern, Computern und Anwendungen und zur Sicherung von Netzwerkzugriffen auf das Intranet und Internet. Da eine zunehmende Anzahl verteilter Anwendungen die Vorteile von Active Directory nutzt, ersparen Sie sich die Implementierung und Verwaltung anwendungsspezifischer Verzeichnisdienste. Das Resultat ist die Einsparung von Verwaltungs- und Hardwarekosten. Anmerkung Sie können Windows 2000 Server und Microsoft ® Windows® 2000 Professional vor, parallel zu oder nach Active Directory einrichten. Es ist nicht nötig, Active Directory zuerst einzurichten. Sie können von vielen neuen Funktionen von Windows 2000 profitieren, indem Sie Mitgliedsserver und Clientcomputer sofort aktualisieren. Weitere Informationen über das Aktualisieren von Mitgliedsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dieser Dokumentation.
Primäre Funktionen von Active Directory Die Funktionen von Windows 2000 Active Directory bieten viele Vorteile für Ihr Netzwerk, wie beispielsweise die folgenden: Sicherheit Active Directory bietet die Infrastruktur für eine Vielzahl neuer Sicherheitsfunktionen. Durch gegenseitige Authentifizierung können Clients vor der Übertragung vertraulicher Daten nun die Identität eines Servers überprüfen. Aufgrund der Unterstützung von Sicherheitsprogrammen mit öffentlichen Schlüsseln können Benutzer sich mit Smartcards anstelle von Kennwörtern anmelden.
Kapitel 9 Entwerfen der Active Directory-Struktur
231
Vereinfachte und flexible Verwaltung Objekte in Active Directory haben eine attributorientierte Zugriffssteuerung, was eine sehr präzise Delegierung von Administrationsaufgaben erlaubt. Die Delegierung von Administrationsaufgaben ermöglicht Ihnen eine effizientere Zuordnung der administrativen Verantwortlichkeiten in Ihrer Organisation und reduziert die Anzahl der Benutzer, die über domänenweite Kontrollfunktionen verfügen müssen. Skalierbarkeit Active Directory verwendet DNS (Domain Name System) als Locator-Methode. DNS ist ein hierarchischer, verteilter, vielseitig skalierbarer Namespace, der im Internet verwendet wird, um Computer- und Dienstnamen in TCP/IP-Adressen (Transmission Control Protocol/Internet Protocol) aufzulösen. Das Verzeichnis speichert Informationen unter Verwendung von Domänen. Dies sind Partitionen, die die Verteilung des Verzeichnisses über ein großes Netzwerk von unterschiedlicher Geschwindigkeit und Zuverlässigkeit ermöglichen. Das Verzeichnis verwendet eine Datenbanktechnologie und wurde für die Annahme von Millionen von Objekten (Benutzer, Gruppe, Computer, freigegebene Dateiordner, Drucker u. a.) geprüft. Diese Kombination von skalierbarem Locator, Partitionierungsfunktionen und skalierbarem Speicher gewährleistet, dass das Verzeichnis mit Ihrer Organisation mitwachsen kann. Hohe Verfügbarkeit Herkömmliche Verzeichnisse mit einer Single Master-Replikation bieten zwar hohe Verfügbarkeit für Abfragen, nicht jedoch für Aktualisierungsoperationen. Active Directory mit Multimaster-Replikation bietet hohe Verfügbarkeit sowohl für Abfragen als auch für Aktualisierungsoperationen. Erweiterbarkeit Das Schema mit den Definitionen für jede Objektklasse, die in einem Verzeichnisdienst vorhanden sein kann, ist erweiterbar. Dies ermöglicht es Administratoren und Softwareentwicklern, das Verzeichnis nach ihren Bedürfnissen anzupassen. Unterstützungoffener Standards Active Directory greift auf standardbasierte Protokolle zurück, wie z. B.: ? DNS für die Installation von Servern mit Active Directory. ? LDAP (Lightweight Directory Access Protocol) als Abfrage- und
Aktualisierungsprotokoll. ? Das Protokoll Kerberos zur Anmeldung und Authentifizierung. Diese Unterstützung offener Standards ermöglicht es, unterschiedlichste Softwareprogramme mit Active Directory zu verwenden, wie z. B. LDAPbasierende Adressbuchclients.
232
Teil III
Active Directory-Infrastruktur
EinfacherProgrammierzugriff ADSI (Active Directory Service Interfaces) sind von einer Vielzahl von Programmierplattformen zugänglich, einschließlich Skriptsprachen, wie Visual Basic Script. Mit ADSI können Administratoren und Softwareentwickler schnell leistungs- und verzeichnisfähige Anwendungen erstellen. Ein Beispiel für eine verzeichnisfähige Anwendung ist eine Anwendung, die das Verzeichnis nach Daten oder Konfigurationsinformationen durchliest.
Grundlage für neue Technologien Zusätzlich zu den zuvor erörterten grundlegenden Vorteilen dient Active Directory bei unserer Windows 2000-Einrichtung als aktivierende Infrastruktur für andere neue Technologien und Funktionen, wie beispielsweise: IntelliMirror Windows 2000 bietet eine Vielzahl von Technologien zur Änderungs- und Konfigurationsverwaltung. IntelliMirror und ROSIM (Remote Operating System Installation Management) helfen Ihnen, den Arbeits- und Kostenaufwand bei der Verwaltung und Unterstützung von Clients zu reduzieren. Weitere Informationen über die Implementierung dieser Technologien finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. Verzeichniskonsolidierung Die Skalierbarkeit und Erweiterbarkeit von Active Directory macht es zu einem idealen Konsolidierungswerkzeug für Anwendungen auf Ihrem Netzwerk, die separate interne Verzeichnisse verwenden. Sie können z. B.: ? eine vollständige Verzeichniskonsolidierung durchführen, in der Produkte wie
Microsoft ® Exchange Server die eigenen Verzeichniskomponenten aufgeben und sich in Verwaltung und Betrieb nur auf Active Directory verlassen. ? die Verwaltung konsolidieren, indem Sie Verzeichnisinformationen in Active Directory verwalten und die Verzeichnissynchronisation dazu verwenden, Remoteverzeichnisse auf dem neuesten Stand zu halten. ? Ihre vorhandenen Microsoft ® Windows NT ®-Domänen konsolidieren und dabei möglicherweise die Gesamtzahl der in Ihrem Netzwerk verwalteten Objekte und Hardware reduzieren. ErweiterteNetzwerkkonzepte IPSec (Internet Protocol Security), die Netzwerkfunktionen von QoS (Quality of Service) und neue RAS-Funktionen sind Beispiele für erweiterte Netzwerkkonzeptfunktionen, die von Active Directory aktiviert werden.
Kapitel 9 Entwerfen der Active Directory-Struktur
233
Planen von Active Directory Bei der Planung und Einrichtung Ihres unternehmensweiten Active Directory definieren Sie einen wesentlichen Teil der Netzwerkinfrastruktur Ihrer Organisation. In diesem Plan erstellen Sie eine Reihe von Strukturen, die Ihre Organisation optimal reflektieren. Die erstellten Strukturen werden Folgendes bestimmen: ? die Verfügbarkeit und Fehlertoleranz des Directory. ? die Merkmale der Netzwerkauslastung von Verzeichnisclients und -servern. ? wie effizient Sie die Inhalte des Verzeichnisses verwalten können. ? die Art und Weise, wie Benutzer das Verzeichnis anzeigen und damit arbeiten. ? die Fähigkeit der Verzeichnisstrukturen, mit Ihrer Organisation mitzuwachsen.
Eine gut durchdachte Planung ist für einen kostensparenden Einsatz von Active Directory von wesentlicher Bedeutung. Eine ausreichend bemessene Planungsphase hilft Ihnen, zeitaufwendige Überarbeitungen von bereits implementierten Strukturen zu vermeiden. Zur Erstellung der Pläne für Ihr Verzeichnis folgen Sie den Planungsschritten in diesem Kapitel. Während Sie die Pläne erstellen: ? lernen Sie die Schlüsselkonzepte von Active Directory kennen, die die
Strukturplanung beeinflussen, und passen die vorgeschlagenen Planungsschritte den jeweiligen Anforderungen Ihrer Organisation an. ? ermitteln Sie die Mitarbeiter in Ihrer Organisation, die an der Strukturplanung teilnehmen sollten. ? erkennen Sie, welche vorhandenen Geschäftsabläufe möglicherweise geändert oder weiterentwickelt werden müssen, um Active Directory optimal nutzen zu können. ? verstehen Sie die Flexibilität der erstellten Strukturen und erkennen, welche Entscheidung in der Zukunft leicht, und welche nur mit einem gewissen Aufwand wieder geändert werden kann. Abbildung 9.1 zeigt die ersten Schritte zur Planung Ihrer Active DirectoryStruktur. Dieses Kapitel behandelt jeden dieser Schritte nun im Detail.
234
Teil III
Active Directory-Infrastruktur
Abbildung 9.1
Planungsprozess für eine Active Directory-Struktur
Allgemeine Planungsprinzipien Verwenden Sie bei der Ausarbeitung Ihres Active Directory-Plans folgende Planungsprinzipien zur Entscheidungsfindung. Einfachheit ist die beste Investition Einfache Strukturen sind leichter zu erklären, einfacher zu verwalten und einfacher nach Fehlern zu durchforsten. Komplexe Ergänzungen können die Struktur durchaus aufwerten. Vergewissern Sie sich jedoch, dass diese Aufwertung die möglichen Mehrkosten für die aufwendigere Verwaltung auch rechtfertigt. So kann die maximale Optimierung des Abfrage- und Replikationsverkehrs beispielsweise eine komplexe Standorttopologie erfordern. Diese ist jedoch in der Verwaltung weit aufwendiger als eine einfache Standorttopologie. Berücksichtigen Sie stets die Vor- und Nachteile von zusätzlichen Fähigkeiten und zusätzlicher Komplexität, bevor Sie sich für eine komplexe Struktur entscheiden. Alle erstellten Strukturen müssen während ihrer gesamten Betriebsdauer verwaltet und gewartet werden. Wenn Sie ohne besondere Notwendigkeit eine Struktur erstellen, wird der zusätzliche Kostenaufwand schließlich höher sein, als der zusätzliche Nutzen. Begründen Sie die Existenzberechtigung jeder Struktur, die Sie erstellen. Ihre Geschäftsziele und Ihre Organisation werden sich immer verändern Die normalerweise in einer Organisation anfallenden Veränderungen, von veränderten Beschäftigtenstrukturen bis hin zu unternehmensweiten Reorganisationen oder Aquisitionen beeinflussen auch Ihre Active DirectoryStruktur. Bei der Planung Ihrer Struktur sollten Sie die Auswirkungen solcher Veränderungen auf die Nutzung des Verzeichnisses durch Endbenutzer und Administratoren berücksichtigen. Betrachten Sie beispielsweise den Einfluss, den
Kapitel 9 Entwerfen der Active Directory-Struktur
235
die letzte größere Reorganisation des Unternehmens auf die zuvor geplanten Strukturen gehabt hätte. Welche Änderungen sind erforderlich, wenn ein neuer Standort oder eine neue Niederlassung hinzukommen? Wären aufgrund dieser Änderungen wesentliche und kostenaufwendige Änderungen an der Active Directory-Struktur nötig? Stellen Sie sicher, dass Ihre Planung ausreichend allgemein und flexibel gehalten ist, um konstante und wesentliche Veränderungen einzubeziehen. Streben Sie den idealen Entwurf an Entwerfen Sie im ersten Durchgang eine Idealstruktur, auch wenn diese Ihre derzeitige Domänen- oder Verzeichnisinfrastruktur nicht reflektiert. Es ist nützlich und praktisch, das Idealziel zu kennen, selbst wenn es derzeit nicht erreicht werden kann. Weitere Informationen über die Kosten der Migration Ihres Netzwerks zum Idealplan finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation. Wägen Sie diese Kosten gegen die langfristigen Einsparungen des Idealplans ab und korrigieren Sie die Planung entsprechend. Untersuchen Sie Alternativentwürfe Prüfen Sie jeden Entwurf in mehreren Durchgängen. Der Wert eines Entwurfs offenbart sich am besten im Vergleich mit Alternativen. Kombinieren Sie die besten Ideen aller Entwürfe zu dem Plan, der schließlich implementiert wird.
Zusammensetzen der Pläne für die Active Directory-Struktur Es gibt vier Grundkomponenten, aus denen eine Active Directory-Struktur besteht. Gesamtstrukturen, Domänen, Organisationseinheiten und Standorte. Ziel des Active Directory-Strukturplans ist die Erstellung eines Planungsdokuments für jede einzelne Strukturkomponente, wobei wichtige Entscheidungen und Begründungen während der Erstellung festgehalten werden. Diese Planungsdokumente dienen dann als Startbasis für die nächste Planungstask, die Migration. Der Active Directory-Strukturplan setzt sich aus folgenden vier Planungsdokumenten zusammen: ? Gesamtstrukturplan ? Domänenplan für jede Gesamtstruktur ? Plan der Organisationseinheit (OE) für jede Domäne ? Standorttopologieplan für jede Gesamtstruktur
Erstellen eines Gesamtstrukturplans Eine Gesamtstruktur ist eine Gruppe von Active Directory-Domänen. Gesamtstrukturen dienen hauptsächlich zwei Zielen: Vereinfachte Benutzerinteraktion mit dem Verzeichnis und einfachere Verwaltung mehrerer Domänen. Gesamtstrukturen weisen folgende Schlüsselmerkmale auf: Einzelschema Das Active Directory-Schema definiert die Objektklassen und ihre Attribute, die in dem Verzeichnis erstellt werden können. Objektklassen definieren die Objekttypen, die in dem Verzeichnis erstellt werden können. Das Schema existiert als Namenskontext, der an jeden Domänencontroller in der Gesamtstruktur repliziert
236
Teil III
Active Directory-Infrastruktur
wird. Die Sicherheitsgruppe der Schemaadministratoren hat die vollständige Kontrolle über das Schema. Einzelkonfigurationscontainer Der Active Directory-Konfigurationscontainer ist ein Namenskontext, der an jeden Domänencontroller in der Gesamtstruktur repliziert wird. Verzeichnisfähige Anwendungen speichern Informationen im Konfigurationscontainer, die für die ganze Gesamtstruktur gelten. Active Directory speichert im Konfigurationscontainer beispielsweise Informationen über das physische Netzwerk und verwendet diese zur Erstellung von Replikationsverbindungen zwischen Domänencontrollern. Die Sicherheitsgruppe der Unternehmensadministratoren hat die vollständige Kontrolle über den Konfigurationscontainer. Durch die gemeinsame Nutzung einer einzelnen, konsistenten Konfiguration innerhalb der Domänen einer Gesamtstruktur müssen die einzelnen Domänen nicht gesondert konfiguriert werden. VollständigesVertrauen Active Directory erstellt automatisch transitive, beidseitige Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur. Benutzer und Gruppen aller Domänen können von jedem Mitgliedscomputer in der Gesamtstruktur erkannt und in Gruppen oder Zugriffssteuerungslisten (ACLs) aufgenommen werden. Vollständiges Vertrauen vereinfacht die Verwaltung mehrerer Domänen in Windows 2000. In früheren Versionen von Windows NT war das Modell mit mehreren Masterdomänen (Multiple Master Domain) für die Einrichtung von Domänen sehr verbreitet. In diesem Modell wurde eine Domäne, die vorwiegend Benutzerkonten enthielt, Hauptbenutzerdomäne genannt. Eine Domäne mit vorwiegend Computerkonten und Ressourcen wurde als Ressourcendomäne bezeichnet. Häufig wird z. B. eine kleine Anzahl von Hauptbenutzerdomänen eingerichtet, denen eine große Anzahl von Ressourcendomänen vertraut. Das Hinzufügen einer neuen Domäne zu dieser Einrichtung erforderte die Erstellung mehrerer Vertrauensstellungen. Wenn Sie mit Windows 2000 Active Directory eine Domäne zu einer Gesamtstruktur hinzufügen, wird sie automatisch mit einer beiderseitigen, transitiven Vertrauensstellung konfiguriert. Sie müssen keine zusätzlichen Vertrauensstellungen mit den übrigen Domänen in derselben Gesamtstruktur erzeugen. Ein Globaler Katalog Der Globale Katalog enthält eine Kopie von jedem Objekt der Domänen einer Gesamtstruktur, jedoch nur einen Auswahlsatz an Attributen eines jeden Objekts. Der Globale Katalog ermöglicht schnelle und effiziente Suchvorgänge innerhalb der ganzen Gesamtstruktur.
Kapitel 9 Entwerfen der Active Directory-Struktur
237
Der Globale Katalog macht die Verzeichnisstrukturen innerhalb einer Gesamtstruktur für Endbenutzer transparent. Die Verwendung des Globalen Katalogs als Suchbereich vereinfacht das Suchen von Objekten im Verzeichnis. Das Anmelden wurde durch UPNs (User Principal Names) und den Globalen Katalog folgendermaßen vereinfacht: Benutzer durchsuchen den Globalen Katalog In der Benutzeroberfläche der Verzeichnissuche ist bei der Auswahl eines Suchbereichs der Globale Katalog als Gesamtes Verzeichnis dargestellt. Die Benutzer können die Gesamtstruktur durchsuchen, ohne Vorkenntnisse über deren Aufbau besitzen zu müssen. Eine einzige, konsistente Suchoberfläche reduziert die Notwendigkeit, die Benutzer über die Verzeichnisstruktur zu unterrichten und ermöglicht Administratoren die Änderung des Aufbaus einer Gesamtstruktur, ohne zugleich die Form der Interaktion zwischen Benutzer und Verzeichnis zu verändern. Benutzeranmeldungen unter Verwendung von UPNs (User Principal Names) Ein UPN ist ein Name ähnlich einem E-Mail-Namen, der einen Benutzer eindeutig repräsentiert. Ein UPN besteht aus zwei Teilen, einem Benutzeridentifikations- und einem Domänenbestandteil. Die beiden Teile werden durch das Symbol “@” getrennt. @ bilden also z. B. [email protected]. Jedem Benutzer wird automatisch ein Standard-UPN zugewiesen. Der -Namensteil ist identisch mit dem Anmeldenamen des Benutzers, der Teil ist der DNS-Name der Active Directory-Domäne, in der sich das Benutzerkonto befindet. Bei der Anmeldung mit einem UPN müssen Benutzer keine Domäne mehr aus einer Liste des Dialogfelds Anmelden auswählen. Sie können UPNs für bestimmte Werte voreinstellen. Wenn z. B. das Konto von Liz in der Domäne noam.reskit.com angesiedelt ist, kann ihr UPN dennoch [email protected] lauten. Wenn der Benutzer sich anmeldet, wird das zu bestätigende Benutzerkonto im Globalen Katalog anhand des entsprechenden UPNWerts gefunden. Indem sie die UPN-Werte unabhängig von den Domänennamen vergeben, können Administratoren Benutzerkonten zwischen Domänen verschieben, dabei die UPN-Werte unverändert lassen und die Verschiebungen zwischen den Domänen für den Benutzer transparenter gestalten.
Planungsprozess für die Gesamtstruktur Die primären Schritte für das Erstellen eines Gesamtstrukturplans sind: ? Festlegen der Anzahl der Gesamtstrukturen für das Netzwerk. ? Erstellen einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen ? Berücksichtigen der Auswirkung von Änderungen am Gesamtstrukturplan
nach der Einrichtung. Folgende Personen sollten Sie beim Erstellen des Gesamtstrukturplans zur Beratung heranziehen: ? Die derzeit für die Benutzerkonten, Gruppen und Computer verantwortlichen
Domänenadministratoren. ? Das Netzwerk-Sicherheitsteam.
238
Teil III
Active Directory-Infrastruktur
Festlegen der Anzahl der Gesamtstrukturen für das Netzwerk Wenn Sie die Planung Ihres Gesamtstrukturmodells aufnehmen, beginnen Sie mit einer einzelnen Gesamtstruktur. Eine einzelne Gesamtstruktur ist in vielen Situationen völlig ausreichend. Wenn Sie sich jedoch entscheiden, zusätzliche Gesamtstrukturen zu erstellen, vergewissern Sie sich, dass Sie über eine berechtigte technische Begründung verfügen.
Erstellen einer Umgebung mit einer Gesamtstruktur Eine Umgebung mit nur einer Gesamtstruktur ist einfach zu erstellen und zu warten. Alle Benutzer sehen im Globalen Katalog ein einziges Verzeichnis und müssen sich um keine Verzeichnisstruktur kümmern. Beim Hinzufügen einer neuen Domäne zu dieser Gesamtstruktur ist keine zusätzliche Konfiguration der Vertrauensstellungen erforderlich. Änderungen der Konfiguration müssen nur einmal ausgeführt werden und sind dann für alle Domänen wirksam.
Erstellen einer Umgebung mit mehreren Gesamtstrukturen Wenn die Verwaltung Ihres Netzwerks über viele unabhängige Hauptabteilungen verteilt ist, kann das Erstellen von mehreren Gesamtstrukturen notwendig sein. Da Gesamtstrukturen bestimmte Elemente, wie das Schema, gemeinsam nutzen, müssen alle Teilnehmer einer Gesamtstruktur dem Inhalt und der Verwaltung dieser gemeinsamen Elemente zustimmen. Organisationen wie Partnerschaften und Mischkonzerne verfügen eventuell nicht über ein Zentralorgan, das diesen Prozess steuert. In kurzlebigen Organisationen wie Jointventures ist es möglicherweise unrealistisch zu erwarten, dass Administratoren jeder einzelnen Organisation an einer Gesamtstrukturverwaltung zusammenarbeiten. Bei mehreren Einzelorganisationen kann es aus folgenden Gründen notwendig sein, mehr als eine Gesamtstruktur zu erstellen: Dieeinzelnen Organisationen vertrauen anderen Administratoren nicht Von jedem Objekt einer Gesamtstruktur findet sich im Globalen Katalog eine Darstellung. Ein Administrator, dem die Fähigkeit der Objekterstellung zugewiesen wurde, kann absichtlich oder unabsichtlich eine Bedingung „Dienstverweigerung“ erstellen. Sie können diese Bedingung dadurch erzeugen, dass Sie Objekte schnell erstellen oder löschen. Dadurch verursachen Sie eine große Anzahl von Replikationen im Globalen Katalog. Übermäßige Replikation kann unnötig Netzwerkbandbreite belegen und globale Katalogserver verlangsamen, da sie einige Zeit für die Durchführung der Replikation benötigen. Keine Einigkeit übereine Richtlinie für die Revisionskontrolle von Gesamtstrukturen Änderungen des Schemas, der Konfiguration und die Hinzufügung neuer Domänen zu einer Gesamtstruktur haben Auswirkungen auf die ganze Gesamtstruktur. Jede Organisation innerhalb einer Gesamtstruktur muss dem Implementierungsprozess dieser Änderungen und der Mitgliedschaft von Schemaadministratoren und Gruppen der Unternehmensadministratoren zustimmen. Wenn Organisationen keiner gemeinsamen Richtlinie zustimmen können, können sie auch nicht dieselbe Gesamtstruktur nutzen. Die Erstellung einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen wird weiter unten in diesem Kapitel erörtert.
Kapitel 9 Entwerfen der Active Directory-Struktur
239
Sie möchten die Reichweite von Vertrauensstellungen einschränken Jede Domäne einer Gesamtstruktur vertraut jeder anderen Domäne derselben Gesamtstruktur. Jeder Benutzer in einer Gesamtstruktur kann in eine Gruppenmitgliedschaft aufgenommen werden oder auf der Zugriffssteuerungsliste eines beliebigen Computers in der Gesamtstruktur erscheinen. Wenn Sie möchten, dass bestimmte Benutzer niemals die Berechtigung für bestimmte Ressourcen erhalten, dann müssen diese Benutzer auf anderen Gesamtstrukturen abgelegt werden als die Ressourcen. Falls nötig, können Sie explizite Vertrauenstellungen verwenden, um diesen Benutzern Zugriff auf Ressourcen spezifischer Domänen zu gewähren.
Mehrkosten für eine zusätzliche Gesamtstruktur Jede Gesamtstruktur, die Sie erstellen, führt zu einem feststehenden Verwaltungsaufwand: ? Jede zusätzliche Gesamtstruktur muss mindestens eine Domäne enthalten. Dies
kann dazu führen, dass Sie mehr Domänen benötigen, als Sie ursprünglich planten. Mit dem Erstellen und Verwalten einer Domäne sind feste Kosten verbunden. Diese Kosten werden weiter unten in diesem Kapitel aufgeführt. ? Sie müssen die gesamtstrukturweiten Komponenten jeder Gesamtstruktur separat verwalten (z. B. das Schema, die Elemente des Konfigurationscontainers und ihre zugehörigen Verwaltungsgruppenzugehörigkeiten), selbst wenn sie im Grunde identisch sind. Damit ein Benutzer in einer Gesamtstruktur eine Ressource in einer anderen Gesamtstruktur verwenden kann, müssen Sie folgende zusätzliche Konfiguration durchführen: ? Für den Zugriff von Benutzern einer Gesamtstruktur auf die Ressourcen einer
anderen Gesamtstruktur müssen Sie eine explizite Vertrauensstellung zwischen den beiden Domänen erstellen und warten. Eine explizite Vertrauensstellung zwischen Domänen in unterschiedlichen Gesamtstrukturen ist unidirektional und nicht transitiv. Ohne eine eingerichtete Vertrauensstellung kann Benutzern einer Gesamtstruktur kein Zugriff auf die Objekte einer anderen Gesamtstruktur gewährt werden. ? Standardmäßig nehmen Benutzer einer Gesamtstruktur nur Objekte im Globalen Katalog ihrer eigenen Gesamtstruktur wahr. Um Objekte in einer anderen Gesamtstruktur aufzufinden, müssen Benutzer explizit Domänen außerhalb ihrer Gesamtstruktur abfragen. Alternativ dazu können Administratoren Daten aus anderen Domänen in die Gesamtstruktur des Benutzers importieren. Dies kann aus folgenden Gründen zu zusätzlichen Kosten führen: ? Benutzer müssen im Verständnis von Verzeichnisstrukturen geschult werden, so dass sie wissen, wohin sie Abfragen leiten müssen, wenn Abfragen des Globalen Katalogs fehlschlagen. ? Wenn Sie Daten aus einer Domäne in eine separate Gesamtstruktur importieren, müssen Sie einen Prozess einleiten, damit die importierten Daten auf dem neuesten Stand bleiben, wenn Änderungen in der Quelldomäne vorgenommen werden.
240
Teil III
Active Directory-Infrastruktur
Abbildung 9.2 ist ein Beispiel für eine Konfiguration zwischen Gesamtstrukturen, in der ein Benutzer einer Gesamtstruktur auf eine veröffentlichte Ressource in einer anderen Gesamtstruktur zugreifen muss. Eine explizite, unidirektionale Vertrauensstellung wurde erzeugt, so dass dem Benutzer Zugriff auf die Ressource gewährt werden kann. Die Darstellung der Ressource im Verzeichnis wird in die Gesamtstruktur des Benutzers importiert, wo sie im Globalen Katalog erscheint.
Abbildung 9.2 Zusätzliche Konfiguration für einen Ressourcenzugriff zwischen Gesamtstrukturen
Einige Funktionen, die innerhalb einer Gesamtstruktur verfügbar sind, sind zwischen Gesamtstrukturen nicht verfügbar: ? Sie können nur Standard-UPNs verwenden, wenn ein Benutzerkonto sich in
einer anderen Gesamtstruktur befindet als der Computer, der zur Anmeldung verwendet wurde. Standard-UPNs sind erforderlich, da ein Domänencontroller in der Gesamtstruktur des Computers im Globalen Katalog kein Benutzerkonto mit einer entsprechenden UPN findet. Das Benutzerkonto erscheint im Globalen Katalog einer anderen Gesamtstruktur. Der Domänencontroller, der die Anmeldung behandelt, muss dann den -Bestandteil des UPN verwenden, um einen Domänencontroller zur Bestätigung der Benutzeridentität zu finden. ? Die Anmeldung mit einer Smartcard beruht auf einem UPN. Für Anmeldungsvorgänge mit Smartcards über mehrere Gesamtstrukturen hinweg müssen Standard-UPNs verwendet werden. ? Sicherheitsprincipals können zwischen den Domänen derselben Gesamtstruktur verschoben werden, zwischen Domänen unterschiedlicher Gesamtstrukturen ist jedoch eine Duplizierung erforderlich. Das Duplizieren ist für Endbenutzer nicht so transparent wie das Verschieben zwischen Domänen. Weitere Informationen über das Duplizieren finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation.
Kapitel 9 Entwerfen der Active Directory-Struktur
241
Wenn Sie die Anzahl der erforderlichen Gesamtstrukturen festlegen, sollten Sie beachten, dass Benutzer nicht unbedingt die gleichen Prioritäten setzen wie Administratoren. Benutzer werden in einem Szenario mit mehreren Gesamtstrukturen die meisten Vorzüge einbüßen. Einige Organisation verlagern beispielsweise ihre Netzwerkadministration an mehrere unterschiedliche Vertragspartner. Im Allgemeinen wird ein Vertragspartner gemäß der Netzwerkleistung bezahlt, und die oberste Priorität liegt in der Erhaltung eines stabilen Netzwerks. Möglicherweise möchte ein Vertragspartner verhindern, dass ein anderer Vertragspartner auf Computer in seinem Bereich Einfluss nehmen kann. Getrennte Gesamtstrukturen sind dann eine Möglichkeit, dies sicherzustellen. Getrennte Gesamtstrukturen können allerdings für Benutzer einen Nachteil darstellen, die nun nicht länger über eine einzige, konsistente Ansicht des Verzeichnisses verfügen. Versuchen Sie in einer solchen Situation, das Problem der Verwaltungsabgrenzung nicht mit Hilfe getrennter Gesamtstrukturen zu lösen. In Fällen, in denen es nicht für alle Benutzer von Bedeutung ist, über eine konsistente Ansicht des Verzeichnisses zu verfügen, können mehrere Gesamtstrukturen durchaus geeignet sein. Für einen ISP (Internet Service Provider) zum Beispiel, der Active Directory als Hostdienst für mehrere Unternehmen anbietet, eignet sich dieses Modell sehr gut. Die Benutzer in unterschiedlichen Client-Unternehmen benötigen keine konsistente gemeinsame Ansicht des ganzen Verzeichnisses. Auch gibt es keinen Grund, zwischen den Unternehmen eine transitive Vertrauensstellung einzurichten. Hier ist die Einrichtung getrennter Gesamtstrukturen also nützlich und angebracht.
Erstellen einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen Jeder erstellten Gesamtstruktur sollte als Teil des Planungsdokuments für die Gesamtstruktur eine Richtlinie für die Revisionskontrolle beigefügt werden. Diese Richtlinie wird bei der Überwachung von Änderungen verwendet, die die ganze Gesamtstruktur betreffen. Sie müssen nicht die einzelnen Vorgänge festlegen, bevor Sie fortfahren, wichtig ist nur, dass Sie wissen, wozu sie gehören. Die Richtlinie sollte Informationen über alle gemeinsam genutzten Elemente in der Gesamtstruktur enthalten.
Richtlinie für die Schemarevision Die Sicherheitsgruppe der Schemaadministratoren hat die vollständige Kontrolle über das Schema einer Gesamtstruktur. Die Richtlinie für die Schemarevision sollte Folgendes enthalten: ? Name des Teams in Ihrer Organisation, das die Gruppe der
Schemaadministratoren kontrolliert. ? Die Anfangszugehörigkeit zur Gruppe der Schemaadministratoren. ? Richtlinien und einen Prozess für die Anfrage und Auswertung von Schemaänderungen. Weitere Informationen zu Active Directory-Schema finden Sie im Band Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
242
Teil III
Active Directory-Infrastruktur
Richtlinie für die Konfigurationsrevision Die Gruppe der Unternehmensadministratoren hat die vollständige Kontrolle über den Konfigurationscontainer, der in der Gesamtstruktur repliziert wird. Die Richtlinie für die Konfigurationsrevision sollte Folgendes enthalten: ? Den Namen des Teams in Ihrer Organisation, das die Gruppe der Unternehmensadministratoren kontrolliert. ? Die Anfangszugehörigkeit zur Gruppe der Unternehmensadministratoren. ? Richtlinien und einen Prozess für die Erstellung neuer Domänen in der Gesamtstruktur. ? Richtlinien und einen Prozess für die Änderung der Standorttopologie der
Gesamtstruktur. (Die Standorttopologie wird im Abschnitt „Erstellen eines Standorttopologieplans“ weiter unten in diesem Kapitel erörtert.)
Ändern des Gesamtstrukturplans nach der Einrichtung Eine neu erstellte Domäne kann zu einer vorhandenen Gesamtstruktur hinzugefügt werden. Sie können eine Domäne erstellen, indem Sie einen Windows 2000basierten Server als Active Directory-Domänencontroller einsetzen oder einen primären Domänencontroller unter Microsoft® Windows NT ® Version 3.51 oder Microsoft ® Windows NT® Version 4.0 auf Windows 2000 aktualisieren. Kritischer Entscheidungspunkt Zwei Gesamtstrukturen können nicht in einem Schritt zusammengeführt werden. Auch das Verschieben einer Domäne zwischen Gesamtstrukturen kann nicht in einem Schritt durchgeführt werden. Es ist überaus wichtig, den Plan für die Gesamtstruktur zu entwerfen, so dass bei Veränderungen Ihrer Organisation nur minimale Umstrukturierungen erforderlich sind. Einzelobjekte können zwischen Gesamtstrukturen verschoben werden. Welche Objekttypen Sie verschieben können, hängt von dem Programm ab, mit dem sie verschoben werden. Die meisten Import- und Exportoperationen erfolgen mit Hilfe des befehlszeilenorientierten Programms LDAP-Data Interchange Format (LDIFDE.EXE). Das Duplizieren von Sicherheitsprincipals kann mit dem Tool ClonePrincipal durchgeführt werden. Informationen zu diesen Tools finden Sie in der Hilfe auf der Begleit-CD zu dieser technischen Referenz.
Erstellen eines Domänenplans Im Folgenden werden einige Schlüsselmerkmale von Windows 2000-Domänen beschrieben, die Sie berücksichtigen sollten, wenn Sie mit der Erstellung eines Domänenstrukturplans beginnen. PartitionderGesamtstruktur Eine Active Directory-Gesamtstruktur ist eine verteilte Datenbank, wobei die Partitionen der Datenbank durch Domänen definiert sind. Eine verteilte Datenbank besteht aus vielen Teildatenbanken, die über zahlreiche Computer verstreut liegen, im Gegensatz zu einer einzigen Datenbank auf einem Computer. Das Aufteilen einer Datenbank in Teildatenbanken und die Verteilung dieser Teildatenbanken dorthin, wo die betreffenden Daten am häufigsten benötigt werden, ermöglicht es, eine große Datenbank effizient über ein großes Netzwerk zu verteilen.
Kapitel 9 Entwerfen der Active Directory-Struktur
243
DienstevonDomänencontrollerservern Wie in Windows NT 4.0 werden Server unter Windows 2000, die eine Domänendatenbank enthalten, Domänencontroller genannt. Ein Domänencontroller kann der Controller für genau eine Domäne sein. Sie können auf jedem Domänencontroller dieser Domäne Änderungen an Objekten der Domäne durchführen. Alle Domänencontroller einer bestimmten Gesamtstruktur enthalten auch Kopien der Konfigurations- und Schemacontainer. Authentifizierungseinheit Jede Domänendatenbank enthält Objekte der Sicherheitsprincipals, wie Benutzer, Gruppen und Computer. Das Besondere an Objekten von Sicherheitsprincipals ist, dass ihnen der Zugriff auf die Netzwerkressourcen gewährt oder verweigert werden kann. Objekte von Sicherheitsprincipals müssen von einem Domänencontroller für die Domäne, in der sie sich befinden, authentifiziert werden. Die Authentifizierung erfolgt, um die Identität der Objekte zu bestätigen, bevor sie auf eine Ressource zugreifen. AdministrationsgrenzenundGruppenrichtlinien Jede Domäne verfügt über eine Gruppe von Domänenadministratoren. Domänenadministratoren haben die vollständige Kontrolle über alle Objekte in der Domäne. Diese administrativen Rechte gelten nur innerhalb der eigenen Domäne und erstrecken sich nicht auf andere Domänen. Eine Gruppenrichtlinie, die mit einer Domäne verknüpft ist, erstreckt sich nicht automatisch auf andere Domänen in der Gesamtstruktur. Wenn eine Gruppenrichtlinie mit einer anderen Domäne verknüpft werden soll, muss diese Verknüpfung ausdrücklich erstellt werden. Sicherheitsrichtlinie für Benutzerkonten einereinzelnen Domäne Eine kleine Reihe von Sicherheitsrichtlinien, die für die Benutzerkonten von Domänen gelten, können nur für jede Domäne einzeln festgelegt werden. ? Kennwortrichtlinie. Legt die Regeln fest, die bei der Eingabe von Kennwörtern
einzuhalten sind, wie beispielsweise die zulässige Länge des Kennworts. ? Richtlinie für Kontosperre. Legt die Regeln für die Erkennung von Eindringlingen und die Sperrung von Konten fest. ? Richtlinie für Kerberos-Ticket. Bestimmt die Lebensdauer eines KerberosTickets. Ein Kerberos-Ticket wird beim Anmeldeprozess vergeben und dient der Authentifizierung im Netzwerk. Ein Ticket ist nur für die in der Richtlinie angegebene Lebensdauer gültig. Wenn die Gültigkeitsdauer eines Tickets endet, versucht das System automatisch, ein neues Ticket zu erhalten. Weitere Informationen über die Sicherheitsrichtlinien für die Benutzerkonten in Domänen finden Sie unter „Authentifizierung“ in Microsoft® Windows 2000 Server – Die technische Referenz: Verteilte Systeme. DNS-Domänennamen Eine Domäne wird durch einen DNS-Namen identifiziert. Mit Hilfe von DNS werden die Domänencontrollerserver einer bestimmten Domäne ermittelt. DNSNamen sind hierarchisch aufgebaut. Der DNS-Name einer Active DirectoryDomäne gibt ihre Position in der Hierarchie der Gesamtstruktur an. Angenommen reskit.com ist der Name einer Domäne, dann könnte eine Domäne namens eu.reskit.com in der Hierarchie der Gesamtstruktur eine untergeordnete Domäne von reskit.com sein.
244
Teil III
Active Directory-Infrastruktur
Planungsprozess für die Domäne Ihr Domänenplan bestimmt die Verfügbarkeit des Verzeichnisses im Netzwerk, die Merkmale für den Abfrageverkehr der Clients und die Merkmale für den Replikationsverkehr der Domänencontroller. Jede erstellte Gesamtstruktur enthält eine oder mehrere Domänen. Die einzelnen Schritte zur Erstellung eines Domänenplans für eine Gesamtstruktur sind: ? Festlegen der Anzahl der Domänen in jeder Gesamtstruktur. ? Wählen einer Gesamtstruktur-Stammdomäne. ? Zuweisen von DNS-Namen zu jeder Domäne und Erzeugen einer
Domänenhierarchie. ? Planung der Einrichtung von DNS-Servern. ? Optimierung der Authentifizierung mit verknüpften Vertrauensstellungen. ? Berücksichtigen der Auswirkung von Änderungen am Domänenplan nach der Einrichtung. Folgende Gruppen sollten beim Erstellen des Domänenplans für jede Gesamtstruktur zur Beratung herangezogen werden: ? Die derzeit für die Benutzerkonten, Gruppen und Computer verantwortlichen
Domänenadministratoren. ? Die Teams, die das physische Netzwerk verwalten und überwachen ? Die Teams, die den DNS-Dienst für das Netzwerk verwalten ? Die Sicherheitsteams
Festlegen der Anzahl der Domänen in jeder Gesamtstruktur Wenn Sie die Anzahl der Domänen festlegen möchten, die in jeder Gesamtstruktur vorhanden sein sollen, gehen Sie zunächst nur von einer einzigen Domäne aus, auch wenn Sie derzeit mehrere Windows NT 4.0-Domänen haben. Begründen Sie anschließend ausführlich jede weitere Domäne, die hinzugefügt wird. Jede Domäne, die Sie erstellen, führt zu Mehrkosten durch den zusätzlich erforderlichen Verwaltungsaufwand. Aus diesem Grund sollten Sie sicherstellen, dass die Domänen, die Sie zur Gesamtstruktur hinzufügen, Ihnen einen Vorteil bringen.
Änderungen bei der Erstellung von Domänen Einige Faktoren, die in früheren Versionen von Windows NT Server zur Erstellung von Umgebungen mit mehreren Domänen führten, treffen in Active Directory und Windows 2000 nicht mehr zu. Hierzu zählen folgende Faktoren: Größenbeschränkungen in SAM (Security Accounts Manager) In früheren Versionen von Microsoft ® Windows NT ® Server war die Größe der SAM-Datenbank auf etwa 40.000 Objekte pro Domäne beschränkt. Active Directory kann leicht Millionen von Objekten pro Domäne verwalten. Es sollte auf keinen Fall erforderlich sein, mehr Domänen zu erstellen, um mehr Objekte verwalten zu können.
Kapitel 9 Entwerfen der Active Directory-Struktur
245
Anforderungen an die Verfügbarkeit des primären Domänencontrollers (PDC, Primary Domain Controller) In früheren Versionen von Microsoft® Windows NT ® Server konnte nur ein einziger Domänencontroller, der PDC, Aktualisierungen der Domänendatenbank entgegennehmen. In einer Organisation mit einem großen Netzwerk erschwerte diese Einschränkung die Sicherstellung der hohen Verfügbarkeit des PDC, da ein Netzwerkausfall die Administratoren in einem Teil des Netzwerks daran hindern konnte, die Domäne zu aktualisieren. Um die Anforderungen an die Verfügbarkeit zu erfüllen, wurden zusätzliche Domänen erstellt, so dass im Netzwerk mehrere PDC-Server verteilt werden konnten. In Windows 2000 ist dies nicht mehr erforderlich, da alle Active Directory-Domänencontroller Aktualisierungen annehmen können. Eingeschränkte Möglichkeit zur Delegierung von Administrationsaufgaben innerhalb einerDomäne In früheren Versionen von Windows NT Server konnten Administrationsaufgaben mit Hilfe vordefinierter lokaler Gruppen delegiert werden, wie beispielsweise der Gruppe der Konto-Operatoren, oder durch die Erstellung mehrerer Domänen und damit getrennter Einheiten von Domänenadministratoren. Zur Delegierung der Verwaltung einer Gruppe von Benutzern wurde beispielsweise eine neue Benutzerdomäne erstellt. Zur Delegierung der Verwaltung von Ressourcenservern wie Datei- oder Druckservern wurden Ressourcendomänen erstellt. In Windows 2000 kann die Administration innerhalb einer Domäne mit Hilfe von Organisationseinheiten (OE) delegiert werden. Eine Organisationseinheit ist ein Container, mit dessen Hilfe Sie Objekte innerhalb einer Domäne in logische, administrative Untergruppen organisieren können. Organisationseinheiten sind einfacher zu erstellen, zu löschen, zu verschieben und zu ändern als Domänen und eignen sich besser für die Delegierung. Weitere Informationen zur Verwendung von Organisationseinheiten für die Delegierung von Administrationsaufgaben finden Sie unter „Erstellen eines Plans für Organisationseinheiten“ weiter unten in diesem Kapitel.
Wann werden mehrere Domänen erstellt Es gibt drei mögliche Gründe für die Erstellung zusätzlicher Domänen: ? Erhalten vorhandener Windows NT -Domänen. ? Administrative Partitionierung. ? Physische Partitionierung.
Erhalten vorhandener Windows NT -Domänen Wenn Sie bereits über mehrere Windows NT-Domänen verfügen, möchten Sie diese vielleicht behalten, statt sie in einer kleineren Anzahl von Active DirectoryDomänen zu konsolidieren. Wenn Sie sich entscheiden, eine Domäne zu erhalten oder zu konsolidieren, wägen Sie sorgfältig die Kosten gegen den langfristigen Nutzen einer kleineren Anzahl von Domänen ab. Die Kosten, die mit der Konsolidierung von Domänen verbunden sind, werden im Kapitel „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch behandelt. Ist dies Ihr erster Domänenentwurf, sollten Sie so wenig Domänen wie möglich anstreben und den Plan nach der Lektüre dieses Kapitels neu bewerten.
246
Teil III
Active Directory-Infrastruktur
Administrative Partitionierung Abhängig von den Verwaltungs- und Richtlinienanforderungen Ihrer Organisation könnten unter den folgenden Umständen mehrere Domänen notwendig sein. Anforderungen an die Sicherheitsrichtlinie für Benutzer einer einzelnen Domäne Möglicherweise findet sich in Ihrem Netzwerk eine Gruppe von Benutzern, die an einer Sicherheitsrichtlinie für Domänenbenutzer festhalten, die sich von der Sicherheitsrichtlinie des restlichen Benutzerkreises unterscheidet. Sie möchten z. B. für Ihre Administratoren eine strengere Kennwortrichtlinie verwenden als für die regulären Benutzer Ihres Netzwerks, z. B. ein kürzeres Intervall zur Kennwortänderung. Hierzu müssen Sie diese Benutzer in einer getrennten Domäne verwalten. Die Unterteilung erfordert eine autonome Supervision derDomänenadministration Die Mitglieder der Gruppe der Domänenadministratoren in einer bestimmten Domäne haben die Kontrolle über alle Objekte in dieser Domäne. Wenn Ihre Organisation eine Unterabteilung aufweist, die keine Kontrolle ihrer Objekte von auswärtigen Administratoren zulassen kann, platzieren Sie diese Objekte in einer separaten Domäne. So kann es z. B. aus gesetzlichen Gründen für die Unterabteilung einer Organisation, die an streng vertraulichen Projekten arbeitet, nicht sinnvoll sein, die Domänensupervision von der IT-Gruppe einer höheren Ebene zu akzeptieren. Bedenken Sie, dass alle Domänen in einer Gesamtstruktur die Konfigurations- und Schemacontainer gemeinsam nutzen müssen.
Physische Partitionierung Physische Partitionierung bedeutet, dass Sie die Domänen Ihrer Gesamtstruktur auf eine größere Anzahl von kleineren Domänen aufteilen. Eine größere Anzahl kleinerer Domänen erlaubt Ihnen die Optimierung des Replikationsverkehrs, da Objekte nur dorthin repliziert werden, wo sie wirklich benötigt werden. Zum Beispiel wird in einer Gesamtstruktur mit einer einzelnen Domäne jedes Objekt zu jedem Domänencontroller der Gesamtstruktur repliziert. Dies kann dazu führen, dass Objekte an Stellen repliziert werden, an denen sie selten verwendet werden, was eine ineffiziente Ausnutzung der Bandbreite bedeutet. So benötigt z. B. ein Benutzer, der sich immer an einem Hauptstandort anmeldet, keine Replikation seines Benutzerkontos an einem Zweigstellenstandort. Unnötiger Replikationsverkehr kann vermieden werden, wenn eine separate Domäne für den Hauptstandort eingerichtet wird, die nicht an die Zweigstelle repliziert wird. Anmerkung Wenn Sie bereits Windows NT 4.0-Domänen eingesetzt haben, sind Sie vielleicht mit Ihrer bestehenden physischen Partitionierung zufrieden. Das unvoreingenommene Betrachten der Partitionierung kann Ihnen dabei behilflich sein, Bereiche für mögliche Domänenkonsolidierungen zu entdecken. Wenn Sie sich bereits entschlossen haben, Ihre Windows NT 4.0-Domänen an Ort und Stelle zu aktualisieren und keine Konsolidierung durchzuführen, können Sie den Abschnitt über die Partitionierung überspringen.
Kapitel 9 Entwerfen der Active Directory-Struktur
247
Folgende Schritte helfen Ihnen festzulegen, ob und wie Sie eine Gesamtstruktur partitionieren: ? Zeichnen Sie Ihre Netzwerktopologie. ? Platzieren Sie Domänencontroller im Netzwerk entsprechend den
Anforderungen an ihre Verfügbarkeit. ? Partitionieren Sie die Gesamtstruktur auf Basis des Replikationsverkehrs zwischen Domänencontrollern. Zeichnen Sie Ihre Netzwerktopologie Beginnen Sie mit dem Zeichnen eines einfachen Diagramms der Netzwerktopologie. Später, bei der Planung Ihrer Standorttopologie, fügen Sie diesem Diagramm weitere Details hinzu. Gehen Sie zum Erstellen des Topologiediagramms folgendermaßen vor: ? Stellen Sie die verschiedenen Standorte zusammen.
Ein Standort ist ein schnelles, zuverlässiges Netzwerk. Ein LAN (Local Area Network) oder eine Gruppe von LANs, die durch einen HochgeschwindigkeitsBackbone verbunden sind, können als Standort angesehen werden. Zeichnen Sie jeden Standort in Ihr Netzwerkdiagramm ein, und tragen Sie die annähernde Anzahl der Standortbenutzer ein. ? Verbinden Sie die Standorte mit Standortverknüpfungen. Eine Standortverknüpfung ist eine langsame oder unzuverlässige Verbindung zwischen zwei Standorten. Ein WAN (Wide Area Network), das zwei schnelle Netzwerke verbindet, ist ein Beispiel für eine Standortverknüpfung. Es wird empfohlen, jede Verknüpfung, die langsamer als LAN-Geschwindigkeit ist, als langsame Verknüpfung zu behandeln. Zeigen Sie auf dem Topologiediagramm, wie jeder Standort mittels Standortverknüpfungen mit anderen Standorten verbunden ist. Verzeichnen Sie für jede Standortverknüpfung Folgendes: ? Verknüpfungsgeschwindigkeit und aktuelle Nutzungsebenen ? Ob die Verknüpfung pro Verwendung bezahlt wird ? Ob die Verknüpfung bisher unzuverlässig war ? Ob die Verknüpfung nicht ständig verfügbar ist ? Markieren Sie Standorte, die nur eine SMTP-Verbindung aufweisen.
Wenn Sie über einen Standort verfügen, der keine physische Verbindung zum restlichen Netzwerk besitzt, jedoch über SMTP-Mail (Simple Mail Transfer Protocol) erreichbar ist, kennzeichnen Sie diesen Standort als nur über Mailbasierende Verbindung erreichbar.
248
Teil III
Active Directory-Infrastruktur
Abbildung 9.3 zeigt die Netzwerktopologie des fiktiven Unternehmens Reskit.
Abbildung 9.3
Netzwerktopologie des Unternehmens Reskit
PlatzierenvonDomänencontrollern Die Verfügbarkeit von Active Directory wird durch die Verfügbarkeit der Domänencontroller bestimmt. Domänencontroller müssen zur Authentifizierung der Benutzer jederzeit verfügbar sein. In diesem Abschnitt legen Sie fest, wo die Domänencontroller einzusetzen sind, damit sie bei möglichen Netzwerkausfällen verfügbar bleiben. Verwenden Sie zur Platzierung von Domänencontrollern folgenden Prozess: ? Wählen Sie einen Stammstandort aus, und platzieren Sie dort einen
Domänencontroller, indem Sie ihn im Topologiediagramm kennzeichnen. Sie können den Stammstandort beliebig auswählen. Verwenden Sie z. B. Ihren Hauptstandort, den Standort mit der größten Benutzerzahl oder den Standort mit der besten Gesamtverbindung zum restlichen Netzwerk. Alle Benutzer im Stammstandort werden mit diesem Domänencontroller authentifiziert. Ignorieren Sie vorerst die Frage, welche Domäne von diesem Domänencontroller bedient wird und wie viele Replikate dieser Domäne im Standort notwendig sind. ? Legen Sie für jeden Standort, der direkt mit dem Stammstandort verbunden ist, fest, ob Sie an diesem Standort einen Domänencontroller verwenden müssen. Sie können auch festlegen, dass sich die Benutzer des Standorts über die Standortverknüpfung zum Domänencontroller beim Stammstandort authentifizieren, anstatt hier einen Domänencontroller einzurichten. Wenn es für Sie annehmbar ist, dass die Authentifizierung bei einem Ausfall der Standortverknüpfung fehlschlägt, ist es nicht nötig, einen Domänencontroller an dem Standort zu platzieren. Bei kleinen Zweigstellen, die zwar Clientcomputer, jedoch keine Server besitzen, ist ein Domänencontroller nicht notwendig. Wenn die Verknüpfung zum zentralen Standort fehlschlägt, können die Benutzer des Büros sich immer noch bei ihren Computern anmelden, indem sie die gespeicherten Informationen
Kapitel 9 Entwerfen der Active Directory-Struktur
249
verwenden. Eine weitergehende Authentifizierung ist nicht notwendig, da es keine anderen serverbasierten Ressourcen im Büro gibt – alle Ressourcen befinden sich am zentralen Standort. Sie sollten einen Domänencontroller an einem Standort einsetzen, wenn eine der folgenden Situationen eintritt: ? Es gibt eine große Anzahl an Standortbenutzern und die Standortverknüpfung ist langsam oder nahe der Kapazitätsgrenze. In diesem Fall müssen Sie verhindern, dass der Active Directory-Clientverkehr die Kapazität der Verknüpfung ausschöpft. Weitere Informationen über die Planung der Netzwerkkapazität und dem von einem Active Directory-Client generierten Verkehr erhalten Sie auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources, wenn Sie auf den Hyperlink „Microsoft Windows 2000 Server“ klicken. ? Die Verknüpfung war bisher unzuverlässig. Sie müssen verhindern, dass die Authentifizierung fehlschlägt, wenn die Verknüpfung unterbrochen ist. ? Die Verknüpfung ist nicht ständig verfügbar. Sie müssen verhindern, dass die Authentifizierung zu bestimmten Tageszeiten fehlschlägt oder sich auf eine bei Bedarf herzustellende Verknüpfung verlässt. ? Der Standort ist nur über SMTP-Mail zugänglich. Benutzer benötigen einen lokalen Domänencontroller zur Authentifizierung, wenn der Standort nur über SMTP-Mail zugänglich ist. ? Wiederholen Sie den vorherigen Prozess, um festzulegen, wo Sie
Domänencontroller einsetzen müssen. Wenden Sie denselben Prozess auf den jeweils benachbarten Standort an, bis Sie jeden Standort geprüft und festgelegt haben, ob ein lokaler Domänencontroller notwendig ist oder nicht. Anmerkung Domänencontroller enthalten vertrauliche Daten, wie Kopien der geheimen Schlüssel der Benutzer, die zur Authentifizierung in der Domäne verwendet werden. Je weniger Kopien dieser Informationen vorhanden sind, desto geringer ist die Möglichkeit des unbefugten Zugriffs. Domänencontroller müssen physisch vor unbefugten Zugriffen gesichert sein. So wird z. B. empfohlen, dass Domänencontroller in einem geschlossenen Raum mit eingeschränktem Zugang aufgestellt werden. Durch den physischen Zugang zu einem Computer kann sich ein unbefugter Benutzer die Kopien verschlüsselter Kennwortdaten verschaffen und eine Offline-Kennwortverletzung versuchen. Strengere Sicherheitsoptionen sind durch das Programm Syskey verfügbar. Weitere Informationen zu Syskey finden Sie unter „Verschlüsselndes Dateisystem“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. Bei der Anmeldung eines Benutzers muss der Domänencontroller, der die Authentifizierungsanforderung bearbeitet, mit einem globalen Katalogserver kommunizieren können. Wenn Sie sich für den Einsatz eines Domänencontrollers an einem Standort entscheiden, müssen Sie diesen Domänencontroller auch als globalen Katalogserver betrachten. Berücksichtigen Sie bei diesem Vorgehen, dass globale Katalogserver mehr Replikationsverkehr erzeugen als reguläre Domänencontroller. Sie verfügen sowohl über eine vollständige Kopie einer Domäne als auch eine schreibgeschützte Teilkopie jeder anderen Domäne der Gesamtstruktur.
250
Teil III
Active Directory-Infrastruktur
Abbildung 9.4 zeigt die Platzierung der Domänencontroller im Unternehmen Reskit. ? Der erste Domänencontroller befindet sich am Stammstandort des Hauptsitzes. ? Ein Domänencontroller wurde im europäischen Betriebszentrum platziert, da
die transatlantische WAN-Verknüpfung immer nahe der Kapazitätsgrenze ist. ? Ein Domänencontroller wurde in der Bezirksfiliale eingesetzt, da zu viele Benutzer vorhanden sind und das WAN den Authentifizierungsverkehr nicht bewältigen kann. ? In den Zweigstellen werden keine Domänencontroller verwendet, da es hier keine lokalen Server gibt. ? Ein Domänencontroller wurde in der Fertigungsanlage eingerichtet, da diese nur über SMTP-Mail erreicht werden kann.
Abbildung 9.4 Platzierung der Domänencontroller des Unternehmens Reskit
PartitionierenderGesamtstruktur Nun weisen Sie jedem Domänencontroller eine Domäne zu, stellen fest, ob das Netzwerk den Replikationsverkehr verarbeiten kann und partitionieren gegebenenfalls die Gesamtstruktur in kleinere Domänen. Beachten Sie bei der Ausführung dieser Schritte, dass Partitionieren bedeutet, physische Kopien von Verzeichnisobjekten in die Nähe des Benutzers zu verlegen, der diese Objekte benötigt. So sollte das Objekt Benutzerkonto eines Benutzers auf einem Domänencontroller positioniert sein, der sich am selben Standort wie der Benutzer befindet. Führen Sie für jede Domäne im Domänenplan die folgenden Schritte aus, um die Gesamtstruktur zu partitionieren: ? Entscheiden Sie für jeden Standort, der einen Domänencontroller enthält, ob die
Domäne für die Benutzer an diesem Standort von Bedeutung ist. Richten Sie gegebenenfalls einen Domänencontroller für die Domäne ein.
Kapitel 9 Entwerfen der Active Directory-Struktur
251
? Verfolgen Sie den Pfad der Replikationen zwischen den Domänencontrollern
der Domäne. Gehen Sie davon aus, dass jeder Domänencontroller den nächstmöglichen Domänencontroller derselben Domäne als Replikationspartner auswählt, wobei das „nächstmöglich“ sich auf den kostengünstigsten Pfad durch das Netzwerk bezieht. ? Das Aufkommen an Replikationsverkehr zwischen zwei Domänencontrollern einer Domäne hängt davon ab, wie häufig die Objekte in der Domäne wechseln, wie viele gewechselt werden und wie oft Objekte hinzugefügt und entfernt werden. Bei der Aufteilung einer Domäne in zwei kleinere Domänen kann der Replikationsverkehr über eine bestimmte Verbindung verringert werden. Untersuchen Sie jede Schwelle im Replikationspfad und entscheiden Sie, ob Replikationsverkehr möglich ist oder die Domäne geteilt werden soll. Berücksichtigen Sie folgende Faktoren, wenn Sie entscheiden, ob eine Domäne zwischen zwei Standorten repliziert oder in zwei kleinere Domänen aufgeteilt werden soll: ? Erwägen Sie eine Aufteilung, wenn eine Standortverbindung im Replikations-
pfad den voraussichtlichen Replikationsverkehr nicht bewältigen kann. Die derzeitige Kapazität einer Standortverbindung errechnet sich aus der Verbindungsgeschwindigkeit, den täglichen Nutzungsmerkmalen, ihrer Zuverlässigkeit und Verfügbarkeit. Berücksichtigen Sie bei der Entscheidung, ob eine Domäne erstellt werden soll, folgende Verbindungsinformationen: ? Eine Verbindung, die an den Grenzen ihrer Kapazität arbeitet, ist möglicherweise nicht in der Lage, den Replikationsverkehr zu bewältigen. Bedenken Sie, dass die Active Directory-Replikation terminorientiert geplant werden kann. Gibt es beispielsweise Tageszeiten, in denen die Verbindung kaum genutzt wird, ist die Bandbreite für die Replikation möglicherweise ausreichend. ? Eine Verbindung ist eventuell nur zu bestimmten Tageszeiten verfügbar, wodurch sich ihre Bandbreite verringert. Die Active Directory-Replikation kann so terminiert werden, dass sie nur dann erfolgt, wenn die Verbindung verfügbar ist. Die aktuelle Bandbreite muss dann allerdings ausreichend bemessen sein, um den Replikationsverkehr zu bewältigen. Weitere Informationen über die Planung der Netzwerkkapazität und des Active Directory-Replikationsverkehrs erhalten Sie auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources, wenn Sie auf den Hyperlink „Microsoft Windows 2000 Server“ klicken. ? Erwägen Sie eine Aufteilung der Domäne, wenn Sie vermeiden möchten, dass
der Replikationsverkehr anderem, wichtigerem Datenverkehr in einer Verbindung Konkurrenz macht. Die Unterbrechung oder Verzögerung geschäftskritischen Datenverkehrs kann mehr Kosten verursachen als eine zusätzliche Domäne. ? Erwägen Sie eine Aufteilung der Domäne, wenn der Replikationsverkehr unter anderem über eine Verbindung erfolgt, die nach Nutzung bezahlt wird. In diesem Fall bedeutet eine minimierte Nutzung dieser Verbindung auch minimierte Kosten.
252
Teil III
Active Directory-Infrastruktur ? Erstellen Sie eigene Domänen für Standorte, die nur über SMTP-Mail
zugänglich sind. Eine Mail-basierte Active Directory-Replikation kann nur zwischen Domänen erfolgen. Mail-basierte Active Directory-Replikationen zwischen den Domänencontrollern derselben Domäne sind nicht möglich. Wenn Sie sich entscheiden, eine große Domäne in mehrere kleine Domänen zu unterteilen, empfiehlt es sich, die kleineren Domänen anhand geographischer oder geopolitischer Grenzen zu erstellen. Erzeugen Sie z. B. Domänen nach Ländern oder Kontinenten. Die geographische Anordnung von Domänen empfiehlt sich, da Netzwerktopologien ebenfalls meist nach geographischen Standorten ausgerichtet sind und geographische Gegebenheiten sich seltener ändern als andere Zuordnungsaspekte. Vielleicht möchten Sie einfach mehr kleine Domänen erstellen, um den Replikationsverkehr im Netzwerk zu optimieren. Bedenken Sie, dass Optimierung immer gegen andere Faktoren abzuwägen ist, wie beispielsweise: ? Komplexität
Wie schon weiter oben angeführt, bringt jede zusätzliche Domäne einen Mehraufwand an Verwaltung mit sich. ? Abfrageverkehr und Replikationsverkehr Je weniger Objekte in einer Domäne verwaltet werden, desto wahrscheinlicher ist es, dass Benutzer dieser Domäne auf Objekte in anderen Domänen zugreifen möchten. Ist kein lokaler Domänencontroller für die andere Domäne vorhanden, muss der Abfrageverkehr den Standort verlassen. Anmerkung Ein Modell mit einer einzigen großen Domäne eignet sich am besten für eine große Anzahl von servergespeicherten Benutzern, da jedes Benutzerkonto an jedem Standort verfügbar ist, der einen Domänencontroller besitzt. In diesem Fall kann sich ein servergespeicherter Benutzer jederzeit anmelden, auch wenn sich zwischen dem aktuellen Standort des Benutzers und dem Stammstandort ein Netzwerkausfall ereignet. Abbildung 9.5 zeigt die physische Partitionierung des Unternehmens Reskit. Die Domänen sind wie folgt zugeordnet: ? Die Domäne Noam für Benutzer in Nordamerika ist einem Domänencontroller ?
?
? ?
am Stammstandort zugeordnet. Die Domäne Avionics, die nur aus Verwaltungsgründen erstellt wurde, ist einem Domänencontroller am Stammstandort zugeordnet, da sich AvionicsBenutzer am Hauptsitz befinden. Eine neue Domäne, Eu, wurde einem Domänencontroller im europäischen Betriebszentrum zugeordnet, da die transatlantische WAN-Verbindung immer nahe der Kapazitätsgrenze ist. Die Verbindung kann den Replikationsverkehr der beiden Domänen für Nordamerika und Europa nicht gleichzeitig bewältigen. Die Domäne Avionics befindet sich ebenfalls im europäischen Betriebszentrum, da es auch in Europa Avionics-Benutzer gibt. Eine neue Domäne Seville wurde einem Domänencontroller in der Bezirksfiliale in Sevilla zugeordnet, da die WAN-Verbindung mit dem europäischen Betriebszentrum für geschäftskritischen Datenverkehr verwendet wird.
Kapitel 9 Entwerfen der Active Directory-Struktur
253
? Eine neue Domäne Mfg wurde einem Domänencontroller in der Fertigungs-
anlage zugeordnet, da sie nur über SMTP-Mail erreicht werden kann.
Abbildung 9.5
Domänenzuordnung des Unternehmens Reskit
Mehrkosten für eine zusätzliche Domäne Jede Domäne in der Gesamtstruktur bringt einen Mehraufwand an Verwaltungsarbeit mit sich. Bei der Überlegung, ob eine weitere Domäne zum Domänenplan hinzugefügt werden soll, wägen Sie die dadurch anfallenden Kosten gegen die Vorteile ab, die Sie weiter oben in diesem Kapitel festgelegt haben. MehrDomänenadministratoren Da die Domänenadministratoren die vollständige Kontrolle über eine Domäne besitzen, muss die Zugehörigkeit zu dieser Administratorengruppe in einer Domäne streng überwacht werden. Jede weitere Domäne in einer Gesamtstruktur trägt zu einem Mehraufwand an Verwaltungsarbeit bei. Mehr Hardware für Domänencontroller In Windows 2000 kann ein Domänencontroller nur eine einzige Domäne bedienen. Jede neue Domäne benötigt mindestens einen, in den meisten Fällen jedoch zwei Computer, um die üblichen Anforderungen bezüglich Zuverlässigkeit und Verfügbarkeit zu erfüllen. Da alle Windows 2000-Domänencontroller Änderungen entgegennehmen und ausführen können, müssen sie physisch strenger überwacht werden als Windows NT 4.0Sicherungsdomänencontroller (BDCs, Backup Domain Controller), die nur Lesezugriffe erlaubten. Beachten Sie, dass durch die Delegierung von Administrationsaufgaben innerhalb von Active Directory-Domänen weniger Ressourcendomänen erforderlich sind. Remotestandorte, die derzeit zwei Domänencontroller benötigen (eine Hauptbenutzerdomäne und eine lokale Ressourcendomäne), erfordern nur noch einen Domänencontroller, wenn Sie sich für die Konsolidierung mit weniger Active Directory-Domänen entscheiden.
254
Teil III
Active Directory-Infrastruktur
MehrVertrauensstellungen Damit ein Domänencontroller in einer Domäne den Benutzer einer anderen Domäne authentifizieren kann, benötigt er Kontakt zum Domänencontroller innerhalb der zweiten Domäne. Diese Kommunikation stellt eine weitere mögliche Fehlerquelle dar, falls z. B. bei dem Netzwerk zwischen den beiden Domänencontrollern Probleme auftreten. Je mehr Benutzer und Ressourcen innerhalb einer einzelnen Domäne positioniert sind, desto weniger muss ein einzelner Domänencontroller sich auf die Kommunikation mit anderen Domänencontrollern verlassen, um seinen Dienst aufrechtzuerhalten. GrößereWahrscheinlichkeit, Sicherheitsprincipalszwischen Domänen verschieben zu müssen Je mehr Domänen vorhanden sind, desto größer ist die Wahrscheinlichkeit, dass Sie Sicherheitsprincipals, wie Benutzer und Gruppen, zwischen zwei Domänen verschieben müssen. So kann es beispielsweise aufgrund einer unternehmensweiten Reorganisation oder des Arbeitsplatzwechsels von Benutzern erforderlich sein, einen Benutzer zwischen Domänen zu verschieben. Für Endbenutzer und Administratoren ist das Verschieben eines Sicherheitsprincipals zwischen Organisationseinheiten innerhalb einer Domäne ein einfacher und transparenter Vorgang. Das Verschieben von Sicherheitsprincipals zwischen Domänen ist jedoch komplizierter und kann Auswirkungen auf die Endbenutzer haben. Weitere Informationen über das Verschieben von Sicherheitsprincipals finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. Gruppenrichtlinien und Zugriffssteuerung werden nicht zwischen einzelnen Domänen ausgetauscht Gruppenrichtlinien und Zugriffssteuerung einer Domäne werden nicht automatisch auch von anderen Domänen übernommen. Wenn Richtlinien oder delegierte Verwaltungsaufgaben über eine Zugriffssteuerung erfolgen, die für mehrere Domänen identisch ist, müssen sie jeder Domäne einzeln zugeordnet werden.
Wählen einer Gesamtstruktur-Stammdomäne Wenn Sie die Anzahl der Domänen für Ihre Gesamtstruktur festgelegt haben, müssen Sie entscheiden, welche Domäne die Gesamtstruktur-Stammdomäne werden soll. Die Gesamtstruktur-Stammdomäne ist die erste Domäne, die in einer Gesamtstruktur erstellt wird. In dieser Domäne befinden sich die beiden Gruppen, die für die ganze Gesamtstruktur zuständig sind, nämlich die Unternehmens- und die Schemaadministratoren. Anmerkung Sollten alle Domänencontroller für die Gesamtstruktur-Stammdomäne bei einer Katastrophe verloren gehen, und kann keiner von ihnen mehr wiederhergestellt werden, bleiben die Gruppen der Unternehmens- und Schemaadministratoren dauerhaft verloren. Es gibt keine Möglichkeit, die GesamtstrukturStammdomäne erneut zu installieren. Wenn die Gesamtstruktur nur eine Domäne enthält, ist diese der Stamm der Gesamtstruktur. Sind zwei oder mehr Domänen vorhanden, sollten Sie die beiden folgenden Möglichkeiten zur Auswahl der Gesamtstruktur-Stammdomäne beachten.
Kapitel 9 Entwerfen der Active Directory-Struktur
255
Verwenden einer vorhandenen Domäne Wählen Sie aus Ihrer Liste von Domänen eine, die für den Betrieb Ihrer Organisation kritisch ist und machen Sie sie zum Stamm der Gesamtstruktur. Da Sie sich einen Verlust dieser Domäne nicht leisten können, wird sie immer das Maß an Fehlertoleranz und Wiederherstellbarkeit erfordern, das für den Stamm einer Gesamtstruktur unabdingbar ist. Verwenden einer dedizierten Domäne Das Erstellen einer zusätzlichen, dedizierten Domäne zur ausschließlichen Verwendung als Stamm der Gesamtstruktur bringt alle Kosten einer Extradomäne mit sich, bietet der Organisation jedoch auch folgende Vorteile: ? Der Domänenadministrator in der Gesamtstruktur-Stammdomäne ist in der
Lage, die Zugehörigkeit zu den Gruppen der Unternehmens- und Schemaadministratoren zu beeinflussen. Sie verfügen vielleicht über Administratoren, die Privilegien von Domänenadministratoren für einige Bestandteile ihrer Aufgaben fordern, Sie möchten jedoch nicht, dass sie die Administratorengruppen der Gesamtstruktur beeinflussen. Durch das Erstellen einer separaten Domäne können Sie es vermeiden, diese Administratoren in der Gruppe der Domänenadministratoren der Gesamtstruktur-Stammdomäne zu platzieren. ? Da die Domäne klein ist, kann sie zum Schutz vor regionalen Katastrophen leicht an einem beliebigen Ort Ihres Netzwerks repliziert werden. ? Da es die einzige Aufgabe der Domäne ist, als Stamm der Gesamtstruktur zu dienen, wird sie niemals überflüssig. Wenn Sie eine Domäne aus Ihrer Liste von geplanten Domänen als Stamm der Gesamtstruktur auswählen, besteht immer die Möglichkeit, dass diese besondere Domäne, vielleicht auf Grund einer Veränderung Ihrer Organisation, überflüssig wird. Dennoch werden Sie eine solche Domäne niemals ganz aufgeben können, da sie die Funktion Ihres Gesamtstrukturstamms übernehmen muss.
Zuweisen von DNS-Namen zum Erstellen einer Domänenhierarchie Active Directory-Domänen werden mit DNS-Namen benannt. Da DNS das vorherrschende Namenssystem im Internet ist, werden DNS-Namen weltweit erkannt und verfügen über bekannte Registrierungsautoritäten. Active DirectoryClients, die sich für eine Netzwerkabfrage anmelden, fragen DNS-Server ab, um Domänencontroller zu erkennen. In Windows NT 4.0 basierte der Domänenlocator auf NBNS (NetBIOS Name System), und die Domänen wurden anhand von NetBIOS-Namen identifiziert. Die serverbasierte Komponente von NBNS wird WINS-Server (Windows Internet Name Service) genannt. NetBIOS-Namen sind einfache einteilige Namen, und der NetBIOS-Namespace ist nicht partitionierbar. Im Gegensatz dazu sind DNSNamen hierarchisch aufgebaut, und der DNS-Namespace kann entsprechend der Hierarchiestufen partitioniert werden. DNS ist daher besser skalierbar als NBNS und kann eine größere Datenbank, die über ein großes Netzwerk verteilt ist, bewältigen. Internet Mail setzt DNS in einer ähnlichen Weise wie Active Directory ein und ist damit ein gutes Beispiel dafür, wie DNS als Locator auf so außerordentlich große Netzwerke skaliert werden kann wie beispielsweise das Internet.
256
Teil III
Active Directory-Infrastruktur
Anmerkung Zur Interoperabilität mit Computern mit früheren Versionen von Windows verfügen Active Directory-Domänen auch über NetBIOS-Namen, und Active Directory-Domänencontroller können sich bei NBNS registrieren lassen und diese Server gegebenenfalls abfragen. So können auch Clients mit früheren Versionen von Windows Active Directory-Domänencontroller finden, und Active Directory-Domänencontroller sind in der Lage, Windows NT 3.51- und Windows NT 4.0-Domänencontroller ausfindig zu machen und umgekehrt.
Anordnen von Domänen in Strukturen Eine Struktur ist eine Gruppe von einer oder mehreren Windows 2000-Domänen mit fortlaufenden Namen. Abbildung 9.6 zeigt eine einzelne Struktur mit einem fortlaufenden Namespace. Da reskit.com keine übergeordnete Domäne besitzt, wird sie als Struktur-Stammdomäne bezeichnet. Die untergeordneten Domänen von reskit.com sind eu.reskit.com und noam.reskit.com. Die Domäne mfg.noam.reskit.com ist eine zweite untergeordnete Domäne von reskit.com. Diese Domänennamen werden als fortlaufend bezeichnet, da jeder Name sich nur in einer Bezeichnung von der übergeordneten Domäne in der Hierarchie unterscheidet.
Abbildung 9.6
Einzelne Struktur mit vier Domänen
In jeder Gesamtstruktur kann es mehrere Strukturen geben. In einer Gesamtstruktur mit mehreren Strukturen sind die Namen der Struktur-Stammdomänen nicht fortlaufend, wie in Abbildung 9.7 gezeigt. Eine Gesamtstruktur enthält beispielsweise mehrere Strukturen, wenn eine Niederlassung der Organisation einen eigenen registrierten DNS-Namen besitzt und eigene DNS-Server betreibt.
Kapitel 9 Entwerfen der Active Directory-Struktur
Abbildung 9.7
257
Gesamtstruktur mit mehreren Strukturen
Die Domänenhierarchie in einer Gesamtstruktur bestimmt die transitiven Vertrauensstellungen, die alle Domänen verbinden. Jede Domäne verfügt über eine direkte Vertrauensstellung zu der ihr übergeordneten Domäne und zu allen untergeordneten Domänen. Wenn eine Gesamtstruktur mehrere Strukturen enthält, befindet sich die Gesamtstruktur-Stammdomäne an der Spitze der Vertrauenstellungsstruktur, und alle anderen Strukturstämme sind hinsichtlich der Vertrauensstellungen dieser untergeordnet. Abbildung 9.8 zeigt eine transitive Vertrauensstellung zwischen zwei Strukturen.
Abbildung 9.8
Transitive Vertrauensstellung zwischen Strukturen
258
Teil III
Active Directory-Infrastruktur
Die Beziehung zwischen über- und untergeordneten Objekten ist lediglich für die Namensgebung und Vertrauensstellungen relevant. Die Administratoren einer übergeordneten Domäne sind nicht automatisch auch Administratoren der untergeordneten Domäne. Die Richtlinien in einer übergeordneten Domäne sind auch nicht automatisch auf die untergeordneten Domänen anwendbar.
Empfehlungen zur Benennung von Domänen Wenn Sie eine Domänenhierarchie in einer Gesamtstruktur erstellen möchten, weisen Sie der ersten Domäne einen DNS-Namen zu, und entscheiden Sie dann für jede weitere Domäne, ob es sich um eine untergeordnete Domäne handelt oder ob hier ein neuer Strukturstamm beginnt. Weisen Sie entsprechend dieser Vorgehensweise die jeweiligen Namen zu. Im Folgenden sind einige Empfehlungen für die Benennung von Domänen angeführt: Verwenden Sie Namen in Anlehnung an einen registrierten Internet-DNS-Namen Namen, die im Internet registriert sind, sind global eindeutig. Wenn Sie über einen oder mehrere Internetnamen verfügen, verwenden Sie diese als Suffixe in den Active Directory-Domänennamen. Verwenden Sie die Standardzeichen des Internets Die Internet-Standardzeichen für DNS-Hostnamen sind in RFC 1123 folgendermaßen definiert: A-Z, a-z, 0-9 und der Bindestrich (-). Indem Sie nur InternetStandardzeichen verwenden, stellen Sie sicher, dass das Active Directory mit Standardsoftware kompatibel ist. Microsoft-Clients und der Windows 2000-DNSDienst unterstützen fast alle Unicode-Zeichen in Namen, um Aktualisierungen von früheren Windows-basierten Domänen auf Windows 2000-Domänen, die keine Standardnamen besitzen, zu unterstützen. Verwenden Sie niemals denselben Namen zweimal Geben Sie zwei verschiedenen Domänen niemals denselben Namen, selbst wenn diese Domänen sich in getrennten Netzwerken mit unterschiedlichen DNSNamespaces befinden. Wenn das Unternehmen Reskit beispielsweise beschließt, eine Domäne im Intranet reskit.com zu nennen, sollte eine Domäne im Internet nicht ebenfalls reskit.com genannt werden. Wenn ein Client von reskit.com sich gleichzeitig sowohl im Intranet als auch im Internet anmeldet, würde er nur die Domäne wählen, die zuerst auf die Locatorsuche antwortet. Für den Client ist diese Auswahl rein zufällig, es gibt keine Gewähr, dass er die „richtige“ Domäne auswählt. Ein Beispiel für eine solche Konfiguration ist ein Client, der über das Internet eine VPN-Verbindung zum Intranet hergestellt hat. Verwenden Sie deutlich verschiedene Namen Einige Proxyclient-Programme, wie z. B. der integrierte Proxyclient in Microsoft® Internet Explorer oder der Winsock-Proxyclient, verwenden den Namen eines Hosts, um festzustellen, ob sich der Host im Internet befindet. Die meisten Programme dieser Art bieten zumindest eine Möglichkeit, Namen mit bestimmen Suffixen als lokale Namen auszuschließen, so dass gewährleistet wird, dass diese Namen nicht für Internetnamen gehalten werden. Wenn das Unternehmen Reskit eine Active Directory-Domäne im Intranet reskit.com nennen möchte, muss es diesen Namen in die Ausschlussliste der Proxyclientsoftware eintragen. Dies verhindert, dass Clients aus dem Intranet im
Kapitel 9 Entwerfen der Active Directory-Struktur
259
Internet einen Host namens www.reskit.com sehen, sofern nicht eine identische Site im Intranet erstellt wird.
260
Teil III
Active Directory-Infrastruktur
Dieses Problem kann vermieden werden, wenn das Unternehmen Reskit einen registrierten Namen verwendet, der nicht im Internet existiert, wie zum Beispiel reskit-int01.com, oder eine Unternehmensrichtlinie aufstellt, dass Namen mit einem bestimmten Suffix (reskit.com), wie beispielsweise corp.reskit.com, niemals im Internet erscheinen dürfen. In beiden Fällen sind ganz einfach Ausschlusslisten für Proxyclients zu erstellen, so dass entschieden werden kann, welche Namen zum Intranet und welche zum Internet gehören. Es gibt zahlreiche unterschiedliche Möglichkeiten, von einem privaten Intranet aus auf das Internet zuzugreifen. Bevor Sie einen Namen verwenden, stellen Sie sicher, dass er von den Clients im Intranet mit Hilfe Ihrer spezifischen Internetzugangsstrategie korrekt aufgelöst wird. Verwenden Sie möglichst wenige Strukturen Die Minimierung der Anzahl von Strukturen in der Gesamtstruktur hat einige Vorteile. Folgendes könnte in Ihrer Umgebung von Vorteil sein: ? Nachdem Sie über einen bestimmten DNS-Namen verfügen können, gehören
Ihnen alle Namen, die diesem untergeordnet sind. Je kleiner die Anzahl der Strukturen, desto kleiner ist die Anzahl der DNS-Namen, die Sie in Ihrer Organisation verwalten müssen. ? Es müssen weniger Namen in die Ausschlussliste des Proxyclients eingegeben werden. ? LDAP-Clientcomputer, die nicht Microsoft-Clients sind, verwenden bei einer Suche im Verzeichnis möglicherweise nicht den Globalen Katalog. Anstatt verzeichnisweit zu suchen, führen diese Clients Suchanfragen in die Tiefe einer Struktur durch. Eine solche Suche erstreckt sich auf alle Objekte in einer bestimmten Unterstruktur. Je kleiner die Anzahl der Strukturen in einer Gesamtstruktur ist, desto weniger Suchanfragen in die Tiefe sind erforderlich, um die ganze Gesamtstruktur abzudecken. Der erste Teil der DNS-Namen sollte mit dem NetBIOS-Namenübereinstimmen Es ist möglich, einer Domäne völlig unterschiedliche DNS- und NetBIOSNamen zuzuordnen. Der DNS-Name einer Domäne könnte beispielsweise sales.reskit.com lauten, während der NetBIOS-Name Marketing ist. Bedenken Sie, dass Computer mit früheren Windows-Versionen und einer Software, die Active Directory nicht nutzt, NetBIOS-Namen anzeigen und akzeptieren, während Windows 2000-Computer und Active Directory-fähige Programme DNS-Namen anzeigen und akzeptieren. Dies kann möglicherweise für Endbenutzer und Administratoren verwirrend wirken. NetBIOS und DNS-Namen, die nicht zueinander passen, sollten nur verwendet werden, wenn: ? Sie im Netzwerk eine neue Namenskonvention einführen möchten. ? Sie einen NetBIOS-Namen, der andere als Standardzeichen enthält, aktuali-
sieren, im DNS-Namen jedoch nur Standardzeichen verwenden möchten. Prüfen Sie die Namen hinsichtlich ihrerinternationalen Wirkung Namen, die in einer Sprache nett oder nützlich klingen, haben in anderen Sprachen vielleicht einen herabwürdigenden oder gar beleidigenden Beiklang. DNS ist ein globaler Namespace. Sie sollten alle Namen global in der ganzen Organisation überprüfen.
Kapitel 9 Entwerfen der Active Directory-Struktur
261
Anmerkung Wenn im Netzwerk mehrere lokalisierte Versionen von Windows eingesetzt werden, dürfen alle Computer, einschließlich Windows 2000 Professional und aller Versionen von Windows 2000 Server, sowohl in den DNS- als auch in den NetBIOS-Namen nur Internetstandardzeichen verwenden. Sollten andere Zeichen verwendet werden, können nur Computer mit denselben lokalen Einstellungen miteinander kommunizieren. Verwenden Sie Namen, die leicht zu merken sind Ein zulässiger Active Directory DNS-Domänenname ist auf eine maximale Länge von 64 Byte begrenzt. Die Benutzer arbeiten normalerweise mit dem Globalen Katalog und befassen sich nicht mit den Domänennamen. Üblicherweise müssen sich nur Administratoren mit Do mänennamen auseinandersetzen. Administrationsprogramme bieten fast immer eine Liste mit Domänen zur Auswahl an, und die Anzahl der Fälle, in denen ein Administrator den vollständigen Namen selbst eingeben muss, wird die Ausnahme bleiben. Wenn alle Komponenten eines Namens leicht zu merken sind, ist der Name nicht zu lang.
Domänennamen und Computernamen Windows 2000-Computer, die sich gemeinsam in einer Domäne befinden, weisen sich standardmäßig selbst einen DNS-Namen zu, der aus dem Hostnamen des Computers und dem DNS-Namen der Domäne, der der Computer angeschlossen wurde, zusammengesetzt wird. Wenn sich das Computerkonto für Server 1 in Abbildung 9.9 beispielsweise in eu.reskit.com befindet, gibt sich der Computer standardmäßig den Namen server1.eu.reskit.com . Anstelle des Active DirectoryDomänennamens kann jedoch jedes beliebige DNS-Suffix verwendet werden. Aus diesem Grund ist es nicht erforderlich, die Namen der Active Directory-Domänen einer bereits vorhandenen DNS-Struktur anzupassen. Die Active DirectoryDomänen können beliebige Namen verwenden und die Computer können ihre vorhandenen Namen behalten.
Abbildung 9.9 Computer einer Domäne mit Standard- und Nicht-Standard-Namen
262
Teil III
Active Directory-Infrastruktur
Weitere Informationen zur Benennung von Computern finden Sie unter „Windows 2000 DNS“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Planen der Einrichtung von DNS-Servern Beim Planen der Einrichtung von DNS-Servern zur Unterstützung Ihrer Active Directory-Domänen müssen Sie die DNS-Server kennzeichnen, die für Ihre Domänennamen autorisiert sind, und sicherstellen, dass sie den Anforderungen des Domänencontroller-Locatorsystems entsprechen.
Autorität und Delegierung in DNS DNS (Domain Name System) ist eine hierarchische, verteilte Datenbank. Die Datenbank selbst besteht aus Ressourceneinträgen, die sich primär aus einem DNS-Namen, einem Eintragstyp und mit diesem Eintragstyp verbundenen Datenwerten zusammensetzen. Die häufigsten Einträge in einer Datenbank sind z. B. Adresseinträge (A), bei denen der Name des Adresseintrags der Name eines Computers und die Daten im Eintrag die TCP/IP-Adresse dieses Computers sind. Wie Active Directory ist auch die DNS-Datenbank in Partitionen unterteilt. Dies ermöglicht eine effiziente Skalierbarkeit der Datenbank selbst in sehr großen Netzwerken. Die Partition einer DNS-Datenbank heißt Zone. Eine Zone enthält die Einträge für einen fortlaufenden Satz von DNS-Namen. Ein DNS-Server, der eine Zone lädt, wird für die Namen in dieser Zone als autorisiert bezeichnet. Eine Zone beginnt mit einem festgelegten Namen und endet an einem Delegierungspunkt. Ein Delegierungspunkt markiert die Grenze zwischen zwei Zonen. Es gibt z. B. eine Registrierungsautorität im Internet, die für die Zone „com“ verantwortlich ist. Innerhalb dieser Zone befinden sich tausende Delegierungspunkte zu anderen Zonen, z. B. reskit.com. Die Daten eines Delegierungspunkts zeigen die Server an, die für die delegierte Zone autorisiert sind. Abbildung 9.10 zeigt die Beziehung zwischen DNS-Servern, Zonen und Delegierungen.
Abbildung 9.10
Server, Zonen und Delegierungen in DNS
Kapitel 9 Entwerfen der Active Directory-Struktur
263
Domänencontroller-Locatorsystem Domänencontroller registrieren eine Gruppe von Einträgen in DNS. Diese Einträge werden allgemein als Locatoreinträge bezeichnet. Wenn ein Client einen bestimmten Dienst von einer Domäne benötigt, sendet er die Abfrage eines spezifischen Namens und Eintragstyps an den nächsten DNS-Server. Die Antwort enthält eine Liste von Domänencontrollern, die diese Anforderung erfüllen. Die Namen der Locatoreinträge jeder Domäne weisen am Ende die Bestandteile und auf. Die für jeden autorisierten DNS-Server sind auch für die Locatoreinträge autorisiert. Anmerkung Windows 2000 erfordert keine Konfiguration von Reverse-Lookupzonen. Reverse-Lookupzonen sind eventuell für andere Anwendungen oder aus administrativen Gründen notwendig.
DNS-Serveranforderungen Falls auf Ihrem Netzwerk nicht bereits DNS-Server betrieben werden, empfiehlt es sich, dass Sie den in Windows 2000 Server enthaltenen DNS-Dienst einsetzen. Wenn Sie bereits über DNS-Server verfügen, müssen die Server, die für Locatoreinträge autorisiert sind, folgende Anforderungen erfüllen, um Active Directory zu unterstützen: ? Der Ressourceneintrag Dienstidentifizierung muss unterstützt werden.
DNS-Server, die für die Locatoreinträge autorisiert sind, müssen den Ressourceneintragstyp Dienstidentifizierung (SRV) unterstützen. Weitere Informationen zum SRV-Eintrag finden Sie unter „Einführung in DNS“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IPNetzwerke. ? Das Protokoll für die dynamische DNS-Aktualisierung sollte unterstützt werden. DNS-Server, die für Locatoreinträge autorisiert sind und für diese Zonen primäre Masterserver sind, sollten das Protokoll für die dynamische DNSAktualisierung, wie in RFC 2136 definiert, unterstützen. Der in Windows 2000 Server enthaltene DNS-Dienst genügt beiden Anforderungen und bietet zwei zusätzliche wichtige Funktionen: ? Active Directory-Integration
Bei der Verwendung dieser Funktion speichert der DNS-Dienst von Windows 2000 Zonendaten im Verzeichnis. Dies ermöglicht der DNS-Replikation die Erstellung mehrerer Master und erlaubt jedem DNS-Server die Annahme von Aktualisierungen für eine Zone mit integriertem Verzeichnisdienst. Die Verwendung von Active Directory-Integration reduziert auch die Notwendigkeit, eine separate Replikationstopologie für den Transfer von DNS-Zonen zu unterhalten.
264
Teil III
Active Directory-Infrastruktur ? Sichere dynamische Aktualisierung
Sichere dynamische Aktualisierung ist Bestandteil der Windows-Sicherheit. Sie erlaubt einem Administrator präzise zu kontrollieren, welche Computer welche Namen aktualisieren können und verhindert, dass unautorisierte Computer vorhandene Namen von DNS erhalten. Die verbleibenden DNS-Server des Netzwerks, die nicht für die Locatoreinträge autorisiert sind, müssen diesen Anforderungen nicht entsprechen. Nicht autorisierte Server sind in der Regel fähig, Abfragen von SRV-Einträgen zu beantworten, selbst wenn sie den Eintragstyp nicht explizit unterstützen.
Ermitteln autorisierter Server Konsultieren Sie für jeden DNS-Namen, den Sie wählen, das DNS-Verwaltungsteam und finden Sie heraus, ob der DNS-Server die aufgelisteten Anforderungen erfüllt. Wenn Sie einen Server ermitteln, der diesen Anforderungen nicht genügt, können Sie drei grundlegende Aktionen einleiten: Aktualisieren des Servers auf eine Version, die die Anforderungen erfüllt Wenn die autorisierten Server den DNS-Dienst von Windows NT 4.0 betreiben, aktualisieren Sie diese Server einfach auf Windows 2000. Sehen Sie bei anderen DNS-Serverimplementierungen in der Dokumentation des jeweiligen Herstellers nach, um herauszufinden, welche Version die für die Unterstützung von Active Directory notwendigen Funktionen unterstützt. Wenn sich die autorisierten DNS-Server nicht unter Ihrer Kontrolle befinden und Sie die Eigentümer dieser Server nicht von einer Aktualisierung überzeugen können, können Sie eine der folgenden Optionen verwenden. Migrieren der Zone zu Windows 2000-DNS Sie können die Zone der autorisierten Server zu Windows 2000-DNS migrieren, anstatt diese Server auf eine Version zu aktualisieren, die die Active DirectoryAnforderungen unterstützt. Das Migrieren der Zone zu Windows 2000-DNS ist ein überschaubarer Prozess. Legen Sie einen oder mehrere Windows 2000-DNSServer als sekundäre Server für die Zone fest. Nachdem Sie sich mit der Leistung und Verwaltbarkeit dieser Server vertraut gemacht haben, konvertieren Sie die Zone auf einem dieser Server in eine primäre Kopie und ordnen Sie falls nötig die Transfertopologie für die DNS-Zone neu. Delegieren des Namens an einen DNS-Server, der die Anforderungenerfüllt Falls die Aktualisierung und Migration autorisierter Server keine passenden Optionen sind, können Sie die autorisierten Server wechseln, indem Sie die Domänennamen an Windows 2000-DNS-Server delegieren. Wie dies durchzuführen ist, hängt von der Beziehung der Domänennamen zur bestehenden Zonenstruktur ab. ? Wenn der Domänenname nicht mit dem Namen des Stamms der Zone
übereinstimmt, kann der Name direkt an einen Windows 2000-DNS-Server delegiert werden. Wenn z. B. der Name der Domäne noam.reskit.com ist und die Zone, die diesen Namen enthält, reskit.com heißt, delegieren Sie noam.reskit.com an einen Windows 2000-DNS-Server.
Kapitel 9 Entwerfen der Active Directory-Struktur
265
? Wenn der Domänenname mit dem Namen des Stamms der Zone überein-
stimmt, können Sie den Namen nicht direkt an einen Windows 2000-DNSServer delegieren. Delegieren Sie stattdessen alle untergeordneten Domänen, die von Locatoreinträgen verwendet werden, an einen Windows 2000-DNSServer. Diese untergeordneten Domänen sind: _msdcs., _sites., _tcp. und _udp.. Wenn Sie diesen Vorgang durchführen, müssen Sie die -Adresseinträge (A) manuell eintragen. Weitere Informationen zu diesem Thema finden Sie unter „Windows 2000 DNS“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IPNetzwerke.
Optimieren der Authentifizierung mit verknüpften Vertrauensstellungen Wenn ein Benutzer den Zugriff auf eine Netzwerkressource anfordert, muss ein Domänencontroller der Domäne des Benutzers mit einem Domänencontroller der Domäne der Ressource kommunizieren. Wenn sich die beiden Domänen nicht in einer Beziehung zwischen über- und untergeordneten Objekten befinden, muss der Domänencontroller des Benutzers auch mit allen Domänencontrollern der einzelnen Domänen kommunizieren, die sich in der Vertrauenstellungsstruktur zwischen der Domäne des Benutzers und der Domäne der Ressource befinden. Je nach Netzwerkposition des Domänencontrollers jeder Domäne kann jeder zusätzliche Authentifizierungsabschnitt (Hop) zwischen den zwei Domänen die Wahrscheinlichkeit möglicher Fehler erhöhen oder dazu führen, dass der Authentifizierungsverkehr eine langsame Verknüpfung passieren muss. Um die Summe an Kommunikationsvorgängen für solche Interaktionen zu reduzieren, können Sie zwei beliebige Domänen mit einer verknüpften Vertrauensstellung verbinden. Wenn sich z. B. in der Gesamtstruktur mehrere Strukturen befinden, möchten Sie vielleicht die Gruppe der Strukturstämme mit einem vollständigen Netz von Vertrauensstellungen verbinden. Beachten Sie, dass in der Standardanordnung alle Strukturstämme hinsichtlich der Vertrauensstellungen als dem Stamm der Gesamtstruktur untergeordnet angesehen werden. Dies bedeutet, dass der Authentifizierungsverkehr zwischen zwei beliebigen Domänen aus unterschiedlichen Strukturen den Stamm der Gesamtstruktur passieren muss. Die Erstellung eines vollständigen Netzes von Vertrauensstellungen ermöglicht die direkte Kommunikation zwischen zwei beliebigen Struktur-Stammdomänen. Abbildung 9.11 zeigt ein vollständiges Netz von Vertrauensstellungen zwischen vier Struktur-Stammdomänen.
266
Teil III
Active Directory-Infrastruktur
Abbildung 9.11 Domänen
Vollständiges Netz von Vertrauensstellungen zwischen vier
Ändern des Domänenplans nach der Einrichtung Domänenhierarchien sind nach ihrer Erstellung nicht leicht umzustrukturieren. Aus diesem Grund empfiehlt es sich nicht, Domänen zu erstellen, die auf einer temporären oder kurzfristigen Organisationsstruktur basieren. Zum Beispiel erzeugt das Erstellen einer Domäne, die einem bestimmten Geschäftsbereich der Organisation zugeordnet ist, Probleme, falls dieser Geschäftsbereich aufgeteilt, aufgelöst oder während einer Unternehmensumstrukturierung mit einem anderen Bereich verschmolzen wird. Es gibt jedoch Fälle, in der eine organisationsbasierte Partitionierung angemessen ist. Geopolitische Grenzen liefern eine relativ stabile Vorgabe für eine Partitionierung, jedoch ist diese nur dann sinnvoll, wenn sich die Organisation nicht häufig über diese Grenzen hinaus bewegt. Betrachten Sie beispielsweise einen Domänenplan für eine Armee, deren unterschiedliche Divisionen auf eine Reihe von Standorten verteilt sind. Es ist für Divisionen normal, zwischen den Standorten verschoben zu werden. Wenn die Gesamtstruktur entsprechend der geographischen Position partitioniert wäre, müssten die Administratoren eine große Zahl von Benutzerkonten zwischen den Domänen verschieben, sobald eine Division zu einem anderen Standort verschoben wird. Wenn die Gesamtstruktur entsprechend den Divisionen partitioniert würde, müssten Administratoren nur Domänencontroller zwischen den Standorten verschieben. In diesem Fall ist die organisationsbasierte Partitionierung geeigneter als die geographische.
Kapitel 9 Entwerfen der Active Directory-Struktur
267
Hinzufügen neuer und Entfernen bestehender Domänen Es ist leicht, zu einer Gesamtstruktur neue Domänen hinzuzufügen, Sie können jedoch keine bestehenden Windows 2000 Active Directory-Domänen zwischen Gesamtstrukturen verschieben. Kritischer Entscheidungspunkt Nachdem eine Struktur-Stammdomäne eingerichtet wurde, können Sie der Gesamtstruktur keine Domäne mit dem Namen einer höheren Ebene hinzufügen. Sie können zu einer bestehenden Domäne keine übergeordnete Domäne erstellen, sondern nur eine untergeordnete. Wenn z. B. die erste Domäne einer Struktur eu.reskit.com heißt, können Sie später keine übergeordnete Domäne mit dem Namen reskit.com hinzufügen. Das Zurücksetzen aller Domänencontroller einer Domäne auf die Rolle eines Mitgliedservers oder eine Standalone-Lösung entfernt eine Domäne aus einer Gesamtstruktur und löscht alle Daten, die in der Domäne gespeichert waren. Eine Domäne kann nur dann aus einer Gesamtstruktur entfernt werden, wenn sie keine untergeordneten Domänen aufweist.
Zusammenfassen und Aufteilen von Domänen Windows 2000 bietet nicht die Möglichkeit, in einer einzigen Operation eine Domäne in zwei Domänen aufzuteilen oder zwei Domänen in einer Domäne zusammenzufassen. Kritischer Entscheidungspunkt Es ist überaus wichtig, den Domänenplan so zu entwerfen, dass bei Veränderungen in der Organisation nur minimale Änderungen der Partitionierung erforderlich sind. Sie können eine Domäne aufteilen, indem Sie zu einer Gesamtstruktur eine leere Domäne hinzufügen und Objekte aus anderen Domänen dorthin verschieben. So kann auch eine Domäne mit einer anderen zusammengefasst werden, indem alle Objekte der Quelldomäne in die Zieldomäne verschoben werden. Wie bereits erwähnt, kann das Verschieben von Sicherheitsprincipals Auswirkungen auf die Endbenutzer haben. Weitere Informationen über das Verschieben von Objekten zwischen Domänen finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
Umbenennen von Domänen In Windows 2000 kann eine Domäne nicht an Ort und Stelle umbenannt werden. Da der Name einer Domäne auch auf ihre Position in einer Strukturhierarchie hinweist, kann eine Domäne nicht innerhalb der Gesamtstruktur verschoben werden. Kritischer Entscheidungspunkt Bei der Auswahl von Namen für die Domänen sollten Sie darauf achten, dass die Namen auch bei einer Weiterentwicklung Ihrer Organisation ihre Bedeutung behalten. Die Alternative zur Umbenennung an Ort und Stelle ist die Erstellung einer neuen Domäne in der Gesamtstruktur unter dem gewünschten Namen und das Verschieben aller Objekte der alten Domäne in die neue.
268
Teil III
Active Directory-Infrastruktur
Erstellen eines Plans für Organisationseinheiten Eine Organisationseinheit (Organizational Unit, OU) ist der Container, den Sie zur Erstellung von Strukturen in einer Domäne verwenden. Bei der Erstellung von Strukturen in einer Domäne sollten die folgenden Merkmale von Organisationseinheiten berücksichtigt werden. Organisationseinheiten können verschachtelt werden Eine Organisationseinheit kann untergeordnete Organisationseinheiten enthalten. Dies ermöglicht die Erstellung einer hierarchischen Baumstruktur innerhalb einer Domäne. Organisationseinheiten können zur Delegierung von Administrationsaufgaben und zur Steuerung des Zugangs zu Verzeichnisobjekten verwendet werden Durch die Kombination von OU-Verschachtelungen und Zugriffssteuerungslisten können Sie die Delegierung der Administration von Objekten im Verzeichnis sehr fein abstimmen. Sie könnten beispielsweise einer Gruppe von Helpdesktechnikern das Recht einräumen, die Kennwörter für eine bestimmte Benutzergruppe zurückzusetzen, jedoch nicht das Recht, Benutzer zu erstellen oder ein anderes Attribut eines Benutzerobjekts zu ändern. OrganisationseinheitensindkeineSicherheitsprincipals Organisationseinheiten können nicht Mitglieder von Sicherheitsgruppen werden. Auch der Zugang zu einer Ressource kann Benutzern nicht allein aufgrund der Zugehörigkeit zu einer bestimmten Organisationseinheit erlaubt werden. Da Organisationseinheiten zur Delegierung von Administrationsaufgaben verwendet werden, zeigt die übergeordnete Organisationseinheit eines Benutzerobjekts an, wer das Benutzerobjekt verwaltet, jedoch nicht, auf welche Ressourcen ein Benutzer zugreifen kann. Eine Gruppenrichtlinie kann mit einer Organisationseinheit verknüpft werden Mit einer Gruppenrichtlinie können Sie für Benutzer und Computer Desktopkonfigurationen definieren. Sie können eine Gruppenrichtlinie mit Standorten, Domänen und Organisationseinheiten verbinden. Das Definieren einer Gruppenrichtlinie auf OU-Basis ermöglicht Ihnen die Verwendung unterschiedlicher Richtlinien innerhalb der gleichen Domäne. Weitere Informationen über die Gruppenrichtlinie finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. Benutzer navigieren nicht durch die OU-Struktur Es ist nicht notwendig eine OUStruktur zu entwerfen, die Endbenutzern gefällt. Obwohl es für Benutzer möglich ist, durch die OU-Struktur einer Domäne zu navigieren, ist dies nicht der effizienteste Weg, um Ressourcen zu finden. Am effizientesten finden Benutzer Ressourcen im Verzeichnis durch die Abfrage des Globalen Katalogs.
Kapitel 9 Entwerfen der Active Directory-Struktur
269
OU-Struktur und Geschäftsstruktur Bei dem Begriff „Struktur der Organisationseinheit“ denken Sie möglicherweise an die Erstellung einer Struktur, die Ihre Geschäftsorganisation und deren unterschiedlichen Hauptabteilungen, Abteilungen und Projekte spiegelt. Es ist möglich, eine solche Struktur zu erstellen, sie könnte jedoch schwierig und nur kostenaufwendig zu verwalten sein. Organisationseinheiten wurden für die Delegierung von Administrationsaufgaben entwickelt; die Struktur, die Sie erstellen, wird also wahrscheinlich Ihr administratives Modell widerspiegeln. Dieses administrative Modell Ihrer Organisation muss nicht exakt mit Ihrer Geschäftsorganisation übereinstimmen. Beachten Sie beispielsweise die geschäftsorientierte Struktur in Abbildung 9.12. Hier wurden für die Hauptabteilungen Elektronik, Medizin und Automobile eigene Organisationseinheiten erstellt (OU Elektronik, OU Medizin und OU Automobile), wobei die Benutzer vom Team Automobile der entsprechenden Organisationseinheit zugeordnet sind, usw.
Abbildung 9.12 OU-Struktur entsprechend der Geschäftsstruktur
Nehmen wir an, das Unternehmen in diesem Beispiel verwendet ein zentralisiertes Administrationsmodell. Eine einzige Gruppe von Administratoren verwaltet alle Benutzer des Unternehmens, ungeachtet der Abteilungszugehörigkeit. Während der täglichen Betriebsabläufe kann sich vieles ereignen. Wenn ein Mitarbeiter von der Abteilung Elektronik zur Abteilung Automobile wechselt, muss ein Administrator das betreffende Benutzerkonto von der OU Elektronik in die OU Automobile verschieben. Bei zahlreichen Mitarbeiterwechseln könnte dies einen deut lichen Mehraufwand für die Administratoren bedeuten. Was wird jedoch damit erreicht? Betrachten Sie für dasselbe Unternehmen nun eine OU-Struktur, die aus einer einzige Organisationseinheit besteht, die alle Benutzerkonten enthält. Wenn ein Benutzer von einer Hauptabteilung zur anderen wechselt, entsteht dadurch keine zusätzliche Arbeit für die Administratoren. Bei der Erstellung von Strukturen sollten Sie darauf achten, dass sie einen bestimmten Zweck erfüllen. Strukturen ohne bestimmten Zweck bewirken lediglich unnötigen Mehraufwand.
270
Teil III
Active Directory-Infrastruktur
Vielleicht möchten Sie Ihre Geschäftsstruktur in der OU-Struktur spiegeln, um die Erstellung von Benutzerlisten nach bestimmten Geschäftseinheiten zu vereinfachen. Die Verwendung von Organisationseinheiten ist nur eine Möglichkeit, dies zu tun. Ihre Geschäftsstruktur wird möglicherweise besser durch die Art und Weise dargestellt, wie den Benutzern der Zugriff auf Ressourcen gewährt wird. Benutzer, die an einem bestimmten Projekt arbeiten, haben beispielsweise Zugang zu einer bestimmten Gruppe von Dateiservern, oder Benutzer einer bestimmten Hauptabteilung haben vielleicht Zugang zu einer bestimmten Website. Da der Zugriff auf Ressourcen mit Hilfe von Sicherheitsgruppen gewährt wird, wird die Struktur einer Organisation möglicherweise durch die Struktur der Sicherheitsgruppen besser repräsentiert als durch Organisationseinheiten.
Planungsprozess für Organisationseinheiten Die einzelnen Schritte zur Erstellung eines OU-Strukturplans für eine Domäne sind: ? Erstellen von Organisationseinheiten zur Delegierung von
Administrationsaufgaben. ? Erstellen von Organisationseinheiten, um Objekte zu verbergen. ? Erstellen von Organisationseinheiten für Gruppenrichtlinien. ? Verstehen der Auswirkung von Änderungen an OU-Strukturen nach der Einrichtung. Es ist wichtig, dass diese Schritte in der dargestellten Reihenfolge durchgeführt werden. Eine OU-Struktur, die nur für die Delegierung von Administrationsaufgaben entwickelt wurde, unterscheidet sich deutlich von einer OU-Struktur für Gruppenrichtlinien. Da es unterschiedliche Arten gibt, Gruppenrichtlinien anzuwenden, jedoch nur eine Möglichkeit, Administrationsaufgaben zu delegieren, sollten die Organisationseinheiten für die Delegierung zuerst erstellt werden. Ihre OU-Struktur kann sehr schnell unübersichtlich werden. Berücksichtigen Sie stets den speziellen Grund für die Erstellung einer Organisationseinheit, wenn Sie zum Plan eine neue Organisationseinheit hinzufügen. Damit können Sie sicherstellen, dass jede Organisationseinheit auch einen Zweck erfüllt. Diese Vorgehensweise hilft auch dem Leser Ihres Plans, die der Struktur zugrundeliegenden Überlegungen zu verstehen. Wenn Sie den OU-Plan für jede Domäne erstellen, konsultieren Sie die folgenden Gruppen Ihrer Verwaltungsorganisationen: ? Die derzeit für die Benutzerkonten, Sicherheitsgruppen und Computerkonten
verantwortlichen Domänenadministratoren. ? Die aktuellen Eigentümer und Administratoren der Ressourcendomänen.
Kapitel 9 Entwerfen der Active Directory-Struktur
271
Erstellen von Organisationseinheiten zur Delegierung von Administrationsaufgaben In Windows NT-Versionen vor Windows 2000 war die Delegierung von Verwaltungsaufgaben innerhalb einer Domäne auf die Verwendung vordefinierter lokaler Gruppen, wie der Gruppe der Kontoadministratoren beschränkt. Diese Gruppen verfügten über vordefinierte Fähigkeiten, die in manchen Fällen nicht den Bedürfnissen einer bestimmten Situation entsprachen. Hieraus resultierten Situationen, in denen Administratoren einer Organisation ein hohes Maß an administrativen Zugriff, wie etwa Rechte von Domänenadministratoren, benötigten. In Windows 2000 ist die Delegierung von Administrationsaufgaben leistungsfähiger und flexibler. Diese Flexibilität wird durch eine Kombination von Organisationseinheiten, attributorientierter Zugriffssteuerung und Vererbung der Zugriffssteuerung erreicht. Administrationsaufgaben können beliebig delegiert werden, indem einer Gruppe von Benutzern die Möglichkeit zum Erstellen spezifischer Objektklassen oder zur Änderung von bestimmten Attributen spezifischer Objektklassen gewährt wird. So wird z. B. der Personalabteilung die Möglichkeit gewährt, Benutzerobjekte ausschließlich in einer bestimmten Organisationseinheit zu erstellen. Helpdesktechnikern kann die Möglichkeit gewährt werden, die Kennwörter der Benutzer in dieser Organisationseinheit zurückzusetzen, nicht jedoch die Möglichkeit, Benutzer zu erstellen. Anderen Verzeichnisadministratoren kann die Möglichkeit gewährt werden, Adressbuchattribute eines Benutzerobjekts zu ändern, nicht jedoch die Möglichkeit, Benutzer zu erstellen oder Kennwörter zurückzusetzen. Die Delegierung von Administrationsaufgaben in der Organisation bietet verschiedene Vorteile. Die Delegierung bestimmter Rechte hilft Ihnen, die Zahl der Benutzer mit weitgehenden Zugriffsrechten zu minimieren. Unfälle oder Fehler von Administratoren mit eingeschränkten Fähigkeiten haben nur Auswirkung auf deren Verantwortungsbereich. Mit Ausnahme der IT-Gruppe mussten früher alle Gruppen in der Organisation ihre Änderungsanfragen an übergeordnete Administratoren weiterleiten, die diese Änderungen dann unter deren Namen ausführten. Mit der Delegierung von Administrationsaufgaben können Sie Verantwortung an die einzelnen Gruppen in Ihrer Organisation weitergeben und den Aufwand an unnötigen Anfragen an übergeordnete administrative Gruppen minimieren.
Ändern von Zugriffssteuerungslisten Wenn Sie Administrationsaufgaben delegieren möchten, gewähren Sie einer Gruppe bestimmte Rechte in einer Organisationseinheit. Dafür ist die Zugriffssteuerungsliste (ACL) der Organisationseinheit zu ändern. Die ACE -Einträge (ACEs) in der ACL eines Objekts legen fest, wer über den Zugriff auf ein Objekt verfügt und welcher Art dieser Zugriff ist. Bei der Erstellung eines Objekts im Verzeichnis wird eine Standard-ACL darauf angewendet. Die Standard-ACL wird in der Schemadefinition der Objektklasse beschrieben.
272
Teil III
Active Directory-Infrastruktur
ACEs können an die untergeordneten Objekte eines Containerobjekts vererbt werden. Wenn eines dieser untergeordneten Objekte selbst ein Containerobjekt ist, werden die ACEs ebenso an die untergeordneten Objekte dieses Containers vererbt. Durch Vererbung können Sie ein delegiertes Recht auf eine ganze Unterstruktur einer Organisationseinheit anwenden, statt nur auf eine einzelne Organisationseinheit. Sie können die ACE-Vererbung an ein Objekt auch sperren, um zu verhindern, dass die ACEs eines übergeordneten Containers auf dieses Objekt oder auf beliebige untergeordnete Objekte angewendet werden. Vererbbare ACEs werden nur innerhalb einer Domäne und nicht in den untergeordneten Domänen angewendet. Um die Steuerung über eine Gruppe von Objekten in der Unterstruktur einer Organisationseinheit zu delegieren, müssen Sie die ACL der Organisationseinheit bearbeiten. Am einfachsten geschieht dies durch die Verwendung des Assistenten zum Zuweisen der Objektverwaltung des Microsoft MMC-Snap-Ins für Active Directory-Benutzer und -Gruppen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite des Objekts, um die ACL eines Objekts anzuzeigen oder eine ACL zu bearbeiten. Referenzieren Sie in ACLs immer Gruppen, niemals individuelle Benutzer. Die Verwaltung einer Gruppenzugehörigkeit ist einfacher als die Verwaltung einer ACL in einer Organisationseinheit. Wenn Benutzer ihre Position verändern, ist es viel einfacher, ihre Gruppenzugehörigkeit zu ermitteln und zu ändern, als die ACLs jeder Organisationseinheit zu überprüfen. Delegieren Sie, wo immer möglich, an lokale Gruppen, statt an globale oder universelle Gruppen. Im Gegensatz zu globalen Gruppen können lokale Gruppen Mitglieder aus jeder beliebigen vertrauten Domäne besitzen, wodurch sie besser für die Gewährung von Ressourcenberechtigungen geeignet sind. Im Gegensatz zu universellen Gruppen wird die Zugehörigkeit zu einer lokalen Gruppe nicht an den Globalen Katalog repliziert, wodurch lokale Gruppen weniger ressourcenintensiv sind.
Entscheiden, welche Organisationseinheiten zu erstellen sind Die OU-Struktur, die Sie erstellen, hängt ganz davon ab, wie die Administrationsaufgaben innerhalb der Organisation delegiert sind. Es gibt drei Formen, Administrationsaufgaben zu delegieren: ? Nach physischer Position. Administrationsaufgaben für Objekte in Europa
können zum Beispiel von einer autonomen Gruppe von Administratoren übernommen werden. ? Nach Geschäftsbereichen. Administrationsaufgaben für Objekte, die zur Abteilung Avionics gehören, können beispielsweise von einer autonomen Gruppe von Administratoren übernommen werden. ? Nach Rolle oder Aufgabe. Die Aufteilung entspricht dem verwalteten Objekttyp. So könnte z. B. eine Gruppe von Administratoren nur für die Computerkontoobjekte verantwortlich sein. Diese drei Gesichtspunkte werden häufig kombiniert. Wie z. B. in Abbildung 9.13 gezeigt, gibt es eine administrative Gruppe, die für die Computerkontoobjekte des Geschäftsbereichs Automobile in Atlanta verantwortlich ist.
Kapitel 9 Entwerfen der Active Directory-Struktur
Abbildung 9.13
273
Zweischichtige Delegierung
Ob die OU Atlanta der OU Automobile untergeordnet ist, hängt davon ab, ob die Administratoren der OU Automobile an die Administratoren der OU Atlanta Autorität delegieren oder umgekehrt. Es ist auch möglich, dass die Administratoren der OU Atlanta völlig unabhängig von den Administratoren der OU Automobile sind, folglich wären beide Organisationseinheiten Peers. Anmerkung Einige Organisationen verfügen über geographisch verteilte administrative Gruppen, um einen 24-Stunden-Betrieb zu unterstützen. Durch die kombinierten, normalen Arbeitsstunden aller administrativen Gruppen kann die Organisation eine 24-stündige Verfügbarkeit präsentieren. In diesem Fall ist der Bereich der administrativen Gruppen nicht standortspezifisch, weil die Administratoren in der Lage sein müssen, Benutzern aus der ganzen Welt behilflich zu sein. Auch wenn in diesem Szenario die Administratoren über viele Standorte verteilt sind, ist es kein Beispiel für eine standortbasierte Delegierung.
Delegierungsprozeduren Erstellen Sie, ausgehend von der Standardstruktur innerhalb einer Domäne, eine OU-Struktur. Verwenden Sie dazu die folgenden primären Schritte: ? Erstellen Sie die obersten Schichten von Organisationseinheiten, indem Sie den
Vollzugriff an sie delegieren. ? Erstellen Sie die unteren Schichten der Organisationseinheiten, um die Steuerung pro Objektklasse zu delegieren.
Delegieren des Vollzugriffs Nur Domänenadministratoren haben Vollzugriff auf alle Objekte. Domänenadministratoren sollten am besten nur verantwortlich sein für: ? Das Erstellen der ursprünglichen OU-Struktur. ? Das Beheben von Fehlern.
Domänenadministratoren haben nicht nur standardmäßig Vollzugriff, sie haben auch das Recht, den Besitz jedes Objekts der Domäne zu übernehmen. Aufgrund dieses Rechts können Domänenadministratoren Vollzugriff auf jedes beliebige Objekt einer Domäne erhalten, unabhängig von den Berechtigungen, die für dieses Objekt erteilt wurden. ? Das Erstellen zusätzlicher Domänencontroller. Nur Mitglieder der Gruppe der Domänenadministratoren können für eine Domäne zusätzliche Domänencontroller erstellen.
274
Teil III
Active Directory-Infrastruktur
Da Domänenadministratoren eingeschränkte und spezifische Aufgaben haben können, kann die Mitgliedschaft in dieser Gruppe klein und kontrolliert gehalten werden. Wenn Sie über Bereiche in Ihrer Organisation verfügen, die ihre eigene OUStruktur und eigene administrative Modelle festlegen können müssen, führen Sie folgende Schritte durch: ? Erstellen Sie für jeden Bereich eine Organisationseinheit. ? Erstellen Sie eine lokale Gruppe für jeden Bereich, die die Administratoren der
höchsten Ebene in diesem Bereich repräsentiert. ? Weisen Sie der entsprechenden Gruppe Vollzugriff auf ihre Organisationseinheit zu. ? Wenn es dem Bereich erlaubt ist, seine Zugehörigkeit selbst festzulegen, platzieren Sie die Administratorengruppe des Bereichs in der Organisationseinheit. Wenn es dem Bereich nicht erlaubt ist, seine eigene Administratorenzugehörigkeit festzulegen, lassen Sie die Gruppe außerhalb der Organisationseinheit.
Beispiel für das Delegieren des Vollzugriffs Der Unternehmensbereich Automobile von Reskit ist das Resultat des Zusammenschlusses zweier Unternehmen und soll als eine vollkommen unabhängige ITGruppe beibehalten werden. In dieser Situation erhält der Automobilbereich seine eigene Organisationseinheit im Stamm der Domäne. Da der Gruppe auch gestattet ist, die Zugehörigkeit zu ihrer Administratorengruppe selbst festzulegen, wird die Gruppe in der OU Automobile platziert. Wenn der Automobilbereich seinerseits vollständig unabhängige Zweigniederlassungen in Atlanta und Toronto besitzt, könnten die Administratoren des Automobilbereichs wiederum Organisationseinheiten erstellen und an diese Vollzugriff delegieren. Wie in Abbildung 9.14 gezeigt, haben die Administratoren von Automobile die Fähigkeit beibehalten, die Zugehörigkeit zu den Administratorengruppen Atlanta und Toronto festzulegen.
Abbildung 9.14
Delegieren des Vollzugriffs
Wenn keine Bereiche in der Organisation Vollzugriff benötigen, legen die Domänenadministratoren den übrigen Teil der OU-Struktur fest.
Delegieren der Steuerung pro Objektklasse Gruppen mit Vollzugriff können entscheiden, ob zusätzliche Organisationseinheiten erforderlich sind, um eine restriktivere Steuerung zu delegieren. Eine einfache Art, dies zu erreichen, ist die Betrachtung jeder Objektklasse, die im Verzeichnis erstellt
Kapitel 9 Entwerfen der Active Directory-Struktur
275
wird, und die Entscheidung, ob die Verwaltung dieser Objektklasse in der Organisation weiter delegiert werden soll. Auch wenn das Schema viele unterschiedliche Arten von Objektklassen definiert, müssen nur diejenigen Objektklassen berücksichtigt werden, die die Administratoren im Active Directory erstellen. Es sollten mindestens folgende Objektklassen berücksichtigt werden: ? Benutzerkontoobjekte ? Computerkontoobjekte ? Gruppenobjekte ? OU-Objekte
Bedenken Sie bei der Prüfung jeder Objektklasse: ? Welche Gruppen sollten den Vollzugriff auf die Objekte einer bestimmten
Klasse erhalten? Gruppen mit Vollzugriff können Objekte der angegebenen Klasse erstellen und löschen und alle Attribute der Objekte dieser Klasse ändern. ? Welche Gruppen sollten Objekte einer bestimmten Klasse erstellen dürfen? Standardmäßig haben Benutzer Vollzugriff auf die von ihnen erstellen Objekte. ? Welche Gruppen sollten die Attribute vorhandener Objekte einer bestimmten Klasse ändern dürfen? Immer, wenn Sie sich für die Delegierung von Kontrollbefugnissen entscheiden, tun Sie Folgendes: ? Eine lokale Gruppe erstellen, die die spezifische Funktion übernehmen darf. ? Dieser Gruppe das spezifische Recht in der höchstmöglichen Organisations-
einheit gewähren. Anmerkung Wenn Sie Objekte zwischen Organisationseinheiten verschieben möchten, muss der verantwortliche Administrator die Fähigkeit besitzen, ein Objekt im Zielcontainer zu erstellen und das Objekt im Quellcontainer zu löschen. Daher sollten Sie vielleicht eine separate Administratorengruppe erstellen, die Objekte verschieben kann, und dieser die entsprechenden Rechte in einer gemeinsamen Organisationseinheit gewähren. Die Liste der zu berücksichtigenden Objekte kann wachsen, sobald weitere Active Directory-fähige Anwendungen eingesetzt werden. Einige Anwendungen erzeugen jedoch Objekte im Verzeichnis, die nicht individuell verwaltet werden müssen. Druckserver unter Windows 2000 veröffentlichen die Druckwarteschlangen beispielsweise automatisch im Verzeichnis. Da der Druckserver die Verwaltung des Druckwarteschlangenobjekts übernimmt, ist es nicht erforderlich, die Verwaltung an eine besondere Administratorengruppe zu delegieren. Durch Ändern der ACL im Standardcomputercontainer können Sie die Fähigkeit, Computerkontoobjekte zu erstellen, an alle Benutzer delegieren, ohne dass weitere Administration erforderlich wäre. Computerkonten werden dann erstellt, wenn Benutzer von einem Computer aus eine Verbindung zu einer Domäne im Standardcomputercontainer herstellen.
276
Teil III
Active Directory-Infrastruktur
Beispiel für das Delegieren der Steuerung pro Objektklasse Im Bereich Automobile der Niederlassung Atlanta des Unternehmens Reskit befinden sich zwei Windows NT 4.0-Ressourcendomänen, Powertrain und Chassis. Zur Migration zu Windows 2000 gehört die Konsolidierung dieser Domänen in die Domäne noam.reskit.com. Derzeit nutzen die Administratoren von Powertrain und Chassis die Domänen, um: ? Computerkonten für Teammitglieder zu erstellen. ? den Dateisystembereich der Windows NT 4.0-Sicherungsdomänencontroller
(BDC) gemeinsam zu nutzen, wobei der Zugang zum Dateisystem und zu den Freigaben durch die lokale Gruppenzugehörigkeit gesteuert wird. Mit Hilfe der Delegierung von Administrationsaufgaben ist es ganz einfach, die Ressourcendomänen durch Organisationseinheiten zu ersetzen. In diesem Fall werden für die Verwaltung aller einzelnen Objekttypen Gruppen erstellt, die in einer projektspezifischen Organisationseinheit Vollzugriff erhalten. Projektspezifische Organisationseinheiten sind erforderlich, um zu verhindern, dass die Administratoren von Powertrain die Objekte der Domäne Chassis bearbeiten können und umgekehrt. Abbildung 9.15 veranschaulicht dieses Konzept.
Abbildung 9.15
Ersetzen von Ressourcendomänen
Kapitel 9 Entwerfen der Active Directory-Struktur
277
Erstellen von Organisationseinheiten, um Objekte zu verbergen Auch wenn ein Benutzer nicht berechtigt ist, die Attribute eines Objekts zu lesen, kann er dennoch sehen, dass das Objekt existiert, indem er sich die Inhalte des übergeordneten Containers des Objekts anzeigen lässt. Der einfachste und effizienteste Weg, ein Objekt oder eine Gruppe von Objekten zu verbergen, ist eine Informationseinheit dafür zu erstellen und die Gruppe von Benutzern zu begrenzen, die das Recht Inhalt auflisten für diese Organisationseinheit haben. ? Erstellen einer Organisationseinheit, um Objekte zu verbergen 1. Erstellen Sie die Organisationseinheit dort, wo Sie Objekte verbergen möchten. 2. Klicken Sie auf der Eigenschaftenseite der Organisationseinheit auf die Registerkarte Sicherheit. 3. Entfernen Sie alle vorhandenen Berechtigungen von der Organisationseinheit. 4. Deaktivieren Sie die Option für das Erben der Berechtigungen im Dialogfeld Erweitert. 5. Identifizieren Sie die Gruppen, die Vollzugriff auf die Organisationseinheit haben sollen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite, um diesen Gruppen Vollzugriff zu gewähren. 6. Identifizieren Sie die Gruppen, die allgemeinen Lesezugriff auf die Organisationseinheit und ihre Inhalte haben sollen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite, um diesen Gruppen Lesezugriff zu gewähren. 7. Identifizieren Sie alle übrigen Gruppen, die besondere Zugriffsrechte auf die Organisationseinheit benötigen, wie beispielsweise das Recht, eine bestimmte Objektklasse zu erstellen oder zu löschen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite, um diesen Gruppen den jeweiligen Zugriff zu gewähren. 8. Verschieben Sie die Objekte, die Sie verbergen möchten, in die Organisationseinheit. Nur Benutzer, die die ACL einer Organisationseinheit ändern können, können auf diese Art Objekte verbergen.
Erstellen von Organisationseinheiten für Gruppenrichtlinien In Windows NT 4.0 können Sie mit Hilfe des Systemrichtlinien-Editors für alle Benutzer und Computer in einer Domäne Benutzer- und Computerkonfigurationen definieren. In Windows 2000 verwenden Sie Gruppenrichtlinien, um Benutzerund Computerkonfigurationen zu definieren und verknüpfen diese Richtlinien mit Standorten, Domänen oder Organisationseinheiten. Ob Sie zusätzliche Organisationseinheiten erstellen müssen, um die Anwendung von Gruppenrichtlinien zu unterstützen, hängt von den erstellten Richtlinien und den gewählten Implementierungsoptionen ab. Weitere Informationen über die Gruppenrichtlinie finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
278
Teil III
Active Directory-Infrastruktur
Änderung des Plans für Organisationseinheiten nach der Einrichtung Das Erstellen von neuen Organisationseinheiten, das Verschieben von untergeordneten OU-Strukturen in einer Domäne, das Verschieben von Objekten zwischen Organisationseinheiten derselben Domäne und das Löschen von Organisationseinheiten sind einfache Aufgaben. Das Verschieben eines Objekts oder einer untergeordneten Struktur von Objekten ändert den übergeordneten Container dieser Objekte. Die ACEs, die vom übergeordneten Objekt geerbt wurden, sind nicht mehr gültig, und möglicherweise gibt es bereits neue ACEs vom neuen übergeordneten Objekt. Wenn Sie unerwartete Änderungen der Zugriffsrechte vermeiden möchten, prüfen Sie vorher, welche Änderungen eintreten werden und ob sie Auswirkungen auf die Benutzer haben, die derzeit Zugriff auf diese Objekte haben und sie verwalten. Das Verschieben eines Benutzerobjekts, Computerobjekts oder einer untergeordneten Struktur, die Benutzer- oder Computerobjekte enthält, kann zu Änderungen in der Gruppenrichtlinie dieser Objekte führen. Sollen unerwartete Änderungen der Clientkonfigurationen vermieden werden, prüfen Sie vorher die Änderungen und stellen Sie sicher, dass sie für die Endbenutzer akzeptabel sind.
Erstellen eines Standorttopologieplans Eine Active Directory-Standorttopologie ist die logische Abbildung eines physischen Netzwerks. Die Standorttopologie wird auf Basis einzelner Gesamtstrukturen definiert. Active Directory-Clients und -Server verwenden die Standorttopologie einer Gesamtstruktur für das effiziente Routing des Anfrage- und Replikationsverkehrs. Eine Standorttopologie hilft auch bei der Entscheidung, an welchen Stellen im Netzwerk Domänencontroller platziert werden sollen. Beim Entwurf der Standorttopologie sollten Sie folgende Schlüsselkonzepte berücksichtigen: Ein Standort ist eine Reihe von Netzwerken mit schnellen, zuverlässigen Verbindungen Ein Standort ist eine Reihe von IP-Subnetzen, die über schnelle, zuverlässige Verbindungen verknüpft sind. Als Daumenregel gilt: Netzwerke mit LANGeschwindigkeit oder höher werden als schnelle Netzwerke bezeichnet. Eine Standortverknüpfung ist eine Verbindung mit niedriger Bandbreite oder geringer Zuverlässigkeit zwischen zwei oder mehr Standorten Standortverknüpfungen dienen derr Darstellung der verfügbaren Bandbreite zwischen zwei Standorten. Im Allgemeinen gilt folgende Regel: wenn zwei Netzwerke über eine Verknüpfung verbunden sind, die langsamer als LANGeschwindigkeit ist, bezeichnet man diese Verknüpfung als Standortverknüpfung. Eine schnelle Verknüpfung, die an der Kapazitätsgrenze arbeitet, verfügt über eine geringe effektive Bandbreite und kann ebenfalls als Standortverknüpfung bezeichnet werden. Standortverknüpfungen haben vier Parameter: ? Kosten
Die Kosten einer Standortverknüpfung helfen dem Replikationssystem zu entscheiden, ob die Verknüpfung nach einem Vergleich mit anderen Verbindungen verwendet wird. Die Kosten bestimmen den Pfad der Replikation durch das Netzwerk. ? Replikationsplan
Kapitel 9 Entwerfen der Active Directory-Struktur
279
Eine Standortverknüpfung besitzt einen dazugehörigen Plan, der angibt, zu welchen Zeiten die Verknüpfung für Replikationsverkehr zur Verfügung steht. ? Replikationsintervall Das Replikationsintervall zeigt an, wie oft das System die Domänencontroller auf der anderen Seite der Standortverknüpfung zu Replikationszwecken abfragt. ? Transport Der für die Replikation verwendete Transport. Clientcomputer versuchen zuerst mit Servern in Verbindung zu treten, die sich am selben Standort befinden Sobald ein Benutzer einen Clientcomputer einschaltet, sendet der Computer eine Nachricht an einen zufällig gewählten Domänencontroller der Domäne, zu der der Client gehört. Anhand der IP-Adresse des Clients bestimmt der Domänencontroller, an welchem Standort sich der Client befindet, und gibt den Namen der Domäne an den Client zurück. Der Client speichert diese Information und verwendet sie, wenn er das nächste Mal einen Replikationsserver an dem Standort sucht. ActiveDirectory-Replikation verwendet die Standorttopologie zur Erstellung von Replikationsverbindungen Die Konsistenzprüfung (KCC, Knowledge Consistency Checker) ist ein integrierter Prozess zur Erstellung und Wartung von Replikationsverbindungen zwischen Domänencontrollern. Bei der Erstellung dieser Verbindungen werden Informationen zur Standorttopologie verwendet. Die standortinterne Replikation wird so abgestimmt, dass die Verzögerung minimal ist. Bei der standortübergreifenden Replikation ist die Minimierung der Bandbreitennutzung ausschlaggebend. Tabelle 9.1 zeigt die Differenzen zwischen der standortinternen und der standortübergreifenden Replikation. Tabelle 9.1 Standortinterne und standortübergreifende Replikation Standortinterne Replikation
Standortübergreifende Replikation
Der Replikationsverkehr wird nicht komprimiert, um Prozessorzeit zu sparen. Die Replikationspartner benachrichtigen sich gegenseitig, wenn Änderungen zu replizieren sind, um die Replikationsverzögerung zu minimieren. Die Replikationspartner fragen sich in regelmäßigen Abständen gegenseitig ab, ob Änderungen anstehen.
Der Replikationsverkehr wird komprimiert, um Bandbreite zu sparen.
Bei der Replikation wird der Transport RPC (Remote Procedure Call) verwendet.
Die Replikationspartner benachrichtigen sich nicht gegenseitig, wenn Änderungen zu replizieren sind, um Bandbreite zu sparen.
Die Replikationspartner fragen sich in vorgegebenen Abständen gegenseitig ab, ob Änderungen anstehen. Diese Abfragen erfolgen jedoch nur in bestimmten, vorgeplanten Zeiträumen. Bei der Replikation wird der Transport TCP/IP oder SMTP verwendet.
280
Teil III
Active Directory-Infrastruktur (Fortsetzung) Standortinterne Replikation
Standortübergreifende Replikation
Die Replikationsverbindungen können zwischen zwei beliebigen Domänencontrollern desselben Standorts erstellt werden. Die Konsistenzprüfung (KCC) erstellt Verbindungen mit mehreren Domänencontrollern, um die Replikationsverzögerung zu minimieren.
Replikationsverbindungen können nur zwischen Replikationshubservern erstellt werden. Von jeder Domäne am Standort wird ein Domänencontroller von der Konsistenzprüfung als Replikationshubserver bestimmt. Der Replikationshubserver bearbeitet alle standortübergreifenden Replikationen für diese Domäne. Die Konsistenzprüfung erstellt Verbindungen zwischen den Replikationshubservern. Hierbei wird je nach Kosten der Standortverknüpfung die kostengünstigste Route verwendet. Die Konsistenzprüfung verwendet Verbindungen über Routen zu höheren Kosten nur, wenn alle Domänencontroller an kostengünstigeren Routen nicht erreichbar sind.
DieInformationen zur Standorttopologie werden imKonfigurationscontainer gespeichert Standorte, Standortverknüpfungen und Subnetze sind im Konfigurationscontainer gespeichert, der an jeden Domänencontroller der Gesamtstruktur repliziert wird. Jeder Domänencontroller in der Gesamtstruktur verfügt über die gesamten Kenntnisse der Standorttopologie. Eine Änderung der Standorttopologie verursacht eine Replikation an jeden Domänencontroller der Gesamtstruktur. Anmerkung Die Standorttopologie ist separat und nicht auf die Domänenhierarchie bezogen. Ein Standort kann viele Domänen enthalten, und eine Domäne kann in vielen Standorten erscheinen.
Planungsprozess für die Standorttopologie Verwenden Sie die folgenden Schritte, um eine Standorttopologie für eine Gesamtstruktur zu erstellen. ? Definieren Sie Standorte und Standortverknüpfungen. Verwenden Sie als
Ausgangsmaterial Ihre physische Netzwerktopologie. ? Platzieren Sie Server in den Standorten. ? Verdeutlichen Sie sich, wie sich Änderungen Ihrer Standorttopologie nach der Einrichtung auf den Endbenutzer auswirken. Folgende Personen sollten Sie beim Erstellen des Standorttopologieplans zur Beratung heranziehen: ? Die Teams, die die TCP/IP-Implementierung auf Ihrem Netzwerk verwalten
und überwachen. ? Die Domänenadministratoren jeder Domäne Ihrer Gesamtstruktur.
Kapitel 9 Entwerfen der Active Directory-Struktur
281
Weitere Informationen zu Standorten oder zu anderen in diesem Abschnitt erörterten Themen finden Sie in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Definieren von Standorten und Standortverknüpfungen Verwenden Sie, um die Standorttopologie für eine Gesamtstruktur zu erstellen, die physische Topologie Ihres Netzwerks, und erstellen Sie eine allgemeinere Topologie, die auf der verfügbaren Bandbreite und Netzwerkzuverlässigkeit basiert. Wenn Sie beim Erstellen Ihres Domänenplans auch die physische Partitionierung durchgeführt haben, können Sie den Plan mit der Standorttopologie und der Platzierung der Domänencontroller als Ausgangsmaterial für Ihre Standorttopologie verwenden. Wenn Sie diesen Teil übersprungen haben, empfiehlt sich die Durchsicht des Abschnitts „Festlegen der Anzahl der Domänen in jeder Gesamtstruktur“. Erstellen Sie dann eine grundlegende Standorttopologie. Bei der Erstellung der Standorttopologie ist es praktisch, wenn Sie über eine vollständige Zuordnung der physischen Topologie Ihres Netzwerks verfügen. Diese Zuordnung sollte die Liste der physischen Subnetze Ihres Netzwerks, den Medientyp und die Geschwindigkeit jedes Netzwerks sowie die Verbindungen zwischen allen Netzwerken enthalten.
Erstellen von Standorten Erstellen Sie zu Beginn eine Liste der Standorte in Ihrem Netzwerk. ? Erstellen Sie einen Standort für jedes LAN oder jede Gruppe von LANs, die
durch einen Hochgeschwindigkeits-Backbone verbunden sind, und weisen Sie dem Standort einen Namen zu. Die Verbindungen innerhalb des Standorts müssen zuverlässig und immer verfügbar sein. ? Erstellen Sie einen Standort für jede Position, die nicht über eine direkte Verbindung zum restlichen Netzwerk verfügt und nur über SMTP-Mail erreichbar ist. ? Legen Sie fest, welche Standorte keine lokalen Domänencontroller erhalten und
führen Sie diese Standorte mit benachbarten Standorten zusammen. Standorte helfen effizient beim Weiterleiten des Client-zu-Domänencontroller- und Domänencontroller-zu-Domänencontroller-Verkehrs. In einem Standort ohne Domänencontroller muss kein Replikationsverkehr kontrolliert werden. Notieren Sie für jeden Standort, den Sie Ihrem Plan hinzufügen, die Gruppe von IP-Subnetzen, die der Standort enthält. Sie werden diese Informationen später benötigen, wenn Sie die Standorte in Ihrem Verzeichnis erstellen. Anmerkung Die Standortnamen werden in Datensätzen verwendet, die durch den Domänenlocator in DNS registriert werden, daher muss es sich um gültige DNSNamen handeln. Es wird empfohlen, in Standortnamen nur die Standardzeichen A-Z, a-z, 0-9 und den Bindestrich (-) zu verwenden.
282
Teil III
Active Directory-Infrastruktur
Bedenken Sie, dass Clients zuerst versuchen, einen Domänencontroller des eigenen Standorts zu erreichen, bevor sie versuchen, eine Verbindung zu Domänencontrollern anderer Standorte aufzubauen. Erwägen Sie immer dann, Netzwerke in einem Standort zusammenzufassen, wenn die Bandbreite zwischen einer Gruppe von Netzwerken so groß ist, dass unerheblich ist, ob ein Client des einen Netzwerks mit dem Server eines anderen Netzwerks kommuniziert. Wenn sich ein Client in einem Subnetz befindet, das nicht im Verzeichnis definiert ist, wird er nicht als Teil des Standorts angesehen und nur zufällig von allen Domänencontrollern für eine bestimmte Domäne ausgewählt. Es können Situationen auftreten, in denen nicht alle Subnetze im Verzeichnis definiert sind, wenn z. B. neue Subnetze Ihrem Netzwerk hinzugefügt werden. Um diese Clients einem Standort zuzuordnen, erstellen Sie die beiden Standardsubnetze wie in Abbildung 9.2 gezeigt, und ordnen Sie sie einem Standort zu. Tabelle 9.2 Standardsubnetze Subnetz-ID
Maske
Beschreibung
128.0.0.0
192.0.0.0
Erfasst alle Clients von Netzwerken der Klasse B, die noch nicht im Verzeichnis definiert sind.
192.0.0.0
224.0.0.0
Erfasst alle Clients von Netzwerken der Klasse C, die noch nicht im Verzeichnis definiert sind.
Für Clients in einem Netzwerk der Klasse A gibt es kein Standardsubnetz. Verlegen Sie immer dann Netzwerke in separate Standorte, wenn diese Netzwerke dadurch voneinander getrennt sind, dass Verknüpfungen zu bestimmten Tageszeiten stark benutzt werden, zu anderen Zeiten jedoch untätig sind. Sie können auch die Fähigkeit der Replikationsplanung zwischen zwei Standorten verwenden, um zu verhindern, dass Replikationsverkehr während bestimmter Phasen hoher Beanspruchung mit anderem Datenverkehr konkurriert. Wenn das ganze Netzwerk aus schnellen, zuverlässigen Verbindungen besteht, kann es als einzelner Standort angesehen werden.
Verbinden von Standorten mit Standortverknüpfungen Verbinden Sie nun die Standorte mit Standortverknüpfungen, um die physischen Verbindungen Ihres Netzwerks widerzuspiegeln. Ordnen Sie jeder Standortverknüpfung einen Namen zu. Standortverknüpfungen sind transitiv, d. h. wenn Standort A mit Standort B verbunden ist, und Standort B mit Standort C, geht die Konsistenzprüfung (KCC) davon aus, dass die Domänencontroller in Standort A mit den Domänencontrollern in Standort C kommunizieren können. Sie müssen nur dann eine Standortverknüpfung zwischen Standort A und Standort C erstellen, wenn tatsächlich eine eigene Netzwerkverbindung zwischen diesen beiden Standorten besteht.
Kapitel 9 Entwerfen der Active Directory-Struktur
283
Verzeichnen Sie für jede Standortverknüpfung, die Sie erstellen, folgende Informationen: ? Replikationsplan
Replikationsabfragen erfolgen nur während eines geplanten Zeitraums oder in Zeiträumen über ein Intervall von sieben Tagen. Der Standardplan einer Verknüpfung erlaubt die Durchführung der Replikationsabfragen während des ganzen 7-Tage-Intervalls. ? Replikationsintervall
Die Replikationsabfragen werden zum festgelegten Intervall durchgeführt, wenn der Plan die Replikation zulässt. Das Standardabfrageintervall beträgt 3 Stunden. ? Replikationstransport Wenn der Standort nur über SMTP erreichbar ist, wählen Sie den SMTPTransport aus. Wählen Sie andernfalls den TCP/IP-Transport aus. ? Verbindungskosten Ordnen Sie jeder Standortverknüpfung einen Kostenwert zu, um die verfügbare Bandbreite oder die Kosten der Bandbreite im Vergleich zu anderen Standortverknüpfungen wiederzugeben. Ein Backbone-Netzwerk, das viele Standorte verbindet, kann durch eine einzelne Standortverknüpfung wiedergegeben werden, die viele Standorte verknüpft. Hierfür ist kein Netz von Verknüpfungen zwischen Standorten erforderlich. So kann die Anzahl der zu erstellenden und zu verwaltenden Standortverknüpfungen reduziert werden, wenn viele Verknüpfungen dieselben Merkmale aufweisen. Abbildung 9.16 zeigt, wie ein Frame Relay-Netzwerk, das vier Büros verbindet, als eine einzelne Verknüpfung wiedergegeben werden kann, anstelle eines Netzes von sechs Einzelverknüpfungen.
284
Teil III
Active Directory-Infrastruktur
Abbildung 9.16
Einzelverknüpfung oder Netz von Verknüpfungen
Anmerkung Der Replikationsplan legt fest, wann ein Domänencontroller Replikationspartner nach Änderungen abfragt. Wenn ein Replikationszyklus abläuft, während das geplante Fenster schließt, wird die Replikation fortgesetzt, bis der aktuelle Zyklus abgeschlossen ist. Abbildung 9.17 zeigt die Standorttopologie des Unternehmens Reskit. Die Konvention für die Benennung von Standorten verwendet eine Kombination aus Landeskennzahl, dem Code des nächsten Flughafens und einer Identifikationsnummer. Die Standortverknüpfungsnamen enthalten auch die Namen der verbundenen Standorte.
Kapitel 9 Entwerfen der Active Directory-Struktur
Abbildung 9.17
285
Standorttopologie des Unternehmens Reskit
Tabelle 9.3 zeigt die Standorttopologie des Unternehmens Reskit. Tabelle 9.3 Standortverknüpfungsparameter für die Standorttopologie von Reskit Standortverknüpfung
Transport
Kosten
Abfrageintervall
Planung
SEA01-YYZ14
SMTP
100
30 Minuten
05:00 bis 09:00 UTC täglich
SEA01-CAI10
IP
100
30 Minuten
20:00 bis 04:00 UTC täglich
SEA01-LHR03 LHR03-CAI10
IP IP
25 50
1 Stunde 15 Minuten
(immer) 20:00 bis 04:00 UTC täglich
Die Replikation für die Verknüpfung zwischen der Fertigungsanlage und dem Hauptsitz ist so geplant, dass sie nur außerhalb der Bürozeiten durchgeführt wird. Auch zwischen der Bezirksfiliale und den anderen Standorten ist die Replikation so geplant, dass sie nur außerhalb der Bürozeiten durchgeführt wird. Da die Verknüpfungskosten zwischen der Bezirksfiliale und dem Betriebszentrum niedriger sind als die Kosten zwischen der Bezirksfiliale und dem Hauptsitz, versucht das KCC, die Verbindungen mit dem Replikationshub im Betriebszentrum vor den Verbindungen mit dem Replikationshub im Hauptsitz herzustellen. Die Planung für die Verknüpfung zwischen Hauptsitz und Betriebszentrum umspannt einen großen Zeitraum, verwendet jedoch längere Abfrageintervalle, um den Verkehr zu reduzieren.
Platzieren der Server in den Standorten Die Position der Server in der Standorttopologie wirkt sich direkt auf die Verfügbarkeit des Active Directory aus. Während der physischen Partitionierung des Domänenplans haben Sie einen grundlegenden Plan für die Positionierung der Domänencontroller erstellt. Mit der Platzierung von Servern in der Standorttopologie vervollständigen Sie diesen Plan nun in den Einzelheiten.
286
Teil III
Active Directory-Infrastruktur
Platzieren von zusätzlichen Domänencontrollern Bei der Partitionierung wurde entschieden, an welchen Standorten Domänencontroller für jede Domäne verfügbar sind, jedoch nicht, wie viele Domänencontroller an jedem Standorte für jede Domäne eingesetzt werden. Die Anzahl der Domänencontroller für eine bestimmte Domäne wird von zwei Faktoren bestimmt: der erforderlichen Fehlertoleranz und der nötigen Lastenverteilung. Verwenden Sie bei jeder Domäne die folgenden Richtlinien um festzulegen, ob weitere Domänencontroller notwendig sind. Erstellen Sie immer mindestens zwei Domänencontroller Selbst kleine Domänen mit wenigen Benutzern sollten mindestens zwei Domänencontroller erhalten, so dass es in der Domäne kein potentielles Einzelversagen gibt. Überlegen Sie bei jedem Standort, der nur einen Domänencontroller enthält, ob das WAN für ein Failover geeignet und vertrauenswürdig ist Fällt der einzige Domänencontroller aus, können die Clients des Standorts von anderen Domänencontrollern dieser Domäne bedient werden, die sich an anderen Standorten befinden. Wenn die Netzwerkverbindung jedoch unzuverlässig oder nur zeitweise verfügbar ist, ist das Netzwerk für ein Failover möglicherweise nicht geeignet. In diesem Fall sollten Sie an diesem Standort einen zweiten Domänencontroller für diese Domäne einrichten. Setzen Sie zusätzliche Domänencontroller für eine Domäne an einem Standort ein, um die Auslastung durch Clients besser zu verteilen Wie viele Clients ein bestimmter Server bedienen kann, hängt von der jeweiligen Arbeitsauslastung und der Hardwarekonfiguration des Servers ab. Die Clients wählen aus den verfügbaren Domänencontrollern eines Standorts zufällig einen aus, um die Auslastung gleichmäßig zu verteilen.
Positionieren von globalen Katalogservern Die Verfügbarkeit von globalen Katalogservern ist für das Verzeichnis von entscheidender Bedeutung. Ein globaler Katalogserver muss beispielsweise verfügbar sein, wenn eine Benutzeranmeldung auf Anfrage einer Domäne im einheitlichen Modus bearbeitet wird oder ein Benutzer sich mit einem UPN (User Principal Name) anmeldet. Anmerkung Bei der Bearbeitung einer Anmeldeanfrage für einen Benutzer einer Domäne im einheitlichen Modus sendet ein Domänencontroller eine Anfrage an einen globalen Katalogserver, um die Zugehörigkeit des Benutzers zu einer universellen Gruppe zu ermitteln. Da Gruppen der Zugriff auf eine Ressource explizit verweigert werden kann, ist eine genaue Kenntnis der Gruppenzugehörigkeit von Benutzern erforderlich, um die Zugriffssteuerung korrekt zuzuweisen. Wenn ein Domänencontroller einer Domäne im einheitlichen Modus bei einer Benutzeranmeldung keine Verbindung zu einem globalen Katalogserver herstellen kann, verweigert der Domänencontroller die Anmeldeanfrage. Im Allgemeinen sollte mindestens ein Domänencontroller an jedem Standort als globaler Katalogserver bestimmt werden. Verwenden Sie dieselben Failover- und Lastenverteilungsregeln wie bei einzelnen Domänencontrollern um festzustellen, ob an jedem Standort globale Katalogserver benötigt werden.
Kapitel 9 Entwerfen der Active Directory-Struktur
287
Anmerkung In Umgebungen mit nur einer Domäne sind für die Bearbeitung von Anmeldungen keine globalen Katalogserver erforderlich. Sie sollten dennoch globale Katalogserver festlegen und dabei wie vorgeschlagen vorgehen. Clients suchen für Suchanfragen immer noch globale Katalogserver. Darüber hinaus erleichtert die rechtzeitige Einrichtung globaler Katalogserver spätere Systemanpassungen, wenn weitere Domänen hinzugefügt werden.
Positionieren von DNS-Servern Die Verfügbarkeit von DNS wirkt sich direkt auf die Verfügbarkeit von Active Directory aus. Clients beziehen sich auf DNS, um Domänencontroller finden zu können, und Domänencontroller beziehen sich auf DNS, um andere Domänencontroller zu finden. Auch wenn Sie bereits DNS-Server in Ihrem Netzwerk eingerichtet haben, müssen Sie vielleicht die Anzahl und Platzierung der Server anpassen, um den Bedürfnissen Ihrer Active Directory-Clients und Domänencontroller zu entsprechen. Als allgemeine Regel gilt, mindestens einen DNS-Server an jedem Standort zu platzieren. Die DNS-Server im Standort sollten für die Locatoreinträge der Domänen in dem Standort autorisiert sein, so dass die Clients keine DNS-Server außerhalb des Standorts abfragen müssen, um Domänencontroller innerhalb des Standorts zu lokalisieren. Domänencontroller überprüfen ebenso in periodischen Abständen, ob die Einträge des primären Masterservers für jeden Locatoreintrag korrekt sind. Eine einfache Konfiguration, die allen Anforderungen entspricht, ist die Verwendung des in Active Directory integrierten DNS, die Speicherung der Locatoreinträge für die Domäne innerhalb der Domäne selbst und der Betrieb des DNSDienstes von Windows 2000 auf einem oder mehreren Domänencontrollern für jeden Standort, in dem diese Domänencontroller erscheinen.
Verteilen der Locatoreinträge für die Gesamtstruktur Jeder Domänencontroller in einer Gesamtstruktur registriert zwei Gruppen von Locatoreinträgen: eine Gruppe domänenspezifischer Einträge, die mit enden und eine Gruppe von Einträgen für die Gesamtstruktur, die mit _msdcs. enden. Die Einträge für die Gesamtstruktur sind für die Clients und Domänencontroller aus allen Teilen der Gesamtstruktur von Interesse. So sind z. B. die Locatoreinträge des Globalen Katalogs und die vom Replikationssystem verwendeten Einträge zur Lokalisierung der Replikationspartner in den Einträgen für die Gesamtstruktur enthalten.
288
Teil III
Active Directory-Infrastruktur
Jedes beliebige Paar von Domänencontrollern, das eine Replikation ausführt, auch ein Paar von Domänencontrollern derselben Domäne, muss in der Lage sein, einen Suchvorgang nach Locatoreinträgen für die Gesamtstruktur durchzuführen. Damit ein neu erstellter Domänencontroller an der Replikation teilnehmen kann, muss er seine Einträge für die Gesamtstruktur in DNS registrieren können, und andere Domänencontroller müssen nach diesen Einträgen suchen können. Aus diesem Grund ist es wichtig, die Locatoreinträge für die Gesamtstruktur für jeden DNSServer in jedem Standort verfügbar zu machen. Erstellen Sie, um dies zu ermöglichen, eine separate Zone mit dem Namen _msdcs., und replizieren Sie diese Zone an jeden DNS-Server. Wenn Sie eine einfache, Active Directory-integrierte Konfiguration verwenden, können Sie die primäre Kopie dieser Zone in der Gesamtstruktur-Stammdomäne zusammen mit der Zone speichern. Sie können dann unter Verwendung der Standard-DNS-Replikation die Zone an die DNS-Server außerhalb der Domäne replizieren. Es ist im Allgemeinen nicht ausreichend, die Zone an nur einen DNS-Server pro Standort zu replizieren. Wenn ein DNS-Server nicht über eine lokale Kopie der Zone _msdcs. verfügt, muss er DNS-Rekursion verwenden, um einen Namen in dieser Zone zu suchen. Wenn ein DNS-Server eine Rekursion durchführt, kontaktiert er einen DNS-Server, der für den Stamm des Namespace autorisiert ist (DNS-Stammserver), und verfolgt die Delegierungen in DNS von oben nach unten, bis er den fraglichen Eintrag findet. Wenn sich in dem Standort kein DNS-Stammserver befindet und die Verknüpfungen zwischen diesem Standort und anderen Standorten nicht verfügbar sind, kann der DNSServer die Rekursion nicht ausführen. Aus diesem Grund ist er nicht in der Lage, einen DNS-Server zu finden, der für _msdcs. autorisiert ist, selbst wenn sich solche DNS-Server im selben Standort befinden.
DNS-Clientkonfiguration Clients und Domänencontroller sollten mit mindestens zwei DNS-Server-IPAdressen konfiguriert sein: einem bevorzugten lokalen Server und einem alternativen Server. Der alternative Server kann sich im lokalen oder einem Remotestandort befinden, wenn Ihr Netzwerk für ein Failover geeignet ist.
Ändern des Gesamtstrukturplans nach der Einrichtung Eine Standorttopologie der Gesamtstruktur ist sehr flexibel und auch nach der ursprünglichen Einrichtung einfach zu ändern. Denken Sie, wenn sich Ihr physisches Netzwerk verändert, auch an die Evaluierung und Optimierung Ihrer Standorttopologie. Wenn Änderungen am Netzwerk die Bandbreite oder Zuverlässigkeit erhöhen oder verringern, denken Sie daran, Standorte und Standortverknüpfungen zu erstellen und zu entfernen, und stellen Sie sicher, dass die Parameter der Standortverknüpfung die Replikationsverzögerung gegenüber der Bandbreitennutzung ausgleichen können.
Kapitel 9 Entwerfen der Active Directory-Struktur
289
Bevor Sie eine Änderung an Ihrer Standorttopologie ausführen, planen Sie die Auswirkung der Änderung auf Verfügbarkeit, Replikationsverzögerung und Replikationsbandbreite, und überlegen Sie, was dies für den Endbenutzer bedeutet. Da die Standorttopologie im Konfigurationscontainer gespeichert ist, werden Änderungen an ihr an jeden Domänencontroller der Gesamtstruktur repliziert. Häufiges Ändern der Standorttopologie verursacht einen stark erhöhten Replikationsverkehr, so dass Änderungen besser in wenigen umfangreichen als in vielen kleinen Eingriffen durchgeführt werden sollten. Je nach Beschaffenheit der Replikationstopologie und -planung, kann es lange dauern, bis die Änderungen der Standorttopologie jeden Domänencontroller der Gesamtstruktur erreichen.
Planungstaskliste für das Entwerfen der Active Directory-Struktur Verwenden Sie Tabelle 9.4 als Checkliste, um sicherzugehen, dass alle notwendigen, primären Tasks für das Entwerfen einer Active Directory-Struktur ausgeführt werden. Tabelle 9.4
Planungstaskliste für Active Directory
Task
Entsprechendes Kapitel
Festlegen der Anzahl von Gesamtstrukturen. Erstellen einer Revisionskontrollrichtlinie für jede Gesamtstruktur.
Erstellen eines Gesamtstrukturplans
Festlegen der Anzahl der Domänen in jeder Gesamtstruktur.
Erstellen eines Domänenplans
Wählen einer Stammdomäne für die Gesamtstruktur.
Erstellen eines Domänenplans
Zuweisen eines DNS-Namens zu jeder Domäne.
Erstellen eines Domänenplans
Planen der Einrichtung von DNS-Servern. Optimieren der Authentifizierung mit verknüpften Vertrauensstellungen.
Erstellen eines Domänenplans Erstellen eines Domänenplans
Erstellen von Organisationseinheiten zur Delegierung von Administrationsaufgaben.
Erstellen eines Plans für Organisationseinheiten
Erstellen von Organisationseinheiten, um Objekte zu verbergen.
Erstellen eines Plans für Organisationseinheiten
Erstellen von Organisationseinheiten für Gruppenrichtlinien.
Erstellen eines Plans für Organisationseinheiten
Definieren von Standorten und Standortverknüpfungen. Platzieren von Servern in Standorten.
Erstellen eines Standorttopologieplans
Erstellen eines Gesamtstrukturplans
Erstellen eines Standorttopologieplans
290
Teil III
Active Directory-Infrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
289
K A P I T E L
1 0
Bestimmen der Strategien für die Domänenmigration
Die erfolgreiche Migration von Microsoft ® Windows NT ® 3.51 und Microsoft® Windows NT 4.0 zu Microsoft® Windows® 2000 erfordert eine sorgfältige Analyse Ihres derzeitigen Systems und eine ausführliche Planung. Die mit dem logischen Entwurf der Aktualisierung befassten Netzwerkentwickler müssen sich mit den empfohlenen Konfigurationen und Verfahren, die in diesem Kapitel beschrieben werden, vertraut machen. Diese Empfehlungen sind auch auf kleinere Organisationen anwendbar, das folgende Kapitel bezieht sich jedoch vorwiegend auf Organisationen mit mindestens 2.500 PCs. Da dieses Kapitel sich vor allem mit dem Planen der Aktualisierung und Umstrukturierung von Domänen sowie der Planung des Microsoft® Active Directory™ Namespace durch Aktualisieren von Windows NT-Domänen beschäftigt, sollte die Planung für Ihren Active Directory-Namespace bereits möglichst abgeschlossen sein. Darüber hinaus sollten Sie für die Arbeit mit diesem Kapitel mit folgenden Punkten vertraut sein: den Funktionen, die in Windows 2000 eingesetzt werden können, den Zielvorgaben Ihrer Organisation, dem aktuellen Domänenmodell der Organisation sowie dem Soft- und Hardwareinventar der derzeitigen Netzwerkkonfiguration. Inhalt dieses Kapitels Beginn des Migrationsplanungsprozesses 290 Planen der Aktualisierung von Domänen 299 Planen der Umstrukturierung von Domänen 328 Tools für die Domänenmigration 342 Planungstaskliste für die Migration 345 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Projektwegweiser für die Migration ? Überarbeitetes Planungsdokument für die Planung des Active Directory-
Namespace ? Plan für die Domänenmigration Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Active Directory, zu DNS (Domain Name System) zur Namespaceplanung, Standorttopologie oder zu Gruppen finden Sie im Kapitel „Entwerfen der Active Directory-Struktur“ in diesem Buch.
290
Teil III
Active Directory-Infrastruktur ? Weitere Informationen zum Automatisieren der Installation von Windows 2000
Server finden Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“. ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 Professional finden Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“.
Beginn des Migrationsplanungsprozesses Vor der eigentlichen Aktualisierung oder Umstrukturierung einer Domäne sollten Sie sich eingehend mit dem Planungsprozess befassen. Anmerkung Die Verfahren und Vorschläge in diesem Kapitel basieren auf der Aktualisierung nicht duplizierter Computer. Die Aktualisierung auf Windows 2000 Server wird nur auf Computern unterstützt, auf denen Windows NT Server 3.51 oder Windows NT Server 4.0 installiert ist. Ältere Versionen können nicht auf Windows 2000 Server aktualisiert werden. In diesem Kapitel bezeichnet der Begriff „Windows NT“ sowohl die Version 3.51 als auch die Version 4.0 von Windows NT Server.
Phasen im Planungsprozess Der Planungsprozess für die Migration von Domänen besteht aus folgenden Phasen: 1. Entwerfen der Windows 2000-Gesamtstruktur. Weitere Informationen zum Entwurf der Windows 2000-Gesamtstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. 2. Planen der Migration von Windows NT-Domänen zu nativen Windows 2000Domänen und Einrichten neuer Funktionen von Windows 2000 Server. 3. Planen der Umstrukturierung der Windows 2000-Domänen. Diese Phase ist möglicherweise nicht oder erst später erforderlich, entsprechend den Anforderungen Ihrer Organisation. Weitere Informationen über das Umstrukturieren von Domänen finden Sie unter „Planen der Umstrukturierung von Domänen“ weiter unten in diesem Kapitel. Abbildung 10.1 zeigt die primären Schritte, die für die Migration zu Windows 2000 Server unternommen werden müssen. Dieses Kapitel behandelt jeden dieser Schritte ausführlich, von der Anfangsplanung bis zu den spezifischen Tasks für die Aktualisierung und Umstrukturierung von Domänen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
Abbildung 10.1
291
Flussdiagramm des Migrationsplans
Bestimmen des Migrationswegweisers Es ist in jedem Planungsprozess normal, wichtige Entscheidungen vorzunehmen und zu korrigieren. Die Auswahlentscheidungen, die Sie während der Planung der Migration treffen, können dazu führen, dass der Einsatz einiger Systemfunktionen auf einen späteren Zeitpunkt verschoben wird. Beim Erstellen des Migrationswegweisers sollten Sie zuerst Ihre Migrationsziele erkennen, nach Prioritäten ordnen und die Auswirkungen der getroffenen Auswahl überdenken. Bei der Entscheidung, zu Windows 2000 zu migrieren, haben Sie sicher bestimmte Funktionen und Vorteile im Sinn, die Sie unbedingt einsetzen möchten. Der folgende Abschnitt zeigt einige typische Migrationsziele und erklärt die Schlüsselkonzepte und ihre Auswirkungen auf diese Ziele. Nach Abschluss dieses Abschnitts sollten Sie über ausreichende Informationen verfügen, um den Wegweiser für Ihr Migrationsprojekt zu vervollständigen.
Migrationsziele Die Migrationsplanung sollte vor allem Ihre primären Migrationsziele reflektieren. Diese Ziele können geschäftsorientiert oder auf die Migration selbst bezogen sein. In den meisten Fällen sind geschäftliche Ziele ausschlaggebend für die Entscheidung zur Migration. Solche Ziele sind beispielsweise eine größere Skalierbarkeit und verbesserte Sicherheit. Geschäftsorientierte Ziele sind maßgeblich für die Auswahl von Implementierungen und können zur Bewertung der möglichen Vorund Nachteile herangezogen werden. Meist wird eine Art Kompatibilitätstabelle erstellt, die in späteren Stadien zur Festlegung derjenigen Technologien und Produktfunktionen verwendet wird, die schließlich implementiert werden. Mit Hilfe dieser Technologien und Funktionen werden schließlich die Geschäftsziele erreicht. Migrationsorientierte Ziele betreffen gegebenenfalls Ihre Bedenken gegenüber der Einrichtung, wie beispielsweise potentielle Unterbrechungen der Produktionssysteme, die allgemeine Systemleistung sowie die Erhöhung der durchschnittlichen Zeit zwischen dem Auftreten von Fehlern. Diese Ziele können bestimmen, wie Testpläne und Akzeptanzkriterien zu formulieren sind. Migrationsorientierte Ziele entstehen nicht aus der Anforderung, bestimmte technische Funktionen von Windows 2000 Server zu implementieren, sondern sind eher auf den Migrationsprozess selbst bezogen. Einige solcher Ziele werden in Tabelle 10.1 aufgelistet.
292
Teil III
Active Directory-Infrastruktur Tabelle 10.1
Migrationsorientierte Ziele
Ziele
Auswirkungen auf den Migrationsprozess
Minimieren der Unterbrechungen in der Produktionsumgebung
Der Benutzerzugriff auf Daten, Ressourcen und Anwendungen muss während und nach der Migration verwaltet werden. Die für die Benutzer vertraute Umgebung muss während und nach der Migration ebenfalls verwaltet werden. Der Benutzerzugriff auf Daten, Ressourcen und Anwendungen muss während und nach der Migration verwaltet werden. Die für die Benutzer vertraute Umgebung muss während und nach der Migration ebenfalls verwaltet werden. Der Benutzerzugriff auf Daten, Ressourcen und Anwendungen muss während und nach der Migration verwaltet werden.
Verwalten der Systemleistung
Durchschnittliche Zeit zwischen dem Auftreten von Fehlern
Die für die Benutzer vertraute Umgebung muss während und nach der Migration ebenfalls verwaltet werden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
293
(Fortsetzung) Ziele
Auswirkungen auf den Migrationsprozess
Minimieren des Verwaltungsaufwands
Es ist eine nahtlose Migration von Benutzerkonten erforderlich. Benutzer müssen gegebenenfalls ihre Kennwörter beibehalten. Administratoren sollten die Clientcomputer möglichst selten aufsuchen müssen. Die Anzahl der neuen Berechtigungen für Ressourcen sollte möglichst gering sein. Das Unternehmen benötigt den frühestmöglichen Zugang zu Schlüsselfunktionen der neuen Plattform.
Maximieren der ersten Erfolge
Verwalten der Systemsicherheit
Die Auswirkungen auf die Sicherheitsrichtlinie sollten möglichst gering sein.
Wenn Sie die Windows 2000-Technologien optimal einsetzen und Ihre migrationsorientierten Ziele vollständig realisieren möchten, wird empfohlen, die Windows 2000-Domänen möglichst bald in den einheitlichen Modus zu versetzen. Abhängig von der bestehenden Netzwerkkonfiguration können Sie jedoch möglicherweise erst in den einheitlichen Modus wechseln, wenn Sie alle Windows NTReservedomänencontroller (BDCs, Backup Domain Controllers) aus der Domäne entfernt haben Eine Definition des einheitlichen Modus finden Sie unter „Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus“ weiter unten in diesem Kapitel. Es ist auch vor der Aktualisierung der Domäneninfrastruktur möglich, Windows 2000-Clients und Mitgliedsserver einzusetzen. Siehe auch „Aktualisieren von Clients und Servern“ weiter unten in diesem Kapitel.
Migrationskonzepte Sie haben zwei Möglichkeiten, die gewünschte Infrastruktur zu erhalten: ? Aktualisierung von Domänen - manchmal auch als „Aktualisierung an Ort und
Stelle“ oder einfach „Aktualisierung“ bezeichnet. Die Aktualisierung von Domänen ist der Prozess der Aktualisierung des primären Domänencontrollers (PDC, Primary Domain Controller) und der Reservedomänencontroller einer Windows NT-Domäne von Windows NT Server zu Windows 2000 Server. ? Umstrukturierung von Domänen - manchmal auch als „Domänenkonsolidierung“bezeichnet. Die Umstrukturierung von Domänen ist ein kompletter Neuentwurf der Domänenstruktur, der als Ergebnis meist weniger, größere Domänen aufweist. Diese Möglichkeit ist geeignet, wenn Sie mit der derzeitigen Domänenstruktur unzufrieden sind oder eine Aktualisierung nicht ohne ernsthafte Auswirkungen auf die Produktionsumgebung durchführen könnten.
294
Teil III
Active Directory-Infrastruktur
Aktualisierung und Umstrukturierung schließen sich gegenseitig nicht aus – manche Organisationen können zuerst aktualisieren und dann umstrukturieren, während andere gleich mit der Umstrukturierung beginnen. Beide Prozesse erfordern jedoch gründliche Überlegung und Planung, bevor sie implementiert werden.
Aktualisieren von Clients und Servern Der Schwerpunkt dieses Kapitels liegt zwar auf der Aktualisierung und Umstrukturierung von Domänen, dies bedeutet jedoch nicht, dass Sie den Einsatz von Windows 2000-Clients und -Mitgliedsservern verschieben sollen, bis die Domäneninfrastruktur aktualisiert ist. Sie können Windows 2000-Clients und -Server auch in Ihrer bestehenden Windows NT-Umgebung verwenden und eine ganze Reihe von Vorteilen der neuen Technologien nutzen. Tabelle 10.2 führt einige der Vorteile auf, die durch die einfache Aktualisierung von Clients und Servern auf Windows 2000 gewonnen werden. Tabelle 10.2
Vorteile der einfachen Aktualisierung von Clients oder Servern
Vorteil
Funktionen
Verwaltbarkeit
Plug & Play Hardware-Assistent mit Geräte-Manager Unterstützung von USB (Universal Serial Bus) Microsoft Management Console Neues Sicherungsdienstprogramm
Setup- und Fehlerbehandlungstools
Unterstützung von Dateisystemen
Anwendungsdienste
Freigeben und Veröffentlichen von Informationen
Die automatische Installation von Anwendungen erlaubt es dem Administrator, eine Gruppe von Anwendungen zu spezifizieren, die für einen Benutzer oder eine Benutzergruppe immer verfügbar ist. Wenn eine angeforderte Anwendung nicht verfügbar ist, wird sie automatisch im System installiert. Die Erweiterungen von NTFS 5.0 beinhalten die Unterstützung für Datenträgerkontingente, die Fähigkeit zur Defragmentierung von Verzeichnisstrukturen und komprimierte Netzwerk-E/A. FAT32 Win32®-Treibermodell DirectX® 5.0 Windows Scripting Host Mit dem verteilten Dateisystem (Distributed File System, DFS) können Benutzer Daten im Netzwerk besser ermitteln und verwalten. Integrierte Internet-Shell
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
295
(Fortsetzung) Vorteil
Funktionen
Druckserverdienste
Vereinfachte Druckersuche durch Active Directory Drucken aus dem Internet
Skalierbarkeit und Verfügbarkeit
Verbesserte Unterstützung von symmetrischen Multiprozessoren
Sicherheit
Verschlüsselndes Dateisystem
Überlegungen zur Migration von Domänen Dieser Abschnitt führt Sie durch die wichtigen Planungs- und Vorbereitungsphasen, die für jede Migration erforderlich sind. Ihr eigener Planungsprozess bestimmt die genaue Vorgehensweise, die folgenden Abschnitte heben jedoch die Bereiche hervor, die zu berücksichtigen sind.
Entscheidungen zur Aktualisierung Bedenken Sie folgende Fragen, wenn Sie entscheiden, wie die Domänen aktualisiert werden sollen. ? Ist eine Aktualisierung hier wirklich geeignet?
Die Antwort lautet wahrscheinlich „ja“, wenn einige oder alle der folgenden Bedingungen zutreffen: ? Sie sind mit Ihrer derzeitigen Domänenstruktur zufrieden. ? Sie sind mit dem Großteil Ihrer derzeitigen Domänenstruktur zufrieden und
können eine Migration in zwei Phasen durchführen: Aktualisieren zu Windows 2000 und anschließende Umstrukturierung zur Behebung eventueller Probleme. ? Die Migration kann ohne Auswirkungen auf Ihre Produktionsumgebung durchgeführt werden. ? In welcher Reihenfolge muss die Aktualisierung durchgeführt werden?
Die Antwort hängt davon ab, ob die Reihenfolge der Aktualisierung von Domänencontrollern oder die Aktualisierung von Domänen gemeint ist. ? In welcher Reihenfolge muss die Aktualisierung der Domänencontroller durchgeführt werden? Innerhalb einer Domäne ist die Aktualisierungsreihenfolge ganz einfach. Der PDC muss zuerst aktualisiert werden. Achten Sie auf mögliche Komplikationen, wie beispielsweise die Aktualisierung des LAN Manager-Replikationsdienstes in der Domäne, während sich das Exportverzeichnis auf dem PDC befindet. In diesem Fall müssen Sie das Exportverzeichnis auf einen anderen Host verlegen, bevor Sie den PDC aktualisieren. Weitere Informationen zur LAN Manager-Replikation finden Sie unter „Prozess für den LAN Manager-Replikationsdienst“ weiter unten in diesem Kapitel.
296
Teil III
Active Directory-Infrastruktur ? In welcher Reihenfolge muss die Aktualisierung von Domänen durchgeführt
werden? Die Administration und Delegierung wird vereinfacht, wenn Sie zuerst die Kontendomänen aktualisieren. Anschließend müssen die Ressourcendomänen aktualisiert werden. ? In welcher Reihenfolge muss die Aktualisierung der Server und Clients durchgeführt werden? Server und Clients können jederzeit aktualisiert werden. Dies ist von der Windows 2000-Infrastruktur unabhängig. ? Wann müssen die Domänen in den einheitlichen Modus versetzt werden?
Sie sollten die Domänen möglichst bald umstellen, um den vollen Funktionsumfang von Windows 2000 nutzen zu können, wie z. B. die bessere Skalierbarkeit des Verzeichnisses, universelle und domäneninterne lokale Gruppen und die Verschachtelung von Gruppen. Anmerkung Die Domänen können erst dann in den einheitlichen Modus wechseln, wenn alle Domänencontroller aktualisiert sind.
Entscheidungen zur Umstrukturierung Bedenken Sie folgende Fragen, wenn Sie entscheiden, wie die Domänen umstrukturiert werden sollen. ? Ist eine Umstrukturierung erforderlich?
Die Antwort lautet wahrscheinlich „ja“, wenn einige oder alle der folgenden Bedingungen zutreffen. ? Sie sind mit dem Großteil Ihrer derzeitigen Domänenstruktur zufrieden und
können eine Migration in zwei Phasen durchführen: Aktualisieren auf Windows 2000 und anschließende Umstrukturierung zur Behebung eventuellerProbleme. ? Sie sind mit Ihrer derzeitigen Domänenstruktur nicht zufrieden. ? Die Migration kann nicht ohne Auswirkungen auf Ihre Produktionsumgebung durchgeführt werden. ? Wann ist eine Umstrukturierung erforderlich? Die Antwort hängt davon ab, warum Sie eine Umstrukturierung durchführen. ? Wenn Sie die Anforderungen an eine Migration mit einer Migration in zwei
Phasen erfüllen können, müssen Sie nach der Aktualisierung eine Umstrukturierung vornehmen. ? Wenn Sie der Meinung sind, dass Ihre Domänenstruktur nicht erhalten werden kann (wenn Sie beispielsweise die Infrastruktur Ihrer Verzeichnisdienste neu entwerfen müssen, um die erweiterte Funktionalität von Active Directory nutzen zu können), muss die Umstrukturierung bereits vor dem Migrationsprozess erfolgen. ? Wenn sich Auswirkungen auf die Produktionsumgebung nicht vermeiden lassen, muss die Umstrukturierung ebenfalls vor dem Migrationsprozess erfolgen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
297
Anmerkung Die Umstrukturierung sollte nach Abschluss der Aktualisierung und vor der Verwendung von Funktionen (wie der Einrichtung von Anwendungen oder neuen Gruppenrichtlinien) erfolgen. Wenn die Umstrukturierung erst erfolgt, wenn bereits einige dieser Funktionen verwendet wurden, kann dies mehr Schwierigkeiten bereiten als eine Umstrukturierung vor Beginn des Migrationsprozesses.
Anwendungskompatibilität Nachdem Sie entschieden haben, wie die Domänenmigration durchgeführt werden soll, ist es nun wichtig festzustellen, ob Ihre Geschäftsanwendungen mit Windows 2000 kompatibel sind. Dieser Schritt ist entscheidend für den Erfolg der Einrichtung und muss erfolgen, bevor Sie über das Wie und Wann der Migration Ihrer Anwendungsserver entscheiden. Wenn Sie Ihre strategischen Anwendungen ermittelt haben, stellen Sie sicher, dass sie in Ihren Testplan integriert werden. Alle strategischen Anwendungen müssen vor Beginn des Migrationsprozesses getestet werden. Weitere Informationen über das Migrieren von Anwendungsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in diesem Buch. Im Folgenden sind einige wichtige Fragen zu Ihren Anwendungen aufgeführt: ? Wird die Anwendung unter Windows 2000 ausgeführt?
Lautet die Antwort „nein“, kann sich das auf Ihre Aktualisierungspläne auswirken. ? Muss die Anwendung auf einem Reservedomänencontroller laufen?
Lautet die Antwort „ja“, und die Anwendung kann nicht unter Windows 2000 ausgeführt werden, wird es schwierig werden, die aktualisierte Domäne in den einheitlichen Modus umzuschalten. ? Haben Sie Kontakt zu den Anbietern Ihrer Anwendungssoftware? Wenn Probleme beim Ausführen der Anwendung unter Windows 2000 auftreten, sollten Sie wissen, welche Unterstützung der betreffende Softwarevertreiber für Windows 2000 anbietet. ? Falls die Anwendung intern entwickelt wurde: haben Sie vor, eine Windows 2000-Version herzustellen? Wenn die Anwendung nicht unter Windows 2000 ausgeführt werden kann, sollten Pläne für die mögliche Unterstützung von Windows 2000 bereit liegen. ? Welche Betriebssysteme verwenden Sie auf den Clients und Servern?
Die Antwort auf diese Frage hat Auswirkungen auf den Migrationspfad. Manche Software-Aktualisierungspfade zu Windows 2000 werden nicht unterstützt (z B. von Windows NT 3.5). Anmerkung Möglicherweise möchten Sie die Windows NT 3.51-Server in Ihren Ressourcendomänen nicht behalten, da Windows NT 3.51 keine Zugehörigkeit zu universellen oder domäneninternen lokalen Gruppen unterstützt. Windows NT 3.51 erkennt nicht die Fähigkeit zum SID-Verlauf für Benutzerkonten, die zwischen Windows 2000-Domänen verschoben werden.
298
Teil III
Active Directory-Infrastruktur
Die Antworten auf diese Fragen helfen Ihnen bei der Ausarbeitung eines Testplans für die wichtigen Testfälle. Sie helfen Ihnen auch bei der Entwicklung einer Risikobewertung des Projekts, die die Auswirkungen von fehlerhaft arbeitenden Anwendungen aufzeichnet, einschließlich Vorschlägen zur Schadensbegrenzung. Weitere Informationen über das Testen Ihrer Geschäftsanwendungen finden Sie im Kapitel „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Anmerkung Einige Anwendungsdienste, die für Windows NT entworfen wurden, wie beispielsweise Windows NT Routing und RAS (RRAS), nehmen nicht authentifizierte Zugriffe auf Daten in Benutzerkonten an. Die Standardsicherheitsberechtigungen von Active Directory erlauben jedoch nur authentifizierten Zugriff auf Kontoinformationen. Der Assistent zum Installieren von Active Directory ermöglicht es Ihnen, bei der Konfiguration der Active Directory-Sicherheit durch das Gewähren zusätzlicher Berechtigungen die Kompatibilität herzustellen. Wenn Sie jedoch meinen, die Lockerung der Active Directory-Sicherheitsprinzpien durch Zulassung von RRAS-Servern könnte Ihre Sicherheitsrichtlinie gefährden, müssen Sie diese Server zuerst aktualisieren. Wenn Sie den LAN Manager-Replikationsdienst für das Replizieren von Skripts innerhalb der Domäne verwenden, müssen Sie den Server, auf dem sich das Exportverzeichnis befindet, zuletzt aktualisieren.
Anforderungen an die Interoperabilität Im nächsten Schritt ist zu überlegen, in welchem Maße Ihr Windows 2000System mit den beiden vorhandenen Windows-Systemen und den Betriebssystemen von Drittanbietern interoperabel sein soll. Wenn Sie eine heterogene Umgebung erhalten möchten, die auch andere Netzwerksysteme als Windows 2000 enthält, müssen Sie festlegen, welche bereits vorhandenen Anwendungen und Dienste behalten oder aktualisiert werden müssen, um plattformübergreifend eine zufriedenstellende Funktionalität zu gewährleisten. Die Überlegungen zur Interoperabilität haben zwei Aspekte: ? Welche Anforderungen an die Interoperabilität stellt das Betreiben einer
heterogenen Umgebung? Dies umfasst den Grad, bis zu dem die migrierte Umgebung mit anderen Betriebssystemen und Netzwerkdiensten zusammenarbeiten muss. Im Folgenden sind einige wichtige Überlegungen angeführt: ? Die Notwendigkeit, Clients mit älteren Windows-Versionen zu behalten. Das
bedeutet, dass auch Dienste wie WINS (Windows Internet Name Service) zur Unterstützung der Namensauflösung erhalten bleiben müssen. ? Die Notwendigkeit, Domänen mit älteren Windows-Versionen zu behalten. Das bedeutet, dass Sie explizite Vertrauensstellungen verwalten und warten müssen. ? Die Notwendigkeit, mit Betriebssystemen von Drittanbietern zusammenzuarbeiten, wie beispielsweise UNIX. Dies könnte ein Grund für eine rasche Migration sein, um überall die Verwendung der Kerberos-Authentifizierung zu ermöglichen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
299
? Welches sind die Anforderungen an die Interoperabilität hinsichtlich der
Quellumgebung? (Von welcher Umgebung aus erfolgt die Migration?) Die Verwaltung einer Übergangsumgebung kann eine komplexe Aufgabe sein und erfordert sorgfältige Planung, wie in den folgenden Abschnitten beschrieben.
Erforderlicher Speicherplatz für Active Directory-Objekte Bereits zu Beginn der Migrationsplanung sollten Sie bedenken, wie viel Speicherplatz für die Speicherung der Active Directory-Objekte notwendig sein wird. Der gesamte erforderliche Speicherplatz hängt von der Größe Ihrer Windows 2000Gesamtstruktur ab. Weitere Informationen zum Entwurf dieser Gesamtstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. Tabelle 10.3 zeigt den erforderlichen Speicherplatz für jeden Active DirectoryObjekttyp. Tabelle 10.3
Erforderlicher Speicherplatz für Active Directory-Objekte
Objekt
Erforderlicher Speicherplatz (in Byte)
Benutzerobjekt OU- (Organisationseinheit) Objekte
3,6 K 1,1 K
Attribute (10 Byte) Zertifikatsanforderungen für öffentliche Schlüssel (X.509 v3-Zertifikat von Windows 2000-Zertifikatsdienste)
100 1,7 K
Planen der Aktualisierung von Domänen Nachdem Sie alle Aspekte der Domänenmigration berücksichtigt und einen Plan zur Behebung eventueller Probleme erstellt haben, können Sie mit der Planung für den eigentlichen Aktualisierungsprozess beginnen. Anmerkung Vervollständigen Sie den Entwurf für die Windows 2000-Gesamtstruktur, bevor Sie die Aktualisierung planen. Weitere Informationen zum Entwurf dieser Gesamtstruktur find en Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. Die Aktualisierung von Domänen ist der Prozess der Aktualisierung des primären Domänencontrollers (PDC) und der Reservedomänencontroller (BDCs) einer Windows NT-Domäne von Windows NT Server zu Windows 2000 Server. Eine Aktualisierung ist die einfachste Migrationsmethode mit dem geringsten Risiko, da die meisten Systemeinstellungen, Voreinstellungen und Programminstallationen beibehalten werden. Da Windows 2000 Server für die Unterstützung gemischter Netzwerke mit voller Interoperabilität entwickelt wurde, müssen Sie nicht alle Server in einer Domäne aktualisieren, um die Windows 2000-Funktionen nutzen zu können. Betrachten Sie die Aktualisierung des primären Domänencontrollers (PDC) einfach als ersten Schritt im Prozess. Mit der Aktualisierung der Reservedomänencontroller (BDCs) und schließlich der Mitgliedsserver erhalten Sie zusätzliche, ergänzende Vorteile.
300
Teil III
Active Directory-Infrastruktur
Da eine Migration eher die Aktualisierung des Betriebssystems betrifft, als eine Neuinstallation, bleiben die vorhandene Domänenstruktur, die Benutzer und Gruppen erhalten, während die Windows 2000-Funktionen aktiviert werden. Nach Abschluss der Aktualisierung und mit vollem Zugang zu den erweiterten Verwaltungstools und -funktionen von Windows 2000 erwägen Sie möglicherweise eine Umstrukturierung Ihrer Domänen. Bedenken Sie jedoch, dass dies keine leichte Aufgabe ist. Wenn eines Ihrer Ziele eine strukturelle Veränderung ist, sollten Sie die Umstrukturierung von Domänen eher zu Beginn der Migrationsphase in Erwägung ziehen, als nach einer Aktualisierung. Wägen Sie jedoch beide Optionen sorgfältig ab, bevor Sie anfangen. Mit der Aktualisierung von Domänen erreichen Sie Folgendes: ? Der Zugang zu Windows NT-Domänen bleibt durch die vorhandenen
Windows NT-Vertrauensstellungen erhalten. ? Der Zugang zu Windows NT-Servern und zu Windows 95- und Windows 98-
Clients bleibt erhalten. Dieser Zugang ist für die Benutzer an den Clientcomputern transparent. ? Die Kennwörter der Benutzerkonten werden beibehalten, so dass die Benutzer sich mit demselben Kennwort bei derselben Kontendomäne anmelden können. Wenn Sie eine Aktualisierung planen, ist Folgendes zu tun: ? Bestimmen der unterstützten Aktualisierungspfade. ? Überprüfen der vorhandenen Domänenstruktur. ? Entwickeln eines Wiederherstellungsplans. ? Bestimmen der Reihenfolge für die Aktualisierung von Domänen. ? Bestimmen der Strategie für die Aktualisierung von Domänencontrollern. ? Bestimmen des Zeitpunkts für das Umschalten in den einheitlichen Modus.
Anmerkung Sie müssen Ihre Serverinfrastruktur nicht vor den Clients auf Windows 2000 Server aktualisieren. Sie können Server und Mitgliedsserver sogar vor den Domänencontrollern aktualisieren, haben jedoch keinen Zugriff auf die Funktionen von Active Directory, bevor Sie nicht Ihre Domänencontroller aktualisiert haben.
Bestimmen der unterstützten Aktualisierungspfade Wenn Sie die Aktualisierung planen, müssen Sie festlegen, ob Ihr aktuelles Betriebssystem direkt zu Windows 2000 aktualisiert werden kann. Tabelle 10.4 enthält eine Liste der zur Zeit unterstützten Aktualisierungspfade. Stellen Sie fest, dass eine direkte Aktualisierung des aktuellen Betriebssytems nicht unterstützt wird, müssen Sie zuerst zu einem aktuellen Betriebssystem wie Windows 95 oder Windows 98 für Clients oder Windows NT für Clients und Server aktualisieren. Vergewissern Sie sich, dass dieser Zwischenschritt in Ihrem Aktualisierungsplan berücksichtigt wird. Weitere Informationen über das Aktualisieren von Mitgliedsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in diesem Buch.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration Tabelle 10.4
301
Unterstützte Aktualisierungspfade
Betriebssystem
Aktualisierung auf Aktualisierung auf Windows 2000 Professional Windows 2000 Server
Windows 3.x Windows NT 3.1
Nein Nein
Nein Nein
Windows NT Workstation 3.51 Windows NT Server 3.51
Ja Nein
Nein Ja
Windows 95 und Windows 98 Windows NT Workstation 4.0 Windows NT Server 4.0
Ja Ja Nein
Nein Nein Ja
Überprüfen der vorhandenen Domänenstruktur Nachdem Sie sich vergewissert haben, dass Ihr aktuelles Betriebssystem auf Windows 2000 aktualisiert werden kann, liegt Ihre nächste Aufgabe darin, die vorhandene Domänenstruktur zu überprüfen. Betrachten Sie, um die erörterten Konzepte zu verstehen, die in Abbildung 10.2 gezeigte Domänenstruktur von Windows NT. Dieses Beispiel basiert auf einem Domänenentwurf, der in vielen Organisationen zu finden ist: ein Domänenmodell mit mehreren Masterdomänen. Im folgenden Beispiel beginnt die Aktualisierung mit der Kontendomäne, üblicherweise die erste Domäne, die aktualisiert wird.
Abbildung 10.2 Beispiel für ein Domänenmodell mit mehreren Masterdomänen
Bedenken Sie beim Überprüfen Ihrer vorhandenen Windows NT-Domänenstruktur die folgenden Punkte: ? Welcher Art ist Ihre vorhandene Domänenstruktur?
Die vorhandene Domänenstruktur hilft Ihnen beim Festlegen des Aktualisierungsplans für die Domänen.
302
Teil III
Active Directory-Infrastruktur ? Gibt es bereits vorhandene Vertrauensstellungen (uni- oder bidirektionale) und
Domänen, die Sie nicht in die Gesamtstruktur einbinden möchten? Diese Windows NT Domänen verwenden explizite, unidirektionale Vertrauensstellungen, um die Verbindung mit der Gesamtstruktur herzustellen. Domänen, die auf Windows 2000 Server aktualisiert wurden, und als Bestandteil derselben Gesamtstruktur vorgesehen sind, werden durch transitive, bidirektionale Vertrauensstellungen verbunden. Aus diesem Grund ist es wichtig zu wissen, welche Vertrauensstellungen explizit bleiben müssen. Beachten Sie, dass alle vor der Aktualisierung vorhandenen Vertrauensstellungen erhalten werden. ? Über wie viele Domänencontroller verfügen Sie und wo innerhalb jeder Domäne sind sie positioniert? Diese Informationen helfen Ihnen einzuschätzen, wie groß der Aufwand für die Aktualisierung einer vorhandenen Domäne ist. ? Welche DNS-Namespaces sind in Ihrer Organisation vorhanden?
Da Sie Domänennamen in Windows 2000 nicht umbenennen können, müssen Sie die in Ihrer Organisation vorhandenen und zusätzlich erlaubten Namespaces kennen, damit Sie einen eindeutigen Namespace für die Gesamtstruktur erstellen können.
Erstellen eines Wiederherstellungsplans Es ist wichtig, dass Sie einen Wiederherstellungsplan entwickeln, um eventuelle Datenverluste während der Aktualisierung zu vermeiden. Dieser Plan sollte detailliert darlegen, wie die Domänencontroller, Anwendungen und andere Daten gesichert werden. Die Gründlichkeit des Plans entscheidet darüber, ob Sie, falls nötig, zu einer vollständigen Wiederherstellung Ihrer ursprünglichen Konfiguration zurückkehren können oder sich mit irreparablen Schäden konfrontiert sehen. Wenn Sie einen Wiederherstellungsplan entwickeln, legen Sie einen Punkt fest, an dem die schrittweise Migration enden und die vollständige Migration beginnen kann. Schließen Sie die folgenden Aufgaben ab, bevor Sie die Migration durchführen: ? Fügen Sie jeder Windows NT-Domäne, die nur über einen einzelnen Domänen-
controller (PDC) verfügt, einen Reservedomänencontroller hinzu. Dies stellt sicher, dass die Domäne nicht verwaist, falls die Aktualisierung des primären Domänencontrollers fehlschlägt. ? Stellen Sie fest, ob auf dem primären Domänencontroller und den Reserve-
domänencontrollern Dienste wie Datei- und Druckdienste oder DHCP (Dynamic Host Configuration Protocol) betrieben werden. Sichern Sie diese Dienste auf einem Band und testen Sie die Sicherungsbänder. ? Synchronisieren Sie alle Reservedomänencontroller vollständig mit dem PDC.
Schalten Sie einen Reservedomänencontroller offline, bevor Sie den PDC und die anderen Reservedomänencontroller auf Windows 2000 Server aktualisieren. Führen Sie vor Beginn der Migration die folgenden Schritte als Test durch: 1. Werten Sie den offline geschalteten Reservedomänencontroller zu einem PDC auf und prüfen Sie die Daten. 2. Lassen Sie diesen PDC nach der Migration offline und verfügbar und stellen Sie sicher, dass die verbleibenden Reservedomänencontroller regelmäßig gesichert werden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
303
Achtung Verfolgen Sie alle Änderungen an der Domäne (z. B. neue Konten und Kenntwortaktualisierungen), während der offline geschaltete PDC offline bleibt. Bei einem Ausfall der Windows 2000-Domänencontroller müssen Sie zu dem offline geschalteten PDC zurückkehren können. Wenn Sie nicht alle Änderungen an der Domäne nachverfolgt haben, während der Offline-PDC offline war, gehen diese Änderungen verloren, wenn der Offline-PDC seine Daten an die Reservedomänencontroller repliziert. Beachten Sie, dass wiederhergestellte Konten eine unterschiedliche SID (Security Identifier) aufweisen, daher haben sie zu einigen Ressourcen möglicherweise keinen Zugriff. ? Beantworten Sie zu jedem Schritt im Flussdiagramm in Abbildung 10.1
folgende Fragen: ? Wie kann das System in einen Wiederherstellungsstatus zurückgesetzt werden? ? Welche Verwaltungstools sind erforderlich, um sowohl die Aktualisierung als auch die Wiederherstellung durchzuführen?
Der Übergang zur Windows 2000-Gesamtstruktur Zur Planung der Domänenaktualisierung gehört der sorgfältig durchgeführte Übergang zu der entworfenen Windows 2000-Gesamtstruktur. Berücksichtigen Sie dabei Folgendes: ? Stellen Sie sicher, dass der Namespace der Gesamtstruktur korrekt definiert
wird. Andernfalls müssen Sie die Gesamtstruktur umstrukturieren, um den Namespace zu korrigieren. ? Verwenden Sie Sorgfalt bei der Erstellung der Stammdomäne der Gesamtstruktur. Ist die Stammdomäne erst einmal erstellt, kann sie nicht mehr geändert werden. ? Erstellen Sie die untergeordneten Domänen mit Sorgfalt. Wenn Sie eine unter-
geordnete Domäne mit dem falschen Teil der Gesamtstruktur verknüpfen, sind Umstrukturierungen erforderlich, die nicht geplant waren. ? Erstellen Sie Richtlinien, beispielsweise hinsichtlich der Verwendung von Gruppen und Zugriffskontrolllisten (ACLs, Access Control Lists), die auch für Ihre künftigen Planungen Raum lassen. Weitere Informationen zum Entwurf der Windows 2000-Gesamtstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation.
Erwägen der Aktualisierung von Ressourcendomänen Wenn Sie eine Aktualisierung an Ort und Stelle durchführen, sollten Sie auch die Aktualisierung der Ressourcendomänen in Erwägung ziehen. Ressourcendomänen werden in Windows NT dazu verwendet, die Computerkonten der Ressourcen wie Server und Clientcomputer aufzunehmen. Ressourcendomänen existieren in erster Linie aus folgenden Gründen: ? Begrenzen der Größe der Kontodatenbank.
Die maximale Größe, die für die SAM- (Security Account Manager) Kontodatenbank empfohlen wird, beträgt 40 MB. In einer Domäne, die Benutzer-
304
Teil III
Active Directory-Infrastruktur
konten, Sicherheitsgruppen und Windows NT-Client- und Serverkonten enthält, umfasst dies etwa 20.000 Benutzerkonten. Wenn eine Organisation mit mehr als 20.000 Benutzern diese Funktion ihrer Größe anpassen möchte, müssen die Benutzer- und Computerkonten in separaten Domänen gespeichert werden, d. h. in Kontendomänen für Benutzerkonten und Ressourcendomänen für Computerkonten. Dies ist die Norm bei Windows NT. Hier werden Ressourcendomänen gewöhnlich entweder mit explizitenunidirektionalen Vertrauensstellungen zu einer einzelnen Kontendomäne (Domänenmodell mit einer Masterdomäne) oder zu mehreren Kontendomänen (Domänenmodell mit mehreren Masterdomänen) erstellt. ? LokaleAdministrationsmöglichkeit.
In einer dezentralen Organisation mit geographisch getrennten Einrichtungen ist es häufig günstig, über lokale Mitarbeiter zu verfügen, die zur Verwaltung von Ressourcen autorisiert sind. Um diese Form der dezentralen Verantwortlichkeit in Windows NT-Systemen zu ermöglichen, wurde das Erstellen von Ressourcendomänen mit eigener administrativer Struktur empfohlen. Wie beim Skalieren über die SAM-Größenbegrenzungen hinaus, resultieren hieraus Domänenstrukturen mit einer einzelnen oder mehreren Masterdomänen mit expliziten unidirektionalen Vertrauensstellungen zu den Kontendomänen der Organisation. Die unidirektionale Beschaffenheit dieser Vertrauensstellungen stellte sicher, dass sich die administrativen Befugnisse der Administratoren nur auf die Ressourcendomäne erstreckten. Anmerkung Als Teil des Aktualisierungsplans muss Ihr administratives Modell auch die Auswirkungen der Aktualisierung einer Ressourcendomäne reflektieren. Wenn Sie die Kontendomäne bereits aktualisiert haben und die Ressourcendomäne anschließend als der Kontendomäne untergeordnet aktualisieren, wird zwischen beiden eine transitive Vertrauensstellung eingerichtet. Aus diesem Grund müssen Sie bedenken, wie sich diese transitive Vertrauensstellung auf die lokale Verwaltung der Ressourcen auswirkt. Wenn Sie keine Ausweitung der administrativen Befugnisse auf die Ressourcendomänen wünschen, können Sie die folgenden Optionen berücksichtigen: UmstrukturierenderRessourcendomäneninOrganisationseinheiten Sie können Ihre Domänenstruktur überdenken und überlegen, ob Sie die Ressourcendomänen später als Organisationseinheiten (OU) in die aktualisierte Kontendomäne aufnehmen. Diese Option beeinflusst natürlich die Planung der Reihenfolge der Domänenaktualisierung.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
305
Aktualisieren einer Ressourcendomäne innerhalb einer bestehenden Gesamtstruktur und Verwenden der Windows 2000-Delegierung von Verwaltungsfunktionen Sie können Ihre Ressourcendomäne so aktualisieren, dass sie sich in derselben Gesamtstruktur wie die Kontendomäne(n) befindet, und die Windows 2000Delegierung von Verwaltungsfunktionen verwenden, um die Fähigkeiten der lokalen Administratoren einzuschränken. Bevor Sie diesen Schritt unternehmen, sollten Sie die administrativen Gruppen in den Ressourcendomänen überprüfen und alle Administratoren, die keine Administratoren in den Kontendomänen sind, entfernen. Falls sich hier nur lokale Ressourcendomänenadministratoren befinden, fügen Sie einen oder mehrere Ihrer Kontendomänenadministratoren hinzu. Diese Administratoren sind in der Lage, die Domäne zu verwalten, während sie aktualisiert wird. Vergewissern Sie sich, als weitere Vorsichtsmaßnahme, dass die Ressourcendomänenadministratoren durch lokale Computerkonten keinen administrativen Zugang zu den Domänencontrollern besitzen. Nachdem der PDC aktualisiert wurde, können Sie für Ihre Ressourcenadministratoren eine neue domäneninterne lokale Gruppe erstellen und die Windows 2000Delegierung von Administrationsaufgaben verwenden, um sie für ihre Aufgaben mit ausreichenden Privilegien auszustatten. Aktualisieren einer Ressourcendomäne zu einer Struktur in einer neuen Gesamtstruktur Sie können Ihre Ressourcendomäne aktualisieren und sie zu einer Struktur in einer neuen Gesamtstruktur machen, indem Sie die Struktur durch eine explizite unidirektionale Vertrauensstellung mit der Kontendomäne verbinden. Auf diese Weise wird die Struktur, die vor der Aktualisierung bestand, gespiegelt.
Bestimmen der Strategie für die Aktualisierung von Domänencontrollern Der erste Schritt zur Aktualisierung von Domänencontrollern besteht darin, den primären Domänencontroller zu Windows 2000 zu aktualisieren. Nachdem Sie den PDC aktualisiert haben, sollten alle Reservedomänencontroller in der Domäne so bald wie möglich aktualisiert werden. Dieser Schritt minimiert das Risiko, über Windows 2000-Funktionen zu verfügen, die von den Reservedomänencontrollern unter Windows NT nicht unterstützt werden.
Windows 2000-Domänenmodi Eine Domäne wird solange als Windows NT-Domäne angesehen, solange nicht der primäre Domänencontroller zu Windows 2000 aktualisiert wurde. Während der Aktualisierung des PDC und der Reservedomänencontroller, befindet sich die Domäne in einem temporären Betriebsstatus, der als gemischter Modus bezeichnet wird. Sie können die Domäne unbegrenzt im gemischten Modus betreiben oder sie in den endgültigen Betriebsstatus, der als einheitlicher Modus bezeichnet wird, versetzen.
Gemischter Modus Eine Domäne wird als im gemischten Modus operierend angesehen, wenn eine der folgenden Bedingungen zutrifft:
306
Teil III
Active Directory-Infrastruktur ? Der primäre Domänencontroller wurde aktualisiert, nicht jedoch alle
Reservedomänencontroller. ? Der PDC und alle Reservedomänencontroller wurden aktualisiert, die
Umschaltung zum einheitlichen Modus wurde jedoch nicht aktiviert. Tabelle 10.5 zeigt die Windows 2000-Funktionen, die im gemischten Modus verfügbar sind, sowie die Funktionen, die erst nach der Umschaltung in den einheitlichen Modus zur Verfügung stehen. Wenn Sie vor einer Umschaltung der Domäne zum einheitlichen Modus noch zögern, betrachten Sie noch einmal Ihre Migrationsziele und entscheiden Sie, ob ein Verbleiben im gemischten Modus Ihren Zielen entspricht, oder ob die Nachteile überwiegen. Tabelle 10.5 Verfügbarkeit von Windows 2000-Funktionen im gemischten Modus Funktion
Im gemischten Modus verfügbar?
Transitive Vertrauensstellungen für Kerberos-Authentifizierung Active DirectoryOrganisationseinheiten (OE)
Ja. Windows 2000 und Windows 2000 Professional verwenden die Kerberos-Dienste, die auf dem Windows 2000-Domänencontroller verfügbar sind. Ja, jedoch nur bei der Verwendung von Windows 2000-Verwaltungstools sichtbar. Können nicht von Windows NTReservedomänencontrollern oder Mitgliedsservern aus verwaltet werden. Nein, nur globale und lokale Gruppen sind verfügbar.
Active DirectorySicherheitsgruppen IntelliMirror
Ja, jedoch nur für Clientcomputer, die mit Windows 2000 Professional in einer Active DirectoryUmgebung betrieben werden.
Windows Installer 64-Bit-Speicherarchitektur
Ja. Ja, mit Hardwareunterstützung.
Active DirectorySkalierbarkeit
Ja, jedoch nur wenn alle Reservedomänencontroller aktualisiert wurden und Active Directory betreiben. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da neue Windows 2000-Reservedomänencontroller immer noch hinzugefügt werden können, solange sich die Domäne im gemischten Modus befindet. Diese Funktion kann ein wichtiger Teil Ihrer Fallbackplanung sein, daher sollte sie nicht gefährdet werden. Ja, für Windows 2000-Computer, die Active Directory betreiben. Ja.
Kerberos-Authentifizierung MMC (Microsoft Management Console) Gruppenrichtlinie
Sicherheitskonfiguration und .-analyse Active DirectoryMultimaster-Replikation
Ja, jedoch nur für Clientcomputer, die mit Windows 2000 Professional in einer Active DirectoryUmgebung betrieben werden. Ja. Ja, zwischen PDC und Reservedomänencontrollern, die aktualisiert wurden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
307
Die Domäne bleibt solange im gemischten Modus, bis Sie sich entscheiden, sie in den einheitlichen Modus umzuschalten, selbst wenn bereits alle Reservedomänencontroller aktualisiert wurden. Beachten Sie, dass die Domäne bei der Umschaltung zum einheitlichen Modus noch Mitgliedsserver enthalten kann, die mit Windows NT Server 4.0 oder Clients, die mit Windows NT Workstation 4.0, Windows 95 oder Windows 98 betrieben werden. Abbildung 10.3 zeigt den Übergang einer Windows NT-Domäne zu einer Windows 2000-Domäne im einheitlichen Modus.
Abbildung 10.3 Aktualisierungsmodi von Domänen
Einheitlicher Modus Einheitlicher Modus („native mode“) bezeichnet den endgültigen Betriebsstatus einer Windows 2000-Domäne. Er wird durch das Setzen eines Schalters auf der Benutzeroberfläche aktiviert. Dies bedeutet, dass die aktualisierte Domäne als Windows 2000-Domäne angesehen wird und die Vorteile aller Funktionen von Windows 2000, wie im Abschnitt „Gründe für den Wechsel in den einheitlichen Modus“ weiter unten in diesem Kapitel beschrieben, nutzen kann. Nachdem alle Domänencontroller zu Windows 2000 aktualisiert wurden, können Sie wählen, ob Sie die Domäne in den einheitlichen Modus versetzen. Während der Umschaltung tritt Folgendes ein: ? Die Netlogon-Synchronisation wird abgeschaltet, und die Domäne verwendet
zwischen den Domänencontrollern nur noch die Multimaster-Replikationvon Active Directory. ? Da die Netlogon-Synchronisation nun ausgeschaltet ist, können Sie keine Windows NT-Reservedomänencontroller mehr zur Domäne hinzufügen. ? Da die Multimaster-Replikation aktiviert wurde, ist der ehemalige PDC nicht länger Master der Domäne und alle Domänencontroller können nun Verzeichnisaktualisierungen durchführen. Dennoch weist Windows 2000 dem ehemaligen PDC auch weiterhin die Rolle der PDC-Emulation zu. Gewöhnlich wird der PDC als PDC-Emulation weitergeführt, dies heißt in einer Umgebung im einheitlichen Modus, dass die Änderungen der Kennwörter von den anderen Domänencontrollern bevorzugt an den ehemaligen PDC repliziert werden. Alle Clients mit älteren Windows-Versionen verwenden die PDC-Emulation, um den PDC zu lokalisieren und die Kennwortänderungen durchzuführen. Ressourcendomänen unter Windows NT verwenden zusätzlich die PDC-
308
Teil III
Active Directory-Infrastruktur
Standortinformationen, um Vertrauensstellungen einzurichten. Die Definition der PDC-Emulation finden Sie weiter unten in diesem Kapitel. Die Verschachtelung von Gruppen und Windows 2000-Gruppentypen, wie universelle und domäneninterne lokale Gruppen, sind verfügbar. Kritischer Entscheidungspunkt Bis Sie sich dafür entscheiden, die Domäne zum einheitlichen Modus von Windows 2000 umzuschalten, bleibt sie im gemischten Modus. Sie können die Domäne unbegrenzt im gemischten Modus betreiben, selbst wenn Sie alle Reservedomänencontroller in der Domäne aktualisiert haben. Wenn Sie die Domäne jedoch einmal in den einheitlichen Modus umgeschaltet haben, kann sie nicht mehr zum gemischten Modus zurückkehren oder eine Windows NT-Domäne werden.
Aktualisieren des Windows NT-PDC Nach der Synchronisation aller Reservedomänencontroller in der Domäne, so dass sie vollständig mit allen Änderungen, die eben am PDC vorgenommen wurden, aktualisiert sind, können Sie mit der Aktualisierung der Kontendomäne beginnen, indem Sie den PDC aktualisieren. Nachdem das Kernbetriebssystem auf dem PDC installiert wurde, erkennt das Installationsprogramm von Windows 2000, dass ein Domänencontroller aktualisiert wird. Das Installationsprogramm fordert Sie daraufhin auf, Active Directory auf dem Server zu installieren, indem automatisch der Assistent zum Installieren von Active Directory gestartet wird. Weitere Informationen zur Installation von Windows 2000 Server finden Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“. Der Assistent zur Installation von Active Directory schlägt Ihnen folgende Optionen vor: ? Erstellen der ersten Struktur in einer neuen Gesamtstruktur ? Erstellen einer neuen Struktur in einer bestehenden Gesamtstruktur ? Erstellen eines neuen Replikats einer bestehenden Domäne ? Installieren einer untergeordneten Domäne
Welche Option Sie auswählen, hängt vom Ergebnis Ihrer Namespace-Planung ab. Zusätzliche Informationen über die Planung des Namespace finden Sie im vorhergehenden Kapitel „Entwerfen der Active Directory-Struktur“. Während des Aktualisierungsprozesses wird der Inhalt der Kontodatenbank (SAM) von Windows NT in das Active Directory kopiert. Diese Objekte sind die Sicherheitsprincipals (Benutzerkonten, lokale und globale Gruppen sowie Computerkonten). Beachten Sie, dass dieser Prozess bei großen Kontendomänen einige Zeit in Anspruch nehmen kann. Active Directory beinhaltet auch die Unterstützung der Kerberos-Authentifizierung. Nach dem der Assistent zur Installation von Active Directory beendet wurde, ist der Kerberos-Authentifizierungsdienst für die Windows 2000-Systeme verfügbar. Wenn Sie sich für die Verbindung einer Domäne mit einem aktualisierten PDC und einer bestehenden Struktur entscheiden, wird nun eine transitive (bidirektionale) Vertrauensstellung zur übergeordneten Domäne eingerichtet. Alle Vertrauensstellungen, die vor der Aktualisierung des PDC erstellt wurden, bestehen weiter, bleiben jedoch explizite, unidirektionale Vertrauensstellungen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
309
PDC-Emulation in Windows 2000 Da Active Directory die Aktualisierung mehrerer Masterdomänen unterstützt, ist ein Windows 2000-Domänencontroller nicht in gleicher Weise ein primärer Domänencontroller wie ein PDC unter Windows NT 4.0. Wenn Sie einen Windows NT-PDC zu einem Windows 2000-Domänencontrolleraktualisieren, handelt er als PDC, indem er die Rolle einer PDC-Emulation einnimmt. In Windows 2000 gibt es eine PDC-Emulation für jede Domäne in einer Gesamtstruktur. Die PDC-Emulation unterstützt Windows NT-Clients, Mitgliedsserver und Domänencontroller und Windows 95 und Windows 98-Clients folgendermaßen: ? Ein Windows NT-, Windows 95- oder Windows 98-Client führt die Verzeichniseinträge (z. B. Änderungen der Kennwörter) auf der PDCEmulation aus. ? Prüfen der Kennwörter. ? Die Windows NT-Reservedomänencontroller replizieren von der PDC-
Emulation. ? In einem Netzwerk, das den Windows NT-Suchdienst betreibt, übernimmt die
PDC-Emulation die Rolle des Domänenhauptsuchdienstes. Sie registriert den NetBIOS-Namen Domänenname<0x1B>. Diese Funktionen werden überflüssig, wenn alle Windows NT-Clients, Mitgliedsserver und Domänencontroller und die Windows 95 und Windows 98Clients aktualisiert sind. Anmerkung Windows 2000-Clients sowie alle Windows 95- und Windows 98Clients, auf denen das ADClient-Paket installiert wurde, können jeden Domänencontroller der Domäne verwenden, um Verzeichniseinträge, wie beispielsweise Kennwortänderungen, durchzuführen. Diese Aktionen sind nicht länger dem Domänencontroller vorbehalten, der sich als PDC gemeldet hat. Die PDC-Emulation behält in vollständig aktualisierten Windows 2000-Domänen einige Funktionen bei. Kennwortänderungen, die von anderen Domänencontrollern in der Domäne durchgeführt werden, werden vorrangig an die PDC-Emulation repliziert. Wenn auf Grund eines falschen Kennworts bei anderen Domänencontrollern in einer Domäne eine Authentifizierungsanforderung fehlschlägt, leiten die Domänencontroller die Authentifizierungsanforderung an die PDC-Emulation weiter, bevor die Anforderung abgelehnt wird. Dies wird z. B. durchgeführt, wenn das Kennwort erst kürzlich geändert wurde. Kontosperren werden auf der PDC Emulation verarbeitet. Die Gruppenrichtlinie wird standardmäßig ebenfalls auf der PDC-Emulation bearbeitet, wenn die Objekte der Gruppenrichtlinie auf einem Server bearbeitet werden. Weitere Informationen zu Sicherheitsrichtlinien finden Sie im Band. Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
Eigenschaften der PDC-Emulation Die PDC-Emulation bietet Abwärtskompatibilität, indem sie die Daten während der Replikation in Active Directory als flacher Speicher für Windows 95-, Windows 98-, und Windows NT-Computer, einschließlich der Reservedomänencontroller, bereitstellt. Diese Kompatibilität zeigt sich folgendermaßen:
310
Teil III
Active Directory-Infrastruktur ? Die PDC-Emulation erscheint anderen Windows 2000-Computern als ein
Windows 2000-Domänencontroller, den nicht aktualisierten Computern jedoch als Windows NT-PDC. ? Die PDC-Emulation kann nach wie vor verwendet werden, um neue Sicherheitsprincipals zu erstellen und diese Änderungen an die Windows NTReservedomänencontroller zu replizieren. ? Windows 95-, Windows 98- und Windows NT-Clients können die PDC-
Emulation als potentiellen Anmeldeserver verwenden. ? Wenn die PDC-Emulation offline oder nicht verfügbar ist, und ein anderer Windows 2000-Domänencontroller in der Domäne vorhanden ist, dann muss dieser Domänencontroller als PDC-Emulation verwendet werden. Wenn keine anderen Windows 2000-Domänencontroller in der Domäne vorhanden sind, kann ein Windows NT-Reservedomänencontroller zu einem PDC aufgewertet und dann zu Windows 2000 Server aktualisiert werden.
Konfliktbeseitigung Multimaster-Replikation bedeutet, dass Sie eine Aktualisierung an jedem beliebigen Windows 2000-Domänencontroller durchführen können, selbst wenn dieser Domänencontroller vom restlichen Netzwerk getrennt ist. Wenn Sie beispielsweise eine Aktualisierung an einem getrennten Domänencontroller durchführen, zur selben Zeit jedoch ein anderer auf einem anderen Domänencontroller selbst eine Aktualisierung durchführt, die mit Ihrer Aktualisierung in Konflikt steht, werden beide Aktualisierungen repliziert, sobald die Netzwerkverbindung wiederhergestellt wird. Trotz der in Konflikt stehenden Aktualisierungen konvergieren schließlich alle Domänencontroller zu demselben Wert. Dieser Konvergenzprozess wird Konfliktbeseitigung genannt. Einige Konflikte sind jedoch zu schwierig zu lösen. Angenommen, unterschiedliche Domänencontroller besitzen in Konflikt stehende Versionen des Verzeichnisschemas. Die Schemakonflikte können durch die Verwendung derselben Regeln, die Active Directory zur Lösung normaler Konflikte verwendet („der letzte Eintrag ist gültig“), gelöst werden.
Zugriffskontrollkomponenten Nachdem die Sicherheitsprincipals während der Aktualisierung des PDC in das Active Directory verschoben wurden, ist die Auswirkung dieser Verschiebung auf den Ressourcenzugriff zu betrachten. Im folgenden Abschnitt werden die Komponenten vorgestellt, die den Ressourcenzugriff kontrollieren.
Sicherheits-IDs (SID, Security Identifier) Das Windows NT-Sicherheitsmodell (die Basis für die Windows NT- und Windows 2000-Sicherheit) identifiziert Sicherheitsprincipals wie Benutzer, Gruppen, Computer und Domänen anhand ihrer Sicherheits-IDs (SIDs). SIDs sind eindeutige Werte innerhalb von Domänen, die bei der Erstellung von Benutzern oder Gruppen oder bei der Registrierung von Computern oder Vertrauensstellungen mit der Domäne zusammengestellt werden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
311
Die Komponenten einer SID folgen einer hierarchischen Konvention. Die Teile einer SID identifizieren die Revisionsnummer, die Autorität, von der die SID zugewiesen wurde, die Domäne sowie eine unterschiedlich große Anzahl von Teilautoritäts- oder RID-Werten, die eindeutig den Sicherheitsprincipal kennzeichnen, der sich auf die ausstellende Autorität bezieht. Wichtig Obwohl es bekannte SIDs gibt, die allgemeine Gruppen und Benutzer über alle Systeme hinweg identifizieren, werden die erörterten Sicherheitsprincipals im Kontext einer Domäne ermittelt. Diese Sicherheitsprincipals können nicht zwischen Domänen verschoben werden, ohne ihre SIDs zu ändern. Wenn die SIDs in irgendeiner Weise geändert werden, ist der Ressourcenzugriff betroffen. Während einer Aktualisierung bleiben die Sicherheitsprincipals jedoch in derselben Domäne, in der sie erstellt wurden, so dass die SIDs, die die Sicherheitsprincipals ermitteln, unverändert bleiben. Daher ist der Ressourcenzugriff von der Aktualisierung nicht betroffen.
Authentifizierung und Zugrifftoken Authentifizierung ist eine wesentliche Komponente des Sicherheitsmodells von Windows NT. Authentifizierung ist das Mittel, wodurch ein Benutzer durch die Präsentierung von Anmeldeinformationen, gewöhnlich in Form eines Benutzernamens und Kennworts, identifiziert wird. Sind diese Anmeldeinformationen akzeptabel, erstellt das Sicherheitsteilsystem ein Zugrifftoken für den Benutzer, der die primäre SID (die SID des Benutzers) ebenso enthält wie die SIDs aller Domänen und lokalen Computergruppen, bei denen der Benutzer Mitglied ist. Jeden Vorgang, den der Benutzer erstellt, wie das Betreiben einer Anwendung, leitet das Zugrifftoken des Benutzers weiter. Das Zugrifftoken des Benutzers kann als eine Art Benutzer-ID angesehen werden, die dem System präsentiert wird. Es wird vom System dazu verwendet, festzulegen, ob dem Benutzer Zugriff auf die Systemressourcen gewährt werden müssen.
Autorisierung und Sicherheitsbeschreibungen Der Gegenspieler des Zugrifftokens des Benutzers ist die Sicherheitsbeschreibung, die den Ressourcen, wie Dateien oder Druckern, zugewiesen werden. Eine Sicherheitsbeschreibung enthält eine Zugriffskontrollliste (ACL), die aus Zugriffskontrolleinträgen (ACEs) besteht. Ein Zugriffskontrolleintrag besteht aus einer SID, zusammen mit einem Indikator, der anzeigt, dass der von der SID identifizierte Sicherheitsprincipal eine bestimmte Form des Zugriffs auf die Ressource, wie Lesen, Schreiben oder Ausführen von Berechtigungen, gewährt oder verweigert. Das System verifiziert die Zugriffsprüfung, indem es die SIDs des Zugrifftokens mit den SIDs in der Zugriffskontrollliste vergleicht, um zu bestimmen, ob eine angeforderte Berechtigung erteilt wird.
312
Teil III
Active Directory-Infrastruktur
Bestimmen der Reihenfolge für die Aktualisierung von Domänen Nachdem Sie eine Strategie für die Aktualisierung von Domänencontrollern zurechtgelegt haben, besteht Ihr nächster Schritt darin, festzulegen, welche Domäne am ersten aktualisiert wird. Ihre Wahl hängt von den Zielen Ihrer gesamten Aktualisierung ab. Wenn Sie z. B. planen, bestimmte Domänen umzustrukturieren, hat es wenig Sinn, diese Domänen zuerst zu aktualisieren. Wenn dagegen eine bestehende Domäne Stamm der Gesamtstruktur werden soll, sollten Sie diese Domäne zuerst aktualisieren. Es wird empfohlen, Domänen in der folgenden Reihenfolge zu aktualisieren: 1. Kontendomänen 2. Ressourcendomänen
Richtlinien für das Aktualisieren von Kontendomänen Grundsätzlich ist es am vorteilhaftesten, die Kontendomänen zuerst zu aktualisieren, da in den meisten Fällen mehr Benutzer zu verwalten sind, als Computer. Die Aktualisierung Ihrer Kontendomänen zu Windows 2000 bietet Ihnen folgende Vorteile: ? Verbesserte Skalierbarkeit von Active Directory – Viele Organisationen geraten
mit der bestehenden Anzahl ihrer Benutzer und Gruppen an die Obergrenze der empfohlenen SAM-Größe. Active Directory bietet eine verbesserte Skalierbarkeit, um eine größere Anzahl von Benutzern, die einen weiten Bereich von Anwendungen betreiben, zu unterstützen. ? Delegierung von Administrationsaufgaben – Die Windows 2000-Infrastruktur erlaubt die sehr detaillierte Delegierung von administrativen Fähigkeiten, ohne dass lokalen Administratoren uneingeschränkte Handlungsfreiheit gewährt werden muss. Wenn Sie über mehrere Kontendomänen verfügen, werden Ihnen die folgenden Richtlinien bei der Festlegung der Aktualisierungsreihenfolge behilflich sein: Abschwächen von Risiken und Kontrolle bewahren Selbst wenn Sie Ihre Aktualisierungsstrategie in einem Labor oder durch ein Pilotprojekt getestet haben, ist die erste Produktmigration am riskantesten. Aktualisieren Sie, um das Risiko abzuschwächen, die Kontendomänen, in denen Sie über den leichtesten Zugriff auf Domänencontroller verfügen. MinimierenvonUnterbrechungen Aktualisieren Sie zuerst die Kontendomänen mit weniger Benutzern und mit lokaler Kontrolle der Domänencontroller. Dadurch werden Unterbrechungen für den größten Teil der Benutzer minimiert. Dies ist besonders dann empfehlenswert, wenn Sie erst noch Erfahrungen mit dem Einrichtungsprozess sammeln müssen. Machen Sie sich an die Arbeit Nachdem Sie Erfahrungen gesammelt und die Risikofaktoren reduziert haben, vertrauen Sie dem Prozess und fahren Sie mit der Aktualisierung der größeren Kontendomänen fort, die meistens zu Konsolidierungspunkten für andere Domänen werden. Je größer Ihre Benutzerbasis wird, desto effektiver werden die Funktionen von Windows 2000 genutzt.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
313
Identifizieren der Kontendomänen, die Ziel der Umstrukturierung sind Wenn Sie die Umstrukturierung Ihrer Kontendomänen planen, aktualisieren Sie zuerst diejenigen, die wahrscheinlich Ziel der Umstrukturierung sind. Sie können keine Domänen in nicht vorhandene Zieldomänen konsolidieren. Identifizieren Sie die Kontendomänen, die umzustrukturieren sind.
Richtlinien für das Aktualisieren von Ressourcendomänen Wenn Sie über mehr als eine Kontendomäne verfügen, werden Ihnen die folgenden Richtlinien bei der Festlegung der Aktualisierungsreihenfolge behilflich sein: Wählen Sie Domänen aus, in denen neue Anwendungen eine Windows 2000-Plattform oder Windows 2000-Funktionenerfordern Zuerst sollten Sie die Domänen aktualisieren, in denen Sie den Einsatz von Anwendungen planen, die eine Windows 2000-Infrastruktur oder Windows 2000Funktionen erfordern, wie Active Directory, das von Exchange Platinum (die nächste Version von Microsoft Exchange) benötigt wird. Wählen Sie Domänen mit vielen Clients aus Anschließend aktualisieren Sie Domänen, die über viele Windows NT-Clients verfügen, so dass Sie die Vorteile von Komponenten der Windows 2000-Infrastruktur, wie Microsoft ® IntelliMirror™ nutzen können. Wählen Sie Domänen aus, die Ziel der Umstrukturierung sind Wenn Sie die Umstrukturierung Ihrer Ressourcendomänen planen, aktualisieren Sie, wie bei den Kontendomänen, zuerst diejenigen, die wahrscheinlich Ziel der Umstrukturierung sind. Identifizieren Sie die kleineren Ressourcendomänen, die umzustrukturieren sind.
Untergeordnete Domänen und Vertrauensstellungen Der Domänencontroller der übergeordneten Domäne kopiert schließlich alle Schema- und Konfigurationsinformationen in die neue, untergeordnete Domäne. Nach der Replikation dieser Daten ist die aktualisierte Domäne ein voll funktionsfähiges Mitglied der Windows 2000-Struktur. Beachten Sie, dass die Domäne, selbst wenn alle Reservedomänencontroller aktualisiert wurden, solange im gemischten Modus bleibt, bis Sie entscheiden, die Domäne in den einheitlichen Modus umzuschalten. Clients, die das Active Directory wahrnehmen, wie Computer unter Windows 2000 Professional, Windows 95 oder Windows 98 (mit Active Directory-Clientsoftware), können nun Active Directory verwenden und Aufgaben durchführen, wie z. B. die Abfrage von Globalen Katalogen (GC) zum Auffinden von Ressourcen und Personen. Transitive Vertrauensstellungen erlauben den Clients einer Gesamtstruktur den Zugriff auf Ressourcen in der ganzen Gesamtstruktur. Dies hängt davon ab, ob der Client mit Windows 2000 oder mit einem älteren Betriebssystem als Windows 2000, wie Windows NT, Windows 95 oder Windows 98 betrieben wird, sowie vom Aktualisierungsstatus der Zieldomäne. Ressourcen sind durch transitive Vertrauensstellungen innerhalb der ganzen Gesamtstruktur verfügbar, wenn sich die Clients in einem der folgenden Domänentypen befinden: ? In Domänen im einheitlichen Modus.
314
Teil III
Active Directory-Infrastruktur ? In Domänen im gemischten Modus, in denen alle Domänencontroller zu
Windows 2000 aktualisiert wurden. ? In Domänen im gemischten Modus, in denen die Domänencontroller, die
Kerberos- oder die NTLM-Authentifizierungsanforderungen verarbeiten, zu Windows 2000 aktualisiert wurden. In allen anderen Fällen haben Clients nur zu solchen Ressourcen Zugriff, die durch bestehende unidirektionale Vertrauensstellungen verfügbar sind, die nach der Aktualisierung unverändert fortbestehen. Abbildung 10.4 zeigt die Arbeitsweise von transitiven Vertrauensstellungen zwischen über- und untergeordneten Domänen. Die Pfeile in beide Richtungen zeigen transitive Vertrauensstellungen zwischen Domänen an.
Abbildung 10.4 Beispiel für transitive Vertrauensstellungen zwischen über- und untergeordneten Domänen
Verwenden der NTLM-Authentifizierung NTLM ist das Standard-Authentifizierungsprotokoll für die Netzwerkauthentifizierung in Windows NT. Es wird aus Gründen der Kompatibilität mit Clients und Servern, die Windows NT-Versionen betreiben, in Windows 2000 beibehalten. So meldet sich z. B. ein Benutzer von der Windows NT-Arbeitsstation ntws in der Domäne im gemischten Modus reskit-acct.reskit.com an. Die Arbeitsstation befindet sich dabei selbst in dieser Domäne, wie Abbildung 10.5 zeigt. Der Benutzer versucht nun eine Netzwerkverbindung zu einem Windows NT-Server nts in der Domäne reskit-other.reskit.com herzustellen, einer Windows 2000-Domäne im einheitlichenModus. Da ntws ein Client mit einem älteren Betriebssystem als Windows 2000 ist, verwendet er NTLM.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
315
Nts erkennt, dass der in den Anmeldeinformationen spezifizierte und weitergegebene Domänenname reskit-acct.reskit.com, sich nicht auf seine eigene Kontodatenbank bezieht. Daher sendet Nts die Anmeldeanforderung zur Authentifizierung an einen Domänencontroller seiner eigenen Domäne. Der Domänencontroller prüft den Domänennamen und, da dieser nicht mit dem Domänennamen des Domänencontrollers übereinstimmt, prüft er, ob die Domäne eine vertrauenswürdige Domäne ist. Die Domänen reskit-acct.reskit.com und reskit-other.reskit.com sind beide untergeordnete Domänen desselben Stamms reskit.com , daher besteht zwischen den Domänen eine transitive Vertrauensstellung. Deshalb leitet der Domänencontroller die Anmeldeanforderung an einen Domänencontroller in der vertrauenswürdigen Domäne weiter. Dieser Domänencontroller authentifiziert den Benutzernamen und das Kennwort anhand seiner Domänenkontodatenbank und leitet, vorausgesetzt die Anmeldeinformationen stimmen überein, die Kontoidentifikationsdatenund Gruppenmitgliederliste zurück an den Domänencontroller, der mit ihm Kontakt aufgenommen hat, der wiederum diese Informationen an den Server zurückleitet. Der Server erzeugt ein Zugrifftoken für den Identitätswechsel des Benutzers, der die Benutzer-SID und die SIDs der Domänengruppen enthält, denen der Benutzer angehört. Der Server, der die Clientanforderung bearbeitet, verwendet einen Thread, um den Sicherheitskontext des Benutzers zu identifizieren, der das Zugrifftoken für den Identitätswechsel trägt, und versucht für den Benutzer auf die Ressource zuzugreifen. Dieses Beispiel zeigt, dass ein Client mit einem älteren Betriebssystem als Windows 2000 in einer Domäne im gemischten Modus durch die Verwendung von NTLM über transitive Vertrauensstellungen auf einen Server mit einem älteren Betriebssystem als Windows 2000 in einer Domäne im einheitlichen Modus zugreifen kann. Da alle Strukturen in derselben Gesamtstruktur durch transitive Vertrauensstellungen verknüpft sind, funktioniert dies auch dann, wenn sich die beiden Domänen in unterschiedlichen Strukturen befinden. Dies bedeutet: wenn ein Benutzer versucht, auf eine Ressource auf dem Windows NT-Server nts in der Domäne im gemischten Modus reskit-res1.reskit-other.reskit.com zuzugreifen, ist diese Ressource über die Gesamtstruktur durch eine transitive Vertrauensstellung zugänglich, solange der Domänencontroller, der die Anmeldeanforderung erhält, Windows 2000 ausführt.
Verwenden der Kerberos-Authentifizierung Der Kerberos-Dienst ist das Standard-Netzwerkauthentifizierungsprotokoll für Computer unter Windows 2000. SSL (Secure Sockets Layer) und NTLM sind für die Netzwerkauthentifizierung zwischen und innerhalb von Windows 2000-Domänen ebenfalls verfügbar. Die Kerberos-Authentifizierung ist ein ticketbasiertes Protokoll, in dem Benutzern beim erstmaligen Anmelden an einer Domäne durch das Schlüsselverteilungscenter (KDC) eines Windows 2000-Domänencontrollers TGTs (Ticket Granting Tickets) ausgestellt werden. TGTs enthalten Authentifizierungsdaten über den Benutzer und sind mit einem als KDC bekannten Schlüssel verschlüsselt. Nachdem der Client das TGT erhalten hat, kann es dem Domänencontroller als Teil der Anforderung von zusätzlichen Diensttickets vorgelegt werden, um mit anderen Servern in der Domäne eine Verbindung herzustellen. Wenn dem Benutzer ein TGT genehmigt wurde, werden die nachfolgenden Prüfungen schnell und effizient durchgeführt, da der Domänencontroller nur das TGT entschlüsseln muss, um die Benutzer-Anmeldeinformationen zu prüfen. Diensttickets funktionieren ähnlich wie TGTs, werden jedoch mit einem Schlüssel, der von dem Server und dem Domänencontroller gemeinsam genutzt wird, verschlüsselt.
316
Teil III
Active Directory-Infrastruktur
Im Beispiel der Abbildung 10.4 meldet sich nun der Benutzer wie zuvor an der Domäne reskit-acct.reskit.com an, nun jedoch vom Computer w2kpro derselben Domäne, die Windows 2000 ausführt. Der Benutzer möchte eine Netzwerkverbindung zu dem Windows 2000 Server w2ksrv in der Domäne reskit-other.reskit.com herstellen. Da w2kpro ein Windows 2000-Client ist, versucht der Client, das Kerberos-Protokoll zu verwenden. Das Kerberos-Protokoll kann genau wie NTLM über die Grenzen von Domänen hinaus operieren. Der Client in einer Domäne kann für einen Server in einer anderen Domäne eine Authentifizierung ausführen, wenn die beiden Domänen eine Vertrauensstellung eingerichtet haben. Wenn Domänen eine Vertrauensstellung einrichten, tauschen sie domänenübergreifende Schlüssel aus. Der Authentifizierungsdienst jeder Domäne verwendet seine domänenübergreifenden Schlüssel, um Tickets zum Schlüsselverteilungscenter der anderen Domäne zu verschlüsseln. Wenn ein Client Zugriff auf einen Server einer entfernten Domäne erhalten möchte, stellt der Client eine Verbindung zu dem Domänencontroller seiner Ausgangsdomäne her, um ein TGT zu erhalten. Der Client legt dann das TGT dem Schlüsselverteilungscenter des Domänencontrollers der entfernten Domäne vor, wenn der Client über eine direkte Vertrauensstellung zu der entfernten Domäne oder ihrer übergeordneten Domäne verfügt. Dieser Prozess wird mit allen dazwischen liegenden Domänen wiederholt, bis ein vertrauenswürdiger Pfad zwischen der Ausgangsdomäne des Clients und der entfernten Domäne besteht. Der Client legt das betreffende TGT dem Schlüsselverteilungscenter des entfernten Domänencontrollers vor, und fragt nach einem Ticket an einen Server der Clientdomäne. Der entfernte Domänencontroller verwendet seinen domänenübergreifenden Schlüssel zur Entschlüsselung des TGT des Clients. Wenn die Entschlüsselung erfolgreich war, kann der entfernte Domänencontroller sicher sein, dass das TGT von einer vertrauenswürdigen Autorität ausgestellt wurde. Der entfernte Domänencontroller stellt dem Client darauf ein Ticket an den angeforderten Server aus. Abbildung 10.4 zeigt, dass ein vertrauenswürdiger Pfad zwischen den beiden Domänen reskit-acct.reskit.com und reskit-other.reskit.com angelegt werden kann, da sie untergeordnete Domänen desselben Stamms sind und zwischen ihnen eine transitive Vertrauensstellung besteht. Wenn der Domänencontroller der Zieldomäne das betreffende TGT erhält, prüft er, ob es mit dem fraglichen Server einen gemeinsamen Schlüssel nutzt. Ist dies der Fall, erteilt der Domänencontroller dem Client ein Dienstticket. Da es sich bei w2ksrv um einen Windows 2000-Computer handelt, ist ein gemeinsamer Schlüssel vorhanden, so dass ein Ticket an w2kpro erteilt werden kann. Die wichtigen Faktoren in diesem Beispiel sind die Existenz eines Domänencontrollers in der Zieldomäne, der das Kerberos-Schlüsselverteilungscenter betreibt, und das Vorhandensein eines gemeinsamen Schlüssels zwischen dem Domänencontroller und dem Server. Bei Windows 2000-Domänencontrollern wird der Kerberos-Dienst als Teil des Installationsprozesses von Active Directory aktiviert, und das Hinzufügen eines Mitgliedsservers zu einer Windows 2000-Domäne beinhaltet die Erstellung eines gemeinsamen Schlüssels. Daraus resultiert, dass w2kpro durch die Verwendung von Kerberos auf w2ksrv.reski-res1.reskit-other.reskit.com zugreifen kann, solange ein Windows 2000-Domänencontroller verfügbar ist, der das Sitzungsticket ausstellt.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
317
Wenn w2kpro versucht, auf eine Ressource auf einem Windows NT-Computer wie nts.reskit-res1.reskit-other.reskit.com zuzugreifen, schlägt die KerberosAuthentifizierung fehl. Der Client versucht darauf die NTLM-Authentifizierung zu verwenden, wie oben im Abschnitt „Verwenden der NTLM-Authentifizierung“ beschrieben.
Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus Es ist leicht, eine Domäne vom gemischten Modus in den einheitlichen Modus umzuschalten, die Umschaltung kann jedoch nicht rückgängig gemacht werden. Berücksichtigen Sie alle in diesem Abschnitt genannten Faktoren, um den richtigen Zeitpunkt für die Umschaltung zu bestimmen. Sie können die Domäne nicht in den einheitlichen Modus umschalten, wenn die Domäne noch oder zukünftig einen beliebigen Windows NT-Domänencontroller enthält.
Gründe für das Fortfahren im gemischten Modus Die primären Gründe, die dafür sprechen, eine Domäne weiterhin im gemischten Modus zu betreiben sind: ? Anwendungsserver können nicht aktualisiert werden
Sie verfügen über Anwendungsserver, die nicht aktualisiert oder zu Mitgliedsservern zurückgesetzt werden können. Einige Anwendungen müssen beispielsweise, um einen hohen Datendurchsatz zu erreichen, auf Reservedomänencontrollern installiert sein, um eine Pass-ThroughAuthentifizierung zu umgehen. Reservedomänencontroller, die solche Anwendungen speichern, werden Anwendungsserver genannt. ? Unzureichende physische Sicherheit der Reservedomänencontroller
Sicherheit ist ein wichtiger Punkt bei der Planung der Domäne. Ein fundamentaler Sicherheitsaspekt ist die physische Sicherheit des Computers selbst, jeder Computer, der physisch leicht erreichbar ist, ist anfällig für einen unbefugten Zugriff. Zu berücksichtigen wäre hier der Unterschied zwischen der Single Master-Aktualisierung der SAM nur durch den PDC und der Multimaster-Aktualisierung der Kontodatenbank von Active Directory durch alleDomänencontroller. Da die Aktualisierungen des Windows NT-Verzeichnisses ähnlich wie SingleMaster-Aktualisierungen erfolgen, könnten Sie sich mit der vergleichsweise lockeren Sicherheit auf den Reservedomänencontrollern zufrieden geben. Dies sollten Sie bedenken, wenn Sie sie zu Windows 2000-Domänencontroller aktualisieren. Wenn Sie die Sicherheit Ihres Reservedomänencontrollers nicht entsprechend aktualisieren können, könnten Sie überlegen, ihn während der Aktualisierung zu einem Mitgliedsserver zurückzusetzen, indem Sie an einem anderen Standort einen neuen Windows 2000-Domänencontroller hinzufügen, oder den Entwurf Ihrer Domänenstruktur noch einmal überdenken.
318
Teil III
Active Directory-Infrastruktur ? Der vollständige Fallback zu Windows NT bleibt notwendig
Einer der Vorzüge des gemischten Modus liegt im Ausmaß der Abwärtskompatibilität. Der gemischte Modus erlaubt das Hinzufügen neuer Reservedomänencontroller zu einer Domäne, wenn ein Problem auftaucht. Nachdem der neue Reservedomänencontroller mit der Domäne verbunden wurde, können Sie die Kontodatenbank neu synchronisieren. Solange keine anderen Windows 2000Domänen vorhanden sind, können Sie den Reservedomänencontroller zu einem PDC aufwerten. Sie müssen einen Fallback oder eine Wiederherstellung planen, zu einem bestimmten Zeitpunkt möchten Sie jedoch vollständig zu der neuen Umgebung umschalten, um die ganzen Vorteile der Windows 2000-Funktionen zu genießen. Ein guter Grund, zum einheitlichen Modus zu wechseln, ist die dann mögliche Verwendung aller Windows 2000-Gruppen, einschließlich verschachtelter Gruppen. An dieser Stelle müssen Sie überlegen, welche Gruppen zu universellen Gruppen aufgewertet werden sollen.
Gründe für den Wechsel in den einheitlichen Modus Obwohl es sehr vorteilhaft ist, Ihren PDC und Ihre Reservedomänencontroller zu aktualisieren und Ihre Domäne im gemischten Modus zu belassen, wird empfohlen, die Umschaltung zum einheitlichen Modus sobald als möglich vorzunehmen. Der einheitliche Modus ist Ihnen in folgender Weise dabei behilflich, die Gesamtfunktionalität Ihres Netzwerks zu steigern: ? Neue Windows 2000-Gruppentypen sind verfügbar. ? Domänen im einheitlichen Modus können universelle Gruppen und die
Verschachtelung von Gruppen verwenden. Wie bereits erwähnt, wird die Umschaltung zum einheitlichen Modus nicht automatisch durchgeführt. Sie müssen den Wechsel von der Microsoft Management Console (MMC) aus durch die Active Directory-Domänen und Vertrauensstellungen-Snap-In auslösen. Weitere Informationen zur Verwendung dieses SnapIns finden Sie in den Hilfedateien von Windows 2000 Server.
Überprüfen von Windows 2000-Gruppen Es ist wichtig festzustellen, wie sich die Migration zu Windows 2000 auf die Sicherheitsrichtlinie und Ihre Gruppenstruktur mit dem älteren Betriebssystem auswirkt. Änderungen der Sicherheitsrichtlinie erfordern wahrscheinlich eine Umstrukturierung der Gruppen. Windows 2000 unterstützt vier Typen von Sicherheitsgruppen: ? Lokale Gruppen ? Domäneninterne lokale Gruppen ? Globale Gruppen ? UniverselleGruppen
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
319
Lokale Gruppen In Windows NT bestehende lokale Gruppen können Mitglieder aus der ganzen Gesamtstruktur, aus anderen vertrauenswürdigen Gesamtstrukturen oder aus einer vertrauenswürdigen Domäne mit einem älteren Betriebssystem als Windows 2000 enthalten. Lokale Gruppen können Ressourcenberechtigungen jedoch nur auf dem Computer erhalten, auf dem sie sich befinden. Eine besondere Rolle spielen lokale Gruppen in Windows NT, die auf einem PDC erstellt wurden. Die Replikation des Domänen-SAM auf den Reservedomänencontrollern hat zur Folge, dass diese lokalen Gruppen vom PDC und den Reservedomänencontrollern gemeinsam genutzt werden. Im gemischten Modus verhalten sich lokale Gruppen sowohl in Windows NT als auch in Windows 2000 gleich. Im einheitlichen Modus werden die lokalen Gruppen eines Domänencontrollers zu domäneninternen lokalen Gruppen. Sie werden im nächsten Abschnitt beschrieben. Normalerweise werden lokale Gruppen dazu verwendet, spezifischen Zugriff auf die Ressourcen eines lokalen Computers zu gewähren.
Domäneninterne lokale Gruppen Domäneninterne lokale Gruppen sind eine neue Funktion von Windows 2000, obwohl sie im Konzept und der Verwendung den lokalen Gruppen sehr ähnlich sind, die auf einem PDC in einer Windows NT-Domäne erstellt wurden. Domäneninterne lokale Gruppen sind nur in Domänen im einheitlichen Modus verfügbar und können Mitglieder aus der ganzen Gesamtstruktur, aus vertrauenswürdigen Gesamtstrukturen oder aus einer vertrauenswürdigen Domäne mit einem älteren Betriebssystem als Windows 2000 enthalten. Domäneninterne lokale Gruppen können jedoch nur Berechtigungen für Ressourcen in der Domäne, in der sie sich befinden, gewähren. Normalerweise werden domäneninterne lokale Gruppen dazu verwendet, Sicherheitsprincipals aus der Gesamtstruktur zu sammeln, um den Zugriff auf die Ressourcen in der Domäne zu kontrollieren.
Globale Gruppen Die globalen Gruppen von Windows 2000 sind die gleichen globalen Gruppen wie in Windows NT. Die globalen Gruppen von Windows 2000 können nur Mitglieder aus der Domäne enthalten, in der sie sich befinden. Diese Gruppen können Berechtigungen für Ressourcen in jeder beliebigen Domäne der Gesamtstruktur oder vertrauenswürdiger Gesamtstrukturen gewähren.
Universelle Gruppen Universelle Gruppen können Mitglieder aus jeder beliebigen Windows 2000Domäne in der Gesamtstruktur enthalten und Berechtigungen in jeder Domäne der Gesamtstruktur oder vertrauenswürdiger Gesamtstrukturen gewähren. Obwohl universelle Gruppen Mitglieder aus Domänen im gemischten Modus derselben Gesamtstruktur enthalten können, wird die universelle Gruppe bei Mitgliedern aus diesen Domänen nicht dem Zugrifftoken hinzugefügt, da universelle Gruppen im gemischten Modus nicht verfügbar sind. Obwohl Sie Benutzer zu einer universellen Gruppe hinzufügen können, wird die Einschränkung der Mitgliedschaft auf globale Gruppen empfohlen. Beachten Sie, dass universelle Gruppen nur in Domänen im einheitlichen Modus verfügbar sind.
320
Teil III
Active Directory-Infrastruktur
Sie können universelle Gruppen verwenden, um Gruppen zu bilden, die innerhalb eines Unternehmens allgemeine Funktionen übernehmen. Ein Beispiel hierfür sind virtuelle Teams. Die Zugehörigkeit zu solchen Teams in einem großen Unternehmen kann landesweit, weltweit, meistens jedoch mindestens gesamtstrukturweit sein, wobei die Teamressourcen ähnlich verteilt sind. Unter diesen Umständen können universelle Gruppen als Container für globale Gruppen jeder Tochtergesellschaft oder Abteilung verwendet werden, wobei die Teamressourcen durch einen einzigen Zugriffskontrolleintrag (ACE) für die ganze Gruppe geschützt sind. Universelle Gruppen und ihre Mitglieder sind im Globalen Katalog aufgelistet. Obwohl globale und domäneninterne lokale Gruppen ebenfalls im Globalen Katalog aufgelistet sind, sind ihre Mitglieder dort nicht enthalten. Dies hat Auswirkungen auf den Replikationsverkehr des Globalen Katalogs. Es wird empfohlen, universelle Gruppen mit Vorsicht zu verwenden. Wenn das gesamtes Netzwerk über Hochgeschwindigkeitsverbindungen verfügt, können Sie universelle Gruppen für alle Gruppen verwenden und müssen dann keine globalen Gruppen oder domäneninterne lokale Gruppen verwalten. Wenn Ihr Netzwerk jedoch WANs (Wide Area Networks) umfasst, können Sie durch die Verwendung von globalen Gruppen und domäneninternen lokalen Gruppen die Netzwerkleistung erhöhen. Wenn Sie globale und domäneninterne lokale Gruppen verwenden, können Sie auch alle weltweit verwendeten Gruppen, die selten geändert werden, als universelle Gruppen bestimmen. Tabelle 10.6 führt die Eigenschaften der Windows 2000-Gruppen auf. Tabelle 10.6 Eigenschaften von Windows 2000-Gruppen Gruppentyp
Mitgliedschaft in
Anwendungsbereich
Verfügbar im gemischten Modus?
Lokal
Dieselbe Gesamtstruktur
Computerweit
Ja
Die lokale Domäne
Nein
Domänenintern lokal
Andere vertrauenswürdige Gesamtstrukturen Vertrauenswürdige Domänen eines älteren Betriebssystems als Windows 2000 Dieselbe Gesamtstruktur Andere vertrauenswürdige Gesamtstrukturen Vertrauenswürdige Domänen eines älteren Betriebssystems als Windows 2000
Global
Lokale Domänen
Jede vertrauenswürdige Domäne
Ja
Universell
Dieselbe Gesamtstruktur
Jede vertrauens-
Nein
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
321
würdige Domäne im einheitlichen Modus
Verschachteln von Gruppen Es wird empfohlen, dass Sie die Größe Ihrer Gruppe auf 5.000 Mitglieder begrenzen, da der Speicher von Active Directory in einer einzigen Transaktion aktualisiert werden können muss. Da die Gruppenmitgliedschaften in einem einzigen mehrwertigen Attribut gespeichert werden, erfordert die Änderung einer Mitgliedschaft die Replikation der ganzen Mitgliedsliste zwischen den Domänencontrollern und die Aktualisierung während einer einzigen Transaktion. Microsoft hat Tests durchgeführt und unterstützt Gruppenmitgliedschaften bis zu 5.000 Mitgliedern. Sie können jedoch Gruppen verschachteln, um die effektive Anzahl der Mitglieder zu erhöhen. Dadurch wird der durch die Replikation der Änderungen an den Gruppenmitgliedschaften verursachte Datenverkehr reduziert. Die Verschachtelungsoptionen sind davon abhängig, ob sich die Domäne im einheitlichen oder gemischten Modus befindet. Die folgende Liste beschreibt, was in einer Gruppe enthalten sein kann, die in einer Domäne im einheitlichen Modus besteht. Diese Regeln sind von dem Anwendungsbereich der Gruppe bestimmt. ? Universelle Gruppen können Benutzerkonten, Computerkonten, universelle
Gruppen und globale Gruppen jeder beliebigen Domäne enthalten. ? Globale Gruppen können Benutzerkonten, Computerkonten und globale
Gruppen derselben Domäne enthalten. ? Domäneninterne lokale Gruppen können Benutzerkonten, Computerkonten, universelle Gruppen und globale Gruppen jeder beliebigen Domäne enthalten. Sie können auch andere domäneninterne lokale Gruppen aus derselben Domäne enthalten. Sicherheitsgruppen in einer Domäne im gemischten Modus können nur folgende Gruppen enthalten: ? Lokale Gruppen, die globale Gruppen und Benutzerkonten von vertrauens-
würdigen Domänen enthalten können. ? Globale Gruppen, die nur Benutzerkonten enthalten können.
Erweiterung der Gruppenmitgliedschaft Wenn ein Benutzer sich bei einem Client anmeldet oder eine Netzwerkverbindung zu einem Server herstellt, wird die Gruppenmitgliedschaft des Benutzers bei der Erstellung des Zugrifftokens des Benutzers erweitert. Die Gruppenerweiterung geschieht wie folgt: ? Während einer interaktiven Anmeldung an einen Client kontaktiert der Client
den Domänencontroller, um die Anmeldeinformationen des Benutzers zu überprüfen und ein Kerberos-TGT zu erhalten. Der Domänencontroller erweitert die Liste der Gruppenmitgliedschaften des Benutzers für die folgenden Gruppentypen: ? Universelle Gruppen, die an einer beliebigen Stelle der Gesamtstruktur
definiert wurden
322
Teil III
Active Directory-Infrastruktur ? Globale Gruppen ? Domäneninterne lokale Gruppen derselben Domäne wie die des
Benutzerkontos. Diese Gruppenlisten sind im TGT als Autorisierungsdaten enthalten. ? Wenn der Client eine Netzwerkverbindung zu einem Server einleitet, wird, wenn sich der Server in einer anderen Domäne als das Benutzerkonto befindet, eine domänenübergreifende Referenz verwendet, um ein Dienstticket vom Schlüsselverteilungscenter des Servers zu erhalten. Wurde das Dienstticket ausgestellt, fügt die Gruppenerweiterung die domäneninternen lokalen Gruppen, in denen der Benutzer Mitglied ist, der Domäne des Servers hinzu. Diese Gruppen werden zusammen mit der Gruppenliste im TGT den Autorisierungsdaten im Dienstticket hinzugefügt. Befindet sich der Server in derselben Domäne wie das Benutzerkonto, sind die domäneninternen lokalen Gruppen bereits vom ersten interaktiven Anmelden an im TGT verfügbar. ? Stellt der Client eine Verbindung mit dem Server her, erfolgt dann eine Erweiterung der lokalen Gruppen, wenn das Benutzerkonto oder eine der Gruppen, in denen der Benutzer Mitglied ist, auch Mitglied einer lokalen Gruppe auf dem Server ist. Beim Erstellen des Zugrifftokens für den Benutzer werden alle vom Domänencontroller oder Ressourcenserver erweiterten Informationen zur Gruppenmitgliedschaft verwendet, um den Benutzer zu identifizieren.
Auswirkungen der Aktualisierung auf Gruppen Die Aktualisierung eines PDC zu Windows 2000 zeigt keine unmittelbare Auswirkung auf Gruppen: Lokale Gruppen von Windows NT werden in Windows 2000 zu lokalen Gruppen, und globale Gruppen von Windows NT werden in Windows 2000 zu globalen Gruppen. Die eigentliche Veränderung erfolgt, wenn Sie die Domäne in den einheitlichen Modus umschalten. Zu diesem Zeitpunkt werden aus den lokalen Gruppen auf dem PDC domäneninterne lokale Gruppen.
Verwenden von NetBIOS mit Windows 2000 NetBIOS ist eine hochentwickelte Schnittstelle zur Netzwerkprogrammierung in Netzwerkkomponenten mit älteren Betriebssystemen als Windows 2000. Die Netzwerkressourcen werden im NetBIOS-Namespace durch eindeutige NetBIOSNamen identifiziert. WINS ist ein Dienst von Windows NT Server 4.0, der die Registrierung von dynamischen Zuordnungen von NetBIOS-Namen zu IPAdressen unterstützt und NetBIOS-Namensauflösung bietet. Mit der Version von Windows 2000 ist die Unterstützung der NetBIOS-Namenschnittstelle nur noch für Clusterserver notwendig. Aus diesem Grund, gemeinsam mit dem zunehmenden Gebrauch von DNS und der Ankündigung von Active Directory, wird die Verwendung von NetBIOS mit der Zeit zurückgehen. Beachten Sie, dass die Aktualisierung der Domäne zu Windows 2000 nicht notwendigerweise die NetBIOS-Unterstützung auf Ihrem Netzwerk überflüssig macht, noch beeinflusst sie das Ausmaß der Unterstützung, über die Sie aktuell verfügen. Wenn z. B. Ihr Netzwerk viele Segmente aufweist, wird WINS benötigt, um die NetBIOS-Suchliste zu erstellen. Ohne WINS muss das Netzwerk für die Suche nach Ressourcen auf Active Directory zurückgreifen. Dies kann erhebliche
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
323
Auswirkungen auf Clients mit einem älteren Betriebssystem als Windows mit sich bringen.
324
Teil III
Active Directory-Infrastruktur
Sie können die Verwendung von NetBIOS und WINS nach der Aktualisierung einstellen, wenn folgende Bedingungen zutreffen: ? Es gibt keine Clients (wie Windows für Workgroups, Windows 95,
Windows 98, oder Windows NT) und keine Server unter Windows NT, die NetBIOS verwenden. Clients, die mit älteren Versionen des WindowsBetriebssystems betrieben werden, können jedoch immer noch NetBIOSNamen benötigen, um Datei- und Druckdienste liefern zu können, und veraltete Anwendungen zu unterstützen. Vergewissern Sie sich in Ihrem Testplan, dass Sie die Auswirkung veralteter Anwendungen und Dienste richtig einschätzen. Weitere Informationen über das Testen finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in dieser Dokumentation. ? Sie verfügen über ein reines Windows 2000-Netzwerk und sind sicher, dass alle Computer und Anwendungen auf Ihrem Netzwerk bei der Verwendung eines anderen Namensdienstes als DNS funktionieren. Die Netzwerknamensgebung ist ein elementarer Dienst für die Lokalisierung von Computern und Ressourcen innerhalb Ihres Netzwerks, auch wenn NetBIOS-Namen nicht erforderlich sind. Der WINS-Client von Windows 2000 speichert gelöschte Namen lokal und verwendet eine Caching Resolver genannte Komponente, um im Cache nachzusehen, bevor er eine Abfrage an DNS weiterleitet. Die Hostdatei wird gespeichert, sobald der Client startet, und jede Aktualisierung der Hostdatei wird unmittelbar im Cache widergespiegelt. Die Abfolge der Namenauflösung lautet: 1. Der Client versucht die Namensauflösung aus dem Clientcache. 2. Wenn die Auflösung aus dem Clientcache fehlschlägt, versucht der Client die Namensauflösung durch DNS. 3. Wenn die Auflösung durch DNS wiederum fehlschlägt, versucht der Client die Namensauflösung durch WINS. Wenn diese Kriterien zutreffen, ist ein Wechsel von NetBIOS und WINS problemlos, solange Sie alle veralteten Bedingungen entfernt und eine ausreichende Revisionskontrolle über Ihre neu aktualisierten Clients implementiert haben.
Übergang zum Dateireplikationsdienst Windows NT Server bietet eine Replikationseinrichtung, die als LAN ManagerReplikationsdienst bekannt ist. Der Dateireplikationsdienst (FRS) in Windows 2000 Server ersetzt diesen LAN Manager-Replikationsdienst. Anmerkung Windows 2000 Server unterstützt den LAN Manager-Replikationsdienst weder im gemischten noch im einheitlichen Modus. Wenn Sie daher die LAN Manager-Replikation verwendet haben, benötigen Sie eine Strategie innerhalb Ihres Aktualisierungsplans, damit der Wechsel zu FRS dieselbe Funktionalität bietet.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
325
Prozess für den LAN Manager-Replikationsdienst Der LAN Manager-Replikationsdienst verwendet Import- und Exportverzeichnisse. Sie konfigurieren den LAN Manager-Replikationsdienst, indem Sie einen Server auswählen, auf dem ein Exportverzeichnis gespeichert wird, und eine Anzahl von Servern auswählen, auf denen die Importverzeichnisse gespeichert werden. Die Server, auf denen die Verzeichnisse gespeichert sind, müssen keine Domänencontroller sein, es kann sich um normale Mitgliedsserver handeln. Abbildung 10.5 zeigt den Prozess für den LAN Manager-Replikationsdienst.
Abbildung 10.5 Prozess für den LAN Manager-Replikationsdienst
Prozess für den Dateireplikationsdienst Der Dateireplikationsdienst von Windows 2000 Server wird automatisch konfiguriert, so dass jeder Domänencontroller über einen replizierten Systemdatenträger (SYSVOL) verfügt. Jede Änderung, die Sie an einem in der SYSVOL einer beliebigen Domäne gespeicherten Anmeldeskript vornehmen, wird mittels Multimaster-Replikation an die anderen Domänencontroller repliziert. Im Gegensatz zur LAN Manager-Replikation, bei der normale Mitgliederserver Import- und Exportverzeichnisse speichern können, können mit dem Dateireplikationsdienst nur Domänencontroller SYSVOL speichern. Abbildung 10.6 zeigt den Prozess des Dateireplikationsdienstes.
326
Teil III
Active Directory-Infrastruktur
Abbildung 10.6 Der Prozess für den Dateireplikationsdienst
Beibehalten des LAN Manager-Replikationsdienstes in einer gemischten Umgebung Während der Aktualisierung können Sie eine gemischte Umgebung aus Windows NT-Reservedomänencontrollern und Mitgliedsservern sowie Windows 2000-Domänencontrollern beibehalten. Da Windows 2000 Server den LAN Manager-Replikationsdienst nicht unterstützt, kann das Verbleiben in einer gemischten Umgebung ein Problem darstellen. Um diese Unterstützung zu bieten, müssen Sie eine Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdienst erstellen, so dass beide Dienste operieren können. Wählen Sie hierfür einen Windows 2000-Domänencontroller aus, um die an das Exportverzeichnis von Windows NT zu replizierenden Dateien zu kopieren. Das Kopieren erfolgt durch ein regelmäßig geplantes Skript namens L-bridge.cmd. Anmerkung Verwechseln Sie den Begriff gemischte Umgebung nicht mit dem Begriff gemischter Modus, der sich auf den PDC und null oder mehr Reservedomänencontroller innerhalb einer Windows 2000-Domäne bezieht. Eine gemischte Umgebung meint eine Windows 2000-Domäne im gemischten oder einheitlichen Modus, die Clients oder Server mit älteren Windows-Versionen enthält.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
327
Einrichten der Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdienst Bevor Sie die Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdiensteinrichten, müssen Sie folgendermaßen vorgehen: ? Bestimmen Sie den Windows NT-Exportserver für das in Frage kommende
Verzeichnis. ? Wählen Sie einen Windows 2000-Computer aus, der Dateien zu diesem Verzeichnis übertragen kann. Es wird empfohlen, den LAN Manager-Replikationsdienst manuell im Menü Dienste der Systemsteuerung zu deaktivieren, bevor die Domänencontroller oder Mitgliedsserver aktualisiert werden. Obwohl dies nicht empfohlen wird, können Sie die Verzeichnisreplikation von MMC nach der Aktualisierung deaktivieren. ? Führen Sie folgende Schritte durch, um den Exportserver vor der Aktualisierung zu Windows 2000 zu aktualisieren: 1. Führen Sie SrvMgr.exe auf dem aktuellen Exportserver aus und entfernen Sie das Exportverzeichnis. 2. Fügen Sie von dem neuen Exportserver mittels SrvMgr.exe das Exportverzeichnis der Exportliste hinzu. Eine Batchdatei liefert die Verknüpfung zwischen dem Skriptverzeichnis von Windows NT und dem Windows 2000-Systemdatenträger. Der Vorteil dieser Vorgehensweise liegt darin, dass die beiden Replikationsmechanismen physisch von einander getrennt sind, so dass keine veralteten Dienste auf dem Windows 2000-Domänencontroller eingeführt werden. ? Führen Sie die folgenden Schritte durch, um die Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdienst einzurichten: 1. Wählen Sie einen Windows 2000-Domänencontroller aus. 2. Erstellen Sie eine Batchdatei mit dem Namen L-bridge.cmd, die die Anmeldeskripte auf den Windows NT-Exportserver kopiert, wie in folgendem Beispiel: xcopy \\domain.com\Sysvol\domain.com\scripts \\Srv3\Export\scripts /s /D
Der Befehlszeilenschalter /D bedeutet, dass mit dem Befehl xcopy nur neuere Dateien kopiert werden. Der Befehlszeilenschalter /s bedeutet, dass der Befehl xcopy das Verzeichnis mit allen Unterverzeichnissen kopiert, die nicht leer sind. 3. Verwenden Sie den Windows 2000-Taskplanerdienst und bestimmen Sie ein vernünftiges Intervall für die Ausführung der Batchdatei. Ein Intervall von etwa zwei Stunden ist völlig ausreichend, da die Option /D die Erstellung unnötiger Dateikopien vermeidet. DieBegleit-CD zu Microsoft Windows 2000 – Die technische Referenz enthält eine Beispielversionvon L-bridge.cmd.
328
Teil III
Active Directory-Infrastruktur
Erhalten der Verfügbarkeit des LAN Manager-Replikationsdienstes während der Aktualisierung Wenn der LAN Manager-Replikationsdienst auch während der Aktualisierung verfügbar sein soll, müssen Sie den Server, auf dem sich das Exportverzeichnis befindet, lediglich erst dann aktualisieren, nachdem alle anderen Server, auf denen sich Importverzeichnisse befinden, bereits aktualisiert wurden. Wenn sich das Exportverzeichnis auf dem PDC befindet, wählen Sie einen neuen Exportserver und konfigurieren den LAN Manager-Replikationsdienst neu. Es wird empfohlen, als neuen Server denjenigen auszuwählen, der voraussichtlich zuletzt auf Windows 2000 aktualisiert wird. Andernfalls müssen Sie möglicherweise erneut einen anderen Exportserver auswählen und den ganzen Vorgang wiederholen, da die Server nach und nach aktualisiert werden.
Verwenden von Routing und RAS in einer gemischten Umgebung Wenn Sie den Routing- und RAS-Dienst (RRAS) in einer Windows NT-Umgebung verwenden, um Ihren Benutzern Remotezugriff auf das Unternehmensnetzwerk zu gewähren, sollten Sie erwägen, die RRAS-Server möglichst früh in den Prozess der Aktualisierung von Mitgliedsservern einzubeziehen. Aufgrund der Art und Weise, wie der RRAS-Prozess in Windows NT arbeitet, ist eine frühe Aktualisierung von Vorteil. Dies gilt vor allem für die Art, wie RRASEigenschaften, wie beispielsweise die Verfügbarkeit von RRAS-Zugriffen oder Rückruffunktionen für Benutzer geprüft werden. RRAS muss auch dann ausgeführt werden, wenn sich kein Benutzer am System angemeldet hat. Der Dienst wird als LocalSystem ausgeführt. Wenn sich ein Dienst als LocalSystem anmeldet, erfolgt die Anmeldung ohne Anmeldeinformationen. Das heißt, der Dienst gibt keinen Benutzernamen oder Kennwort an. Dies bedeutet, dass das Konto nicht für einen Zugriff auf Netzwerkressourcen verwendet werden kann, der auf der NTLM-Authentifizierung basiert, es sei denn, der Remotecomputer erlaubt den Zugriff ohne Anmeldeinformationen (auch als NULLSitzung bezeichnet). RRAS in Windows NT verwendet das LocalSystem-Konto. Standardmäßig akzeptiert Active Directory keine Abfragen von Objektattributen durch NULL-Sitzungen. In einer gemischten Umgebung ist ein Windows NTRRAS-Server daher nicht in der Lage, die RRAS-Eigenschaften von Benutzern abzufragen, wenn nicht folgende Bedingungen erfüllt werden: ? Die Domäne befindet sich im gemischten Modus und der Windows NT-RRAS-
Server ist auch ein Reservedomänencontroller. In diesem Fall hat RRAS lokalen Zugriff auf den SAM. ? Die Domäne befindet sich im gemischten Modus und der Windows NT-RRAS-
Server ist mit einem Windows NT-Reservedomänencontroller verbunden. Das Verhalten ist dann mit dem derzeitigen Windows NT-Verhalten identisch. Das Verhalten basiert auf der Position des sicheren Kanals. ? Die Domäne befindet sich im gemischten oder im einheitlichen Modus und die
Active Directory-Sicherheit wurde gelockert, um die integrierten Berechtigungen für den Benutzer „Jeder“ zu gewähren, so dass alle Eigenschaften aller Benutzerobjekte gelesen werden können. Der Assistent zum Installieren von Active Directory ermöglicht dem Benutzer die Auswahl dieser Konfiguration
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
329
durch eine Option zum Herabsetzen von Berechtigungen für bestimmte Active Directory-Objekte. Verwenden Sie diese Vorgehensweise nur, wenn Sie ihre Auswirkungen auf die Active Directory-Sicherheit genau kennen. Ergeben sich durch diese Methode Konflikte mit Ihren Sicherheitsanforderungen, wird empfohlen, den Windows NTRRAS-Server auf Windows 2000 zu aktualisieren und ihn zu einem Mitgliedsserver einer Windows 2000-Domäne im gemischten oder einheitlichen Modus zu machen. Dies verhindert inkonsistentes Verhalten, solange sich die Domäne im gemischten Modus befindet, wie in der zweiten Bedingung beschrieben.
Planen der Umstrukturierung von Domänen Während die Aktualisierung von Domänen die Erhaltung eines Großteils der aktuellen Umgebung, einschließlich der Domänenstruktur, ermöglicht, können Sie bei einer Umstrukturierung der Domänen die Gesamtstruktur entsprechend den Anforderungen Ihrer Organisation neu entwerfen. Eine Umstrukturierung von Domänen kann unterschiedliche Ergebnisse zur Folge haben, meist wird jedoch die derzeitige Struktur in weniger, größere Domänen umorganisiert. Die systemeigene Funktionalität von Windows 2000 ermöglicht eine Umstrukturierung von Domänen wie folgt: ? Sicherheitsprincipals können von einer Domäne zur anderen verschoben werden, wobei der vor der Verschiebung verfügbare Zugriff auf Ressourcen erhalten bleibt. ? Domänencontroller können von einer Domäne zur anderen verschoben werden, ohne dass das Betriebssystem neu installiert werden muss. Anmerkung Bei der Umstrukturierung von Domänen ist der Einsatz von Windows 2000 Server nicht erforderlich. Die Umstrukturierung kann je nach Anforderungen nach und nach erfolgen. Das Verschieben von Computern in neue Domänen oder die Verifizierung der Zugriffskontrolle kann ein intensiver, zeitaufwendiger Vorgang sein. Zur Unterstützung bei der Domänenmigration hat Microsoft die Dienstprogramme zur Domänenmigration erstellt. Diese Dienstprogramme bestehen aus einer Reihe von Component Object Model- (COM) Objekten und Beispielskripten. Sie wurden als Basis für benutzerdefinierte Administrationsprogramme entwickelt und unterstützen eine Reihe vo n Beispielen zur Domänenmigration, die von Microsoft dokumentiert und getestet wurden. Diese Beispiele basieren auf Rückmeldungen von Kunden bezüglich ihrer Anforderungen an eine Migration. Die Beschreibung des Dienstprogramms ClonePrincipal finden Sie weiter unten in diesem Kapitel.
Bestimmen der Gründe für die Umstrukturierung von Domänen Schwerpunkt dieses Kapitels ist die erstmalige Migration von Windows NT zu Windows 2000. Einige der weiter unten beschriebenen Umstrukturierungsverfahren sind möglicherweise während der Zeit nach der Migration von Nutzen. Sie haben möglicherweise eine Reihe von Gründen für die Umstrukturierung Ihrer Domänen – ein guter Grund wäre die Möglichkeit, den vollen Funktionsumfang von Windows 2000 nutzen zu können. Diese Funktionen helfen Ihnen, Ihre Domä-
330
Teil III
Active Directory-Infrastruktur
nen besser zu nutzen, um die Anforderungen Ihrer Organisation widerzuspiegeln. Die wesentlichen Vorteile bei der Umstrukturierung von Domänen sind: GrößereSkalierbarkeit Möglicherweise haben Sie die vorhandene Windows NTDomänenstruktur gemäß der Größenbeschränkungen der SAM-Kontodatenbank entworfen, und daher ein Domänenmodell mit einem oder mehreren Mastern implementiert. Mit der deutlich verbesserten Skalierbarkeit von Active Directory, das Millionen von Benutzerkonten oder Gruppen bewältigen kann, könnten Sie Ihre derzeitigen Windows NT-Domänen in weniger, größere Windows 2000-Domänen umstrukturieren. DelegierenvonAdministrationsaufgaben In Ihrem aktuellen Modell haben Sie vielleicht Ressourcendomänen implementiert, um das Delegieren administrativer Verantwortlichkeit zu ermöglichen. Die Organisationseinheiten von Windows 2000 enthalten jede Art von Sicherheitsprincipals, und Administrationsaufgaben können je nach Wunsch delegiert werden. In vielen Situationen ist das Konvertieren von Ressourcendomänen in Organisationseinheiten für das Delegieren von Administrationseinheiten besser geeignet. Detailliertere Zuweisung von Administrationsaufgaben Um die detailliertere Zuweisung von administrativer Verantwortlichkeit zu ermöglichen, vielleicht in Folge einer Unternehmensakquisition, kann Ihre Domänenstruktur durch ein komplexes Netz von Vertrauensstellungen verbunden werden. Sie könnten überlegen, einige dieser Domänen als Organisationseinheiten zu implementieren, um die Verwaltung zu vereinfachen, oder Ihr Domänenmodell neu zu entwerfen, um von wenigeren, expliziten Vertrauensstellungen zu profitieren. Beachten Sie, dass die im nächsten Abschnitt beschriebenen Beispiele keine vollständige Aktualisierung erfordern, obwohl vielleicht einige der Umstrukturierungsmethoden voraussetzen, dass Sie bereits einen Reservedomänencontroller in der umzustrukturierenden Domäne aktualisiert haben.
Bestimmen des Zeitpunkts für die Umstrukturierung von Domänen Je nach der Gestalt Ihres Migrationsplans möchten Sie die Domäne vielleicht unmittelbar nach der Aktualisierung umstrukturieren, anstelle einer späteren, zukünftigen Aktualisierung oder allgemeinen Domänenumstrukturierung. Diese Optionen werden im Folgenden beschrieben: Nach der Aktualisierung Die passendste Zeit für eine Domänenumstrukturierung ist nach einer Aktualisierung, als zweite Phase einer Migration zu Windows 2000. Die Aktualisierung hat dann die weniger komplexen Migrationsprobleme gelöst, wie beispielsweise Domänengruppen, in denen die Struktur der Vertrauensstellungen im Kern korrekt ist und in denen es keine administrativen Probleme mehr gibt. Wenn Sie sich für die Umstrukturierung nach der Aktualisierung entscheiden, beinhalten Ihre Ziele wahrscheinlich das Überarbeiten der Domänenstruktur, um die Komplexität zu verringern, oder um Ressourcendomänen mit Administratoren mit geringeren Rechten sicher in eine Gesamtstruktur einzubinden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
331
Anstelle einer Aktualisierung Sie sind vielleicht der Meinung, dass Ihre aktuelle Domänenstruktur nicht erhalten werden kann (wenn Sie beispielsweise die Infrastruktur Ihrer Verzeichnisdienste neu entwerfen müssen, um die Vorteile von Active Directory nutzen zu können), oder dass Sie es sich nicht leisten können, die Stabilität der aktuellen Produktionsumgebung während der Migration aufs Spiel zu setzen. In beiden Fällen ist der einfachste Migrationspfad der Entwurf und die Erstellungeiner vorläufigen Gesamtstruktur: eine ideale Windows 2000Gesamtstruktur, die von der aktuellen Produktionsumgebung isoliert ist. Dies gewährleistet, dass die Geschäftsvorgänge während des Pilotprojekts normal weiterlaufen können und dass das Pilotprojekt möglicherweise einmal die Produktionsumgebung wird. Nachdem Sie das Pilotprojekt erstellt haben, können Sie mit der Umstrukturierung der Domäne beginnen, indem Sie ein kleine Anzahl von Benutzern, Gruppen und Ressourcen in das Pilotprojekt migrieren. Wenn diese Phase erfolgreich abgeschlossen wurde, überführen Sie dieses Pilotprojekt direkt in eine stufenweise Migration zur neuen Umgebung. Setzen Sie Windows 2000 nach und nach als Produktionsumgebung ein, entfernen Sie die alte Domänenstruktur und richten Sie die verbleibenden Ressourcen neu ein. Nach der Migration In diesem Stadium erfolgt die Umstrukturierung von Domänen als Teil eines allgemeinen Neuentwurfs der Domänen in einer reinen Windows 2000-Umgebung. Dieses Verfahren kann sich über mehrere Jahre hinziehen, wenn die vorhandene Struktur aufgrund von organisatorischen Veränderungen oder einer Unternehmensakquisition nicht mehr geeignet ist.
Untersuchen der Auswirkungen der Umstrukturierung von Domänen Nachdem Sie entschieden haben, warum und wann eine Umstrukturierung der Domänen erforderlich ist, müssen Sie die Auswirkungen einer solchen Umstrukturierung untersuchen. Die nachfolgenden Abschnitte behandeln folgende Themen: ? Verschieben von Sicherheitsprincipals, Benutzern und globalen Gruppen,
Computern und Mitgliedsservern. ? Erstellen von Vertrauensstellungen. ? Duplizieren von Sicherheitsprincipals.
Verschieben von Sicherheitsprincipals Die Fähigkeit zum Verschieben von Sicherheitsprincipals und Domänencontrollern zwischen Domänen in Windows 2000 macht eine Umstrukturierung von Domänen im Grunde erst möglich. Daraus ergeben sich einige wichtige Auswirkungen auf die Art, wie Sicherheitsprincipals im System identifiziert werden und wie der Zugriff auf Ressourcen aufrechterhalten wird. Diese Auswirkungen könnten Ihre bevorzugte Herangehensweise an die Umstrukturierung der Domänen beeinflussen.
332
Teil III
Active Directory-Infrastruktur
Auswirkung auf SIDs SIDs arbeiten domänenbezogen. Dies hat folgende Konsequenzen: Wenn Sicherheitsprincipals, wie beispielsweise Benutzer oder Gruppen zwischen Domänen verschoben werden, muss für sie eine neue SID für das Konto in der neuen Domäne ausgestellt werden. Im Windows NT-Sicherheitsmodell wird der Zugriff auf Ressourcen durch die Art und Weise beinflusst, wie das Betriebssystem das Zugrifftoken des Benutzers betrachtet und die primäre SID des Benutzers – ebenso wie die SIDs jeder Gruppe, der der Benutzer angehört – mit der ACL in der Sicherheitsbeschreibung der Ressource vergleicht. Da die Listen von SIDs in der Zugriffskontrollliste Informationen enthalten, die entscheidend dafür sind, ob einem durch die SID identifizierten Sicherheitsprincipal ein Zugriff gewährt oder verweigert wird, hat das Ändern einer SID weitreichende Folgen. Die Auswirkungen einer SID-Änderung werden in dem folgenden Beispiel und in Abbildung 10.7 veranschaulicht. Bob ist Mitarbeiter von Reskit und hat ein Konto in der Windows NT-Kontendomäne Reskit-Acct. Bob gehört der globalen Gruppe Finance Analysts in derselben Domäne an. Reskit verwendet eine Finanzanwendung unter Windows NT, die in einer Ressourcendomäne Reskit-Res1 auf einer Anzahl von Windows NT-Servern ausgeführt wird. Da die auf dem PDC erstellten lokalen Gruppen von allen Domänencontrollern in der Domäne gemeinsam genutzt werden, sind die Server, auf denen die Anwendung läuft, auch als Reservedomänencontroller eingerichtet. Auf dem PDC wurde eine freigegebene lokale Gruppe Financial Resources erstellt. Sie wird in den Zugriffskontrolllisten der von der Anwendung verwendeten Dateien genutzt. Die globale Gruppe Reskit-Acct\Finance Analysts gehört der Gruppe Reskit-Res1\Financial Resources an.
Abbildung 10.7
Beispiel für einen Ressourcenzugriff
Bob hat darüber hinaus Zugang zu einem Dateiserver Fin_Files1 in der Ressourcendomäne. Fin_Files1 ist ein Windows NT-Server und als Mitglieds-
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
333
server eingerichtet. Fin_Files1 verwendet eine lokale Gruppe, Finance Files, für die Zugriffskontrolllisten von Dateien, die sich auf Reskit-Acct\Finance Analysts beziehen, die wiederum Fin_Files1\Finance Files angehört. Bob arbeitet an einigen geheimen Projekten und besitzt auf Fin_Files1 ein Verzeichnis, das geschützt ist, so dass nur er auf die Dateien in diesem Verzeichnis zugreifen kann. Dieses Verzeichnis hat eine Zugriffskontrollliste mit nur einem Eintrag, der Bob den Vollzugriff auf das Verzeichnis gewährt. Die Auswirkungen verschobener Sicherheitsprincipals werden deutlich, wenn Sie betrachten, was passieren würde, wenn das Konto Reskit-Acct\Bob im Zuge einer Migration – und damit einer Umstrukturierung von Domänen – in eine andere Domäne verschoben werden würde. In diesem Beispiel wurde Reskit-Acct auf Windows 2000 aktualisiert und gehört nun der Windows 2000-Gesamtstruktur als untergeordnete Domäne der Stammdomäne reskit.com an. Die Domäne Reskit-Acct wurde in den einheitlichen Modus versetzt, anschließend jedoch umstrukturiert, und ihre Mitglieder wurden in eine Windows 2000-Domäne mit dem Namen Reskit-Acct2 in einen anderen Teil der Gesamtstruktur verschoben. Anmerkung Dieses Beispiel verdeutlicht, was geschieht, wenn die Windows 2000Funktion „SID-Verlauf“ nicht verfügbar ist. Es ist wichtig, dass Sie wissen, was in einer solchen Situation zu tun ist, wenn sie während Ihrer Umstrukturierung eintritt. Die Definition des SID-Verlaufs finden Sie weiter unten in diesem Kapitel.
Auswirkung auf die Zugehörigkeit zu globalen Gruppen „Reskit-Acct\Bob“ gehört der globalen Gruppe „Reskit-Acct\Finance Analysts“ an. Da eine globale Gruppe nur Mitglieder ihrer eigenen Domäne enthalten kann, würde das Verschieben von Bob in eine neue Domäne bedeuten, dass sein neues Konto von „Reskit-Acct\Finance Analysts“ ausgeschlossen wird. Bob würde also den Zugang zu wichtigen Ressourcen verlieren, die für „Reskit-Acct\Finance Analysts“ verfügbar sind. Angenommen, zwischen der neuen Domäne und der Ressourcendomäne besteht ausreichendes Vertrauen, kann dieses Problem anscheinend auf unterschiedliche Arten gelöst werden.
Hinzufügen der neuen SID zu den Zugriffskontrolllisten der Ressource Der Zugang zu den Ressourcen könnte weiterhin gewährleistet werden, wenn für Bob eine neue SID zu den Zugriffskontrolllisten aller Ressourcen, zu denen er als Mitglied von „Reskit-Acct\Finance Analysts“ Zugang hatte, hinzugefügt wird. Aus folgenden Gründen ist diese Lösung allerdings zeitaufwendig und kompliziert. ? Viele Operationen zur Umstrukturierung von Domänen werden schrittweise
über einen längeren Zeitraum hinweg ausgeführt. Es gibt keine Gewähr dafür, dass während dieser Zeit nicht neue Ressourcen für „Reskit-Acct\Finance Analysts“ erstellt werden. Daher würde sich die Neuerstellung von Berechtigungen über den ganzen Zeitraum der Umstrukturierung hinziehen.
334
Teil III
Active Directory-Infrastruktur ? Wenn Bob eine andere Funktion einnähme und die Zugehörigkeit zu
Reskit-Acct\Finance Analysts gar nicht mehr benötigte, wäre es viel einfacher, Bob aus Reskit-Acct\Finance Analysts zu entfernen, anstatt die Zugriffskontrolllisten aller Ressourcen, die auf ihn verweisen, zu ändern. Es wird empfohlen, die Zugriffskontrolllisten anhand von Gruppen zu erstellen, anstatt von einzelnen Benutzern, da sich Benutzer und ihre spezifischen Funktionen im Lauf der Zeit ändern können.
Verschieben der Gruppe Da in Windows 2000 auch Sicherheitsprincipals verschoben werden können, könnte Reskit-Acct\Finance Analysts in die neue Domäne verschoben werden. Die Zugriffskontrolllisten, die auf die Gruppe verweisen, referenzieren jedoch auch die SID der Gruppe, so dass die Ressourcen für den Verweis auf die neue SID neue Berechtigungen erhalten müssten.
Erstellen einer „parallelen“ Gruppe in der Zieldomäne Beim Verschieben von Reskit-Acct\Finance Analysts in eine andere Domäne kann es Probleme geben, wenn nicht alle Gruppenmitglieder in einer einzigen Transaktion verschoben werden. Dies würde bedeuten, dass die Gruppe in der alten Domäne erhalten bleiben müsste, während eine neue „parallele Gruppe“ in der neuen Domäne erstellt wird. Der Ressourcenzugriff würde für die Originalgruppe und ihre Mitglieder weiterhin gewährleistet. Die Ressourcen müssten allerdings neue Berechtigungen erhalten, um auch der neuen Gruppe den Zugriff zu erlauben. Auch hier müssten weiterhin neue Berechtigungen ausgestellt werden, solange die Gruppen in beiden Domänen vorhanden sind. Dies wäre nur der Fall, wenn der SID-Verlauf nicht verfügbar wäre. Die Beschreibung des SID-Verlaufs finden Sie weiter unten in diesem Kapitel.
Auswirkung auf Zugriffskontrolllisten, die Benutzer direkt referenzieren Reskit-Acct\Bob hat darüber hinaus direkten Zugriff auf einige Ressourcen auf dem Mitgliedsserver Fin_Files, da die betreffende SID in den Zugriffskontrolllisten dieses Servers erscheint. Es ist völlig legitim, Benutzer zu den Zugriffskontrolllisten von Ressourcen hinzuzufügen. Durch das Verschieben von Reskit-Acct\Bob wäre jedoch die Neuerstellung von Berechtigungen auf diesem Server erforderlich. Damit würde die SID der neuen Domäne zu Bobs Konto hinzugefügt werden.
SID-Verlauf Dank einer Windows 2000-Funktion namens SID-Verlauf sind die oben beschriebenen Operationen des Unternehmens Reskit in vielen Punkten unnötig geworden. SID-Verlauf ist ein Attribut von Active Directory-Sicherheitsprincipals und wird verwendet, um die früheren SIDs verschobener Objekte wie Benutzer und Sicherheitsgruppen zu speichern. Wenn ein Benutzer mit Hilfe von Windows 2000-Programmen verschoben wird, wird das Attribut SID-Verlauf des Benutzerobjekts im Active Directory mit der früheren SID aktualisiert. Sobald sich der Benutzer im System anmeldet, lädt das System die Einträge seines SID-Verlaufs und fügt sie dem Zugrifftoken des Benutzers hinzu. Da auch Gruppen verschoben werden können, lädt das System auch den SID-Verlauf jeder Gruppe, der der Benutzer angehört und fügt diesen ebenfalls zu dem Zugrifftoken des Benutzers hinzu.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
335
Die Einträge des SID-Verlaufs im Token erscheinen dem System bei Autorisierungsprüfungen wie ganz normale Gruppenzugehörigkeiten und gewährleisten sogar den Zugang zu älteren Windows-Systemen, die Windows 2000 oder Active Directory nicht kennen. Abbildung 10.8 zeigt, wie der Ressourcenzugriff unter Verwendung des SID-Verlaufs gewährt wird.
Abbildung 10.8
Ressourcenzugriff wird durch SID-Verlauf gewährleistet
Windows NT 3.51 und SID-Verlauf Hinsichtlich der Gruppenzugehörigkeit und der Verwendung von Windows NT 3.51-Systemen in Windows 2000-Domänen gibt es ein Problem. Es betrifft die Art und Weise, wie Windows NT 3.51 die SIDs von Gruppenzugehörigkeiten vom Domänen controller erhält und das Sicherheitszugrifftoken erstellt. Nachdem ein Benutzer authentifiziert wurde, erstellt Windows NT 3.51 das Zugrifftoken nur mit den SIDs, die sich auf die Kontendomäne des Benutzers und die lokalen Gruppen des Servers oder Clients beziehen, auf dem die Authentifizierung stattfindet. Daher können Windows NT 3.51-Systeme universelle Gruppen außerhalb der Kontendomäne oder domäneninterne lokale Gruppen der Ressourcendomäne nicht erkennen. DiejenigenEinträge im SID-Verlauf des Benutzers oder von universellen Gruppen, denen der Benutzer angehört, die zu anderen Domänen als der Kontendomäne gehören, werden nicht in das Token aufgenommen. Dies hat zur Folge, dass die SIDs von Gruppenzugehörigkeiten anderer Domänen als der Kontendomäne des sich anmeldenden Benutzers in Windows NT 3.51 bei der Prüfung der Zugriffskontrolle ignoriert werden. In den meisten Fällen wird der Zugriff verweigert, obwohl eigentlich eine Zugriffsberechtigung besteht.
336
Teil III
Active Directory-Infrastruktur
Verschieben von Benutzern und globalen Gruppen. Wenn ein Benutzer zwischen Domänen verschoben wird, müssen alle globalen Gruppen, denen er angehört, ebenfalls verschoben werden, da eine globale Gruppe nur Mitglieder ihrer eigenen Domäne enthalten kann. Dies ist für die Gewährleistung des Ressourcenzugriffs erforderlich, der durch Zugriffskontrolllisten gesichert wird, die auf globale Gruppen verweisen. Das Verschieben einer globalen Gruppe hat jedoch zur Folge, dass auch ihre Mitglieder verschoben werden müssen. Für eine geschlossene Gruppe von Benutzern und globalen Gruppen gelten folgendeBedingungen: ? Wenn ein Benutzer verschoben wird, müssen auch alle globalen Gruppen,
denen er angehört, verschoben werden. ? Wenn eine Gruppe verschoben wird, müssen auch alle ihre Mitglieder
verschoben werden. Wenn sich die Quelldomäne im einheitlichen Modus befindet, können globale Gruppen ihrerseits wieder globale Gruppen enthalten. Das bedeutet, dass alle Mitglieder aller verschachtelten Gruppen sowie alle globalen Gruppen, deren Mitglieder zur verschachtelten Gruppe gehören, verschoben werden müssen.
Verschieben von Profilen und SID-Verlauf Bei der Ausarbeitung des Plans zur Umstrukturierung von Domänen sollten Sie bedenken, dass migrierte Benutzer neue SIDs erhalten. Dies kann sich auf ihr Benutzerprofil auswirken. Benutzern, die sich nach der Migration an ihren Computern anmelden, könnte der Zugang zu ihrem Anmeldeprofil verweigert werden, da sich ihre primären SIDs geändert haben, während ihre alten Profile immer noch unter ihren alten primären SID gespeichert sind. Dies kann unter folgenden Umständen geschehen: ? Ein Benutzer wurde von einer Windows NT 4.0-Domäne dupliziert. ? Ein Benutzer wurde von einer Windows 2000-Domäne dupliziert. ? Ein Benutzer wurde von einer Windows 2000-Domäne dupliziert, meldet sich
jedoch weiterhin an einer Windows NT 4.0-Arbeitsstation an. Wenn Benutzer nach der Migration den Zugang zu ihren Anmeldeprofilen verlieren, haben sie zwei Möglichkeiten, den Zugang wieder zu erhalten: Kopieren von Profilen oder Freigabe von Profilen. Das Kopieren von Profilen ist die bevorzugte Methode.
Kopieren von Profilen Die erste Möglichkeit ist das Kopieren des ursprünglichen Profils von seiner derzeitigen Position unter dem Schlüssel, der nach der ursprünglichen SID des Benutzers benannt ist, zu einem Schlüssel, der nach der neuen SID des Benutzers benannt ist. Jedes Konto wird mit seiner eigenen separaten Kopie des Profils verknüpft. Aktualisierungen werden im jeweils anderen Profil nicht übernommen. Der Vorteil dieser Methode liegt darin, dass das Verhalten von Windows 2000 vorhersagbarer wird. Da die Profile keine gemeinsamen Daten nutzen, kann ein
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
337
Profil nicht auf ein Konto zugreifen, dessen Daten nur für ein anderes Konto in einer anderen Domäne oder Gesamtstruktur bestimmt sind. Zu den Nachteilen dieser Methode gehört, dass: ? Die Speicherung von zwei Profilen zusätzlich Speicherplatz erfordert. ? Unvorhersagbare Fallbackresultate entstehen können. Testen Sie sorgfältig,
welche Auswirkungen die Installation von Anwendungen hat, die Gruppenrichtlinien verwenden, so dass Sie auf alle Situationen vorbereitet sind.
Freigabe von Profilen Diese Option macht dasselbe Profil sowohl für das ursprüngliche als auch das neue Konto des Benutzers verfügbar. In diesem Fall erfolgen Zugriff und Aktualisierung durch beide Konten auf dasselbe Profil. Diese Methode bietet folgendeVorteile: ? Aktualisierungen des Profils (wie z. B. Änderungen des Ordners Eigene
Dateien, Verknüpfungen usw.), die ein Benutzer von einem Konto aus durchgeführt hat, sind auch nach der Anmeldung am anderen Konto verfügbar. ? Es ist weniger Speicherplatz erforderlich, da das Profil nur einmal gespeichert wird. Die Nachteile dieser Methode sind, dass einige unbekannte Faktoren ihre Anwendung beeinflussen könnten. Wenn Sie beispielsweise ein neues Windows 2000Kontoprofil einrichten, das Verweise auf Gruppenrichtlinien enthält, müssen Sie testen, welche Auswirkungen ein Fallback zu einem Quellkonto hat, dessen Gruppenrichtlinie unterschiedlich ist oder nicht verwendet wurde.
Verschieben von Computern Da der Anwendungsbereich von freigegebenen lokalen Gruppen und domänen internen lokalen Gruppen sich nur auf der Domäne erstreckt, in der sie erstellt wurden, würde das Verschieben einer solchen Gruppe die Auflösung aller Verweise auf die Gruppe in den Zugriffskontrolllisten der Quelldomäne unmöglich machen. Für eine geschlossene Gruppe von Computern und domäneninternen lokalen Gruppen gelten folgende Bedingungen: ? Wenn ein Computer verschoben wird, werden alle freigegebenen oder
domäneninternen lokalen Gruppen, auf die in den Zugriffskontrolllisten der Computerressourcen verwiesen wird, ebenfalls verschoben. ? Wenn eine Gruppe verschoben wird, werden alle Computer in der Domäne, deren Zugriffskontrolllisten auf die Gruppe verweisen, ebenfalls verschoben. Für das Verschieben von globalen Gruppen mit Mitgliedern und geschlossenen Gruppen gelten besonders strenge Einschränkungen. Das Auffüllen und Leeren großer globaler Gruppen kann sehr zeitaufwendig sein. In manchen Fällen ist die kleinstmögliche geschlossene Gruppe die komplette Quelldomäne. Es gibt drei Möglichkeiten, dieses Problem zu lösen: 1. Erstellen paralleler Gruppen in der Zieldomäne für jede Gruppe, die verschoben werden muss. Anschließend Ermitteln aller Ressourcen im Unternehmen, deren Zugriffskontrolllisten auf die ursprüngliche Gruppe verweisen, und Erstellen
338
Teil III
Active Directory-Infrastruktur
neuer Berechtigungen dafür, so dass auch auf die parallele Gruppe verwiesen wird.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
339
Beim Verschieben globaler Gruppen ist diese Methode in folgenden Punkten ein größeres Unterfangen: ? Wenn die Ressourcen aller vertrauten Domänen Verweise auf die Gruppe
enthalten. ? Wenn domäneninterne lokale Gruppen von Quelldomänen imeinheitlichen
Modus beteiligt sind, wobei domäneninterne lokale Gruppen von jedem Computer in der Domäne verwendet werden können. 2. Umschalten der Quelldomäne in den einheitlichen Modus und anschließend Ändern des Gruppentyps in universelle Gruppe. Da sich der Anwendungsbereich universeller Gruppen auf die ganze Gesamtstruktur erstreckt, bedeutet das Ändern der Gruppen in universelle Gruppen, dass sie sicher verschoben werden können, während der Zugriff auf zurückgebliebene Ressourcen gewährleistet bleibt. Wenden Sie diese Methode vorsichtig an, da die Zugehörigkeit zu globalen Gruppen im Globalen Katalog gespeichert wird und daher den Replikationsverkehr des Globalen Katalogs beeinflusst. Aus diesem Grund nutzen Sie dieses Verfahren möglicherweise lediglich als Übergangslösung, während Benutzer und Gruppen in die neue Domäne verschoben werden. Nach Abschluss der Migration können Sie den Gruppen wieder ihren ursprünglichen Typ zuordnen. 3. Duplizieren von Gruppen von der Quelldomäne in die Zieldomäne unter Beibehaltung ihres SID-Verlaufs. Dieses Verfahren unterliegt einigen Einschränkungen, und wird im Abschnitt „Duplizieren von Sicherheitsprincipals“ weiter unten in diesem Kapitel beschrieben.
Verschieben von Mitgliedsservern In diesem Beispiel hat Bob Zugriff auf einige Ressourcen auf dem Mitgliedsserver Fin_Files1. Der Zugriff wird in Zugriffskontrolllisten gewährt, die sowohl auf eine computerinterne Gruppe Fin_Files1\Finance Files als auch direkt auf sein Domänenkonto verweisen. Die Auswirkungen des Verschiebens von Domänencontrollern einschließlich der Notwendigkeit, freigegebene lokale Gruppen und domäneninterne lokale Gruppen beizubehalten, wurden weiter oben in diesem Kapitel beschrieben. Sie unterscheiden sich allerdings von den Auswirkungen, die das Verschieben von Mitgliedsservern wie Fin_Files oder Clients mit sich bringt. Angenommen, der Mitgliedsserver wird in eine Domäne mit einer Vertrauensstellung zur neuen Kontendomäne von Bob verschoben. Der SID-Verlauf gewährleistet dann, dass Bob Zugriff auf die Ressourcen erhält, deren Zugriffskontrolllisten direkt auf ihn verweisen. Die Zugriffskontrolllisten, die auf die computerinterne Gruppe verweisen, funktionieren ebenfalls weiter, da sich die Gruppe in der Kontodatenbank des lokalen Computers befindet. Dies bedeutet, dass die Gruppe von der Verschiebung nicht betroffen ist, und ihre SID nicht geändert werden muss.
340
Teil III
Active Directory-Infrastruktur
Erstellen von Vertrauensstellungen Bei der Aktualisierung von Domänen wird vorausgesetzt, dass die Zieldomäne ausreichende Vertrauensstellungen zu allen relevanten Quelldomänen besitzt, so dass der Ressourcenzugriff erhalten bleibt. Diese Vertrauensstellungen müssen in jedem Umstrukturierungsszenario allerdings erst einmal erstellt werden. Netdom ist ein Tool zur Ausführung von Aufgaben wie der Auflistung von Vertrauensstellungen zwischen Domänen sowie zur Erzeugung neuer Vertrauensstellungen. Darüber hinaus ist es sehr nützlich bei der Erstellung von Computerkonten und der Aktualisierung der Domänenzugehörigkeit von Clients oder Servern.
Duplizieren von Sicherheitsprincipals Bis zu diesem Punkt erfolgte die Umstrukturierung mit Hilfe verschobener Sicherheitsprincipals. Beim Verschieben von Sicherheitsprincipals wird in einer Zieldomäne ein neues, identisches Konto erzeugt, und das alte Konto in der Quelldomänegelöscht. Dieses Verfahren ermöglicht keine Rückkehr zum alten Kontostatus, falls bei der Migration Probleme auftreten. Wenn Sie sicherstellen möchten, dass bei Problemen während des Pilotprojekts oder der Produktionsmigration jederzeit eine Wiederherstellung möglich ist, wird empfohlen, die Benutzer nach und nach in eine Windows 2000-Domäne zu verschieben, während die alten Benutzerkonten in der Quelldomäne beibehalten werden. Das Duplizieren macht diese Methode möglich. Hierbei wird mit dem Dienstprogramm ClonePrincipal ein Duplikat des Benutzers oder der Gruppe erstellt. Dieses Dienstprogramm enthält eine Reihe von Skripts in Microsoft® Visual Basic® (VB), die Aufgaben wie das Duplizieren globaler Gruppen oder von Benutzern durchführen.
Szenarios für die Umstrukturierung von Domänen Die beiden in diesem Abschnitt beschriebenen Szenarios beinhalten die meisten üblichen Anforderungen an die Umstrukturierung von Domänen. Beide Szenarios erleichtern das Verschieben von Benutzern und Computern von Windows NTQuelldomänen in Windows 2000-Zieldomänen. Die Beispiele sind folgende: ? Schrittweises Migrieren von Benutzern zu Windows 2000 (gesamtstrukturweit) ? Migrieren von Ressourcen in eine Windows 2000-Organisationseinheit
(gesamtstrukturweit)
Szenario #1: Schrittweises Migrieren von Benutzern von Windows NT zu Windows 2000 In diesem Szenario werden die Benutzer schrittweise in eine vorhandene Windows 2000-Umgebung migriert, ohne dass dies Auswirkungen auf die Windows NT-Produktionsumgebung hat. Abbildung 10.9 veranschaulicht dieses Beispiel. Die für eine schrittweise Migration erforderlichen Schritte und Dienstprogramme werden in diesem Abschnitt erläutert.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
Abbildung 10.9
341
Schrittweises Migrieren von Benutzern
Anmerkung Wenn Sie die aktuelle Produktionsumgebung vor Änderungen durch die Migration schützen, stellen Sie sicher, dass sie während dieses Vorgangs nicht verändert wird. Dies ermöglicht im Notfall die Rückkehr in die alte Produktionsumgebung. Nach Abschluss der Migration können Sie die alten Kontendomänen entfernen und die Domänencontroller neu zuordnen. Führen Sie anschließend folgende Aufgaben aus: 1. Erstellen Sie die vorläufige Windows 2000-Gesamtstruktur. Verwenden Sie Standardprozeduren für die Erstellung der gewünschten Windows 2000-Zielgesamtstruktur, die den Anforderungen und der bei der Planung des Namespace der Organisation erarbeiteten Struktur gerecht wird. Die Domänen der neuen Gesamtstruktur werden Windows 2000-Domänen im einheitlichen Modus sein. 2. Richten Sie die Vertrauensstellungen ein, die erforderlich sind, um den Ressourcenzugriff für die Gesamtstruktur aufrechtzuerhalten. Hierzu gehört die Verwendung von Netdom, um zu ermitteln, welche Vertrauensstellungen derzeit zwischen den Ressourcendomänen und der Windows NT-Quelldomäne bestehen. Vergleichen Sie anschließend das Ergebnis von Netdom mit der Liste von Vertrauensstellungen, die für die Gewährleistung des Ressourcenzugriffs für die Benutzer und Gruppen in der Zieldomäne erforderlich sind. Erstellen Sie mit Hilfe von Netdom die Vertrauensstellungen, die noch fehlen.
342
Teil III
Active Directory-Infrastruktur
3. Duplizieren Sie alle globalen Gruppen aus der Quelldomäne in die Zieldomäne. Die meisten Ressourcen sind durch Zugriffskontrolllisten geschützt, die auf globale Gruppen verweisen, meist indirekt durch freigegebene oder computerinterne Gruppen. Nach der Errichtung der Vertrauensstellungen ist sicherzustellen, dass die relevanten globalen Gruppen in der Zieldomäne verfügbar sind. Am einfachsten geschieht dies durch die Duplizierung aller globalen Gruppen mitClonePrincipal. 4. Ermitteln und duplizieren Sie Benutzergruppen. Nach der Duplizierung der globale Gruppen in die Zieldomäne können Sie mit der Migration der Benutzer beginnen. Diese Aufgabe wird schrittweise durchgeführt, da in den meisten Fällen zusammengehörige Gruppen von Benutzern verschoben werden. Hier sind zunächst die zusammengehörigen Benutzergruppen zu ermitteln, bevor die Quellbenutzer mit ClonePrincipal in die Zieldomäne dupliziert werden. 5. Entfernen Sie die Quelldomäne. Wenn schließlich alle Benutzer und Gruppen dauerhaft in die Zielgesamtstruktur verschoben wurden, bleibt als letzte Aufgabe die Entfernung der Quelldomäne. Hierzu werden zuerst die Reservedomänencontroller der Quelldomäne ausgeschaltet und entfernt, und anschließend der PDC der Quelldomäne. Es wird empfohlen, den PDC für den Fall einer erforderlichen Wiederherstellung zu speichern. Wenn diese Domänencontroller in der neuen Gesamtstruktur neu zugeordnet werden sollen, können sie zu Windows 2000 aktualisiert und anschließend als Domänencontroller eingesetzt oder als Mitgliedsserver verwendet werden. Vor allem bei der Migration von Benutzern empfiehlt es sich, die Anmeldevorgänge bestimmter Benutzer zu testen. Sollte in einer Phase vor der Entfernung der alten Domäne ein Fehler auftreten, können Sie den Prozess unterbrechen und die Arbeit kann in der Quellproduktionsdomäne fortgesetzt werden.
Szenario #2: Konsolidieren einer Ressourcendomäne in eine Organisationseinheit In diesem Beispiel konsolidieren Sie eine Ressourcendomäne in eine Organisationseinheit innerhalb einer Windows 2000-Domäne im einheitlichen Modus. Dadurch könnten Sie die Kosten für die Verwaltung komplexer Vertrauensstellungen reduzieren.Abbildung 10.10 veranschaulicht dieses Beispiel. Die für eine schrittweise Migration erforderlichen Schritte und grundlegenden Dienstprogramme werden in diesem Abschnitt erläutert.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
343
Abbildung 10.10 Konsolidieren einer Ressourcendomäne in eine Windows 2000Organisationseinheit
In diesem Beispiel werden die Anwendungsserver in der geplanten Organisationseinheit zu Mitgliedsservern. Es wird vorausgesetzt, dass die Anwendungsserver in jeder Domäne freigegebene lokale Gruppen verwenden. Es wird weiterhin vorausgesetzt, dass die Domänen einige Mitgliedsserver und Clients enthalten. Nach Abschluss der Umstrukturierung der Domänen können Sie die alten Domänen löschen. Der Prozess zur Konsolidierung einer Ressourcendomäne in eine Windows 2000-Organisationseinheit geschieht folgendermaßen: 1. Richten Sie die erforderlichen Vertrauensstellungen von der Zieldomäne zu den Kontendomänen außerhalb der Gesamtstruktur ein. Hierzu gehört die Verwendung von Netdom, um zu ermitteln, welche Vertrauensstellungen derzeit zwischen den Ressourcendomänen und den Kontendomänen bestehen. Sie können daraufhin das Ergebnis von Netdom mit den bereits bestehenden Vertrauensstellungen zwischen der Zieldomäne und den Kontendomänen vergleichen. Erstellen Sie mit Hilfe von Netdom die Vertrauensstellungen, die noch fehlen. 2. Duplizieren Sie alle freigegebenen lokalen Gruppen. Der Anwendungsbereich von freigegebenen lokalen Gruppen erstreckt sich nur auf die Domäne, in der sie erstellt wurden. Sie werden nur von den Domänencontrollern dieser Domäne gemeinsam genutzt. Es ist nicht notwendig, sofort alle Domänencontroller in die Zieldomäne zu verschieben. Wenn Sie sicherzustellen möchten, dass der Ressourcenzugriff während der Aufteilung der Domänencontroller und Ressourcen zwischen der Quell- und der Zieldomäne gewahrt bleibt, müssen Sie alle freigegebenen lokalen Gruppen mit ClonePrincipal in die Zieldomäne duplizieren.
344
Teil III
Active Directory-Infrastruktur
3. Setzen Sie die Anwendungsserver auf Mitgliedsserver zurück. Nachdem alle freigegebenen lokalen Gruppen dupliziert wurden, können Sie mit dem Konvertieren der Anwendungsserver zu Mitgliedsservern in der Zielorganisationseinheit beginnen. Aktualisieren Sie den PDC der Ressourcendomäne zu Windows 2000 und betreiben Sie während des Übergangszeitraums die Domäne im gemischten Modus. Sie können dann jeden Reservedomänencontroller aktualisieren, der zurückgesetzt werden soll. Starten Sie während der Aktualisierung des Reservedomänencontrollers den Assistenten zum Installieren von Active Directory und wählen Sie die Option, den Reservedomänencontroller zu einem Mitgliedsserver zu ändern. Falls eine Aktualisierung des PDC nicht möglich oder erwünscht ist, müssen Sie den Reservedomänencontroller bei jeder Aktualisierung offline schalten und ihn zu einem PDC aufwerten. Nachdem Sie den Reservedomänencontroller zu einem PDC aufgewertet haben, können Sie dann zu Windows 2000 aktualisieren. Aus dem offline geschalteten Domänencontroller wird der PDC in einer duplizierten Windows 2000-Domäne im gemischten Modus. Nachdem Sie den PDC offline aktualisiert haben, setzen Sie mit Hilfe des Assistenten zum Installieren von Active Directory den PDC zu einem Mitgliedsserver zurück. Verbinden Sie jetzt die Mitgliedsserver mit der Zieldomäne. 4. Verschieben Sie die Mitgliedsserver (einschließlich der ehemaligen Reservedomänencontroller) und Clients. Während dieses Schritts können Sie mit Netdom für den zu verschiebenden Mitgliedsserver oder Client ein Computerkonto in einer Organisationseinheit der Zieldomäne erstellen. Fügen Sie den Computer zur Zieldomäne hinzu. 5. Entfernen Sie die Quelldomäne. Wenn schließlich alle Computer und Gruppen dauerhaft in die Zielgesamtstruktur verschoben wurden, bleibt als letzte Aufgabe die Entfernung der Quelldomäne. Hierzu werden zuerst die Reservedomänencontroller der Quelldomäne ausgeschaltet und entfernt, und anschließend der PDC der Quelldomäne. Wenn diese Domänencontroller in der neuen Gesamtstruktur neu zugeordnet werden sollen, können sie zu Windows 2000 aktualisiert und anschließend zu Windows 2000-Domänencontrollern aufgewertet oder als Mitgliedsserver belassen werden. Anmerkung Wenn Sie in diesem Szenario die Reservedomänencontroller zu Mitgliedsservern zurücksetzen, müssen Sie sie so schnell wie möglich in die Zieldomäne verschieben. Wenn sich die Domäne nicht im einheitlichenModus befindet und die freigegebenen lokalen Gruppen nicht zu domäneninternen lokalen Gruppen konvertiert wurden, sind die durch diese Gruppen zugänglichen Ressourcen auf den Mitgliedsservern nicht verfügbar.
Tools für die Domänenmigration Dieser Abschnitt enthält allgemeine Informationen zu den Dienstprogrammen zur Domänenmigration und den Tools von Windows 2000 Server – Die technische Referenz, die in diesem Kapitel erwähnt wurden. Eine ausführliche Dokumentation der Funktionen und Verwendung können Sie in den Quellen finden, die in den entsprechenden Abschnitten angegeben wurden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
345
ClonePrincipal ClonePrincipal ist ein Dienstprogramm, das aus dem folgenden COM-Objekt und Beispielskripten besteht. Sie können diese Skripte mit Visual Basic anpassen. ? DSUtils.ClonePrincipal, ein COM-Objekt, das drei Methoden unterstützt: ? AddSidHistory – kopiert die SID eines Quellprincipals in den SID-Verlauf
eines bestehenden Zielprincipals. ? CopyDownlevelUserProperties – kopiert die Windows NT-Eigenschaften des Quellprincipals in den Zielprincipal. ? Connect – richtet authentifizierte Verbindungen zu den Quell- und
Zieldomänencontrollernein. ClonePrincipal ermöglicht es Ihnen, Benutzer schrittweise in eine vorhandene Windows 2000-Umgebung zu migrieren, ohne dass dies Auswirkungen auf die Windows NT-Produktionsumgebung hat. Dies geschieht durch das Duplizieren von Windows NT-Benutzern und -Gruppen in die Windows 2000-Umgebung. Die Verwendung von ClonePrincipal in dieser Weise bietet folgende Vorteile: ? Die Benutzer können sich an dem Zielkonto (Duplikat) anmelden und haben
? ? ?
?
dennoch die Möglichkeit zu einem Fallback zum Quellkonto, falls während des Testzeitraums ein Notfall eintritt. Es können mehrere Benutzer gleichzeitig in die Zielumgebung von Windows 2000 eingeführt werden. Die Quellproduktionsumgebung wird während der Migration der Benutzer zur Windows 2000-Zielumgebung nicht unterbrochen. Es ist nicht erforderlich, die Zugriffskontrolllisten zu aktualisieren, um für die Zielkonten die Gruppenmitgliedschaften und Netzwerkzugriffe zu gewährleisten. Mehrere Gruppen mit demselben Namen oder derselben Bestimmung aus unterschiedlichen Quelldomänen können in dasselbe Zielobjekt „verschmolzen“ werden.
Zusätzlich können Sie eine große Anzahl kleiner Ressourcendomänen zu Windows 2000-Organisationseinheiten konsolidieren, indem Sie mit Hilfe von ClonePrincipallokale Gruppen duplizieren. Beachten Sie, dass die Methode AddSidHistory eine sicherheitskritische Operation mit folgenden Einschränkungen ist: ? AddSidHistory erfordert, dass Sie über die Anmeldeinformationen von
Domänenadministratoren in den Quell- und Zieldomänen verfügen oder sie bereitstellen. Die Quell- und Zieldomäne muss sich NICHT in derselben Gesamtstruktur befinden. Obwohl zwischen den Quell- und Zieldomänen eine externe Vertrauensstellung bestehen kann, ist eine solche Vertrauensstellung für diese Funktion nicht erforderlich. ? AddSidHistory-Ereignisse können überwacht werden. Dies stellt sicher, dass beide Domänenadministratoren der Quell- und Zieldomäne erkennen können, wenn die Funktion ausgeführt wurde. Die Überwachung in der Quelldomäne wird empfohlen, ist jedoch nicht erforderlich, die Überwachung in der Zieldomäne MUSS dagegen aktiviert sein, damit AddSidHistory erfolgreich durchgeführt werden kann.
346
Teil III
Active Directory-Infrastruktur ? Beispielskripte von ClonePrincipal rufen die zugrundeliegende Methode
AddSidHistory auf, daher sind die anderen Dienstprogramme von ClonePrincipal denselben Sicherheitsüberlegungen und Einschränkungen unterworfen wie AddSidHistory.
Netdom Netdom ist ein Tool, mit dem Sie Windows 2000-Domänen und -Vertrauensstellungen über die Befehlszeile verwalten können. Netdom unterstützt Sie bei der Ausführung folgender Aufgaben: ? Verbinden eines Windows 2000-Computers mit einer Windows NT- oder
Windows 2000-Domäne und: ? Bieten einer Option zur Spezifizierung einer Organisationseinheit für das Computerkonto. ? Erstellen eines zufälliges Computerkennworts für die erste Verbindung. ? Verwalten von Computerkonten für Mitgliederclients und Mitgliedsserver von Domänen: ? Hinzufügen, Entfernen und Abfragen. ? Bieten einer Option zur Spezifizierung einer Organisationseinheit für das Computerkonto. Bieten einer Option, ein bestehendes Computerkonto von einem Mitgliedsclient einer Domäne zu einem anderen zu verschieben und dabei die Sicherheitsbeschreibung auf dem Computerkonto beizubehalten. ? Einrichten von (uni- oder bidirektionalen) Vertrauensstellungen zwischen Domänen folgenden Typs: ? Windows NT-Domänen. ? Über- und untergeordneten Windows 2000-Domänen in einer
Domänenstruktur. ? Dem Windows 2000-Teil einer Vertrauensstellung zu einem KerberosBereich. ? Überprüfen und Zurücksetzen des sicheren Kanals für folgende Konfigurationen: ? Mitgliedsclientsund -server. ? Reservedomänencontroller in einer Windows NT-Domäne. ? Bestimmte Windows 2000- Replikate. ? Verwalten von Vertrauensstellungen zwischen Domänen ? Anzeigen aller Vertrauensstellungen. ? Auflisten aller direkten Vertrauensstellungen. ? Auflisten aller (direkten und indirekten) Vertrauensstellungen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
347
Planungstaskliste für die Migration Tabelle 10.7 bietet eine Übersicht über die bei der Planung einer Migration anfallenden Aufgaben. Tabelle 10.7
Zusammenfassung der Aufgaben bei der Migrationsplanung
Task
Abschnitt
Bestimmen des Migrationswegweisers.
Beginn des Migrationsplanungsprozesses
Bestimmen der unterstützten Aktualisierungspfade. Überprüfen der vorhandenen Domänenstruktur. Entwickeln eines Wiederherstellungsplans. Bestimmen der Strategie für die Aktualisierung von Domänencontrollern.
Planen der Aktualisierung von Domänen
Bestimmen der Reihenfolge für die Aktualisierung von Domänen.
Planen der Aktualisierung von Domänen
Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus. Bestimmen der Gründe für die Umstrukturierung der Domänen. Bestimmen des Zeitpunkts für die Umstrukturierung der Domänen.
Planen der Aktualisierung von Domänen
Verschieben von Benutzern und Gruppen.
Planen der Umstrukturierung von Domänen
Verschieben von Computern.
Planen der Umstrukturierung von Domänen
Verschieben von Mitgliedsservern.
Planen der Umstrukturierung von Domänen
Einrichten von Vertrauensstellungen. Duplizieren von Sicherheitsprincipals. Wechsel in den einheitlichen Modus.
Planen der Umstrukturierung von Domänen Planen der Umstrukturierung von Domänen Planen der Aktualisierung von Domänen
Planen der Aktualisierung von Domänen Planen der Aktualisierung von Domänen Planen der Aktualisierung von Domänen
Planen der Umstrukturierung von Domänen Planen der Umstrukturierung von Domänen
Planen der Umstrukturierung von Domänen
348
Teil III
Active Directory-Infrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
347
K A P I T E L
1 1
Planen der verteilten Sicherheit
Ein Sicherheitsplan ist eine wesentliche Komponente Ihres Einrichtungsplans für Microsoft ® Windows® 2000. An dieser Aufgabe sind die Vertreter zahlreicher Einrichtungsteams beteiligt. Dieses Kapitel zeigt Ihnen eine Strategie für das Planen verteilter Sicherheit in Ihrem Windows 2000-Netzwerk. Es beschreibt die primären Objekte eines Plans für verteilte Sicherheit und führt Sie in die Sicherheitsfunktionen von Windows 2000 ein. Dieses Kapitel stellt die wichtigen Faktoren in den Mittelpunkt, die zu berücksichtigen sind, um die Microsoft Windows 2000-Sicherheit effektiv zu verwenden. Verteilte Computersicherheit ist jedoch ein relativ komplexes Thema, mit dem Sie sich intensiver beschäftigen müssen. Inhalt dieses Kapitels Entwickeln eines Netzwerksicherheitsplans 348 Authentifizieren des Zugriffs von allen Benutzern 355 Anwenden der Zugriffskontrolle 362 Einrichten von Vertrauensstellungen 370 Aktivieren des Datenschutzes 373 Festlegen einheitlicher Sicherheitsrichtlinien 379 Einsetzen sicherer Anwendungen 388 Verwalten der Administration 393 Planungstaskliste zur verteilten Sicherheit 397 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Analyse des Sicherheitsrisikos ? Sicherheitsstrategien ? Beschreibungen der Sicherheitsgruppen und zugehörigen Richtlinien ? Strategien für die Netzwerkanmeldung und Authentifizierung ? Strategien zur Informationssicherheit ? Verwaltungsrichtlinien
WeiterführendeInformationen inder technischen Referenz ? Weitere Informationen zur verteilten Sicherheit finden Sie im Band Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
348
Teil III
Active Directory-Infrastruktur ? Zusätzliche Informationen zu Sicherheitsgruppen finden Sie unter „Entwerfen
der Active Directory-Struktur“ in diesem Buch. ? Weitere Informationen zur Infrastruktur von öffentlichen Schlüsseln finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch.
Entwickeln eines Netzwerksicherheitsplans Zur verteilten Sicherheit gehört die Koordination zahlreicher Sicherheitsfunktionen in einem Computernetzwerk, um eine allgemein gültige Sicherheitsrichtlinie zu implementieren. Die verteilte Sicherheit ermöglicht es Benutzern, sich bei den jeweiligen Computersystemen anzumelden, die gewünschte Information zu finden und sie zu verwenden. Der Großteil der Informationen in Computernetzwerken steht allen Benutzern für Lesezugriffe zur Verfügung, kann jedoch nur von einer kleinen Personengruppe aktualisiert werden. Wenn es sich um sicherheitskritische oder private Informationen handelt, ist es nur autorisierten Personen oder Gruppen erlaubt, die Dateien zu lesen. Auch der Schutz und die Sicherheit von Informationen, die über öffentliche Telefonnetze, das Internet und selbst Segmente von internen Unternehmensnetzwerken übertragen werden, sind zu berücksichtigen. Die Sicherheitstechnologien gehören zu den fortgeschrittensten Technologien, und die Sicherheit selbst verbindet diese Technologien mit geschäftlichen und sozialen Aspekten. Jede Technologie, so fortgeschritten und gut implementiert sie auch sein mag, ist immer nur so gut wie die Methoden, die bei ihrer Einrichtung und Verwaltung angewendet werden. Das Sicherheitseinrichtungsteam entwickelt den Netzwerksicherheitsplan. Der Plan zur Einrichtung der Netzwerksicherheit beschreibt die Verwendung der Funktionen für verteilte Sicherheit von Windows 2000 bei der Einrichtung der verteilten Sicherheit und von Lösungen zur Informationssicherheit. Ein typischer Sicherheitsplan enthält beispielsweisedie in Tabelle 11.1 gezeigten Abschnitte. Tabelle 11.1 Abschnitte eines Sicherheitsplans Abschnitte
Beschreibung
Sicherheitsrisiken
Listet die Arten von Sicherheitsrisiken in Ihrem Unternehmen auf. Beschreibt die allgemeinen, erforderlichen Sicherheitsstrategien gegen diese Risiken. Enthält die Pläne für den Einsatz von Zertifizierungsautoritäten für interne und externe Sicherheitsfunktionen.
Sicherheitsstrategien Richtlinien für die Infrastruktur von öffentlichen Schlüsseln Beschreibungen von Sicherheitsgruppen Gruppenrichtlinie
Strategien zur Netzwerkanmeldung und Authentifizierung
Enthält Beschreibungen von Sicherheitsgruppen und den Beziehungen zwischen diesen Gruppen. Dieser Abschnitt verbindet Gruppenrichtlinien mit Sicherheitsgruppen. Beschreibt die Konfiguration von Sicherheitseinstellungen der Gruppenrichtlinie, wie beispielsweise Kennwortrichtlinien für Netzwerke. Enthält Authentifizierungsstrategien für die Anmeldung im Netzwerk und die Verwendung von Remotezugriff und Smartcard bei der Anmeldung.
Kapitel 11 Planen der verteilten Sicherheit
349
(Fortsetzung) Abschnitte
Beschreibung
Strategien zur Informationssicherheit
Beschreibt die Implementierung von Lösungen zur Informationssicherheit, wie sichere E-Mail und sichere Kommunikation im Web. Enthält Richtlinien für das Delegieren von Administrationsaufgaben und das Überprüfen von Überwachungsprotokollen zur Erkennung verdächtiger Aktivitäten.
Verwaltungsrichtlinien
Ihr Plan zur Einrichtung der Netzwerksicherheit kann natürlich mehr Abschnitte enthalten als angeführt. Diese sollten jedoch mindestens darin enthalten sein. Darüber hinaus benötigt Ihre Organisation möglicherweise mehrere Sicherheitspläne. Wie viele Pläne erforderlich sind, hängt vom Anwendungsbereich der Einrichtung ab. Eine internationale Organisation benötigt möglicherweise separate Pläne für alle größeren Niederlassungen oder Standorte, während für eine regional tätige Organisation nur ein Plan erforderlich ist. Organisationen mit besonderen Richtlinien für unterschiedliche Benutzergruppen benötigen möglicherweise einen Netzwerksicherheitsplan für jede Gruppe. Testen und revidieren Sie Ihre Netzwerksicherheitspläne mit Hilfe von Testlabors, die die Computerumgebung Ihrer Organisation repräsentieren. Führen Sie auch Pilotprogramme durch, um Ihre Netzwerksicherheitspläne noch weiter zu testen und zu verbessern.
Sicherheitsrisiken Bevor die Sicherheitsfunktionen von Windows 2000 behandelt werden, folgt hier eine Übersicht über die möglichen Netzwerksicherheitsprobleme, mit denen sich IT-Manager konfrontiert sehen. Tabelle 11.2 beschreibt verschiedene Arten von Sicherheitsrisiken und bietet eine gemeinsame Basis für die anschließende Erörterung von Sicherheitsfunktionen, -strategien und -technologien. Eine ähnliche Liste in Ihrem Sicherheitsplan zeigt die Komplexität der anstehenden Sicherheitsprobleme auf und unterstützt Sie bei der Erstellung einer Gruppe von Standardbezeichnungen für jede Risikokategorie. Tabelle 11.2 Arten von Sicherheitsrisiken in einer Organisation Sicherheitsrisiko
Beschreibung
Abfangen von Benutzeridentitäten
Der Eindringling entdeckt den Benutzernamen und das Kennwort eines gültigen Benutzers. Dies kann mit Hilfe unterschiedlicher Methoden geschehen, sozial oder technisch.
Maskierung
Ein nicht autorisierter Benutzer gibt vor, ein gültiger Benutzer zu sein. Ein Benutzer nimmt z. B. die IP-Adresse eines vertrauenswürdigen Systems an und verschafft sich mit ihrer Hilfe die Zugriffsrechte des benutzten Geräts oder Systems. Der Eindringling zeichnet die Netzwerkkommunikation zwischen einem Benutzer und einem Server auf und spielt sie zu einem späteren Zeitpunkt ab, um sich für den Benutzer auszugeben. Wenn Daten als Klartext über das Netzwerk ausgetauscht
Replay-Angriff (Wiedergabe aufgezeichneter Informationen) Abfangen von Daten
350
Teil III
Active Directory-Infrastruktur werden, können unbefugte Personen die Daten überwachen und aufzeichnen. (Fortsetzung) Sicherheitsrisiko
Beschreibung
Manipulation
Der Eindringling verursacht die Änderung oder Beschädigung von Netzwerkdaten. Unverschlüsselte Finanztransaktionen über das Netzwerk sind anfällig für Manipulationen. Auch Viren können Netzwerkdaten zerstören. Netzwerkbasierte geschäftliche und finanzielle Transaktionen sind gefährdet, wenn der Empfänger der Transaktion nicht mit Sicherheit weiß, wer die Nachricht gesendet hat. Anwendungsspezifische Viren können die Makrosprache intelligenter Dokumente und Tabellen missbrauchen.
Zurückweisung
Makroviren Blockieren des Betriebs
Böswilligermobiler Softwarecode
Missbrauch von Privilegien Trojanisches Pferd Übergriffe aus dem sozialen Umfeld
Der Eindringling überschwemmt einen Server mit Anfragen, die Systemressourcen verbrauchen und entweder zu einem Zusammenbruch des Servers führen oder den normalen Betrieb erheblich behindern. Ein Zusammenbruch des Servers bietet manchmal die Gelegenheit, in das System einzudringen. Dieser Begriff bezeichnet böswilligen Softwarecode, der als selbstausführendes ActiveX®-Steuerelement oder JavaApplet aus dem Internet oder von einem Webserver heruntergeladen wird. Ein Administrator eines Computersystems benutzt wissentlich oder unwissentlich seine Privilegien für das Betriebssystem, um auf private Daten zuzugreifen. Dies ist der Oberbegriff für böswillige Programme, die sich als nützliches und harmloses Dienstprogramm ausgeben. Manchmal gelangt ein Eindringling in ein Netzwerk, indem er einfach bei neuen Mitarbeitern anruft, sich als Mitarbeiter der IT-Abteilung ausgibt und sie bittet, für seine Unterlagen ihr Kennwort zu verifizieren.
Sicherheitskonzepte Die folgenden Konzepte helfen Ihnen bei der Beschreibung von verteilten Sicherheitsstrategien unter Windows 2000. Möglicherweise nehmen Sie sie auch in Ihren Sicherheitsplan auf, um die Leser mit der verteilten Sicherheit vertraut zu machen.
Sicherheitsmodell Die Windows 2000-Sicherheit basiert auf einem einfachen Modell von Authentifizierung und Autorisierung, das den Verzeichnisdienst Microsoft® Active Directory™ verwendet. Die Authentifizierung identifiziert den Benutzer bei der Anmeldung und beim Verbindungsaufbau zu Netzwerkdiensten. Einmal identifiziert, ist der Benutzer durch Berechtigungen für den Zugriff zu einer bestimmten Gruppe von Netzwerkressourcen autorisiert. Die Autorisierung findet durch die Zugriffskontrolle mit Hilfe der Zugriffskontrolllisten (ACLs) statt, die Berechti-
Kapitel 11 Planen der verteilten Sicherheit
gungen für Dateisysteme, Datei- und Druckfreigaben im Netzwerk sowie für Einträge im Active Directory definieren.
351
352
Teil III
Active Directory-Infrastruktur
Domänenmodell Eine Domäne besteht in Windows 2000 aus einer Sammlung von Netzwerkobjekten, wie Benutzerkonten, Gruppen und Computern, die unter Berücksichtigung der Sicherheit eine gemeinsame Verzeichnisdatenbank verwenden. Eine Domäne identifiziert eine Sicherheitsautorität und bildet mit konsistenten internen Richtlinien und expliziten Sicherheitsbeziehungen zu anderen Domänen eine Sicherheitsumgrenzung.
Verwalten von Vertrauensstellungen Eine Vertrauensstellung ist eine logische Beziehung zwischen Domänen, die eingerichtet wurde, um eine Pass-Through-Authentifizierung zu ermöglichen, in der eine vertrauende Domäne die Anmeldeüberprüfungen einer vertrauenswürdigen Domäne akzeptiert. Der Begriff „transitive Vertrauensstellung“ bezieht sich auf eine Authentifizierung über eine Kette von Vertrauensstellungen hinweg. In Windows 2000 unterstützen Vertrauensstellungen die domänenübergreifende Authentifizierung durch die Verwendung des Kerberos v5-Protokolls und der NTLM-Authentifizierung für Abwärtskompatibilität.
Sicherheitsrichtlinie Die Einstellungen der Sicherheitsrichtlinie definieren das Sicherheitsverhalten des Systems. Durch die Verwendung von Gruppenrichtlinienobjekten in Active Directory können Administratoren auf verschiedene Computerklassen im Unternehmen explizite Sicherheitsprofile anwenden. Windows 2000 enthält zum BeispieleinStandard-Gruppenrichtlinienobjekt, das als Standardrichtlinie für Domänencontroller das Sicherheitsverhalten der Domänencontroller bestimmt.
Sicherheitskonfiguration und -analyse Die Windows 2000-Funktion „Sicherheitskonfiguration und -analyse“ bietet die Möglichkeit, die Sicherheitseinstellungen eines Computers mit einer Standardvorlage zu vergleichen, die Ergebnisse anzusehen und die durch die Analyse ermittelten Diskrepanzen zu beheben. Sie können auch eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren und dieses Sicherheitsprofil auf viele Computer zugleich anwenden. Windows 2000 enthält verschiedene vordefinierte Sicherheitsvorlagen, die verschiedenen Sicherheitsebenen und unterschiedlichen Typen von Clients und Servern im Netzwerk entsprechen.
Verschlüsselung mit symmetrischen Schlüsseln Auch Verschlüsselung mit geheimen Schlüsseln genannt. Diese Verschlüsselungsart verwendet für die Ver- und Entschlüsselung von Daten denselben Schlüssel. Sie verarbeitet die Daten sehr schnell und wird in zahlreichen Datenverschlüsselungen für Netzwerke und Dateisysteme eingesetzt.
Verschlüsselung mit öffentlichen Schlüsseln Die Verschlüsselung mit öffentlichen Schlüsseln verwendet zwei Schlüssel, einen öffentlichen und einen privaten. Jeder Schlüssel kann Daten so verschlüsseln, dass sie nur vom anderen Schlüssel erneut zu entschlüsseln sind. Diese Technologie bietet Raum für zahlreiche Sicherheitsstrategien und ist die Basis für verschiedene Windows 2000-Sicherheitsfunktionen. Diese Funktionen basieren auf einer Infrastruktur für öffentliche Schlüssel (PKI). Weitere Informationen zur Infrastruktur von öffentlichen Schlüsseln finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch.
Kapitel 11 Planen der verteilten Sicherheit
353
Authentifizierung Die Authentifizierung bestätigt die Identität von Benutzern, die sich an einer Domäne anmelden oder auf Netzwerkressourcen zugreifen möchten. Die Windows 2000-Authentifizierung ermöglicht die einmalige Anmeldung bei allen Netzwerkressourcen. Mit dieser Anmeldung kann sich ein Benutzer unter Verwendung eines einzigen Kennworts oder einer Smartcard einmalig an einem Clientcomputer anmelden und sich für jeden Computer in der Domäne authentifizieren. Die Authentifizierung in Windows 2000 wird unter Verwendung des Kerberos v5Protokolls, der NTLM-Authentifizierung oder der Anmeldefunktion von Windows NT für Windows NT 4.0-Domänenimplementiert.
Einmaliges Anmelden Benutzer finden es umständlich, sich bei unterschiedlichen Netzwerkservern und Anwendungen jedes Mal neu zu authentifizieren. Möglicherweise benötigt ein Benutzer verschiedene Kennwörter für die Anmeldung am lokalen Computer, an einem Datei- oder Druckserver, für das Senden von E-Mails, für den Zugriff auf Datenbanken usw. Verschiedene Server fordern möglicherweise auch die regelmäßige Änderung des Kennworts, wobei das alte häufig nicht wieder verwendet werden darf, so dass sich ein Benutzer möglicherweise ein Dutzend Kennwörter merken muss. Häufig ist nicht nur die Authentifizierung ein lästiges Übel, manche Benutzer beginnen mit der Zeit auch, häufig benutzte Kennwörter in einer Liste schriftlich festzuhalten. Auf diese Weise kann ein Netzwerk mit unterschiedlichen Authentifizierungen für das Abfangen von Benutzeridentitäten anfällig werden. Die Strategie der einmaligen Anmeldung ermöglicht es dem Benutzer, sich nur einmal interaktiv zu authentifizieren, und erlaubt ihm anschließend die authentifizierte Anmeldung bei anderen Netzwerkanwendungen und Geräten. Diese aufeinanderfolgenden Authentifizierungen sind für den Benutzer transparent.
Doppelte Authentifizierung Die doppelte Authentifizierung verlangt vom Benutzer sowohl ein physisches Objekt zur Verschlüsselung der Identität als auch ein Kennwort. Das gebräuchlichste Beispielfür eine doppelte Authentifizierung ist die ATM-Karte (Automated Teller Machine), die eine persönliche Identifikationsnummer (PIN) erfordert. Eine weitere Methode der doppelten Authentifizierung ist die biometrische Identifizierung. Anstelle einer Zugangskarte wird mit einem Spezialgerät der Handabdruck, Fingerabdruck, die Iris, Netzhaut oder die Stimme des Benutzers erfasst. Anschließend gibt der Benutzer das Äquivalent zu einem Kennwort ein. Dieses Verfahren ist aufwendig, erschwert jedoch das Abfangen von Benutzeridentitäten und die Maskierung beträchtlich. Die aufkommende Technologie für kommerzielle Unternehmen ist die Smartcard. Diese Karte ist nicht viel größer als eine ATM-Karte und wird vom Benutzer mit sich getragen. Sie enthält einen Chip, auf dem ein digitales Zertifikat und der private Schlüssel des Benutzers gespeichert sind. Der Benutzer gibt ein Kennwort oder eine PIN ein, nachdem er die Karte in ein Kartenlesegerät am Clientcomputer gesteckt hat. Da der private Schlüssel vom Benutzer mit sich geführt wird, ist es für einen Netzwerkeindringling schwierig, ihn zu entwenden. Windows 2000 unterstützt direkt die Smartcard-Authentifizierung.
354
Teil III
Active Directory-Infrastruktur
Zugriffskontrolle Die Zugriffskontrolle ist das Modell für die Implementierung der Autorisierung. Nachdem sich ein Benutzer bei einer Domäne authentifiziert hat und versucht, auf eine Ressource (wie beispielsweise eine Netzwerkdatei) zuzugreifen, bestimmen die Berechtigungen, die mit der Ressource verbunden sind, welche Zugriffsoperationen erlaubt werden (z. B. schreibgeschützt oder Lesen/Schreiben). Die Zugriffskontrolle in Windows 2000 wird mit Hilfe objektspezifischer Zugriffskontrolllisten implementiert. Die Zugriffskontrollliste kann auf der Registerkarte Sicherheit im Eigenschaftenfenster einer Datei oder eines Ordners angezeigt werden. Die Liste enthält die Namen von Benutzergruppen, die Zugang zu dem Objekt haben.
Datenintegrität Das Sicherstellen der Datenintegrität bedeutet den Schutz der Daten vor böswilligen oder zufälligen Änderungen. Bei gespeicherten Daten heißt das, dass nur autorisierte Benutzer die Daten bearbeiten, überschreiben oder löschen können. In einem Netzwerk muss ein Datenpaket daher eine digitale Signatur erhalten, so dass eine Manipulation des Pakets vom empfangenden Computer erkannt wird.
Vertraulichkeit von Daten Die Gewährleistung der Vertraulichkeit von Daten bedeutet die Verschlüsselung der Daten vor der Übertragung durch das Netzwerk sowie ihre anschließende Entschlüsselung. Diese Strategie verhindert, dass die Daten von jemandem gelesen werden, der das Netzwerk abhört (Abfangen von Daten). Ein Paket unverschlüsselter Daten, das über ein Netzwerk gesendet wird, kann leicht von jedem Computer im Netzwerk gelesen werden. Der Computer benötigt hierzu lediglich ein Paketerkennungsprogramm, das aus dem Internet heruntergeladen werden kann.
Zulassung Die Strategie der Zulassung besteht aus zwei Teilen. Im ersten Teil wird festgestellt, ob die Nachricht von einem bestimmten Benutzer gesendet wurde, der dies nicht abstreiten kann. Im zweiten Teil wird sichergestellt, dass die Nachricht nicht von jemandem stammt, der sich lediglich als der betreffende Benutzer ausgegeben hat. Dies ist eine weitere Anwendung für die Infrastruktur für öffentliche Schlüssel. Der private Schlüssel des Benutzers wird eingesetzt, um in der Nachricht eine digitale Signatur anzubringen. Wenn der Empfänger die Nachricht mit Hilfe des öffentlichen Schlüssels des Absenders lesen kann, kann die Nachricht nur von diesem spezifischen Benutzer und niemandem sonst gesendet worden sein.
Authentifizierung von Softwarecode Diese Strategie erfordert es, dass Softwarecode, der aus dem Internet heruntergeladen wurde, die Signatur eines vertrauenswürdigen Softwareherstellers trägt. Sie können Webbrowser so konfigurieren, dass die Ausführung von unsigniertem Softwarecode verhindert wird. Das Signieren von Software beweist, dass der Softwarecode authentisch ist, das heißt, dass er nach der Veröffentlichung nicht manipuliert wurde. Es garantiert jedoch nicht, dass das Ausführen dieses Softwarecodes vollkommen sicher ist. Sie müssen entscheiden, welche Software-
Kapitel 11 Planen der verteilten Sicherheit
355
hersteller vertrauenswürdig sind. (Die digitale Signatur in der ausführbaren Datei ist ein weiteres Beispiel für die Infrastruktur für öffentliche Schlüssel.)
Überwachungsprotokolle Das Überwachen der Verwaltung von Benutzerkonten und der Zugriffe auf wichtige Netzwerkressourcen ist eine wichtige Sicherheitsrichtlinie. Die Überwachung ermöglicht das Aufzeichnen von Netzwerkoperationen. So kann nachverfolgt werden, wer welche Zugriffsversuche unternommen hat. Dies ermöglicht nicht nur die Erkennung von Eindringungsversuchen. Die Protokolle können als Beweismaterial herangezogen werden, wenn ein Eindringling ermittelt und gerichtlich verfolgt wird. Das Auffinden und Löschen oder Ändern der Überwachungsprotokollekostet den intelligenten Eindringling schließlich zusätzlich Zeit und erleichtert damit die Erkennung und das Eingreifen.
Physische Sicherheit Es versteht sich von selbst, dass ein Netzwerk mit unternehmenskritischen Netzwerkdiensten in verschlossenen Räumen untergebracht werden muss. Wenn Eindringlinge an die Netzwerkserverkonsole gelangen, können sie die Kontrolle über den Netzwerkserver erlangen. Wenn sich kritische Netzwerkserver nicht an physisch gesicherten Standorten befinden, könnte ein ärgerlicher Mitarbeiter die Hardware mit einem einfachen, altmodischen Werkzeug, wie etwa einem Hammer, beschädigen. Auch die Daten sind physischen Angriffen ausgesetzt: jeder Anfänger weiss, wo sich die ENTF-Taste befindet. Der Schaden aus solchen Eingriffen kann ebenso große Datenverluste und Ausfallzeiten mit sich bringen wie ein intelligenterer,externer Angriff auf das Netzwerk. Angriffe auf das Netzwerk müssen nicht intelligent sein, um effektiv zu sein.
Benutzerschulung Die beste Verteidigung gegen Übergriffe aus dem sozialen Umfeld ist die Schulung Ihrer Benutzer zum Thema Geheimhaltung und Schutz von Kennwörtern. Die Unternehmensrichtlinien zur Verteilung kritischer Informationen müssen deutlich dargestellt werden. Veröffentlichen Sie eine Sicherheitsrichtlinie, und fordern Sie ihre strikte Einhaltung. Eine Möglichkeit zur Schulung der Mitarbeiter ist zum Beispiel: Sicherstellen, dass Ihre IT-Mitarbeiter ihre Kennwörter schützen und ihrerseits die Benutzer ebenfalls dazu anhalten.
Strategien zur verteilten Sicherheit Verteilte Sicherheit bezieht sich auf logische Sicherheitsfunktionen, die vorwiegend innerhalb des Unternehmensnetzwerks operieren. Es gibt sieben primäre Sicherheitsstrategien zum Schutz Ihrer Netzwerkressourcen. ? Authentifizieren aller Benutzer für die Systemressourcen. ? Anwenden geeigneter Zugriffskontrollen bei allen Ressourcen. ? Erstellen geeigneter Vertrauensstellungen zwischen mehreren Domänen. ? Aktivieren von Datenschutz für kritische Daten. ? EinrichteneinheitlicherSicherheitsrichtlinien. ? Verwenden sicherer Anwendungen. ? Verwalten der Sicherheitsadministration.
356
Teil III
Active Directory-Infrastruktur
Diese Themen sollten die Schwerpunkte in der Planung der verteilten Sicherheit sein. Auf den folgenden Seiten finden Sie eine ausführliche Erläuterung jeder Strategie.
Authentifizieren des Zugriffs von allen Benutzern Wenn Sie Ihr Windows 2000-Netzwerk sichern möchten, müssen Sie befugten Benutzern den Zugang ermöglichen, unbefugte Personen, die einzudringen versuchen, jedoch ausschließen. Das bedeutet, dass Sie mit Hilfe der Sicherheitsfunktionen alle Benutzer für den Zugang zu den Systemressourcen authentifizieren müssen. Authentifizierungsstrategien bestimmen das Niveau des Schutzes gegen Eindringlinge, die versuchen, Benutzeridentitäten zu stehlen oder sich als berechtigte Benutzer auszugeben. In Windows 2000 basiert die Authentifizierung von Domänenbenutzern auf den Benutzerkonten im Active Directory. Administratoren verwalten diese Konten mit Hilfe des Snap-Ins „Active Directory-Benutzer und -Computer“ der Microsoft Management Console (MMC). Benutzerkonten können in Containern, den sogenannten Organisationseinheiten, verwaltet werden, die den Entwurf des Active Directory-Namespace reflektieren. Das Standardverzeichnis für Benutzerkonten ist der Ordner Benutzer in diesem Snap-In. Wenn ein neuer Benutzer zur Organisation hinzukommt, erstellt der Administrator lieber ein einziges Konto als viele verschiedene Konten in unterschiedlichen Servern und Anwendungsdatenbanken. Wenn der Domänenauthentifizierungsdienst im Unternehmensverzeichnis integriert ist, ist das einzige Benutzerkonto auch der Verzeichniseintrag für globale Adressbuchinformationen und bietet darüber hinaus den Zugang zu allen Netzwerkdiensten. Der Benutzer benötigt nur ein einziges Kennwort zur Anmeldung an unterschiedlichen Clientcomputern oder Laptops in der Domäne. Windows 2000 unterstützt automatisch die einmalige Anmeldung für Benutzer in einer Domänengesamtstruktur. Vertrauensstellungen zwischen Domänen in der Gesamtstruktur sind standardmäßig bidirektional. Daher ist die Authentifizierung in einer Domäne ausreichend als Referenz- oder Pass-Through-Authentifizierungfür Ressourcen in anderen Domänen der Gesamtstruktur. Der Benutzer meldet sich zu Beginn einer Sitzung interaktiv an. Anschließend weisen die Netzwerksicherheitsprotokolle – Kerberos v5, NTLM und SSL/TLS (Secure Sockets Layer/Transport Layer Security) – transparent die Identität des Benutzers bei allen angeforderten Netzwerkdiensten nach. Windows 2000 unterstützt optional auch die Anmeldung mit Smartcards für eine zuverlässige Authentifizierung. Die Smartcard ist eine Identifikationskarte, die der Benutzer bei sich trägt und die anstelle eines Kennworts zur interaktiven Anmeldung verwendet wird. Sie kann auch für DFÜ-Netzwerkverbindungen verwendet werden sowie als Speicherort für Zertifikate, die auf öffentlichen Schlüsseln basieren und bei der SSL-Client-Authentifizierung oder für sichere E-Mail eingesetzt werden. Die Authentifizierung ist nicht nur auf Benutzer beschränkt. Auch Computer und Dienste werden authentifiziert, wenn sie Netzwerkverbindungen zu anderen Servern aufbauen. Windows 2000-basierte Server- und Clientcomputer stellen während des Starts eine Verbindung zum Active Directory ihrer Domäne her, um Richtlinieninformation abzufragen. Sie authentifizieren sich bei Active Directory
Kapitel 11 Planen der verteilten Sicherheit
357
und laden von dort die Computerrichtlinien herunter, bevor sich Benutzer bei ihnen anmelden können. Computer und Dienste weisen ihre Identität auch bei Clients nach, die eine gegenseitige Authentifizierung erfordern. Die gegenseitige Authentifizierung verhindert, dass Eindringlinge betrügerisch einen weiteren Computer zwischen den Client und den echten Netzwerkserver schalten. Computern und Diensten kann für „Delegierungszwecke vertraut“ werden. Dies bedeutet, dass Dienste Netzwerkverbindungen „im Auftrag von“ Benutzern aufbauen können, ohne das Kennwort dieses Benutzers zu kennen. Der Benutzer muss bereits über eine gegenseitig authentifizierte Netzwerkverbindung zu dem Dienst verfügen, bevor dieser Dienst für ihn eine weitere Netzwerkverbindung zu einem anderen Computer aufbauen kann. Dies ist vor allem für mehrschichtige Anwendungen geeignet, die die Fähigkeit zum einmaligen Anmelden über mehrere Computer hinweg verwenden. Der Einsatz dieser Funktion ist besonders im Zusammenhang mit einem verschlüsselnden Dateisystem (EFS, Encrypting File System) auf einem Dateiserver nützlich. Wenn Sie einen Dienst zur Delegierung von Netzwerkverbindungen nutzen möchten, verwenden Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Markieren Sie anschließend in der Eigenschaftenseite das Kontrollkästchen Computer für Delegierungszwecke vertrauen.
Überlegungen zu Planung Stellen Sie sicher, dass diese Überlegungen und bewährten Verfahren bei der PlanungderAuthentifizierungsrichtlinien berücksichtigt werden. Die einfachste Art, sich gegen das Entschlüsseln von Kennwörtern mit Hilfe von zeitaufwendigen Testverfahren oder Wörterbüchern zu schützen, ist die Einrichtung und Durchsetzung langer, komplexer Kennwörter. Windows 2000 ermöglicht die Erstellung von Richtlinien zur Bestimmung der Komplexität, Länge, Lebensdauer und Wiederverwendbarkeit von Kennwörtern. Ein komplexes Kennwort besteht aus zehn oder mehr Zeichen in Groß- uder Kleinschreibung, Interpunktionszeichen und Ziffern. Ein Beispiel hierfür wäre „Mein,Geburtstag,ist,623“. Smartcards bieten eine weit leistungsfähigere Authentifizierung als Kennwörter, erfordern allerdings auch einen größeren Aufwand. Für Smartcards ist die Konfiguration der Microsoft Zertifikatsdienste, der entsprechenden Lesegeräte und der Smartcards selbst erforderlich. Weitere Informationen zur Verwendung von Smartcards finden Sie unter „Anmelden mit Smartcard“ weiter unten in diesem Kapitel sowie im Kapitel „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch. Beachten Sie, dass Drittanbieter zahlreiche Sicherheitsprodukte anbieten, um eine doppelte Authentifizierung zu ermöglichen, einschließlich „Sicherheitstokens“und biometrischer Geräte. Dieses Zubehör verwendet die erweiterbaren Funktionen der grafischen Anmeldungsbenutzeroberfläche von Windows 2000, um alternative Methoden der Benutzerauthentifizierung zu ermöglichen. Die Fähigkeit, „Computern für Delegierungszwecke zu vertrauen“, ist eine äußerst leistungsfähige Funktion. Sie wird nicht standardmäßig aktiviert. Für die Aktivierung für bestimmte Computer oder Dienstkonten sind die Privilegien eines Domänenadministrators erforderlich. Der Zugang zu Computern oder Konten, denen für Delegierungszwecke vertraut wird, sollte streng kontrolliert werden. So kann die
358
Teil III
Active Directory-Infrastruktur
Einführung trojanischer Pferde verhindert werden, die die Fähigkeit, im Auftrag anderer Benutzer Netzwerkverbindungen aufzubauen, missbrauchen könnten.
Kapitel 11 Planen der verteilten Sicherheit
359
Einige Konten sind möglicherweise zu sicherheitskritisch, um eine Delegierung zuzulassen, selbst wenn sie von einem vertrauenswürdigen Server kommt. Sie können einzelne Benutzerkonten so einrichten, dass sie nicht delegiert werden können, auch wenn dem Dienst für Delegierungszwecke vertraut wird. Wenn Sie diese Funktion einsetzen möchten., verwenden Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“, und öffnen Sie die Eigenschaftenseite des betreffenden Kontos. Suchen Sie dort das Kontrollkästchen Konto kann nicht delegiert werden in der Registerkarte Konto.
Kerberos-Authentifizierung und Vertrauen Das Authentifizierungsprotokoll Kerberos ist eine Technologie für die einmalige Anmeldung an Netzwerkressourcen. Windows 2000 verwendet das Kerberos v5Protokoll, um eine schnelle einmalige Anmeldung bei den Netzwerkressourcen innerhalb einer Domäne und bei Diensten in vertrauenswürdigen Domänen zu bieten. Das Kerberos-Protokoll verifiziert sowohl die Identität des Benutzers als auch der Netzwerkdiensteund bietet damit die gegenseitige Authentifizierung.
Funktionsweise der Kerberos-Authentifizierung Wenn ein Benutzer seine Anmeldeinformationen für die Domäne eingibt (mit Benutzernamen und Kennwort oder durch die Anmeldung per Smartcard), sucht Windows 2000 einen Active Directory-Server und einen Kerberos-Authentifizierungsdienst. Der Kerberos-Dienst stellt dem Benutzer ein „Ticket“ aus. Dies ist ein temporäres Zertifikat mit Informationen, die den Benutzer bei Netzwerkservern ausweisen. Nach der erstmaligen, interaktiven Anmeldung wird das erste Kerberos-Ticket verwendet, um für die Anmeldung bei anderen Netzwerkdiensten weitere Kerberos-Tickets zu erhalten. Dies ist ein komplexer Prozess, der von Benutzer und Server die gegenseitige Authentifizierung verlangt, er ist für den Benutzer jedoch vollständig transparent. (Weitere Informationen über die Kerberos v5-Authentifizierung finden Sie in der Onlinehilfe zu Windows 2000 Server.) Die Kerberos-Authentifizierung reduziert die Anzahl von für einen Benutzer erforderlichen Kennwörter und damit das Risiko, dass seine Identität abgefangen wird. Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur erweitern den Anwendungsbereich von Kerberos auf eine umfangreiche Gruppe von Netzwerkressourcen.
Implementieren der Kerberos-Authentifizierung Es gibt keine bestimmten Voraussetzungen für die Implementierung der KerberosAuthentifizierung. Das Kerberos-Protokoll wird in Windows 2000 durchgängig verwendet. Sie müssen es nicht installieren oder aktivieren. Die Kerberos-Sicherheitsparameter können im Gruppenrichtlinien-Snap-In für MMC eingestellt werden. In einem Gruppenrichtlinienobjekt finden Sie die Kerberos-Einstellungenunter Kontorichtlinien: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen ?Kontorichtlinien ?Kerberos-Richtlinie
360
Teil III
Active Directory-Infrastruktur
Diese Einstellungen dürfen nur von qualifizierten Administratoren verwendet werden, die mit dem Kerberos-Protokoll vertraut sind.
Überlegungen zu Kerberos-Sicherheit Wenn Sie die Vorteile der erweiterten Leistungsfähigkeit und Sicherheit der Kerberos-Authentifizierung nutzen möchten, sollten Sie die Verwendung der Kerberos-Anmeldung als einziges Netzwerkanmeldeprotokoll in Ihrem Unternehmen in Erwägung ziehen. Windows 2000 implementiert die IETFStandardversion des Kerberos v5-Authentifizierungsprotokolls für eine plattformübergreifende Interoperabilität. So können beispielsweise Benutzer von UNIX-Systemen sich mit Kerberos-Anmeldeinformationen bei UNIX-Systemen anmelden und sichere Verbindungen zu Windows 2000-Diensten aufbauen, um Anwendungen zu nutzen, die von der Kerberos-Authentifizierung aktiviert wurden. Unternehmensnetzwerke, die bereits die Kerberos-Authentifizierung basierend auf UNIX-Bereichen verwenden, können Vertrauensstellungen mit Windows 2000Domänen erstellen und unter Verwendung der Kerberos-Namensauflösung die Windows 2000-Autorisierung für UNIX-Konten integrieren. Beachten Sie, dass Computer eines von Kerberos authentifizierten Netzwerks ihre ZeiteinstellungenmiteinemallgemeinenZeitdienstinnerhalb von 5 Minuten synchronisiert haben müssen, sonst schlägt die Authentifizierung fehl. Windows 2000-Computer aktualisieren automatisch die aktuelle Zeit, indem sie den Domänencontroller als Netzwerkzeitdienst verwenden. Domänencontroller verwenden wiederum den primären Domänencontroller der Domäne als autorisierten Zeitdienst. Selbst wenn sich die aktuelle Zeit zwischen Computern innerhalb einer Domäne, oder domänenübergreifend, unterscheidet, behandelt Windows 2000 Zeitunterschiede automatisch, um Anmeldeprobleme zu vermeiden. Wenn zwischen Domänen in einer Gesamtstruktur transitive Vertrauensstellungen verwendet werden, sucht der Kerberos-Dienst nach einem vertrauenswürdigen Pfad zwischen den Domänen, um eine domänenübergreifende Referenz zu erstellen. In großen Strukturen könnte es effizienter sein, Querverbindungen aus bidirektionalen Vertrauensstellungen einzurichten, die ein hohes Maß an domänenübergreifender Interaktion bieten. Dies erlaubt eine schnellere Authentifizierung, indem dem Kerberos-Protokoll Verknüpfungen für das Erzeugen der Referenzmeldung zur Verfügung gestellt werden. Die Kerberos-Authentifizierung verwendet zwischen Domänen in einer Gesamtstruktur transparente, transitive Vertrauensstellungen. Zwischen den Domänen unterschiedlicher Gesamtstrukturen kann sie jedoch keine Authentifizierung ausführen. Wenn ein Benutzer eine Ressource in einer separaten Gesamtstruktur verwenden möchte, muss er die für die Domäne dieser Gesamtstruktur gültigen Anmeldeinformationenliefern. Alternativ hierzu verwenden Anwendungen die NTLM-Authentifizierung, wenn eine unidirektionale Vertrauensstellung besteht und es die Sicherheitsrichtlinie zulässt. Windows 2000 wahrt noch die Kompatibilität mit dem NTLM-Authentifizierungsprotokoll, um die Kompatibilität mit älteren Microsoft Betriebssystemen zu unterstützen. Sie können weiterhin NTLM unter Microsoft® Windows® 95, Microsoft ® Windows® 98, Microsoft® Windows® NT 4.0 Server und Windows NT 4.0 Workstation verwenden. Die NTLM-Authentifizierung wird in Windows 2000 auch für Anwendungen verwendet, die für ältere Versionen von Windows NT entworfen wurden, die speziell NTLM-Sicherheit erfordern.
Kapitel 11 Planen der verteilten Sicherheit
361
Smartcard-Anmeldung Windows 2000 unterstützt optional die Smartcard-Authentifizierung. Smartcards bieten ein sehr sicheres Mittel zur Benutzerauthentifizierung, zur interaktiven Anmeldung, zum Signieren von Softwarecode und zur sicheren E-Mail. Das Einrichten und Warten eines Smartcardprogramms erfordert jedoch zusätzliche Ressourcen und Kosten.
Funktionsweise von Smartcards Eine Smartcard enthält einen Chip, der den privaten Schlüssel des Benutzers, die Anmeldeinformationen und das Zertifikat des öffentlichen Schlüssels für unterschiedliche Zwecke speichert. Der Benutzer legt die Karte in einen SmartcardLeser ein, der an einen Computer angeschlossen ist. Der Benutzer gibt anschließend auf Anforderung eine PIN (Personal Identification Number) ein. Smartcards bieten eine manipulationsresistente Authentifizierung durch das eigene Speichern privater Schlüssel. Der private Schlüssel wird wiederum dazu verwendet, andere Formen von Sicherheit zu liefern, die mit digitalen Signaturen und Verschlüsselungen zusammenhängen. Smartcards implementieren direkt eine doppelte Authentifizierungsrichtlinie und gestatten indirekt die Vertraulichkeit von Daten, Datenintegrität und Zulassung mehrerer Anwendungen, einschließlich der Domänenanmeldung, sicherer Mail und einem sicheren Webzugriff.
Voraussetzungen für das Implementieren von Smartcards Smartcards verwenden die Infrastruktur für öffentliche Schlüssel (PKI) unter Windows 2000. Weitere Informationen zur PKI finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in dieser Dokumentation.
Implementieren von Smartcards Zusätzlich zu PKI und den Karten selbst benötigt jeder Computer einen SmartcardLeser. Richten Sie mindestens einen Computer als Smartcard-Registrierungsstelle ein, und autorisieren Sie mindestens einen Benutzer, um ihn zu betreiben. Außer einem Smartcard-Leser ist keine besondere Hardware erforderlich. Für den Benutzer, der die Smartcard-Registrierungsstelle betreibt, muss jedoch ein Registrierungsagent-Zertifikat ausgestellt werden. Weitere Informationen zum Implementierungsverfahren von Smartcards finden Sie in der Onlinehilfe zu Windows 2000 Server.
Überlegungen zu Smartcards Sie benötigen eine Firmenzertifizierungsstelle, keine eigenständige oder Drittanbieter-Zertifizierungsstelle, um die Smartcard-Anmeldung an Windows 2000Domänen zu unterstützen. Microsoft unterstützt Smartcards und Lesegeräte nach PC/SC-Industriestandard und bietet Treiber für im Handel erhältliche Plug & Play-Smartcard-Leser. Die Smartcard-Anmeldung wird von Systemen unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server unterstützt. Die Sicherheitsvorteile der Smartcards werden umso stärker realisiert, je mehr Benutzer des Unternehmens Smartcards für die Domänenauthentifizierung, den DFÜ-Netzwerkzugriff und andere Anwendungen einsetzen können.
362
Teil III
Active Directory-Infrastruktur
Microsoft Windows 2000 unterstützt ausschließlich PC/SC-kompatibleoder Plug & Play-Smartcard-Leser. Einige Hersteller bieten möglicherweise Treiber für Nicht-Plug & Play-Smartcard-Leser an, die mit Windows 2000funktionieren. Trotzdem wird empfohlen, nur Smartcard-Leser zu kaufen, die Plug & PlayPC/SC-kompatibel sind. Smartcards können mit Mitarbeiterkartenschlüsseln und Ausweisen kombiniert werden, um mehrere Benutzer pro Karte zu unterstützen. Die Gesamtkosten für die Verwaltung des Smartcardprogramms hängen von folgenden Faktoren ab: ? Die Anzahl von in das Smartcardprogramm eingeschriebenen Benutzern und ihr
Standort. ? Das Verfahren für die Ausstellung der Smartcards für die Benutzer, einschließlich der Anforderungen für die Überprüfung der Benutzeridentität. Fordern Sie z. B. von einem Benutzer nur die Vorlage eines gültigen Personalausweises, oder stellen Sie weitergehende Nachforschungen an? Die Richtlinien wirken sich sowohl auf die erzielte Ebene an Sicherheit als auch auf die aktuellen Kosten aus. ? Das Verfahren für Benutzer, die ihre Smartcards verlieren oder verlegen. Stellen Sie z. B. temporäre Smartcards aus, autorisieren Sie eine temporäre alternative Anmeldung an das Netzwerk, oder lassen Sie Ihre Benutzer nach Hause gehen, damit sie die Karten suchen? Diese Richtlinien wirken sich darauf aus, wie viel Arbeitszeit verloren geht und wie viel Helpdesk- oder Supportpersonal benötigt wird. Der Plan zur Einrichtung der Netzwerksicherheit muss die von Ihnen verwendete Methode zur Netzwerkanmeldung und Authentifizierung beschreiben. Nehmen Sie folgende Informationen in den Sicherheitsplan auf: ? Bestimmen Sie die Netzwerkanmeldungs- und Authentifizierungsstrategien, die
Sie einrichten möchten. ? Beschreiben Sie die Überlegungen und Aspekte des Einsatzes von Smartcards. ? Beschreiben Sie die Zertifikatsdienste für eine Infrastruktur für öffentliche Schlüssel, die zur Unterstützung der Smartcards erforderlich sind.
Remotezugriff (RAS) Mit dem Routing und RAS-Dienst ermöglichen Sie entfernten Benutzern eine Verbindung mit Ihrem lokalen Netzwerk über das Telefon. Dieser Abschnitt behandelt Routing und RAS nur hinsichtlich seiner Sicherheitsfunktionen. Remotezugriff ist von Natur aus eine Einladung für Eindringlinge. Windows 2000 bietet daher mehrere Sicherheitsfunktionen, um autorisierten Zugriff zu gestatten und dabei die Gelegenheiten für den Missbrauch einzuschränken.
Funktionsweise von Remotezugriff Ein Client wählt einen RAS-Server auf Ihrem Netzwerk an. Dieser Client gewährt den Zugriff auf das Netzwerk, wenn: ? Die Anforderung einer der RAS-Richtlinien entspricht, die für den Server
definiert wurden.
Kapitel 11 Planen der verteilten Sicherheit
363
? Das Konto des Benutzers für Remotezugriff aktiviert ist. ? DieClient-/ Serverauthentifizierung erfolgreich ist.
Nachdem der Client identifiziert und autorisiert wurde, kann der Zugriff auf das Netzwerk auf bestimmte Server, Subnetze oder Protokolltypen eingeschränkt werden, je nach dem RAS-Profil des Clients. Andererseits werden durch die RASVerbindung alle normalerweise für einen Benutzer, der mit einem LAN-Netzwerk verbunden ist, verfügbaren Dienste (wie Datei- und Druckfreigaben, Webserverzugriff und Messaging) aktiviert.
RAS-Richtlinien Für Windows 2000-basierte Server gelten Sicherheitsrichtlinien, die ihr Verhalten bei Remotezugriffen bestimmen. Diese Richtlinien legen fest, ob ein Server Anfragen von Remotezugriffen akzeptiert, und wenn ja, zu welchen Tageszeiten, welche Protokolle dabei verwendet werden und welche Authentifizierungsarten erforderlich sind. RAS-Richtlinien werden mit Hilfe des Computerverwaltungs-Snap-In von MMC definiert. Sie definieren die Richtlinie im Knoten RAS-Richtlinien: Computerverwaltung (lokal) ?Dienste und Anwendungen ?Routing und RAS ?RAS-Richtlinien
Klicken Sie mit der rechten Maustaste auf eine Richtlinie in der Konsolenstruktur, und wählen Sie Eigenschaften. Eine RAS-Richtlinie wird als Regel mit Bedingungen und Aktionen definiert. Wenn die Bedingungen zutreffen, wird die Aktion ausgeführt. Wenn beispielsweise die richtige Tageszeit für Remotezugriffe ist, das angeforderte Protokoll zugelassen und der angeforderte Schnittstellentyp verfügbar ist, wird der Zugriff gewährt. Ist der Remotezugriff gewährt, wird er durch das Zugriffsprofil der Richtlinie eingeschränkt. Klicken Sie auf Profil bearbeiten, um die verfügbaren Profiloptionen anzuzeigen.
Aktivieren von Remotezugriff Wenn Sie für einen Benutzer Remotezugriff aktivieren möchten, öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Klicken Sie mit der rechten Maustaste auf einen Benutzer, und klicken Sie auf Eigenschaften. Wählen Sie in der Eigenschaftsseite die Registerkarte Einwählen. Weitere Informationen über Remotezugriff und die Installation und Konfiguration des RAS-Servers finden Sie in der Onlinehilfe von Windows 2000 Server. Zusätzliche Informationen zur RAS-Authentifizierungfinden Sie unter „RAS-Server“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Internetworking.
Überlegungen zum Remotezugriff Die Erlaubnis für den Remotezugriff für einen Benutzer ist nur effektiv, wenn eine passende RAS-Richtlinie für den RAS-Server vorhanden ist.
364
Teil III
Active Directory-Infrastruktur
Windows 2000 unterstützt die folgenden Authentifizierungsoptionen für den Remotezugriff: ? Die Standard-PPP-Methoden (Point-to-Point-Protokoll) der Anfrage-Antwort-
Authentifizierung basieren auf Benutzernamen und Kennwörtern. Standard-PPP-Authentifizierungsmethoden bieten nur eingeschränkte Sicherheit. ? BenutzerdefinierteEAP-Authentifizierungsmethoden(ExtensibleAuthenticationProtokoll). EAP-Module können von Drittanbietern entwickelt oder geliefert werden, um die Authentifizierungsfähigkeiten von PPP zu erweitern. Sie können EAP z. B. verwenden, um durch die Verwendung von Tokencards, Smartcards, biometrischer Hardware oder Einweg-Kennwortsystemen eine strengere Authentifizierung zu bieten. ? Die EAP-TLS-Authentifizierung (EAP Transport Layer Security) beruht auf digitalen Zertifikaten und Smartcards. EAP-TLS bietet eine strenge Authentifizierung. Die Anmeldeinformationen des Benutzers werden auf fälschungssicheren Smartcards gespeichert. Sie können jedem Benutzer eine Smartcard ausstellen, die für alle notwendigen Anmeldungen verwendet werden kann. Ihr Netzwerksicherheitsplan sollte Strategien für Remotezugriff und Authentifizierung enthalten, einschließlich der folgenden Informationen: ? Die verwendeten Strategien zur Anmeldeauthentifizierung. ? Strategien für den Remotezugriff durch die Verwendung des Routing und
RAS-Dienstes und virtuelle, private Netzwerke. ? Die benötigten Zertifikatsdienste, um die Authentifizierung der Benutzeranmeldung durch digitale Zertifikate zu unterstützen. ? Der Prozess und die Strategien, um den Benutzer für die Zertifikate der Anmeldeauthentifizierung und den Remotezugriff einzutragen. ? Ob bei Remotezugriffen eine Rückruffunktion verwendet wird, um Angriffe durch Identitätswechsel möglichst auszuschliessen.
Anwenden der Zugriffskontrolle Nachdem sich ein Benutzer angemeldet hat, wird er autorisiert, auf unterschiedliche Netzwerkressourcen zuzugreifen, wie auf Dateiserver und Drucker, die authentifizierten Benutzern Berechtigungen erteilen. Stellen Sie sicher, dass Sie die Ansicht des Benutzers von Netzwerkressourcen auf Geräte, Dienste und Verzeichnisse einschränken, die arbeitsbezogen sind. Dies schränkt den Schaden ein, den ein Eindringling durch die Identitätsannahme eines legitimierten Benutzers anrichten kann. Der Zugriff auf Netzwerkressourcen basiert auf Berechtigungen. Berechtigungen identifizieren Benutzer und Gruppen, denen die Durchführung bestimmter Aktionen durch die Verwendung bestimmter Ressourcen gestattet ist. Zum Beispiel verfügt die Buchhaltungsgruppe über die Lese-/Schreibberechtigung, um auf Dateien im Ordner Buchhaltungsberichte zuzugreifen. Die Revisorengruppe verfügt nur über schreibgeschützten Zugriff auf Dateien im Ordner Buchhaltungsberichte.
Kapitel 11 Planen der verteilten Sicherheit
365
Berechtigungen werden durch die Verwendung der jeder Ressource zugehörigen Zugriffskontrollliste (ACL) aktiviert. Sie finden die Zugriffskontrollliste auf der Registerkarte Sicherheit in der Eigenschaftenseite. Eine Zugriffskontrollliste ist eine Liste von Sicherheitsgruppen (seltener von Individuen), die Zugriff auf diese Ressource haben. Sicherheitsgruppen sind die effektivste Möglichkeit, Berechtigungen zu verwalten. Sie können Berechtigungen auch Einzelpersonen zuweisen, in den meisten Fällen jedoch ist es leichter, Berechtigungen einer Gruppen zu gewähren und dann die Benutzer als Mitglieder zur Gruppe hinzuzufügen und daraus zu entfernen. Windows 2000 verfügt über die Sicherheitsgruppe „Jeder“. Sie erscheint standardmäßig im Netzwerkverzeichnis der Zugriffskontrolllisten, wenn diese erstellt werden. Wenn Sie den Zugriff auf Netzwerkverzeichnisse einschränken möchten, müssen Sie die Gruppe „Jeder“ entfernen und durch eine oder mehrere passende Gruppen ersetzen. Gehen Sie nicht davon aus, dass die Standardberechtigungen für eine Ressource auch notwendigerweise geeignete Berechtigungen sind. Die Berechtigungen für das Dateisystem werden standardmäßig einer Sicherheitsgruppe zugewiesen, die „Benutzer“ genannt wird. Jeder für eine Domäne authentifizierte Benutzer befindet sich in der Gruppe „Authentifizierte Benutzer“, die ein Mitglied der Gruppe „Benutzer“ ist. Sehen Sie nach, wofür die Ressource verwendet wird, und legen Sie eine geeignete Richtlinie fest. Einige Ressourcen sind öffentlich, während andere nur für einen bestimmten Personenkreis verfügbar sein müssen. Manchmal verfügt eine große Gruppe nur über die schreibgeschützte Berechtigung für eine Datei oder ein Verzeichnis und eine kleinere Gruppe über die Lese-/Schreibberechtigung.
Zugriffskontrolllisten Die Zugriffskontrollliste beschreibt die Gruppen und Einzelpersonen, die unter Windows 2000 zu bestimmten Objekten Zugriff besitzen. Die Einzelpersonen und Sicherheitsgruppen sind im MMC-Snap-In „Active Directory-Benutzerund -Computer“ festgelegt. Viele Typen von Windows 2000-Objekten verfügen über zugehörige Zugriffskontrolllisten, u. a. Active Directory-Objekte, lokale NTFSDateien und -Ordner, die Registrierung und Drucker. Das Ausmaß der Kontrollmöglichkeiten der Zugriffskontrollliste ist so groß, dass Sie selbst Sicherheitszugriffseinschränkungen für einzelne Schriftarten vornehmen können.
Funktionsweise von Zugriffskontrolllisten Zugriffskontrolllisten implementieren Strategien zur Nutzungseinschränkung. Windows 2000 bietet ein sehr detailliertes Maß an Sicherheitskontrolle über den Zugriff auf eine Vielfalt von Objekten. Fügen Sie eine Gruppe zur Zugriffskontrollliste eines Objekts hinzu, um ihr Zugriff auf das Objekt zu gewähren. Sie können dann die spezifischen Berechtigungen anpassen, damit die Gruppe über das Objekt verfügen kann. Hinsichtlich eines lokalen Dateiordners beginnen z. B. die verfügbaren Berechtigungen für eine Gruppe mit Lesen, Schreiben, Ändern und Löschen. Dies sind jedoch nur die ersten vier von insgesamt 13 verfügbaren Berechtigungen.
366
Teil III
Active Directory-Infrastruktur
Voraussetzungen für das Implementieren von Zugriffskontrolllisten Zugriffskontrolllisten sind überall in Windows 2000 wirksam. Die einzige Voraussetzung ist, dass die Zugriffskontrollliste eine Liste von Sicherheitsgruppen und Benutzern darstellt. Sie müssen die Gruppen definieren, die die Projektteams der Organisation oder ihre Aufgaben im Unternehmen beschreiben, bevor Sie sie zu einer Zugriffskontrolllistehinzufügen.
Implementieren von Zugriffskontrolllisten Die Zugriffskontrollliste eines Objekts findet sich normalerweise auf der Registerkarte Sicherheit in der Eigenschaftenseite. Auf dieser Registerkarte wird die Liste der Gruppen, die auf dieses Objekt zugreifen können, sowie eine Zusammenfassung der Berechtigungen der einzelnen Gruppen angezeigt. Die Schaltfläche Erweitert zeigt die Gruppenberechtigungen im Detail, so dass der Benutzer stärker erweiterte Funktionen der Berechtigungsgewährung verwenden kann, wie z. B. das Definieren der Zugriffsvererbungsoptionen. Wenn Sie beispielsweise die Zugriffskontrolllisteeines Druckers anzeigen möchten, klicken Sie auf Start und zeigen auf Einstellungen. Zeigen Sie auf den Ordner, der die Systemsteuerung enthält, und klicken Sie auf Drucker. Klicken Sie mit der rechten Maustaste auf einen Drucker, und klicken Sie anschließend auf Eigenschaften. Die Zugriffskontrollliste für diesen Drucker wird auf der Registerkarte Sicherheit angezeigt. Wenn Sie die Zugriffskontrollliste für einen lokalen Dateiordner anzeigen möchten, öffnen Sie Arbeitsplatz, und verwenden Sie die Option Durchsuchen, um durch den Ordner zu navigieren. Klicken Sie mit der rechten Maustaste auf den Ordner. Zeigen Sie auf Eigenschaften, und klicken Sie anschließend auf die Registerkarte Sicherheit. Wenn Sie die Zugriffskontrollliste einer Organisationseinheit (Ordner) im Snap-In „Active Directory-Benutzer- und -Computer“ anzeigen möchten, öffnen Sie das Menü Ansicht und wählen Erweiterte Funktionen aus. Anderenfalls ist die Registerkarte Sicherheit im Dialogfeld Eigenschaften nicht sichtbar. Weitere Informationen zur Zugriffskontrolle und Zugriffskontrolllisten finden Sie in der Onlinehilfe von Windows 2000 Server. Klicken Sie auf die Registerkarte Index. Blättern Sie zu Zugriffskontrolle. Im Index finden Sie zahlreiche Einträge zu diesem Thema, da Zugriffskontrolllisten im ganzen Produkt verfügbar sind.
Sicherheitsgruppen Windows 2000 ermöglicht Ihnen die Organisation von Benutzern und anderen Domänenobjekten in Gruppen, um Zugriffsberechtigungen leichter zu verwalten. Das Definieren Ihrer Sicherheitsgruppen ist eine wichtige Aufgabe für die Planung der verteilten Sicherheit. Mit Hilfe von Windows 2000-Sicherheitsgruppen können Sie dieselben Sicherheitsberechtigungen an eine große Anzahl von Benutzern in einer Operation zuweisen. Dies gewährleistet konsistente Sicherheitsberechtigungen für alle Mitglieder einer Gruppe. Durch die Verwendung von Sicherheitsgruppen für die Zuweisung von Berechtigungen bleibt die Zugriffskontrolle auf Ressourcen relativ statisch und somit leicht zu kontrollieren und zu überwachen. Benutzer, die einen Zugriff benötigen, werden den entsprechenden Sicherheitsgruppen hinzugefügt bzw. daraus entfernt. So ändern sich die Zugriffskontrolllisten selten.
Kapitel 11 Planen der verteilten Sicherheit
367
Funktionsweise von Sicherheitsgruppen Active Directory von Windows 2000 unterstützt Sicherheits- und Verteilergruppen. Sicherheitsgruppen können über zugehörige Sicherheitsberechtigungen verfügen und zudem die Funktion von Verteilerlisten übernehmen. Verteilergruppen werden nur für Verteilerlisten verwendet. Sie weisen keine Sicherheitsfunktionen auf. Wenn Sie einen neuen Benutzer erstellen, können Sie ihn zu einer bestehenden Sicherheitsgruppe hinzufügen, um die Berechtigungen und Zugriffseinschränkungen des Benutzers vollständig zu definieren. Die Änderung einer Berechtigung für eine Gruppe betrifft alle Benutzer in dieser Gruppe. Windows 2000 enthält bereits verschiedene vordefinierte Sicherheitsgruppen, die Erstellung einer eigenen Sicherheitsgruppe ist jedoch ganz einfach.
Typen von Sicherheitsgruppen Windows 2000 unterstützt vier Typen von Sicherheitsgruppen, die sich durch ihren Anwendungsbereich unterscheiden: ? Domäneninterne lokale Gruppen werden am besten für die Gewährung von Zu-
griffsrechten auf Ressourcen wie Dateisysteme oder Drucker verwendet, die auf einem beliebigen Computer in der Domäne positioniert sind, für den allgemeine Zugriffsberechtigungen erforderlich sind. Der Vorteil von domäneninternen lokalen Gruppen hinsichtlich des Schutzes von Ressourcen liegt darin, dass die Mitglieder einer domäneninternen lokalen Gruppe sowohl aus derselben Domäne als auch von außerhalb der Domäne kommen können. Üblicherweise befinden sich Ressourcenserver in Domänen, die das Vertrauen von einer oder mehreren Hauptbenutzerdomänen, auch bekannt als Kontendomänen, besitzen. (Nur in Domänen mit einheitlichem Modus können domäneninterne lokale Gruppen verwendet werden, um auf jedem beliebigen Computer Zugriff auf Ressourcen gewähren. Im gemischten Modus dürfen sich domäneninterne lokale Gruppen nur auf Domänencontrollern befinden.) ? Globale Gruppen werden verwendet, um Benutzer zu kombinieren, die ein gemeinsames Zugriffsprofil aufweisen, das auf ihrer Funktion oder Unternehmensaufgabe basiert. Normalerweise verwenden Organisationen globale Gruppen für alle Gruppen, von denen eine häufig wechselnde Gruppenmitgliedschaft erwartet wird. Diese Gruppen können als Mitglieder nur Benutzerkonten enthalten, die in derselben Domäne definiert wurden wie die globale Gruppe. Globale Gruppen können verschachtelt werden, um überschneidende Zugriffsbedürfnisse zuzulassen oder um allzu große Gruppenstrukturen zu skalieren. Am einfachsten erfolgt die Zugriffsgewährung für globale Gruppen, wenn sie zu Mitgliedern einer Ressourcengruppe gemacht werden. Dadurch werden Zugriffsberechtigungen auf eine Reihe von projektbezogenen Ressourcen gewährt.
368
Teil III
Active Directory-Infrastruktur ? Universelle Gruppen werden in größeren Organisationen mit vielen Domänen
verwendet, in denen Bedarf dafür besteht, Zugriff auf ähnliche Kontengruppen zu gewähren, die in mehreren Domänen definiert sind. Es ist empfehlenswert, globale Gruppen als Mitglieder von universellen Gruppen zu verwenden, um die erforderliche Gesamtreplikation, die durch Änderungen an der Mitgliedschaft von universellen Gruppen entsteht, zu reduzieren. Benutzer können innerhalb ihrer Kontendomänen der entsprechenden globalen Gruppe hinzugefügt oder aus ihr entfernt werden. Nur eine kleine Anzahl von globalen Gruppen gehört direkt der universellen Gruppe an. Universellen Gruppen wird leicht Zugriff gewährt, indem sie zu Mitgliedern von domäneninternen lokalen Gruppen gemacht werden, die für die Gewährung von Zugriffsberechtigungen auf Ressourcen verwendet werden. Universelle Gruppen werden nur in Strukturen mit mehreren Domänen oder in Gesamtstrukturen mit einem globalen Katalog eingesetzt. Eine Windows 2000Domäne muss sich im einheitlichen Modus befinden, um universelle Gruppen zu verwenden. Ein Domänenmodell, das nur über eine einzelne Domäne verfügt, benötigt und unterstützt keine universellen Gruppen. ? Computerinterne Gruppen sind Sicherheitsgruppen, die für einen Computer spezifisch sind und anderswo in der Domäne nicht mehr erkannt werden. Wenn ein Mitgliedsserver ein Dateiserver ist und 100 GB Daten in mehreren Freigaben speichert, können Sie für administrative Aufgaben, die direkt auf diesem Computer durchgeführt werden oder für das Definieren von Gruppen mit lokalen Zugriffsberechtigungen eine lokale Servergruppe verwenden.
Standardberechtigungen von Sicherheitsgruppen Die Standardberechtigungen der Zugriffskontrolle von Windows 2000 bieten für Mitgliedsserver und Clientcomputer folgenden Ebenen an Sicherheit: ? Mitglieder der Gruppen „Jeder“ und „Benutzer“ (normale Benutzer) verfügen
nicht wie in Windows NT 4.0 über umfassende Lese-/Schreibberechtigungen. Diese Benutzer haben eine schreibgeschützte Berechtigung für die meisten Teile des Systems und Lese-/Schreibberechtigung nur in ihren eigenen Profilordnern. Benutzer können keine Anwendungen installieren, die Änderungen von Systemverzeichnissen erfordern, noch können sie Administrationsaufgaben ausführen. ? Die Mitglieder der Gruppe „Hauptbenutzer“ verfügen über alle Zugriffsberechtigungen, die Benutzer und Hauptbenutzer in Windows NT 4.0 hatten. Diese Benutzer haben nicht nur Lese-/Schreibberechtigung in ihren eigenen Profilordnern, sondern auch für andere Teile des Systems. Hauptbenutzer können Anwendungen installieren und viele Administrationsaufgaben übernehmen. ? Die Mitglieder der Gruppe „Administratoren“ verfügen über dieselben Zugriffsberechtigungen, die sie in Windows NT 4.0 hatten. Für Server, die als Domänencontroller konfiguriert sind, bieten Windows 2000Sicherheitsgruppen folgende Sicherheit: ? Mitglieder der Gruppen „Jeder“ und „Benutzer“ verfügen nicht wie in Windows NT 4.0 über umfassende Lese-/Schreibberechtigungen. Normale Benutzer haben eine schreibgeschützte Berechtigung für die meisten Teile des Systems und Lese-/Schreibberechtigung in ihren eigenen Profilordnern. Normale Benutzer können allerdings nur über das Netzwerk auf Domänencontroller zugreifen. Die interaktive Anmeldung ist bei Domänencontrollern nicht gestattet, wie in Windows NT 4.0.
Kapitel 11 Planen der verteilten Sicherheit
369
? Die Mitglieder der Gruppen „Kontenoperatoren“, „Serveroperatoren“ und
„Druckoperatoren“ besitzen dieselben Zugriffsberechtigungen wie in Windows NT 4.0. ? Wie in Windows NT 4.0 haben die Mitglieder der Gruppe „Administratoren“ die Kontrolle über das gesamte System.
Voraussetzungen für das Implementieren von Sicherheitsgruppen Sicherheitsgruppen sind eine vordefinierte Funktion von Active Directory. Es ist keine besondere Installation oder Voraussetzung erforderlich.
Implementieren von Sicherheitsgruppen Wenn Sie neue Benutzer erstellen und in Sicherheitsgruppen unterbringen möchten, verwenden Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Weitere Informationen über das Erstellen neuer Benutzer finden Sie in der Onlinehilfe zu Windows 2000 Server.
Überlegungen zu Sicherheitsgruppen Beim Entwerfen möglicher Sicherheitsgruppen wird Projekt- oder Ressourceneigentümern empfohlen, basierend auf den angeforderten Zugriffsberechtigungen ihre eigenen lokalen Gruppen zu definieren und die Fähigkeit zur Verwaltung der Gruppenzugehörigkeiten zu delegieren, bei der es sich ebenfalls um eine Berechtigung für Gruppen handelt. Mit Hilfe dieser Strategie können Ressourceneigentümer oder Projektleiter die Zugriffe durch Aktualisierung der jeweiligen Gruppe verwalten. Eine Sicherheitsgruppe setzt sich aus Personen zusammen, die ähnliche Aufgaben in einer Abteilung oder im Unternehmen ausüben. Die Gruppe wird oft nach ihrer Aufgabe benannt, wie etwa die in Windows 2000 vordefinierten Gruppen „Kontenoperatoren“, „Administratoren“ und „Sicherungs-Operatoren“. Mitarbeiter, die zu demselben Projekt oder denselben Abteilungsverteilerlisten gehören, gehören wahrscheinlich auch in die gleiche Sicherheitsgruppe in Active Directory. Die Sicherheitsgruppen von Windows 2000 übernehmen auch die Rolle der Verteilerlisten, so dass diese Analogie kein Zufall ist. Die Verwendung von Gruppen, die Projektteams oder Zuständigkeitsbereichen entsprechen, ist eine effektive Form, Zugriff angemessen zu gewähren. Jeder Mitarbeiter einer Abteilung benötigt den Zugriff auf die dort befindlichen Drucker. Die Entwickler eines Softwareprojekts benötigen den Zugriff auf die allgemeinen Quellverzeichnisse. Dies sind natürliche Gruppen. Beachten Sie, dass das System alle Zuordnungen eines Benutzers zu universellen und globalen Gruppen zum Anmeldezeitpunkt bestimmen muss. Wenn ein Benutzer Mitglied vieler Gruppen ist, kann sich dies auf die Netzwerkleistung auswirken, während das System alle Gruppenmitgliedschaften ermittelt.
370
Teil III
Active Directory-Infrastruktur
Es gibt eine Obergrenze für die Anzahl von Gruppen, in denen der Benutzer eingeschrieben sein kann. Für einen einzelnen Benutzer in einer einzelnen Domäne darf die Gesamtsumme von universellen, globalen, domäneninternen lokalen und computerinternen Gruppen die Anzahl von 1.000 Gruppen nicht überschreiten. Der Benutzer ist jedoch nicht nur auf diese 1.000 Gruppen beschränkt, da diese Beschränkung nur für eine einzelne Domäne gilt. In einem Modell mit mehreren Domänen könnte ein Benutzer theoretisch Mitglied in 500 universellen und globalen Gruppen in deren Kontendomäne, in 400 domäneninternen lokalen Gruppen in einer Ressourcendomäne, in 400 domäneninternen lokalen Gruppen in einer anderen Ressourcendomäne, in 50 lokalen Gruppen in einem Server und in 100 lokalen Gruppen auf einem anderen Server sein. In der Praxis ist das Gruppenlimit von 1.000 meist sehr großzügig. Verwenden Sie verschachtelte Gruppen, um die Verwaltung der Gruppenmitgliedschaft für große Gruppen zu erleichtern. (Eine große Gruppe besitzt möglicherweise 5.000 Mitglieder). Listen Sie nicht jeden Mitarbeiter einzeln in Ihrer unternehmensweiten Gruppe auf. Die unternehmensweite Gruppe ist einfacher zu verwalten, wenn sie als Gruppe definiert ist, die wiederum Abteilungsgruppen enthält. Die Abteilungsgruppen können innerhalb der unternehmensweiten Gruppe verschachtelt werden. Dies ist besonders wichtig, wenn die unternehmensweite Gruppe eine universelle Gruppe ist. Eine Organisation mit einem einzelnen LAN-Standort (Local Area Network) kann universelle Gruppen ohne Leistungsabfall einsetzen. Eine Organisation mit einem WAN-Netzwerk (Wide Area Network) muss jedoch die Auswirkung der häufigen Wechsel in der Mitgliedschaft universeller Gruppen auf die Replikationsaktivität über die Verknüpfungen zwischen den Standorten berücksichtigen. Wenn eine universelle Gruppe nur über andere Gruppen als Mitglieder verfügt, ändert sie sich nicht sehr oft, und die Replikationsaktivität ist unerheblich. Eine universelle Gruppe mit tausenden von Einzelbenutzern erfordert dagegen wahrscheinlich eine häufige Aktualisierung über mehrere WAN-Verbindungen, da jede Änderung an alle Server des globalen Katalogs des Unternehmens repliziert wird. Das Definieren von universellen Gruppen und Gruppen von Gruppen reduziert diese Netzwerkaktivitäten. Möglicherweise stellen Sie fest, dass Windows 2000 Server keine verschachtelten Gruppen zulässt. Windows 2000 Server operiert anfänglich im gemischten Modus. Dies bedeutet, dass Windows 2000- und Windows NT 4.0-Server im selben Netzwerk zusammenarbeiten können. Der gemischte Modus bringt für Sicherheitsgruppen einige Einschränkungen mit sich. Wenn alle Server zu Windows 2000 aktualisiert wurden, können Sie in den einheitlichen Modus umschalten. Dies ist ein nicht umkehrbarer Übergang, der erweiterte Funktionen wie das Verschachteln von Sicherheitsgruppen ermöglicht. Bei einem bestimmten Computer verfügen die Benutzer in der lokalen Administratorensicherheitsgruppe über die vollen Rechte und Berechtigungen für diesen Computer. Wenn ein Windows 2000-Computer mit einer Domäne verbunden wird, wird die Gruppe der Domänenadministratoren als ein Mitglied der lokalen Administratorengruppe hinzugefügt. Lokale Benutzer eines Computers benötigen gewöhnlich keine Mitgliedschaft in der Administratorengruppe. Die mit vollen Privilegien ausgestattete Administratorengruppe muss für lokale Verwaltungsaktivitäten verwendet werden, wie z. B. die Änderung der Systemkonfiguration.
Kapitel 11 Planen der verteilten Sicherheit
371
Der Plan zur Einrichtung der Netzwerksicherheit beschreibt Ihre Strategien für Sicherheitsgruppen. Nehmen Sie folgende Informationen in den Einrichtungsplan auf: ? Bestimmen Sie die universellen und globalen Sicherheitsgruppen, die Sie zusätz-
lich zu den vordefinierten Gruppen erstellen möchten. ? Bestimmen Sie die Anforderungen für Mitgliedschaften für universelle, globale und lokale Sicherheitsgruppen, einschließlich der vordefinierten Gruppen.
Sicherheitsgruppen und Replikationskonflikte Wenn Administratoren zweier unterschiedlicher Domänencontroller eines unterschiedlichen Standorts gleichzeitig die Gruppenmitgliedschaft ändern, kann eine der beiden Änderungen verloren gehen. Diese Situation kann nur auftreten, wenn Sie die Änderungen der Gruppenmitgliedschaft schneller durchführen, als sie das System replizieren kann. Wenn ein Administrator Mitglieder zu einer Gruppe hinzufügt oder daraus entfernt, wird die ganze Gruppenmitgliedschaft repliziert, nicht nur die geänderten Mitglieder. Wenn zwei Administratoren auf zwei unterschiedlichen Domänencontrollern die Gruppenmitgliedschaft ändern und die Replikation auf dem zweiten Domänencontroller stattfindet, bevor der erste Domänencontroller seine Replikation abschließt, bleibt nur eine der Änderungen bestehen, wenn Active Directory den Replikationskonflikt gelöst hat. Die anderen Änderungen gehen verloren. Daraus resultiert z. B., dass ein Benutzer unerwartet den Zugriff auf eine Ressource behält. Ein Möglichkeit, dieses Problem einzuschränken, ist die Verwendung von verschachtelten Gruppen. Erstellen Sie standortspezifische Gruppen, und machen Sie sie zu Mitgliedern einer übergeordneten Gruppe, die dazu verwendet wird, den Zugriff auf eine Ressource zu gewähren oder zu verweigern. Die Administratoren in einem Standort können dann die Mitgliedschaft einer standortspezifischen Gruppe ändern, ohne dass die Änderungen verloren gehen, solange die Mitgliedschaft in einer standortspezifischen Gruppe nicht auf mehreren Domänencontrollern schneller aktualisiert wird, als die Replikation innerhalb des Standorts abgeschlossen ist. Auch wenn Sie die Verantwortlichkeit für die Änderungen der Gruppenmitgliedschaft an einen Administrator pro Standort delegieren, werden alle Änderungen nur auf einem einzigen Domänencontroller durchgeführt, und es tritt kein Replikationskonflikt auf. Anmerkung Innerhalb eines einzelnen Active Directory-Standorts nimmt die Zeitdauer, die eine Änderung benötigt, um alle Domänencontroller zu erreichen, entsprechend der wachsenden Anzahl an Domänencontrollern zu, mit einer maximalen Wartezeit von etwa dem dreifachen Zeitraum, die der Replikationsdienst als Pausenintervall mitteilt. Allgemein wird die Replikation innerhalbeineseinzelnen Standorts schnell abgeschlossen. Die Replikation zwischen zwei oder mehreren Active Directory-Standorten dauert grundsätzlich länger und hängt von dem vom Administrator konfigurierten Replikationsplan ebenso ab, wie davon, ob der Administrator die Replikationsbenachrichtigungen innerhalb des Standorts konfiguriert hat oder nicht.
372
Teil III
Active Directory-Infrastruktur
Führen Sie, um diese Situation vollständig zu vermeiden, alle Änderungen einer Gruppenmitgliedschaft auf einem einzigen Domänencontroller aus. Dies verhindert, dass Änderungen auf Grund von Replikationskonflikten verloren gehen. Weitere Informationen zur Mulitmaster-KonfliktlösungsrichtliniefürActive Directory und wie Sie Active Directory so konfigurieren, dass die Replikationswartezeit minimiert wird, finden Sie im Kapitel „Active Directory-Replikation“in Microsoft ® Windows® 2000 – Die technische Referenz: Verteilte Systeme.
Einrichten von Vertrauensstellungen Die Planung der verteilten Sicherheit muss die vorgesehene Struktur der Domänen, Strukturen von Domänen, Gesamtstrukturen und Nicht-Windows 2000-Server berücksichtigen. Obwohl Windows 2000 automatisch Standardvertrauensstellungen einrichtet, muss der Plan verdeutlichen, welche Domänen Teil einer Domänengesamtstruktur sein müssen und welche Domäne möglicherweise explizite Vertrauensstellungen für das Netzwerk erfordern. Bei Windows 2000-Computern in derselben Gesamtstruktur wird die Kontoauthentifizierung zwischen Domänen über bidirektionale, transitive Vertrauensstellungen ermöglicht. Die transitive Vertrauensstellung wird automatisch eingerichtet, wenn eine neue Domäne mit einer Domänenstruktur verbunden wird. Eine Vertrauensstellung wird durch einen geheimen Schlüssel definiert, der von zwei Domänen gemeinsam genutzt und regelmäßig aktualisiert wird. Vertrauensstellungen werden von der Kerberos v5-Authentifizierung verwendet, wenn sich Clients und Server in unterschiedlichen Domänen einer Gesamtstruktur befinden. Der geheime Schlüssel der Vertrauensstellung wird vom Kerberos-Dienst verwendet, um ein Referenzticket für eine vertrauende Domäne zu erstellen. NTLM-Authentifizierung verwendet ebenfalls Vertrauensstellungen für die PassThrough-Authentifizierung. Die Pass-Through-Authentifizierung verwendet den geheimen Schlüssel der Vertrauensstellung, um einen sicheren Kanal zwischen Domänen einzurichten. In Windows 2000 unterstützt die NTLM-Authentifizierung auch transitive Vertrauensstellungen, wenn sich die Domänen im einheitlichen Modus befinden.
Vertrauensstellungen zwischen Domänen Vertrauensstellungen zwischen Domänen sind eine nützliche Methode, um Benutzern einer vertrauenswürdigen Domäne den Zugriff auf Dienste in einer vertrauenden Domäne zu ermöglichen. Wenn alle Benutzer und Dienste in einer einzigen Unternehmensdomäne verwaltet werden können, sind keine Vertrauensstellungen erforderlich. Das Erstellen separater Domänen bietet jedoch einige Vorteile. Domänen sind sehr gut geeignet, um die Verantwortungsbereiche der Domänenadministratoren zu trennen. Jeder Administrator ist für die Benutzer und Ressourcen in seiner Domäne verantwortlich. Domänen stellen auch die Anwendungsbereiche der Einstellungen für die Sicherheitsrichtlinien, wie beispielsweise Kontorichtlinien, dar. Die meisten Vertrauensstellungen in einer Windows 2000Gesamtstruktur sind implizite, bidirektionale und transitive Vertrauensstellungen, die keine Planung erfordern. Es handelt sich vor allem um die externen Vertrauensstellungen zu Windows NT 4.0-Domänen oder zu anderen Windows 2000Domänen in einer anderen Struktur, die in Ihrem Plan berücksichtigt werden müssen.
Kapitel 11 Planen der verteilten Sicherheit
373
Funktionsweise von Vertrauensstellungen Alle Vertrauensstellungen zwischen Domänen verbinden nur zwei Domänen miteinander: die vertrauende und die vertrauenswürdige Domäne. Die Merkmale einer Vertrauensstellung sind folgende: ? Unidirektional ? Bidirektional ? Transitiv ? Nicht-transitiv Eine unidirektionaleVertrauensstellung ist eine einzelne Vertrauensstellung, wobei Domäne A der Domäne Bvertraut. Alle unidirektionalen Vertrauensstellungen sind nicht-transitiv. Authentifizierungsanforderungen können nur von der vertrauenden Domäne an die vertrauenswürdige Domäne gesendet werden. Wenn also Domäne A eine unidirektionale Vertrauensstellung zu Domäne Bhat, und Domäne B eine unidirektionale Vertrauensstellung zu Domäne C, ist damit noch keine Vertrauensstellung zwischen Domäne A und Domäne C erstellt. Eine Windows 2000-Domäne kann zu folgenden Objekten unidirektionale Vertrauensstellungen errichten. ? Windows 2000-Domänen in einer anderen Gesamtstruktur ? Windows NT 4.0-Domänen ? MIT Kerberos v5-Bereiche Da alle Windows 2000-Domänen in einer Gesamtstruktur automatisch mit transitiven Vertrauensstellungen verbunden werden, ist es normalerweise nicht notwendig, zwischen den Windows 2000-Domänen in derselben Gesamtstruktur unidirektionaleVertrauensstellungenzu erstellen. Alle Vertrauensstellungen zwischen Domänen in einer Windows 2000-Gesamtstruktur sind bidirektional und transitiv. Transitive Vertrauensstellungen sind immer bidirektional: Die so verbundenen Domänen vertrauen sich gegenseitig. Immer wenn eine neue untergeordnete Domäne erstellt wird, wird eine bidirektionale, transitive Vertrauensstellung zwischen ihr und der übergeordneten Domäne erzeugt. Auf diese Weise werden transitive Vertrauensstellungen mit der Weiterentwicklung der Domänenstruktur aufwärts fortgesetzt, so dass zwischen allen Domänen der Struktur transitive Vertrauensstellungen bestehen. Immer wenn eine neue Domänenstruktur in der Gesamtstruktur erstellt wird, wird eine bidirektionale, transitive Vertrauensstellung zwischen der GesamtstrukturStammdomäne und der neuen Domäne (der Stammdomäne der neuen Domänenstruktur) erzeugt. Auf diese Weise werden die transitiven Vertrauensstellungen durch alle Domänen der Gesamtstruktur fortgesetzt. DieAuthentifizierungsanforderungen folgen diesen Vertrauenspfaden, so dass die Konten aller Domänen in der Gesamtstruktur bei allen anderen Domänen derselben Gesamtstruktur authentifiziert werden können. Sie können auch explizit (manuell) transitive Vertrauensstellungen zwischen Windows 2000-Domänen in unterschiedlichen Zweigen derselben Domänenstruktur oder in verschiedenen Strukturen einer Gesamtstruktur erzeugen. Diese querverknüpften Vertrauensstellungen können verwendet werden, um den Vertrauenspfad in großen und komplexen Domänenstrukturen oder Gesamtstrukturen abzukürzen. Explizite Vertrauensstellungen müssen im Plan zur verteilten Sicherheit berücksichtigt werden.
374
Teil III
Active Directory-Infrastruktur
Eine nicht-transitive Vertrauensstellung ist auf ihre beiden zugehörigen Domänen beschränkt und wird nicht zu anderen Domänen in der Gesamtstruktur fortgesetzt. Nicht-transitive Vertrauensstellungen müssen explizit erstellt werden. Sie sind standardmäßig unidirektional. Sie können jedoch auch eine bidirektionale, nichttransitive Vertrauensstellung erzeugen, indem Sie zwei unidirektionale Vertrauensstellungen einrichten. Alle Vertrauensstellungen zwischen Domänen, die nicht derselben Gesamtstruktur angehören, sind nicht-transitiv. Transitive Vertrauensstellungen können nur zwischen Windows 2000-Domänen in derselben Gesamtstruktur eingerichtet werden. Zwischen folgenden Arten von Domänen sind ausschließlich nicht-transitive Vertrauensstellungenmöglich: ? Windows 2000- und Windows NT-Domänen. ? Zwischen Windows 2000-Domänen in unterschiedlichen Gesamtstrukturen. ? Windows 2000- und MIT Kerberos v5-Domänen.
Voraussetzungen für das Implementieren von Vertrauensstellungen Es gibt keine besonderen Voraussetzungen für Vertrauensstellungen. Es genügt das Wissen, dass Vertrauensstellungen Verbindungen zwischen Domänen sind. Sie müssen also mindestens zwei Domänen einrichten, bevor Sie eine Vertrauensstellung erzeugen können.
Implementieren von Vertrauensstellungen Wenn Sie explizite Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur erstellen möchten, öffnen Sie das MMC-Snap-In „Active DirectoryDomänen und -Vertrauensstellungen“. Klicken Sie mit der rechten Maustaste auf eine Domäne, und öffnen Sie die Eigenschaftenseite. Wählen Sie die Registerkarte Vertrauensstellungen aus. Auf dieser Registerkarte können Sie Vertrauensstellungen zwischen der gewählten Domäne und anderen Domänen derselben Gesamtstruktur hinzufügen, bearbeiten oder löschen.
Überlegungen zu Vertrauensstellungen Domänen im gemischten Modus (in denen Windows NT 4.0-Reservedomänencontroller z. B. während einer Netzwerkaktualisierung zeitweise mit einem Windows 2000-PDC kombiniert sind) implementieren Vertrauensstellungen ähnlich wie Windows NT 4.0-Domänen für Windows NT 4.0-Arbeitsstationen und Server. So werden alle Vertrauensstellungen, die für Windows NT 4.0Arbeitsstationenund -Server erforderlich sind, auch in gemischten Domänen benötigt. Domänen im einheitlichen Modus (in denen auf allen Servern Windows 2000 ausgeführt wird) unterstützen transitive Vertrauensstellungen. Domänenadministratoren einer beliebigen Domäne in der Gesamtstruktur können alle Informationen im Konfigurationscontainer von Active Directory übernehmen und ändern. Diese Änderungen sind für alle Domänencontroller in der Gesamtstruktur verfügbar und werden an sie repliziert. Daher müssen Sie bei jeder Domäne, die zur Gesamtstruktur hinzugefügt wird, berücksichtigen, dass der Domänenadministrator dieser Domäne als ebenso vertrauenswürdig gilt wie die übrigenDomänenadministratoren.
Kapitel 11 Planen der verteilten Sicherheit
375
Bei Domänen, in denen der Domänenadministrator nicht völlig oder nicht gleichberechtigt vertrauenswürdig ist, gibt es zwei Möglichkeiten: Die Einrichtung einer expliziten unidirektionalen Vertrauensstellung (oder externen Vertrauensstellung) zu dieser Domäne. Auf diese Weise haben Benutzer, die sich bei dieser Domäne anmelden, nicht automatisch Zugang zur übrigen Gesamtstruktur. Diese Situation kann auch unauffälliger kontrolliert werden, wenn Sie erwägen, die Ressourcen dieser Domäne in einer Organisationseinheit zusammenzufassen (Active Directory-Ordner), die zu einer Domäne gehört, deren Administrator vertrauenswürdig ist. Entfernen Sie die separate Domäne vollständig. Der Administrator der nicht vertrauenswürdigen Domäne erhält nur die Kontrollfunktionen über die Computer und lokalen Gruppen, die Ressourcen seiner Domäne sind.
Aktivieren des Datenschutzes Mit Strategien zur Informationssicherheit können Sie die Daten auf Ihren Servern und Clientcomputern schützen und gleichzeitig Datenpakete auf dem Weg durch ungeschützte Netzwerke verbergen und sichern. Der Plan zur verteilten Sicherheit muss festlegen, welche Informationen zu schützen sind, falls Teile der Computerausstattung verloren gehen oder gestohlen werden. Darüber hinaus sind bestimmte Arten von Netzwerkverkehr, die kritisch oder privat sind und vor Netzwerksniffern geschützt werden müssen, in den Plan aufzunehmen. Hinsichtlich der Benutzer des Unternehmensnetzwerks ist die Zugriffskontrolle der wichtigste Mechanismus zum Schutz sicherheitskritischer Dateien vor unbefugten Zugriffen. Dieses Thema wurde bereits weiter oben in diesem Kapitel behandelt. Tragbare Computer sind allerdings vermehrt Diebstählen ausgesetzt. Daher ist die Zugriffskontrolle nicht ausreichend, um die Daten auf diesen Computern zu schützen. Es ist ein spezielles Problem, dass Laptops auf Reisen einfach entwendet werden können. Windows 2000 begegnet diesem Problem mit dem verschlüsselnden Dateisystem (EFS, Encrypting File System). Wenn Sie dafür sorgen möchten, dass ihre Datenpakete vertraulich bleiben, können Sie IPSec (Internet Protocol Security) verwenden, um den Netzwerkverkehr zwischen allen Benutzern zu verschlüsseln. IPSec bietet die Fähigkeit, authentifizierte und verschlüsselte Netzwerkverbindungen zwischen zwei Computern aufzubauen. Sie könnten Paketsniffer beispielsweise daran hindern, die E-Mail-Nachrichten zwischen Client und Server zu lesen, indem Sie den E-MailServer so konfigurieren, dass er eine sichere Verbindung mit Clients anfordert. IPSec ist ideal für den Schutz von Daten bereits vorhandener Anwendungen, die nicht in Hinblick auf Datensicherheit entwickelt wurden. Netzwerk- und DFÜ-Verbindungen (Remotezugriff, RAS) schützen immer Netzwerkdaten, die über das Internet oder öffentliche Telefonleitungen gesendet werden. RAS verwendet ein virtuelles privates Netzwerk, das die PPTP oder das LT2P-Tunneling-Protokoll über IPSec nutzt.
376
Teil III
Active Directory-Infrastruktur
Verschlüsselndes Dateisystem Das verschlüsselnde Dateisystem (EFS) von Windows 2000 ermöglicht Benutzern das Verschlüsseln bestimmter Dateien oder Ordner auf einem lokalen Computer und damit den zusätzlichen Schutz der lokal gespeicherten Daten. EFS entschlüsselt die Datei vor der Verwendung automatisch und verschlüsselt sie erneut, wenn sie gespeichert wird. Diese Dateien kann niemand lesen außer dem Benutzer, der die Dateien verschlüsselt hat und einem Administrator mit einem EFS-Wiederherstellungszertifikat. Da der Verschlüsselungsmechanismus in das Dateisystem integriert ist, ist sein Verfahren für den Benutzer transparent und extrem schwierig anzugreifen. EFS eignet sich besonders für den Schutz von Daten auf Computern, die diebstahlgefährdet sind, wie beispielsweise Laptops. Sie können EFS auf Laptops konfigurieren, um sicherzustellen, dass alle Geschäftsinformationen in den Dokumentordnern der Benutzer verschlüsselt werden. Die Verschlüsselung schützt auch dann, wenn jemand es schafft, EFS zu umgehen, und die Informationen mit Hilfe von einfachen Festplattendienstprogrammen zu lesen versucht. EFS ist vorwiegend für den Schutz von Benutzerdateien auf der Festplatte des lokalen NTFS-Dateisystems gedacht. Wenn Sie es für andere Funktionen nutzen möchten (Remotelaufwerke, mehrere Benutzer, Bearbeiten verschlüsselter Dateien), müssen Sie zahlreiche Ausnahmen und besondere Bedingungen beachten.
Funktionsweise von EFS EFS verschlüsselt Dateien mit Hilfe eines symmetrischen Verschlüsselungsschlüssels, der für jede Datei einmalig ist. Dann verwendet EFS den öffentlichen Schlüssel des EFS-Zertifikats des Dateieigentümers, um auch den Verschlüsselungsschlüssel zu verschlüsseln. Da ausschließlich der Dateieigentümer Zugang zu seinem privaten Schlüssel hat, ist er der einzige, der den Schlüssel – und damit die Datei – entschlüsseln kann. Auch der originale Verschlüsselungsschlüssel kann mit dem öffentlichen Schlüssel des EFS-Zertifikats eines Administrators verschlüsselt werden. Der private Schlüssel dieses Zertifikats kann im Notfall für die Wiederherstellung der Datei verwendet werden. Organisationen wird dringend empfohlen, einen Wiederherstellungsagenteneinzurichten. Selbst wenn die Datei gestohlen werden kann, über das Netzwerk oder physisch, kann sie nur entschlüsselt werden, wenn zuerst unter dem Namen des richtigen Benutzers eine Netzwerkanmeldung erfolgt. Da sie nicht gelesen werden kann, ist auch eine betrügerische Änderung nicht möglich. EFS erfüllt einen Aspekt einer Richtlinie zur Vertraulichkeit von Daten.
Voraussetzungen für das Implementieren von EFS Wenn Sie EFS implementieren möchten, muss bereits eine Infrastruktur für öffentliche Schlüssel eingerichtet sein. Mindestens ein Administrator muss ein EFS-Wiederherstellungszertifikat besitzen, so dass die Datei entschlüsselt werden kann, falls dem ursprünglichen Autor etwas zustößt. Der Autor der Datei muss über ein EFS-Zertifikat verfügen. Die zu verschlüsselnden Dateien und Ordner müssen in der NTFS-Version von Windows 2000 gespeichert sein.
Kapitel 11 Planen der verteilten Sicherheit
377
Implementieren von EFS Öffnen Sie Windows Explorer, und klicken Sie mit der rechten Maustaste auf einen Ordner oder eine Datei. Wählen Sie Eigenschaften. Klicken Sie auf der Registerkarte Allgemein auf Erweitert. Wählen Sie anschließend das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen. Die Inhalte der Datei oder aller Dateien im ausgewählten Ordner sind nun verschlüsselt, bis Sie das Kontrollkästchen erneut deaktivieren. Weitere Informationen über die bestmöglichen Verfahren zur Verschlüsselung von Dateisystemen finden Sie in der Onlinehilfe zu Windows 2000 Server. Siehe auch „Verschlüsselndes Dateisystem“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
Überlegungen zu EFS EFS wird nur für die in Windows 2000 verwendete NTFS-Version unterstützt. Es arbeitet nicht mit anderen Dateisystemen, einschließlich früherer Versionen von NTFS. EFS kann zur sicheren Speicherung kritischer Daten auf freigegebenen Servern verwendet werden oder im Rahmen der normalen Dateiverwaltung (Sicherung). Die Server müssen gut gesichert sein, und ihnen muss „für Delegierungszwecke vertraut“ werden. Beim Ver- und Entschlüsseln von Dateien operieren die EFSDienste im Namen der EFS-Benutzer und stellen in ihrem Auftrag weitere Netzwerkverbindungen her. EFS nutzt eine Wiederherstellungsrichtlinie, die es einem autorisierten Wiederherstellungsagenten ermöglicht, verschlüsselte Dateien zu entschlüsseln. Es benötigt mindestens einen Wiederherstellungsagenten. Wiederherstellungsagenten können mit Hilfe von EFS verschlüsselte Dateien wiederherstellen, wenn Benutzer die Organisation verlassen oder ihre Verschlüsselungsinformationen verlieren. Für die EFS-Wiederherstellung müssen Sie den Einsatz von PKI-Komponenten planen und eines oder mehrere Zertifikate ausstellen. Diese Zertifikate müssen offline sicher gespeichert werden, so dass sie nicht gefährdet sind. EFS kann für EFS-Benutzer und EFS-Wiederherstellungsagenten eigene Zertifikateerstellen. Standardmäßig stellt EFS EFS-Wiederherstellungszertifikate für das Konto des Domänenadministrators als Wiederherstellungsagent für die Domäne aus. Bei eigenständigen Computern, die keiner Domäne angehören, stellt EFS EFS-Wiederherstellungszertifikate für das Benutzerkonto des lokalen Administrators als Wiederherstellungsagent für diesen Computer aus. Viele Organisationen möchten möglicherweise andere EFS-Wiederherstellungsagenten bestimmen, die das EFSWiederherstellungsprogramm zentral verwalten. Sie können beispielsweise Organisationseinheiten für Computergruppen erstellen und spezielle Wiederherstellungsagentenkonten festlegen, um die EFS-Wiederherstellung für bestimmte Organisationseinheiten zu verwalten.
378
Teil III
Active Directory-Infrastruktur
Mit Hilfe der Microsoft Zertifikatsdienste können Sie Zertifikate für EFS-Wiederherstellungsagenten und EFS-Benutzer ausstellen. Wenn die Zertifikatsdienste online verfügbar sind, nutzt EFS sie für die Erstellung von EFS-Zertifikaten. Beachten Sie, dass Clusterdienste Analysepunkte auf freigegebenen Speichern nicht unterstützen. Daher kann EFS nicht verwendet werden, wenn es sich bei dem Dateiserver tatsächlich um einen Windows-Cluster handelt. Nehmen Sie Strategien für EFS und EFS-Wiederherstellung in den Einsatzplan für die Netzwerksicherheit auf. EFS-Strategien könnten beispielsweise folgende Informationen enthalten: ? Dateisystemstrategien für Laptops und andere Computer. ? EFS-Wiederherstellungsagenten. ? Den empfohlenen EFS-Wiederherstellungsprozess. ? Die empfohlene Verwaltung und den Archivierungsprozess für den privaten
Schlüssel des EFS-Wiederherstellungsagenten. ? Zertifikatsdienste müssen EFS-Wiederherstellungszertifikateunterstützen.
IP-Sicherheit Windows 2000 bindet IPSec (Internet Protocol Security) zum Datenschutz der Netzwerkaktivitäten ein. IPSec ist eine Protokollfamilie, die eine sichere, verschlüsselte Kommunikation zwischen zwei Computern über ein unsicheres Netzwerk ermöglicht. Die Verschlüsselung wird auf die IP-Netzwerkschicht angewendet, was bedeutet, dass sie für die meisten Anwendungen, die bestimmte Protokolle für die Netzwerkkommunikation verwenden, transparent ist. IPSec bietet durchgehende Sicherheit, das heißt, die IP-Pakete werden von dem sendenden Computer verschlüsselt, sind unterwegs unlesbar und können nur vom empfangenden Computer entschlüsselt werden. Aufgrund eines besonderen Algorithmus zur Erzeugung desselben gemeinsamen Verschlüsselungsschlüssels an beiden Enden der Verbindung muss der Schlüssel selbst nicht über das Netzwerk weitergegeben werden.
Funktionsweise von IPSec IPSec besitzt viele komplexe Komponenten und Optionen, die eine detaillierte Einarbeitung verdienen. Im Großen und Ganzen jedoch funktioniert der Prozess in folgender Weise: 1. Eine Anwendung auf Computer A erzeugt ausgehende Pakete, die über das Netzwerk an den Computer B gesendet werden sollen. 2. Innerhalb von TCP/IP vergleicht der IPSec-Treiber die ausgehenden Pakete mit den IPSec-Filtern, um zu prüfen, ob die Pakete gesichert werden müssen. Die Filter sind mit einer Filteraktion in den IPSec-Sicherheitsregeln verbunden. Viele IPSec-Sicherheitsregeln können in einer IPSec-Richtlinieenthaltensein, die einem Computer zugewiesen ist.
Kapitel 11 Planen der verteilten Sicherheit
379
3. Wenn ein passender Filter die Sicherheitsaktion verhandeln muss, beginnt Computer A die Sicherheitsaushandlungen mit Computer B, wobei er ein Protokoll verwendet, das Internetschlüsselaustausch (IKE) genannt wird. Die beiden Computer tauschen entsprechend der in der Sicherheitsregel bestimmten Authentifizierungsmethode Identitätsinformationen aus. Als Authentifizierungsmethoden können die Kerberos-Authentifizierung, Zertifikate für öffentliche Schlüssel oder ein vorinstallierter Schlüsselwert (ähnlich einem Kennwort) dienen. Die IKE-Aushandlung richtet zwischen den beiden Computern zwei Typen von Abkommen ein, die „Sicherheitszuordnungen“ genannt werden. Ein Typ („Phase I IKE SA“ genannt) bestimmt, wie sich die beiden Computer gegenseitig vertrauen, und schützt ihre Aushandlung. Der andere Typ ist eine Vereinbarung darüber, wie ein besonderer Typ von Anwendungskommunikation zu schützen ist. Diese besteht aus zwei Sicherheitszuordnungen (genannt „Phase II IPSec SAs“), die die Sicherheitsmethoden und Schlüssel für jede Kommunikationsrichtung bestimmen. Der Internetschlüsselaustausch erzeugt und aktualisiert automatisch einen gemeinsamen, geheimen Schlüssel für jede Sicherheitszuordnung. Der Sicherheitsschlüssel wird unabhängig an beiden Enden erzeugt, so dass er nicht über das Netzwerk übermittelt werden muss. 4. Der IPSec-Treiber auf Computer A signiert die ausgehenden Pakete für die Integrität und verschlüsselt sie optional für die Vertraulichkeit. Hierbei verwendet er die bei der Aushandlung vereinbarten Methoden. Anschließend übermittelt er die gesicherten Pakete an Computer B. Anmerkung Für die Firewalls, Router und Server entlang des Netzwerkpfads von Computer A zu Computer B ist IPSec nicht erforderlich. Sie leiten die Pakete wie üblich weiter. 5. Der IPSec-Treiber auf Computer B prüft die Pakete auf ihre Integrität hin und entschlüsselt erforderlichenfalls ihren Inhalt. Anschließend leitet er die Pakete zur empfangenden Anwendung weiter. IPSec bietet Sicherheit gegen die Manipulation und das Abfangen von Daten sowie gegen Replay-Angriffe. IPSec ist wichtig für alle Strategien hinsichtlich der Vertraulichkeit von Daten, der Datenintegrität und der Zulassung.
Voraussetzungen für das Implementieren von IPSec Für die Computer im Netzwerk ist eine IPSec-Sicherheitsrichtliniezudefinieren, die für Ihre Netzwerksicherheitsstrategie und für die jeweilige Art der Netzwerkkommunikation geeignet ist. Computer derselben Domäne könnten beispielsweise in Gruppen organisiert werden, für die dann entsprechende IP-Sicherheitsrichtlinien erstellt werden. Für die Computer in unterschiedlichen Domänen könnten zusätzliche IPSec-Sicherheitsrichtlinien erstellt werden, die sichere Netzwerkverbindungenunterstützen.
380
Teil III
Active Directory-Infrastruktur
Implementieren von IPSec Sie können die Standard-IP-SicherheitsrichtlinienimGruppenrichtlinien-Snap-In von MMC anzeigen. Die Richtlinien befinden sich im Abschnitt IPSicherheitsrichtlinien in Active Directory oder im Abschnitt IPSicherheitsrichtlinien auf lokalem Computer: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen ?? IP-Sicherheitsrichtlinien in Active Directory
Die IPSec-Richtlinien können auch im IP-Sicherheitsrichtlinienverwaltungs-SnapIn von MMC angezeigt werden. Jede IP-Sicherheitsrichtlinie enthält Sicherheitsregeln, die bestimmen, wann und wie der Datenverkehr geschützt wird. Klicken Sie mit der rechten Maustaste auf eine Richtlinie, und wählen Sie Eigenschaften. Die Registerkarte Regeln listet die Richtlinienregeln auf. Regeln können darüber hinaus in Filterlisten, Filteraktionen und zusätzliche Eigenschaften zerlegt werden. Weitere Informationen über IPSec finden Sie in der Onlinehilfe zu Windows 2000 Server und im Kapitel „IPSec (Internet Protocol Security)“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Überlegungen zu IPSec IPSec bietet die Verschlüsselung aus- und eingehender Pakete. Dies verbraucht jedoch zusätzliche CPU-Ressourcen, wenn die Verschlüsselung vom Betriebssystem durchgeführt wird. Häufig verfügen die Clients und Server über ausreichende CPU-Kapazitäten, so dass die IPSec-Verschlüsselung keine nennenswerte Auswirkung auf die Leistung hat. Für Server, die viele gleichzeitige Netzwerkverbindungen unterstützen oder große Datenmengen zu anderen Servern übertragen müssen, ist die zusätzliche Verschlüsselung jedoch eine spürbare Belastung. Daher sollten Sie IPSec mit simuliertem Netzwerkverkehr testen, bevor Sie es verwenden. Ein Test ist auch wichtig, wenn Sie Hardware- oder Softwareprodukte von Drittanbietern verwenden, um IPSec zu nutzen. Windows 2000 ermöglicht mit Hilfe von Geräteschnittstellen die Hardwarebeschleunigung der paketweisen Verschlüsselung von IPSec durch intelligente Netzwerkkarten. Die Anbieter von Netzwerkkarten bieten möglicherweise unterschiedliche Versionen von Client- und Serverkarten und unterstützen eventuell nicht alle Kombinationen von IPSec-Sicherheitsmethoden. Lesen Sie die Produktinformationen jeder Karte sorgfältig, um sicherzustellen, dass sie die Sicherheitsmethoden und die Anzahl von Verbindungen, die Sie erwarten, unterstützt. Sie können für jede Domäne oder Organisationseinheit IP-Sicherheitsrichtlinien (IPSec) definieren. Sie können auch lokale IPSec-Richtlinien auf Computern definieren, denen keine IPSec-Richtlinie der Domäne zugewiesen wurde. IPSecRichtlinien können zu folgenden Zwecken konfiguriert werden: ? Bestimmen der Ebenen von Authentifizierung und Vertraulichkeit, die zwischen
IP-Clients erforderlich sind. ? Bestimmen der niedrigsten Sicherheitsebene, auf der die Kommunikation
zwischen IPSec-sensitiven Clients erlaubt werden.
Kapitel 11 Planen der verteilten Sicherheit
381
? Erlauben oder Verhindern der Kommunikation mit Clients, die nicht IPSec-
sensitiv sind. ? Festlegen, dass jede Art von Kommunikation aus Gründen der Vertraulichkeit verschlüsselt wird oder Kommunikation in Klartext zugelassen wird. Erwägen Sie, ob Sie IPSec-Sicherheitsfunktionen für folgende Anwendungen einsetzen: ? Peer-to-Peer-Verbindungen über das Intranet der Organisation, wie beispiels-
weise die Kommunikation der Rechtsabteilung oder des Leitungsgremiums. ? Client-Server-Verbindungen, um sicherheitskritische (vertrauliche) Informationen zu schützen, die auf den Servern gespeichert sind. BeiDateifreigaben, die eine Kontrolle der Benutzerzugriffe erfordern, können Sie mit Hilfe von IPSec sicherstellen, dass andere Netzwerkbenutzer die übermittelten Daten nicht einsehen können. ? RAS-Verbindungen (DFÜ oder virtuelles privates Netzwerk). (Beachten Sie, dass bei VPNs, in denen IPSec mit L2TP verwendet wird, Gruppenrichtlinien eingerichtet werden, so dass die automatische Einschreibung für IPSec-Zertifikate zulässig ist. Weitere Informationen zu Computerzertifikaten für L2TP über IPSec VPN-Verbindungen finden Sie in der Onlinehilfe zu Windows 2000.) ? Sichere Router-zu-Router-WAN-Verbindungen. Berücksichtigen Sie folgende Strategien für IPSec in Ihrem Plan zur Einrichtung der Netzwerksicherheit. ? Bestimmen der Clients und Server, die IPSec-Verbindungen verwenden sollen. ? Bestimmen, ob die Client-Authentifizierung auf Kerberos-Vertrauensstellungen
oder digitalen Zertifikaten basiert. ? Beschreiben, wie jeder Computer erstmalig die richtige IPSec-Richtlinieund darauffolgende Aktualisierungen erhält. ? Beschreiben der Sicherheitsregeln innerhalb der einzelnen IPSec-Richtlinien. Überlegen Sie, auf welche Weise Zertifikatsdienste bei der Unterstützung der Client-Authentifizierung durch digitale Zertifikate benötigt werden. ? Beschreiben des Einschreibungsprozesses und von Strategien zum Einschreiben von Computern für IPSec-Zertifikate.
Festlegen einheitlicher Sicherheitsrichtlinien Einheitliche Sicherheitsrichtlinien ermöglichen die Anwendung und Durchsetzung konsistenter Sicherheitseinstellungen für Computerklassen im Unternehmen, wie z. B. für die Klasse der Domänencontroller. Hierzu müssen Sie lediglich eine Organisationseinheit erstellen, einen Ordner im Active Directory erzeugen, die betreffenden Computerobjekte in der Organisationseinheit zusammenfassen und schließlich ein Gruppenrichtlinienobjekt auf die Organisationseinheit anwenden. Die in der Gruppenrichtlinie spezifizierten Sicherheitsrichtlinien werden dann automatisch und konsistent auf allen Computern durchgesetzt, die zu den Computerkonten in der Organisationseinheit gehören.
382
Teil III
Active Directory-Infrastruktur
Windows 2000 verfügt bereits über eine Auswahl von Standard-Gruppenrichtlinienobjekten, die bei neuen Domänen und Domänencontrollern automatisch angewendet werden. Darüber hinaus gibt es eine Reihe von Sicherheitsvorlagen, die unterschiedliche Sicherheitsebenen für die verschiedenen Arten von Unternehmenscomputern darstellen. Mit Hilfe einer Vorlage ist es möglich, eine Gruppenrichtlinie für eine Gruppe von Computern zu erstellen oder die Sicherheitseinstellungen eines bestimmten Computers zu beurteilen. Dieser Abschnitt behandelt nur die Sicherheitseinstellungen von Gruppenrichtlinien. Wenn Sie eine Gruppenrichtlinie zu einer Organisationseinheit hinzufügen, sind auch zahlreiche Richtlinien enthalten, die nicht zum Thema Sicherheit gehören. Eine umfassendere Erläuterung zu diesem Thema finden Sie in der Windows 2000-Hilfe sowie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
Gruppenrichtlinie Ein Gruppenrichtlinienobjekt enthält ein umfassendes Profilvon Sicherheitsberechtigungen, die sich vorwiegend auf die Sicherheitseinstellungen von Domänen oder Computern beziehen (selten auf Benutzer). Ein einzelnes Gruppenrichtlinienobjekt kann auf alle Computer einer Organisationseinheit angewendet werden. Die Gruppenrichtlinie wird angewendet, wenn der jeweilige Computer gestartet wird, und unabhängig von weiteren Neustarts in regelmäßigen Abständen aktualisiert, wenn Änderungen erfolgen.
Funktionsweise von Gruppenrichtlinien Gruppenrichtlinienobjektesind mit Domänen und Organisationseinheiten (Ordnern) im MMC-Snap-In „Active Directory-Benutzer und -Computer“ verknüpft. Die von einer Gruppenrichtlinie gewährten Berechtigungen werden auf die in diesem Ordner gespeicherten Computer angewendet. Unter Verwendung des Snap-Ins für Active Directory-Standorte und -Dienste können Gruppenrichtlinien auch auf Standorte angewendet werden. Die Einstellungen der Gruppenrichtlinie werden von den übergeordneten an die untergeordneten Ordner vererbt, die wiederum ihre eigenen Gruppenrichtlinienobjekte besitzen können. Einem Ordner können mehrere Gruppenrichtlinienobjekte zugeordnet werden. Weitere Informationen über die Reihenfolge der Gruppenrichtlinien, und die Lösung von Konflikten zwischen mehreren Richtlinienobjekten finden Sie in der Onlinehilfe von Windows 2000. Die Gruppenrichtlinie ist eine ergänzende Komponente zu Sicherheitsgruppen. Sie ermöglicht die Anwendung von nur einem Sicherheitsprofil auf mehreren Computern. Darüber hinaus unterstützt sie die Konsistenz und bietet eine einfache Verwaltung. Gruppenrichtlinienobjekteenthalten Berechtigungen und Parameter, die unterschiedliche Arten von Sicherheitsstrategien implementieren.
Kapitel 11 Planen der verteilten Sicherheit
383
Voraussetzungen für das Implementieren von Gruppenrichtlinien Die Gruppenrichtlinie ist eine Funktion des Windows 2000-Active Directory. Active Directory muss auf einem Server bereits installiert sein, bevor Sie Gruppenrichtlinienobjektebearbeiten und anwenden können.
Implementieren von Gruppenrichtlinien Wenn Sie ein Beispiel für eine Organisationseinheit und ihre Gruppenrichtlinie anzeigen möchten, öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“, und klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller. Öffnen Sie die Eigenschaftenseite, und klicken Sie auf dieRegisterkarte Gruppenrichtlinie. Wählen Sie die Option für die Standardrichtlinie für Domänencontroller, und klicken Sie auf Bearbeiten. Das Gruppenrichtlinien-Snap-In von MMC wird geöffnet. Gehen Sie in diesem Modul zum Container Sicherheitseinstellungen. Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen
Unterhalb von Sicherheitseinstellungen befinden sich neun Unterverzeichnisse mit Einstellungen für Sicherheitsrichtlinien. Diese neun Gruppen werden weiter unten in diesem Kapitel kurz näher erläutert. Das Implementieren einer Gruppenrichtlinie umfasst die Erstellung eines neuen (oder das Ändern eines bereits vorhandenen) Gruppenrichtlinienobjekts, das Aktivieren der entsprechenden Einstellungen im Objekt und das Verknüpfen des Gruppenrichtlinienobjekts mit einer Organisationseinheit, die Computer in der Domäne enthält.
Überlegungen zu Gruppenrichtlinien Erstellen Sie Organisationseinheiten für Computer, die im Unternehmen ähnliche Aufgaben haben. Verwenden Sie eine Organisationseinheit für Ihre Domänencontroller. Erstellen Sie eine weitere für Anwendungsserver. Die Clientcomputer könnten in einer dritten Organisationseinheit zusammengefasst werden. Weisen Sie jeder dieser Gruppen nur ein Gruppenrichtlinienobjekt zu, um konsistente Sicherheitseinstellungenzuimplementieren. Es wird empfohlen, die Anzahl von Gruppenrichtlinienobjekten für Benutzer und Gruppen möglichst gering zu halten. Hierfür sollte zuerst gesorgt sein, da die Gruppenrichtlinienobjekte für jeden Computer und jeden Benutzer während des Startvorgangs auf den Computer und bei der Anmeldung in das Benutzerprofil heruntergeladen werden müssen. Zu viele Gruppenrichtlinienobjekteerhöhendie Dauer des Startvorgangs und der Benutzeranmeldung. Darüber hinaus kann die Zuweisung vieler Gruppenrichtlinienobjekte Richtlinienkonflikte erzeugen, dienur schwer zu beheben sind.
384
Teil III
Active Directory-Infrastruktur
Im Allgemeinen kann die Gruppenrichtlinie von übergeordneten an die untergeordneten Standorte, Domänen und Organisationseinheiten weitergegeben werden. Wenn Sie einem übergeordneten Objekt eine bestimmte Gruppenrichtlinie zugewiesen haben, ist diese für alle diesem Objekt untergeordneten Organisationseinheiten gültig, einschließlich der Benutzer- und Computerobjekte in jedem Container. Weitere Informationen zur Vererbung der Einstellungen von Gruppenrichtlinien finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in dieser Dokumentation. Sicherheitsvorlagen (Beschreibung folgt weiter unten in diesem Kapitel) können als Vorbilder für die Sicherheitseinstellungen unterschiedlicher Arten von Gruppenrichtlinien sehr nützlich sein. Ihr Plan zur Einrichtung der Netzwerksicherheit sollte signifikante Vorgaben für jede Kategorie und Unterkategorie von Richtlinienenthalten. Sie können folgende Informationen in den Sicherheitsplan aufnehmen: ? Festlegen der Einstellungen für Gruppenrichtlinien, die von den
Standardeinstellungen abweichen sollen. ? Beschreiben aller Aspekte der Änderung von Einstellungen für die Gruppenrichtlinie. ? Beschreiben von besonderen Sicherheitsanforderungen und der Konfiguration der Gruppenrichtlinie, die diese besonderen Anforderungen erfüllt.
Sicherheitseinstellungen der Gruppenrichtlinie Wie bereits erwähnt, gibt es neun Arten von Sicherheitsfunktionen für Gruppenrichtlinien: Es handelt sich dabei um Container im Knoten Sicherheitseinstellungen einesGruppenrichtlinienobjekts. Sie lauten folgendermaßen: ? Kontorichtlinien ? LokaleRichtlinien ? Ereignisprotokoll ? Eingeschränkte Gruppen ? Systemdienste ? Registrierung ? Dateisystem ? Richtlinien für öffentliche Schlüssel ? IPSec-Richtlinien (Internet Protocol Security) in Active Directory
Einige der Richtlinienbereiche werden nur im Bereich der Domäne angewendet, d. h. die Richtlinieneinstellungen sind domänenweit. Kontorichtlinienz. B. werden gleichmäßig auf alle Benutzerkonten in der Domäne angewendet. Sie können keine unterschiedlichen Kontorichtlinien für unterschiedliche Organisationseinheiten in derselben Domäne definieren. Die Kontorichtlinien und die Richtlinien für öffentliche Schlüssel sind von den Sicherheitsrichtlinienbereichen diejenigen, die domänenweit wirksam sind. Alle anderen Richtlinienbereiche können auf der EbeneeinerOrganisationseinheit spezifiziert werden.
Kapitel 11 Planen der verteilten Sicherheit
385
Kontorichtlinien Kontorichtlinien sind die erste Unterkategorie der Sicherheitseinstellungen. KontorichtlinienenthaltendiefolgendenRichtlinien: Kennwortrichtlinie Sie können die Kennwortrichtlinie den Sicherheitsbedürfnissen Ihrer Organisation anpassen. Sie können z. B. eine minimale Kennwortlänge und ein maximales Kennwortalter bestimmen. Sie können auch komplexe Kennwörter fordern und verhindern, dass die Benutzer Kennwörter mehrfach oder nur einfache Varianten von Kennwörtern verwenden. Richtliniefür Kontosperre Sie können Benutzer nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche sperren. Sie können auch den Zeitraum festlegen, für den die Konten eingefroren werden. Richtliniefür Kerberos-Authentifizierung Sie können die Standardeinstellungen von Kerberos für jede Domäne ändern. So kann beispielsweise die maximale Gültigkeitsdauer eines Benutzertickets festgelegt werden. Die von Ihnen gewählten Richtlinien wirken sich auf die erforderliche Unterstützung durch Helpdesktechniker für die Benutzer ebenso aus wie auf die Anfälligkeit des Netzwerks für Sicherheitsüberschreitungen und Angriffe. So führt z. B. die Festlegung einer restriktiven Richtlinie für die Kontosperre zu einer Zunahme möglicher Dienstverweigerungsattacken und die Einrichtung einer ebenso restriktiven Kennwortrichtlinie zu einer Zunahme von Anrufen beim Helpdesk, da Benutzer sich nicht im Netzwerk anmelden können. Außerdem kann sich die Festlegung einer restriktiven Kennwortrichtlinie durchaus auch negativ auf die Sicherheit des Netzwerks auswirken. Wenn Sie z. B. Kennwörter verlangen, die länger als 7 Zeichen sind, werden die meisten Benutzer Schwierigkeiten haben, sich diese zu merken. Sie schreiben dann möglicherweise ihre Kennwörter auf und heben sie an Orten auf, wo sie Eindringlinge leicht finden.
Richtlinien für lokale Computer Die zweite Unterkategorie der Sicherheitseinstellungen sind die Richtlinien für lokale Computer. Richtlinien für lokale Computer enthalten die folgenden Punkte: Überwachungsrichtlinie Windows 2000 kann ein weites Spektrum von Sicherheitsereignistypen aufzeichnen, von einem systemweiten Ereignis, wie der Anmeldung eines Benutzers, bis hin zu dem Versuch eines ganz bestimmten Benutzers, eine bestimmte Datei zu lesen. Sowohl erfolgreiche als auch misslungene Versuche, eine Aktion durchzuführen, können aufgezeichnet werden. Zuweisung von Benutzerrechten Sie können bei lokalen Computern die Rechte, die Benutzerkonten oder Sicherheitsgruppen zugewiesen wurden, kontrollieren. Sie können Benutzer und Sicherheitsgruppen bestimmen, die das Recht besitzen, eine Vielzahl von Aufgaben auszuführen, die Auswirkungen auf die Sicherheit mit sich bringen. Sie können z. B. kontrollieren, wer vom Netzwerk aus auf die Computer zugreifen, wer sich lokal anmelden oder wer das System herunterfahren kann. Sie können festlegen, wer das Recht besitzt, kritische administrative Aufgaben auf dem Computer durchzuführen, wie beispielsweise die Sicherung und Wieder-
386
Teil III
Active Directory-Infrastruktur
herstellung von Dateien und Verzeichnissen, das Inbesitznehmen von Dateien und Objekten und das erzwungene Herunterfahren von einem entfernten System aus. Sicherheitsoptionen Sie können eine Vielzahl von Sicherheitsoptionen für lokale Computer kontrollieren. So können z. B. Richtlinien spezifiziert werden, die Benutzer zwingen, sich abzumelden, wenn die vorgegebene Anmeldezeit abläuft, die Tastenkombination STRG+ALT+ENTF für das Anmelden deaktivieren (um eine Smartcard-Anmeldung zu erzwingen) und Computer so konfigurieren, dass sie anhalten, wenn sie zur Überwachung nicht mehr in der Lage sind.
Richtlinien für Ereignisprotokolle Sie können die Richtlinien für Ereignisprotokolle dazu verwenden, die Einstellungen einer Anwendung, des Systems und der Protokollierung von Sicherheitsereignissen auf lokalen Computern zu steuern. So lässt sich beispielsweise die maximale Protokollgröße festlegen oder die Dauer, für die protokollierte Ereignisse aufbewahrt werden, sowie die Aufbewahrungsmethoden des Protokolls.
Richtlinien für eingeschränkte Gruppen Richtlinien für eingeschränkte Gruppen werden definiert, um die Zugehörigkeit zu integrierten oder benutzerdefinierten Gruppen zu verwalten und durchzusetzen, die besondere Rechte und Berechtigungen haben. Diese Richtlinien enthalten eine Liste der Mitglieder spezifischer Gruppen, deren Zugehörigkeit zentral als Teil der Sicherheitsrichtlinie definiert wird. Die Durchsetzung von eingeschränkten Gruppen legt automatisch die Zugehörigkeit zu computerinternen Gruppen fest, um die Einstellungen der Mitgliederliste in der Richtlinie auszuführen. Die Änderungen der Gruppenzugehörigkeit durch den lokalen Administrator werden von der Richtlinie für eingeschränkte Gruppen, die im Active Directory definiert wurde, überschrieben. Eingeschränkte Gruppen können zur Verwaltung der Zugehörigkeit in den integrierten Gruppen verwendet werden. Zu den integrierten Gruppen gehören lokale Gruppen wie „Administratoren“, „Hauptbenutzer“, „Druckoperatoren“ und „Serveroperatoren“ sowie globale Gruppen wie „Domänenadministratoren“. Sie können Gruppen, die Sie als sicherheitskritisch oder privilegiert betrachten, mit ihren Mitgliedsinformationen zur Liste der eingeschränkten Gruppen hinzufügen. Dies ermöglicht Ihnen, die Zugehörigkeit zu diesen Gruppen mit Hilfe von Richtlinien zu erzwingen und keine lokalen Variationen auf den Computern zuzulassen.
Richtlinien für Systemdienste Systemdienste stellen für Eindringlinge einen Mechanismus für möglichen Missbrauch dar, da sie einen Dienst übernehmen oder als Zugangspunkt verwenden können, um Zugriff auf Computer oder Netzwerkressourcen zu erhalten. So kann z. B. ein Eindringling versuchen, die Schwäche eines in Betrieb befindlichen Webservers auszunutzen, um Zugriff auf das Betriebssystem oder auf Dateien eines Computers zu erhalten. Sie können die Richtlinien für Systemdienste für folgende Aufgaben verwenden: ? Bestimmen des Startmodus für Windows 2000-Dienste (manuell oder automa-
tisch) oder des Abschaltmodus dieser Dienste. Sie können z. B. Systemdienste so konfigurieren, dass unnötige Dienste nicht ausgeführt werden. Dies bietet besonderen Servern, wie Domänencontrollern,
Kapitel 11 Planen der verteilten Sicherheit
387
DNS-Servern, Proxyservern, RAS-Servern und Zertifizierungsstellenservern maximale Sicherheit. ? Spezifizieren von Rechten und Berechtigungen, die Systemdiensten gewährt werden, wenn sie ausgeführt werden. Sie können z. B. Systemdienste so konfigurieren, dass sie mit minimalen Rechten und Berechtigungen arbeiten, um das Ausmaß potentiellen Schadens zu begrenzen, der durch Eindringlinge verursacht wird, die diesen Dienst auszunutzen versuchen. ? Verbessern der Sicherheitsüberwachungsebenen für Systemdienste. Sie können den zu protokollierenden Ereignistyp sowohl für fehlgeschlagene als auch für erfolgreiche Ereignisse festlegen. Wenn die Überwachung aktiviert ist, können Sie diese Funktion beispielsweise verbessern, indem Sie speziell ungeeignete Aktionen überwachen, die durch ausgeführte Dienste gestartet wurden.
Registrierungsrichtlinien Sie können Registrierungsrichtlinien verwenden, um die Sicherheit und die Überwachung der Sicherheit für Registrierungsschlüssel und ihre Unterschlüssel zu konfigurieren und zu kontrollieren. Wenn Sie zum Beispiel sicherstellen möchten, dass nur Administratoren bestimmte Informationen in der Registrierung ändern können, verwenden Sie die Registrierungsrichtlinien, um den Administratoren die uneingeschränkte Kontrolle über die Registrierungsschlüssel und ihre Unterschlüssel und den Benutzern lediglich schreibgeschützten Zugriff zu gewähren. Mit Hilfe der Registrierungsrichtlinien können bestimmte Benutzer auch daran gehindert werden, Teile der Registrierung anzuzeigen. Registrierungsrichtlinien dienen weiterhin dazu, die Aktivitäten von Benutzern in der Registrierung des Computers zu überwachen, wenn die Überwachung aktiviert ist. Sie können festlegen, welche Benutzer und welche Ereignisse bei fehlgeschlagenen oder erfolgreichen Ereignissen protokolliert werden.
Richtlinien für Dateisysteme Sie können die Richtlinien für Dateisysteme verwenden, um Sicherheit für Dateien und Ordner zu konfigurieren und die Sicherheitsüberwachung für Dateien und Ordner zu kontrollieren. Wenn Sie zum Beispiel sicherstellen möchten, dass nur Administratoren Systemdateien und -ordner ändern können, verwenden Sie die Richtlinien für Dateisysteme, um den Administratoren die uneingeschränkte Kontrolle über die Systemdateien und -ordner und den Benutzern lediglich schreibgeschützten Zugriff zu gewähren. Die Richtlinien für Dateisysteme können auch verwendet werden, um bestimmte Benutzer daran zu hindern, Dateien und Ordner anzuzeigen. Richtlinien für Dateisysteme dienen weiterhin dazu, die Aktivitäten von Benutzern in Bezug auf Dateien und Ordnern zu überwachen, wenn die Überwachung aktiviert ist. Sie können festlegen, welche Benutzer und welche Ereignisse bei fehlgeschlagenen oder erfolgreichen Ereignissen protokolliert werden.
Richtlinien für öffentliche Schlüssel Diese Unterabteilung der Sicherheitseinstellungen ermöglicht es Ihnen, einen neuen Wiederherstellungsagenten für verschlüsselte Daten hinzuzufügen und
388
Teil III
Active Directory-Infrastruktur
automatische Zertifikatsanforderungen einzurichten. Sie können auch Ihre Listen mit vertrauenswürdigen Zertifizierungsstellen damit verwalten.
IP-Sicherheitsrichtlinien in Active Directory Die Richtlinien in diesem Abschnitt informieren den Server darüber, wie er eine Anforderung für IPSec-Verbindungen zu beantworten hat. Der Server könnte eine sichere Kommunikation anfordern, sichere Kommunikation erlauben oder ohne IPSec kommunizieren. Die vordefinierten Richtlinien sind nicht für den sofortigen Einsatz gedacht. Sie bieten lediglich Verhaltensbeispiele zu Testzwecken. Administratoren der Netzwerksicherheit müssen sorgfältig ihre eigenen IPSecRichtlinien entwerfen und den Computern zuweisen.
Sicherheitsvorlagen Windows 2000 bietet eine Reihe von Sicherheitsvorlagen, die Sie bei der Einrichtung Ihrer Netzwerkumgebung verwenden können. Eine Sicherheitsvorlage ist ein Profil von Sicherheitseinstellungen, das für eine bestimmte Sicherheitsebene in einem Windows 2000-Domänencontroller, Server oder Clientcomputer als angemessen betrachtet wird. Die Vorlage hisecdc beispielsweiseenthält Einstellungen, die für einen streng gesicherten Domänencontroller geeignet sind. Sie können ein Sicherheitsprofil in ein Gruppenrichtlinienobjekt importieren und es auf eine Klasse von Computern anwenden. Die Vorlage kann auch in eine persönliche Datenbank importiert und dann zur Konfiguration der Sicherheitsrichtlinie auf einem lokalen Computer verwendet werden.
Funktionsweise von Sicherheitsvorlagen Sicherheitsvorlagen bieten Standardsicherheitseinstellungen, die als Modell für Ihre eigenen Sicherheitsrichtlinien dienen können. Sie unterstützen Sie bei der Problembehandlung bei Computern, deren Sicherheitsrichtlinien nicht mit der Richtlinie übereinstimmen oder unbekannt sind. Sicherheitsvorlagen sind inaktiv, bis sie in ein Gruppenrichtlinienobjekt oder in das Snap-In zur Sicherheitskonfigurationund -analyse von MMC importiert werden.
Voraussetzungen für das Implementieren von Sicherheitsvorlagen Sicherheitsvorlagen sind eine Standardfunktion von Windows 2000. Es gibt keine bestimmten Voraussetzungen für ihre Verwendung.
Implementieren von Sicherheitsvorlagen Sicherheitsvorlagen können im Snap-In für Sicherheitsvorlagen von MMC bearbeitet werden. Mit Hilfe des Snap-Ins für Sicherheitskonfiguration und -analyse von MMC können Sie Sicherheitsvorlagen importieren und exportieren und die Vorlage mit den Sicherheitseinstellungen eines lokalen Computers vergleichen. Falls gewünscht, kann dieses Snap-In auch zur Konfiguration des Computers gemäß der Vorlage verwendet werden.
Kapitel 11 Planen der verteilten Sicherheit
389
Wenn Sie eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren möchten, öffnen Sie das Gruppenrichtlinien-Snap-In von MMC. Klicken Sie mit der rechten Maustaste auf den Container Sicherheitseinstellungen, und wählen Sie die Option Richtlinie importieren. Es erscheint eine Auswahl von Sicherheitsvorlagen, die Sie importieren können. Weitere Informationen zur Verwendung von Sicherheitsvorlagen und vordefinierten Vorlagen finden Sie in der Onlinehilfe zu Windows 2000 Server.
Überlegungen zu Sicherheitsvorlagen DieStandardberechtigungen bei einer Neuinstallation von Windows 2000 stellen eine deutliche Verbesserung der Sicherheit gegenüber früheren Windows NTVersionen dar. Diese standardmäßige Sicherheit bei einer Neuinstallation wird durch die Zugriffsberechtigungen definiert, die drei Gruppen gewährt werden: Benutzern, Hauptbenutzern und Administratoren. Standardmäßig besitzen Benutzer eine geeignete Richtlinie für die Zugriffskontrolle für die nicht administrative Systemnutzung. Hauptbenutzer sind rückwärtskompatibel mit Windows NT 4.0-Benutzern, und Administratoren haben alle Rechte. Daher ist die Sicherung eines Windows 2000-Systems im Wesentlichen eine Frage der Definition, welcher Gruppe die Benutzer angehören. Werden an Ihrem Standort nur Anwendungen ausgeführt, die mit der Anwendungsspezifikation von Windows 2000 kompatibel sind, ist es möglich, alle Benutzer der Gruppe „Benutzer“ zuzuordnen. So erreichen Sie eine optimale Sicherheit bei der Zugriffskontrolle, ohne die Funktionalität von Anwendungen zu beeinträchtigen. Wenn noch Anwendungen ausgeführt werden, die nicht mit der Anwendungsspezifikation von Windows 2000 kompatibel sind, müssen manche Benutzer wahrscheinlich der Gruppe „Hauptbenutzer“ zugeordnet werden, um die erforderlichenPrivilegien für das Ausführen der nicht-kompatiblenAnwendungen zu erhalten. Daher I st es unbedingt erforderlich, die Zugriffsebene (Benutzer, Hauptbenutzer oder Administrator) zu definieren, die die Benutzer zur erfolgreichen Ausführung der zu unterstützenden Anwendungen benötigen, bevor Sie weitere Sicherheitsvorlagen verwenden. Liegt diese Ebene einmal fest, können die Sicherheitsvorlagen wie folgt verwendet werden: Standard DieStandardsicherheitsvorlagen wenden die Standardeinstellungen für die Zugriffskontrolle an, wie weiter oben beschrieben. Sie können Windows NTComputern zugewiesen werden, die auf Windows 2000 aktualisiert wurden. Damit wird der aktualisierte Computer den neuen Standardsicherheitseinstellungen angeglichen, die sonst nur auf neu installierten Computern Anwendung finden. Die Standardvorlagen können auch verwendet werden, um nach unerwünschten Änderungen erneut zu den Standardeinstellungen zurückzukehren. Kompatibel Einige Kunden wünschen möglicherweise nicht, dass ihre Benutzer als Hauptbenutzer eingetragen werden, nur um Anwendungen auszuführen, die nicht mit der Windows 2000-Anwendungsspezifikation kompatibel sind. Sie möchten ihre Benutzer nicht mit den zusätzlichen Fähigkeiten der Hauptbenutzer ausstatten (wie beispielsweise die Fähigkeit, Freigaben zu erstellen), die über die liberaleren Einstellungen der Zugriffskontrolle hinausgehen, die für das Ausführen von alten Anwendungen erforderlich sind. Für diese Kunden „öffnet“ die kompatible Vorlage die Standardrichtlinie für die Zugriffskontrolle in einer Weise, die mit den Anforde-
390
Teil III
Active Directory-Infrastruktur
rungen der meisten alten Anwendungen konsistent ist. Microsoft® Office 97 SR1 läuft beispielsweise einwandfrei sowohl als Hauptbenutzer als auch als Benutzer unter der kompatiblen Konfiguration. Office 97 wird allerdings nicht so erfolgreich ausgeführt wie ein neu installierter Benutzer. Beachten Sie, dass Microsoft® Office 2000 als Neuinstallation einwandfrei ausgeführt wird, da es mit der Windows 2000-Anwendungsspezifikation kompatibel ist. Ein Computer, der mit der kompatiblen Vorlage konfiguriert wurde, darf nicht als sichere Installation betrachtet werden. Sicher Die sichere Vorlage ändert Einstellungen (wie die Kennwortrichtlinie, Überwachungsrichtlinie und Registrierungswerte), die sich weniger auf die Funktionalität der Anwendung auswirken als auf das operationale Verhalten des Betriebssystems und seiner Netzwerkprotokolle. Die sichere Vorlage bietet Empfehlungen, die sich von der definierten Standardrichtlinie für die Zugriffskontrolle unterscheiden. Die sichere Vorlage ändert keine Zugriffskontrolllisten, entfernt jedoch alle Mitglieder der Gruppe „Hauptbenutzer“. Hochsicher Die hochsichere Vorlage erhöht die durch mehrere Parameter definierte Sicherheit der sicheren Vorlage. Während z. B. die sichere Vorlage möglicherweise dieSMB-Paketsignierung aktiviert, ist mit der hochsicheren Vorlage die SMB-Paketsignierung erforderlich. Während die sichere Vorlage vor der Installation von unsignierten Treibern warnt, wird mit der hochsicheren Vorlage die Installation von unsignierten Treibern blockiert. Das heißt, die hochsichere Vorlage konfiguriert viele operationale Parameter auf ihre Extremwerte, ohne die Auswirkung auf die Leistung, die Benutzerfreundlichkeit, die Konnektivität mit Clients, die ältere oder von Drittanbietern stammende Versionen von NTLM verwenden, zu berücksichtigen. Wie die sichere Vorlage entfernt auch die hochsichere Vorlage alle Mitglieder der Gruppe „Hauptbenutzer“. Sicherheitsvorlagen sind also unter Berücksichtigung der Standardrichtlinie für die Zugriffskontrolle zu verwenden, die von den installierten Anwendungen benötigt wird, sowie der Kommunikationsanforderungen der anderen vernetzten Systeme. Da die Vorlagen die Einstellungen des Betriebssystems ändern, dürfen sie nicht verwendet werden, ohne dass zuvor ausreichende Maßnahmen zur Qualitätssicherung getroffen wurden.
Einsetzen sicherer Anwendungen Es genügt nicht, verteilte Sicherheit nur einzurichten und dann weiterhin so zu verfahren, wie zuvor. Ein sicheres Unternehmensnetzwerk benötigt Software, bei der die Sicherheitsfunktionen bereits beim Entwurf berücksichtigt wurden. Das Musterbeispiel einer Anwendung, die Sicherheitsüberlegungen nicht berücksichtigt, ist eine Anwendung, die Kennwörter unverschlüsselt über das Netzwerk überträgt. Eine sichere Umgebung benötigt sichere Anwendungen. Wenn Sie Software für Ihr Unternehmen testen, suchen Sie nach Anwendungen mit Funktionen, die Sicherheitsaspekte berücksichtigen. Achten Sie auf die Integration von Fähigkeiten zum einmaligen Anmelden für authentifizierte Netzwerkverbindungen und den fehlerfreien Betrieb auf gesicherten Computerkonfigurationen. Die Software sollte keine Adminstratorprivilegien erfordern, wenn sie kein Administratortool oder -dienstprogramm ist.
Kapitel 11 Planen der verteilten Sicherheit
391
Die Anwendungsspezifikation für Windows 2000 legt die technischen Anforderungen fest, die eine Anwendung erfüllen muss, um das Logo „Zertifiziert für Microsoft Windows“ zu erhalten. Dieses Dokument bestimmt, welche Mindestanforderungen sichere Anwendungen unterstützen müssen: ? Ausführung auf sicheren Windows 2000-Servern. ? Einmaliges Anmelden mit Hilfe der Kerberos-Authentifizierung beim Aufbau
von Netzwerkverbindungen. ? Identitätswechsel für Clients zur Unterstützung der Zugriffskontrollmechanismen von Windows 2000 unter Verwendung von Berechtigungen und Sicherheitsgruppen. ? Anwendungsdienste, die über Dienstkonten ausgeführt werden, statt lokale Systeme (die vollständige Systemprivilegien besitzen). Dies sind nur die Mindestanforderungen. Darüber hinaus sollten nur sorgfältig entwickelte Anwendungen eingesetzt werden, und es ist darauf zu achten, Pufferüberläufe oder andere Schwachstellen zu vermeiden, die von Eindringlingen ausgenutzt werden könnten. Sie können beispielsweise anfordern, dass die Komponenten von Anwendungen digital signiert sein müssen. Mit Hilfe von Microsoft ® Authenticode™ können Benutzer in Microsoft ® Internet Explorer erfahren, wer eine Softwarekomponente entwickelt hat, und feststellen, ob sie manipuliert wurde, bevor sie aus dem Internet heruntergeladen wird. Sie sollten Benutzer regelmäßig daran erinnern, Programme nicht direkt aus E-Mail-Anlagen auszuführen, wenn sie nicht sicher sind, woher sie stammen, oder von dem betreffenden Absender keine E-Mail erwartet haben.
Authenticode und Signieren von Software Software, die aus dem Internet auf den Computer eines Benutzers heruntergeladen wurde, kann nicht autorisierte Programme oder Viren enthalten, die Schaden anrichten oder Eindringlingen unbemerkt den Zugang zum Netzwerk verschaffen können. Mit der zunehmenden Konnektivität von Netzwerken dehnt sich die von bösartiger Software und Viren ausgehende Gefahr auch auf Intranets aus.
Funktionsweise von Authenticode Microsoft entwickelte die Authenticode™ -Technologie, um dieser wachsenden Bedrohung zu begegnen, und gibt nun Entwicklern die Möglichkeit, ihre Software mit Standard-X.509-Zertifikaten für öffentliche Schlüssel digital zu signieren. Benutzer können somit den Hersteller der digital signierten Software identifizieren und die Software gleichzeitig auf eventuelle Manipulationen überprüfen, da der Softwarecode vom Hersteller selbst signiert wurde. Mit Hilfe der Microsoft-Zertifikatsdienste können Sie Ihren internen Softwareentwicklern Zertifikate für die digitale Signatur ausstellen. Mit diesen Zertifikaten können die Entwickler dann ihre Software signieren, bevor sie sie über das Intranet verteilen. Wenn Sie das Netzwerk vor böswilligen Programmen und Viren schützen möchten, sollten Sie auch die Einrichtung von Richtlinien in Erwägung ziehen, die Benutzer daran hindern, sowohl aus dem Intra- als auch dem Internet unsignierte Software herunterzuladen und auszuführen.
392
Teil III
Active Directory-Infrastruktur
Bei Software, die über das Internet vertrieben wird, neigen die meisten Benutzer dazu, Softwaresignaturen mit Zertifikaten von bekannten kommerziellen Zertifizierungsstellen zu vertrauen. Die Verwendung einer kommerziellen Zertifizierungsstelle verlagert darüber hinaus die Haftung der Organisation, die bei einer externen Softwareverteilung die Verantwortung einer kommerziellen Zertifizierungsstelle übernimmt. Wenn Sie Software über das Internet vertreiben, müssen Sie daher überlegen, ob Sie die Dienste einer kommerziellen Zertifizierungsstelle in Anspruch nehmen, um Ihren Softwareentwicklern Zertifikate für digitale Signaturen auszustellen.
Implementieren der Authenticode-Prüfung Mit folgenden Schritten können Sie die auf Authenticode basierende Überprüfung der heruntergeladenen Software in Internet Explorer implementieren: Zeigen Sie im Menü Extras auf Internetoptionen, und klicken Sie anschließend auf die Registerkarte Sicherheit. Die höheren Sicherheitsebenen auf dieser Registerkarte überprüfen die Softwarekomponenten auf vertrauenswürdige digitale Signaturen. Diese Sicherheitseinstellungen im Internet Explorer können durch Gruppenrichtlinien kontrolliert werden (siehe die Beschreibung weiter oben in diesem Kapitel). Öffnen Sie das Gruppenrichtlinien-Snap-In von MMC, und gehen Sie zum Container Internet Explorer: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Administrative Vorlagen ?Windows-Komponenten ?Internet Explorer
Die Richtlinien für Internet Explorer ermöglichen die Sperrung der Sicherheitseinstellungen, so dass sie von Benutzern nicht geändert werden können, sowie die Anforderung, dass alle heruntergeladenen Komponenten vertrauenswürdige Signaturen aufweisen müssen.
Überlegungen zu Authenticode und dem Signieren von Software Strategien zum Signieren von Software sollten in Ihrem Einrichtungsplan folgende Informationen enthalten: ? Interne und externe Gruppen, die die Fähigkeit zum Signieren von Software ? ? ? ? ?
benötigen. Strategien zum Signieren von Software für die interne Verteilung. Strategien zum Signieren von Software für die externe Verteilung. Einrichten einer Zertifizierungsstelle und die Verwaltung von Vertrauensstellungen zur Unterstützung der Strategien zur Softwaresignierung. Der Prozess und die Strategien zur Eintragung von Benutzern als Signierer von Software. Schulung, um die Benutzer zu informieren, dass keine unsignierten oder nicht vertrauten Komponenten ausgeführt werden dürfen.
Kapitel 11 Planen der verteilten Sicherheit
393
Sichere E-Mail In heutigen Unternehmen werden E-Mail-Nachrichten mit vertraulichen persönlichen Nachrichten und proprietären Geschäftsinformationen gewohnheitsmäßig über nicht sichere Teile des Intranets oder sogar über das Internet übertragen. Wirtschaftsspione oder Hacker können E-Mail-Nachrichten im Klartext leicht abfangen. Außerdem können an Schaden interessierte Personen E-Mail-Nachrichten leicht abfangen und unterwegs verändern, oder die IP-Adresse eines E-MailSenders fälschen und gefälschte Nachrichten senden.
394
Teil III
Active Directory-Infrastruktur
Viele der heutigen, sicheren E-Mail-Lösungen wie Microsoft Exchange Server basieren auf dem offenen S/MIME-Standard (Secure/Multipurpose Internet Mail Extensions). Die Verwendung offener Standards ist wichtig, wenn Sie mit sicheren E-Mail-Anwendungen von Drittanbietern, die möglicherweise von Geschäftspartnern, Händlern und Kunden verwendet werden, interoperabel bleiben möchten.
Funktionsweise der sicheren E-Mail Sichere E-Mail-Systeme, die auf S/MIME basieren, verwenden digitale X.509Zertifikate nach Industriestandard und die Technologie öffentlicher Schlüssel, um E-Mail-Sicherheit zwischen Sendern und Empfängern von E-Mail-Nachrichten zu erzielen. Sichere E-Mail-Systeme bieten in der Regel folgende Sicherheitsfunktionen: ? Sender können E-Mail-Nachrichten digital signieren, um Datenintegrität zu ? ? ? ?
?
erzielen. Empfänger können die Identität des Nachrichtensenders überprüfen und prüfen, ob die Nachricht während der Versendung manipuliert wurde. Sender können signierte Nachrichten nicht zurückweisen, da nur der Sender im Besitz der Signaturreferenzen ist. Sender können E-Mail-Nachrichten verschlüsseln, um vertrauliche Kommunikationsmöglichkeitenzubieten. Empfänger können die Nachricht unter Verwendung privater Referenzen entschlüsseln, andere können jedoch die Nachricht nicht entschlüsseln und lesen. Administratoren können die privaten Referenzen des Benutzers zentral in einer sicheren Datenbank speichern. Wenn die privaten Referenzen des Benutzers verloren gehen oder beschädigt werden, können sie die Administratoren zur Entschlüsselung von Nachrichten wiederherstellen.
Überlegungen zur sicheren E-Mail Berücksichtigen Sie die folgenden Informationen in Ihrem Einrichtungsplan, um Strategien für sichere E-Mail zu verwenden: ? Die verwendeten sicheren E-Mail-Server- undClientanwendungen. ? E-Mail-Server und Benutzergruppen, die zu sicherer E-Mail aktualisiert oder ? ? ? ? ? ?
migriert werden müssen. Allgemeine Richtlinien zur Verwendung sicherer E-Mail in der Organisation. DieverwendeteVerschlüsselungstechnologie,einschließlichinternationaler Exporteinschränkungen und -begrenzungen. Die zur Unterstützung der sicheren E-Mail benötigten Zertifikatsdienste. Der Einschreibungsprozess und Strategien, um die Benutzer in das sichere E-Mail-Programm einzuschreiben. Fähigkeiten zur Schlüsselwiederherstellung durch Datenbanksicherung und empfohlene Sicherungs- und Wiederherstellungsverfahren. Fähigkeiten zur Schlüsselwiederherstellung und empfohlene allgemeine Wiederherstellungsverfahren.
Kapitel 11 Planen der verteilten Sicherheit
395
Sichere Websites und Kommunikation Die Website und der Browser wurden zu den zentralen Mechanismen für den offenen Informationsaustausch und die Zusammenarbeit in betrieblichen Intranets wie im Internet. Standard-Webprotokolle wie HTTP bieten jedoch nur eingeschränkte Sicherheit. Sie können die meisten Webserver so konfigurieren, dass Sicherheit auf Verzeichnis- und Dateiebene, basierend auf Benutzernamen und Kennwörtern, erzielt wird. Sicherheit im Web kann auch durch Programmlösungen, die CGI (Common Gateway Interface) oder ASP (Active Server Pages) verwenden, erzielt werden. Diese herkömmlichen Methoden, Websicherheit zu bieten, eignen sich jedoch immer weniger, da die Angriffe gegen Webserver zunehmend häufiger und intelligenter geführt werden. Sie können zusammen mit Windows 2000 Server Internet-Informationsdienste (Internet Information Services, IIS) verwenden, um Sicherheit auf hoher Ebene für Websites und Kommunikationseinrichtungen zu erzielen, die standardbasierte, sichere Kommunikationsprotokolle und Standard-X.509-Zertifikate verwenden. Sie können für Websites und die Kommunikation folgende Sicherheitsformen erzielen: ? Authentifizieren Sie Benutzer, und richten Sie mit Hilfe der Protokolle SSL
(Secure Sockets Layer) und TLS (Transport Layer Security) sichere Kanäle für vertrauliche, verschlüsselte Verbindungen ein. ? Authentifizieren Sie Benutzer, und richten Sie mit Hilfe des Protokolls SGC (Server Gates Cryptography) sichere Kanäle für vertrauliche, verschlüsselte Finanztransaktionenein. ? Ordnen Sie, um Benutzer zu authentifizieren, den Netzwerkbenutzerkonten Benutzerzertifikate zu, und kontrollieren Sie Benutzerrechte und -berechtigungen für Webressourcen, die auf dem Besitz gültiger Zertifikate beruhen, die eine vertrauenswürdige Zertifizierungsstelle ausgestellt hat.
Überlegungen zu sicheren Websites Berücksichtigen Sie in Ihrem Einrichtungsplan folgende Informationen: ? Die Websites und Benutzergruppen, die zu sicheren Websites aktualisiert oder ? ? ? ?
migriert werden müssen. Strategien für die Verwendung von SSL oder TLS, um die Webkommunikation zwischen Clients und Webservern zu sichern. Strategien für die Zuordnung von Zertifikaten, um die Benutzerrechte und -berechtigungen für Websiteressourcen zu kontrollieren. Die für die Unterstützung der Websites benötigte Einrichtung einer Zertifizierungsstelle. Einschreibungsprozess und Strategien, um die Benutzer in das sichere WebsiteProgramm einzuschreiben.
396
Teil III
Active Directory-Infrastruktur
Verwalten der Administration Einige der Richtlinien des Sicherheitsplans beziehen die täglichen Pflichten Ihrer IT-Abteilung ein. Windows 2000 unterstützt die Delegierung administrativer Berechtigungen, indem es bestimmten Mitarbeitern die begrenzten Rechte zugesteht, ihre eigenen Gruppen und Dateien zu verwalten. Windows 2000 unterstützt auch Überwachungsprotokolle für die Systemaktivität, mit detaillierten Abstimmungen, welche Ereignistypen protokolliert werden und in welchem Kontext dies geschieht. Ebenso wichtig ist es, dass Sie in Ihrem Plan beschreiben, wie die Konten Ihrer Domänenadministratoren vor einem Angriff durch Eindringlinge geschützt werden sollen. Es wird empfohlen, dass Sie die Richtlinien für die Domänenkonten so einrichten, dass alle Konten ein langes und komplexes Kennwort verwenden müssen, das nicht einfach zu enträtseln ist. Dies ist eine Selbstverständlichkeit, sollte in Ihrem Plan jedoch explizit angeführt werden. Es liegt auf der Hand, dass die Sicherheit gefährdet ist, wenn zu viele Personen das Kennwort des Administrators kennen. Der Administrator der Stammdomäne einer Domänenstruktur ist automatisch ein Mitglied der Gruppe der Schemaadministratoren und der Gruppe der Unternehmensadministratoren. Dies ist ein hochprivilegiertes Konto, in dem Eindringlinge unbegrenzten Schaden anrichten können. Ihr Plan muss daher bestimmen, dass der Zugang zu diesem Konto auf eine sehr kleine Gruppe vertrauenswürdiger Mitarbeiter beschränkt wird. Das Konto des Domänenadministrators darf ausschließlich für Aufgaben verwendet werden, die Administratorprivilegien erfordern. Es darf niemals im angemeldeten Zustand unbeaufsichtigt gelassen werden. Halten Sie Ihre Administratoren an, für nicht administrative Tätigkeiten (Lesen von E-Mail, Browsen im Web usw.) ein zweites Konto ohne Privilegien zu erstellen. Die Serverkonsolen von Domänenadministratoren müssen physisch gesichert werden, so dass nur befugte Personen zu ihnen Zutritt haben. Ihr Sicherheitsplan muss dies festlegen und die Mitarbeiter auflisten, die die Konsolen verwenden werden. Es ist nicht selbstverständlich, dass Benutzer des Administratorkontos sich niemals an Clientcomputern anmelden dürfen, die von weniger vertrauenswürdigen Mitarbeitern verwaltet werden. Diese anderen Administratoren des Clientcomputers könnte anderen Softwarecode auf dem Computer ausführen, der die Administratorprivilegien unbemerkt missbraucht.
Delegieren Das Delegieren von Administrationsaufgaben ist in einer Windows 2000-Unternehmensumgebung eine praktische Notwendigkeit. Im Allgemeinen wird Autorität nicht nur an Mitglieder der IT-Gruppe, sondern auch an Mitarbeiter im Personalbereich und verschiedene Führungskräfte delegiert, um sie bei ihren Aufgaben zu unterstützen. Bei der Delegierung werden Administrationsaufgaben verteilt, ohne dass jedem Assistenten weitreichende Privilegien gewährt werden. Dieses Verfahren gehört zu dem Sicherheitskonzept „Prinzip des geringsten Privilegs“. Das heißt, dass lediglich die für eine bestimmte Aufgabe erforderlichen Privilegien gewährt werden.
Kapitel 11 Planen der verteilten Sicherheit
397
Windows 2000 ermöglicht mit verschiedenen Mitteln die Delegierung von fest abgegrenzten Kontrollmöglichkeiten über eine begrenzte Gruppe von Objekten an Gruppen oder Personen. Einzige Voraussetzung hierfür ist, dass die entsprechenden Delegierungselemente (Benutzer, Gruppen, Gruppenrichtlinienobjekte, Dateien, Verzeichnisse usw.) sich an ihrem endgültigen Platz befinden müssen, bevor eine Delegierung stattfindet. Windows 2000 unterstützt die Delegierung administrativer Befugnisse durch verschiedene Funktionen, einschließlich der in den folgenden Abschnitten aufgeführten. (Beachten Sie, dass einige Aufgaben die Privilegien von Domänenadministratoren erfordern und nicht delegiert werden können.)
Sicherheitsgruppen, Gruppenrichtlinie und Zugriffskontrolllisten Die Beschreibung dieser Funktionen findet sich weiter oben in diesem Kapitel. Ihre Funktionsweise wird in den folgenden Abschnitten erläutert.
Integrierte Sicherheitsgruppen Windows 2000 bietet vordefinierte Sicherheitsgruppen, an welche bereits bestimmte Berechtigungen delegiert wurden. Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer- und -Computer“. Wählen Sie im Menü Ansicht die Option Erweiterte Funktionen. Die vordefinierten Sicherheitsgruppen befinden sich in den Ordnern Builtin und Users. Wenn Sie an eine dieser Gruppen direkt Kontrollmöglichkeiten delegieren möchten, öffnen Sie die Eigenschaftenseite der Gruppe, und klicken Sie auf die Registerkarte Sicherheit. Fügen Sie den Leiter der Gruppe zur Zugriffskontrollliste hinzu, und prüfen Sie die betreffenden Privilegien.
Assistent zur Objektverwaltungszuweisung Öffnen Sie das MMC-Snap-In für Active Directory-Standorte und -Dienste. Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und wählen Sie Objektverwaltung zuweisen. Dieser Assistent richtet Berechtigungen für Benutzergruppen ein, um bestimmte Standorte und Dienste zu verwalten. Ein Beispiel wäre etwa das Recht, neue RAS-Konten erstellen zu dürfen.
Assistent zum Delegieren von Administrationsaufgaben Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und wählen Sie Objektverwaltung zuweisen. Dieser Assistent richtet Berechtigungen für Benutzergruppen ein, um Organisationseinheiten mit Computern und Benutzergruppen zu verwalten. Ein Beispiel wäre etwa das delegierte Recht, neue Benutzerkonten erstellen zu dürfen.
398
Teil III
Active Directory-Infrastruktur
Delegieren der Steuerung von Gruppenrichtlinienobjekten Das Delegieren von Verwaltungsaufgaben durch die Gruppenrichtlinie beinhaltet drei Aufgaben, die zusammen oder einzeln durchgeführt werden können, je nach Situation: ? Das Verwalten von Verknüpfungen der Gruppenrichtlinie eines Standorts, einer
Domäne oder einer Organisationseinheit. ? Das Erstellen von Gruppenrichtlinienobjekten. ? Das Bearbeiten von Gruppenrichtlinienobjekten. Diese Aufgaben finden Sie ausführlich beschrieben im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in dieser Dokumentation.
Überwachen Die Überwachung und Sicherheitsprotokollierung von Netzwerkaktivitäten sind wichtige Schutzvorkehrungen. Windows 2000 ermöglicht es Ihnen, eine Vielzahl unterschiedlicher Ereignisse zu überwachen, mit deren Hilfe die Aktivitäten eines Eindringlings verfolgt werden können. Die Einträge der Protokolldatei können als Beweismaterial herangezogen werden, wenn ein Eindringling identifiziert wurde.
Funktionsweise der Überwachung Sie können bestimmen, dass immer dann ein Überwachungseintrag in das Protokoll von Sicherheitsereignissen eingetragen wird, wenn bestimmte Aktionen durchgeführt werden oder auf bestimmte Dateien zugegriffen wird. Der Überwachungseintrag zeigt die durchgeführte Aktion, den Benutzer, der sie durchgeführt hat, sowie Datum und Uhrzeit der Aktion. Sie können sowohl erfolgreiche als auch fehlgeschlagene Versuche von Aktionen überwachen, so dass die Überwachungsliste zeigen kann, wer Aktionen auf dem Netzwerk durchführte und wer versuchte, Aktionen durchzuführen, die nicht gestattet sind. Sie können das Sicherheitsprotokoll in der Ereignisanzeige betrachten. Wenn das Sicherheitsprotokoll regelmäßig geprüft wird, können manche Angriffsarten, wie z. B. Kennwortangriffe, entdeckt werden, bevor sie erfolgreich sind. Nach einem Eindringen kann Ihnen das Sicherheitsprotokoll dabei behilflich sein, zu bestimmen, wie der Eindringling sich Zugang verschaffen konnte und welche Aktionen er ausgeführt hat. Die Überwachungsprotokollierung ist eine Richtlinie, die nicht gerechtfertigt werden muss. Die Aufzeichnung von Sicherheitsereignissen ist eine Form der Angriffserkennung.
Voraussetzungen für das Implementieren der Überwachungsfunktion Es ist keine Installation oder Neuanschaffung erforderlich. Sie müssen lediglich die Einstellungen Ihrer Gruppenrichtlinie konfigurieren, um die Überwachung zu aktivieren. Sie müssen die Überwachung auch für allgemeine Bereiche oder bestimmte Themen aktivieren, die Sie verfolgen möchten.
Kapitel 11 Planen der verteilten Sicherheit
399
Implementieren der Überwachungsfunktion Die Sicherheitsüberwachung ist nicht standardmäßig aktiviert. Sie müssen die von Ihnen benötigten Überwachungsarten aktivieren, indem Sie das Gruppenrichtlinien-Snap-In für MMC verwenden. Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Lokale Richtlinien ?Überwachungsrichtlinien
Folgende Kategorien für überwachungsfähige Ereignisse stehen zur Verfügung: Kontoanmeldeereignisse, die Kontoverwaltung, der Zugriff auf den Verzeichnisdienst, Anmeldeereignisse, der Objektzugriff, die Richtlinienänderung, die Prozessverfolgung und Systemereignisse. Beachten Sie, dass Überwachungsrichtlinien Gegenstand der Richtlinienvererbung sind und dass die Richtlinien, die Sie auf Ihrem lokalen Computer festlegen, von Richtlinien überschrieben werden können, die für die ganze Domäne festgelegt wurden. Sobald Sie Ihre Überwachungsrichtlinien eingerichtet haben, können Sie den Grad der Überwachung präzisieren, indem Sie bestimmte Arten von Überwachungsmeldungen für einzelne Objekte aktivieren. Wenn Sie z. B. die Überwachung eines Dateiverzeichnisses aktivieren möchten, klicken Sie mit der rechten Maustaste auf den Ordner in Windows Explorer. Zeigen Sie auf Eigenschaften, und klicken Sie anschließend auf die Registerkarte Sicherheit. Klicken Sie auf Erweitert, und wählen Sie dann die Registerkarte Überwachung imDialogfeld Erweiterte Eigenschaften. Dies zeigt die Liste der für diesen Ordner verfügbaren überwachungsfähigen Ereignisse. Im Fall von Dateiverzeichnissen können Überwachungseinstellungen optionalauf enthaltene Dateien und Unterverzeichnisse angewendet werden. Zeigen Sie die Überwachungsmeldungen im Knoten Sicherheitsprotokoll der Ereignisanzeige an. Weitere Informationen zur Überwachung von Sicherheitsereignissen finden Sie in der Onlinehilfe von Windows 2000 Server.
Überlegungen zur Überwachung Das Erstellen eines Sicherheitsprotokolls wirkt sich auf den Speicherplatz auf dem Server aus. Sie können die Ereignisanzeige so einstellen, dass Einträge, die mehr als „n“ Tage alt sind, überschrieben werden oder den Server so konfigurieren, dass er den Betrieb einstellt, wenn das Sicherheitsprotokoll voll ist. Weitere Informationen über das Anhalten des Computers, wenn das Sicherheitsprotokoll voll ist, finden Sie in der Onlinehilfe von Windows 2000. Beachten Sie, dass die hier beschriebenen Überwachungsfunktionen für Verzeichnisse und Dateien ein NTFS-Dateisystem erfordern. Überwachen Sie Firewallserver und kritische Server, die in die Firewall integriert sind, um verdächtige Aktivitäten aufzuspüren. Auch Server, die außerhalb der Firewall liegen, sollten überwacht werden, selbst wenn sie als unsicher betrachtet werden, da sie einen Eingang in das Unternehmen darstellen.
400
Teil III
Active Directory-Infrastruktur
Tabelle 11.3 listet verschiedene Ereignisse auf, die überwacht werden müssen, sowie die besonderen Sicherheitsbedrohungen, die das Überwachungsereignis überprüft. Tabelle 11.3 Überwachungsrichtlinien zur Erkennung von Sicherheitsbedrohungen Überwachungsereignis
ErkannteBedrohung
Fehlversuchüberwachung bei An-/Abmeldung.
Versuch, mit einem zufällig gewählten Kennwort einzudringen Eindringen mit gestohlenem Kennwort Missbrauch von Privilegien
Erfolgsüberwachung bei An-/Abmeldung. Erfolgsüberwachung bei Benutzerrechten, Verwaltung von Benutzern und Gruppen, Richtlinien für die Revisionskontrolle der Sicherheit, Neustart, Herunterfahren und Systemereignissen. Erfolgs- und Fehlerüberwachung bei Datei- und Objektzugriffsereignissen. Erfolgs- und Fehlerüberwachung im Dateimanager bei Lese-/Schreibzugriffen von verdächtigen Benutzern oder Gruppen auf sicherheitskritische Dateien. Erfolgs- und Fehlerüberwachung bei Datei- und Objektzugriffsereignissen. Erfolgs- und Fehlerüberwachung im Druckmanager bei Zugriff von verdächtigen Benutzern oder Gruppen auf Drucker. Erfolgs- und Fehlerüberwachung bei Schreibzugriff auf Programmdateien (.exe- und .dll-Erweiterungen). Erfolgs- und Fehlerüberwachung bei der Prozessverfolgung. Ausführen verdächtiger Programme, Prüfen des Sicherheitsprotokolls für unerwartete Versuche, Programmdateien zu ändern, oder für Versuche, unerwartete Prozesse zu erstellen. Nur ausführen, wenn die Systemprotokollierung aktiv überwacht wird.
Unkorrekter Zugriff auf sicherheitskritische Dateien
Unkorrekter Zugriff auf Drucker
Virusattacke
Planungstaskliste zur verteilten Sicherheit Führen Sie zur Ausarbeitung des Einsatzplans für die Netzwerksicherheit die Aufgaben in der folgenden Tabelle 11.4 aus: Tabelle 11.4 Taskliste für die Sicherheitsplanung Task
Abschnitt
Ermitteln der Sicherheitsrisiken im Netzwerk. Auflisten und Erklären der Risiken im Plan. Bereitstellen von Hintergrundmaterial zu Sicherheitskonzepten und zur Terminologie, um den Lesern des Plans die Orientierung zu erleichtern.
Sicherheitsrisiken
Einführen und Erklären der Sicherheitsstrategien gegen die angeführten Risiken.
Strategien zur verteilten Sicherheit
Sicherheitskonzepte
Kapitel 11 Planen der verteilten Sicherheit
401
(Fortsetzung) Task
Abschnitt
Sicherstellen, dass für jeden Zugriff auf Netzwerkressourcen die Authentifizierung über Domänenkonten erforderlich ist.
Authentifizieren des Zugriffs von allen Benutzern Authentifizieren des Zugriffs von allen Benutzern Authentifizieren des Zugriffs von allen Benutzern
Entscheiden, für welche Benutzer bei der interaktiven Anmeldung oder der Anmeldung über Remotezugriff eine strenge Authentifizierung geboten ist. Definieren der Länge von Kennwörtern, von Änderungsintervallen sowie komplexen Anforderungen für Benutzerkonten von Domänen. Entwickeln eines Plans, wie diese Anforderungen den Benutzern mitgeteilt werden. Definieren von Richtlinien (eigene oder des Unternehmens), um die Übermittlung von Kennwörtern im Klartext über ein Netzwerk zu verhindern. Entwickeln einer Strategie für den Einsatz der einmaligen Anmeldung oder der geschützten Übertragung von Kennwörtern. Ausarbeiten eines Plans für den Einsatz von öffentlichen Schlüsseln für die Anmeldung mit Smartcard, wenn die strenge Authentifizierung Ihre Sicherheitsziele erfüllt. Beschreiben der Richtlinie zur Aktivierung von Remotezugriff für Benutzer. Entwickeln eines Plans, alle Benutzer über die Remotezugriffsverfahren einschließlich der Verbindungsmethoden zu informieren.
Authentifizieren des Zugriffs von allen Benutzern
SmartcardAnmeldung Remotezugriff Remotezugriff
Ermitteln der derzeitigen Verwendung von Gruppen in der Organisation. Einrichten von Konventionen für Gruppennamen und die Verwendung von Gruppentypen. Beschreiben der Gruppen der obersten Sicherheitsebene, die weitreichende Sicherheitszugriffe zu den unternehmensweiten Ressourcen erhalten. Dies werden vermutlich die universellen Gruppen des Unternehmens sein. Beschreiben der Richtlinien für die Zugriffskontrolle. Besonderer Hinweis auf die konsistente Verwendung der Sicherheitsgruppen.
Anwenden der Zugriffskontrolle
Definieren der Verfahren zur Erstellung neuer Gruppen und eindeutige Zuordnung der Verantwortung für die Verwaltung der Gruppenzugehörigkeit. Bestimmen, welche vorhandenen Domänen in die Gesamtstruktur gehören und welche externe Vertrauensstellungen verwenden werden. Beschreiben der Domänen, Domänenstrukturen und Gesamtstrukturen und ausführliches Darlegen der Vertrauensstellungen zwischen ihnen.
Anwenden der Zugriffskontrolle
Definieren einer Richtlinie für die Erkennung und Verwaltung sicherheitskritischer oder vertraulicher Informationen sowie für die Anforderungen zum Schutz sicherheitskritischer Daten.
Aktivieren des Datenschutzes
Bestimmen der Netzwerkdatenserver mit sicherheitskritischen Daten, die einen Netzwerkdatenschutz benötigen, um das
Aktivieren des Datenschutzes
Anwenden der Zugriffskontrolle
Anwenden der Zugriffskontrolle
Einrichten von Vertrauensstellungen Einrichten von Vertrauensstellungen
402
Teil III
Active Directory-Infrastruktur Lesen von Daten durch Unbefugte zu verhindern.
Kapitel 11 Planen der verteilten Sicherheit
403
(Fortsetzung) Task
Abschnitt
Entwickeln eines Einsatzplans für die Verwendung von IPSec für den Schutz der Daten vor Remotezugriffen oder vor dem Zugriff auf sicherheitskritische Anwendungsdatenserver. Bei der Verwendung von EFS: Beschreiben der Wiederherstellungsrichtlinie einschließlich der Aufgaben des Wiederherstellungsagenten in der Organisation. Bei der Verwendung von EFS: Beschreiben der Planung für die Implementierung von Wiederherstellungsverfahren und Überprüfen, ob der Plan in der Organisation funktioniert. Bei der Verwendung von IPSec: Entwickeln der Szenarios für die Verwendung von IPSec im Netzwerk und Verstehen der Auswirkungen auf die Leistung. Definieren domänenweiter Kontorichtlinien und Informieren aller Benutzer über diese und andere Richtlinien.
Aktivieren des Datenschutzes
Bestimmen der lokalen Anforderungen an Sicherheitsrichtlinien für die unterschiedlichen Systemkategorien im Netzwerk, wie z. B. Desktops, Datei- und Druckserver und E-Mail-Server. Definieren der entsprechenden Sicherheitseinstellungen der Gruppenrichtlinie für jede Kategorie.
Festlegen einheitlicher Sicherheitsrichtlinien
Definieren von Anwendungsservern mit Hilfe spezifischer Sicherheitsvorlagen. Erwägen der Verwaltung dieser Server mit Gruppenrichtlinien. Verwenden geeigneter Sicherheitsvorlagen für Systeme, die anstelle einer Neuinstallation von Windows NT 4.0 aktualisiert werden.
Festlegen einheitlicher Sicherheitsrichtlinien Sicherheitsvorlagen
Verwenden von Sicherheitsvorlagen als Möglichkeit zur Beschreibung der Sicherheitsebenen, die für die verschiedenen Klassen von Computern gelten sollen. Entwickeln eines Testplans zur Überprüfung, ob die normalen Geschäftsanwendungen auf den korrekt konfigurierten sicheren Systemen ausgeführt werden.
Sicherheitsvorlagen
Definieren, welche Anwendungen mit erweiterten Sicherheitsfunktionen zusätzlich benötigt werden, die die Sicherheitsziele der Organisation erfüllen. Bestimmen der Sicherheitsebenen für heruntergeladenen Softwarecode.
Einsetzen sicherer Anwendungen
Verschlüsselndes Dateisystem Verschlüsselndes Dateisystem IP-Sicherheit
Festlegen einheitlicher Sicherheitsrichtlinien
Einsetzen sicherer Anwendungen
Einsetzen interner Verfahren für die Implementierung von signiertem Softwarecode für alle im Haus entwickelten Softwareprogramme, die öffentlich verteilt werden.
Authenticode und Signieren von Software Authenticode und Signieren von Software
Festlegen der Richtlinien zur Sicherung der Administratorkonten und -konsolen.
Verwalten der Administration
Ermitteln der Situationen, in denen für bestimmte Aufgaben die Delegierung der administrativen Kontrolle erfolgt.
Delegieren
Festlegen der Richtlinien für die Überwachung einschließlich des entsprechenden Personalbedarfs.
Überwachen
404
Teil III
Active Directory-Infrastruktur
Kapitel 11 Planen der verteilten Sicherheit
405
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
401
K A P I T E L
1 2
Planen der Infrastruktur für öffentliche Schlüssel
®
®
Unter Microsoft Windows 2000 wird eine umfassende Infrastruktur für öffentliche Schlüssel unterstützt. Bei einer solchen Infrastruktur handelt es sich um ein System aus digitalen Zertifikaten, Zertifizierungsstellen und anderen Registrierungsstellen, über das mit Hilfe von kryptographischen öffentlichen Schlüsseln die Gültigkeit der an einer elektronischen Transaktion beteiligten Parteien überprüft und authentifiziert wird. ®
Sie können mit Hilfe der Microsoft Zertifikatsdienste eine Infrastruktur für öffentliche Schlüssel entwerfen, die den Sicherheitsanforderungen für öffentliche Schlüssel entspricht. Inhalt dieses Kapitels Überblick über die Infrastruktur für öffentliche Schlüssel 402 Aufbauen der Infrastruktur für öffentliche Schlüssel 407 Entwerfen der Infrastruktur für öffentliche Schlüssel 408 Entwickeln optionaler benutzerdefinierter Anwendungen 421 Durchführen der Ressourcenplanung 422 Einrichten der Infrastruktur für öffentliche Schlüssel 423 Planungstaskliste für eine Infrastruktur für öffentliche Schlüssel
430
Zielsetzungen Dieses Kapitel ist beim Entwickeln folgender Planungsdokumente hilfreich: ? Zertifikatsanforderungen für öffentliche Schlüssel ? Richtlinien zum Ausstellen und Verwenden von Zertifikaten ? Entwerfen einer Vertrauenshierarchie für die Zertifizierungsstelle ? Richtlinien und Prozesse für den Zertifizierungszyklus ? Richtlinien für Zertifikatssperrlisten ? Strategien für Zertifikatsicherungen und Notfallwiederherstellungen ? Zeitplan für das Einrichten und Einführen einer Infrastruktur für öffentliche
Schlüssel Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu den grundlegenden Konzepten kryptographisch basierter Sicherheit, zu Infrastrukturen für öffentliche Schlüssel und zur Technologie öffentlicher Schlüssel finden Sie unter „Verschlüsselung zur Netzwerk- und Datensicherheit“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
402
Teil III
Active Directory-Infrastruktur ? Weitere Informationen zu den Sicherheitslösungen mit Hilfe von öffentlichen
Schlüsseln finden Sie unter „Sicherheitslösungen mit öffentlichen Schlüsseln“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Überblick über die Infrastruktur für öffentliche Schlüssel Bei der Infrastruktur für öffentliche Schlüssel handelt es sich um eine grundlegende Technologie von Windows 2000, die eine Reihe von Features in Bezug auf Authentifizierung und Entschlüsselung ermöglicht. Daher müssen die Pläne zu einer Infrastruktur für öffentliche Schlüssel rechtzeitig in den Einrichtungsprozess eingebunden werden. Dieser Abschnitt enthält einen kurzen Überblick über die Features und Tools für die Infrastruktur für öffentliche Schlüssel unter Windows 2000.
Funktionsweise der Infrastruktur für öffentliche Schlüssel Eine Infrastruktur für öffentliche Schlüssel basiert auf Zertifikaten. Bei einem Zertifikat handelt es sich um eine digital signierte Erklärung, die einen öffentlichen Schlüssel und den Namen des Subjekts enthält. In dem Zertifikat können mehrere Namenstypen verwendet werden, unter denen das Subjekt bekannt ist, z. B. ein Verzeichnisname, ein E-Mail-Name oder ein DNS-Name (Domain Name Service). Beim Signieren des Zertifikats wird über die Zertifizierungsstelle überprüft, ob der mit dem öffentlichen Schlüssel verbundene private Schlüssel über das im Zertifikat genannte Subjekt verfügt. Bei einer Zertifizierungsstelle, häufig ein Drittanbieter, wird einem vertrauten Benutzer ein Zertifikat ausgestellt, das einen öffentlichen Schlüssel enthält. Dieses Zertifikat kann beliebig verteilt werden. Der öffentliche Schlüssel kann zum Verschlüsseln von Daten verwendet werden, die nur mit Hilfe eines entsprechenden privaten Schlüssels entschlüsselt werden können, der dem Benutzer ebenfalls zur Verfügung gestellt wird. Der Benutzer hält den privaten Schlüssel unter Verschluss, so dass keine anderen Personen darauf zugreifen können. Der private Schlüssel kann zum Erstellen einer digitalen Signatur verwendet werden, die über den öffentlichen Schlüssel bestätigt wird. Das Konzept bei kryptographischen öffentlichen Schlüsseln besteht darin, dass zwei Schlüssel verwendet stehen. Der eine Schlüssel kann beliebig zwischen Parteien weitergegeben oder in einem öffentlichen Repository veröffentlicht werden, der andere Schlüssel bleibt streng privat. Es gibt verschiedene Typen von Algorithmen für öffentliche Schlüssel, wobei jeder Typ über spezifische Merkmale verfügt. Dies bedeutet, dass es nicht immer möglich ist, einen Algorithmus durch einen anderen zu ersetzen. Wenn über zwei Algorithmen die gleiche Funktion ausgeführt werden kann, wird das Ergebnis über unterschiedliche Mechanismen herbeigeführt. Bei kryptographischen öffentlichen Schlüsseln werden die beiden Schlüssel in einer Folge verwendet. Wird zunächst der öffentliche und dann der private Schlüssel verwendet, handelt es sich um eine so genannte Schlüsselaustauschoperation. Wird zunächst der private und dann der öffentliche Schlüssel verwendet, handelt es sich um eine so genannte digitale Signatur.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
403
Sie können innerhalb einer Firma eigene Zertifizierungsstellen aufbauen oder die Zertifizierungsdienste nutzen, die von Drittanbietern zur Verfügung gestellt werden. Über die Infrastruktur für öffentliche Schlüssel werden Daten so verarbeitet, dass die Quelle gleichzeitig erkannt und authentifiziert wird. Das unberechtigte Abfangen von Benutzeridentitäten wird stark erschwert und maskierter Datenzugriff sowie Datenmanipulation werden verhindert. In Tabelle 12.1 werden einige der Verwendungsmöglichkeiten der Infrastruktur für öffentliche Schlüssel in einem Unternehmen beschrieben. Tabelle 12.1 Führende Anwendungen für digitale Zertifikate Anwendung
Verwendung
Sichere E-Mail
Über sichere E-Mailclients werden Zertifikate verwendet, um die Integrität von E-Mail sicherzustellen und E-Mailnachrichten aus Gründen der Vertraulichkeit zu verschlüsseln. Über Webserver können Clients für Webkommunikation (mit Hilfe von Clientzertifikaten) authentifiziert werden, und es wird eine vertrauliche, verschlüsselte Webkommunikation (mit Hilfe von Serverzertifikaten) geboten.
SichereWebkommunikation
Sichere Websites
Digitales Signieren von Softwaredateien
Smartcard-Authentifizierung im lokalen Netzwerk
Smartcard-Authentifizierung beim RAS-Zugriff
IPSec-Authentifizierung
EFS-Wiederherstellungs-Agent (Encrypting File System)
Mit Hilfe von IIS-Websites (Internet Information Services) können Clientzertifikate authentifizierten Benutzern zugeordnet werden, so dass ihre Rechte und Berechtigungen an Ressourcen von Websites gesteuert werden können. Bei Tools für die Codesignatur werden Zertifikate verwendet, um Softwaredateien digital zu signieren, so dass der Dateiursprung belegt und die Datenintegrität sichergestellt ist. Über das Kerberos-Anmeldeprotokoll können in Smartcards gespeicherte Zertifikate und private Schlüssel verwendet werden, um die Netzwerkbenutzer beim Anmelden am Netzwerk zu authentifizieren. Über Server, auf denen der Routing- und RASDienst ausgeführt wird, können in Smartcards gespeicherte Zertifikate und private Schlüssel verwendet werden, umdie Netzwerkbenutzer beim Anmelden am Netzwerk zu authentifizieren. Über IPSec können Zertifikate verwendet werden, um Clients für die IPSec-Kommunikation zu authentifizieren. Mit Hilfe von Zertifikaten des WiederherstellungsAgenten können EFS-Dateien wiederhergestellt werden, die von anderen Benutzern verschlüsselt wurden.
404
Teil III
Active Directory-Infrastruktur
Voraussetzungen für das Implementieren von Infrastrukturen für öffentliche Schlüssel Das Implementieren einer Infrastruktur für öffentliche Schlüssel bildet einen mehrteiligen Prozess, bei dem Planungen und Versuche mit Hilfe von Pilotprogrammen erforderlich sind. Einige Features von Windows 2000, z. B. verschlüsseltes Dateisystem (Encrypting File System, EFS) und IP-Sicherheit (IPSec), bieten eigene Zertifikate, ohne dass eine besondere Vorbereitung durch den Netzwerkadministrator erforderlich ist. Diese Features können sofort eingerichtet werden. Für andere Sicherheitsfeatures ist ggf. eine Hierarchie von Zertifizierungsstellen erforderlich. Eine solche Hierarchie muss geplant werden. Beim Erstellen von Geschäftsrichtlinien müssen zunächst sowohl die internen als auch die externen Zertifizierungsstellen ausgewählt werden, welche die Quellen der gewünschten Zertifikate darstellen. Eine typische Zertifizierungsstellenhierarchie besteht aus einer Architektur mit drei Ebenen. Es wird eine Stammzertifizierungsstelle empfohlen, die sich im Offlinemodus befindet. Zum Implementieren von Zertifikatsrichtlinien ist eine zweite Ebene von Zertifizierungsstellen notwendig. Für diese Ebene ist ebenfalls der Offlinemodus erforderlich. Auf der dritten Ebene befinden sich die ausstellenden Zertifizierungsstellen. Hierbei kann es sich um interne oder externe Zertifizierungsstellen handeln. Die interne Netzwerkauthentifizierung und Sicherstellung der Datenintegrität kann über eine lokale Zertifizierungsstelle, z. B. die IT-Abteilung einer Firma, vorgenommen werden. Für die öffentliche Glaubwürdigkeit bei Internet-Transaktionen und Softwaresignaturen sind ggf. Zertifikate von Drittanbietern erforderlich. Berücksichtigen Sie beim Auswählen der Zertifizierungsstellen den Kryptographiedienstanbieter (Cryptographic Service Provider, CSP). Bei dem CSP handelt es sich um die Software bzw. die Hardware, über welche die Verschlüsselungsdienste für die Zertifizierungsstelle zur Verfügung gestellt werden. Bei einem softwarebasierten CSP wird auf dem Computer ein öffentlicher und ein privater Schlüssel, ein so genanntes Schlüsselpaar, erstellt. Bei einem hardwarebasierten CSP, z. B. einem Smartcard-CSP, wird eine Hardwarekomponente angewiesen, das Schlüsselpaar zu erstellen. Der Standard-CSP für Windows-Umgebungen ist der Microsoft-basierte Kryptographieanbieter, der 40-Bit-Schlüssellängen bietet. Windows 2000 unterstützt eine Verschlüsselung mit 40/56-Bit-Schlüsseln und darf daher aus den Vereinigten Staaten von Amerika exportiert werden. Für eine erhöhte Sicherheit (und höhere Geschwindigkeit) sollte ein hardwarebasierter CSP in Erwägung gezogen werden, der bei verschiedenen Fremdanbietern erhältlich ist. Eine erhöhte Sicherheit ist in aller Regel mit höheren Kosten verbunden, sowohl was die Ausgaben für die Hardware angeht als auch die CPU-Zyklen für die Verschlüsselung. Eine erhöhte Sicherheit zahlt sich im Hinblick auf die damit verbundenen Kosten nicht immer sichtbar aus, steht jedoch im Bedarfsfall immer zur Verfügung. Ist eine sehr hohe Sicherheitsstufe gewünscht, sind ein CSP für die Zertifizierungsstellen und Smartcards für die Benutzer empfehlenswert.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
405
So implementieren Sie die Infrastruktur für öffentliche Schlüssel Unter Windows 2000 und den meisten Softwareanwendungen, durch die Unternehmensverarbeitungsprozesse unterstützt werden, sind Zertifikate zu Infrastrukturen für öffentliche Schlüssel vorgesehen. In den folgenden Abschnitten werden die Features für diese Infrastrukturen unter Windows 2000 vorgestellt.
Erstellen einer lokalen Zertifizierungsstelle Auf dem Server unter Windows 2000 kann eine lokale Zertifizierungsstelle erstellt werden. Sie können unter verschiedenen Zertifizierungsstellentypen auswählen. Einen Typ stellt die Firmenzertifizierungsstelle dar, über welche z. B. Zertifikate für digitale Signaturen, verschlüsselte E-Mail, Webauthentifizierungen und Windows 2000-Domänenauthentifizierungen über Smartcards durchgeführt werden können. Über diese Zertifizierungsstelle werden Zertifikate ausgestellt, die auf Anforderungen von Benutzern oder anderen Einheiten basieren und das Verwenden des Active Directory™ -Verzeichnisdienstes erfordern. Über eine eigenständige Zertifizierungsstelle werden Zertifikate basierend auf Anforderungen von Benutzern oder anderen Einheiten ausgestellt; im Gegensatz zu Firmenzertifizierungsstellen ist das Verwenden von Active Directory jedoch nicht erforderlich. Eigenständige Zertifizierungsstellen werden hauptsächlich in Verbindung mit Extranets oder dem Internet verwendet. Zertifizierungsstellen können verschiedene hierarchische Rollen übernehmen, z. B. die der Stammzertifizierungsstelle, der untergeordneten Zertifizierungsstelle und der ausstellende Zertifizierungsstelle. Weitere Informationen zu Zertifizierungshierarchien finden Sie unter „Festlegen von Zertifikatsrichtlinien und Zertifizierungsstellenmethoden“ weiter unten in diesem Kapitel. ? So erstellen Sie auf Windows 2000-basierten Servern eine lokale Zertifizierungsstelle 1. Klicken Sie auf Start, dann auf Einstellungen, und klicken Sie auf Systemsteuerung. 2. Doppelklicken Sie auf Software, und klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 3. Fügen Sie Zertifikatsdienste hinzu, und installieren Sie eine Firmenstammzertifizierungsstelle. Weitere Informationen zum Installieren einer lokalen Zertifizierungsstelle finden Sie in der Onlinehilfe zu Windows 2000 Server. Nachdem eine lokale Zertifizierungsstelle erstellt wurde, kann sie mit Hilfe des Zertifizierungsstellen-Snap-Ins in der MMC (Microsoft Management Console) verwaltet werden. Sie können auch die Zertifikate der Infrastruktur für öffentliche Schlüssel anzeigen. ? So zeigen Sie den persönlichen Satz der Zertifikate der Infrastruktur für öffentliche Schlüssel an 1. Öffnen Sie Microsoft Internet Explorer.
406
Teil III
Active Directory-Infrastruktur
2. Klicken Sie im Menü Extras auf Internetoptionen. 3. Klicken Sie im entsprechenden Dialogfeld auf die Registerkarte Inhalt. Auf dieser Registerkarte werden mittels der Schaltflächen unter Zertifikate die aktuellen Zertifikate, die vertrauten Zertifizierungsstellen und vertraute Softwarehersteller angezeigt.
Verwalten von Zertifikaten Verwenden Sie zum Verwalten von Zertifikaten das Zertifikat-Snap-In für MMC. Beachten Sie, dass dieses Snap-In über zwei Anzeigemodi verfügt, die Anzeige Logische Zertifikatspeicher und die Anzeige Zertifikatszweck. Klicken Sie auf den Knoten Zertifikate (Knoten der obersten Ebene), so dass er hervorgehoben angezeigt wird. Klicken Sie im Menü Ansicht auf Optionen. Machen Sie sich mit den beiden Anzeigemodi vertraut. Um in diesem Snap-In ein neues Zertifikat anzufordern, klicken Sie in der Ansicht Zertifikatszwecke mit der rechten Maustaste auf den entsprechenden Knoten, und klicken Sie im Menü Alle Tasks auf Neues Zertifikat anfordern.
Verwenden der Webseiten für Zertifikatsdienste Wenn die Windows 2000-Site einsatzbereit ist, können Sie anderen Benutzern ermöglichen, von der internen Zertifizierungsstelle eigene Zertifikate anzufordern. Hierfür müssen eine Zertifizierungsstelle und IIS konfiguriert und ausgeführt werden. Greifen Sie auf die Registrierungs-Webseiten über http://computer_DNS_name/certsrv/ zu.
Einstellen der Richtlinien für öffentliche Schlüssel in den Objekten für Gruppenrichtlinien Eine Reihe von Richtlinien für Infrastrukturen für öffentliche Schlüssel können in dem Objekt für Gruppenrichtlinien eingestellt und somit auf Computer in Domänen und Bereichen von Organisationseinheiten angewendet werden. Öffnen Sie das Gruppenrichtlinien-Snap-In für MMC, um auf das entsprechende Gruppenrichtlinienobjekt zuzugreifen. Die Einträge der Infrastruktur für öffentliche Schlüssel befinden sich unter der Option Computerkonfiguration: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen ?Richtlinien für öffentliche Schlüssel
Zertifikatsvertrauenslisten und Stammzertifikate von Zertifizierungsstellen gehören zu den Objekten für Gruppenrichtlinien und enthalten diejenigen Zertifizierungsstellen, denen von Empfängern der Gruppenrichtlinien vertraut wird. Hierbei handelt es sich um die Container Organisationsvertrauen und Vertrauenswürdige Stammzertifizierungsstelle unter der Option Richtlinien öffentlicher Schlüssel.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
407
Aufbauen der Infrastruktur für öffentliche Schlüssel Die Infrastruktur für öffentliche Schlüssel unter Windows 2000 bietet eine Umgebung von Diensten, Technologien und Protokollen, die auf Standards basieren, mit denen Sie mit Hilfe der Technologie für öffentliche Schlüssel ein leistungsstarkes Datensicherheitssystem einrichten und verwalten können. Windows 2000 unterstützt eine Reihe von Sicherheitsfeatures für öffentliche Schlüssel, die für die verteilten Sicherheitsdienste erforderlich sind. Windows 2000 unterstützt z. B. für EFS erforderliche Verschlüsselungsoperationen für öffentliche Schlüssel, ohne dass zusätzliche Infrastrukturen oder Zertifizierungsstellen eingerichtet werden müssen. Für viele Sicherheitslösungen (z. B. sichere E-Mail, Smartcard-Authentifizierung und sichere Webkommunikation) ist es zum Unterstützen dieser Anwendungstypen jedoch erforderlich, zusätzliche Komponenten der Infrastruktur für öffentliche Schlüssel zu entwerfen, zu testen und einzurichten, u. a. Zertifizierungsstellen, Zertifikatseinschreibung und Zertifikatserneuerung. Möglicherweise sollen auch Zertifikatsdienste zum Unterstützen von EFS-Benutzern und mehrerer Wiederherstellungsagenten oder IPSec-Authentifizierungen für Clients eingerichtet werden, bei denen keine Kerberos-Authentifizierung ausgeführt wird und welche diese Authentifizierungsart nicht zum Erstellen von Vertrauensstellungen verwenden können (in nicht vertrauten Domänen unter Windows 2000 oder bei einem Computer, der kein Mitglied einer Windows 2000-Domäne ist). Ferner sollen möglicherweise benutzerdefinierte Anwendungen und Zertifikatsdienste entwickelt und eingerichtet werden, um den besonderen Anforderungen einer Organisation zu entsprechen. In Abbildung 12.1 wird der Prozess zum Entwerfen, Testen und Einrichten einer Infrastruktur für öffentliche Schlüssel in einer Organisation dargestellt.
408
Teil III
Active Directory-Infrastruktur Abbildung 12.1 Flussdiagramm zum Entwerfen einer Infrastruktur für öffentliche Schlüssel in einer Organisation
Sie können die Infrastruktur für öffentliche Schlüssel mit Hilfe der Microsoft Zertifikatsdienste entwerfen und einrichten. Sie können auch Windows 2000kompatible Zertifizierungsstellen von Drittanbietern verwenden, um einen Teil oder die gesamte Infrastruktur für öffentliche Schlüssel aufzubauen. Der Prozess zum Aufbauen einer Infrastruktur für öffentliche Schlüssel ist bei allen verwendeten Zertifikatsdiensten gleich. Die Implementierungsdetails zum Aufbauen einer solchen Struktur hängen jedoch von der bestimmten Technologie der Zertifikatsdienste ab. Weitere Informationen zu den Komponenten und Features der Infrastruktur für öffentliche Schlüssel unter Windows 2000 finden Sie unter „Sicherheitslösungen mit öffentlichen Schlüsseln“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme. Weitere Informationen zu den Komponenten und Features bei Zertifikatsdiensten von Drittanbietern erhalten Sie bei dem Hersteller des entsprechenden Zertifikatsdiensts.
Entwerfen der Infrastruktur für öffentliche Schlüssel Mit Windows 2000 können Sie eine Infrastruktur für öffentliche Schlüssel entwerfen, die einer Reihe von Sicherheitsanforderungen an öffentliche Schlüssel entsprechen. Diese Anforderungen müssen festgelegt werden, so dass eine unterstützende Infrastruktur entworfen und skaliert werden kann.
Erkennen der Zertifikatsanforderungen Vor dem Festlegen der erforderlichen Zertifikatsdienste für eine Infrastruktur für öffentliche Schlüssel müssen die einzurichtenden Anwendungen angegeben werden, für die digitale Zertifikate erforderlich sind. Ebenfalls festgelegt werden müssen alle Verwendungszwecke für Zertifikate, alle Benutzer, Computer und Dienste, welche Zertifikate erfordern und die Zertifikatstypen, die ausgestellt werden sollen. Sie können entweder die Microsoft Zertifikatsdienste einrichten oder andere Zertifikatsdienste verwenden, um den gewünschten Anforderungen an öffentliche Schlüssel zu entsprechen. Legen Sie die Kategorien für die Benutzer, Computer und Dienste fest, bei denen Zertifikate erforderlich sind, und geben Sie für jede Kategorie die folgenden Daten an: ? Name oder Beschreibung ? Grund für Zertifikate ? Anzahl der Einheiten (Benutzer, Computer oder Dienste) ? Standort von Benutzern, Computern und Diensten
Zum Unterstützen der angegebenen Kategorien für jede Geschäftseinheit und des Standortes in der Organisation muss ein Zertifikatsdienst zur Verfügung stehen. Die eingerichteten Zertifikatsdienste werden durch die Zertifikatstypen, welche ausgestellt werden sollen, die Anzahl der Einheiten und den Standort der Gruppen bestimmt. Sie können z. B. zwei ausstellende Zertifizierungsstellen einrichten, um allen Administratorgruppen in einer Organisation Zertifikate zur Verfügung zu stellen. Da sich in der Organisation jedoch wesentlich mehr Benutzer als Administratoren befinden, ist es nötig, in jeder Einrichtung einzelne ausstellende
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
409
Zertifizierungsstellen einzurichten, um den Anforderungen der Benutzer zu entsprechen. Weitere Informationen zu den Sicherheitslösungen mit Hilfe digitaler Zertifikate finden Sie unter „Sicherheitslösungen mit öffentlichen Schlüsseln“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Grundlegende Sicherheitsanforderungen für Zertifikate Beim Verwenden von Zertifikaten wirken sich einige grundlegende Faktoren auf die Gesamtsicherheit aus. Geben Sie für folgende Faktoren die Anforderungen an die zu verwendenden Zertifikate an: ? Länge des privaten Schlüssels. In einer typischen Einrichtung verfügen die
Benutzerzertifikate über 1.024-Bit-Schlüssel und die Stammzertifizierungsstellen über 4.096-Bit-Schlüssel. ? Kryptographische Algorithmen, die mit Zertifikaten verwendet werden. Die Standardalgorithmen werden empfohlen. ? Gültigkeitsdauer von Zertifikaten und privaten Schlüsseln und der Erneuerungszyklus. Die Gültigkeitsdauer von Zertifikaten wird durch den Zertifikatstyp, die Sicherheitsanforderungen, die im Industriezweig verwendeten Standardmethoden und gesetzliche Bestimmungen festgelegt. ? Besondere Anforderungen für das Speichern und Verwalten von privaten Schlüsseln. Hierunter fallen z. B. das Speichern auf Smartcards und nicht exportierbare Schlüssel. Die Standardeinstellungen für Zertifikate, die über die Microsoft Zertifikatsdienste ausgestellt wurden, können typischen Sicherheitsanforderungen entsprechen. Möglicherweise wünschen Sie jedoch höhere Sicherheitseinstellungen für Zertifikate, die von bestimmten Benutzergruppen verwendet werden. Sie können beispielsweise größere Längenangaben für private Schlüssel und eine kürzere Gültigkeitsdauer für Zertifikate festlegen, wodurch die Sicherheit für sehr wichtige Daten gewährt wird. Sie können auch festlegen, dass Smartcards für das Speichern privater Schlüssel verwendet werden, um zusätzliche Sicherheit zu bieten.
Festlegen des auszustellenden Zertifikatstyps Bestimmen Sie, welche Zertifikatstypen ausgestellt werden sollen. Der ausgestellte Zertifikatstyp hängt von dem eingerichteten Zertifikatsdienst und den Sicherheitsanforderungen ab, die für die auszustellenden Zertifikate festgelegt wurden. Sie können Zertifikatstypen ausstellen, die über verschiedene Verwendungszwecke verfügen und verschiedenen Sicherheitsanforderungen genügen. Für Firmenzertifizierungsstellen können Sie zahlreiche Zertifikatstypen ausstel len, die auf den Zertifikatsvorlagen und Kontenrechten in einer Windows 2000Domäne basieren. Sie können jede Firmenzertifizierungsstelle so konfigurieren, dass eine bestimmte Auswahl an Zertifikatstypen ausgestellt wird. In Tabelle 12.2 werden die verschiedenen Typen von verfügbaren Zertifikatsvorlagen und ihre Verwendungszwecke aufgeführt.
410
Teil III
Active Directory-Infrastruktur Tabelle 12.2 Zertifikatsvorlagen und Verwendungszwecke Name der Zertifikatsvorlage
Verwendungszweck des Zertifikats
Ausstellungsempfänger
Administrator
Signieren von Softwarecode, Microsoft Vertrauenslistensignatur, EFS, sichere E-Mail, Clientauthentifizierung
Personen
Zertifizierungsstelle ClientAuth
Computer Personen
EFS EFSRecovery
Alle Clientauthentifizierung (authentifizierte Sitzung) Signieren von Softwarecode Microsoft Vertrauenslistensignatur Clientauthentifizierung, Serverauthentifizierung Verschlüsselndes Dateisystem Dateiwiederherstellung
EnrollmentAgent IPSECIntermediateOffline
Zertifikatsanforderungsagent IP-Sicherheit
Personen Computer
IPSECIntermediateOnline MachineEnrollmentAgent Machine
IP-Sicherheit Zertifikatsanforderungsagent Clientauthentifizierung, Serverauthentifizierung Clientauthentifizierung
Computer Computer Computer
Clientauthentifizierung Clientauthentifizierung,sichere E-Mail Alle Verschlüsselndes Dateisystem, sichere E-Mail, Clientauthentifizierung
Personen Personen
UserSignature
Sichere E-Mail, Clientauthentifizierung
Personen
WebServer CEP-Verschlüsselung Registrierungs-Agent austauschen (Offlineanforderung)
Serverauthentifizierung Zertifikatsanforderungsagent Zertifikatsanforderungsagent
Computer Router Personen
Exchange-Benutzer
Sichere E-Mail, Clientauthentifizierung
Personen
Benutzersignatur austauschen
Sichere E-Mail, Clientauthentifizierung
Personen
CodeSigning CTLSigning Domänencontroller
OfflineRouter SmartcardLogon SmartcardUser SubCA Benutzer
Personen Personen Computer Personen Personen
Computer/Router
Computer Personen
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
411
Für eigenständige Zertifizierungsstellen können Sie Zertifizierungsverwendungen in der Zertifikatsanforderung angeben. Sie können auch benutzerdefinierte Richtlinienmodule verwenden, um die Zertifikatstypen anzugeben, die für eigenständige Zertifizierungsstellen ausgestellt werden. Weitere Informationen zum Entwickeln benutzerdefinierter Anwendungen für Microsoft Zertifikatsdienste finden Sie über den Hyperlink „Microsoft Platform SDK“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources. Die Zertifikatstypen, die über Zertifikatsdienste von Drittanbietern ausgestellt werden, werden durch die bestimmten Funktionen der Drittanbieterprodukte festgelegt. Weitere Informationen erhalten Sie beim Anbieter des Zertifiktatsdiensts.
Festlegen von Zertifikatsrichtlinien und Zertifizierungsstellenmethoden Sie können Microsoft Zertifikatsdienste oder andere Zertifikatsdienste verwenden, um Zertifizierungsstellen für eine Organisation zu erstellen. Legen Sie vor dem Einrichten von Zertifizierungsstellen die Zertifikatsrichtlinien und CPS (Certificate Practice Statements) für die Organisation fest. Über eine Zertifikatsrichtlinie wird festgelegt, welches Zertifikat verwendet werden soll und welche Haftung die Zertifikatsstelle für diese Verwendung übernimmt. Über ein CPS (Certificate Practice Statement) werden die Methoden festgelegt, die von der Zertifizierungsstelle zum Verwalten der ausgestellten Zertifikate verwendet werden. Mit einem CPS lässt sich also beschreiben, wie die Anforderungen der Zertifikatsrichtlinien im Zusammenhang mit den Betriebsrichtlinien, der Systemarchitektur, der physischen Sicherheit und der Verarbeitungsumgebung der Zertifizierungsstellenorganisation implementiert werden. Über eine Zertifikatsrichtlinie kann z. B. angegeben werden, dass der private Schlüssel nicht exportiert werden kann. Das CPS beschreibt dann also, wie dies durch die eingerichtete Infrastruktur für öffentliche Schlüssel erreicht wird.
Zertifikatsrichtlinien Zertifikatsrichtlinien können folgende Datentypen umfassen: ? Authentifizierung von Benutzern für die Zertifizierungsstelle ? Gesetzliche Probleme, z. B. solche in Zusammenhang mit
? ? ? ? ?
Haftungsbestimmungen, die entstehen können, wenn die Zertifizierungsstelle gefährdet oder missbraucht wird Verwendungszweck von Zertifikaten Verwaltungsanforderungen für private Schlüssel, z. B. Speichern auf Smartcards oder anderen Hardwaregeräten Exportierfähigkeit privater Schlüssel Anforderungen an Benutzer der Zertifikate, u. a. Verhaltensregeln für den Fall, dass private Schlüssel verloren gehen oder gefährdet werden Anforderungen an Zertifikatseinschreibungen und -erneuerungen
? Gültigkeitsdauer von Zertifikaten ? Zu verwendender kryptographischer Algorithmus ? Mindestlänge der Schlüsselpaare aus öffentlichen und privaten Schlüsseln
412
Teil III
Active Directory-Infrastruktur
CPS (Certificate Practices Statements) Ein CPS für eine Zertifizierungsstelle kann den Anforderungen mehrerer Zertifikatsrichtlinien entsprechen. Jedes CPS enthält spezifische Daten zu dieser Zertifizierungsstelle. Das CPS für eine untergeordnete Zertifizierungsstelle kann sich für allgemeine oder gemeinsame Daten jedoch auf das CPS einer übergeordneten Zertifizierungsstelle beziehen. Ein CPS kann folgende Datentypen umfassen: ? Positive Erkennung der Zertifizierungsstelle (u. a. Name der Zertifizierungs-
stelle, Servername und DNS-Adresse) ? Durch die Zertifizierungsstelle implementierte Zertifikatsrichtlinien und ausgestellte Zertifikatstypen ? Richtlinien, Prozeduren und Prozesse zum Ausstellen und Erneuern von Zertifikaten ? Kryptographische Algorithmen, CSP und verwendete Schlüssellänge für das Zertifikat der Zertifizierungsstelle ? Gültigkeitsdauer des Zertifikats der Zertifizierungsstelle ? Physische Sicherheit, Netzwerksicherheit und Prozedursicherheit der ? ?
? ?
Zertifizierungsstelle Die Gültigkeitsdauer jedes über die Zertifizierungsstelle ausgestellten Zertifikats Richtlinien zum Entziehen von Zertifikaten, u. a. Bedingungen für Zertifikatssperrlisten, z. B. beim Beenden des Arbeitsverhältnisses und bei Missbrauch von Sicherheitsrechten Richtlinien für Zertifikatssperrlisten (Certificate Revocation Lists, CRLs), u. a. CRL-Verteilungspunkte und -Veröffentlichungsintervalle Richtlinien zum Erneuern von Zertifikaten der Zertifizierungsstelle vor dem Ablaufen
Festlegen von Vertrauensstrategien für die Zertifizierungsstelle Vor dem Einrichten einer Infrastruktur für öffentliche Schlüssel unter Windows 2000 müssen die Vertrauensstrategien der Zertifizierungsstelle festgelegt werden, die in der Organisation verwendet werden sollen. Mit Windows 2000 können Sie Vertrauen für Zertifizierungsstellen herstellen, bei denen hierarchische Vertrauensketten und Zertifikatsvertrauenslisten verwendet werden.
Vorteile von Vertrauenshierarchien für die Zertifizierungsstelle Die Infrastruktur für öffentliche Schlüssel unter Windows 2000 verfügt über ein hierarchisches Zertifizierungsstellenmodell. Eine Zertifizierungsstellenhierarchie bietet Skalierbarkeit, problemlose Verwaltung und Konsistenz mit einer zunehmenden Anzahl an Zertifizierungsstellenprodukten von Drittanbietern. Im Allgemeinen umfasst eine Hierarchie mehrere Zertifizierungsstellen mit klar festgelegten Beziehungen zu über- und untergeordneten Stellen. In diesem Modell werden untergeordnete Zertifizierungsstellen durch Zertifikate zertifiziert, die von übergeordneten Zertifizierungsstellen ausgestellt wurden, wodurch der öffentliche Schlüssel an eine Zertifizierungsstelle gebunden wird.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
413
Die Zertifizierungsstelle an oberster Stelle der Hierarchie wird als so genannte Stammzertifizierungsstelle bezeichnet. Die Zertifizierungsstellen unterhalb der Stammzertifizierungsstelle werden in der Hierarchie als so genannte untergeordnete Zertifizierungsstellen bezeichnet. Wird unter Windows 2000 einer Stammzertifizierungsstelle vertraut (indem das entsprechende Zertifikat im Speicher vertrauenswürdiger Stammzertifizierungsstellen abgelegt wird), wird allen untergeordneten Stellen in der Hierarchie vertraut, es sei denn, bei einer untergeordneten Stelle wurde das Zertifikat über die ausstellende Zertifizierungsstelle aufgehoben, oder es handelt sich um ein abgelaufenes Zertifikat. Eine Stammzertifizierungsstelle spielt daher im Hinblick auf das Vertrauensverhältnis in einer Organisation eine bedeutende Rolle und sollte gesichert und entsprechend verwaltet werden. Der Vorteil dieses Modells besteht darin, dass für die Überprüfung von Zertifikaten nur eine geringe Anzahl an Stammzertifizierungsstellen vertraut sein muss. Gleichzeitig wird Flexibilität geboten im Hinblick auf die Anzahl an untergeordneten Zertifizierungsstellen, über welche Zertifikate ausgestellt werden. Es gibt einige praktische Gründe für das Einrichten mehrerer untergeordneter Zertifizierungsstellen. Hierzu gehören: Verwendung. Zertifikate können für mehrere Verwendungszwecke ausgestellt werden (z. B. sichere E-Mail, Netzwerkauthentifizierung usw.). Die Ausstellungsrichtlinien können für diese Verwendungszwecke von entscheidender Bedeutung sein, und eine Trennung bietet die Grundlage zum Verwalten dieser Richtlinien. Organisationsabteilungen. Es können verschiedene Richtlinien zum Ausstellen von Zertifikaten bestehen, je nach der Rolle einer Einheit in der Organisation. Auch hier können Sie untergeordnete Zertifizierungsstellen erstellen, um diese Richtlinien zu trennen und zu verwalten. Geographische Abteilungen. Organisationen können über Einheiten verfügen, die sich an mehreren physischen Standorten befinden. Wegen der Netzwerkverbindungen zwischen diesen Sites können mehrere untergeordnete Zertifizierungsstellen notwendig werden, so dass den Anforderungen für die Verwendung entsprochen wird. Mehrere Vertrauenshierarchien bieten auch folgende Vorteile für die Verwaltung: ? Flexible Konfiguration der Sicherheit für die Zertifizierungsstellenumgebung
(Schlüsselstärke, physischer Schutz, Schutz gegen Angriffe auf das Netzwerk usw.). Sie können die Zertifizierungsstellenumgebung so ausrichten, dass das Verhältnis zwischen Sicherheit und Einsatzfähigkeit ausgewogen ist. Für eine Stammzertifizierungsstelle können Sie z. B. eine auf bestimmte kryptographische Zwecke ausgelegte Hardware verwenden, die in einem streng abgesperrten Bereich verwaltet und nur im Offlinemodus betrieben wird. Für eine ausstellende Zertifizierungsstelle ist diese Art der Einrichtung jedoch kostenintensiv und führt dazu, dass die Zertifizierungsstelle nur schwer einzusetzen ist und ihre Leistung sowie die Effektivität gemindert werden. ? Möglichkeit, Schlüssel und Zertifikate für diejenigen ausstellenden Zwischenzertifizierungsstellen regelmäßig zu erneuern, die einem hohen Sicherheitsrisiko ausgesetzt sind, ohne dass die erstellten Stammvertrauensstellungen geändert werden müssen.
414
Teil III
Active Directory-Infrastruktur ? Möglichkeit, einen untergeordneten Bereich der Zertifizierungsstellenhierarchie
zu deaktivieren, ohne dass die erstellten Stammvertrauensstellungen oder der Rest der Hierarchie davon betroffen werden. Ferner bietet das Einrichten mehrerer ausstellender Zertifizierungsstellen folgende Vorteile: ? Eigene Zertifikatsrichtlinien für verschiedene Benutzer- und Computer-
kategorien oder für Organisationsabteilungen und geographische Abteilungen. Sie können eine ausstellende Zertifizierungsstelle so einrichten, dass für jede einzelne Kategorie, Abteilung oder jeden Standort Zertifikate zur Verfügung gestellt werden. ? Verteilen der Zertifizierungslast und Anbieten redundanter Dienste. Sie können mehrere ausstellende Zertifizierungsstellen so einrichten, dass die Zertifizierungslast den Anforderungen von Standort, Netzwerk und Server entsprechend verteilt wird. Bei langsamen oder teilweise temporären Netzwerkverbindungen zwischen Standorten können z. B. an jedem Standort ausstellende Zertifizierungsstellen erforderlich sein, um den Anforderungen an die Leistung und Verwendbarkeit der Zertifikate zu entsprechen. Sie können ausstellende Zertifizierungsstellen so einrichten, dass über die Verteilung der Zertifizierungslast allen Standort-, Netzwerkverbindungs- und Belastungsanforderungen entsprochen wird. Sie können auch mehrere ausstellende Zertifizierungsstellen einrichten, so dass doppelte Dienste zur Verfügung stehen. Wenn eine Zertifizierungsstelle ausfällt, steht dann also eine andere ausstellende Zertifizierungsstelle zur Verfügung, so dass die Dienste ununterbrochen zur Verfügung stehen.
Vorteile von Zertifikatsvertrauenslisten Bei einer Zertifikatsvertrauensliste handelt es sich um eine Liste selbstsignierter Zertifikate für die Zertifizierungsstellen, deren Zertifikaten in einer Organisation vertraut wird. Mit Hilfe von Zertifikatsvertrauenslisten können Sie den Verwendungszweck und die Gültigkeitsdauer von Zertifikaten steuern, die von externen Zertifizierungsstellen ausgestellt wurden. Beim Erstellen einer Zertifikatsvertrauensliste muss diese autorisiert werden, indem sie mit einem Zertifikat signiert wird, das von einer bereits vertrauten Zertifizierungsstelle ausgestellt wurde. Für einen Standort können mehrere Zertifikatsvertrauenslisten bestehen. Da verschiedene Verwendungszwecke für Zertifikate bestimmter Domänen oder Organisationseinheiten bestehen, können Sie Zertifikatsvertrauenslisten erstellen, die diese Verwendungszwecke enthalten, und einem bestimmten Gruppenrichtlinienobjekt eine bestimmte Zertifikatsvertrauensliste zuweisen. Beim Anwenden des Gruppenrichtlinienobjekts auf einen Standort, eine Domäne oder eine Organisationseinheit wird die Richtlinie den entsprechenden Computern vererbt. Über diese Computer wird dann den Zertifizierungsstellen in der Zertifikatsvertrauensliste vertraut. Die Stammzertifizierungsstellen können ebenfalls in einer Gruppenrichtlinie berücksichtigt werden. Zertifikatsvertrauenslisten sind problemloser zu verwenden als Gruppenrichtlinien, da ihre Gültigkeit begrenzt ist.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
415
Sie können Windows 2000-Zertifikatsvertrauenslisten erstellen, um folgende Vorteile zu nutzen: ? Erstellen von Vertrauenszertifikaten aus bestimmten
Zertifizierungsstellen ohne erweitertes Vertrauen in die Stammzertifizierungsstelle. Sie können z. B. Zertifikatsvertrauenslisten in einem Extranet verwenden, um Zertifikaten zu vertrauen, die von bestimmten kommerziellen Zertifizierungsstellen ausgestellt wurden. Benutzern mit derartigen Zertifikaten können Berechtigungen erteilt werden, auf eingeschränkte Extranet-Ressourcen zuzugreifen, indem das Zertifikat einem in Active Directory gespeicherten Konto zugeordnet wird. ? Einschränken der berechtigten Verwendung von Zertifikaten, die von vertrauten Zertifizierungsstellen ausgestellt wurden. Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden, können z. B. für sichere E-Mail, Netzwerkauthentifizierung und das Signieren von Softwarecode gültig sein. Sie können jedoch eine Zertifikatsvertrauensliste in einem Extranet verwenden, um die berechtigte Verwendung von Zertifikaten auf sichere Mail zu beschränken. ? Steuern der Gültigkeitsdauer für Zertifikate und Zertifizierungsstellen von Drittanbietern. Die Zertifizierungsstelle eines Geschäftspartners verfügt z. B. über eine Gültigkeitsdauer von fünf Jahren und stellt Zertifikate mit einer Gültigkeitsdauer von einem Jahr aus. Sie können jedoch eine Zertifikatsvertrauensliste mit einer Gültigkeitsdauer von sechs Monaten erstellen, um die Zeit zu begrenzen, während der einem über die Zertifizierungsstelle des Geschäftspartners ausgestellten Zertifikat in dem von Ihnen verwendeten Extranet vertraut wird.
Zusätzliche Überlegungen zu Vertrauensstrategien für Zertifizierungsstellen Beachten Sie beim Festlegen der Vertrauensstrategien für Zertifizierungsstellen folgende Faktoren: ? Vertrauenshierarchien für Zertifizierungsstellen verfügen in aller Regel über vier
Ebenen (Stammzertifizierungsstelle, Zwischenzertifizierungsstelle, ausstellende Zertifizierungsstelle und ausgestellte Zertifikate). ? Die Vertrauenshierarchien der Zertifizierungsstellen können zwar ganz oder teilweise aus Zertifizierungsstellen von Drittanbietern bestehen, um jedoch den erwarteten Austauschprozess über diese Zertifizierungsstellen sicherzustellen, testen Sie die entsprechenden Hierarchien im Testlabor. ? Für einige Drittanbieterprodukte sind andere Vertrauensmodelle für Zertifizierungsstellen notwendig, die möglicherweise mit den Hierarchien für Stammzertifizierungsstellen nicht verwendet werden können. Über Windows 2000 und die meisten kommerziellen Zertifizierungsstellen werden Hierarchien für Stammzertifizierungsstellen jedoch unterstützt.
Festlegen der Sicherheitsanforderungen für Zertifizierungsstellen Die Sicherheitsanforderungen für die Zertifizierungsstellen sollten festgelegt werden. Diese Sicherheitsanforderungen können folgende Faktoren umfassen: ? Verwenden hardwarebasierter CSP für Stammzertifizierungsstellen ? Verwalten von Stammzertifizierungsstellen in streng abgesperrten Bereichen
416
Teil III
Active Directory-Infrastruktur ? Betreiben von Stamm- und Zwischenzertifizierungsstellen im Offlinemodus ? Betreiben von Zwischenzertifizierungsstellen und ausstellenden
Zertifizierungsstellen in sicheren Data Centers ? Lange Schlüssel für Stammzertifizierungsstellen und Zwischenzertifizierungsstellen höherer Ebenen Sie können eine Zwischenzertifizierungsstelle im Offlinemodus betreiben, wenn die Autorität von einer Muttergesellschaft auf eine große Anzahl einzelner Organisationen übertragen werden soll. Für die einzelnen Zweigstellen können Sie dann eine untergeordnete Zertifizierungsstelle im Offlinemodus zur Verfügung stellen. Das Festlegen der für eine Zertifizierungsstelle erforderlichen Sicherheit geht mit dem Abwägen zwischen den Kosten für das Implementieren und Verwalten der Sicherheit und dem Angriffsrisiko für die Zertifizierungsstelle sowie den Kosten für eine Gefährdung der Zertifizierungsstelle. Höhere Angriffsrisiken für die Zertifizierungsstelle und höhere Kosten aufgrund der Gefährdung der Zertifizierungsstelle rechtfertigen höhere Kosten für entsprechende Sicherheitsmaßnahmen. In aller Regel sollten Stammzertifizierungsstellen und Zwischenzertifizierungsstellen einen höheren Schutz erfahren als die ausstellenden Zertifizierungsstellen. Der Schutz für die Stammzertifizierungstelle muss nicht zwangsläufig kostspielig sein, vor allen Dingen bei kleineren Unternehmen. Es kann ausreichen, in einem sicheren Computerschrank über eine Stammzertifizierungsstelle im Offlinemodus zu verfügen oder in einem streng abgesperrten Bereich gelagerte Wechselmedien zu verwenden. Der Computer für die Stammzertifizierungsstelle sollte nicht über eine Netzwerkkarte verfügen.
Festlegen des Zyklus bei Zertifikaten Der Zyklus bei Zertifikaten umfasst folgende Ereignisse: ? Installierte Zertifizierungsstellen und die für sie ausgestellten Zertifikate ? Von Zertifizierungsstellen ausgestellte Zertifikate ? Aufgehobene Zertifikate (ggf.) ? Erneuerte oder abgelaufene Zertifikate ? Erneuerte oder abgelaufene Zertifikate der Zertifizierungsstellen
In aller Regel wird der Zertifikatszyklus festgelegt, um die ausgestellten Zertifikate in regelmäßigen Abständen zu erneuern. Ausgestellte Zertifikate laufen am Ende ihrer Gültigkeitsdauer ab und können in einem Zyklus solange erneuert werden, bis sie entweder aufgehoben werden bzw. ablaufen oder keine ausstellende Zertifizierungsstelle mehr zur Verfügung steht. Über jede Zertifizierungsstelle können Zertifikate solange in Erneuerungszyklen ausgestellt werden, bis die Gültigkeitsdauer der Zertifizierungsstelle endet. Zu diesem Zeitpunkt wird die Zertifizierungsstelle entweder außer Betrieb gesetzt, da die entsprechenden Schlüssel nicht mehr verwendet werden können, oder sie wird durch ein neues Schlüsselpaar erneuert. Zertifikatszyklen sollten so festgelegt werden, dass sie den Geschäftszielen und Sicherheitsanforderungen entsprechen. Die gewählten Zyklen hängen u. a. von folgenden Faktoren ab:
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
417
Länge der privaten Schlüssel für Zertifizierungsstellen und ausgestellte Zertifikate. Im Allgemeinen unterstützen längere Schlüssel eine längere Gültigkeitsdauer für Zertifikate und Schlüssel. Sicherheit durch den CSP. In aller Regel ist es schwieriger, einen hardwarebasierten CSP zu attackieren als einen softwarebasierten CSP, so dass über einen hardwarebasierten CSP eine längere Gültigkeitsdauer für Zertifikate und Schlüssel unterstützt wird. Leistungsfähigkeit der für kryptographische Operationen verwendeten Technologie. Einige kryptographische Technologien bieten mehr Sicherheit sowie Unterstützung für stärkere kryptographische Algorithmen. Sie können auch FORTEZZACryptocards verwenden, um mehr Sicherheit zu bieten als bei standardmäßigen Smartcards. Im Allgemeinen wird mit kryptographischen Technologien, die schwer zu durchbrechen sind, eine längere Gültigkeitsdauer für die Zertifikate erreicht. Sicherheit für Zertifizierungsstellen und ihre privaten Schlüssel. Im Allgemeinen gilt, dass die Gültigkeitsdauer einer Zertifizierungsstelle mit der physischen Sicherheit dieser Stelle und ihrer Schlüssel steigt. Sicherheit für ausgestellte Zertifikate und ihre privaten Schlüssel. Auf Smartcards gespeicherte private Schlüssel gelten z. B. als sicherer als in Dateien auf der Festplatte gespeicherte private Schlüssel, da Smartcards mit dem Exportieren des privaten Schlüssels nicht vereinbart werden können. Angriffsrisiko. Das Angriffsrisiko hängt von folgenden Komponenten ab: der Sicherheit des Netzwerks, dem Wert der durch die Vertrauenskette der Zertifizierungsstelle geschützten Netzwerkressourcen und den Kosten für den Angriff. Vertrauen für Benutzer von Zertifikaten. Im Allgemeinen ist für geringes Vertrauen eine kürzere Gültigkeitsdauer des Zyklus und des Schlüssels notwendig. Sie trauen z. B. vorübergehenden Benutzern weniger als normalen Geschäftsbenutzern, so dass die entsprechenden Zertifikate mit einer kürzeren Gültigkeitsdauer ausgestellt werden. Sie können an die Erneuerung dieser Zertifikate auch strengere Anforderungen knüpfen. Verwaltungsaufwand für das Erneuern von Zertifikaten und Zertifizierungsstellen. Um z. B. den Verwaltungsaufwand für das Erneuern von Zertifizierungsstellen zu senken, können Sie für die Vertrauenshierarchien der Zertifikate eine lange, sichere Gültigkeitsdauer festlegen. Überlegen Sie genau, wie lange den Zertifizierungsstellen sowie den ausgestellten Zertifikaten und Schlüsseln vertraut werden soll. Je länger die Zertifikate und privaten Schlüssel gültig sind, desto höher sind das Risiko und die Wahrscheinlichkeit einer Sicherheitsverletzung. Zertifikatszyklen sollten so festgelegt werden, dass zwischen den Geschäftszielen und den Sicherheitsanforderungen Ausgewogenheit besteht. Eine sehr kurze Gültigkeitsdauer kann zu einem hohen Verwaltungsaufwand führen. Eine sehr hohe Gültigkeitsdauer kann das Risiko von Sicherheitsverletzungen erhöhen.
418
Teil III
Active Directory-Infrastruktur
Beim Erneuern von Zertifikaten mit Hilfe von Microsoft CSP können Sie ebenfalls das Schlüsselpaar des Zertifikats erneuern. Im Allgemeinen gilt, dass das Risiko für eine Sicherheitsverletzung des Schlüssels steigt, je länger das Schlüsselpaar verwendet wird. Sie sollten die maximal zulässige Gültigkeitsdauer beschränken und die Zertifikate mit neuen Schlüsselpaaren erneuern, bevor diese Grenzen überschritten werden. Nachdem ein Zyklus festgelegt wurde, kann er zu einem späteren Zeitpunkt geändert werden, indem die Zertifizierungsstellen, die Zertifikate oder Schlüssel in anderen Zeitabständen als ursprünglich geplant erneuert werden. Stellt sich z. B. zu einem späteren Zeitpunkt heraus, dass durch die Gültigkeitsdauer der Stammzertifizierungsstelle die Zertifizierungsstelle einem höheren Sicherheitsrisiko ausgesetzt ist, als ursprünglich erwartet wurde, können Sie die Zertifizierungsstellenkette erneuern und den Zyklus entsprechend anpassen.
Festlegen der Prozesse für die Zertifikatseinschreibung und -erneuerung Legen Sie die Zertifikatseinschreibungs- und die Zertifikatserneuerungsprozesse fest, die in einer Organisation verwendet werden sollen. Microsoft Zertifikatsdienste unterstützen die folgenden Methoden für Zertifikatseinschreibungen und -erneuerungen: ? Interaktive Zertifikatsanforderungen mit Hilfe des Assistenten für die
?
? ? ?
Zertifikatsanforderung (nur für Benutzer, Computer und Dienste unter Windows 2000). Automatische Zertifikatsanforderungen mit Hilfe des Assistenten für automatische Zertifikatsanforderung (nur für Windows 2000Computerzertifikate). Interaktive Zertifikatsanforderungen für die Webseiten der Microsoft Zertifikatsdienste (für die meisten Webbrowserclients). Smartcard-Registrierung mit Hilfe der Smartcard-Registrierungsstelle. Benutzerdefinierte Anwendungen für Zertifikatseinschreibung und -erneuerung mit Hilfe des Microsoft Enrollment Control (Steuerelement zur Zertifikatseinschreibung).
Der gewählte Prozess für Zertifikatseinschreibungen und -erneuerungen wird durch die Benutzer und Computer bestimmt, für welche Dienste zur Verfügung gestellt werden sollen. Sie können den Assistenten für Zertifikatsanforderungen nur für Windows 2000-Clients verwenden. Sie können jedoch webbasierte Einschreibungs- und Erneuerungsdienste für die meisten Clients mit Webbrowsern verwenden. Sie können die Webseiten zu Microsoft Zertifikatsdiensten entweder unverändert verwenden oder diese Seiten anpassen. Sie können z. B. die Benutzeroptionen einschränken oder zusätzliche Verknüpfungen zu Benutzeranweisungen oder Unterstützungsinformationen im Onlinemodus anbieten.
Festlegen von Richtlinien für Zertifikatssperren Diese Richtlinien umfassen Richtlinien zum Sperren von Zertifikaten und zu Zertifikatssperrlisten.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
419
Richtlinien zum Sperren von Zertifikaten Über die Richtlinie zum Sperren von Zertifikaten werden die Bedingungen festgelegt, unter denen das Sperren eines Zertifikats gerechtfertigt ist. Sie können z. B. festlegen, dass Zertifikate gesperrt werden, wenn ein Arbeitsverhältnis beendet wird oder Angestellte in andere Geschäftseinheiten wechseln. Sie können auch festlegen, dass Zertifikate gesperrt werden müssen, wenn Benutzer ihre Sicherheitsrechte missbrauchen oder die Sicherheit der privaten Schlüssel gefährdet wird (z. B. durch eine verlorene Smartcard). Für Computerzertifikate können Sie festlegen, dass die Zertifikate aufgehoben werden müssen, wenn der Computer ersetzt oder dauerhaft entfernt wird oder wenn die Sicherheit des Schlüssels gefährdet wird.
Richtlinien für Zertifikatssperrlisten Über die Richtlinien für Zertifikatssperrlisten (CRL) wird festgelegt, wie die CRLs und die Veröffentlichung des Zeitplans für CRLs verteilt werden. Sie können z. B. festlegen, dass bestimmte CRLs an häufig verwendete öffentliche Ordner und Webseiten sowie an Active Directory verteilt werden. Sie können auch festlegen, dass bestimmte CRLs täglich und nicht wöchentlich veröffentlicht werden.
Festlegen von Verwaltungsstrategien Legen Sie die Verwaltungs- und Notfallwiederherstellungsstrategien für die Zertifizierungsstellen fest. Diese Strategien umfassen folgende Faktoren: ? Sicherungsarten, die für die Zertifizierungsstellen durchgeführt werden ? Zeitpläne für das Durchführen von Sicherungen für die Zertifizierungsstellen ? Richtlinien zum Wiederherstellen von Zertifizierungsstellen ? Richtlinien für EFS-Wiederherstellungs-Agenten ? Richtlinien für die Wiederherstellung von sicherer Mail
Entwickeln von Wiederherstellungsplänen Sie können Wiederherstellungspläne entwickeln, um Zertifizierungsstellen wiederherzustellen, wenn die Zertifikatsdienste versagen oder die Sicherheit der Zertifizierungsstellen gefährdet ist. Testen Sie die Wiederherstellungspläne, um sicherzustellen, dass sie wunschgemäß funktionieren, und schulen Sie die Administratoren im Umgang mit diesen Plänen. Wiederherstellungspläne können folgende Faktoren umfassen: ? Wiederherstellungsprozeduren und Checklisten für Administratoren ? Wiederherstellungs-Toolkits oder Hinweise auf die Toolkits ? Notfallpläne
Weitere Informationen zum Sichern und Wiederherstellen unter Windows 2000 finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
420
Teil III
Active Directory-Infrastruktur
Fehlerhafte Zertifizierungsstelle Eine Zertifizierungsstelle kann aus verschiedenen Gründen fehlerhaft sein, z. B. wegen einer fehlerhaften Festplatte des Servers, wegen einer fehlerhaften Netzwerkkarte oder wegen eines fehlerhaften Server-Motherboards. Einige Fehler können schnell beseitigt werden, indem das Problem beim Zertifizierungsstellenserver behoben wird. Sie können z. B. eine fehlerhafte Netzwerkkarte oder ein fehlerhaftes Motherboard ersetzen und den Computer neu starten, um die Zertifizierungsdienste wiederherzustellen. Bei einem Festplattenfehler können Sie die Festplatte ersetzen und den Server und die Zertifizierungsstelle aus der zuletzt durchgeführten Sicherung wiederherstellen. Ist die Zertifizierungsstelle beschädigt, kann sie aus der zuletzt durchgeführten Sicherung auf dem Server wiederhergestellt werden. Wenn der Server ersetzt werden muss, konfigurieren Sie den neuen Server mit demselben Netzwerknamen und derselben IP-Adresse des fehlerhaften Servers für die Zertifizierungsstelle. Sie können dann die Sicherung unter Windows 2000 oder den Assistenten zum Wiederherstellen von Zertifizierungsstellen verwenden, um die Zertifizierungsstelle aus der zuletzt durchgeführten Sicherung wiederherzustellen.
Gefährdete Sicherheit bei Zertifizierungsstellen Wird die Sicherheit einer Zertifizierungsstelle gefährdet, muss das Zertifikat dieser Stelle gesperrt werden. Durch das Sperren des Zertifikats einer Zertifizierungsstelle werden die Zertifizierungsstelle und die untergeordneten Zertifizierungsstellen sowie alle über diese Stellen ausgestellten Zertifikate ungültig. Wenn Sie eine Zertifizierungsstelle erkennen, deren Sicherheit gefährdet ist, führen Sie so bald wie möglich die folgenden Aktionen durch: ? Sperren Sie das Zertifikat der betroffenen Zertifizierungsstelle. Wenn die
Zertifizierungsstelle erneuert wurde, sperren Sie nur dann alle Zertifikate dieser Stelle, wenn für alle damit verbundenen Schlüssel die Sicherheit gefährdet ist. ? Veröffentlichen Sie eine neue Zertifikatssperrliste, die alle Zertifikate enthält,
deren Sicherheit gefährdet ist. Beachten Sie, dass über Clientanwendungen die Zertifikatssperrliste bis zu ihrem Ablauf gespeichert werden kann, so dass die neu veröffentlichte Liste erst angezeigt wird, wenn die alte Liste nicht mehr gültig ist. ? Entfernen Sie die Zertifikate der Zertifizierungsstelle, deren Sicherheit gefährdet ist, aus den Speichern und CTLs für vertrauenswürdige Zertifizierungsstellen. ? Benachrichtigen Sie alle betroffenen Benutzer und Administratoren von der Sicherheitsgefährdung, und informieren Sie sie darüber, dass die über die betroffene Zertifizierungsstelle ausgestellten Zertifikate gesperrt werden. ? Beseitigen Sie den Grund, der zu der Sicherheitsgefährdung geführt hat.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
421
Um die Zertifizierungsstellenhierarchie wiederherzustellen, müssen neue Zertifizierungsstellen eingerichtet oder das Zertifikat einer Zertifizierungsstelle erneuert und ein neuer Schlüssel erstellt werden, so dass die Hierarchie, deren Sicherheit gefährdet ist, ersetzt werden kann. Dann müssen die entsprechenden Zertifikate für die Benutzer, Computer und Dienste erneut ausgestellt werden. Je nachdem, an welcher Stelle die Sicherheit der Hierarchie gefährdet wurde, kann eine neue Zertifizierungstellenhierarchie oder nur ein neuer Teil der Hierarchie erforderlich sein.
Entwickeln optionaler benutzerdefinierter Anwendungen Sie können eine Reihe von Sicherheitslösungen für öffentliche Schlüssel mit den Standardkomponenten und -Features der Infrastruktur für öffentliche Schlüssel unter Windows 2000 einrichten. Sie können mit Hilfe von Microsoft CryptoAPI jedoch auch benutzerdefinierte Anwendungen entwickeln. Mit Hilfe von CryptoAPI können Sie benutzerdefinierte Richtlinienmodule und benutzerdefinierte Beendigungsmodule entwickeln, um die Zertifikatsdienste in vorhandene Datenbanken und Verzeichnisdienste von Drittanbietern zu integrieren. Sie können beispielsweise eine Anwendung entwickeln, über welche Zertifikatsanforderungen aus Benutzerdaten validiert werden, die in einer vorhandenen Datenbank oder einem Verzeichnisdienst von Drittanbietern enthalten sind. Sie können auch eine benutzerdefinierte Anwendung entwickeln, bei der bestimmte Typen von Zertifikaten verwendet werden. Sie können z. B. eine Anwendung entwickeln, über die der digitale Fingerabdruck eines elektronischen Dokuments erstellt und dann in einem Zertifikat mit Datums- und Zeitstempel gespeichert wird. Diese gestempelten Zertifikate können in einer Registrierungsdatenbank für Dokumente verwaltet werden, um für den ursprünglichen Dokumenteninhalt Integrität zu gewährleisten. Wenn ein Dokument mit dem digitalen Fingerabdruck in der Registrierungsdatenbank verglichen wird, können alle Manipulationen oder Änderungen an dem Dokument nach der Registrierung erkannt werden. Die Dokumentenregistrierung kann auf diese Weise verwendet werden, um für hergestellte Produkte eine online geführte Überwachungsliste zur Qualitätssicherung zu erhalten und somit die Integrität der elektronischen Test- und Zertifizierungsdokumentation sicherzustellen. Ferner können Sie mit Hilfe von ASP (Active Server Pages) eine benutzerdefinierte Anwendung für Zertifikatseinschreibungen und -erneuerungen entwickeln. Sie können z. B. die Standardwebseiten für Microsoft Zertifikatsdienste so bearbeiten, dass Funktionen hinzugefügt oder gelöscht werden. Sie können auch benutzerdefinierte Webseiten entwickeln, bei denen Dienste von Drittanbietern oder andere benutzerdefinierte Anwendungen integriert werden. Weitere Informationen zum Entwickeln benutzerdefinierter Anwendungen für Microsoft Zertifikatsdienste finden Sie über den Hyperlink „Microsoft Platform SDK“ auf der Webressourcenseite unter http://windows.microsoft.com/windows2000/reskit/webresources.
422
Teil III
Active Directory-Infrastruktur
Durchführen der Ressourcenplanung Schätzen Sie ab, welche Ressourcen für Netzwerk, Computer und Einrichtungen erforderlich sind, um die Zertifikatsdienste zu unterstützen, die in der Organisation eingerichtet werden sollen. Die Gesamtzahl an erforderlichen Ressourcen kann erheblich variieren je nach Größe der Organisation und der Ebene und der Reichweite der eingerichteten Infrastruktur für öffentliche Schlüssel. Beachten Sie beim Einschätzen der Ressourcen auch die erforderlichen Ressourcen zum Unterstützen des kurzfristigen Bedarfs und des langfristig zu erwartenden Wachstums der Organisation. Zu den für das Einrichten notwendigen Netzwerk- und Computerressourcen gehören folgende Ressourcen: ? Servercomputer, auf denen Zertifikatsdienste und benutzerdefinierte
Anwendungen ausgeführt werden ? Kryptographische Hardware, z. B. Boards für die Beschleunigung kryptographischer Berechnungen ? Festplattenspeicher für die Zertifikatsdatenbank und die benutzerdefinierten
Anwendungen ? Speicherressourcen für die Sicherung von Zertifizierungsstellen und benutzerdefinierten Anwendungen ? Notfallwiederherstellungsressourcen, z. B. Kits für die Wiederherstellung sowie Ersatzserver auf „Hot Standby“. Die Leistung der Zertifikatsdienste kann je nach den folgenden Faktoren beachtliche Unterschiede aufweisen: ? Länge des zum Signieren von Zertifikaten verwendeten Zertifizierungs-
stellenschlüssels. Je länger der Schlüssel ist, desto mehr Verarbeitungsleistung und -zeit ist zum Signieren eines Zertifikats erforderlich. Es wird darauf hingewiesen, dass beim Ausstellen eines Zertifikats einmal eine Signierungsoperation (auf dem Server ) pro Zertifikat durchgeführt wird, während Überprüfungsoperationen während der Gültigkeitsdauer eines Zertifikats (je nach Protokoll auf dem Client oder einem anderen Server) häufiger vorgenommen werden. Beachten Sie, dass das Signieren eines Zertifikats kostenintensiver ist als das Überprüfen. ? Komplexität der Richtlinienmodullogik für Zertifizierungsstellen, die zum Validieren von Zertifikatsanforderungen verwendet wird. Je komplexer die Richtlinienlogik ist, desto länger dauert der Ausstellungsprozess für Zertifikate. In den meisten Fällen reichen die Organisations- und alleinstehenden Richtlinienmodule unter Windows 2000 aus. Wenn Sie ein benutzerdefiniertes Richtlinienmodul entwickeln möchten, müssen sowohl die Kosten für das Richtlinienmodul als auch für das Beendigungsmodul berücksichtigt werden. ? Leistungseinfluss auf benutzerdefinierte Anwendungen.
Benutzerdefinierte Anwendungen wirken sich auf die Leistung von Zertifikatsanwendungen aus. Über eine Anwendung für Zertifikatseinschreibungen beispielsweise, bei der standardmäßige CGI-Skripts (Common Gateway Interface) verwendet werden, kann der Einschreibungsprozess erheblich verzögert werden.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
423
424
Teil III
Active Directory-Infrastruktur
Der erforderliche Festplattenspeicher zum Unterstützen der Zertifikatsdatenbanken hängt von folgenden Faktoren ab: ? Anzahl der von der Zertifizierungsstelle ausgestellten Zertifikate. Über-
schlagen Sie, wie viele Zertifikate während der Gültigkeitsdauer der Zertifizierungsstelle voraussichtlich ausgestellt werden. Für eine Zertifizierungsstelle, über die eine große Anzahl an Zertifikaten ausgestellt wird, oder die über eine längere Gültigkeitsdauer verfügt, ist eine umfangreichere Zertifikatsdatenbank erforderlich. ? Größe der einzelnen Zertifikate. Die Zertifikatsdatenbank umfasst alle Daten in den Zertifikaten, u. a. auch die öffentlichen Schlüssel. Zertifikate mit großen öffentlichen Schlüsseln und zusätzlichen besonderen Daten benötigen für jedes ausgestellte Zertifikat mehr Festplattenspeicher. Einige umfangreiche Zertifikatsdatenbanken können mehrere Gigabyte belegen. Wesentlich kleinere Zertifikatsdatenbanken werden in aller Regel jedoch nicht mehr als einige Hundert Megabyte belegen. Bestimmen Sie die Größe repräsentativer Zertifikatsdatenbanken im Testlabor, und extrapolieren Sie die Größen zukünftiger Datenbanken auf der Basis der zu erwartenden Anzahl an Zertifikaten, die über jede Zertifizierungsstelle während der Gültigkeitsdauer ausgestellt werden.
Einrichten der Infrastruktur für öffentliche Schlüssel Nachdem die Entwurfs- und Einrichtungsstrategien für öffentliche Schlüssel validiert und durch Pilotprojekte verbessert wurden, können Sie die Infrastruktur für öffentliche Schlüssel in der Produktionsumgebung einrichten. In folgender Liste wird ein grundlegender Produktionseinführungsprozess aufgeführt, der zum Einrichten der Infrastruktur für öffentliche Schlüssel verwendet werden kann. Das Einrichten der Infrastruktur für öffentliche Schlüssel umfasst folgende Aktivitäten: ? Planen der Produktionseinführung in Stufen ? Bereitstellen von Schulungen und Unterstützung für Benutzer in der Produktion ? Installieren der Zertifizierungsstellen ? Installieren und Konfigurieren von unterstützenden Systemen oder
Anwendungen ? Konfigurieren der auszustellenden Zertifikate ? Konfigurieren der Veröffentlichung von Zertifikatssperrlisten ? Konfigurieren von Gruppenrichtlinien für öffentliche Schlüssel ? Konfigurieren von Zertifikatserneuerungen und -einschreibungen ? Ausstellen von Zertifikaten für Benutzer, Computer und Zertifizierungsstellen
Planen der Produktionseinführung in Stufen Planen Sie für Einrichtungen großer Unternehmen die Produktionseinführung öffentlicher Schlüssel in Stufen. Sie können verschiedene Teile der Infrastruktur einführen, um die Sicherheitsziele und Geschäftsanforderungen zu unterstützen.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
425
Sie können z. B. mit den EFS- und IPSec-Features beginnen, da keine Zertifizierungsstellenhierarchie aufgebaut werden muss, um die Vorteile dieser Features nutzen zu können. Der nächste Schwerpunkt kann auf sicherer Mail und Smartcard-Authentifizierung liegen. Sie können planen, dass die Einführung einer Infrastruktur für sichere Mail vor dem Einführen der Infrastruktur für Smartcards liegt oder dass sichere Mail für eine Gruppe oder einen Standort und gleichzeitig die Infrastruktur für Smartcards für eine andere Gruppe oder einen anderen Standort eingeführt wird. Um eine Infrastruktur für öffentliche Schlüssel einzuführen, können Sie folgende Aktivitäten für jede Stufe der Einführung planen: ? Installieren der Stammzertifizierungsstellen für sichere Mail in den übergeord-
neten Domänen für jede Struktur in der Organisation (Stammzertifizierungsstellen werden verwendet, um Zwischenzertifizierungsstellen in dieser Domäne oder einer untergeordneten Domäne zu zertifizieren). ? Installieren und Konfigurieren von sicheren Mailsystemen und -diensten (ggf.). ? Installieren von Zwischenzertifizierungsstellen für sichere Mail in den Domänen oder untergeordneten Domänen für jede Geschäftseinheit (über jede Geschäftseinheit werden ausstellende Zertifizierungsstellen für die jeweiligen Benutzergruppen zertifiziert und installiert). ? Installieren und Konfigurieren von ausstellenden Zertifizierungsstellen (die über die Geschäftseinheit zertifiziert werden) und Zertifikatseinschreibungsdiensten in den Domänen oder untergeordneten Domänen für Benutzergruppen an jedem Standort. Um eine Infrastruktur für Smartcards einzuführen, können Sie folgende Aktivitäten für jede Stufe der Einführung planen: ? Installieren der Stammzertifizierungsstellen für Smartcards in den übergeordne-
ten Domänen für jede Struktur in der Organisation (Stammzertifizierungsstellen werden verwendet, um Zwischenzertifizierungsstellen in dieser Domäne oder einer untergeordneten Domäne zu zertifizieren). ? Installieren und Konfigurieren von Smartcard-Lesern für Benutzer und Smartcard-Administratoren. ? Installieren von Zwischenzertifizierungsstellen für Smartcards in den Domänen oder untergeordneten Domänen für jede Geschäftseinheit (über jede Geschäftseinheit werden ausstellende Zertifizierungsstellen für die jeweiligen Benutzergruppen zertifiziert und installiert). ? Installieren und Konfigurieren von ausstellenden Zertifizierungsstellen (die über die Geschäftseinheit zertifiziert werden) und Smartcard-Registrierungsstellen in den Domänen oder untergeordneten Domänen für Benutzergruppen an jedem Standort. Ferner können Sie die Einführung der anderen Teile der Infrastruktur für öffentliche Schlüssel planen, um zusätzliche Sicherheitsfunktionen für öffentliche Schlüssel zu unterstützen, z. B. sichere Webkommunikation und sichere Websites, Signieren von Softwarecode, IPSec-Authentifizierung und EFS-Benutzer- und Wiederherstellungsoperationen.
426
Teil III
Active Directory-Infrastruktur
Installieren von Zertifizierungsstellen Die Zertifizierungsstellenhierarchien müssen installiert werden, die für die erforderlichen Zertifikatsdienste in einer Organisation notwendig sind. Zunächst installieren Sie die Stammzertifizierungsstelle und dann jede untergeordnete Zertifizierungsstelle in der Hierarchie. Um eine Zertifikatsstellenhierarchie und eine Vertrauenskette mit drei Ebenen zu erstellen, installieren Sie die Zertifizierungsstellen auf den Servercomputern in folgender Reihenfolge: 1. Stammzertifizierungsstelle 2. Zwischenzertifizierungsstellen 3. AusstellendeZertifizierungsstellen Das Zertifikat der Stammzertifizierungsstelle ist selbstsigniert. Jede untergeordnete Zertifizierungsstelle wird über die übergeordnete Zertifizierungsstelle in der Hierarchie zertifiziert (das entsprechende Zertifikat wird ausgestellt). Bei einer Zertifizierungshierarchie mit drei Ebenen wird jede Zwischenzertifizierungsstelle über die Stammzertifizierungsstelle zertifiziert, und jede ausstellende Zertifizierungsstelle wird über eine Zwischenzertifizierungsstelle in der Hierarchie zertifiziert. Anmerkung Zwischenzertifizierungsstellen können über eine andere Zertifizierungsstelle zertifiziert werden, wodurch eine vielschichtigere Hierarchie entsteht. Sie können Firmenzertifizierungsstellen, eigenständige Zertifizierungsstellen oder Zertifizierungsstellen von Fremdanbietern installieren, um die erforderlichen Vertrauensketten zu erstellen. Um eine Zertifizierungsstelle unter Windows 2000 Server zu erstellen, verwenden Sie den Assistenten Windows-Komponenten hinzufügen/entfernen in der Systemsteuerung, so dass jedem Zertifizierungsstellenserver Microsoft Zertifikatsdienste hinzugefügt werden. Während des Installierens von untergeordneten Zertifizierungsstellen unter Windows 2000 Server können Sie das Zertifikat der untergeordneten Zertifizierungsstelle von einer Zertifizierungsstelle im Onlinemodus anfordern oder die Zertifikatsanforderung in einer Anforderungsdatei speichern und sie im Offlinemodus vornehmen. Bei einer Zertifikatsanforderung für eine Zertifizierungsstelle im Offlinemodus wird die Zertifizierungsstelle nicht zertifiziert. Das MMC-Snap-In für Zertifizierungsstellen muss manuell verwendet werden, um das Zertifikat der Zertifizierungsstelle zu importieren und die Installation abzuschließen, nachdem das Zertifikat über die übergeordnete Zertifizierungsstelle ausgestellt wurde. Sie können dieses Snap-In auch verwenden, um untergeordnete Zertifikate für Zertifizierungsstellen zu importieren, die von übergeordneten Zertifizierungsstellen von Drittanbietern ausgestellt wurden.
Installieren und Konfigurieren von unterstützenden Systemen und Anwendungen Alle erforderlichen Systeme oder Anwendungen zum Unterstützen der Infrastruktur für öffentliche Schlüssel müssen installiert werden. Hierzu gehören folgende Systeme und Anwendungen: ? Smartcard-Leser auf lokalen Computern ? Sichere E-Mail und Schlüsselverwaltungssyteme
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
427
? Benutzerdefinierte Richtlinien und Beendigungsmodule ? Benutzerdefinierte Anwendungen für Zertifikatseinschreibung und -erneuerung ? Infrastrukturen für öffentliche Schlüssel und Zertifikatsdienste von
Drittanbietern ? Hardwarebasierte kryptographische Karten für das Beschleunigen und Speichern von Schlüsseln auf Servern
Konfigurieren der auszustellenden Zertifikate Standardmäßig sind Firmenzertifizierungsstellen unter Windows 2000 so installiert, dass zahlreiche Zertifikatstypen ausgestellt werden können. Sie können die Standardkonfiguration bearbeiten, indem Sie das MMC-Snap-In für Zertifizierungsstellen verwenden, um die Zertifikatstypen festzulegen, die von den Zertifizierungsstelle jeweils ausgestellt werden sollen. Sie können Standardzertifikatstypen löschen, die von der Zertifizierungsstelle nicht ausgestellt werden sollen. Sie können auch noch weitere Zertifikatstypen hinzufügen, die ausgestellt werden sollen.
Konfigurationsbeispiele Sie können Zertifizierungsstellen so konfigurieren, dass entweder mehrere Sicherheitsfunktionen oder nur eine Sicherheitsfunktion unterstützt werden. Im Folgenden werden einige Möglichkeiten zum Konfigurieren von Zertifizierungsstellen aufgeführt: ? Für eine Stamm- oder eine Zwischenzertifizierungsstelle können Sie die Stelle
so konfigurieren, dass nur Zertifikate für untergeordnete Zertifizierungsstellen ausgestellt werden können. ? Eine ausstellende Zertifizierungsstelle, über die sichere Webkommunikationsdienste unterstützt werden, können Sie so konfigurieren, dass nur Zertifikate für authentifizierte Sitzungen, Computer und Webserver ausgestellt werden können. ? Eine ausstellende Zertifizierungsstelle, über die Geschäftsbenutzer unterstützt werden, kann so konfiguriert werden, dass nur Benutzerzertifikate ausgestellt werden. Entsprechend kann eine Zertifizierungsstelle, über die Administratoren unterstützt werden, so konfiguriert werden, dass nur Adminstratorzertifikate ausgestellt werden. ? Eine ausstellende Zertifizierungsstelle, über die Smartcard-Registrierungsstellen unterstützt werden, kann so konfiguriert werden, dass nur Anmelde- und Benutzerzertifikate für Smartcards ausgestellt werden können.
Sicherheitszugriffssteuerlisten für Zertifikatsvorlagen Die Berechtigung, Zertifikatstypen anzufordern, wird für die einzelnen Zertifikatsvorlagen über die Sicherheitszugriffssteuerlisten gesteuert. Über eine Firmenzertifizierungsstelle werden nur Benutzern, Computern oder Diensten Zertifikatsanforderungen gewährt, für die in der Sicherheitszugriffssteuerliste für diese Zertifikatsvorlage die Einschreibungsberechtigung ausgewählt wurde. Die Sicherheitszugriffssteuerlisten für Zertifikatsvorlagen sind so vorkonfiguriert, dass zahlreiche Standardbenutzerkonten und Sicherheitsgruppen für Zertifikatstypen eingeschrieben werden können.
428
Teil III
Active Directory-Infrastruktur
Sie können das MMC-Snap-In für Active Directory-Standorte und -Dienste verwenden, um die Sicherheitszugriffssteuerlisten für die einzelnen Zertifikatsvorlagen zu bearbeiten. ? So bearbeiten Sie die Sicherheitszugriffssteuerlisten für die einzelnen Zertifikatsvorlagen 1. Klicken Sie im Menü Ansicht auf Dienstknoten anzeigen. 2. Erweitern Sie den Dienstkonten sowie die Container Dienste für öffentliche Schlüssel und Zertifikatsvorlagen. 3. Wählen Sie im Detailfenster eine Zertifikatsvorlage aus, und klicken Sie in der Eigenschaftsseite auf die Registerkarte Sicherheit. Auf dieser Registerkarte werden die Gruppen, die auf diese Vorlage zugreifen können, sowie die Berechtigungen der einzelnen Gruppen angezeigt. Standardmäßig können z. B. nur Mitglieder der Sicherheitsgruppe Domänenadministratoren Registrierungs-Agent-Zertifikate anfordern und erhalten. Um jedoch festzulegen, dass nur bestimmte Mitglieder des Sicherheitsabteilung Registrierungs-Agent-Zertifikate anfordern und erhalten können, können Sie die Sicherheitszugriffssteuerliste für die Vorlage des Registrierungs-Agent-Zertifikats ändern. Sie können Domänenadministratoren aus dieser Liste löschen und entsprechende Benutzerkonten oder Sicherheitsgruppen hinzufügen. Bei eigenständigen Zertifizierungsstellen unter Windows 2000 müssen Daten zu dem Zertifikatstyp in der Zertifikatsanforderung enthalten sein, da bei eigenständigen Zertifizierungsstellen keine Zertifikatsvorlagen verwendet werden. Sie können eigenständige Zertifizierungsstellen mit benutzerdefinierten Richtlinienmodulen und benutzerdefinierten Anwendungen für Zertifikatsanforderungen verwenden, um die Zertifikatstypen zu steuern, die ausgestellt werden.
Konfigurieren der Veröffentlichung von Zertifikatssperrlisten Standardmäßig werden CRLs über Firmenzertifizierungsstellen ein mal pro Woche in Active Directory veröffentlicht. Über eigenständige Zertifizierungsstellen und Firmenzertifizierungsstellen werden CRLs einmal pro Woche in einem Verzeichnis auf dem Zertifizierungsstellenserver veröffentlicht. Sie können das MMC-Snap-In für Zertifizierungsstellen verwenden, um den Verteilungspunkt der CRL zu bearbeiten. Sie können auch das Zertifizierungsstellen-Snap-In verwenden, um interaktiv eine neue CRL zu veröffentlichen oder den Zeitplan der Veröffentlichung zu ändern.
Konfigurieren von Gruppenrichtlinien für öffentliche Schlüssel Sie können das MMC-Snap-In für Gruppenrichtlinien verwenden, um Gruppenrichtlinien für öffentliche Schlüssel für Standorte, Domänen und Organisationseinheiten zu konfigurieren. Folgende optionale Kategorien für Richtlinien für öffentliche Schlüssel können konfiguriert werden:
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
429
EFS-Wiederherstellungs-Agenten Standardmäßig handelt es sich bei dem lokalen Administratorbenutzerkonto für den ersten Domänencontroller, das in der Domäne installiert wird, um das EFSWiederherstellungskonto für diese Domäne. Sie können für EFS andere Wiederherstellungs-Agenten für verschlüsselte Daten festlegen, indem Sie das entsprechende EFS-Wiederherstellungs-Agenten-Zertifikat in die Richtlinie importieren. Daher müssen für die Benutzerkonten auf den lokalen Computern, die als alternative Wiederherstellungs-Agenten verwendet werden sollen, zunächst Zertifikate für den EFS-Wiederherstellungs-Agenten ausgestellt werden. AutomatischeZertifikatseinschreibung Für Computerzertifikate können automatische Einschreibungen und Erneuerungen festgelegt werden. Beim Konfigurieren der automatischen Einschreibung werden die festgelegten Zertifikatstypen an alle Computer innerhalb der Reichweite der Gruppenrichtlinien für öffentliche Schlüssel ausgestellt. Computerzertifikate, die über die automatische Einschreibung ausgestellt wurden, werden über die ausstellende Zertifizierungsstelle erneuert. Eine automatische Einschreibung kann erst erfolgen, wenn sich mindestens eine Firmenzertifizierungsstelle im Onlinemodus befindet, so dass Zertifikatsanforderungen verarbeitet werden können. Beachten Sie, dass bei VPNs, bei denen IPSec mit L2TP verwendet wird, Gruppenrichtlinien eingerichtet werden, so dass die automatische Einschreibung für IPSec-Zertifikate zulässig ist. In Tabelle 12.2 können alle für einen Computer ausgestellten RSA-signierten (Rivest-Shamir-Adleman) Zertifikate, die in dem Computerkonto gespeichert sind, für IPSec verwendet werden. Weitere Informationen zu Zertifikaten für L2TP über IPSec VPN-Verbindungen finden Sie in der Onlinehilfe zu Windows 2000 Server. Stammzertifikatsvertrauen Beim Installieren einer Firmenstammzertifizierungsstelle wird das Zertifikat der Stelle den vertrauten Stammzertifizierungsstellen für die Domäne hinzugefügt. Sie können dem Container für Zertifizierungsstellen im MMC-Snap-In für Gruppenrichtlinien auch interaktiv Zertifikate für andere Stammzertifizierungsstellen hinzufügen. Die hinzugefügten Zertifikate der Zertifizierungsstelle werden zu vertrauten Stammzertifizierungsstellen innerhalb der Gruppenrichtlinie. Soll in einer Zertifizierungshierarchie eine eigenständige Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters als Stammzertifizierungsstelle verwendet werden, muss das Zertifikat der Zertifizierungsstelle dem Container für vertraute Stammzertifizierungsstellen in den Gruppenrichtlinien hinzugefügt werden. Zertifikatsvertrauenslisten Sie können Zertifikatsvertrauenslisten erstellen, so dass bestimmten Zertifizierungsstellen vertraut und die Verwendung von Zertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden, einschränkt wird. Sie können z. B. eine Zertifikatsvertrauensliste verwenden, um Zertifikaten zu vertrauen, die von einer kommerziellen Zertifizierungsstelle ausgestellt wurden, und die Verwendung dieser Zertifikate beschränken. Sie können Zertifikatsvertrauenslisten auch verwenden, um das Vertrauen für ein Extranet bei Zertifikaten zu steuern, die über Zertifizierungsstellen ausgestellt wurden, die von Geschäftspartnern verwaltet werden.
430
Teil III
Active Directory-Infrastruktur
Bei einer Firma kann es sich z. B. um ein Joint Venture mit einer anderen Firma handeln. Die Partnerfirma stellt eigene Zertifikate für den Webzugriff, sichere E-Mail, Signieren von Softwarecode usw. aus. Möglicherweise möchten Sie sichere E-Mail mit Mitarbeitern der Partnerfirma austauschen, für diesen Zweck jedoch keine Zertifikate ausstellen. Sie können die Stammzertifizierungsstelle der anderen Firma einer neuen Zertifikatsvertrauensliste in dem Vertrauenscontainer der Firma hinzufügen und festlegen, dass den Zertifikaten des Partners nur im Hinblick auf E-Mail vertraut wird.
Konfigurieren von Zertifikatserneuerungen und -einschreibungen Über Microsoft Zertifikatsdienste werden zahlreiche Einschreibungs- und Erneuerungsmethoden unterstützt, z. B. Zertifikatsanforderungen mit dem Assistenten für Zertifikatsanforderungen und den Webseiten zu Microsoft Zertifikatsdiensten. Werden jedoch Zertifikatsdienste von Drittanbietern oder benutzerdefinierte Anwendungen für Einschreibung und Erneuerung eingerichtet, müssen alle erforderlichen Konfigurationen für diese Dienste und Anwendungen vorgenommen werden.
Beginnen mit dem Ausstellen von Zertifikaten Wenn die erforderlichen Zertifikatsdienste installiert und konfiguriert sind, können Sie mit dem Ausstellen von Zertifikaten für Benutzer, Computer und Dienste beginnen. Beachten Sie beim Ausstellen von Zertifikaten folgende Faktoren: ? Zertifikate werden für Computer im Bereich der Einstellungen für automatische
Zertifikatsanforderungen in der Gruppenrichtlinie der Domäne ausgestellt. Administratoren können mit Hilfe des Assistenten für Zertifikatsanforderungen oder der Webseiten für Microsoft Zertifikatsdienste Zertifikate für lokale Computer auch manuell anfordern. Stellen Sie ggf. einen Zeitplan für stufenweise manuelle Einschreibungen auf, um den Verwaltungsaufwand zu verteilen. ? Administratoren für Smartcards können mit Hilfe der SmartCard-Registrierungsstelle, die auf den Webseiten für Microsoft Zertifikatsdienste zur Verfügung steht, Zertifikate für Smartcards ausstellen. Stellen Sie ggf. einen Zeitplan für stufenweise Registrierungen von Smartcards auf, um den Verwaltungsaufwand zu verteilen. ? Während des Übergangs zu Smartcards werden in aller Regel sowohl die
Smartcard-Authentifizierung als auch die Anmeldefolge STRG+ALT+ENTF aktiviert. Da hierdurch allerdings die Netzwerksicherheit gefährdet wird, konfigurieren Sie die Benutzerkontenrichtlinie so, dass Smartcards für eine interaktive Anmeldung erforderlich sind, sobald die Benutzer entsprechend geschult sind und die Karten verwendet werden. Überwachen Sie die Leistung der Zertifikatsdienste sorgfältig, wenn Sie mit dem Ausstellen von Zertifikaten beginnen, um sicherzustellen, dass die Zertifikatslast von den Zertifizierungsstellen getragen wird. Um übermäßige Belastungen zu beheben, können Sie eventuell weitere ausstellende Zertifizierungsstellen hinzufügen oder die Zertifikatseinschreibung in kleineren Stufen planen. Das Erneuern von Zertifikaten kann auch zu hohen Belastungen führen, so dass über das Hinzufügen von weiteren Zertifizierungsstellen und das Planen der Zertifikatseinschreibung in kleineren Stufen die Hauptlast der Erneuerung verteilt werden kann.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
431
Planungstaskliste für eine Infrastruktur für öffentliche Schlüssel In Tabelle 12.4 werden die erforderlichen Tasks beim Planen der Einrichtung einer Infrastruktur für öffentliche Schlüssel zusammengefasst. Tabelle 12.4 Planungstaskliste für eine Infrastruktur für öffentliche Schlüssel Task
Stichwort
Erkennen der Zertifikatsanforderungen.
Erkennen der Zertifikatsanforderungen
Festlegen der Prozesse zum Ausstellen von Zertifikaten.
Festlegen von Zertifikatsrichtlinien und Zertifizierungsstellenmethoden
Festlegen der Vertrauenshierarchie für Zertifizierungsstellen. Festlegen der Sicherheitsanforderungen für Zertifizierungsstellen. Festlegen des Zyklus bei Zertifikaten
Festlegen von Vertrauensstrategien für die Zertifizierungsstelle Festlegen der Sicherheitsanforderungen für Zertifizierungsstellen Festlegen des Zyklus bei Zertifikaten
Festlegen der Prozesse für die Zertifikatseinschreibung und erneuerung Festlegen der Richtlinien für Zertifikatssperren Festlegen der Verwaltungsrichtlinien Festlegen von Strategien für Notfallwiederherstellungen Erstellen eines Einführungsplans
Festlegen der Prozesse für die Zertifikatseinschreibung und -erneuerung Festlegen der Richtlinien für Zertifikatssperren Festlegen von Verwaltungsstrategien Entwickeln von Wiederherstellungsplänen Einrichten der Infrastruktur für öffentliche Schlüssel
T E I L
I V
Windows 2000 – Aktualisierung und Installation Die Möglichkeit, das Update und die Installation von Microsoft ® Windows® 2000 zu automatisieren kann Ihrer Organisation wertvolle Einrichtungszeit sparen. Teil IV beschreibt mehrere automatisierte Installationsmethoden in einzelnen, detaillierten Schritten und erklärt den Einsatz von Terminaldiensten mit Windows 2000. Kapitel in Teil IV Automatisieren der Serverinstallation und der Aktualisierung 433 Verwenden von Systems Management Server zum Einrichten von Windows 2000 477 Aktualisieren und Installieren von Mitgliedsservern 513 Einrichten der Terminaldienste 535
432
Teil 1
Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
433
K A P I T E L
1 3
Automatisieren der Serverinstallation und der Aktualisierung Sie können nun die automatisierte Installation von Microsoft® Windows® 2000 Server und den verbundenen Anwendungen entwickeln und durchführen. Dies ist eine Voraussetzung für alle Stufen der Einrichtung – Test, Pilotprojekt oder Produktionseinführung. In diesem Kapitel werden die verfügbaren Methoden für automatisierte Installationen vorgestellt, u. a. die erforderlichen Vorbereitungen sowie Beispielkonfigurationen. Es wird empfohlen, dass sich Netzwerktechniker, die mit dem Entwurf des Installationsprozesses befasst sind, und Netzwerkadministratoren, die mit der Installation von Windows 2000 und den damit verbundenen Anwendungen befasst sind, mit dem Inhalt dieses Kapitels vertraut machen. Das Installieren von Windows 2000 Server umfasst entweder die Neuinstallation auf Computern, auf denen das Betriebssystem Microsoft® Windows® 2000 nicht installiert ist, oder die Neuinstallation oder Aktualisierung von Computern, auf denen aktuell Microsoft® Windows NT® Server Version 3.51 oder Microsoft® Windows NT ® Server Version 4.0 ausgeführt wird. Mit Hilfe der Informationen in diesem Kapitel können Sie feststellen, ob eine Neuinstallation oder eine Aktualisierung durchgeführt werden muss. Inhalt dieses Kapitels Festlegen einer Aktualisierung oder Neuinstallation 434 Vorbereiten der Installation 436 Automatisieren der Installation von Serveranwendungen 452 Automatisieren der Installation von Windows 2000 Server 456 Beispiele zu Installationskonfigurationen 471 Planungstaskliste für die Installation 475 Zielsetzungen Dieses Kapitel ist beim Entwickeln des folgenden Planungsdokuments hilfreich: ? Plan für die automatisierte Installation
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Planen finden Sie in der „Planungsübersicht“ in diesem Buch. ? Weitere Informationen zum Verwalten von Clientcomputern finden Sie unter
„Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
434
Teil IV Windows 2000 – Aktualisierung und Installation ? Weitere Informationen zum Automatisieren von Clientinstallationen finden Sie
unter „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch. ? Weitere Informationen zu den Parametern für die unbeaufsichtigte Installation, auf die in diesem Kapitel Bezug genommen wird, finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. ? Weitere Informationen zu unbeaufsichtigten Installationen, u. a. zu Beispielantwortdateien, finden Sie im Anhang „Beispielantwortdateien für die unbeaufsichtigte Installation“ in diesem Buch.
Festlegen einer Aktualisierung oder Neuinstallation In einer Firmenumgebung ist es kostenintensiv, für jeden Computer die interaktive Standardinstallation von Windows 2000 zu verwenden. Sie können automatisierte Installationen von Windows 2000 Server auf mehreren Computern durchführen, um die Gesamtbetriebskosten erheblich zu senken. Kritische Entscheidung Vor dem Automatisieren der Installation von Windows 2000 Professional muss geklärt werden, ob eine Neuinstallation oder eine Aktualisierung von Windows NT durchgeführt werden soll. Die folgenden Überlegungen sind hilfreich bei der Entscheidung, ob eine Aktualisierung oder eine Neuinstallation durchgeführt werden soll. ? Wenn in einer Organisation bereits ein Windows-Betriebssystem implementiert
wurde und die IT-Abteilung zentral verwaltet wird, kommt eine Aktualisierung in Betracht. Wird geplant, eine verwaltete Umgebung aufzubauen, die es in der Organisation zur Zeit noch nicht gibt, kommt eine Neuinstallation in Betracht, so dass über die Installation die Standardkonfigurationen implementiert werden können. ? Sollen vorhandene Hardware und Anwendungen verwendet werden, kommt
eine Aktualisierung in Betracht. Ist der Erwerb neuer Hardware geplant und sollen neue Anwendungen installiert werden, bietet sich eine Neuinstallation an.
Lösen wichtiger Planungsfragen Soll Windows 2000 Server auf Computern installiert werden, auf denen ein älteres Betriebssystem als Windows 2000 nicht installiert wurde, liegt eine Neuinstallation nahe. Wird auf den Computern aktuell Windows 95, Windows 98, Windows NT Workstation 3.51 oder Windows NT Workstation 4.0 ausgeführt, muss überlegt werden, ob es kostengünstiger ist, das bestehende Betriebssystem zu aktualisieren oder eine Neuinstallation durchzuführen.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
435
Tabelle 13.1 Planungsfaktoren vor der Aktualisierung oder Installation Faktor
Task
Organisationsziele Regionale Anforderungen
Legen Sie die Hauptziele der Firma fest. Legen Sie die regionalen Anforderungen fest, und berücksichtigen Sie, ob internationale Zweigstellen oder Firmen in den Geschäftsablauf einbezogen sind. Berücksichtigen Sie die Benutzergruppen, u. a. bestimmte Aufgabenkategorien und Anforderungen, EDVKenntnisse und -Erfahrungen, Sicherheitsanforderungen und Standorte der Benutzer sowie die Anforderungen an Netzwerkverbindungen, u. a. die Verbindungsgeschwindigkeit. Legen Sie fest, welche Produkte auf allen Computern vorinstalliert sein sollen, welche Produkte nur bestimmten Servertypen angekündigt werden und welche Produkte an bestimmte Servertypen verteilt werden. Nehmen Sie den vorhandenen Bestand an Hardware auf und überschlagen Sie, welche neue Hardware benötigt wird. Legen Sie vor einer Aktualisierung oder Installation die Mindestanforderungen an die Hardware fest. Planen Sie zukünftige Anforderungen ein.
Benutzergruppen
Anwendungsanforderungen
Hardware
Bestimmen Sie, wie Computer in der Organisation wiederverwendet werden.
Risiko- und Problembereiche
Wachstumserwartungen
Netzwerkfaktoren
Softwareverwaltung
Konnektivität
Stellen Sie fest, ob alle Computer über Boot-CDs verfügen. Berücksichtigen Sie mögliche Risiken, u. a. Inkompatibilitäten mit Windows 2000, Zeitfaktoren, mehrere Standorte, dezentralisierte Budgets oder die Auswirkungen möglicher zukünftiger Zusammenschlüsse. Berücksichtigen Sie das zu erwartende Wachstum im Laufe des nächsten Jahres, der nächsten 3 oder 5 Jahre. Planen Sie hierbei auch vorgesehene Zusammenschlüsse, neue Standorte und das erwartete Wachstum in anderen Ländern ein. Stellen Sie fest, ob die Remotestandorte über Server für Anwendungseinrichtungen verfügen. Bestimmen Sie, wie die Server außerhalb des Hauptstandortes aktualisiert werden. Stellen Sie fest, ob ein System für die Softwareverwaltung zur Verfügung steht, z. B. Microsoft® Systems Management Server, in dem Einrichtungen geplant werden können. Stellen Sie fest, ob die Server und die entsprechenden Verbindungen so eingerichtet sind, dass umfangreiche Pakete an alle Benutzer in der Firma verteilt werden können.
436
Teil IV Windows 2000 – Aktualisierung und Installation
Auswählen der Installationsmethode Nachdem Sie diese Planungsfaktoren überdacht haben, können Sie die Methode auswählen, die Sie zum Automatisieren der Installationen verwenden möchten. In Tabelle 13.2 werden die Methoden zur automatisierten Installation aufgeführt, und es wird angegeben, ob sie für die Aktualisierung, Neuinstallation oder für beides verwendet werden können. Tabelle 13.2 Methoden zur automatisierten Installation Methode
Windows 2000 Version
Aktualisierung
Neuinstallation
Syspart
Server und Professional
Nein
Ja
Sysprep SMS Boot-CD
Server und Professional Server und Professional Server und Professional
Nein Ja Nein
Ja Ja Ja
Remoteinstallation des Betriebssystems
Professional
Nein
Ja
Unbeaufsichtigte Installation
Server und Professional
Ja
Ja
Vorbereiten der Installation Zum Vorbereiten der Neuinstallation von Windows 2000 Server ist Folgendes erforderlich: ? Erstellen des Distributionsordners. ? Kenntnisse zum Verwenden der Antwortdatei. ? Kenntnisse der Setup-Befehle für Windows 2000.
Anmerkung Das in diesem Abschnitt beschriebene Prinzip für die Durchführung einer automatisierten Installation bezieht sich sowohl auf eine Neuinstallation als auch auf eine Aktualisierung. Das am häufigsten auftretende Szenario ist die Neuinstallation. In dem Flussdiagramm in Abbildung 13.1 wird der Installationsprozess grafisch dargestellt.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
437
Abbildung 13.1 Flussdiagramm zur automatisierten Installation
Erstellen von Distributionsordnern Um Windows 2000 Server über ein Netzwerk auf mehreren Computern zu installieren, muss mindestens ein Satz Distributionsordner erstellt werden. Die Distributionsordner befinden sich in der Regel auf einem Server, zu dem die Computer eine Verbindung herstellen können. Zur Installation von Windows 2000 wird dann auf dem Zielcomputer die Datei Winnt.exe oder Winnt32.exe ausgeführt. Für verschiedene Systemimplementierungen kann derselbe Distributionsordnersatz mit unterschiedlichen Antwortdateien verwendet werden. Auch wenn Festplattenabbildung als Installationsmethode gewählt wurde, bieten die Distributionsordner konsistente Implementierungen für zahlreiche Systemtypen. Ferner können Sie Distributionsordner zum Aktualisieren zukünftiger Abbilder verwenden. Bearbeiten Sie dazu entweder die Dateien in den Distributionsordnern oder ändern Sie die Antwortdateien, um aktualisierte Abbilder zu erstellen, ohne den Vorgang von Anfang an durchführen zu müssen. Sie können Distributionsordner auf mehreren Servern erstellen, um für einen Lastenausgleich der Server zu sorgen und die Kopierphase der Dateien für die Windows 2000-Installation für Computer zu beschleunigen, auf denen Microsoft®
438
Teil IV Windows 2000 – Aktualisierung und Installation
Windows® 95, Windows 98, Windows NT oder Windows 2000 bereits ausgeführt wird. Winnt32.exe kann dann mit bis zu acht Quelldateiordnern ausgeführt werden. Weitere Informationen zu den Setup-Befehlen finden Sie unter „Überprüfen der Windows 2000 Setup-Befehle“ an späterer Stelle in diesem Kapitel. Anmerkung In diesem Kapitel bezieht sich der Begriff „Windows NT“ sowohl auf Microsoft® Windows NT® 3.51 als auch auf Microsoft® Windows NT® 4.0. Die Distributionsordner umfassen die Installationsdateien für Windows 2000 Server bzw. Microsoft ® Windows® 2000 Advanced Server sowie alle Gerätetreiber und sonstigen Dateien, die für die Installation benötigt werden. Installations-Manager, ein Tool auf der CD für Windows 2000 Server CD, ist beim Automatisieren des Prozesses zum Erstellen von Distributionsordnern hilfreich. Weitere Informationen zum Installations-Manager finden Sie unter „Überprüfen der Antwortdatei“ an späterer Stelle in diesem Kapitel. Anmerkung In diesem Kapitel wird die „Windows 2000-Installation“ auch als „Installation“ bezeichnet. ? So erstellen Sie einen Distributionsordner 1. Stellen Sie eine Verbindung zu dem Netzwerkserver her, auf dem der Distributionsordner erstellt werden soll. 2. Erstellen Sie einen \i386-Ordner in der Distributionsfreigabe auf dem Netzwerkserver. Um zwischen den Distributionsfreigaben für die verschiedenen Versionen von Windows 2000 (Microsoft® Windows 2000 Professional, Microsoft® Windows 2000 Server und eine für Microsoft® Windows 2000 Advanced Server) zu unterscheiden, können Sie für diesen Ordner einen anderen Namen auswählen. Sollen lokalisierte Sprachversionen von Windows 2000 für internationale Zweigstellen der Organisation verwendet werden, können Sie für jede lokalisierte Version eine eigene Distributionsfreigabe erstellen. 3. Kopieren Sie den Inhalt des Ordners \i386 von der CD für Windows 2000 Server in den erstellten Ordner. 4. Erstellen Sie in diesem Ordner einen Unterordner mit dem Namen \$OEM$. Der Unterordner \$OEM$ bietet die notwendige Ordnerstruktur für zusätzliche Dateien, die während der Installation auf den Zielcomputer kopiert werden. Diese Dateien können Treiber, Tools, Anwendungen und alle anderen Dateien enthalten, die für das Einrichten von Windows 2000 Server innerhalb der Organisation erforderlich sind.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
439
Strukturieren des Distributionsordners Ein Beispiel für die Struktur eines Distributionsordners wird in Abbildung 13.2 dargestellt.
Abbildung 13.2
Beispielstruktur eines Distributionsordners
\I386 Hierbei handelt es sich um den Distributionsordner, der alle zum Installieren von Windows 2000 erforderlichen Dateien enthält. Dieser Ordner wird im Stammverzeichnis der Distributionsfreigabe erstellt. Kopieren Sie dazu den Inhalt des Ordners \i386 auf der CD zu Windows 2000 Server in den Distributionsordner.
\$OEM$ Der Unterordner \$OEM$ wird in dem Distributionsordner direkt unter dem Ordner \I386 erstellt. Während der Installation können Sie Verzeichnisse, Standard-
440
Teil IV Windows 2000 – Aktualisierung und Installation
8.3-Formatdateien und alle für den automatisierten Installationsprozess benötigten Dateien automatisch in den Unterordner \$OEM$ kopieren. Beachten Sie, dass Sie beim Verwenden des OEMFILESPATH-Schlüssels in der Antwortdatei den Unterordner \$OEM$ außerhalb des Distributionsordners erstellen können. Die Antwortdatei wird unter „Überprüfen der Antwortdatei“ an späterer Stelle in diesem Kapitel behandelt. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. \$OEM$ kann die optionale Datei Cmdlines.txt umfassen, in der eine Liste der Befehle enthalten ist, die während der Installation der grafischen Benutzeroberfläche (GUI, Graphical User Interface) ausgeführt werden. Diese Befehle können für die Installation zusätzlicher Tools verwendet werden, die Sie in die Installationen aufnehmen möchten. Weitere Informationen zu der Datei Cmdlines.txt finden Sie unter „Verwenden von Cmdlines.txt“ an späterer Stelle in diesem Kapitel. Wird bei der Installation der Unterordner \$OEM$ im Stammverzeichnis des Verteilungspunktes erkannt, werden alle Dateien aus diesem Verzeichnis in das temporäre Verzeichnis kopiert, das während des nichtgrafischen Teils der Installation erstellt wurde. Anmerkung In diesem Kapitel wird der GUI-Teil der Installation als „GUI-Modus“ und der nichtgrafische Teil als „nichtgrafischer Modus“ bezeichnet.
\$OEM$\Textmode Der Unterordner \$OEM$\Textmode enthält neue oder aktualisierte Dateien für die Installation von Treibern für Massenspeichergeräte und HALs. Zu diesen Dateien können OEM-HALs, Treiber für SCSI-Geräte und Txtsetup.oem gehören, worüber das Laden und Installieren dieser Komponenten gesteuert wird. Stellen Sie sicher, dass die Datei Txtsetup.oem einbezogen wird. Alle Dateien, die sich in dem Unterordner \$OEM$\Textmode befinden (HALs, Treiber und Txtsetup.oem) müssen im Abschnitt [OEMBootFiles] der Antwortdatei aufgeführt werden.
\$OEM$\$$ Der Unterordner \$OEM$\$$ entspricht den Umgebungsvariablen %systemroot% oder %windir%. Der Unterordner enthält zusätzliche Dateien, die in die verschiedenen Unterordner des Windows 2000-Installationsverzeichnisses kopiert werden sollen. Die Struktur dieses Unterordners muss der Struktur einer standardmäßigen Windows 2000-Installation entsprechen, wobei \$OEM$\$$ der Variablen %systemroot% oder %windir% (z. B. C:\Winnt), \$OEM$\$$\System32 der Variablen %windir%\System32 usw. entspricht. Jeder Unterordner muss die Dateien enthalten, die in den entsprechenden Systemordner auf dem Zielcomputer kopiert werden sollen.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
441
\$OEM$\$1 Über den Unterordner \$OEM$\$1, der unter Windows 2000 neu eingeführt wird, wird auf das Laufwerk gezeigt, auf dem Windows 2000 installiert ist. Der Begriff $1 entspricht der Umgebungsvariablen %systemdrive%. Wird Windows 2000 z. B auf Laufwerk D: installiert, wird über \$OEM$\$1 auf Laufwerk D: gezeigt.
\$OEM$\$1\ Pnpdrvrs Mit Hilfe des Unterordners \$OEM$\$1\Pnpdrvrs, der mit Windows 2000 neu eingeführt wurde, können Sie neue oder aktualisierte Treiber für Plug & PlayGeräte im Distributionsordner speichern. Diese Ordner werden im Pfad %systemdrive%\Pnpdrvrs auf dem Zielcomputer gespeichert. Wenn der Antwortdatei der Parameter OemPnPDriversPath hinzugefügt wird, wird über Windows 2000 (während und nach der Installation) in dem erstellten sowie den ursprünglichen Ordnern nach neuen oder aktualisierten Plug & Play-Treibern gesucht. Beachten Sie, dass der Name Pnpdrvrs durch einen Namen ersetzt werden kann, der höchstens acht Zeichen umfasst.
\$OEM$\$1\Sysprep Der Unterordner \$OEM$\$1\Sysprep ist optional. Dieser Unterordner umfasst die zum Ausführen des Dienstprogramms Sysprep benötigten Dateien. Diese Dateien werden unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ an späterer Stelle in diesem Kapitel beschrieben.
\$OEM$\ Laufwerkbuchstabe Im nichtgrafischen Modus wird die Struktur aller \$OEM$\LaufwerkbuchstabeUnterordner in das Stammverzeichnis des entsprechenden Laufwerks auf dem Zielcomputer kopiert. Dateien, die z. B. im Unterordner \$OEM$\D gespeichert werden, werden in das Stammverzeichnis von Laufwerk D: kopiert. Innerhalb dieser Unterordner können wiederum auch Unterordner erstellt werden. Über \$OEM$\E\Misc wird z. B. über die Installation ein Unterordner \Misc auf Laufwerk E: erstellt. Dateien, die umbenannt werden müssen, müssen in der Datei $$Rename.txt aufgeführt werden. Weitere Informationen zum Umbenennen von Dateien finden Sie unter „Ändern der Länge von Dateinamen mit Hilfe von $$Rename.txt“ an späterer Stelle in diesem Kapitel. Beachten Sie, dass die Dateien in den Distributionsordnern über kurze Dateinamen (Format 8 + 3) verfügen müssen.
Installieren von Massenspeichergeräten Unter Windows 2000 werden über Plug & Play die meisten Hardwaregeräte erkannt und installiert, die zu einem späteren Zeitpunkt während der Installation geladen werden können. Massenspeichergeräte, z. B. Festplatten, müssen jedoch ordnungsgemäß installiert sein, so dass während dem GUI-Modus die Unterstützung durch Plug & Play vollständig zur Verfügung steht. Anmerkung Ein Gerät, das bereits durch Windows 2000 unterstützt wird, braucht nicht angegeben zu werden.
442
Teil IV Windows 2000 – Aktualisierung und Installation
Um SCSI-Geräte im nichtgrafischen Modus zu installieren, also bevor die Plug & Play-Unterstützung zur Verfügung steht, muss eine Txtsetup.oem-Datei zur Verfügung stehen, in der beschrieben wird, wie ein bestimmtes SCSI-Gerät über Setup installiert werden soll. Wichtig Stellen Sie vor dem Verwenden aktualisierter Treiber sicher, dass sie signiert sind. Wenn sie nicht signiert sind, schlägt die Installation fehl. Sie können den Status einzelner Treiber im Geräte-Manager überprüfen oder die Datei Sigverif.exe ausführen, um im Unterordner %windir% die Datei Sigverif.txt zu erstellen. In Sigverif.txt wird der Status für alle Treiber im System aufgeführt. ? So installieren Sie ein Massenspeichergerät 1. Erstellen Sie im Distributionsordner im Unterordner \$OEM$ den Unterordner \Textmode. 2. Kopieren Sie folgende, beim Gerätehersteller erhältliche Dateien in den Unterordner \Textmode (ersetzen Sie den Begriff Treiber durch den entsprechenden Treibernamen): ? Treiber.sys ? Treiber.dll ? Treiber.inf ? Txtsetup.oem
Anmerkung Einige Treiber, z. B. SCSI-Miniporttreiber, enthalten keine .dllDatei. 3. Erstellen Sie in der Antwortdatei einen Abschnitt [MassStorageDrivers], und geben Sie in diesem Abschnitt die Treibereinträge ein, die berücksichtigt werden sollen. Ein möglicher Eintrag in dem Abschnitt [MassStorageDrivers] kann z. B. folgendermaßen lauten: "Adaptec 2940…" = "OEM"
Die Daten zu diesem Abschnitt erhalten Sie aus der Datei Txtsetup.oem, die beim Hardwarehersteller erhältlich ist. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. 4. Erstellen Sie in der Antwortdatei einen Abschnitt [OEMBootFiles], und geben Sie in diesem Abschnitt eine Liste der Dateien im Ordner $OEM$\Textmode ein. Hierzu gehören beispielsweise folgende Dateien: [OEMBootFiles] .sys .dll .inf Txtsetup.oem
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
443
Bei handelt es sich um den jeweiligen Treibernamen. 5. Wenn es sich bei dem Massenspeichergerät um ein Plug & Play-Gerät handelt, verfügt es in der Datei Txtsetup.oem über einen Abschnitt mit dem Namen [HardwareIds.Scsi.yyyyy]. Verfügt das Massenspeichergerät nicht über einen solchen Abschnitt, muss er erstellt und folgender Eintrag vorgenommen werden: id = "xxxxx", "yyyyy"
xxxxx stellt hierbei die Geräte-ID und yyyyy den mit dem Gerät verbundenen Dienst dar. Stellen Sie sicher, dass die Datei Txtsetup.oem folgenden zusätzlichen Abschnitt enthält, um beispielsweise den Symc810-Treiber zu installieren, der über die Geräte-ID PCI\VEN_1000&DEV_0001 verfügt: [HardwareIds.scsi.symc810] id = "PCI\VEN_1000&DEV_0001", "symc810"
Installieren der Hardwareabstraktionsschichten (HALs) Um die Hardwareabstraktionsschichten (HALs) für die Installation festzulegen, werden eine Txtsetup.oem-Datei sowie die HAL-Datei benötigt, die beim Händler erhältlich sind. Beim Installieren der Massenspeichergerätetreiber muss dieselbe Txtsetup.oem-Datei verwendet werden. Es kann nur eine Txtsetup.oem-Datei verwendet werden; wenn also HALs und Massenspeichergerätetreiber installiert werden sollen, müssen die Einträge in einer Datei kombiniert werden. Wenn Treiber von Drittanbietern verwendet werden sollen, müssen in der Antwortdatei entsprechende Änderungen vorgenommen werden. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. ? So installieren Sie eine HAL 1. Erstellen Sie im Ordner \$OEM$ einen Unterordner \Textmode. 2. Kopieren Sie die Dateien des Geräteherstellers in den Unterordner \Textmode. 3. Bearbeiten Sie in der Antwortdatei den Abschnitt [Unattend] für die HAL, und fügen Sie alle Treiber hinzu, die installiert werden sollen. Dies kann beispielsweise folgendermaßen vorgenommen werden: [Unattend] Computertype = "", OEM
Informationen zu der finden Sie im Abschnitt [Computer] in der Datei Txtsetup.oem vom Hersteller des Treibers. 4. Erstellen Sie in der Antwortdatei einen Abschnitt [OEMBootFiles], und geben Sie in diesem Abschnitt die Namen der Dateien im Ordner $OEM$\Textmode ein.
444
Teil IV Windows 2000 – Aktualisierung und Installation
Installieren von Plug & Play-Geräten Über folgende Prozedur werden Plug & Play-Geräte installiert, bei denen es sich weder um Massenspeichergeräte noch um HALs handelt und die nicht auf der Betriebssystem-CD für Windows 2000 enthalten sind. ? So installieren Sie Plug & Play-Geräte 1. Erstellen Sie im Distributionsordner einen Unterordner für bestimmte Plug & Play-Treiber und die entsprechenden .inf-Dateien. Sie können z. B. einen Ordner mit dem Namen PnPDrvs erstellen: $OEM$\$1\PnPDrvs
2. Fügen Sie den Pfad zu der Liste der Plug & Play-Suchlaufwerke hinzu. Nehmen Sie dazu in die Antwortdatei folgende Zeile auf: OEMPnPDriversPath = "PnPDrvs"
Befinden sich im Ordner PnPDrvs Unterordner, muss der Pfad für jeden Unterordner angegeben werden. Die Pfade müssen jeweils durch ein Semikolon voneinander abgetrennt werden. Um die Ordner so verwalten zu können, dass auch zukünftige Gerätetreiber berücksichtigt werden, stellen Sie sicher, dass Unterordner für diese Treiber erstellt werden. Indem Sie die Ordner in Unterordner unterteilen, können Sie die Gerätetreiberdateien nach Gerätetyp speichern, so dass sich nicht alle Treiberdateien in einem Ordner befinden. Mögliche Unterordner sind z. B. Audio, Modem, Net, Druck, Video und Andere. In dem Ordner Andere können mögliche neue Hardwaregeräte gespeichert werden, die zum jetzigen Zeitpunkt noch nicht bekannt sind. Enthält der Ordner PnpDrvs z. B. die Unterordner Audio, Modem und Net, muss die Antwortdatei folgende Zeile umfassen: OEMPnPDriversPath = "PnPDrvs\Audio;PnPDrvs\Modem;PnpDrvs\Net"
Ändern der Länge von Dateinamen mit Hilfe von $$Rename.txt Während der Installation werden über die Datei $$Rename.txt kurze Dateinamen in lange Dateinamen umgewandelt. Über $$Rename.txt werden alle Dateien in einem bestimmten Ordner aufgeführt, die umbenannt werden müssen. Alle Ordner, die kurze Dateinamen enthalten, die umbenannt werden sollen, müssen über eine eigene Version von $$Rename.txt verfügen. Um $$Rename.txt zu verwenden, speichern Sie die Datei in einem Ordner, welcher die Dateien enthält, die umgewandelt werden sollen. Die Syntax für $$Rename.txt lautet: [Abschnittsname_1] kurzer_Name_1 = "langer_Name_1" kurzer_Name_2 = "langer_Name_2" kurzer_Name_x = "langer_Name_x"
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
445
[Abschnittsname_2] kurzer_Name_1 = "langer_Name_1" kurzer_Name_2 = "langer_Name_2" kurzer_Name_x = "langer_Name_x" Die Parameter werden folgendermaßen festgelegt: ? Abschnittsname_x – Der Pfad zu dem Unterordner mit den Dateien. Ein Ab-
schnitt braucht nicht benannt zu werden, oder er kann als Namen über einen umgekehrten Schrägstrich (\) verfügen, was darauf hinweist, dass der Abschnitt die Namen der Dateien oder Unterordner enthält, die sich im Stammverzeichnis des Laufwerks befinden. ? kurzer_Name_x –Der Name der Datei oder des Unterordners innerhalb des Unterordners, die bzw. der umbenannt werden soll. Dieser Name braucht nicht in Anführungszeichen gesetzt zu werden. ? langer_Name_x –Der neue Name der Datei oder des Unterordners. Dieser
Name muss in Anführungszeichen eingeschlossen werden, wenn er Leerzeichen oder Kommata enthält. Tipp Wenn Sie MS-DOS zum Starten der Installation verwenden und es nicht möglich ist, mit den MS-DOS-Tools Ordner mit Pfadnamen, die mehr als 64 Zeichen enthalten, zu kopieren, können Sie für die Ordner kurze Dateinamen verwenden und sie später mit $$Rename.txt umbenennen.
Überprüfen der Antwortdatei Bei der Antwortdatei handelt es sich um ein benutzerdefiniertes Skript, über das Installationsfragen ohne Benutzereingabe beantwortet werden. Die CD zu Windows 2000 Server enthält eine Beispielantwortdatei, die bearbeitet und verwendet werden kann. Die Antwortdatei wird zwar in aller Regel mit Unattend.txt benannt, kann jedoch umbenannt werden. (Bei Comp1.txt, Install.txt und Setup.txt handelt es sich beispielsweise um gültige Namen für eine Antwortdatei, wenn sie im Befehl setup ordnungsgemäß angegeben wurden.) Hierdurch können Sie mehrere Antwortdateien erstellen und verwenden, wenn verschiedene Skriptinstallationen für unterschiedliche Bereiche einer Organisation benötigt werden. Beachten Sie, dass Antwortdateien auch von anderen Programmen, z. B. Sysprep, verwendet werden, bei denen die optionale Datei Sysprep.inf eingesetzt wird. Die Antwortdatei gibt Setup vor, wie die Interaktion mit den erstellten Distributionsordnern und Dateien stattfinden soll. In dem Abschnitt [Unattend] der Antwortdatei befindet sich z. B. der Eintrag „OEMPreinstall“, über den Setup angewiesen wird, die $OEM$-Unterordner aus den Distributionsordnern auf den Zielcomputer zu kopieren.
446
Teil IV Windows 2000 – Aktualisierung und Installation
Die Antwortdatei umfasst mehrere optionale Abschnitte, die so bearbeitet werden können, dass Daten zu den Installationsanforderungen zur Verfügung stehen. Die Antwortdatei enthält Antworten auf alle Fragen für Setup, die während einer interaktiven Standardinstallation von Windows 2000 angezeigt werden. Die Datei Unattend.doc enthält umfassende Daten zu den Antwortdateischlüsseln und -werten. Weitere Informationen zu den Abschnitten und den entsprechenden Parametern bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem -CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früheren Versionen bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Um eine unbeaufsichtigte Installation von Windows 2000 Server durchzuführen, muss eine Antwortdatei erstellt werden, und diese Datei muss beim Starten der Installation entweder mit Hilfe der Boot-CD-Methode oder durch Ausführen von Winnt.exe bzw. Winnt32.exe angegeben werden. Im Folgenden wird ein Beispiel für den Befehl Setup mit Hilfe von Winnt.exe aufgeführt: Winnt /S:Z:\I386 /U:Z:\unattend.txt
Beachten Sie die Verwendung der Befehlszeilenoption /U:, über die eine unbeaufsichtigte Installation angegeben wird, wenn sie in Verbindung mit dem Befehl Winnt verwendet wird (bei /unattend handelt es sich um den mit dem Befehl Winnt32 verwendeten Parameter, über den Setup zum Ausführen im unbeaufsichtigten Modus aufgefordert wird). Weitere Informationen zu Winnt.exe und Winnt32.exe finden Sie unter „Überprüfen der Windows 2000 Setup-Befehle“ weiter unten in diesem Kapitel.
Erstellen der Antwortdatei Bei der Antwortdatei handelt es sich um ein benutzerdefiniertes Skript, das zum Ausführen einer unbeaufsichtigten Installation von Windows 2000 Server verwendet werden kann. Es gibt zwei Möglichkeiten, eine Antwortdatei zu erstellen: Sie können entweder den Installations-Manager verwenden oder die Datei manuell erstellen.
Erstellen der Antwortdatei mit Hilfe des Installations-Managers Auf der CD zu Microsoft® Windows® 2000 Server – Die technische Referenz im Ordner \Support\Tools in der Datei Deploy.cab steht der Installations-Manager zum Erstellen oder Bearbeiten der Antwortdatei zur Verfügung. Mit Hilfe des Installations-Managers wird das Erstellen oder Aktualisieren der Antwortdatei konsistent. Sie können den Installations-Manager verwenden, um folgende Aufgaben durchzuführen, so dass die Ergebnisse als Parameter der Antwortdatei erstellt werden: ? Festlegen der Plattform für die Antwortdatei (Microsoft® Windows® 2000
Professional, Windows 2000 Server, Remoteinstallation des Betriebssystems oder Sysprep). ? Festlegen der Automatisierungsstufen für den unbeaufsichtigten Installationsmodus. (Diese Stufen umfassen „Standardeinstellungen angeben“, „Vollautomatisiert“, „Seiten ausblenden“, „Schreibgeschützt“ und „GUI-gesteuert“.)
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
447
? Festlegen der Standardbenutzerdaten. ? Festlegen der Optionen für Computernamen, u. a. Erstellen einer UDF-Datei
zum Zugreifen auf eine Datei mit gültigem Computernamen. ? Konfigurieren der Netzwerkeinstellungen. ? Erstellen von Distributionsordnern. ? Hinzufügen eines benutzerdefinierten Logos und Hinzufügen von
Hintergrunddateien. ? Hinzufügen von Dateien zu den Distributionsordnern. ? Hinzufügen von Befehlen zu dem Abschnitt [GuiRunOnce]. ? Erstellen der Cmdlines.txt-Dateien. ? Festlegen der Codepages. ? Festlegen der regionalen Optionen. ? Festlegen einer Zeitzone. ? Festlegen der TAPI-Informationen.
Folgende Funktionen können über den Installations-Manager nicht ausgeführt werden. ? Festlegen der Systemkomponenten, z. B. Internet-Informationsdienste. ? Erstellen der Txtsetup.oem-Dateien. ? Erstellen von Unterordnern in dem Distributionsordner.
In Tabelle 13.3 werden einige der am häufigsten verwendeten Spezifikationen für Antwortdateien aufgeführt, die mit Hilfe des Installations-Managers erstellt werden. Tabelle 13.3 Spezifikationen für Antwortdateien, die mit Hilfe des InstallationsManagers erstellt werden Parameter
Zweck
Installationspfad
Gibt den gewünschten Pfad auf dem Zielcomputer an, in dem Windows 2000 Server installiert werden soll. Gibt an, ob von Windows 95 oder Windows 98, Windows NT oder Windows 2000 aktualisiert werden soll.
Aktualisierungsoption
Name des Zielcomputers
Product ID Arbeitsgruppe oder Domäne Zeitzone Netzwerkkonfigurationsdate n
Gibt den Benutzernamen, den Organisationsnamen und den Computernamen an, der auf den Zielcomputer angewendet werden soll. Gibt die Produktkennung an, die aus der Produktdokumentation ersichtlich ist. Gibt den Namen der Arbeitsgruppe oder Domäne an, der der Computer angehört. Gibt die Zeitzone für den Computer an. Gibt den Netzwerkkartentyp und die Konfiguration mit Netzwerkprotokollen an.
448
Teil IV Windows 2000 – Aktualisierung und Installation
Anmerkung Beim Installieren von Windows 2000 Server müssen Domänencontroller nicht sofort erstellt werden. Sie können Mitgliedsserver erstellen und sie zu einem späteren Zeitpunkt mit Hilfe des Assistenten zum Installieren von Active Directory (dcpromo.exe) zu Domänencontrollern heraufstufen.
Manuelles Erstellen der Antwortdatei Sie können einen Texteditor, z. B. Editor, verwenden, um die Antwortdatei manuell zu erstellen. Im Allgemeinen besteht eine Antwortdatei aus Abschnittskopfzeilen, Parametern sowie den Werten für diese Parameter. Die meisten Abschnittskopfzeilen sind zwar vordefiniert, Sie können jedoch zusätzliche Abschnittskopfzeilen festlegen. Beachten Sie, dass in der Antwortdatei nicht alle möglichen Parameter angegeben werden müssen, wenn sie für die Installation nicht benötigt werden. Ungültige Parameterwerte führen zu Fehlern oder nicht ordnungsgemäßen Abläufen. Die Antwortdatei verfügt über folgendes Format: [Abschnitt1] ; ; Der Abschnitt enthält Schlüssel und die entsprechenden ; Werte für diese Schlüssel/Parameter. ; Schlüssel und Werte werden durch das Zeichen ' = ' voneinander getrennt. ; Werte mit Leerzeichen müssen in Anführungszeichen ; "" eingeschlossen werden. ; Schlüssel = Wert . . [Abschnitt2] Schlüssel = Wert . .
Verwenden der Antwortdatei zum Einrichten von Kennwörtern Für folgende Kennwortbefehle können die Parameter gesetzt werden, wenn die Antwortdatei bei der Installation verwendet wird: ? AdminPassword ? UserPassword ? DefaultPassword ? DomainAdminPassword ? AdminstratorPassword ? Password
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
449
Die Definitionen dieser Befehle finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früheren Versionen bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Ferner finden Sie einige Beispiele zu Antwortdateien, bei denen diese Parameter verwendet werden, im Anhang „Beispielantwortdateien für die unbeaufsichtigte Installation“ in diesem Buch. Anmerkung Kennwörter sind auf 127 Zeichen beschränkt. Wird ein Kennwort mit mehr als 127 Zeichen angegeben, kann keine Anmeldung am System vorgenommen werden, da das Kennwort ungültig ist. Nachdem die Installation abgeschlossen ist, bleibt zwar eine Antwortdatei mit allen zum Konfigurieren verwendeten Einstellungen auf dem Computer, die Kennwortdaten werden aus dieser Datei jedoch gelöscht, so dass die Sicherheit nicht gefährdet wird. Achtung Während des Installationsprozesses steht die Antwortdatei jedoch auf der Festplatte zur Verfügung. Bestehen Bedenken hinsichtlich der Sicherheit, fügen Sie der für die unbeaufsichtigte Installation erstellten Antwortdatei keine Kennwortdaten hinzu. Mit Hilfe der lokalen Antwortdatei können Sie die optionalen Komponenten automatisch einrichten, indem Sie Befehle ausführen, welche die Parameter enthalten, die in der ursprünglichen, während der Installation verwendeten Antwortdatei bereits zur Verfügung gestellt wurden. Diese Komponenten können das Konfigurieren des Servers als Domänencontroller bzw. als Clusterserver oder das Aktivieren von Message Queuing umfassen.
Erweitern von Festplattenpartitionen Sie können eine Installation auf einer kleinen Partition (etwa 1 Gigabyte auf einer größeren Festplatte) beginnen und diese Partition während des Installationsprozesses von Windows 2000 erweitern, indem Sie den Parameter ExtendOEMPartition in der Antwortdatei verwenden. Der Parameter ExtendOEMPartition kann nur bei NTFS-Partitionen verwendet werden; er kann sowohl in normalen Antwortdateien als auch in Antwortdateien verwendet werden, die für eine Sysprep-basierte Installation eingesetzt werden. Weitere Informationen zu Sysprep und der Datei Sysprep.inf finden Sie unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ an späterer Stelle in diesem Kapitel.
450
Teil IV Windows 2000 – Aktualisierung und Installation
Anmerkung ExtendOEMPartition kann nur auf der aktiven Systempartition verwendet werden. Dieser Parameter kann weder auf anderen Partitionen auf derselben Festplatte noch auf anderen Festplatten in dem Computer verwendet werden. Ferner wird der verbleibende Festplattenspeicherplatz erweitert, wenn ExtendOemPartition=1 verwendet wird, wobei der letzte Zylinder leer bleibt. Dies ist vorgegeben, damit Sie dynamische Datenträger aktivieren können. Wird ExtendOEMPartition während einer unbeaufsichtigten Installation auf einer FAT-Partition (Dateizuordnungstabelle, File Allocation Table) verwendet, muss im Abschnitt [Unattended] der Antwortdatei der Eintrag File System=ConvertNTFS angegeben werden, um die Partition zunächst in NTFS umzuwandeln. Wird ExtendOEMPartition für eine Sysprep-basierte Installation verwendet, finden Sie weitere Informationen unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ an späterer Stelle in diesem Kapitel. Weitere Informationen zum Verwenden von ExtendOEMPartition finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früheren Versionen bzw. unter MS -DOS den Befehl Extract, um auf diese Datei zuzugreifen.
Verwenden der Antwortdatei mit dem Assistenten zum Installieren von Active Directory Nach dem Installieren von Windows 2000 Server können Sie mit Hilfe des Assistenten zum Installieren von Active Directory den Prozess zum Erstellen eines Domänencontrollers automatisieren. Hierfür stehen zwei Methoden zur Verfügung: ? Ausführen des folgenden Befehls aus dem Abschnitt [GuiRunOnce] der
Antwortdatei Unattend.txt: dcpromo.exe ? Erstellen einer besonderen Antwortdatei mit Hilfe des Befehls, der im Abschnitt
[DCInstall] des Anhangs „Beispielantwortdateien für die unbeaufsichtigte Installation“ beschrieben ist, und Ausführen des folgenden Befehls: dcpromo.exe /answer:Antwortdateiname Weitere Informationen zu dem Assistenten zum Installieren von Active Directory finden Sie unter „Bestimmen der Strategie für die Domänenmigration“ in diesem Buch.
Überprüfen der Setup-Befehle für Windows 2000 Zum Installieren von Windows 2000 muss das entsprechende Windows 2000Setupprogramm, entweder Winnt.exe oder Winnt32.exe, ausgeführt werden. In diesem Kapitel werden Winnt.exe und Winnt32.exe als „Setup“ bezeichnet. Der benötigte Setuptyp ergibt sich wie folgt:
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
451
? Führen Sie Winnt.exe über die MS-DOS-Befehlszeile aus, wenn eine Neuin-
stallation auf einem Computer unter MS-DOS oder Microsoft ® Windows® 3.x ausgeführt werden soll. ? Führen Sie Winnt32.exe aus, wenn eine Neuinstallation oder eine Aktualisierung von Windows NT, Windows 95 oder Windows 98 durchgeführt werden soll. Beachten Sie, dass ein interaktives Standardsetup direkt von den Bootdisketten durchgeführt werden kann, die mit der CD zu Windows 2000 Server ausgeliefert werden. Achtung Wenn Sie vor der Aktualisierung auf Windows 2000 Anwendungen auf dem Computer aktualisieren, führen Sie unbedingt einen Neustart durch, bevor Sie Setup ausführen. Weitere Informationen zu den Installationsmethoden finden Sie unter „Automatisieren der Installation von Windows 2000 Server“ an späterer Stelle in diesem Kapitel.
Winnt.exe Der Befehl Winnt.exe mit den Parametern, die für automatisierte Installationen gelten, lautet wie folgt: winnt [/S[:Quellpfad]][/T[:tempdrive]]/U[:Antwortdatei]][/R[x]:Ordner] [/E:Befehl] Informationen zu den Parameterdefinitionen und der Befehlssyntax finden Sie im Anhang „Setup-Befehle“ in dieser Dokumentation. Bei Festplattenlaufwerken mit mehreren Partitionen wird Windows 2000 über die Winnt.exe-Version von Setup auf die aktive Partition installiert, wenn die Partition über genügend Speicherplatz verfügt. Andernfalls wird über Setup nach weiteren Partitionen gesucht, die über ausreichend Speicherplatz verfügen, und Sie werden aufgefordert, die gewünschte Partition auszuwählen. Bei automatisierten Installationen können Sie die Eingabeaufforderung überspringen, indem Sie Setup mit dem Parameter /T ausführen, so dass automatisch auf die gewünschte Partition gezeigt wird. Dies kann beispielsweise folgendermaßen vorgenommen werden: winnt [/unattend] [:\answer.txt] [/T[:d]]
Winnt32.exe Der Befehl Winnt32.exe mit den Parametern, die für automatisierte Installationen gelten, lautet wie folgt: winnt32 [/s:Quellpfad] [/tempdrive:Laufwerkbuchstabe] [/unattend[num][:Antwortdatei]] [/copydir:Ordnername] [/copysource:Ordnername] [/cmd:Befehlszeile] [/debug[Ebene][:Dateiname]] [/udf:id[,UDB-Datei]] [/syspart:Laufwerkbuchstabe] [/noreboot] [/makelocalsource] [/checkupgradeonly] [/m:Ordnername]
452
Teil IV Windows 2000 – Aktualisierung und Installation
Informationen zu den Parameterdefinitionen und der Befehlssyntax finden Sie im Anhang B, „Setup-Befehle“, in diesem Buch. Bei Festplattenlaufwerken mit mehreren Partitionen wird Windows 2000 über die Winnt32.exe-Version von Setup auf die aktive Partition installiert, wenn die Partition über genügend Speicherplatz verfügt. Andernfalls wird über Setup nach weiteren Partitionen gesucht, die über ausreichend Speicherplatz verfügen, und Sie werden aufgefordert, die gewünschte Partition auszuwählen. Bei automatisierten Installationen können Sie die Eingabeaufforderung überspringen, indem Sie Setup mit dem Parameter /tempdrive ausführen, so dass automatisch auf die gewünschte Partition gezeigt wird. Dies kann beispielsweise folgendermaßen vorgenommen werden: winnt32 [/unattend] [:\answer.txt] [/tempdrive:d]
Über Windows 2000 können bis zu acht /s-Optionen verwendet werden, die auf andere Verteilungsserver als Quellverzeichnisse für die Installation auf dem Zielcomputer zeigen. Hierdurch kann das Kopieren auf den Zielcomputer während des Setups beschleunigt werden, und die Verteilungsserver, über die Setup ausgeführt werden kann, erhalten zusätzliche Möglichkeiten zum Lastenausgleich. Dies kann beispielsweise folgendermaßen vorgenommen werden: \winnt32 [/unattend] [:\answer.txt] [/s:] [/s:] [/s:
In Tabelle 13.4 werden die Setup-Befehle sowie ihre Verwendung unter Windows 2000 aufgeführt. Tabelle 13.4 Verwenden der Setup-Befehle Setup-Befehl
Windows 2000 Version
Aktualisierung
Neuinstallation
Winnt.exe Winnt32.exe
Server und Professional Server und Professional
Nein Ja
Ja Ja
Automatisieren der Installation von Serveranwendungen Nachdem die kritischen Planungsfaktoren abgedeckt wurden, können Sie entscheiden, wie die Installation von Serveranwendungen automatisiert werden soll. In fast allen Fällen empfiehlt es sich, zum Installieren einer Anwendung die Features für die unbeaufsichtigte Installation zu verwenden. Sie können eine der folgenden Möglichkeiten auswählen: ? Cmdlines.txt ? Ausführen des Installationsprogramms für die Anwendung oder der Batchdatei
aus dem Abschnitt [GuiRunOnce] der Antwortdatei.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
453
Verwenden von Cmdlines.txt Die Datei Cmdlines.txt enthält die Befehle, die über den GUI-Modus beim Installieren optionaler Komponenten verwendet werden, z. B. bei Anwendungen, die unmittelbar nach dem Installieren von Windows 2000 Server installiert werden müssen. Wenn Cmdlines.txt verwendet werden soll, muss diese Datei im Unterordner \$OEM$ des Distributionsordners gespeichert werden. Speichern Sie Cmdlines.txt im Unterordner \$OEM$\$1\Sysprep, wenn Sysprep verwendet werden soll. Verwenden Sie unter folgenden Bedingungen die Datei Cmdlines.txt: ? Die Installation wird aus dem Unterordner \$OEM$ des Distributionsordners
durchgeführt. ? Die zu installierende Anwendung verfügt über folgende Eigenschaften: ? Sie wird nicht automatisch für mehrere Benutzer konfiguriert, z. B.
Microsoft® Office 95. oder
? Sie ist dafür ausgelegt, durch einen Benutzer installiert zu werden und
benutzerspezifische Daten zu replizieren. Die Syntax für Cmdlines.txt lautet: [Commands] "Befehl_1" "Befehl_2" . . "Befehl_x" Die Parameter werden folgendermaßen festgelegt: ? " Befehl_1 ", "Befehl_2 ", … " Befehl_x" bezieht sich auf die Befehle, die
ausgeführt werden sollen (und auf die Reihenfolge), wenn über den GUIModus die Datei Cmdlines.txt aufgerufen wird. Beachten Sie, dass alle Befehle zwischen Anführungszeichen stehen müssen. Beachten Sie beim Verwenden von Cmdlines.txt die folgenden Faktoren: ? Werden während des Setups die Befehle in der Datei Cmdlines.txt ausgeführt,
gibt es keine angemeldeten Benutzer, und die Netzwerkverbindung ist nicht gewährleistet. Daher werden benutzerspezifische Daten in die Standardbenutzerregistrierung geschrieben, und alle folgenden erstellten Benutzer erhalten ebenfalls diese Daten. ? Für die Datei Cmdlines.txt ist es erforderlich, dass die zum Ausführen einer Anwendung oder eines Tools erforderlichen Dateien in einem Verzeichnis gespeichert werden, auf das während des Installationsprozesses zugegriffen werden kann; dies bedeutet, dass die Dateien auf der Festplatte gespeichert sein müssen.
454
Teil IV Windows 2000 – Aktualisierung und Installation
Verwenden des Abschnitts [GuiRunOnce] der Antwortdatei Der Abschnitt [GuiRunOnce] der Antwortdatei enthält eine Liste der Befehle, die ausgeführt werden, wenn ein Benutzer sich zum ersten Mal an dem Computer anmeldet, nachdem Setup ausgeführt wurde. Geben Sie in dem Abschnitt [GuiRunOnce] z. B. folgende Zeile ein, um das Installationsprogramm für die Anwendung automatisch zu starten: [GuiRunOnce] "%systemdrive%\ \ -quiet"
Soll [GuiRunOnce] zum Starten einer Installation verwendet werden, müssen noch weitere Faktoren beachtet werden: Wird über die Anwendung ein Neustart ausgelöst, bestimmen Sie, ob es eine Möglichkeit gibt, den Neustart zu unterdrücken. Dies ist wichtig, da bei jedem Neustart alle vorherigen Einträge im Abschnitt [GuiRunOnce] verloren gehen. Wird das System neu gestartet, bevor die zuvor im Abschnitt [GuiRunOnce] aufgeführten Einträge abgeschlossen wurden, werden die verbleibenden Elemente nicht ausgeführt. Besteht in der Anwendung keine Möglichkeit, den Neustart zu unterdrücken, können Sie die Anwendung in einem Windows-Installationspaket neu packen. Produkte mit dieser Funktionalität werden von Fremdanbietern zur Verfügung gestellt. Im Lieferumfang von Windows 2000 ist WinINSTALL LE (Limited Edition) enthalten, ein Tool zum Neupacken von Anwendungen für Windows Installer. Mit Hilfe von WinINSTALL LE können Sie ältere Anwendungen, die noch nicht mit Windows Installer erstellt wurden, in Pakete packen, die über Windows Installer verteilt werden können. Weitere Informationen zu WinINSTALL LE finden Sie im Ordner \Valueadd\3rdparty\Mgmt\Winstle auf der CD zu Windows 2000 Server. Weitere Informationen zum Packen mit Hilfe von Windows Installer finden Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch. Wichtig Wenn Sie eine Anwendung in mehreren lokalisierten Versionen von Windows 2000 installieren, wird empfohlen, die erneut gepackte Anwendung mit der lokalisierten Version zu testen, um sicherzustellen, dass die Dateien an den korrekten Speicherort kopiert und die erforderlichen Registrierungseinträge entsprechend vorgenommen werden. Wird für die Installation einer Anwendung eine Windows Explorer-Shell benötigt, kann der Abschnitt [GuiRunOnce] nicht verwendet werden, da die Shell nicht geladen wird, wenn die Run- und RunOnce-Befehle ausgeführt werden. Erkundigen Sie sich bei dem Hersteller der Anwendung, ob hierzu eine Aktualisierung oder ein Patch zur Verfügung steht. Ist dies nicht der Fall, können Sie die Anwendung als Windows-Installationspaket packen oder eine andere Möglichkeit zum Verteilen verwenden.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
455
Anwendungen, bei denen dieselbe Installationsweise verwendet wird, werden möglicherweise nicht ordnungsgemäß ausgeführt, wenn kein /wait-Befehl verwendet wird Dies kann vorkommen, wenn eine Anwendungsinstallation ausgeführt und ein anderer Prozess gestartet wird. Wenn die Setup-Routine ausgeführt wird, kann das Starten eines anderen Prozesses und das Schließen des aktiven Prozesses dazu führen, dass die nächste Routine, die in den RunOnce-Registrierungseinträgen aufgeführt wird, gestartet wird. Da mehrere Instanzen des Installationsmechanismus ausgeführt werden, schlägt die zweite Anwendung in aller Regel fehl. Ein Beispiel zum Steuern dieses Vorgangs mit Hilfe einer Batchdatei finden Sie unter „Verwenden einer Batchdatei zum Steuern der Installationsweise bei mehreren Anwendungen“ an späterer Stelle in diesem Kapitel.
Verwenden von Anwendungsinstallationsprogrammen Die beste Methode zum Vorinstallieren einer Anwendung besteht darin, die im Lieferumfang der Anwendung enthaltene Routine zu verwenden. Dies ist möglich, wenn die betreffende Anwendung ohne Rückfrage (ohne Benutzereingriff) ausgeführt werden kann. Verwenden Sie dazu die Befehlszeilenoption /q oder /s. Eine Liste der vom Installationsmechanismus unterstützten Befehlszeilenparameter finden Sie in der Onlinehilfe bzw. der Dokumentation zu der jeweiligen Anwendung. Im Folgenden finden Sie ein Beispiel für eine Zeile, die Sie im Abschnitt [GuiRunOnce] einfügen können, um die unbeaufsichtigte Installation einer Anwendung mit Hilfe ihres eigenen Installationsprogramms zu starten. \Setup.exe /q
Die Setupparameter sind für die verschiedenen Anwendungen unterschiedlich. Der in einigen Anwendungen enthaltene /l-Parameter ist z. B. nützlich, wenn eine Protokolldatei zum Überwachen der Installation angelegt werden soll. Einige Anwendungen verfügen über Befehle, über die ein automatischer Neustart verhindert wird. Dies ist hilfreich beim Steuern von Anwendungsinstallationen, so dass möglichst selten neu gestartet wird. Stellen Sie vor dem Vorinstallieren einer Anwendung sicher, dass bei dem Hersteller alle notwendigen Informationen, Tools und optimalen Methoden erfragt wurden. Wichtig Für alle installierten Anwendungen muss unabhängig von der Installationsweise den Lizenzierungsanforderungen entsprochen werden.
Verwenden einer Batchdatei zum Steuern der Installationsweise bei mehreren Anwendungen Soll die Installationsweise mehrerer Anwendungen gesteuert werden, können Sie eine Batchdatei erstellen, die die einzelnen Installationsbefehle enthält und den Befehl Start mit der Befehlszeilenoption /wait verwendet. Mit dieser Methode wird sichergestellt, dass die Anwendungen nacheinander installiert werden und dass mit der nächsten Installationsroutine erst begonnen wird, nachdem eine Anwendung vollständig installiert wurde. Die Batchdatei wird dann aus dem Abschnitt [GuiRunOnce] ausgeführt.
456
Teil IV Windows 2000 – Aktualisierung und Installation
Im folgenden Verfahren wird erläutert, wie die Batchdatei erstellt und die Anwendung installiert wird und wie nach Abschluss der Installation alle Verweise auf die Batchdatei entfernt werden. ? So installieren Sie Anwendungen mit Hilfe einer Batchdatei 1. Erstellen Sie eine Batchdatei mit Zeilen, die folgendem Beispiel entsprechen: Start /wait \<Setup> Start /wait \<Setup> Exit
Dabei gilt Folgendes: ? ist der Pfad zu der ausführbaren Datei, über welche die Installation gestartet wird. Dieser Pfad muss während des Setups zur Verfügung stehen. ? <Setup> ist der Name der ausführbaren Datei, über welche die Installation gestartet wird. ? sind alle zur Verfügung stehenden Parameter im stillen Modus, die für die zu installierende Anwendung geeignet sind. 2. Kopieren Sie die Batchdatei in den Distributionsordner oder einen anderen Speicherort, auf den während des Setups zugegriffen werden kann. 3. Fügen Sie entsprechend dem folgenden Beispiel dem Abschnitt [GuiRunOnce] in der Antwortdatei einen Eintrag hinzu, um die Batchdatei auszuführen, wobei es sich bei .bat um den Namen der Batchdatei handelt. Bei dem Beispiel wird davon ausgegangen, dass die Batchdatei in den Sysprep-Ordner auf der lokalen Festplatte kopiert wurde. Sie kann aber an einem beliebigen Ort gespeichert sein, auf den über Setup während einer Installation zugegriffen werden kann. [GuiRunOnce] "%systemdrive%\sysprep\.bat" "\.exe" "\.exe" "%systemdrive%\sysprep\sysprep.exe -quiet"
Dabei gilt Folgendes: ? Bei \ und \ handelt es sich um vollqualifizierte Pfade zu weiteren Anwendungen, Dienstprogramminstallationen oder Konfigurationsprogrammen. Dies kann auch ein Pfad zu einer anderen Batchdatei sein. Diese Pfade müssen während des Setups zur Verfügung stehen.
Automatisieren der Installation von Windows 2000 Server In der Firmenumgebung ist es kostenintensiv, für jeden Computer die interaktive Standardinstallation von Windows 2000 zu verwenden. Sie können automatisierte Installationen von Windows 2000 Server auf mehreren Computern durchführen, um die Gesamtbetriebskosten erheblich zu senken.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
457
Sie können die Installation der folgenden Komponenten automatisieren: ? Das Kernbetriebssystem von Windows 2000 Server. ? Alle Anwendungen, die nicht als Dienst ausgeführt werden. ? Zusätzliche Sprachunterstützung für Windows 2000 Server durch das
Installieren verschiedener Sprachpakete. ? Service Packs für Windows 2000 Server.
Die automatisierte Installation von Windows 2000 Server umfasst das Ausführen von Setup mit einer Antwortdatei. Setup kann unbeaufsichtigt durchgeführt werden. Ein unbeaufsichtigtes Setup umfasst folgende Schritte: ? Erstellen einer Antwortdatei. ? Bestimmen und Implementieren eines Prozesses zum Konfigurieren
computerspezifischer Daten. ? Bestimmen und Implementieren eines Prozesses zum Automatisieren der ausgewählten Verteilungsmethode, z. B. Verwenden eines Netzwerkverteilungspunktes oder Duplizieren der Festplatte.
Neue Optionen für die automatisierte Installation Bei der automatisierten Installation unter Windows 2000 stehen in der Antwortdatei zahlreiche neue Optionen zur Verfügung, über die gesteuert werden kann, wie und mit welchen Komponenten die Installation ausgeführt werden soll. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem -CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früheren Versionen bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Flexible Netzwerke Unter Windows 2000 stehen für jeden Computer flexible Netzwerkkonfigurationen zur Verfügung, u. a. zusätzliche Unterstützung für Protokolle, Dienste und Clients. Die Bindungsreihenfolge kann festgelegt werden, so dass die Standarddaten problemlos eingestellt und mehrere Netzwerkkarten in einem System installiert werden können. Ferner können über Windows 2000 die Netzwerkgerätetreiber automatisch installiert und konfiguriert werden. Standardmäßig wird über Windows 2000 für jede Netzwerkkarte eines Systems eine Standardkomponente installiert, wenn in der Antwortdatei keine anderen Angaben festgelegt wurden. Zu den Standardnetzwerkkomponenten gehören Client für Microsoft-Netzwerke, TCP/IP, Datei- und Druckerfreigabe für MicrosoftNetzwerke und Aktivieren von Dynamic Host Configuration Protocol (DHCP).
458
Teil IV Windows 2000 – Aktualisierung und Installation
Automatische Anmeldung Sie können die Antwortdatei so anpassen, dass über den Computer beim ersten Startvorgang bzw. bei einer festgelegten Anzahl von Startvorgängen von Windows 2000 automatisch eine Anmeldung als Administrator durchgeführt wird, nachdem die Installation abgeschlossen ist. Soll über Windows 2000 eine bestimmte Anzahl von Anmeldungen automatisch durchgeführt werden, um Tasks in den RunOnce-Einträgen auszuführen, muss in der Antwortdatei ein Administratorkennwort (AdminPassword) angegeben werden, das nicht leer sein darf. Sie können dann AutoAdminLogonCount verwenden, um anzugeben, wie oft über das System eine automatische Anmeldung zum Abschließen der gewünschten Tasks durchgeführt werden muss. Wird ein leeres Kennwort verwendet, kann über das System nur einmal eine automatische Anmeldung durchgeführt werden, ohne dass für jeden folgenden Neustart Anmeldeinformationen über andere Wege angegeben werden. Hierdurch wird das Sicherheitsrisiko verringert. Beachten Sie, dass Anmeldeinformationen für Administratorkonten in einer Textdatei immer ein Sicherheitsrisiko darstellen, wenn ein Benutzer auf diese Datei zugreift. Automatische Ausführung von Befehlen Der Abschnitt [GuiRunOnce] einer Antwortdatei umfasst eine Liste mit Befehlen, die nach Abschluss des GUI-Modus als Teil der Installation aufeinander folgend ausgeführt werden. Mit Hilfe von [GuiRunOnce] können Sie Listen mit zu installierenden Anwendungen, Dienstprogrammen zum Konfigurieren des Systems oder anderen Tools angeben, die bei der ersten Anmeldung auf dem installierten Computer ausgeführt werden. Vereinfachte Angabe der Zeitzone In der Antwortdatei können Sie die Zeitzone für den Computer problemloser und mit weniger Debugging-Aufwand angeben, als dies bei Windows NT erforderlich war. Durch das Auflisten möglicher Zeitzonen werden potenzielle Fehlerquellen vermieden, da nicht mehr die gesamte Zeichenkette für die Zeitzone eingegeben werden muss. Erweiterte Einstellungen für Regionen und Sprache In der Antwortdatei können Sie die zu installierenden lokalen System- und Benutzereinstellungen, die Tastatur- und Eingabemethode sowie die Sprachunterstützung festlegen. Der InstallationsManager ist auch hierbei hilfreich, indem die GUI-Oberfläche des Assistenten verwendet werden kann, um die auf dem System zu installierenden Einstellungen auszuwählen. VereinfachteGerätevorinstallation Mit der Einführung des Plug & Play, des OemPnPDriversPath-Schlüssels und der neuen Verteilungsstruktur für Laufwerksfreigaben ist das Vorinstallieren von Geräten heute so problemlos wie das Hinzufügen der neuen Treiber in einen Ordner auf der Verteilungsfreigabe und das Festlegen des OemPnPDriversPath-Schlüssels.
Methoden für automatisierte Installationen Sie können eine automatisierte Installation von Windows 2000 Server nach mehreren Methoden ausführen. Die ausgewählte Methode hängt vom Ergebnis der weiter oben in diesem Kapitel behandelten kritischen Planung ab. Für automatisierte Installationen auf Servern stehen folgende Methoden zur Verfügung: ? Verwenden von Syspart auf Computern mit unterschiedlicher Hardware. ? Verwenden von Sysprep zum Duplizieren von Festplatten. ? Verwenden von Systems Management Server.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung ? Verwenden einer Boot-CD.
459
460
Teil IV Windows 2000 – Aktualisierung und Installation
In Tabelle 13.5 wird aufgeführt, wann die jeweiligen Methoden für automatisierte Installationen verwendet werden. Tabelle 13.5 Verwenden der Methoden für automatisierte Installationen Methode
Verwendung
Syspart
Syspart wird für Neuinstallationen auf Computern mit unterschiedlicher Hardware verwendet. Sysprep wird verwendet, wenn der Hauptcomputer und der Zielcomputer über die gleiche Hardware verfügen; hierzu zählen auch die HAL und Massenspeichergerätecontroller.
Sysprep
Systems Management Server
Systems Management Server wird verwendet, um verwaltete Aktualisierungen von Windows 2000 Server für mehrere Systeme durchzuführen, vor allem für Systeme, die sich an verschiedenen geographischen Standorten befinden.
Boot-CD
Boot-CDs werden bei Computern verwendet, deren BIOS das Starten von CD zulässt.
Wenn Ihr System 2GB RAM oder mehr aufweist, erstellen Sie für einen KernelDump eine REG-Datei, um die CrashDumpEnabled-Einstellungen festzulegen. ? So legen Sie CrashDumpEnabled in einer REG-Datei fest 1. Öffnen Sie Editor. 2. Geben Sie folgende Daten ein: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl] "CrashDumpEnabled"=dword:00000002
2. Speichern Sie die Datei unter dem Namen CrshDump.Reg. Anmerkung Wenn Sie eine automatische Installation auf einem Computer durchführen, auf dem Sie den Crash-Dump-Modus auf Kernel-Dump stellen möchten, fügen Sie Folgendes im Abschnitt [GuiRunOnce] der Antwortdatei ein: Regedit /s Pfad\CrshDump.reg
Pfad ist hier der Pfad auf der lokalen Festplatte, unter dem die Datei CrshDump.reg gespeichert ist. Regedit /s Pfad\CrshDump.reg
Pfad ist hier der Pfad auf der Festplatte des Computers, unter dem die Datei CrshDump.reg gespeichert ist. Sie können für das Festlegen der Crash-DumpOption auch ein .inf verwenden.
Verwenden von Syspart auf Computern mit unterschiedlicher Hardware Syspart wird über einen optionalen Parameter von Winnt32.exe ausgeführt. Verfügen der Hauptcomputer und die Computer, auf denen Windows 2000 Server installiert wird, nicht über die gleiche Hardware, kann die Syspart-Methode verwendet werden. Bei dieser Methode wird auch die Einrichtungszeit verringert, da während der Installation die Kopierphase für die Dateien ausgelassen wird.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
461
Für Syspart müssen zwei physikalische Datenträger verwendet werden, wobei auf der Zielfestplatte eine primäre Partition erforderlich ist. Sind für Hardwaretypen mit unterschiedlichen HALs oder Massenspeichergerätecontrollern die gleichen Installationen und Konfigurationen des Betriebssystems gewünscht, können Sie Syspart verwenden, um einen Hauptsatz an Dateien mit den notwendigen Konfigurationseinstellungen und der entsprechenden Treiberunterstützung zu erstellen, von denen dann Abbilder erzeugt werden können. Diese Abbilder können dann auf den unterschiedlichen Systemen verwendet werden, um die Hardware ordnungsgemäß zu erkennen und das Betriebssystem konsistent zu konfigurieren. Umfasst eine Umgebung mehrere Typen hardwareabhängiger Systeme, können Sie Syspart verwenden, um für jeden Typ ein Mastersystem zu erstellen. Installieren Sie Windows 2000 jeweils auf einem Computertyp, und verwenden Sie dann Sysprep, um Abbilder zu erstellen, die für die restlichen Computertypen verwendet werden. Weitere Informationen zu Sysprep finden Sie unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ weiter unten in diesem Kapitel. Wählen Sie einen Computer aus, der als Referenzcomputer verwendet werden soll. Auf dem Referenzcomputer muss entweder Windows NT oder Windows 2000 installiert sein. ? So installieren Sie Windows 2000 Server mit Hilfe von Syspart 1. Starten Sie den Referenzcomputer, und stellen Sie eine Verbindung zu dem Distributionsordner her. 2. Führen Sie Setup aus. Klicken Sie zunächst auf Start, dann auf Ausführen, und geben Sie dann Folgendes ein: winnt32 /unattend:unattend.txt /s:Installationsquelle /syspart:zweites_Laufwerk /tempdrive:zweites_Laufwerk /noreboot
Wichtig Für eine erfolgreiche Syspart-Installation muss der Parameter /tempdrive verwendet werden. Wenn Sie die Option /tempdrive verwenden, stellen Sie sicher, dass auf der zweiten Partition genügend freier Plattenspeicher zum Installieren von Windows 2000 Server und den gewünschten Anwendungen zur Verfügung steht. Die Geometrie der Festplatte, die als Ziel für Syspart verwendet werden soll, muss der Geometrie der Festplatte auf dem Computer entsprechen, auf den dupliziert werden soll. Beachten Sie, dass die Optionen /syspart und /tempdrive auf dieselbe Partition einer sekundären Festplatte zeigen müssen. Die Installation von Windows 2000 Server muss auf der primären Partition der sekundären Festplatte durchgeführt werden. Achtung Über Syspart wird das Laufwerk automatisch als aktiv und als Standardbootgerät gekennzeichnet. Entfernen Sie das Laufwerk daher, ehe Sie den Computer erneut einschalten. Die Parameter sind folgendermaßen definiert: Unattend.txt. Die Antwortdatei, die für eine unbeaufsichtigte Installation verwendet wird. Sie bietet Antworten auf einige oder alle Fragen, die dem
462
Teil IV Windows 2000 – Aktualisierung und Installation
Benutzer in aller Regel während der Installation angezeigt werden. Beim Erstellen des Hauptabbildes ist das Verwenden einer Antwortdatei optional. Installationsquelle. Der Speicherort der Dateien zu Windows 2000 Server. Geben Sie mehrere /s-Optionen an, wenn von mehreren Quellen gleichzeitig installiert werden soll. zweites Laufwerk. Ein optionales zweites Laufwerk, auf dem Windows 2000 und Anwendungen vorinstalliert werden können.
Verwenden von Sysprep zum Duplizieren von Festplatten Das Duplizieren von Festplatten bietet sich an, wenn auf mehreren Computern die gleiche Konfiguration installiert werden soll. Installieren Sie Windows 2000 und alle Anwendungen, die auf den Zielcomputern installiert werden sollen, auf einem Hauptcomputer. Führen Sie dann Sysprep und das Dienstprogramm eines Fremdanbieters aus, das zum Herstellen von Festplattenabbildern verwendet werden kann. Über Sysprep wird die Festplatte auf dem Hauptcomputer so vorbereitet, dass über dieses Dienstprogramm das Abbild der Festplatte auf die anderen Computer übertragen werden kann. Im Vergleich zu Standardinstallationen oder Installationen mit Skripts wird bei dieser Methode die Einrichtungszeit erheblich verkürzt. Um Sysprep zu verwenden, müssen der Hauptcomputer und die Zielcomputer über die gleichen HALs, die gleiche ACPI-Unterstützung (Advanced Configuration and Power Interface) und die gleichen Massenspeichergerätecontroller verfügen. Über Windows 2000 werden Plug & Play-Geräte automatisch erkannt, und über Sysprep werden die Geräte auf dem System erneut erkannt und aufgeführt, wenn der Computer nach dem Ausführen von Sysprep eingeschaltet wird. Dies bedeutet, dass auf dem Hauptcomputer und den Zielcomputern verschiedene Plug & Play-Geräte, z. B. Netzwerkkarten, Modems, Grafikkarten und Soundkarten, verwendet werden können. Der Hauptvorteil einer SysprepInstallation besteht in der Geschwindigkeit. Das Abbild kann gepackt und komprimiert werden, und nur die Dateien, die für bestimmte Konfigurationen erforderlich sind, werden als Teil des Abbilds erstellt. Ebenfalls erstellt werden zusätzliche Plug & Play-Treiber, die möglicherweise für andere Systeme benötigt werden. Das Abbild kann auch auf eine CD kopiert und an Remotestandorte verteilt werden, die über langsame Verbindungen verfügen. Anmerkung Da für die Haupt- und Zielcomputer die gleichen HALs, die gleiche ACPI-Unterstützung und die gleichen Massenspeichergerätecontroller erforderlich sind, müssen für die Umgebung mehrere Abbilder verwaltet werden. Mit Hilfe von Sysprep können Sie ein Hauptbild konfigurieren, das die notwendigen Komponenten für einen Mitgliedsserver enthält; dann können Sie den Server zu einem späteren Zeitpunkt konfigurieren und zu einem Domänencontroller heraufstufen. Dies kann entweder manuell oder durch Ausführen der Befehle im Abschnitt [GuiRunOnce] der Datei Sysprep.inf vorgenommen werden. Weitere Informationen zu der Datei Sysprep.inf finden Sie unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ weiter unten in diesem Kapitel. Wichtig Erkundigen Sie sich bei dem Softwarehersteller, ob durch das Duplizieren
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
463
der Festplatte gegen Lizenzvereinbarungen hinsichtlich der Installation der zu duplizierenden Software verstoßen wird.
Überblick über den Sysprep-Prozess In diesem Abschnitt wird der Prozess zum Erstellen eines Quellcomputers beschrieben, der zum Duplizieren der Festplatte verwendet werden soll. 1. Installieren von Windows 2000 – Installieren Sie Windows 2000 Server auf einem Computer mit einer ähnlichen Hardware wie auf den Zielcomputern. Der Computer darf keiner Domäne angehören, und für das lokale Administratorkennwort darf kein Eintrag vorgenommen werden. 2. Konfigurieren des Computers – Melden Sie sich zunächst als Administrator an. Installieren Sie dann Windows 2000 Server und die dazugehörigen Anwendungen und passen Sie sie an. Sie können Internet-Informationsdienste (IIS, Internet Information Services) einbeziehen oder andere Dienste einrichten. 3. Validieren des Abbilds – Führen Sie auf der Grundlage der gesetzten Kriterien eine Überwachung durch, um sicherzustellen, dass die Abbildkonfiguration wunschgemäß vorgenommen wurde. Löschen Sie residuale Daten, u. a. alle Daten aus den Überwachungs- und Ereignisprotokollen. 4. Vorbereiten des Abbilds für das Duplizieren – Nachdem sichergestellt ist, dass der Computer wunschgemäß konfiguriert wurde, können Sie das System für das Duplizieren vorbereiten. Führen Sie hierzu Sysprep mit der optionalen Datei Sysprep.inf aus, auf die an späterer Stelle in diesem Kapitel näher eingegangen wird. Nachdem Sysprep abgeschlossen ist, wird der Computer automatisch ausgeschaltet oder es wird ein Hinweis angezeigt, dass der Computer nun ausgeschaltet werden kann. 5. Duplizieren – Zu diesem Zeitpunkt ist die Festplatte des Computers so weit vorbereitet, dass beim nächsten Systemstart die Plug & Play-Erkennung und der Assistent für die Miniinstallation ausgeführt und neue Sicherheits-IDs (SID, Security Identifier) erstellt werden können. Sie können das System nun mit Hilfe einer Hardware- oder Softwarelösung duplizieren oder ein Abbild des Systems erstellen. Beim nächsten Starten von Windows 2000 Server von dieser Festplatte oder einer aus diesem Abbild erstellten duplizierten Festplatte werden die Plug & Play-Geräte über das System erkannt und neu aufgelistet, so dass die Installation und Konfiguration auf dem Zielcomputer abgeschlossen werden kann. Wichtig Komponenten, die von Active Directory abhängen, können nicht dupliziert werden.
Sysprep-Dateien Um Sysprep zu verwenden, führen Sie die Datei Sysprep.exe manuell aus oder konfigurieren Sie Setup so, dass Sysprep.exe automatisch über den Abschnitt [GuiRunOnce] der Antwortdatei ausgeführt wird. Für die Ausführung von Sysprep müssen sich die Dateien Sysprep.exe und Setupcl.exe in einem Sysprep-Ordner im Stammverzeichnis des Systemlaufwerks (%Systemlaufwerk%\Sysprep\) befinden. Damit die Dateien während einer automatisierten Installation am ordnungsgemäßen Speicherort abgelegt werden,
464
Teil IV Windows 2000 – Aktualisierung und Installation
müssen sie im Distributionsordner unter dem Unterordner $OEM$\$1\Sysprep\ hinzugefügt werden. Weitere Informationen zu diesem Unterordner finden Sie unter „Strukturieren des Distributionsordners“ weiter oben in diesem Kapitel. Über diese Dateien wird das Betriebssystem auf das Duplizieren vorbereitet und der Assistent für die Miniinstallation gestartet. Der Ordner Sysprep kann auch die optionale Antwortdatei Sysprep.inf enthalten. Die Datei Sysprep.inf enthält Standardparameter, die verwendet werden können, um ggf. entsprechende Antworten zur Verfügung zu stellen. Hierdurch werden die erforderlichen Benutzereingaben und somit mögliche Fehler reduziert. Sie können die Datei Sysprep.inf auch auf einer Diskette speichern, die nach der Anzeige des Windows-Startbildschirms in das Diskettenlaufwerk eingelegt wird, um auf dem Zielcomputer weitere Anpassungen vorzunehmen. Die Diskette wird gelesen, wenn die Meldung Bitte warten des Assistenten für die Miniinstallation angezeigt wird. Nachdem die Tasks des Assistenten für die Miniinstallation erfolgreich abgeschlossen wurden, wird das System ein letztes Mal neu gestartet, der Ordner Sysprep und der entsprechende Inhalt werden gelöscht, und das System ist bereit für eine Benutzeranmeldung.
Sysprep.exe Sysprep.exe verfügt über drei optionale Parameter: ? quiet– Führt Sysprep aus, ohne dass Meldungen angezeigt werden. ? nosidgen – Führt Sysprep aus, ohne dass SIDs, die sich bereits auf dem
System befinden, neu erstellt werden. Dies ist hilfreich, wenn der Computer, auf dem Sysprep ausgeführt wird, nicht dupliziert werden soll. ? reboot – Führt automatisch einen Neustart durch, nachdem der Computer über Sysprep heruntergefahren wurde; auf diese Weise muss der Computer nicht manuell erneut eingeschaltet werden.
Sysprep.inf Bei Sysprep.inf handelt es sich um eine Antwortdatei, die zum Automatisieren des Miniinstallationsprozesses verwendet wird. Es werden dieselbe Syntax und dieselben Schlüsselnamen der .ini-Datei (für unterstützte Schlüssel) verwendet wie bei der Setup-Antwortdatei. Die Datei Sysprep.inf muss im Ordner %systemdrive%\Sysprep oder auf einer Diskette gespeichert werden. Wenn Sie eine Diskette verwenden, können Sie die Diskette einlegen, nachdem der Windows-Startbildschirm angezeigt wird. Die Diskette wird gelesen, wenn die Meldung Bitte warten der Miniinstallation angezeigt wird. Beachten Sie, dass über den Assistenten für die Miniinstallation alle verfügbaren Dialogfelder angezeigt werden, die an späterer Stelle in diesem Kapitel unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ aufgeführt werden, wenn beim Ausführen von Sysprep die Datei Sysprep.inf nicht eingeschlossen ist. Anmerkung Steht auf dem Hauptcomputer eine Sysprep.inf-Datei zur Verfügung und soll diese Datei pro Computer geändert werden, können Sie hierfür, wie zuvor beschrieben, Disketten verwenden. Es folgt ein Beispiel für eine Sysprep.inf-Datei: [Unattended] ;Aufforderung des Benutzers, dem Endbenutzerlizenzvertrag zuzustimmen. OemSkipEula=No
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
465
;Standardeinstellungen von Sysprep verwenden und die Auslagerungsdatei für das System neu ;erstellen, so dass mögliche Unterschiede des verfügbaren RAM berücksichtigt werden. KeepPageFile=0 ;Angeben des Speicherorts für weitere Sprachunterstützungsdateien, die in einer weltweit ;vertretenen Organisation evtl. benötigt werden. InstallFilesPath=%systemdrive%\Sysprep\i386 [GuiUnattended] ;Festlegen eines leeren Administratorkennworts. ;Alle hier angegebenen Kennwörter sind nur dann gültig, wenn für die ursprüngliche Quelle ;des Abbildes (Hauptcomputer) ein leeres Kennwort angegeben wurde. Andernfalls wird das auf dem ;Hauptcomputer verwendete Kennwort auf diesem Computer verwendet. Dies kann nur geändert werden, ;indem eine Anmeldung als lokaler Administrator durchgeführt und das Kennwort manuell geändert ;wird. AdminPassword="" ;Einrichten der Zeitzone TimeZone=20 ;Überspringen des Begrüßungsbildschirms beim Starten des Systems. OemSkipWelcome=1 ;Das Dialogfeld für die Ländereinstellungen wird nicht übersprungen, so dass der Benutzer ;die gewünschten Ländereinstellungen angeben kann. OemSkipRegional=0 [UserData] ;Bereitstellen von Benutzerdaten für das System. FullName="Autorisierter Benutzer" OrgName="Organisationsname" ComputerName=XYZ_Computer1 [GUIRunOnce] ;Heraufstufen dieses Computers zu einem Domänencontroller beim Neustart. DCPromo/answer:<Speicherort der Antwortdatei dc promo> [Identification] ;Hinzufügen des Computers zur Domäne ITDOMAIN JoinDomain=ITDOMAIN [Networking] ;Binden der Standardprotokolle und -dienste an die verwendeten Netzwerkkarten ;in diesem Computer. InstallDefaultComponents=Yes
Anmerkung Sie können das Administratorkennwort nur dann mit Hilfe von Sysprep.inf ändern, wenn das bestehende Administratorkennwort leer ist. Dies trifft auch dann zu, wenn das Administratorkennwort über die Sysprep-GUI geändert werden soll. Weitere Informationen zu den mit der Datei Sysprep.inf verwendeten Abschnitten und Befehlen der Antwortdatei finden Sie im Anhang „Beispielantwortdateien für die unbeaufsichtigte Installation“ in dieser Dokumentation.
466
Teil IV Windows 2000 – Aktualisierung und Installation
Setupcl.exe Über Setupcl.exe werden folgende Aufgaben durchgeführt: ? Erstellen neuer Sicherheits-IDs für den Computer. ? Starten des Assistenten für die Miniinstallation.
Assistent für die Miniinstallation Der Assistent für die Miniinstallation wird gestartet, wenn der Computer zum ersten Mal über eine Festplatte gestartet wird, die über die Sysprep-Methode dupliziert wurde. Über diesen Assistenten werden alle Daten zusammengestellt, die zum weiteren Anpassen des Zielcomputers benötigt werden. Wird die Datei Sysprep.inf nicht verwendet oder werden in einigen Abschnitten der Datei keine Einträge vorgenommen, werden über den Assistenten für die Miniinstallation Bildschirme angezeigt, für die in Sysprep.inf keine Antworten zur Verfügung gestellt werden. Hierzu gehören folgende Bildschirme: ? Endbenutzerlizenzvertrag (EULA, End-User License Agreement) ? Ländereinstellungen ? Benutzername und Firma ? Computername und Administratorkennwort ? Netzwerkeinstellungen ? TAPI-Einstellungen (werden nur angezeigt, wenn auf dem Computer ein
Modem oder ein neues Modemgerät vorhanden ist) ? Serverlizenzierung (nur Server) ? Zeitzonenauswahl ? Fertig stellen/Neu starten Sollen diese Bildschirme übersprungen werden, können Sie innerhalb von Sysprep.inf bestimmte Parameter festlegen. Diese Parameter werden in der Tabelle 13.6 aufgelistet. Anmerkung Da über Setup die optimalen Einstellungen für Anzeigegeräte erkannt werden, wird der Bildschirm „Anzeigeeinstellungen“ nicht mehr angezeigt, wenn Setup bzw. der Assistent für die Miniinstallation ausgeführt wird. Sie können [Display]-Einstellungen entweder in der Antwortdatei festlegen, die für den Hauptcomputer verwendet wird, oder in der Datei Sysprep.inf, die für den Zielcomputer verwendet wird. Befinden sich die [Display]-Einstellungen in der Antwortdatei, die für den Hauptcomputer verwendet wird, werden diese Einstellungen über Sysprep beibehalten, wenn die Datei Sysprep.inf keine anderen Einstellungen enthält oder keine Grafikkarte oder ein Bildschirm erkannt wird, bei dem Einstellungen benötigt werden, die von den Einstellungen des Hauptcomputers abweichen. Tabelle 13.6 Parameter in Sysprep.inf zum Überspringen des Assistenten für die Miniinstallation Parameter
Wert
Ländereinstellungen
Abschnitt [RegionalSettings] [GuiUnattended] OemSkipRegional=1
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
467
(Fortsetzung) Parameter
Wert
Benutzername und Firma
[UserData] FullName="Benutzername" OrgName="Organisationsname"
Computername und Administratorkennwort
[UserData] ComputerName=W2B32054 [GuiUnattended]
Netzwerkeinstellungen TAPI-Einstellungen Zeitzonenauswahl
Fertig stellen/Neu starten
AdminPassword="" [Networking] InstallDefaultComponents=Yes [TapiLocation] AreaCode=425 [GuiUnattended] TimeZone= NA
Manuelles Ausführen von Sysprep Nach dem Installieren von Windows 2000 Server können Sie Sysprep verwenden, um das System so vorzubereiten, dass es auf ähnlich konfigurierte Computer übertragen werden kann. Zum manuellen Ausführen von Sysprep müssen Sie zunächst Windows 2000 Server installieren, das System konfigurieren und die Anwendungen installieren. Führen Sie Sysprep dann ohne die -rebootBefehlszeilenoption aus. Duplizieren Sie das Abbild des Laufwerks auf ähnlich konfigurierte Computer, nachdem das System heruntergefahren wurde. Wenn ein duplizierter Computer zum ersten Mal gestartet wird, wird die SysprepMiniinstallation ausgeführt, so dass die Benutzer die entsprechenden Systeme anpassen können. Sie können mit Hilfe der Datei Sysprep.inf auch alle oder nur einen Teil der Sysprep-Konfigurationsparameter automatisch zuordnen. Der Ordner Sysprep (in dem sich die Dateien Sysprep.exe und Setupcl.exe befinden) wird automatisch gelöscht, nachdem die Sysprep-Miniinstallation abgeschlossen ist. ? So bereiten Sie eine Installation von Windows 2000 Server für das Duplizieren vor 1. Klicken Sie im Menü Start zunächst auf Ausführen, und nehmen Sie dann folgenden Eintrag vor: cmd 2. Wechseln Sie bei der Eingabeaufforderung zu dem Stammordner von Laufwerk C:, und nehmen Sie folgenden Eintrag vor: md sysprep 3. Legen Sie die CD zu Windows 2000 Server ein. Öffnen Sie im Ordner \Support\Tools die Datei Deploy.cab. 4. Kopieren Sie die Dateien Sysprep.exe und Setupcl.exe in den Ordner Sysprep.
468
Teil IV Windows 2000 – Aktualisierung und Installation
Wenn Sie die Datei Sysprep.inf verwenden, kopieren Sie diese Datei ebenfalls in den Ordner Sysprep. Beachten Sie, dass sich die Dateien Sysprep.exe, Setupcl.exe und Sysprep.inf in demselben Ordner befinden müssen, damit Sysprep ordnungsgemäß ausgeführt werden kann. 5. Wechseln Sie bei der Eingabeaufforderung zum Ordner Sysprep: cd sysprep 6. Nehmen Sie einen der folgenden Einträge vor: Sysprep Sysprep Sysprep Sysprep Sysprep Sysprep
–reboot /
Parameter> Parameter> -reboot Parameter 1>…/ Parameter 1>…/ -reboot
7. Wurde die -reboot-Befehlszeilenoption nicht angegeben, führen Sie folgende Schritte durch: Wird eine Meldung mit der Aufforderung, den Computer nun herunterzufahren, angezeigt, klicken Sie im Menü Start auf Beenden. Sie können nun das Dienstprogramm eines Fremdanbieters für Festplattenabbilder verwenden, um ein Abbild der Installation zu erstellen. 8. Wurde die -reboot-Befehlszeilenoption nur zum Überwachen angegeben, wird der Computer neu gestartet, und der Assistent für die Miniinstallation wird ausgeführt. Führen Sie in diesem Falle folgende Schritte durch: ? Stellen Sie sicher, dass über den Assistenten für die Miniinstallation die
gewünschten Eingabeaufforderungen angezeigt werden. Zu diesem Zeitpunkt können Sie auch das System und andere Anwendungen überwachen. Führen Sie dann Sysprep ohne die -reboot-Befehlszeilenoption erneut aus. ? Wird eine Meldung angezeigt mit der Aufforderung, den Computer nun herunterzufahren, klicken Sie im Menü Start auf Beenden. Sie können nun das Dienstprogramm eines Drittanbieters für Festplattenabbilder verwenden, um ein Abbild der Installation zu erstellen. Anmerkung Sie können dem Ordner Sysprep eine Cmdlines.txt-Datei hinzufügen, die über Setup verarbeitet wird. Über diese Datei werden nach Abschluss der Installation weitere Befehle ausgeführt, z. B. notwendige Befehle zum Installieren von Anwendungen.
Automatisches Ausführen von Sysprep nach dem Abschließen von Setup Der Abschnitt [GuiRunOnce] der Antwortdatei enthält Befehle, die ausgeführt werden sollen, nachdem Setup abgeschlossen ist. Sie können den Abschnitt [GuiRunOnce] verwenden, um eine Installation zu erstellen, bei der Setup abgeschlossen, anschließend automatisch eine Anmeldung am Computer vorgenommen, Sysprep im -quiet-Modus ausgeführt und der Computer dann heruntergefahren wird. Gehen Sie hierzu folgendermaßen vor: 1. Speichern Sie die erforderlichen Sysprep-Dateien in dem Distributionsordner unter $OEM$\$1\Sysprep\, um die Dateien in den ordnungsgemäßen Speicherort auf dem Systemlaufwerk zu kopieren.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
469
2. Geben Sie im Abschnitt [GuiRunOnce] der Antwortdatei an, dass folgender Befehl auf dem Computer zuletzt ausgeführt wird: %systemdrive%\Sysprep\Sysprep.exe –quiet
Muss mehrmals neu gestartet werden, geben Sie an, dass dieser letzte Befehl ausgeführt wird, wenn der Abschnitt [GuiRunOnce] zum letzten Mal verwendet wird.
Verwenden von Sysprep zum Erweitern von Festplattenpartitionen Unter Windows 2000 können GUI-Setup und die Miniinstallation verwendet werden, um NTFS-Partitionen über Antwortdateien zu erweitern. Diese neue Funktionalität umfasst Folgendes: ? Möglichkeit, Abbilder zu erstellen, die in größere Festplattenpartitionen er-
weitert werden können, so dass Festplatten genutzt werden, die über mehr Festplattenspeicher verfügen als die ursprüngliche Festplatte des Hauptcomputers. ? Möglichkeit, Abbilder auf kleinen Festplatten zu erstellen.
Der beste Weg, diese Funktionalität in eine Umgebung einzubinden, besteht darin, folgende Schritte durchzuführen und die Methode auszuwählen, die sich für die zum Herstellen eines Abbilds des Betriebsystems verwendeten Tools am besten eignet. Achtung Kann das Abbild mit dem verwendeten Tool bearbeitet werden, können Sie die Dateien Pagefile.sys, Setupapi.log und Hyberfil.sys (ggf.) löschen, da diese Dateien bei Ausführen des Assistenten für die Miniinstallation auf den Zielcomputern erneut erstellt werden. Auf aktiven Systemen dürfen diese Dateien nicht gelöscht werden, da das System dann möglicherweise nicht mehr einwandfrei zur Verfügung steht. Diese Dateien sollten nur in dem Abbild gelöscht werden. ? So erweitern Sie eine Festplattenpartition unter Einsatz eines Fremdanbieterprodukts zum Erstellen von Abbildern oder eines Abbildungsgeräts, das das von Windows 2000 verwendete NTFS unterstützt 1. Konfigurieren Sie die Partition auf der Festplatte des Hauptcomputers mit der erforderlichen Mindestgröße für die Installation von Windows 2000 mit allen Komponenten und Anwendungen, die vorinstalliert werden sollen. Hierdurch werden die Anforderungen an die Abbildgröße verringert. 2. Fügen Sie FileSystem=ConvertNTFS dem Abschnitt [Unattended] der Antwortdatei hinzu, der zum Erstellen des Hauptabbilds verwendet wird. Hier braucht ExtendOemPartition nicht berücksichtigt werden, da die Mindestgröße des Abbilds verwaltet werden soll. Anmerkung ConvertNTFS kann in der Datei Sysprep.inf nicht verwendet werden, da es sich um eine Funktion für den nichtgrafischen Modus handelt und Sysprep nicht über diesen Modus ausgeführt wird. 3. Nehmen Sie folgende Anweisung in den Abschnitt [Unattended] der Datei Sysprep.inf auf:
470
Teil IV Windows 2000 – Aktualisierung und Installation ExtendOemPartition = 1
(oder eine weitere Größe in Megabyte, um die Partition zu erweitern) 4. Installieren Sie Windows 2000 auf dem Hauptcomputer. Über Sysprep wird das System automatisch heruntergefahren. 5. Stellen Sie ein Abbild des Laufwerks her. 6. Platzieren Sie das Abbild auf dem Zielcomputer, wobei die Systempartitionen auf Ziel- und Hauptcomputer gleich groß sind. 7. Starten Sie den Zielcomputer neu. Der Assistent für die Miniinstallation wird gestartet, und die Partition wird sofort erweitert. ? So erweitern Sie eine Festplattenpartition, wenn mit einem Produkt zum Herstellen von Abbildern das von Windows 2000 verwendete NTFS nicht unterstützt wird 1. Konfigurieren Sie die Partition auf der Festplatte des Hauptcomputers mit der erforderlichen Mindestgröße für die Installation von Windows 2000 mit allen Komponenten und Anwendungen, die vorinstalliert werden sollen. Hierdurch werden die Anforderungen an die Abbildgröße verringert. 2. Konvertieren Sie das Dateisystem mit Hilfe des im Lieferumfang von Windows 2000 enthaltenen Tools Convert.exe in NTFS. 3. Legen Sie folgende Zeilen als die beiden letzten Elemente im Abschnitt [GuiRunOnce] der Antwortdatei fest, der zum Erstellen des Hauptabbilds verwendet wird: [GuiRunOnce] = = ... =
"" "" = "Convert c:\ /fs:ntfs" "%systemdrive%\sysprep\sysprep.exe -quiet"
Dabei gilt Folgendes: ? umfasst alle Befehle, die vor dem Herstellen eines Abbildes zum Installieren von Anwendungen oder Konfigurieren des Betriebssystems ausgeführt werden müssen. ? ist der vorletzte Befehl, der im Abschnitt [GuiRunOnce]
der Antwortdatei ausgeführt werden muss. Hierdurch wird der Befehl Convert ausgeführt. Da über den Befehl Convert das aktive System nicht in NTFS umgewandelt werden kann, wenn das Betriebssystem ausgeführt wird, wird das Betriebssystem so eingestellt, dass der Befehl beim nächsten Neustart ausgeführt wird. Da Sysprep das nächste Element ist, das ausgeführt werden soll, findet während dieses Prozesses keine Umwandlung in NTFS statt. ? ist der letzte Befehl, der auf dem Computer ausgeführt wird. Hierbei handelt es sich um Sysprep.exe. Beim Ausführen von Sysprep wird der Computer für das Herstellen von Abbildern vorbereitet und dann heruntergefahren. Anmerkung Für diesen Schritt kann ExtendOemPartition in der Hauptantwort-
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
471
datei nicht verwendet werden, da es sich bei der Partition, auf der das Abbild erstellt wird, nicht um NTFS handelt. Das Abbild soll auch so klein wie möglich gehalten werden. 4. Nehmen Sie folgende Anweisung in den Abschnitt [Unattended] der Datei Sysprep.inf auf: ExtendOemPartition = 1
(oder eine weitere Größe in Megabyte, um die Partition zu erweitern) 5. Installieren Sie Windows 2000 auf dem Hauptcomputer. Über Sysprep wird das System automatisch heruntergefahren. Wichtig Führen Sie keinen Neustart durch. 6. Stellen Sie ein Abbild des Laufwerks her. 7. Platzieren Sie das Abbild auf dem Zielcomputer, wobei die Systempartitionen auf Ziel- und Hauptcomputer gleich groß sind. 8. Starten Sie den Zielcomputer neu. Der Computer startet im Konvertierungsmodus, um die Systempartition auf dem Zielcomputer in NTFS umzuwandeln. Der Computer wird automatisch neu gestartet. Der Assistent für die Miniinstallation wird gestartet, und die Partition wird sofort erweitert.
Verwenden von SMS (Systems Management Server) Mit SMS können Sie verwaltete Aktualisierungen von Windows 2000 Server auf mehreren Systemen ausführen. Hierzu gehören insbesondere Systeme, die sich an unterschiedlichen geographischen Standorten befinden. Beachten Sie, dass SMS nur für Installationen auf Computern verwendet wird, die über ein zuvor installiertes Betriebssystem verfügen. Bevor Sie eine Aktualisierung mit Hilfe von SMS durchführen, muss die bestehende Netzwerkinfrastruktur, u. a. die Bandbreite, Hardware und geographische Einschränkungen, in Betracht gezogen werden. Der Hauptvorteil bei einer Aktualisierung mit Hilfe von SMS besteht in dem zentralisierten Steuern des Aktualisierungsprozesses. Sie können z. B. steuern, wann der Aktualisierungsprozess durchgeführt wird (etwa während oder nach der Schulung, nach der Hardwareüberprüfung und nach dem Sichern der Benutzerdaten), welche Computer aktualisiert werden und wie Netzwerkeinschränkungen berücksichtigt werden. Weitere Informationen über den Einsatz von SMS finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in dieser Dokumentation.
Verwenden einer Boot-CD Verwenden Sie eine Boot-CD, um Windows 2000 Server auf einem Computer zu installieren, über dessen BIOS ein Starten von CD zulässig ist. Diese Methode ist bei Computern sinnvoll, die sich an Remotestandorten ohne lokale IT-Abteilung befinden und über langsame Verbindungen verfügen. Über die Boot-CD wird die Datei Winnt32.exe ausgeführt, wodurch der Installationsvorgang beschleunigt wird.
472
Teil IV Windows 2000 – Aktualisierung und Installation
Anmerkung Boot-CDs können nur für Neuinstallationen verwendet werden. Bei Aktualisierungen muss die Datei Winnt32.exe aus dem vorhandenen Betriebssystem ausgeführt werden. Legen Sie die Bootreihenfolge im BIOS wie folgt fest, um eine möglichst hohe Flexibilität zu erhalten: ? Netzwerkkarte ? CD ? Festplatte ? Diskettenlaufwerk
Für das Verwenden einer Boot-CD gelten folgende Kriterien: ? Der Computer muss über Unterstützung für El Torito No Emulation für Boot-
CDs verfügen. ? Die Antwortdatei muss einen Abschnitt [Data] mit den erforderlichen Schlüsseln enthalten. ? Die Antwortdatei muss Winnt.sif heißen und auf einer Diskette gespeichert sein. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früheren Versionen bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. ? So installieren Sie Windows 2000 Server mit Hilfe einer Boot-CD 1. Starten Sie das System von der CD für Windows 2000 Server. 2. Legen Sie die Diskette mit der Datei Winnt.sif in das Diskettenlaufwerk ein, wenn der blaue Bildschirm im nichtgrafischen Modus mit „Windows 2000 Setup“ angezeigt wird. 3. Wenn die Diskette gelesen wurde, entfernen Sie sie. Setup wird nun von der CD ausgeführt, wie es in der Datei Winnt.sif angegeben wurde. Anmerkung Für das Verwenden einer Boot-CD ist es erforderlich, dass sich alle benötigten Dateien auf der CD befinden. Bei dieser Methode können keine Datenbankdateien (UDB, Uniqueness Database File) verwendet werden.
Beispiele zu Installationskonfigurationen Folgende Beispiele enthalten Verfahren zum Installieren von Windows 2000 Server auf Computern, bei denen Serverkonfigurationen bereits bestehen bzw. bei denen keine Konfiguration besteht.
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
473
Vorhandene Server Die Beispiele in diesem Abschnitt beziehen sich auf Computer mit folgenden vorhandenen Serverkonfigurationen: ? Computer unter Windows NT Server, auf denen Serveranwendungen
ausgeführt werden, die mit Windows 2000 Server kompatibel sind. ? Computer unter Microsoft® Windows NT ® Server 3.5 oder früheren Versionen oder Server, auf denen Betriebssysteme von Fremdanbietern ausgeführt werden.
Beispiel 1: Windows NT Server mit Windows 2000kompatiblen Serveranwendungen In diesem Beispiel werden zwei Methoden zum Installieren von Windows 2000 Server auf Computern mit kompatibler oder inkompatibler Hardware vorgestellt, auf denen Windows NT Server ausgeführt wird. ? So installieren Sie Windows 2000 Server auf Computern mit kompatibler Hardware 1. Erstellen Sie eine Sicherung des gesamten Systems. 2. Aktualisieren Sie das System über eine der folgenden Methoden: ? Starten Sie eine „Push“-Installation. Dies bedeutet, dass das Programm oder
die Anwendung automatisch von dem Hauptcomputer zu dem Zielcomputer gesendet wird. Bei dieser Methode braucht die Aktivität nicht von einem Benutzer oder dem Administrator veranlasst zu werden. oder ? Starten Sie eine lokale Installation, indem Sie Winnt32.exe mit den ausgewählten Parametern über die Eingabeaufforderung ausführen. oder ? Führen Sie eine manuelle Installation (keine Antwortdatei) durch, und reagieren Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. Bei einer vollständig automatisierten Installation enthält die Antwortdatei die benötigten Antworten zu allen Fragen. Bei einer teilweise automatisierten Installation können Sie den Umfang der Automatisierung bestimmen und Benutzereingaben für ausgewählte Anwendungen zulassen. ? So installieren Sie Windows 2000 Server, wenn der Computer über inkompatible Hardware verfügt und die Festplatte nicht ersetzt werden muss 1. Ersetzen Sie bis auf die Festplatte alle notwendigen Hardwarekomponenten. 2. Stellen Sie sicher, dass die neue Hardware ordnungsgemäß betriebsbereit ist. 3. Erstellen Sie eine Sicherung des gesamten Systems. 4. Aktualisieren Sie das System über eine der folgenden Methoden: ? Starten Sie eine „Push“-Installation (vollständig automatisiert). oder
474
Teil IV Windows 2000 – Aktualisierung und Installation ? Starten Sie eine lokale Installation, indem Sie Winnt32.exe mit den
ausgewählten Parametern über die Eingabeaufforderung ausführen. oder ? Führen Sie eine manuelle Installation (keine Antwortdatei) durch, und reagieren Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. ? So installieren Sie Windows 2000 Server, wenn der Computer über inkompatible Hardware verfügt und die Festplatte ersetzt werden muss 1. Aktualisieren Sie mindestens eine der beiden folgenden Komponenten: ? RAM ? Prozessor 2. Stellen Sie sicher, dass die neue Hardware ordnungsgemäß betriebsbereit ist. 3. Erstellen Sie eine Sicherung des gesamten Systems. 4. Ersetzen Sie die Festplatte. Kopieren Sie das gesicherte Abbild. 5. Verwenden Sie beim Aktualisieren eine der folgenden Methoden. Dies ist vor allen Dingen dann nützlich, wenn sich der Server in einer eindeutigen oder fast eindeutigen Konfiguration befindet: ? Starten Sie eine „Push“-Installation (vollständig automatisiert). oder ? Starten Sie eine lokale Installation, indem Sie Winnt32.exe mit den
ausgewählten Parametern über die Eingabeaufforderung ausführen. oder ? Führen Sie eine manuelle Installation (keine Antwortdatei) durch, und reagieren Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. 6. Verwenden Sie beim Durchführen einer Neuinstallation eine der folgenden Methoden: ? Verwenden Sie die Syspart-Methode, um mit Hilfe von Hardware oder Software zum Erstellen von Festplattenabbildungen alle notwendigen Dateien auf der Festplatte zu speichern, ehe die Festplatte ersetzt wird. Beim Starten des Systems wird Setup automatisch ausgeführt. Installieren Sie alle notwendigen Serveranwendungen erneut. oder ? Starten Sie eine „Push“-Installation (vollständig automatisiert). oder ? Starten Sie eine lokale Installation, indem Sie Winnt32.exe mit den ausgewählten Parametern über die Eingabeaufforderung ausführen. oder
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
475
? Führen Sie eine manuelle Installation (keine Antwortdatei) durch, und
reagieren Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch.
Beispiel 2: Computer unter Windows NT Server 3.5 oder früheren Versionen oder Server mit Betriebssystemen von Fremdanbietern Zu den Serverbetriebssystemen, die nicht direkt auf Windows 2000 Server aktualisiert werden können, gehören Windows NT 3.5 oder frühere Versionen, Novell, Banyan Vines, UNIX und OS/2. Besorgen Sie zum Vorbereiten einer Neuinstallation einen Clientcomputer, der von einem OEM oder einem Anbieter von Lösungen zusammengestellt wurde. ? So installieren Sie Windows 2000 auf einem Computer mit Windows NT 3.5 oder einer früheren Version oder dem Betriebssystem eines Fremdanbieters 1. Erstellen Sie eine Sicherung des Systems. 2. Führen Sie Winnt.exe mit den gewünschten Parametern bei der Eingabeaufforderung aus, indem Sie eine der folgenden Methoden verwenden: ? Führen Sie eine manuelle Installation (keine Antwortdatei) durch, und reagieren Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. Wählen Sie eine der folgenden Methoden aus: ? Setup über Boot-CD. ? Syspart-Methode. Diese Methode ist nützlich beim Installieren neuer Festplatten in Computern. ? Sysprep-Methode. Diese Methode wird verwendet, wenn eine Installation auf gleichen Computern durchgeführt wird (die HALs und Massenspeichergerätecontroller müssen gleich sein). Anmerkung Sie können zwar auf einem bestehenden Computer eine Neuinstallation durchführen, dies wird jedoch nicht empfohlen. Wenn Sie mit Servern arbeiten, die nicht aktualisiert werden können, ersetzen Sie jeden Server durch einen neuen Server, der über eine Neuinstallation von Windows 2000 Server verfügt. Dies ist notwendig, um die Stabilität des Systems überprüfen zu können, mögliche Auswirkungen für die Benutzer zu reduzieren und um Zeit zu gewinnen, so dass die notwendigen Verweise und Einstellungen auf den neuen Server migriert werden können. 3. Installieren Sie Anwendungen, die mit Windows 2000 Server kompatibel sind. 4. Überprüfen Sie die ordnungsgemäße Funktionsweise des Systems. 5. Migrieren Sie Benutzer und Verweise, so dass auf das neue System gezeigt wird, ehe das vorhandene System heruntergefahren wird.
476
Teil IV Windows 2000 – Aktualisierung und Installation
Neue Server Für Computer, auf denen ein älteres Betriebssystem als Windows 2000 nicht installiert wurde, ist eine Neuinstallation von Windows 2000 Server erforderlich. Besorgen Sie zum Vorbereiten einer Neuinstallation einen Clientcomputer, der von einem OEM oder einem Anbieter von Lösungen zusammengestellt wurde. ? So installieren Sie Windows 2000 Server auf einem Computer, auf dem ein älteres Betriebssystem als Windows 2000 nicht installiert wurde 1. Führen Sie eine manuelle Installation durch (keine Antwortdatei). Befolgen Sie alle Eingabeaufforderungen. oder 2. Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. Wählen Sie eine der folgenden Methoden aus: ? Setup über Boot-CD. ? Syspart-Methode. Diese Methode ist nützlich beim Installieren neuer Festplatten in den Computern. ? Sysprep-Methode. Diese Methode wird verwendet, wenn eine Installation auf gleichen Computern durchgeführt wird (die HALs und Massenspeichergerätecontroller müssen gleich sein). ? Bootdiskette und Ausführen von Setup mit einer Antwortdatei.
Planungstaskliste für die Installation Tabelle 13.7 enthält eine Zusammenfassung der wichtigsten Tasks bei der Installation von Windows 2000 Server und den erforderlichen Anwendungen. Tabelle 13.7 Zusammenfassung der Tasks bei Installationen Task
Kapitelüberschrift
Lösen kritischer Planungsfragen. Erstellen des Distributionsordners. Prüfen der Antwortdatei.
Lösen wichtiger Planungsfragen Vorbereiten der Installation Überprüfen der Antwortdatei
Prüfen der Befehle für das Installationsprogramm von Windows 2000. Auswählen einer Methode für die Anwendungsinstallation auf der Grundlage einer kritischen Planung.
Vorbereiten der Installation
Auswählen einer Methode für die Betriebssysteminstallation auf der Grundlage einer kritischen Planung.
Automatisieren der Installation von Windows 2000 Server
Automatisieren der Installation von Serveranwendungen
Kapitel 13 Automatisieren der Serverinstallation und der Aktualisierung
477
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
477
K A P I T E L
1 4
Verwenden von Systems Management Server zum Einrichten von Windows 2000 Microsoft® Systems Management Server (SMS) bietet eine Reihe von Tools, die beim Einrichten von Microsoft ® Windows 2000 Server oder Microsoft® Windows 2000 Professional in einer Firmenumgebung hilfreich sind. Die an diesem Prozess beteiligten Projektleiter und -analysten, technischen Analysten für Windows 2000 und SMS-Administratoren sollten sich mit den in diesem Kapitel vorgestellten empfohlenen Konfigurationen und Prozeduren vertraut machen. Diese Empfehlungen gelten zwar auch für kleine Unternehmen, der Schwerpunkt wird jedoch auf Firmen mit mindestens 2.500 PCs gelegt. Für die in diesem Kapitel enthaltenen Informationen sind keine Kenntnisse von Systems Management Server Version 2.0 erforderlich. Zum Einrichten von Windows 2000 sind Erfahrungen mit SMS jedoch eine Voraussetzung. Es wird davon ausgegangen, dass eine SMS-Infrastruktur vorhanden ist bzw. aufgebaut wird, bevor Windows 2000 eingerichtet wird. In diesem Kapitel werden auch bedeutsame Unterschiede zwischen SMS 2.0 und Systems Management Server Version 1.2 vorgestellt. Inhalt dieses Kapitels Verwenden von Systems Management Server zum Verteilen von Software 478 Packen von Windows 2000 für Systems Management Server 483 Verteilen der Windows 2000-Pakete 491 Ankündigen der Windows 2000-Pakete 500 Verwenden von Systems Management Server zum Vereinfachen der Domänenkonsolidierungund -migration 509 Unterschiede zwischen Systems Management Server 1.2 und Systems Management Server 2.0 510 Planungstaskliste für das Verwenden von Systems Management Server zum Einrichten von Windows 2000 511 Zusätzliche Informationen 511 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Softwareverteilungsplan für Windows 2000 ? SMS-Paketdefinitionen für Windows 2000 WeiterführendeInformationen inder technischen Referenz ? Weitere Informationen zum Automatisieren der Aktualisierungen bei Windows 2000 finden Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ und unter „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch.
478
Teil IV Windows 2000 – Aktualisierung und Installation ? Weitere Informationen zum Automatisieren der Domänenkonsolidierung und
-migration finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
Verwenden von Systems Management Server zum Verteilen von Software Windows 2000 lässt sich mühelos einrichten, wenn eine automatisierte Installation verwendet wird. Beim Anwenden automatisierter Prozeduren auf mehrere Serverund Clientcomputer in einer Organisation bestehen jedoch noch eine Reihe weiterer Tasks. Hierzu gehören folgende Tasks: ? Auswählen der Computer, die auf Windows 2000 ausgerichtet sind und ? ? ? ? ? ?
unterstützt werden können. Verteilen von Windows 2000-Quelldateien an alle Standorte, u. a. an Remotestandorte und Standorte ohne Personal für technischen Support. Überwachen der Verteilung an alle Standorte. Sicheres Bereitstellen der entsprechenden Betriebssystemrechte für das Durchführen der Aktualisierung. Automatisches Starten der Installation des Softwarepakets, wobei der Benutzer die Möglichkeit hat, den Zeitpunkt der Installation zu steuern. Beheben von Problemen im Hinblick auf die Verteilung oder Installation. Aufzeichnen der Einrichtungsrate und des Einrichtungserfolgs.
Bei all diesen Tasks ist Systems Management Server hilfreich. Die wichtigsten Tasks beim Einrichten von Windows 2000 mit Hilfe von SMS werden in Abbildung 14.1 dargestellt.
Abbildung 14.1 Einrichten von Windows 2000 mit Hilfe von SMS
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
479
SMS bietet zwar Tools zum Aktualisieren eines aktuell verwendeten Computers, jedoch keine Tools für die Installation neuer Computer, auf denen noch kein Betriebssystem installiert ist. Um die Softwareverteilung von SMS zu verwenden, müssen auf den Zielcomputern die SMS-Clientkomponenten installiert werden. Für diese SMS-Komponenten ist es erforderlich, dass der Computer über ein ordnungsgemäß konfiguriertes Betriebssystem verfügt. Anmerkung Der Begriff „SMS-Client“ bezieht sich auf alle Zielcomputer, ohne dass ihre Funktion berücksichtigt wird. Sie können jedoch die bereits vorhandenen SMS-Clients verwenden, um die Installation von Windows 2000 in eine neue Verzeichnishierarchie oder Festplattenpartition zu starten. In einem solchen Fall handelt es sich bei der Installation von Windows 2000 um eine Neuinstallation und nicht um eine Aktualisierung. Anmerkung Sie können SMS auch bei anderen Einrichtungsaktivitäten für Windows 2000 verwenden. Weitere Informationen zum Einsatz von Windows 2000 mit SMS finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in diesem Buch.
Softwareverteilung mit Hilfe von Systems Management Server 2.0 Die Softwareverteilung von Systems Management Server basiert auf mehreren Komponenten und Tasks, mit denen Sie den Prozess steuern können.
SMS-Pakete Die SMS-Softwareverteilung beginnt mit einem SMS-Paket. Das Paket, die grundlegende Einheit der Softwareverteilung, enthält die Quelldateien für das Programm und die Einzelheiten, über welche der Softwareverteilungsprozess gesteuert wird. Jedes Paket enthält mindestens ein Programm, bei dem es sich um eineBefehlszeile handelt, die auf jedem Zielcomputer ausgeführt wird, um das Ausführen des Pakets zu steuern. Über Programme kann die Installation von Software gesteuert werden, oder sie können eine beliebige andere Befehlszeile enthalten, die auf jedem Zielcomputer ausgeführt werden soll. Die meisten Pakete enthalten auch sogenannte Paketquelldateien, z. B. Softwareinstallationsdateien, die während der Ausführung des Programms verwendet werden. Manche Softwareanwendungen bieten umfangreiche Installationsoptionen. Andere Pakete und Tools hingegen bieten diese Optionen nicht. Bietet das Programm, das verteilt werden soll, keine entsprechenden Installationsoptionen, z. B. unbeaufsichtigten Betrieb, können Sie SMS Installer verwenden, um das Programm auf die Softwareverteilung vorzubereiten. Über SMS Installer können beaufsichtigte und unbeaufsichtigte Installationsskripts erstellt werden, die angepasst werden können. Diese Art Skripting kann für die Windows 2000-Aktualisierung nicht verwendet werden. Es ist jedoch sinnvoll, den Computer entweder auf Pakete vorzubereiten, die vor der Windows 2000-Aktualisierung gesendet werden, oder auf Pakete, die nach der Aktualisierung gesendet werden, um die Konfiguration abzuschließen. Weitere Informationen zu SMS Installer finden Sie unter „Erstellen von selbstextrahierenden Dateien mit SMS Installer 2.0“ im Microsoft® Systems Management Server Administratorhandbuch.
480
Teil IV Windows 2000 – Aktualisierung und Installation
Sie können in der SMS-Administratorkonsole mit Hilfe von Paketen ein Paket erstellen oder eine Paketdefinitionsdatei und den Assistenten für die Erstellung eines Pakets aus einer Definition verwenden. Eine Paketdefinitionsdatei bietet eine alternative, nicht interaktive Möglichkeit zum Erstellen eines Pakets. Es handelt sich hierbei um eine formatierte Datei, die alle notwendigen Daten zum Erstellen des Pakets enthält. In SMS 2.0 ist eine Paketdefinitionsdatei für Windows 2000 enthalten. Sie können SMS-Tools und -Assistenten verwenden, um ohne Benutzeraktion Pakete aus Paketdefinitionsdateien zu erstellen. Nachdem ein Paket erstellt wurde, verwenden Sie den Assistenten zum Verwalten von Verteilungspunkten, um die Verteilungspunkte auszuwählen.
Verteilung Pakete enthalten auch Daten zur Softwareverteilung, z. B. das Verzeichnis für die Paketquelldateien. Verteilungspunkte sind Freigaben auf den Standortsystemen, auf denen die Paketquelldateien von den Clientcomputern für den Zugriff kopiert werden. Pakete enthalten auch Daten zur Aktualisierungsweise und zum Aktualisierungszeitpunkt von Verteilungspunkten. Um die Verwaltung zu vereinfachen, können Sie Verteilungspunkte in Verteilungspunktgruppen zusammenfassen. Wenn Paketdateien anderen Standorten angekündigt werden müssen, werden diese Dateien über SMS so komprimiert, dass sie zwischen Standorten gesendet werden können. Sie können innerhalb des ursprünglichen Standortes auch eine komprimierte Kopie der Paketquelldateien erstellen und verwenden. Sie können die Verteilung eines Pakets auch mit Hilfe von Verteilungspunkten steuern, die sich unter der Definition des Pakets unter der Option Pakete in der SMS-Administratorkonsolebefinden.
Ankündigung Nach dem Erstellen des Windows 2000-Pakets können Sie den Benutzern mindestens ein Programm des Pakets ankündigen, indem Sie eineAnkündigungerstellen. Über eine Ankündigung wird festgelegt, welches Programm den Clientcomputern zur Verfügung steht, welche Computer die Ankündigung empfangen und wann die Installation für das Programm geplant ist. In Abbildung 14.2 wird der Softwareverteilungsprozess dargestellt. Wenn eine Ankündigung bei einem SMS-Client empfangen wird, kann der Benutzer die Planung für das Paket immer noch steuern. Die Ankündigung kann in einem besonderen privilegierten Modus ausgeführt werden, so dass die Benutzer nicht über bestimmte Berechtigungen verfügen müssen. Sie können die Ankündigung auch so ausführen, dass keine Benutzeraktionen notwendig werden. Sie können eine Ankündigung mit Hilfe der Option Ankündigungen in der SMSAdministratorkonsoleerstellen.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
Abbildung 14.2
481
SMS 2.0-Softwareverteilungsprozess
Weitere Informationen zur SMS-Softwareverteilung finden Sie im Systems Management Server Administratorhandbuch.
Allgemeine Verfahren bei der SMS-Softwareverteilung Bei umfangreichen Softwareverteilungen, z. B. Windows 2000, ist es wichtig, auf die beiden Phasen der Systems Management Server 2.0-Softwareverteilung hinzuweisen: Verteilung und Ankündigung. Über die Verteilung wird die Software auf den Computer übertragen, der aktualisiert werden soll. Über die Ankündigung wird die Aktualisierung gestartet. Bei einem Paket im Umfang von Windows 2000 wird in der Verteilungsphase ein großer Teil an Ressourcen belegt, was bei mangelndem Speicherplatz zu Problemen führen kann. Stellen Sie daher sicher, dass die Verteilungsphase sorgfältig geplant und überwacht wird. Nachdem die Verteilungsphase erfolgreich abgeschlossen ist, beginnt die Ankündigungsphase. Testen Sie die Verteilung, indem Sie Windows 2000 zunächst nur an einen Standort verteilen. Die erste Ankündigung des Pakets sollte zunächst auch nur an Clients an diesem Standort gesendet werden. Hierdurch können Sie die SMS-Infrastruktur und -prozeduren in einem eingegrenzten Bereich testen. Verläuft der Test wunschgemäß und steht noch Kapazität zur Verfügung, können Sie das Paket solange an weitere Standorte verteilen und die Reichweite der Ankündigung erhöhen, um weitere Clients und Standorte zu berücksichtigen, bis die gesamte Organisation einbezogen ist. Weitere allgemeine Verfahren werden im Folgenden im Rahmen der Ausführungen zum Softwareverteilungsprozess vorgestellt.
482
Teil IV Windows 2000 – Aktualisierung und Installation
SMS und das Einrichten von Windows 2000 Systems Management Server ist beim Einrichten von Windows 2000 aufgrund der folgenden Faktoren besonders hilfreich: Senden von Windows 2000-Quelldateien an alle Standorte SMS verfügt über Sender, über die Dateien über eine Vielzahl an Netzwerkprotokollen und über nahezu alle Netzwerkverbindungen gesendet werden können. Sender bieten gegenüber den herkömmlichen Dateiübermittlungsmethoden zahlreicheVorteile: ? Verwenden eines Teils der Netzwerkbandbreite, so dass andere ? ?
? ?
Geschäftsfunktionen gleichzeitig fortgesetzt werden können. Weiterleiten von Paketen ausschließlich zu bestimmten Zeiten, z. B. wenn die Verbindung nur von wenigen Benutzern verwendet wird. Überprüfen der Dateien während der Übermittlung, so dass die Übertragung im Falle einer fehlerhaften Netzwerkverbindung beim letzten Prüfpunkt wieder aufgenommen wird und nicht am Anfang. Auswählen einer alternativen Übermittlungsmöglichkeit zum Zielort. Verwenden der SMS-Hierarchie für das Übermitteln der Pakete an die Standorte, und kein direktes Versenden von Paketen an alle Standorte vom Ursprungsstandort aus.
Das Verwenden von Sendern ist bei Remotestandorten von Vorteil, vor allem, wenn dort kein Personal für den technischen Support zur Verfügung steht. In diesen Fällen kann die Windows 2000-Software zuverlässig an alle Standorte verteilt werden, ohne dass andere Geschäftsfunktionen davon betroffen werden. Überwachen der Verteilung an alle Standorte Nachdem ein Schritt abgeschlossen ist, wird über SMS automatisch eine Statusmeldung gesendet, und Sie können mit Hilfe des SMS-Statussubsystems diese Meldungen problemlos überwachen. Auswählen von Computern Da es sich beim Einrichten von Windows 2000-Aktualisierungen um einen großen, komplexen Prozess mit weitreichenden Folgen handelt, muss die Einrichtung phasenweise vorgenommen werden. Dies wirkt sich sowohl auf die Netzwerkaktivität als auch auf den erforderlichen Support aus. Möglicherweise stehen auch nicht alle Computer so zur Verfügung, dass die Pakete gleichzeitig empfangen werden können, z. B. ist auf einigen Computern nicht genug RAM oder Speicherplatz vorhanden. Über SMS werden Inventurdaten zu den Computern zusammengestellt, so dass Sie Abfragen erstellen können, über welche die geeigneten Computer ausgewählt werden können. Wenn der Prozess wunschgemäß verläuft, können Sie die Auswahl erweitern. Bei der Zusammenstellung der Inventurdaten können weitere Computer, die nun den Auswahlkriterien entsprechen, automatisch berücksichtigt werden. In einer Zusammenstellung sollen z. B. Computer mit 64 Megabyte (MB) RAM und höher berücksichtigt werden. Werden einem Clientcomputer mit 32 MB weitere 32 MB hinzugefügt, kann eine Windows 2000-Aktualisierung vorgenommen werden, und er wird automatisch in der Zusammenstellung berücksichtigt.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
483
SicheresBereitstellenausreichenderBetriebssystemrechte Aktualisierungen des Betriebssystems betreffen alle Bereiche des Computers und erfordern daher umfassende Zugriffsrechte des Benutzers. Möglicherweise bestehen Vorbehalte, Benutzern mit wenig Kenntnissen von Computern oder wichtigen Firmenrichtlinienund -prozeduren derartige Berechtigungen zu erteilen. SMS verfügt über besondere Rechte, und die Aktualisierung kann in diesem Rahmen ausgeführt werden. AutomatischesStarten derInstallation Aktualisierungen können entweder automatisch oder durch den Benutzer gestartet werden. Sie können den Prozess so einrichten, dass aus den komplexen Optionen auch dann keine Auswahl getroffen werden muss, wenn der Benutzer aktiv eingebunden ist. Sie können den Benutzern die Möglichkeit einräumen, den Zeitpunkt der Aktualisierung zu steuern, so dass sie durchgeführt wird, wenn der Computer nicht für die Arbeit benötigt wird. BehebenvonProblemen Werden durch die Aktualisierung auf Windows 2000 Probleme bei einem bestimmten Computer verursacht, bietet SMS Features, mit denen diese Probleme behoben werden können. Die von SMS bereitgestellten Status- und Inventurdaten bieten an einer zentralen übersichtlichen Quelle, der SMS-Administratorkonsole, viele Einzelheiten zu dem Computer. Sie können auch die Remotetools unter SMS verwenden, um den Computer über Remotefunktionen zu steuern, Daten zu übertragen oder den Computer in anderer Form zu verändern (solange der SMSClient funktionsbereit ist). Verwendet ein Benutzer eine inkompatible Anwendung oder eine Anwendung, die neu installiert werden sollte, können Sie die SMS-Softwareverteilung verwenden, um diese Anwendung automatisch zu aktualisieren oder zu entfernen. Aufzeichnen des Status SMS-Statusmeldungen werden nicht nur für die Verteilung des Pakets, sondern auch für die Ankündigungen und die Installation auf den Benutzercomputern erzeugt. Sie können diese Statusmeldungen verwenden, um Einrichtungsrate und -erfolg aufzuzeichnen. Die erforderlichen Schritte zum Ausnutzen dieser SMS-Features werden in den folgenden Prozeduren beschrieben. Einzelheiten zum Aktivieren der notwendigen SMS-Subsysteme und zum sinnvollen Verwenden dieser Systeme finden Sie in der SMS-Dokumentation.
Packen von Windows 2000 für Systems Management Server Beim Verwenden von Systems Management Server zum Einrichten von Windows 2000 müssen die Windows 2000-Dateien in ein SMS-Paket gepackt werden. Für Windows 2000 Server und Windows 2000 Professional müssen unterschiedliche Pakete erstellt werden. SMS 2.0 enthält vordefinierte Pakete für Windows 2000 Server und Professional. Sie können als Ausgangspunkt zum Erstellen von Windows 2000-Paketen verwendet werden.
484
Teil IV Windows 2000 – Aktualisierung und Installation
Für jedes Paket erhält SMS die Dateien aus einem Distributionsordner. Weitere Informationen zum Strukturieren von Distributionsordnern finden Sie unter „AutomatisierenderClientinstallation und der Aktualisierung“ in dieser Dokumentation. Die Distributionsordner müssen, wie in diesem Kapitel beschrieben, strukturiert werden, und alle zum Abschließen der Aktualisierung erforderlichen zusätzlichen Dateien müssen berücksichtigt werden, z. B. Plug & Play-Gerätetreiber und Antwortdateien. Sie können auch Standardanwendungen, Sprachpakete und Service Packs einschließen. Jedes vordefinierte SMS-Paket für Windows 2000 enthält auch SMS-Programme. Bei jedem Programm handelt es sich um eine unterschiedliche Kombination von Optionen, die zum Installieren des Windows 2000-Pakets erstellt wird. Über das Standardprogramm kann Windows 2000 z. B. ohne Benutzereingriff installiert werden. Soll es Hauptbenutzern ermöglicht werden, Optionen auszuwählen, benötigen sie ein zusätzliches Programm. Alle verwendeten SMS-Programme müssen mit den Dateien des im Distributionsordner verfügbaren Pakets kompatibel sein.
Vorbereiten des Windows 2000 Server-Aktualisierungspakets Über folgende Prozedur wird das Einrichten eines typischen Aktualisierungspakets für Windows 2000 Server beschrieben. Der erste Schritt besteht im Einrichten des Speicherorts der Paketquelldateien und des vordefinierten SMS-Pakets für das Verteilen von Windows 2000 Server. ? So erstellen Sie ein SMS-Paket für Windows 2000 Server 1. Richten Sie einen Speicherort für die Paketquelldateien ein. Dieser Prozess wird im Kapitel „Automatisieren der Serverinstallation und der Aktualisierung“ in dieser Dokumentation beschrieben. Hierzu gehören die Windows 2000-Dateien, eine Antwortdatei und andere evtl. erforderlichen Dateien. 2. Wählen Sie in der SMS-Administratorkonsole die Option Pakete aus. Zeigen Sie im Menü Vorgang auf Neu, und klicken Sie dann auf Paket aus Definition, wie in Abbildung 14.3 dargestellt.
Abbildung 14.3 Starten des SMS-Pakets über den Assistenten
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
485
3. Klicken Sie auf der Startseite auf Weiter. Klicken Sie in der Liste Paketdefinition auf Windows 2000 Server. 4. Klicken Sie auf der Seite „Quelldateien“ zunächst auf Komprimierte Version der Quelle erstellen und dann auf Weiter. Geben Sie im Feld Quellverzeichnis den Pfad zu den Paketquelldateien ein (siehe Schritt 1). Klicken Sie zunächst auf Weiter und dann auf Fertig stellen. Steht auf dem Standortserver wenig Speicherplatz zur Verfügung, können Sie auf der Seite Quelldateien die Option Dateien immer aus einem Quellverzeichnis abrufen auswählen. Hierdurch werden zukünftige Verteilungen der Software jedoch verlangsamt, und es muss sichergestellt werden, dass das Quellverzeichnis immer zur Verfügung steht. 5. Nachdem der Assistent abgeschlossen ist, wählen Sie unter dem neuen Paket den Eintrag Programme aus. Doppelklicken Sie im Ergebnisausschnitt (die rechte Seite der Konsole) auf den Eintrag Automatisiertes Upgrade von NTS 3.51/4.0 (x86). Überprüfen Sie dann, ob es sich bei der vordefinierten Befehlszeile um den ordnungsgemäßen Setup-Befehl für Ihre Belange handelt. Wiederholen Sie Schritt 5 für die anderen gewünschten Programme. Informationen zum Überprüfen, ob die vordefinierte Befehlszeile den gewünschten Anforderungen entspricht, finden Sie unter „Überprüfen der Paketdefinition für Windows 2000 Server“ an späterer Stelle in diesem Kapitel. Erwägen Sie das Angeben einer Antwortdatei in der Befehlszeile des Programms, mit deren Hilfe Sie eine große Anzahl an Konfigurationsoptionen festlegen können. Weitere Informationen zu Antwortdateien finden Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ in dieser Dokumentation. 6. Geben Sie im Feld Kommentar einen Befehl für jedes Programm ein, das verwendet werden soll. Da die Kommentare dem Benutzer angezeigt werden, stellen Sie sicher, dass sie beschreibend sind. Stellen Sie den Benutzern Kontaktdaten zur Verfügung, z. B. Name, Telefonnummer oder E-Mail-Adresse einer Person, an die sie sich wegen weiterer Informationen wenden können. 7. Passen Sie auf der Registerkarte Anforderungen ggf. die Werte für Geschätzter Speicherplatz und Geschätzte Ausführungszeit so an, dass sie für die durchzuführende Aktualisierung geeignet sind. Bei diesen Werten handelt es sich um Informationen für die Benutzer. 8. Stellen Sie auf der Registerkarte Umgebung für jedes Programm sicher, dass Programmausführung von auf Unabhängig davon, ob ein Benutzer angemeldet ist gesetzt ist. Über diese Einstellung wird sichergestellt, dass das Programm mit administrativen Rechten ausgeführt wird, was für Microsoft ® Windows NT® ServerAktualisierungen erforderlich ist. 9. Klicken Sie auf OK, um das Feld für die Programmeigenschaften zu schließen. 10. Wählen Sie das Windows 2000 Server-Paket aus, und klicken Sie im Menü Vorgang auf Eigenschaften. Geben Sie auf der Registerkarte Berichtinformationen 5.0 für die Version an. Stellen Sie sicher, dass der Name Windows NT und der Herausgeber Microsoft lautet.
486
Teil IV Windows 2000 – Aktualisierung und Installation
Wichtig Es ist notwendig, diese Werte anzugeben, damit für den Ankündigungsstatus genaue Daten zur Verfügung stehen. Andernfalls werden alle Ausführungen des SMS-Pakets als erfolgreich aufgezeichnet, auch wenn eine Ausführung abgebrochen wird oder fehlschlägt. 11. Klicken Sie auf OK, um das Feld für die Paketeigenschaften zu schließen. 12. Soll sichergestellt werden, dass kein Benutzer einen Computer aktualisiert, ehe Sie bereit sind, Windows 2000 einzurichten, wählen Sie unter dem neuen Paket den Eintrag Zugriffskonten, und löschen Sie im Ergebnisausschnitt die Zugriffskonten Gäste und Benutzer. Beachten Sie, dass unter SMS die Softwareverteilungsfreigaben verborgen werden und dass Benutzer Administratorrechte für die Computer (oder die Computer unter Microsoft Windows 95 oder MicrosoftWindows 98) benötigen, um diese Freigaben nutzen zu können. Benutzern, die über die Berechtigung verfügen, zu einem späteren Zeitpunkt auf Windows 2000 zu aktualisieren, müssen Zugriffsrechte gewährt werden. Passen Sie zu diesem Zeitpunkt auch keine Verteilungspunkte an, und erstellen Sie keineAnkündigungen. Achtung Informationen zum Verwenden von Sicherheit beim Steuern, welche Personen das Paket anpassen oder einrichten dürfen, finden Sie im Kapitel „Verteilen von Software“ im Systems Management Server 2.0 Administratorhandbuch. Wenn Sie für verschiedene Aktualisierungen mehrere Antwortdateien für die Windows 2000-Aktualisierung benötigen, müssen in der SMS-Administratorkonsole zusätzliche Programme für das Paket erstellt werden. Über jedes Programm wird eine andere Antwortdatei für die winnt32 /unattend-Option angegeben. Mit Hilfe von unterschiedlichen Antwortdateien können verschiedene Gruppen von Computern auf unterschiedliche Weise aktualisiert werden, wobei nur ein einziges Paket verwendet wird. Systems Management Server 2.0 umfasst zahlreiche ausgefeilte Optionen für Pakete und ihre Programme. Sie können z. B. festlegen, dass die Windows 2000Dateien innerhalb eines bestimmten Freigabenamens an den Verteilungspunkten zur Verfügung stehen. Auf diese Weise können sie problemlos von SMS und von Personen verwendet werden, die Aktualisierungen manuell durchführen. Die SMSDokumentation enthält Einzelheiten zu diesen Optionen.
Zulassen von Benutzereingaben während der Aktualisierung Die meisten SMS-Administratoren halten es für sinnvoll, während der Paketinstallation keine Benutzereingaben zuzulassen. Wenn Benutzer eigene Software installieren, werden sie über das Setupprogramm in aller Regel zu Antworten aufgefordert, z. B. auf welchen Datenträger die Software installiert werden soll oder welche Optionen installiert werden sollen. Jede Benutzerinteraktion stellt eine Fehlerquelle dar, die Probleme verursachen kann. Möglicherweise können die Benutzer nicht die Reichweite ihrer Entscheidungen abschätzen. Wenn auch nur ein geringer Prozentsatz der Benutzer fehlerhaft reagiert, kann es zu einer Vielzahl
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
487
von Fragen an den Helpdesk kommen, wenn Sie gerade eine große Zahl an Computern aktualisieren. Ein weiterer Grund, Benutzereingaben während der Aktualisierung zu vermeiden, besteht darin, dass die Installation zu einem Zeitpunkt stattfinden soll, an dem an dem Computer nicht gearbeitet wird, so dass die Benutzer möglichst wenig davon betroffen werden. Schließlich wird durch das Bereitstellen aller Antworten in einer Antwortdatei sichergestellt, dass den Konfigurationsstandards entsprochen wird. Wenn Sie sich an diesen Standards orientieren, vereinfachen Sie die zukünftige Verwaltung und den Support für die Computer, indem Sie die Anzahl der Variablen reduzieren, die im Hinblick auf Probleme relevant werden können. Wenn Sie eine Antwortdatei mit allen erforderlichen Einzelheiten für die Aktualisierung bereitstellen, wird verhindert, dass über das Setupprogramm für Windows 2000 eine Benutzereingabe angefordert wird. Wurden einige Einzelheiten nicht bereitgestellt (und die UnattendMode-Zeile in der Antwortdatei lässt dies zu) oder die /unattend-Befehlszeilenoption nicht angegeben, wird der Benutzer über das Programm aufgefordert, die Einzelheiten anzugeben. Eine Antwortdatei für eine Serveraktualisierung kann folgendermaßen aufgebaut sein (die JoinDomainZeile muss geändert werden): [Unattended] FileSystem = LeaveAlone UnattendMode=FullUnattended NTUpgrade=Yes [Networking] InstallDefaultComponents = Yes [Identification] JoinDomain = RED1DOM
Anmerkung Die Antwortdatei muss mit Hilfe des Befehls winnt32 /unattend:answer.file angegeben werden. Über den Befehl winnt32 /unattend wird zwar eine unbeaufsichtigte Aktualisierung durchgeführt, aber die benötigten Daten werden aus der aktuellen Konfiguration verwendet.
Überprüfen der Windows 2000 Server-Paketdefinition Die im Lieferumfang von Systems Management Server 2.0 enthaltene Windows 2000 Server-Paketdefinition umfasst vordefinierte Programme. Machen Sie sich mit diesen Programmen vertraut, um zu verstehen, wie die Aktualisierungen durchgeführt werden. Die Windows 2000 Server-Aktualisierung von Windows NT Server umfasst die Optionen /unattend30 und /batch. Die erste Option, /unattend30, bedeutet, dass eine unbeaufsichtigte Aktualisierung durchgeführt wird, und dass alle erforderlichen Daten aus der aktuellen Installation übernommen werden. Der Computer wird 30 Sekunden nach Abschluss der ersten Phase des Setupprogramms neu gestartet, d. h. nachdem die Dateien auf den Computer kopiert wurden. Es wird keine Antwortdatei verwendet.
488
Teil IV Windows 2000 – Aktualisierung und Installation
Über die /batch-Option wird festgelegt, dass das Setup keine Fehlermeldungen anzeigt. Dies ist dann empfehlenswert, wenn das Paket an Benutzer gesendet wird, die beim Setup nicht involviert sein sollten oder wenn die Aktualisierung ausgeführt wird, oder wenn an dem Computer kein Benutzer sitzt. Treten bei der Aktualisierung jedoch Probleme auf, z. B. mangelnder Speicherplatz oder ein falsches Verzeichnis Ausführen in, wird dies nicht sofort erkennbar, da keine Fehlermeldungen angezeigt werden. Die SMS-Statusmeldungen, die als Ergebnis des Vorgangs erzeugt werden, müssen jedoch Daten zu Fehlern enthalten. Treten beim Testen Fehler auf und reichen die Statusmeldungen nicht aus, entfernen Sie die /batch-Option, so dass beim Testen der Pakete auftretende Fehler angezeigt werden. Wenn ein Benutzer während der ersten Phase der Installation von Windows 2000 auf die Schaltfläche Abbrechen klickt, wird er auch nicht aufgefordert, zu bestätigen, dass der Installationsvorgang abgebrochen werden soll. Standardmäßig wird das Verzeichnis Ausführen in für das Paket mit i386 angegeben. Dies ist dann empfehlenswert, wenn die Quelle des Pakets ein i386Verzeichnis enthält, in dem die CD-ROM für Windows 2000 widergespiegelt wird. Umfasst die Quelle für das Paket jedoch nur die Dateien in und unter dem i386Verzeichnis auf der CD-ROM, ist es nicht notwendig, ein Verzeichnis Ausführen in anzugeben. Bei den in dem SMS 2.0-Paket enthaltenen Werten für Festplattenspeicher und Laufzeit handelt es sich um geschätzte Werte, die möglicherweise auf die von Ihnen verwendete Umgebung nicht angewendet werden können. Möglicherweise sollen sie erhöht werden. Diese Werte dienen nur zur Information. Beachten Sie auf der Registerkarte Umgebung, dass das Programm mit administrativen Rechten ausgeführt wird, die über SMS auf sichere Art und Weise gewährt werden. Dies ist ein entscheidender Vorteil, wenn Clients unter Microsoft Windows NT Workstation auf Windows 2000 Professional aktualisiert werden. Dieses Feature bedeutet, dass die Endbenutzer nicht über Administratorrechte verfügen müssen. Es kann auch von Bedeutung sein, wenn Server im Besitz von Geschäftseinheiten stehen und wenn zentral arbeitende Administratoren nur über SMS über Berechtigungen an den Servern verfügen. Wenn Sie in die Befehlszeile des Paketprogramms eine Antwortdatei einschließen, können Sie viele der Optionen für die Aktualisierung festlegen. Sie können z. B. angeben, auf welche Festplatte Windows 2000 installiert werden soll oder ob eine Aktualisierung oder eine Neuinstallation durchgeführt werden soll.
Vorbereiten des Windows 2000 ProfessionalAktualisierungspakets Um die Computer der Benutzer mit Hilfe von SMS auf Windows 2000 Professional vorzubereiten, muss zunächst ein Windows 2000 Professional-Paket erstellt werden. Dieses Paket wird auf ähnliche Weise vorbereitet und verwendet wie das Windows 2000 Server-Paket. Starten Sie mit der Prozedur zum Erstellen eines Windows 2000 Server-Pakets, stellen Sie jedoch sicher, dass angegeben wird, dass es sich um ein Windows 2000 Professional-Paket handelt. Da bei Aktualisierungen von Windows 95 und Windows 98 auf Windows 2000 besondere Gesichtspunkte zu beachten sind, muss den Ausführungen im nächsten Abschnitt entsprechend ein neues Programm erstellt werden.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
489
Anmerkung Stellen Sie auch sicher, dass beim Verwenden von SMS zum Verteilen von Windows 2000 Advanced Server ein eigenes Paket erstellt wird. Obwohl viele Dateien und Installationsdetails in diesem Programm den Dateien und Details in Windows 2000 Server entsprechen, bestehen doch einige Unterschiede, so dass für jede Version ein eigenes Paket erforderlich ist. Sie können beim Erstellen von Paketen zum Verteilen von anderen Versionen von Windows 2000 Server die Basispaketdefinition von Windows 2000 Server als Ausgangspunkt verwenden.
Windows 95- und Windows 98-Aktualisierungen Neben den Unterschieden hinsichtlich der Quelldateien liegt ein bedeutender Unterschied zwischen der Windows 2000 Server-Aktualisierung und der Windows 2000 Professional-Aktualisierung in den Antwortdateien beim Aktualisieren der Clients unter Windows 95 oder Windows 98 auf Windows 2000 Professional. Computer unter Windows 95 oder Windows 98 sind keine Domänenmitglieder (auch dann nicht, wenn die Benutzer sich bei einer Domäne angemeldet haben) und verfügen nicht über lokale Konten (obwohl sie über lokale Profile und Dateien für Kennwortlisten verfügen). Daher müssen wichtige Details in der Antwortdatei angegeben werden, z. B. Folgendes (die Werte JoinDomain, DomainAdmin und DomainAdminPassword müssen geändert werden): [Unattended] FileSystem = LeaveAlone UnattendMode=FullUnattended Win9xUpgrade=Yes [Networking] InstallDefaultComponents = Yes [GUIUnattended] AdminPassword=Testing123 [Identification] JoinDomain = RED1 DomainAdmin = AddComputers DomainAdminPassword = Restricted
Für einen Computer, der von Windows 95 oder Windows 98 auf Windows 2000 aktualisiert wird, wird ein lokales Administratorkonto vergeben. Für dieses Konto ist ein Kennwort erforderlich; dieses Kennwort kann entweder im Abschnitt GUIUnattended festgelegt werden, oder der Benutzer kann am Ende der Aktualisierung aufgefordert werden, dieses Kennwort anzugeben. Dieses Kennwort kann von jeder Person aus der Antwortdatei gelesen werden, die Zugriff auf die SMSPaketfreigabe hat, also in aller Regel von den meisten Benutzern. Dies stellt kein unmittelbares Sicherheitsrisiko dar, da die Computer unter Windows 95 und Windows 98 auch vor der Aktualisierung nicht als sicher angesehen werden konnten. Möglicherweise möchten Sie das Administratorkennwort auf einen sicheren Wert setzen und begrenzte Administratorrechte vergeben. Dies können Sie nach der Aktualisierung vornehmen, indem Sie ein Programm ausführen, über welches das Kennwort auf einen Wert gesetzt wird, der nur für autorisiertes Personal freigegeben ist. Das Kennwort wird innerhalb des Programms kompiliert und steht nicht autorisierten Mitarbeitern nicht zur Verfügung. Solche Programme können problemlos erstellt werden, indem Sie bekannte Programmiersprachen oder Scriptingtools, z. B. SMS Installer, verwenden. Das Programm kann entweder mit Hilfe von SMS verteilt werden oder es kann am Ende der Windows 2000Aktualisierung aufgerufen werden, indem Sie in der Antwortdatei die entsprechenden Werte festlegen.
490
Teil IV Windows 2000 – Aktualisierung und Installation
Computer unter Windows 95 und Windows 98 sind zwar keine Mitglieder von Domänen, Computer unter Windows 2000 müssen jedoch Mitglieder von Domänen sein. Daher muss in der Antwortdatei die Zeile JoinDomain enthalten sein, in der angegeben wird, welcher Domäne der Computer angehören soll, und es müssen ein Administratorkonto sowie ein Kennwort mit dem Recht angegeben werden, diesen Computer in diese Domäne einzubeziehen. Achtung Da Antwortdateien auch von nicht autorisiertem Personal gelesen werden können, müssen beim Erstellen dieser Dateien Sicherheitsaspekte berücksichtigt werden. Es ist jedoch unwahrscheinlich, dass Personen über einen SMSVerteilungspunkt auf diese Dateien zugreifen, da die Verteilungspunkte nicht angezeigt werden und bekannt sein muss, an welcher Stelle nach diesen Daten zu suchen ist. Eine geeignete Vorsichtsmaßnahme besteht jedoch darin, ein Administratorkonto zu verwenden, dessen einziges Recht darin besteht, Arbeitsstationen zu Domänen hinzuzufügen. Eine weitere Maßnahme besteht darin, einen auf diese Weise aktualisierten Computer einer dedizierten Ressourcendomäne hinzuzufügen. In diesem Fall benötigt das Administratorkonto nur Rechte in dieser Domäne und kann daher nicht zu Problemen in anderen Domänen führen, in denen sich Kontendomänencontroller oder andere Computer mit vertraulichen Daten befinden. Über die Antwortdatei muss auch angegeben werden, dass die Computer unter Windows 95 oder Windows 98 aktualisiert werden sollen. Geben Sie hierfür in der Antwortdatei folgende Zeile ein: Win9xUpgrade=Yes
Ohne diese Zeile wird keine Aktualisierung, sondern eine Neuinstallation von Windows 2000 durchgeführt. Während der Aktualisierung von Windows 95 oder Windows 98 auf Windows 2000 werden über das Setupprogramm von Windows 2000 Programme gelöscht, die möglicherweise nicht mit Windows 2000 kompatibel sind. Dies ist bei einigen Clientkomponenten von SMS 2.0 der Fall. Unter Windows 2000 stehen sogenannte Migrations-DLLs zur Verfügung, über welche die Migration solcher Programme vereinfacht wird. Informationen zu den Migrations-DLLs erhalten Sie unter dem Hyperlink „Microsoft Systems Management Server“ auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources.
Aktualisierung von Windows NT Workstation Eine Aktualisierung von Windows NT Workstation auf Windows 2000 ist im Vergleich zu einer Aktualisierung von Windows 95 oder Windows 98 verhältnismäßig leicht durchzuführen. Dies liegt daran, dass Windows NT Workstation wesentlich mehr Gemeinsamkeiten mit Windows 2000 Professional aufweist. Daher können Sie Windows NT Workstation ohne Antwortdatei bzw. mit einer minimalen Antwortdatei aktualisieren. Es ist wichtig, die Eigenschaften Umgebung des SMS-Programms so zu setzen, dass es ohne Administratorrechte ausgeführt werden kann, es sei denn, es findet eine Benutzeranmeldung mit administrativen Rechten statt, wenn das Paket auf den Clientcomputern gestartet wird.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
491
Verteilen der Windows 2000-Pakete Die SMS-Paketdateien für Windows 2000 müssen an alle Standorte verteilt werden, an denen die Computer aktualisiert werden sollen. Eine Verteilung muss auch dann stattfinden, wenn nur ein Standort zur Verfügung steht. Die Verteilung besteht im Senden der Paketdateien an den Standort und im Übermitteln der Dateien an die SMS-Verteilungspunkte innerhalb des Standorts.
Vorbereiten der Paketverteilung Vor dem Verteilen der Windows 2000-Pakete müssen zahlreiche Tasks durchgeführt werden, um sicherzustellen, dass die Pakete über die SMS-Hierarchie empfangen werden können.
Überprüfen des Status der Standortserver und Verteilungspunkte Bei Windows 2000 handelt es sich um ein Betriebssystem, für den ein beachtlicher Anteil an Speicherplatz benötigt wird. Es ist nicht nur eine Kopie von Windows 2000 für das Aktualisieren von Computern erforderlich, sondern für SMS sind ebenfalls Kopien erforderlich, da über SMS das Paket zwischen den Servern verschoben wird. Daher müssen die Standortserver und Verteilungspunkte überprüft werden, um sicherzustellen, dass ausreichend Speicherplatz zur Verfügung steht. Hierzu ist es am einfachsten, in der SMSAdministratorkonsole zu Systemstatus zu wechseln, den Eintrag Standortstatus auszuwählen und dann für jeden Standort auf Standortsystemstatus zu klicken, wie es in Abbildung 14.4 dargestellt ist. Im Ergebnisausschnitt werden die Verteilungspunkte sowie der jeweilige freie Speicherplatz angezeigt.
Abbildung 14.4 Standortstatus mit den Verteilungspunkten und dem jeweiligen freien Speicherplatz
492
Teil IV Windows 2000 – Aktualisierung und Installation
Sicherstellen der angemessenen Anzahl an Verteilungspunkten für jeden Standort Möglicherweise soll die Anzahl an Windows 2000-Aktualisierungenbegrenzt werden, die an jedem Standort gleichzeitig durchgeführt werden. Aktualisierungen können zu schweren Belastungen des lokalen Netzwerks und der Verteilungspunkte führen. Vor der Aktualisierung sollte ein Versuch im Testlabor oder ein Pilotprojet durchgeführt werden. Verwenden Sie beim Testen Server, die den typischen Bedingungen der Verteilungspunkte oder des Netzwerks entsprechen. Hierdurch können Sie beurteilen, wie viele Clients problemlos gleichzeitig aktualisiert werden können. Sollte sich herausstellen, dass zwar nicht das Netzwerk, sondern die Verteilungspunkte einen Engpass für die Aktualisierungen darstellen, ziehen Sie das Hinzufügen weiterer Verteilungspunkte zu dem Standort in Betracht. Weitere Informationen zum Hinzufügen von Verteilungspunkten finden Sie unter „Verteilen von Software“ im Systems Management Server Administratorhandbuch.
Verwenden von Verteilungspunktgruppen Da das Windows 2000-Paket sehr umfangreich ist und in hohem Maße verwendet wird, stellen Sie sicher, dass für dieses Paket Verteilungspunkte zur Verfügung stehen. Sie können auf diese Verteilungspunkte als eine Gruppe verweisen. Sie können für die Windows 2000-VerteilungspunkteeineVerteilungspunktgruppe erstellen, um die Anzahl der administrativen Tasks zu verringern. Sie können Verteilungspunktgruppen erstellen (und bei den Gruppen Verteilungspunkte hinzufügen oder entfernen), wenn Sie Verteilungspunkte erstellen oder anpassen. Während der Verteilung können Sie dann die Verteilungspunktgruppen an denselben Stellen angeben, an denen die Verteilungspunkte angegeben werden.
Sicherstellen verfügbarer Sendersteuerungen Wird das Windows 2000-Paket an einen Standort gesendet, an dem keine entsprechenden Sendersteuerungen zur Verfügung stehen, kann die Netzwerkverbindung überlastet werden, wenn gleichzeitig andere Geschäftsfunktionen durchgeführt werden. Überprüfen Sie daher die Sendersteuerungen im Hinblick auf die ordnungsgemäßen Einstellungen. Die SMS-Administratorkonsoleenthält SMS-Adressdefinitionen für jeden Standort. Zu den SMS-Adressen gehören der Name des SMS-Standortservers, die Sicherheitsdetails zum Zugreifen auf diesen Standort und – falls notwendig – die Netzwerktransportdetails. Die Adressen umfassen ebenfalls einen Zeitplan, um anzugeben, wann Übertragungen niedriger, mittlerer und hoher Priorität ausgeführt werden können und welcher Anteil der Netzwerkverbindung jederzeit verwendet werden kann.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
493
Sicherstellen der Funktionsweise für das Fan-Out der Verteilung Systems Management Server 2.0 verfügt über ein Feature, den sogenannten FanOut, über das untergeordnete Standorte Software an weiter untergeordnete Standorte verteilen können. Hierdurch wird die Belastung des Standortes verringert, der verwendet wird, um die Softwareverteilung zu starten, da die Software nicht vom ausgehenden Standort aus an alle Standorte verteilt werden muss. Ebenfalls verringert wird die Belastung der Netzwerkverbindung zwischen dem ausgehenden Standort und den restlichen Standorten, was häufig den wichtigsten Aspekt darstellt. Bei Verteilungen an viele Standorte kann das häufige Kopieren von Windows 2000 über das Netzwerk zu einer Überbelastung führen. In Abbildung 14.5 wird der Unterschied zwischen der Softwareverteilung mit und ohne Fan-Out dargestellt.
Abbildung 14.5 Zwei Arten von Softwareverteilung
Eine Verteilung mit Fan-Out findet automatisch statt, wenn dem ausgehenden Standort keine SMS-Adresse für den Zielstandort zur Verfügung steht. Daher muss die SMS-Administratorkonsole verwendet werden, um die SMS-Adressen zu überprüfen und um sicherzustellen, dass der einzige SMS-Server mit einer Adresse für einen Standort diesem Standort übergeordnet ist.
Auswählen eines Teststandorts Um sicherzustellen, dass der Plan abgeschlossen ist, verteilen Sie das Windows 2000-Paket an einen Teststandort oder eine kleine Anzahl an Standorte, ehe es an die gesamte Organisation gesendet wird. Hierdurch können Sie Probleme schnell beheben und mögliche Auswirkungen gering halten. Der Teststandort bzw. die Standorte sollten zwar soweit wie möglich den vorherrschenden Bedingungen entsprechen, jedoch sollte mindestens ein Standort ein Szenario für ein hohes Risiko darstellen. Zu den Beispielen eines solchen Szenarios gehört das Einrichten mit einem Standortserver bzw. Verteilungspunkten, bei denen sehr wenig Festplattenspeicher zur Verfügung steht, oder eine besonders langsame bzw. unzuverlässige Netzwerkverbindung.
494
Teil IV Windows 2000 – Aktualisierung und Installation
Eine gute Methode für diesen Test besteht darin, mit kleinen Standorten zu beginnen, bei denen keine komplexen Anforderungen zu erfüllen sind. Der ideale Teststandort verfügt über Mitarbeiter des technischen Support, die jederzeit zur Verfügung stehen, und über Benutzer, die Interesse an der Sache mitbringen. An solchen Standorten können Sie Lösungen für mögliche Probleme erkennen, die während der Einrichtungsplanung nicht berücksichtigt wurden. Verläuft der Test wunschgemäß, kann er auf umfangreichere, komplexere oder schwierig zu unterstützende Standorte ausgedehnt werden. Während der Verteilungsphase muss die Einrichtung von Windows 2000 für die Benutzer transparent sein, da die Aktualisierungen auf den jeweiligen Computern noch nicht vorgenommen wurden. Hier ist zwar auch Vorsicht geboten, vor allen Dingen aber muss später während des Einrichtungsprozesses sorgfältig vorgegangen werden. Weitere Informationen zu den in diesem Abschnitt behandelten Tasks finden Sie im Systems Management Server Administratorhandbuch.
Verteilen der Pakete an Standorte und Verteilungspunkte Die grundlegende Prozedur für das Verteilen von Paketen wird folgendermaßen vorgenommen. Beachten Sie beim Durchführen dieses Tasks, dass die Verteilungspunkte für alle Standorte aufgelistet werden, so dass Sie alle geplanten Verteilungspunkte gleichzeitig auswählen können. Stellen Sie jedoch sicher, dass das Paket zunächst an eine kleine Anzahl Standorte verteilt wird, so dass Sie die SMS-Infrastruktur und die Prozeduren testen können. Ist das Ergebnis zufriedenstellend und sind Kapazitäten frei, können Sie weitere Verteilungspunkte an anderen Standorten einbeziehen. Weitere Informationen zu dieser Prozedur finden Sie unter „Verteilen von Software“ im Systems Management Server Administratorhandbuch. ? So verteilen Sie ein SMS-Paket für Windows 2000 Server 1. Wählen Sie in der SMS-Administratorkonsole die Option Pakete aus, wählen Sie das Windows 2000-Paket aus, und wählen Sie dann die Option Verteilungspunkte aus. 2. Zeigen Sie im Menü Vorgang auf Neu, und klicken Sie dann auf Verteilungspunkte. Der Assistent für neue Verteilungspunkte wird aufgerufen. 3. Klicken Sie auf Weiter, um fortzufahren, und wählen Sie die gewünschten Verteilungspunkte aus. Handelt es sich um eine Testverteilung, wählen Sie die gewünschten Verteilungspunkte aus. Wenn Sie Verteilungspunktgruppen verwenden, wählen Sie diese Gruppen aus. Beachten Sie, dass die Verteilungspunkte für alle Standorte aufgeführt werden, so dass Sie die gewünschten Verteilungspunkte nun auswählen können. Möglicherweise ist es jedoch sinnvoller, nur eine begrenzte Anzahl an Verteilungspunkten gleichzeitig auszuwählen, so dass der Netzwerkverkehr besser verwaltet werden kann. 4. Klicken Sie auf Fertig stellen, um mit der Verteilung zu beginnen.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
495
Achtung Sobald Sie in Schritt 4 auf Fertig stellen geklickt haben, wird der Verteilungsprozess gestartet. Möglicherweise kommt es zu einer kurzen Verzögerung wegen der Systemverarbeitung, der Paketpriorität oder den Senderzeitplänen, stellen Sie sich jedoch auf eine unmittelbare SMS-Aktivitätein. Weitere Informationen zu dem Paketfluss nach dem Starten der Verteilung finden Sie unter „Software Distribution Flowcharts“ in Microsoft® Systems Management Server 2.0 Resource Guide (Teil des Microsoft® BackOffice ® 4.5 Resource Kit). Die Windows 2000-Dateien werden in einer einzigen Datei komprimiert, die dann an untergeordnete Standorte gesendet wird. An jedem Standort kann das Paket dann an untergeordnete Standorte gesendet werden, wenn diese über Verteilungspunkte für das Paket verfügen.
Testen der Verteilung Stellen Sie während der Verteilung der Windows 2000-Pakete sicher, dass sie an den Verteilungspunkten ordnungsgemäß eingesetzt werden. Im Abschnitt „Überwachen der Verteilung“ weiter unten in diesem Kapitel wird beschrieben, wie Sie überprüfen können, dass die Pakete an allen Verteilungspunkten empfangen wurden und wie mögliche Probleme schnell erkannt werden können. Die Verteilungen müssen jedoch auch getestet werden, um sicherzustellen, dass sie vollständig sind und dass die Verzeichnisstrukturen ordnungsgemäß ausgelegt sind. Es müssen zwar nicht alle Verteilungspunkte getestet werden, stellen Sie jedoch sicher, dass an einigen Verteilungspunkten Stichproben vorgenommen werden, um zu gewährleisten, dass die Produktionsverteilung wunschgemäß verläuft.
Erweitern der Verteilung Nachdem die erste Verteilung des Pakets erfolgreich abgeschlossen wurde, können Sie das Paket an weitere Standorte und Verteilungspunkte verteilen. Hierbei handelt es sich zwar um die gleiche Prozedur, möglicherweise soll das Paket jedoch an mehr Verteilungspunkte und mit höherer Geschwindigkeit und weniger Überwachungsaufwand gesendet werden. Die Pakete müssen an die Standorte verteilt werden, ehe sie den Clients an diesen Standorten angekündigt werden können. Über SMS stehen den Clients die Ankündigungen erst dann zur Verfügung, wenn ein Verteilungspunkt zur Verfügung steht.
Verteilen mit Hilfe von Courier Sender Möglicherweise sind die Netzwerkverbindungen bei einigen Standorten langsam bzw. unzuverlässig, oder sie werden von anderem Verkehr belegt. Daher ist es evtl. nicht ratsam, ein umfangreiches Paket wie Windows 2000 über die Netzwerkverbindungen zu senden. SMS 2.0 umfasst einen alternativen Sender, den sogenannten Courier Sender, der verwendet werden kann, um zwar alle Vorteile der SMS-Softwareverteilung zu nutzen, nicht jedoch mit der Netzwerkbelastung konfrontiert zu werden, die in aller Regel mit dem Verteilen von Paketen an Standorte einhergeht.
496
Teil IV Windows 2000 – Aktualisierung und Installation
Mit Hilfe des Courier Sender wird das SMS-Paket auf eine CD-ROM oder ein ähnliches Medium kopiert und dann über den Postweg oder einen Courierdienst an die Standorte gesendet. An den Standorten wird die CD-ROM in den Standortserver eingelegt, und es wird ein Programm ausgeführt. Von diesem Zeitpunkt an nimmt die Softwareverteilung ihren üblichen Verlauf. Die Ankündigungen, Statusinformationen und die anderen Daten fließen zum festgelegten Zeitpunkt zwar über das Netzwerk, aber dieser Verkehr ist gering im Verhältnis zu dem Verkehr, der für das Paket selbst erforderlich ist.
Überwachen der Verteilung Das Verteilen von Windows 2000 in einer Organisation mit vielen Standorten kann eine gewisse Zeit in Anspruch nehmen. Für einige Standorte wird wegen der Geschwindigkeit der WAN-Verbindungen (Wide Area Network), der Zuverlässigkeit dieser Verbindungen, der Senderzeitpläne usw. mehr Zeit benötigt. Es kann auch vorkommen, dass beim Empfangen des Pakets bei einigen Standorten oder Verteilungspunkten trotz guter Vorbereitungen nicht genügend Festplattenspeicher zur Verfügung steht. Aus diesen Gründen ist es von entscheidender Bedeutung, für die Verteilung von Windows 2000 genügend Zeit einzuräumen. Überwachen Sie die Verteilung sorgfältig, um festzustellen, ob Probleme gelöst werden müssen, und stellen Sie sicher, dass die Verteilung an allen Standorten abgeschlossen ist.
Systemstatus-Subsystem SMS 2.0 umfasst ein leistungsstarkes Systemstatus-Subsystem zum Überwachen der Verteilung. In der SMS-Administratorkonsole ist ein Systemstatus-Knoten enthalten, bei dem Sie eine Zusammenfassung und detaillierte Ergebnisse aus dem Systemstatus-Subsystem erhalten. Sie können auch den Status der Paketverteilung aus dem Paketstatus-Unterknoten ablesen. Anmerkung Beim Erstellen eines Pakets wird die Definition dieses Pakets zwar sofort an alle untergeordneten Standorte verteilt, die eigentlichen Dateien für dieses Paket werden jedoch zu diesem Zeitpunkt nicht verteilt. Dieselbe Paketdefinition wird erneut gesendet, wenn sie aktualisiert wird. Dann stehen auch Statusinformationen für die Verteilung der Paketdefinition zur Verfügung. Stellen Sie daher beim Überprüfen des Paketstatus sicher, dass zwischen der Verteilung der Paketdefinition und den Paketdateien unterschieden wird. Der Status der Softwareverteilung wird folgendermaßen auf verschiedenen Stufen zusammengefasst.
Paketstatus aller Pakete Wenn Sie unter der Option Systemstatus den Eintrag Paketstatus auswählen, wird, wie in Abbildung 14.6, angezeigt, wie viele Verteilungspunkte für jedes Paket angegeben wurden und wie viele installiert wurden, einen erneuten Versuch durchführen oder fehlerhaft sind. Diese Stufe ist hilfreich beim Erkennen, bei wie vielen Verteilungspunkten ggf. ein Eingreifen notwendig ist. Beachten Sie den Größenunterschied zwischen dem ursprünglichen Paket und dem komprimierten Paket. Die Paket-ID ist auch für andere Zwecke nützlich, z. B. bei der Problembehandlung.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
Abbildung 14.6
497
Der Status aller Pakete
Auf dieser Stufe können keine Statusmeldungen abgefragt werden.
Paketstatus für ein bestimmtes Paket Unter dem Paketstatus für alle Pakete können die einzelnen Pakete ausgewählt werden. Auf dieser Stufe wird, wie in Abbildung 14.7, angezeigt, welche Standorte über das Paket verfügen bzw. nicht verfügen sollen und an welchen Standorten ein Eingreifen notwendig ist. Sie können auch überprüfen, dass alle Standorte über dieselbe Paketversion verfügen, wie sie in der Spalte Quellversion angegeben ist.
Abbildung 14.7 Der Status des Windows 2000-Pakets an allen Standorten
Auf dieser Stufe können Sie über das Menü Vorgang die Option Meldungen anzeigen, Alle auswählen, so dass alle Statusmeldungen für das Paket an allen Standorten und Verteilungspunkten angezeigt werden. Es kann eine große Anzahl an Meldungen angezeigt werden, so dass es ratsam ist, die Meldungen für jeden Standort einzeln zu überprüfen.
Paketstatus an den Standorten Unter dem Paketstatus für ein bestimmtes Paket können die einzelnen Standorte ausgewählt werden. Mit Hilfe dieser Statusüberprüfung wird, wie in Abbildung 14.8 dargestellt, angezeigt, bei welchen Verteilungspunkten innerhalb eines Standorts es möglicherweise zu Problemen mit der Verteilung kommt.
Abbildung 14.8 Der Status des Windows 2000-Pakets an einem bestimmten Standort
498
Teil IV Windows 2000 – Aktualisierung und Installation
Auf dieser Stufe können Sie über das Menü Vorgang die Option Meldungen anzeigen, Alle auswählen, so dass alle Statusmeldungen für das Paket an diesem Standort und allen entsprechenden Verteilungspunkten angezeigt werden. Es folgt eine typische Meldungsfolge (die verteilungspunktspezifischen Meldungen werden im nächsten Abschnitt aufgeführt): ? 30000 oder 300001 – Paket erstellt oder bearbeitet ? 30003 – Programm erstellt ? 2300, 2310 und 2311 – Verteilungsmanager bereitet Paket vor ? 2339 – Über den Verteilungsmanager werden der Zeitplan und der Sender ? ? ? ?
gestartet, so dass die Paketdaten (nicht die Paketdateien) gesendet werden 30009 – Verteilungspunkt wurde zugewiesen 2333 – Vorbereiten des Sendens eines komprimierten Abbilds des Pakets 2335 – Über den Verteilungsmanager wurden der Zeitplan und der Sender gestartet, so dass die Paketdateien an die Standorte gesendet werden 2315 – Über den Verteilungsmanager wurde das komprimierte Abbild des Pakets gelöscht
Beachten Sie beim Überprüfen der Statusmeldungen, dass jede Folge der Aktivitäten des Verteilungsmanagers mit der Meldung 2301 endet, was darauf hinweist, dass die Folge erfolgreich war. Diese Meldung wird immer angezeigt, wenn über den Verteilungsmanager eine Aktivität abgeschlossen wird. Bei dem Verteilungsmanager handelt es sich um eine SMS-Komponente, über die Pakete vom Standortserver an die SMS-Verteilungspunkte verteilt werden und das Senden des Pakets an andere Standorte gestartet wird.
Paketstatus an einem Verteilungspunkt Aus dem Paketstatus an jedem Standort können Sie jeden Verteilungspunkt auswählen. Auf dieser Stufe können Sie über das Menü Vorgang die Option Meldungen anzeigen, Alle auswählen, so dass alle Statusmeldungen für das Paket an diesem Verteilungspunkt angezeigt werden. Es folgt eine typische Meldungsfolge: ? 2317 – Über den Verteilungsmanager wird das Paket am Verteilungspunkt
? ? ? ?
aktualisiert (wird beim ersten Senden des Pakets an den Verteilungspunkt nicht angezeigt) 2342 – Über den Verteilungsmanager wird mit dem Verteilen des Pakets an den Verteilungspunkt gestartet 2322 – Über den Verteilungsmanager wird das Paket in ein temporäres Verzeichnis dekomprimiert (ggf.) 2329 – Über den Verteilungsmanager wird das Paket aus dem temporären Verzeichnis oder der Paketquelle an den Verteilungspunkt kopiert 2330 – Über den Verteilungsmanager wurde das Paket erfolgreich an den Verteilungspunkt verteilt
Anmerkung Der Systems Management Server Resource Guide enthält das Kapitel „Status Messages“, in dem alle Statusmeldungen sowie der vollständige Meldungstext aufgeführt werden.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
499
Aufzeichnen des Status der Paketverteilung Möglicherweise möchten Sie zu Referenzzwecken oder aus anderen Gründen einen Statusbericht der Paketverteilung erstellen. Sie können Abfragen für die Verteilungsstatusklassen des Pakets durchführen und die Ergebnisse so in einem beliebigen Berichtsprogramm einbinden, wie es bei anderen SMS-Berichtsprogrammen möglich ist. In Tabelle 14.1 werden die wichtigen Klassen und Kategorien der Statusinformationen aufgeführt, die Sie in diesen Programmen vorfinden. Tabelle 14.1 Statusklassen der Paketverteilung Klasse
Statusinformation
SMS_PackageStatus
Zusammenfassende Informationen zu dem Status der Pakete an den Verteilungspunkten. Informationen zum Status eines bestimmten Pakets. Wird dem Paketstatus in der SMS-Administratorkonsole zugeordnet.
SMS_PackageStatus RootSummarizer SMS_PackageStatus DetailsSummarizer
Detaillierte Informationen zu dem Status eines bestimmten Pakets nach Standortcode. Wird der Konsolenstruktur des Pakets unter Paketstatus in der SMS-Administratorkonsole zugeordnet.
SMS_PackageStatus DistPointsSummarizer
Detaillierte Informationen zu dem Status eines bestimmten Pakets an einem bestimmten Standort. Wird dem Standortcode unter der Konsolenstruktur des Pakets unter Paketstatus in der SMS-Administratorkonsole zugeordnet.
Problembehandlung bei der Verteilung Beim Überwachen der Softwareverteilung kann festgestellt werden, ob es zu Problemen gekommen ist. In aller Regel ist dies der Fall bei nicht ausreichendem Festplattenspeicher, Schwierigkeiten mit der Netzwerkverbindung oder bei Serverproblemen. Über den Text der Statusmeldung wird auf derartige Probleme hingewiesen. Der erste Schritt beim Beheben technischer Probleme besteht darin, das Problem genau zu erkennen. Wenn die fehlerhafte Komponente bekannt ist, kann das Augenmerk auf die entsprechenden Faktoren gerichtet werden. Mit Hilfe der zuvor beschriebenen Überwachungsmethoden können Sie das Problem erkennen. Das Kapitel „Software Distribution Flowcharts“ in Systems Management Server Resource Guide enthält ebenfalls Abbildungen, in denen der Ablauf des Softwareverteilungsprozesses dargestellt wird. Wenn es Hinweise darauf gibt, dass die Softwareverteilung einen bestimmten Punkt im Ablauf nicht erreicht hat, ist der Fehler wahrscheinlich am vorhergehenden Punkt in dem Flussdiagramm aufgetreten. Nachdem die bestimmte Komponente erkannt wurde, bietet das Verständnis der Funktionsweise Aufschluss über mögliche Ursachen für den Fehler. Das Flussdiagramm ist hierbei ebenfalls hilfreich. Ferner können die Protokolldateien auf einer niedrigen Stufe Aufschluss über die Komponente und daher Hinweise auf mögliche Fehlerursachen geben. Die Protokolle werden mit Hilfe des SMS-DienstManagers aktiviert.
500
Teil IV Windows 2000 – Aktualisierung und Installation
Das Kapitel „Software Distribution Flowcharts“ in Systems Management Server 2.0 Resource Guide enthält auch Tipps für die Problembehandlung bei der Softwareverteilung.
Ankündigen der Windows 2000-Pakete Die Benutzer können eine Aktualisierung auf Windows 2000 durchführen, wenn sie eine Ankündigung empfangen. Die Ankündigungen enthalten für den Benutzer beschreibende Informationen zu dem Paket, und sie umfassen die notwendigen Details, so dass die Programme über SMS ausgeführt werden können. Die Ankündigungen können sogar so zugewiesen werden, dass sie zu bestimmten Zeiten ausgeführt werden und der Benutzer die Aktualisierung nicht blockieren kann oder die Aktualisierung durchgeführt wird, wenn an dem Computer nicht gearbeitet wird.
Auswählen von Computern für die Aktualisierung Über eine Ankündigung wird SMS aufgefordert, einer SMS-Sammlung ein bestimmtes Programm innerhalb eines Pakets zur Verfügung zu stellen. Bei einer Sammlung handelt es sich um eine sehr flexible Definition von Computern, Benutzern oder Benutzergruppen. Bei einer Windows 2000-Softwareverteilung verwenden Sie zunächst Sammlungen, die aus einer kleinen Anzahl von Computern bestehen, die für Testzwecke verwendet werden. Später verwenden Sie Sammlungen, die alle für Windows 2000 bereitstehenden Computer umfassen. Die Sammlung kann nach Standort oder Organisationseinheit unterteilt werden. Sammlungen bieten den Vorteil, dynamisch zu sein, d. h., dass Sie im Laufe der Zeit Computer hinzufügen können. Die für diese Sammlung verfügbaren Ankündigungen stehen diesen zusätzlichen Computern dann automatisch zur Verfügung. Basiert die Sammlung z. B. auf der Speicherkapazität der Computer, werden die Computer der Sammlung hinzugefügt, sobald sie für Windows 2000 aktualisiert wurden. Wird einem Computer zusätzlicher Speicher hinzugefügt, wird dies über die SMS-Hardwareinventur erkannt und in SMS aufgezeichnet. Da dieser Computer automatisch in die Sammlung einbezogen wird, steht die Windows 2000-Aktualisierung für diesen Computer zur Verfügung. Diese Vorgänge werden automatisch vollzogen. Weitere Informationen zum Bestimmen der Computer in einer Organisation, die für eine Aktualisierung geeignet sind, finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in dieser Dokumentation. Hierzu gehört auch das Festlegen von Abfragen zum Auswählen der Computer aus der in SMS verwalteten Inventur. Sie können diese Abfragen zum Erstellen von Sammlungen verwenden, wie es in der folgenden Prozedur beschrieben wird. SMS bietet ebenfalls einen Beispielbericht, „Updatekandidaten für Windows 2000 nach Standort und Rollen“, der bei diesem Prozess hilfreich ist. ? So erstellen Sie eine Sammlung von Computern, die für Windows 2000 zur Verfügung stehen 1. Wählen Sie in der SMS-Administratorkonsole die Option Sammlungen aus. 2. Zeigen Sie im Menü Vorgang auf Neu, und klicken Sie dann auf Sammlung. 3. Geben Sie im Dialogfeld Eigenschaften der Sammlung einen Namen für die Sammlung ein.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
501
4. Klicken Sie auf der Registerkarte Mitgliedschaftsregeln auf die Schaltfläche fü die Erstellung einer neuen Abfrageanweisung. 5. Klicken Sie im Feld Eigenschaften der Abfrageanweisung auf die Schaltfläche Durchsuchen, und wählen Sie die entsprechende Abfrage aus. Verwenden Sie z. B. eine Abfrage, die erstellt wurde, um über die Computer zu berichten, die für eine Aktualisierung auf Windows 2000 zur Verfügung stehen. (Hilfe zum Entwickeln einer solchen Abfrage finden Sie im Kapitel „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“). Sie können auch andere Abfragen verwenden, z. B. Alle Windows 95-Systeme oder Abfragen, bei denen alle Computer an bestimmten Standorten eingeschlossen sind. 6. Fügen Sie ggf. Abfrageregeln und Regeln für direkte Mitgliedschafthinzu. In Schritt 4 können Sie auch auf die Schaltfläche zur Erstellung einer neuen direkten Regel klicken und dann den Assistenten für die Erstellung direkter Mitgliedschaftsregeln verwenden, um den Computer anzugeben, der aktualisiert werden soll. Diese Möglichkeit ist beim Testen eine gute Wahl, vor allen Dingen, wenn das Paket auf einer kleinen Anzahl an willkürlich ausgewählten Computern ausgeführt werden soll. Berücksichtigt werden sollte, dass Sammlungen unter SMS 2.0 Computer, Benutzer oder Benutzergruppen enthalten können. Es ist nicht sinnvoll, Benutzer oder Benutzergruppen in Windows 2000 einzuschließen, da Benutzer sich häufig an unterschiedlichen Computern anmelden. Deshalb kann jeder Computer, an dem ein Benutzer eine Anmeldung vornimmt, aktualisiert werden, vor allen Dingen dann, wenn die Ankündigung auf jeden Fall ausgeführt wird, unabhängig davon, ob der Benutzer dies auswählt. Möglicherweise ist der Computer, an dem die Anmeldung stattfindet, jedoch nicht bereit für eine Aktualisierung, oder der Benutzer, der sonst an diesem Computer arbeitet, ist für das Verwenden von Windows 2000 nicht geschult. Achtung Weitere Informationen zum Verwenden von Sicherheitsmaßnahmen zum Steuern der Personen, die zum Anpassen und Verwenden von Ankündigungen berechtigt sind, finden Sie unter „Verteilen von Software“ im SystemsManagement ServerAdministratorhandbuch.
Vorbereiten der Clients auf das Empfangen von Ankündigungen Die Computer, die angekündigt werden sollen, müssen für die Ankündigung bereit sein. Während der Windows 2000-Aktualisierung muss der Computer mehrfach neu gestartet werden. Wenn dies automatisch durchgeführt werden kann, kann die gesamte Aktualisierung ohne Benutzereingriff vorgenommen werden. Einige Benutzer verwenden Startkennwörter für ihre Computer. Dieses Kennwort ist für den Computer selbst erforderlich und kann daher nicht über die Software umgangen werden. Wird dieses Kennwort nicht eingegeben, wird der Computer nicht neu gestartet, und die Windows 2000-Aktualisierung kann nicht fortgesetzt werden. Stellen Sie daher sicher, dass die Benutzer darauf hingewiesen werden, ihre Startkennwörter zu deaktivieren. Ist dies nicht möglich, muss während der Aktualisierung ein Mitarbeiter zur Verfügung stehen. Dies ist auch dann der Fall,
502
Teil IV Windows 2000 – Aktualisierung und Installation
wenn für den Computer während eines Neustarts eine Bestätigung erforderlich ist, weil die Hardwarekonfiguration geändert wurde oder andere Gründe vorliegen. Informieren Sie die Benutzer vorzeitig über die Aktualisierung, so dass gewährleistet werden kann, dass alle Dokumente geschlossen werden. Sind die Benutzer über eine bevorstehende Aktualisierung informiert, sind sie motiviert, an notwendigen Schulungen teilzunehmen, Sicherungen durchzuführen und alle Programme vorzubereiten, für die sie verantwortlich sind. Wird das Paket so angekündigt, dass es über Nacht oder am Wochenende ausgeführt werden soll, muss für alle Clientcomputer unter Windows 95 oder Windows 98 ein Benutzer angemeldet sein, damit die Ankündigung automatisch starten kann. Diese Benutzer können sichere Bildschirmschoner verwenden, wenn verhindert werden soll, dass der Computer in ihrer Abwesenheit von anderen Personen verwendet wird. Für Clientcomputer unter Windows NT ist für das automatische Starten der Ankündigungen keine Benutzeranmeldung erforderlich.
Ankündigen der Pakete für Computer Ein Windows 2000-Paket ist nun bereit zum Verteilen, die Computer wurden ausgewählt, und sie sind für die Aktualisierung verfügbar. Der nächste Schritt besteht im Starten des Prozesses. Erstellen Sie hierzu eine Ankündigung, wie es mit folgender Prozedur beschrieben ist. ? So erstellen Sie eine Ankündigung für Windows 2000 1. Wählen Sie in der SMS-Administratorkonsole die Option Ankündigungen aus. 2. Zeigen Sie im Menü Vorgang auf Neu, und klicken Sie dann auf Ankündigung. 3. Wählen Sie in der Liste Paket den Eintrag Microsoft Windows 2000 Server Deutsch aus. 4. Wählen Sie in der Liste Programme den Eintrag Automatisiertes Upgrade von NTS 3.51/4.0 (x86) aus. 5. Klicken Sie auf Durchsuchen, und wählen Sie dann die Sammlung aus, der Sie das Programm ankündigen. 6. Um die Ankündigung so einzurichten, dass sie zu einem bestimmten Zeitpunkt ausgeführt wird, klicken Sie auf die Registerkarte Zeitplan. Um Zeitpläne hinzuzufügen, klicken Sie auf die Schaltfläche Neu. Achtung Zugewiesene Ankündigungen werden für jeden Client, dem sie angekündigt wurden, nur einmal ausgeführt. Schlägt eine Ankündigung auf dem Clientcomputer fehl, wird über den Client nicht versucht, sie erneut automatisch auszuführen. Hierdurch wird sichergestellt, dass die Computer nicht in eine endlose Schleife geraten, indem eine zugewiesene Ankündigung ausgeführt wird, fehlschlägt, erneut gestartet und dann ein neuer Versuch unternommen wird. Daher kann in Schritt 6 auch die Option Benutzer dürfen das Programm ausführen, bevor es zugewiesen wird ausgewählt werden. Hierdurch können Benutzer das Programm entweder vor oder nach dem Zeitplan ausführen, wenn es zum ersten Mal fehlschlägt. Sie können auch zu einem späteren Zeitpunkt für die Computer, bei denen die Aktualisierung fehlerhaft war, eine neue Ankündigung erstellen.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
503
Wie bei den vorherigen Phasen der Windows 2000-Softwareverteilung starten Sie das Ankündigen in einem begrenzten Bereich, der bei Erfolg erweitert wird. Dies ist vor allem hier von Bedeutung, da die Benutzer auf jeden Fall von der Softwareverteilung betroffen sind. Sie können das Ankündigen erweitern, indem Sie zusätzliche Ankündigungen erstellen, wobei jede auf eine andere Sammlung ausgerichtet ist, oder indem Sie die Sammlung, auf der die Ankündigung basiert, so anpassen, dass sie immer mehr Computer umfasst. Einzelne Ankündigungen können notwendig sein, um verschiedene Programme den entsprechenden Sammlungen anzukündigen. Das Windows 95-Aktualisierungsprogramm sollte z. B. nur Computern in der Windows 95-Sammlung angekündigt werden.
Erweitern der Sicherheit an den Verteilungspunkten Wurde beim Erstellen des Pakets der Zugriff auf das Paket an den Verteilungspunkten beschränkt, muss dieser Zugriff nun geöffnet werden. Verwenden Sie hierzu folgende Prozedur. Wenn Sie SMS zum Ausführen des Programms mit Hilfe von administrativen Rechten verwenden, fügen Sie die Konten der Clientnetzwerkverbindung, die an dem SMS-Standort verwendet werden, als Paketzugriffskonten hinzu. ? So öffnen Sie die Sicherheit für das Windows 2000-Paket 1. Wählen Sie in der SMS-AdministratorkonsoledieOption Pakete aus. 2. Wählen Sie zunächst das Windows 2000-Paket und dann die Option Zugriffskonten aus. 3. Zeigen Sie im Menü Vorgang auf Neu, und klicken Sie dann auf Windows NT Zugriffskonto. 4. Klicken Sieim Dialogfeld Eigenschaften von Zugriffskonten auf Festlegen. 5. Geben Sie im Dialogfeld Windows NT-Konto die Domäne und den Benutzer oder die Gruppe ein, und geben Sie dann den Kontotyp an. Klicken Sie auf OK, um das Dialogfeld zu schließen. 6. Stellen Sie im Dialogfeld Eigenschaften von Zugriffskonten sicher, dass die Berechtigungen als Lesen angegeben sind. Wiederholen Sie diese Prozedur ggf., um weitere Benutzer oder Gruppen hinzuzufügen.
Aktualisieren von Computern Befindet sich Windows 2000 an einem Verteilungspunkt an demselben Standort wie die zu aktualisierenden Computer und steht die Ankündigung auf den Computern zur Verfügung, können Sie folgendermaßen vorgehen: ? Planen Sie die Aktualisierung für einen Zeitpunkt, der für die Benutzer keine
Beeinträchtigungdarstellt. ? Zeichnen Sie den Status der Aktualisierung auf.
504
Teil IV Windows 2000 – Aktualisierung und Installation
Ausführen der Ankündigung auf jedem Computer Die Verteilung an alle Benutzer kann mit Hilfe von SMS zu einem Zeitpunkt durchgeführt werden, an dem keine Beeinträchtigungen der Benutzer zu erwarten sind. Sie können den Benutzern jedoch die Möglichkeit einräumen, das Datum und die Uhrzeit wie in Abbildung 14.9 so anzupassen, dass zu diesem Zeitpunkt die Computer nicht benötigt werden. Sie können die Aktualisierung auch auf ein bestimmtes Datum und eine bestimmte Uhrzeit festsetzen, so dass die Benutzer die Aktualisierung nicht auf unbestimmte Zeit hinausschieben können.
Abbildung 14.9 Die Benutzer können die Aktualisierung für einen passenden Zeitpunktplanen
Die Verteilung an die Benutzer umfasst auch entsprechende Befehlszeilenparameter, so dass angegeben wird, welche automatische Antwortdatei und welche anderen Optionen verwendet werden sollen, damit die Installation den festgelegten Standards entsprechend durchgeführt wird. In Organisationen erhalten die Benutzer selten vollständige Rechte an den Clientcomputern. Hierdurch werden Probleme verringert, die dadurch entstehen, dass Benutzer aus Unwissenheit oder unbeabsichtigt Änderungen an den Computern vornehmen. Wenn diese Berechtigungen jedoch nicht vorliegen, können die Benutzer die Windows 2000-Aktualisierung für die jeweiligen Computer nicht starten. Über SMS wird dieses Problem vermieden, indem die Windows 2000Aktualisierung im Zusammenhang mit einem besonderen SMS-Sicherheitskonto durchgeführt wird.
Status der Aktualisierung auf jedem Computer Nachdem die erste und die letzte Phase der Windows 2000-Aktualisierung auf dem Computer abgeschlossen ist, werden über Systems Management Server Statusdateien erstellt, die in der SMS-Hierarchie nach oben übermittelt werden. Sie können diese Daten dazu verwenden, den Fortschritt des Aktualisierungsprojekts aufzuzeichnen oder den Status eines bestimmten Computers zu untersuchen, wie es im folgenden Abschnitt erläutert wird.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
505
Angepasste Statusdateien können erstellt werden, um ggf. auf bestimmte Details im Hinblick auf den Status der Aktualisierung hinzuweisen. Die Programme, über welche diese Statusdateien erstellt werden, werden als Teil der Paketausführung aufgerufen und müssen daher in die entsprechende Definition aufgenommen werden. Solche Statusdateien sollen z. B. einbezogen werden, wenn über das Windows 2000-Setupprogramm nach Abschluss der Aktualisierung bestimmte Tasks gestartet werden sollen.
Überwachen der Ankündigungen Die SMS-Statusmeldung, über die der Fortschritt der Aktualisierung auf jedem Computer aufgezeichnet wird, kann auch verwendet werden, um den Fortschritt der Windows 2000-Einrichtung als Ganzes aufzuzeichnen. Aufgezeichnet werden können die Anzahl der Computer, die aktualisiert werden können, die Anzahl der erfolgreich aktualisierten Computer sowie die Problembereiche. Wenn Probleme auftreten, können Sie dann eingreifen.
Systemstatus-Subsystem SMS 2.0 umfasst ein leistungsstarkes Systemstatus-Subsystem, mit dem die Verteilung problemlos überwacht werden kann. In der SMS-Administratorkonsole ist ein Systemstatus-Knoten enthalten, bei dem Sie eine Zusammenfassung und detaillierte Ergebnisse aus dem Systemstatus-Subsystem erhalten. Es gibt einen Ankündigungsstatus-Unterknoten, über den der Status der Ankündigungen zur Verfügung steht.
Status aller Ankündigungen Wird in der SMS-Administratorkonsoleunter Systemstatus die Option Ankündigungsstatus ausgewählt, können Sie folgende Faktoren anzeigen: ? Anzahl der Systeme, welche die Ankündigung empfangen haben ? Anzahl der Systeme, bei denen beim Verarbeiten der Ankündigung allgemeine
Fehler aufgetreten sind ? Häufigkeit, mit der das angekündigte Programm gestartet wurde ? Häufigkeit, in der ein Programm bis zum Abschließen oder Auftreten eines Fehlers ausgeführt wurde ? VerschiedeneAnkündigungsdetails InAbbildung 14.10 wird ein Beispiel dieser Informationen gezeigt. Auf dieser Stufe können keine Statusmeldungen abgefragt werden.
Abbildung 14.10
Der Status aller Ankündigungen
506
Teil IV Windows 2000 – Aktualisierung und Installation
Status einer bestimmten Ankündigung Unter dem Ankündigungsstatus für alle Ankündigungen können die einzelnen Ankündigungen ausgewählt werden. Auf dieser Stufe können Sie folgende Faktoren anzeigen: ? Welche Standorte verfügen über Clients, welche die Ankündigung empfangen
haben ? Welche Standorte enthalten Clients, bei denen während des Verarbeitens der Ankündigung ein allgemeiner Fehler aufgetreten ist ? Wie oft wurde das angekündigte Programm an jedem Standort ausgeführt ? Wie oft wurde es bis zum Abschließen oder Auftreten eines Fehlers ausgeführt In Abbildung 14.11 wird dieser Statustyp aufgeführt. Auf dieser Stufe können keine Statusmeldungen abgefragt werden.
Abbildung 14.11 Der Status der Windows 2000-Ankündigung
Status an einem Standort Auf der Ankündigungsstatusebene können Sie jeden Standort auswählen. Zeigen Sie im Menü Vorgang auf Meldungen anzeigen, und klicken Sie dann auf Alle, um die Statusmeldungen für die Ankündigungen an diesem Standort anzuzeigen. Es folgt eine typische Meldungsfolge: ? 30006 – Ankündigung erstellt ? 3900 – Ankündigung wurde innerhalb eines Standorts verarbeitet (verteilt an ? ? ?
?
die Clientzugriffspunkte usw.) 10002 – Ankündigung wurde von einem Client empfangen 10005 – Programm wurde gestartet 10007 – Programm ist fehlgeschlagen Über die Meldung wird auf den Grund hierfür hingewiesen. Häufig besteht der Grund darin, dass der Benutzer das Programm abgebrochen oder auf eine andere Weise angehalten hat oder auf dem Clientcomputer nicht genügend Festplattenspeicher zur Verfügung steht. 10009 – Programm wurde erfolgreich abgeschlossen Zu diesem Zeitpunkt ist der SMS-Teil der Aktualisierung abgeschlossen. Dies entspricht dem Ende der ersten Phase der Windows 2000-Installation (Aktualisierungsphase der Dateien).
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
507
? 13126 – Aktualisierung abgeschlossen (wird als 10009 aufgezeichnet, wenn
SMS 2.0 Service Pack 2 oder höher zur Verfügung steht) Zu diesem Zeitpunkt ist die Windows 2000-Installation abgeschlossen. Die beiden letzten Phasen (nicht grafischer Modus und GUI-Setup) sind abgeschlossen, und der Computer steht für eine Benutzeranmeldung zur Verfügung.
Aufzeichnen des Ankündigungsstatus Möglicherweise möchten Sie zu Referenzzwecken oder aus anderen Gründen einen Statusbericht der Ankündigung erstellen. Sie können Abfragen für das Statussubsystem der SMS-Ankündigung durchführen und die Ergebnisse so in einem beliebigen Berichtsprogramm einbinden, wie es bei anderen SMS-Berichtsfunktionen möglich ist. In Tabelle 14.2 werden die wichtigen Klassen und Kategorien der Statusinformationen aufgeführt, die Sie in jeder Klasse vorfinden. Tabelle 14.2 Statusklasse von Ankündigungen Klasse
Statusinformation
SMS_AdvertisementStatusSummarize r
Zeigt gruppiert nach Standortcode detaillierte Statusinformationen für Ankündigungen an. Ordnet die Ankündigungselemente unter dem Eintrag Ankündigungsstatus in der SMSAdministratorkonsole zu.
Weitere Informationen über das Schreiben von Berichten anhand der von SMS erfassten Daten erhalten Sie unter dem Hyperlink „Microsoft Systems Management Server Technical Details“ auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources. Für die Windows 2000-Ankündigungsstatusberichte werden Berichte gewünscht, die folgenden Berichten entsprechen: Computer, für die zwar eine Ankündigung ausgestellt wurde, bei denen die Ankündigung jedoch nicht empfangenwurde Bei diesem Bericht handelt es sich um einen Vergleich zwischen Computern, die sich zwar aktuell in derselben Sammlung befinden, jedoch nicht über eine 10002Statusmeldung verfügen. Wurde das Programm vor dem Bericht angekündigt, wird über diesen Bericht auf die Computer hingewiesen, die in letzter Zeit nicht verwendet wurden oder die nicht ordnungsgemäß mit dem Netzwerk bzw. der SMS-Infrastruktur verbunden sind. Computer, bei denen die Ankündigung zwar empfangen, das Programm jedoch nicht gestartetwurde Bei diesem Bericht handelt es sich um einen Vergleich von Computern mit einer 10002-Statusmeldung, bei denen keine 10005-Statusmeldung vorliegt. Wurde das Programm so zugewiesen, dass es vor dem Bericht ausgeführt werden soll, wird über diesen Bericht auf die Computer hingewiesen, die seit dem ersten Ankündigen der Ankündigung nicht verwendet wurden oder die nicht ordnungsgemäß mit dem Netzwerk bzw. der SMS-Infrastruktur verbunden sind. Wurde das Programm nicht zugewiesen, umfasst dieser Bericht ebenfalls Computer, bei denen noch keine Aktualisierung vorgenommen werden soll.
508
Teil IV Windows 2000 – Aktualisierung und Installation
Computer, bei denen das Programm zwar gestartet, jedoch nicht erfolgreich abgeschlossenwurde Bei diesem Bericht handelt es sich um einen Vergleich von Computern, die zwar über die 10005-Statusmeldung, nicht jedoch über die 10009-Statusmeldung verfügen. Hierbei handelt es sich in aller Regel um Computer, bei denen die Aktualisierung abgebrochen wurde oder die nicht über genügend Speicherplatz verfügen. Das Analysieren der 10007-Meldung gibt weiteren Aufschluß. Handelt es sich um ein allgemeines Problem, ist ein Bericht für diese bestimmten Computer ratsam. Bei einigen Computern können auch Fehler so auftreten, dass weder eine 10007noch eine 10009-Statusmeldung empfangen wird. Um diese Möglichkeit zu berücksichtigen, können Sie auf einen Bericht für Computer zurückgreifen, die zwar über 10005-Meldungen, nicht jedoch über 10008- bzw. 10009-Meldungen verfügen. Benutzer, die die Aktualisierung abgebrochen haben, können über E-Mail erneut auf die Bedeutung der Aktualisierung hingewiesen werden. Das Programm kann auch so zugewiesen werden, dass die Aktualisierung zu einem bestimmten Zeitpunkt durchgeführt werden muss. Bei anderen Problemen wird möglicherweise ein direktes Eingreifen erforderlich (wobei das Verwenden der SMS-Remotetools ggf. ausreicht). Computer, bei denen das Programm zwar erfolgreich abgeschlossen wurde, die endgültige Aktualisierung jedoch nicht empfangen wurde Bei diesem Bericht handelt es sich um einen Vergleich von Computern, die zwar über die 10009-Statusmeldung, nicht jedoch über die 13126-Statusmeldung verfügen. Hierbei handelt es sich in aller Regel um Computer, bei denen die Aktualisierung zwar gestartet, dann jedoch aus irgendeinem Grund unterbrochen wurde. Wird der Bericht während eines Zeitpunkts mit einer Vielzahl an Aktualisierungen ausgeführt, z. B. am Wochenende, ist er aufschlussreich beim Erkennen von Problemen, die manuell behoben werden können. In aller Regel wird für die Aktualisierung jedoch mindestens eine Stunde benötigt, nachdem die 10009-Meldung erzeugt wurde bis zu dem Zeitpunkt, an dem die 13126-Meldung erzeugt wird. Anmerkung SMS 2.0 Service Pack 2 umfasst eine Korrektur zum Paketstatusberichtssystem, mit der die 13126-Meldung ordnungsgemäß durch eine 10009Meldung ersetzt wird. Die Meldungen werden auch zuverlässiger erzeugt, und die 10009-Meldung enthält im Gegensatz zu der 13126-Meldung aussagekräftigen Text. Daher ist es empfehlenswert, SMS 2.0 Service Pack 2 vor dem Einrichten von Windows 2000 mit Hilfe von SMS zu installieren. Nachdem SP2 eingerichtet wurde, wird über die Berichtslogik zwischen den beiden 10009-Meldungen mit Hilfe des Meldungstextes unterschieden. Aktualisierte Computer pro Tag Dieser Bericht umfasst 13126-Statusmeldungen über verschiedene Zeiträume. Dies ist hilfreich beim Überwachen des Status des gesamten Projektes.
Problembehandlung bei Ankündigungen Das Überwachen von Ankündigungen ist hilfreich beim Erkennen von Problemen, ehe die Benutzer damit konfrontiert werden. Zu diesen Problemen gehören mangelnder Speicherplatz und Probleme mit der Benutzerschnittstelle oder Paketdefinitionsfehler. Über den Text der Statusmeldungen wird auf solche
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
509
Probleme hingewiesen. Stellen Sie ebenfalls sicher, dass das Paket an mindestens einem Verteilungspunkt am Standort zur Verfügung steht. Der erste Schritt beim Beheben technischer Probleme besteht darin, das Problem genau zu erkennen. Wenn die fehlerhafte Komponente bekannt ist, kann das Augenmerk auf die entsprechenden Faktoren gerichtet werden. Mit Hilfe der zuvor beschriebenen Überwachungsmethoden können Sie das Problem erkennen. Das Kapitel „Software Distribution Flowcharts“ in Systems Management Server Resource Guide enthält auch Abbildungen, in denen der serverseitige Ablauf des Softwareverteilungsprozesses dargestellt wird. In diesem Kapitel sind außerdem Grafiken enthalten, in denen der clientseitige Ablauf beschrieben wird. Wenn es Hinweise darauf gibt, dass die Softwareverteilung einen bestimmten Punkt im Ablauf nicht erreicht hat, ist der Fehler wahrscheinlich am vorhergehenden Punkt in dem Flussdiagramm aufgetreten. Nachdem die Komponente erkannt wurde, bietet das Verständnis der Funktionsweise Aufschluss über mögliche Ursachen für den Fehler. Das Flussdiagramm ist hierbei ebenfalls hilfreich. Ferner können die Protokolldateien auf einer niedrigen Stufe Aufschluss über die Komponente und daher Hinweise auf mögliche Fehlerursachen geben. Sie können den SMS-Dienst-Manager verwenden, um Serverprotokolle zu aktivieren, Clientprotokolle sind immer aktiviert. SMS verfügt über zahlreiche Funktionen, die beim Beheben von Problemen auf Clientcomputern hilfreich sind. Hierzu gehören folgende Funktionen: ? Remotesteuern der Clientcomputer. ? Übertragen von Dateien auf den Computer, um Dateien zu ersetzen, die
aktualisiert werden müssen. ? Neustarten des Computers. ? Erstellen von Details zu einem Computer, entweder auf der Grundlage der Routineinventur oder von Remotesteuerungstools in Echtzeit. (Beachten Sie, dass die Routineinventur auch dann zur Verfügung steht, wenn der Client offline ist.) ? Aktualisieren nicht kompatibler Anwendungssoftware. In manchen Situationen muss manuell eingegriffen werden, z. B. wenn durch die Aktualisierung der Computer nicht neu gestartet oder für den Computer keine Verbindung zum Netzwerk hergestellt werden kann oder die SMSClientkomponenten nicht mehr betriebsbereit sind.
Verwenden von Systems Management Server zum Vereinfachen der Domänenkonsolidierung und -migration In der Vergangenheit arbeitete man in großen Organisationen häufig mit mehreren Domänen. Unter Windows 2000 ist dies nicht mehr erforderlich, so dass die Verwaltung vereinfacht wird. Mit Hilfe der Migration in native Windows 2000Domänen können Organisationen die Vorteile der Features unter Windows 2000 vollständig nutzen.
510
Teil IV Windows 2000 – Aktualisierung und Installation
Im Kapitel „Bestimmen der Strategien für die Domänenmigration“ wird eingehend auf die Domänenkonsolidierung und Migration eingegangen. Ebenfalls wird auf Strategien und Vorgehensweisen eingegangen, welche den Prozess der Konsolidierung und Migration vereinfachen. SMS kann bei diesem Prozess hilfreich sein, so dass die Einrichtung von Windows 2000 mit Hilfe von SMS im Zusammenhang mit der Domänenkonsolidierung und Migration in Betracht gezogen werden sollte. Sie können SMS z. B. verwenden, um Ausführungen des DCPromo-Teils des Aktualisierungsprozesses für Domänencontroller mit Skripts zu ermöglichen. Der größte Vorteil beim Verwenden von SMS für Domänenkonsolidierung und Migration wird beim Einrichten der Aktualisierung auf Windows 2000 deutlich. Indem Sie in der Anwortdatei den JoinDomain-Wert anpassen, können die Computer in die neue konsolidierte Domäne gesetzt werden.
Unterschiede zwischen Systems Management Server 1.2 und Systems Management Server 2.0 Zwischen Systems Management Server 2.0 und Systems Management Server 1.2 bestehen erhebliche Unterschiede. Beide Versionen haben ähnliche Funktionen, erzielen diese Funktionen jedoch durch die Verwendung völlig unterschiedlicher Techniken. Soll SMS 1.2 zum Einrichten von Windows 2000 oder für die Domänenkonsolidierung verwendet werden, beachten Sie folgende Unterschiede zwischen der Softwareverteilung über SMS 1.2 und SMS 2.0: ? Mit der Softwareverteilung können nur Computer erfasst werden, wobei der
Vorgang nicht dynamisch ist (neue Computer, die den Anforderungen der Aktualisierung entsprechen, müssen über einen neuen Job erfasst werden). ? Windows NT–basierte Computer, bei denen angemeldete Benutzer nicht über administrative Rechte verfügen, benötigen den Manager für Pakete/Befehle. Dieser Zusatz für SMS 1.2 ist kostenlos, er muss jedoch vor dem Einrichten von Windows 2000 installiert werden. ? Es ist schwieriger, mit dem Statussubsystem für Jobs zu arbeiten. ? Am Ursprungsstandort des Pakets muss sich eine komprimierte Kopie des Pakets befinden. ? Über Programme kann die vorherige Ausführung anderer Programme nicht veranlasst werden, und Programme können auch nicht zentraldeaktiviert werden. ? Möglicherweise werden Computer unter Windows 2000 als Clients über SMS 1.2 nicht unterstützt. Daher stehen Computer nicht mehr als SMS 1.2Clients zur Verfügung, oder sie werden nicht mehr unterstützt, wenn eine Aktualisierung auf Windows 2000 durchgeführt wird. Informationen zur Unterstützung von Windows 2000-Computern erhalten Sie unter dem Hyperlink „Microsoft Systems Management Server“ auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources. Andere Unterschiede zwischen den beiden Versionen beziehen sich auf andere SMS-Features, die beim Einrichten von Windows 2000 hilfreich sind. Weitere Informationen zu diesen Features und Unterschieden finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in dieser Dokumentation.
Kapitel 14 Verwenden von Systems Management Server zum Einrichten von Windows 2000
511
Planungstaskliste für das Verwenden von Systems Management Server zum Einrichten von Windows 2000 In Tabelle 14.3 werden die in diesem Kapitel behandelten wichtigsten Tasks beim Einrichten von Windows 2000 mit Hilfe von SMS aufgeführt. Tabelle 14.3 Taskliste zum Einrichten von Windows 2000 mit Hilfe von SMS Task
Kapitelüberschrift
Kennenlernen der Konzepte im Zusammenhang mit der SMSSoftwareverteilung.
Verwenden von SMS zum Verteilen von Software und Unterschiede zwischen SMS 1.2 und 2.0
Vorbereiten der Pakete. Verteilen der Pakete. Testen der Verteilung.
Verpacken von Windows 2000für SMS Verteilen der Windows 2000-Pakete Verteilen der Windows 2000-Pakete
Überwachen der Verteilung. Problembehandlung bei der Verteilung.
Verteilen der Windows 2000-Pakete Verteilen der Windows 2000-Pakete
Erstellen von Berichten zu der Verteilung. Ankündigen der Pakete. Testen der Ankündigungen und Pakete.
Verteilen der Windows 2000-Pakete Ankündigen der Windows 2000-Pakete Ankündigen der Windows 2000-Pakete
Aktualisieren der Computer. Überwachen der Ankündigungen. Problembehandlung bei Ankündigungen.
Ankündigen der Windows 2000-Pakete Ankündigen der Windows 2000-Pakete Ankündigen der Windows 2000-Pakete
Erstellen von Berichten zu den Ankündigungen.
Ankündigen der Windows 2000-Pakete
Verwenden von SMS zum Vereinfachen der Domänenkonsolidierung und Migration.
Verwenden von SMS zum Vereinfachen der Domänenkonsolidierung und Migration.
Zusätzliche Informationen ? Weitere Informationen zum Verwenden von Systems Management Server
finden Sie im Microsoft Systems Management Server Administratorhandbuch. ? Darüber hinausgehende Informationen zum Verwenden von Systems Management Server finden Sie im Microsoft Systems Management Server 2.0 Resource Guide (Teil des Microsoft BackOffice 4.5 Resource Kit).
512
Teil IV Windows 2000 – Aktualisierung und Installation
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
535
K A P I T E L
1 6
Einrichten der Terminaldienste
®
Die Terminaldienste ermöglichen Clientcomputern den Zugriff auf Microsoft ® Windows 2000 und die aktuellen Windows-Anwendungen. Darüber hinaus können Sie von jedem unterstützten Client auf den eigenen Desktop und auf Anwendungen zugreifen, die an beliebiger Stelle installiert wurden. IT-Manager und Systemadministratoren, denen an weitgehender Flexibilität bei der Einrichtung von Anwendungen, der Kontrolle der Systemverwaltungskosten und der Remoteverwaltung von Netzwerkressourcen gelegen ist, sollten sich mit den in ® ® Microsoft Windows 2000 Server vollständig integrierten Terminaldiensten eingehend beschäftigen. Bevor Sie dieses Kapitel in Angriff nehmen, sollten Sie die Kapitel „Einführung in die Einsatzplanung von Windows 2000“ und „Planen des Einsatzes“ in diesem Buch gelesen haben. Inhalt dieses Kapitels Überblick über die Terminaldienste 536 Erstellen des Einsatzplans für die Terminaldienste 540 Erstellen des Einrichtungsentwurfs für die Terminaldienste 548 Serverkonfiguration für die Einrichtung der Terminaldienste 563 Vorbereiten der Clienteinrichtung 565 Planen der Test- und Pilotphase 571 Support und Verwaltungsprogramme 574 Taskliste für die Einsatzplanung der Terminaldienste 576 Zielsetzungen Anhand dieses Kapitels können Sie das folgende Planungsdokument erstellen: ? Einsatzplan für Terminaldienste
536
Teil IV Windows 2000 – Aktualisierung und Installation
Überblick über die Terminaldienste Die Terminaldienste auf einem Windows 2000-Server sorgen dafür, dass die Ausführung aller Clientanwendungen, die Datenverarbeitung und die Datenspeicherung auf dem Server erfolgt. Sie ermöglichen den Remotezugriff auf einen Serverdesktop über ein Terminalemulationsprogramm. Die Terminalemulation kann auf einer Anzahl unterschiedlicher Hardwaregeräte eingesetzt werden, beispielsweise auf Personal Computern, Windows CE-basierten Handheld-PCs (H/PC) oder Terminals. Der Begriff Windows-basiertes Terminal (WBT) bezeichnet im Wesentlichen eine Geräteklasse schlanker Clientterminals, die auf Server mit einem auf Mehrbenutzerbetrieb ausgelegten Windows-Betriebssystem, z. B. den Terminaldiensten, zugreifen können. Das Emulationsprogramm übermittelt Tastenanschläge und Mausbewegungen an den Server. Der Terminalserver führt alle Datenverarbeitungsprozesse lokal aus und gibt lediglich die Anzeige zurück. Dieser Ansatz erlaubt die Remotesteuerung von Servern und eine zentralisierte Anwendungsverwaltung bei minimalen Anforderungen an die Bandbreite der Server/Client-Verbindung. Benutzerzugriffe auf die Terminaldienste erfolgen über eine beliebige TCP/IP-Verbindung (TCP/IP – Transmission Control Protocol/Internet Protocol); dies beinhaltet RAS, Ethernet, das Internet, drahtlose Netze, Weitverkehrsnetze (WAN) oder virtuelle private Netze (VPN). Auf Benutzerseite wird das Reaktionsverhalten lediglich durch das schwächste Glied in der Verbindung beeinflusst, und die Sicherheit der Verbindung wird durch die TCP/IP-Einrichtung im Datacenter geregelt. Die Terminaldienste ermöglichen die Remoteverwaltung von Netzwerkressourcen und stellen ein einheitliches Erscheinungsbild für alle Benutzer in geographisch verteilten Zweigbüros sowie eine grafische Benutzeroberfläche für Unternehmensanwendungen auf textbasierten Computern zur Verfügung. Einige der Vorteile der Terminaldienste werden im Folgenden vorgestellt: ? Sie ermöglichen den Einsatz von Windows-basierten 32-Bit-Anwendungen auch auf Geräten, die nicht auf Windows basieren, z. B.: ? Windows für Workgroups 3.11 oder höher ? Windows-basierte Terminals (Windows CE-Geräte) ? MS-DOS-basierte Clients ? UNIX-Terminals ? Macintosh-Computer ? Für Clients, die nicht auf Windows basieren, sind zusätzliche Add-Ons von ? ? ? ?
Drittherstellern erforderlich. Minimale Anforderungen an Festplatten- und Arbeitsspeicher bei geringem Konfigurationsaufwand für Terminaldiensteclients. Der Support von Remotecomputern und die Verwaltung von Zweigniederlassungen werden vereinfacht. Die Terminaldienste stellen zentralisierte Sicherheitsmechanismen und Verwaltungsprogramme zur Verfügung. Die Terminaldienste fügen sich in die vorhandene Netzwerkinfrastruktur und Anwendungsumgebung ein.
Die Terminaldienste sind vollständig in Windows 2000 integriert. Sie lassen sich auf zwei verschiedene Arten aktivieren:
Kapitel 16 Einrichten der Terminaldienste
537
Remoteverwaltung Die Remoteverwaltung stellt für Systemadministratoren ein leistungsfähiges Werkzeug dar, mit dem sie administrativen Zugriff auf jeden Windows 2000-Server über eine beliebige TCP/IP-Verbindung erhalten. Sie können Datei-und Druckerfreigaben verwalten, auf einem anderen Computer im Netzwerk die Registrierung bearbeiten und alle sonstigen Aufgaben erledigen, die Sie normalerweise an der Konsole durchführen. Im Remoteverwaltungsmodus können Sie Server verwalten, die mit dem Anwendungsservermodus der Terminaldienste normalerweise nicht kompatibel sind, beispielsweise Server, auf denen der Clusterdienst ausgeführt wird. Weitere Informationen zu Windows Clustering finden Sie unter „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ in dieser Dokumentation. Der Remoteverwaltungsmodus installiert lediglich die Remotezugriffskomponenten der Terminaldienste, aber keine Anwendungsfreigabekomponenten. Sie können die Remoteverwaltung deshalb mit sehr geringem Overhead auch auf Servern einsetzen, die kritische Funktionen im Unternehmen wahrnehmen. Die Terminaldienste erlauben maximal zwei gleichzeitige Remoteverwaltungsverbindungen. Für diese Verbindungen sind weder Zusatzlizenzen noch ein Lizenzserver erforderlich. Anwendungsserver Im Anwendungsservermodus können Sie Anwendungen von zentraler Stelle aus einrichten und verwalten und dadurch den Zeit- und Kostenaufwand für Entwicklung, Installation, Wartung und Aktualisierung entscheidend reduzieren. Sobald eine Anwendung in den Terminaldiensten bereitgestellt wurde, können zahlreiche Clients unterschiedlicher Geräteklassen über RAS, lokale Netzwerke (LAN) oder Weitverkehrsnetze (WAN) Verbindungen herstellen. Sie können Anwendungen direkt am Terminalserver installieren oder eine Remoteinstallation durchführen. Beispielsweise können Sie mit Hilfe von Gruppenrichtlinien und Active Directory Windows Installer-Anwendungspakete auf einem Terminalserver oder einer Gruppe von Terminalservern veröffentlichen. Anwendungen können nur von Administratoren auf Pro-Server-Basis installiert werden; zudem müssen die entsprechenden Einstellungen in den Gruppenrichtlinien aktiviert sein. Die Terminaldienste können die IP-Adressen einzelner Clients nicht an Anwendungen weitergeben. Da diese Information von Windows Clustering benötigt wird, können Sie den Clusterdienst nicht gleichzeitig mit den Terminaldiensten im Anwendungsservermodus ausführen. Wird ein Terminalserver als Anwendungsserver eingesetzt, benötigen Sie zusätzliche Clientlizenzen. Für jeden Client müssen Sie eine Clientzugriffslizenz für Terminaldienste sowie eine Clientzugriffslizenz für Windows 2000 besitzen, unabhängig davon, welches Protokoll bei der Verbindung zum Terminalserver verwendet wird.
Lizenzkomponenten für die Terminaldienste Für Clients, die sich über die Terminaldienste an Terminalservern anmelden, gilt ein eigenes Lizenzierungsverfahren, das sich vom Lizenzierungsverfahren für Windows 2000 Server-Clients unterscheidet. Die Terminaldienstelizenzierung umfasst die folgenden Komponenten: Microsoft Clearing House, einen Lizenzserver, einen Terminalserver und Clientlizenzen.
538
Teil IV Windows 2000 – Aktualisierung und Installation
Microsoft Clearing House Microsoft Clearing House ist die von Microsoft unterhaltene Datenbank zur Aktivierung von Lizenzservern und zur Ausgabe von Clientlizenzschlüsselpaketen an die anfordernden Lizenzserver. Clearing House speichert Informationen über alle aktivierten Lizenzserver und Lizenzschlüsselpakete, die jemals ausgegeben wurden. Die Verbindung zu Clearing House stellen Sie über den LizenzierungsAssistenten der Terminaldienstelizenzierung her.
Lizenzserver Ein Lizenzserver speichert alle Terminaldienste-Clientlizenzen, die für einen Terminalserver installiert wurden, und überwacht die Lizenzen, die an Clientcomputer oder -terminals ausgegeben wurden. Ein Terminalserver muss in der Lage sein, die Verbindung zu einem aktivierten Lizenzserver herzustellen, bevor Clients Lizenzen erhalten können. Ein aktivierter Lizenzserver kann gleichzeitig mehrere Terminalserver bedienen.
Terminalserver Als Terminalserver wird der Computer bezeichnet, auf dem die Terminaldienste aktiviert sind. Er ermöglicht Clients den Zugriff auf Windows-basierte Anwendungen, die ausschließlich auf dem Server ausgeführt werden, und unterstützt mehrfache Clientsitzungen auf dem Server. Wenn sich Clients an einem Terminalserver anmelden, bestätigt der Server die Clientlizenz. Verfügt ein Client nicht über eine Lizenz, fordert der Terminalserver eine Clientlizenz vom Lizenzserver an.
Clientlizenzen Alle Clientcomputer oder -terminals, die sich mit einem Terminalserver verbinden, müssen eine gültige Clientlizenz besitzen. Die Clientlizenz wird lokal gespeichert und bei jeder Verbindungsaufnahme an den Terminalserver übermittelt. Der Server bestätigt die Lizenz und erlaubt dem Client, die Verbindung herzustellen. Abbildung 16.1 zeigt die Lizenzkomponenten für die Terminaldienste.
Abbildung 16.1 Lizenzkomponenten der Terminaldienste
Kapitel 16 Einrichten der Terminaldienste
539
Weitere Informationen zur Einrichtung der Lizenzkomponenten für die Terminaldienste finden Sie unter „Einrichten eines Lizenzservers“ weiter unten in diesem Kapitel.
Vorgeschriebene Lizenzen Der Einsatz der Terminaldienste und Terminaldiensteclients im Netzwerk erfordert die folgenden Lizenzen: Windows 2000Server-Lizenz Diese Lizenz erhalten Sie beim Kauf des Produkts. Clientzugriffslizenz für Windows 2000Server Diese Lizenz benötigen Sie für jedes mit Windows 2000 Server verbundene Gerät. Clientzugriffslizenzen erlauben Clients den Zugriff auf die von Windows 2000 Server zur Verfügung gestellten Datei-, Druck- und anderen Netzwerkdienste. Die Terminaldienstekomponente von Windows 2000 Server erfordert eine Pro-Arbeitsplatz-Lizenzierung der Clientzugriffslizenzen für Windows 2000 Server, es sei denn, Sie erwerben die Lizenz für Windows 2000 Terminaldienste – Internet Connector. Diese Lizenz wird weiter unten in diesem Kapitel beschrieben. Für Clientcomputer und -terminals benötigen Sie die folgenden Lizenzen: Windows 2000Clientzugriffslizenz für Terminaldienste oder Windows 2000-Lizenz Die Clientzugriffslizenz gestattet Clientcomputern und Windows-basierten Terminals den legitimen Zugriff auf die Terminaldienste eines Windows 2000Servers. Diese Lizenz wird beispielsweise benötigt, um eine Terminalsitzung zu starten und Windows-basierte Anwendungen auf dem Server auszuführen. Die Windows 2000-Lizenz erlaubt die Installation des Betriebssystems Windows 2000; zugleich erwerben Sie das Recht, auf die Terminaldienste eines Windows 2000Servers zuzugreifen. Für Clients, die lediglich mit Terminalservern im Remoteverwaltungsmodus verbunden sind, werden keine Clientzugriffslizenzen für Terminaldienste erforderlich.
Optionale Lizenzen für die Terminaldienste Zusätzlich zu den erforderlichen Lizenzen für Terminaldienste sind zwei weitere, optionale Lizenzen verfügbar: die Lizenz für Windows 2000 Terminaldienste – Internet Connector und die Work at Home Clientzugriffslizenz für Windows 2000 Terminaldienste.
Lizenz für Windows 2000 Terminaldienste – Internet Connector Anstelle der Clientzugriffslizenzen können Sie auch die Lizenz für Windows 2000 Terminaldienste – Internet Connector erwerben. Diese Lizenz muss separat als Add-On-Lizenz für Windows 2000 Server erworben werden. Sie erlaubt maximal 200 gleichzeitige, anonyme Verbindungen zu einem Terminalserver über das Internet. Diese Option bietet sich für Organisationen an, die Benutzern via Internet Windows-Anwendungen zur Verfügung stellen möchten, ohne diese zuvor in Webanwendungen umwandeln zu müssen. Personen, die mit dieser Lizenz auf einen Terminalserver zugreifen, dürfen nicht zur Belegschaft des Unternehmens gehören.
540
Teil IV Windows 2000 – Aktualisierung und Installation
Wenn Sie die Internet Connector-Lizenz für einen bestimmten Windows 2000Server verwenden, erlauben die Terminaldienste nur anonyme Clientzugriffe. Sie dürfen die Internet Connector-Lizenz nicht zusammen mit anderen Typen von Clientzugriffslizenzen für Terminaldienste auf demselben Windows 2000-Server einsetzen.
Work at Home Clientzugriffslizenz für Windows 2000 Terminaldienste Organisationen können die Terminaldienste auch einsetzen, um ihren Angestellten von zu Hause aus Zugriff auf den Windows 2000-Desktop und 32-Bit-WindowsAnwendungen zu ermöglichen. Bei dieser Art der Verwendung können Sie die Work at Home Clientzugriffslizenz für Terminaldienste über Microsoft Volumen Lizenzprogramme erwerben. Zu jeder Clientzugriffslizenz, die Sie für Windows 2000 Professional oder die Terminaldienste erwerben, können Sie eine zusätzliche Work at Home Clientzugriffslizenz für Windows 2000 Terminaldienste kaufen.
Erweiterungen durch Dritthersteller MetaFrame™ ist ein Add-On für die Windows 2000 Terminaldienste, das von Citrix Systems, Inc., angeboten wird. Dieses Programm schließt das von Citrix entwickelte ICA-Protokoll (ICA – Independent Computing Architecture) ein und stellt erweiterte Funktionalitäten zur Verfügung für: ? Clientgeräte ? Netzwerkverbindungen ? Lokale Systemressourcen
MetaFrame enthält auch eine Reihe von Verwaltungsprogrammen, die mit den Windows 2000 Terminaldiensten eingesetzt werden können. Weitere Informationen über MetaFrame erhalten Sie bei Citrix Systems, Inc.
Erstellen des Einsatzplans für die Terminaldienste Nachdem Sie nun die Einsatzmöglichkeiten der Terminaldienste und die Lizenzierungsanforderungen kennengelernt haben, können Sie die Planungsphase für die Einrichtung der Terminaldienste in Angriff nehmen. Dieser Abschnitt vermittelt die Informationen, die Sie zum Erstellen eines Einsatzplans für die Terminaldienste in Ihrer Organisation benötigen.
Einrichtungsprozess für die Terminaldienste Zu Beginn der Planungsphase zur Einrichtung der Terminaldienste sollten Sie die in Abbildung 16.2 vorgestellten Planungsschritte auf ihre Verwendungsmöglichkeit überprüfen.
Kapitel 16 Einrichten der Terminaldienste
541
Abbildung 16.2 Einrichtungsprozess für die Terminaldienste
Jeder dieser Schritte wird in den folgenden Abschnitten detailliert erläutert.
Zusammenstellen des Terminaldiensteteams Teamwork stellt bei der Planung und Einrichtung der Terminaldienste einen entscheidenden Faktor dar. Bei der Planung sollten die Systemadministratoren für Netzwerkfragen, die Administratoren für die Terminaldiensteanwendungen und die Verantwortlichen für die einzelnen Geschäftszweige grundsätzlich einbezogen werden. Der Kern des Planungsteams muss die Geschäftsvorgänge definieren, bei denen die Terminaldienste zum Einsatz kommen sollen, und die Einrichtung der Terminaldienste planen.
Definieren der Anforderungen für die Terminaldienste Die erste Aufgabe des aufgestellten Teams besteht darin, festzustellen, für welche Zwecke die Terminaldienste eingesetzt werden sollen. Versuchen Sie auf der Grundlage der hier vorgestellten Szenarios herauszufinden, wie Sie den größtmöglichen Nutzen aus dem Einsatz der Terminaldienste in Ihrer Organisation ziehen. Bevor Sie mit der eigenen Planung beginnen, überprüfen Sie die Anforderungen, die mit jedem dieser Szenarios einhergehen.
Szenario 1: Terminaldienste-Remoteverwaltung Die Terminaldienste-Remoteverwaltung ermöglicht Systemadministratoren mit den erforderlichen Berechtigungen die Remoteverwaltung aller Windows 2000-Server über TCP/IP-Verbindungen.
542
Teil IV Windows 2000 – Aktualisierung und Installation
In diesem Szenario verwendet der Systemadministrator Funktionen wie den MMC-Domänen-Manager (MMC – Microsoft Management Console) und die Verzeichnisdienstverwaltung zur Remoteverwaltung der Server innerhalb der eigenen Verzeichnisdomäne. Durch Aktivieren der Terminaldienste im Remoteverwaltungsmodus wird die Serververwaltung auf die Gesamtstruktur ausgedehnt, die auch Domänen im gemischten Modus mit Windows 2000 und Microsoft® Windows NT®-Computern enthalten kann. Mit Windows Clustering kann die Serververwaltung auch Clusterserver einbeziehen. Werden alle Server unter Windows 2000 betrieben, kann die Remoteverwaltung auf allen Servern eines Unternehmens eingesetzt werden und ermöglicht so Direktverbindungen und administrative Zugriffe. Die Serverleistung wird durch den Betrieb der Terminaldienste kaum beeinträchtigt; insofern empfiehlt es sich, sie auf allen Servern der Gesamtstruktur zu aktivieren. Bei Ausfall eines Servers steht in diesem Fall sofort ein Ersatzserver zur Verfügung. In gemischten Umgebungen oder Situationen, in denen eine strengere Kontrolle erwünscht ist, kann die Remoteverwaltung auf einer begrenzten Anzahl von Servern, beispielsweise auf Domänencontrollern, eingerichtet werden. Die Verwaltung der übrigen Domänenserver erfolgt mit den Standardverwaltungsprogrammen. Verwaltungsfunktionen können auf jeder Plattform ausgeführt werden, die den betreffenden Terminaldiensteclient unterstützt, und sind nicht auf Windows 2000 beschränkt. Im Remoteverwaltungsmodus stellen die Terminaldienste zwei integrierte ProServer-Verbindungen zur Verfügung, die keine besondere Installation oder Lizenzierung erfordern. Abbildung 16.3 zeigt, wie die Remoteverwaltung sich über Gesamtstrukturen hinweg erstreckt und Domänen im gemischten Modus einbezieht.
Abbildung 16.3 Erweiterte Serveradministration durch Remoteverwaltung
Szenario 2: Remotezugriff Remotezugriffe erweitern die Einsatzmöglichkeiten der Terminaldienste auf externe TCP/IP-Verbindungen. Das schwächste Glied in der Kette wirkt sich unter Umständen spürbar auf die Benutzer aus.
Kapitel 16 Einrichten der Terminaldienste
543
In diesem Szenario können Angestellte einer Niederlassung, deren Computer als Terminaldiensteclients eingerichtet sind, auf das Buchhaltungsprogramm des Terminalservers in der Zentrale zugreifen. Der Zugriff auf wichtige Unternehmensdaten erfolgt über eine RAS-Verbindung via Modem. Da vorwiegend Tastenanschläge und Bildschirminformationen ausgetauscht werden, sind die Bandbreitenanforderungen gering, und selbst Benutzer mit langsamen Modemverbindungen kommen in den Genuss guter Reaktionszeiten. Mit Ausnahme von grafikintensiven Programmen können weitere Anwendungen hinzugefügt werden, ohne dass die Notwendigkeit besteht, die Bandbreite zu erhöhen. Bevor Benutzer im Zweigbüro auf die Netzwerkressourcen zugreifen können, müssen sie ihre Anmeldeinformationen übermitteln und vollständig authentifiziert werden. Sie können eine weitere Sicherheitsstufe implementieren, indem Sie den Zugriff auf Netzwerkressourcen über Terminalserver routen. Ein ähnliches Modell ist vorstellbar, um Zugriffe auf selten verwendete, veraltete oder im Entwicklungsstadium befindliche Anwendungen zu ermöglichen. Abbildung 16.4 zeigt, wie Angestellte in einem Zweigbüro über eine TCP/IPVerbindung Zugriff auf die Zentrale erhalten.
Abbildung 16.4 Über eine TCP/IP-Verbindung verbundeneZentral- und Zweigbüros
Szenario 3: Unternehmensanwendungen Der Anwendungsservermodus der Terminaldienste eignet sich hervorragend für den Einsatz von Unternehmensanwendungen. Dies gilt insbesondere für Anwendungen, die schwierig zu installieren sind oder häufig durch neuere Versionen ersetzt werden müssen.
544
Teil IV Windows 2000 – Aktualisierung und Installation
In diesem Szenario greift das Dateneingabepersonal auf eine Unternehmensanwendung zu, um Produktinformationen in eine Datenbank einzugeben. Da die Anwendung auf einem Terminalserver ausgeführt wird, arbeiten diese Benutzer auf Windows-basierten Terminals und nicht auf Clientcomputern. Fällt ein Server aus, können die Clients eine neue Verbindung zu einem anderen Server herstellen. Zusätzliche Ausfallsicherheit wird durch eine von den Terminalservern unabhängige Datenhaltung und durch Netzwerklastenausgleich über eine Gruppe von Terminalservern erzielt. Der Ausfall eines Terminals wirkt sich kaum störend auf den Betrieb aus, da es kurzfristig ersetzt werden kann. Die Abteilungsstruktur und die Sicherheitsvorkehrungen innerhalb der Organisation gewährleisten, dass jeder Person genau die Informationen und Netzwerkressourcen offen stehen, die sie zur Erfüllung ihrer Aufgaben benötigt. Abbildung 16.5 illustriert, wie das Dateneingabepersonal Produktinformationen über eine Unternehmensanwendung in eine Datenbank eingibt; das Programm selbst befindet sich auf einem Terminalserver.
Abbildung 16.5 Unternehmensanwendungen auf Terminalservern
Szenario 4: Zentraler Desktopeinsatz Der zentrale Desktopeinsatz wird ermöglicht, indem Sie Desktopanwendungen auf einen Windows 2000-Server laden und die Terminaldienste im Anwendungsservermodus betreiben. Jeder Clientcomputer ist mit einer einfachen, kleinen Anwendung ausgestattet, die die Emulation der Windows-basierten Desktops der einzelnen Benutzer ermöglicht. Die Anwendungen selbst werden auf dem Server ausgeführt. In diesem Szenario ermöglicht ein global agierendes Unternehmen mit Angestellten in aller Welt seinen Benutzern zuverlässigen Zugriff auf Produktionsanwendungen, Legacyprogramme und Büroanwendungen. Die aktivierten Terminaldienste auf einem Windows 2000-Server stellen sicher, dass Clients auch aus größerer Entfernung oder bei Verwendung von veralteter Hardware mit einer kontrollierten
Kapitel 16 Einrichten der Terminaldienste
545
und standardisierten Auswahl von Anwendungen arbeiten können. Die Systemsicherheit erteilt den Clients die geeigneten Zugriffsrechte. Da die Verwendung des Windows-Desktops allen Benutzern offensteht, können Entwickler mit Programmen wie Microsoft® VisualBasic® standardisierte Windows-Benutzeroberflächen für Eigenentwicklungen erstellen. Abbildung 16.6 zeigt, wie eine Organisation über die Terminaldienste globalen Zugriff auf Anwendungen und Programme ermöglicht.
Abbildung 16.6 Zentraler Desktopeinsatz von Anwendungen und Programmen unter Verwendung der Terminaldienste
Voraussetzungen für den Einsatz der Terminaldienste Die vorgestellten Szenarios für den Einsatz der Terminaldienste überschneiden sich häufig. Beispielsweise könnten Benutzer, die über einen zentralen Desktop auf den eigenen Desktop zugreifen, für diesen Einsatzzweck gleichzeitig eine RASVerbindung via Modem nutzen. Bevor Sie die Terminaldienste in Ihrer Organisation einsetzen, sollten Sie die in Tabelle 16.1 zusammengestellten Voraussetzungen der verschiedenen Szenarios einer kritischen Analyse unterziehen. Tabelle 16.1 Voraussetzungen für den Einsatz der Terminaldienste Remoteverwaltung Lizenzierung Lizenzserver
Remotezugriff
Unternehmensanwendung
Zentraler Desktopeinsatz
X
X
X
X
X
X
X
X
X
X
Domänenstruktur Lastenausgleich Servergespeicherte Profile LokalerDruck
X
X
X
X
X
Sicherheit
X
X
X
X
X X
546
Teil IV Windows 2000 – Aktualisierung und Installation
Vorbereiten der Systemumgebung Bevor Sie die Einrichtung der Terminaldienste planen, sollten Sie ein klares Bild Ihrer derzeitigen Systemumgebung vor Augen haben. Weitere Informationen zur Analyse der Systemumgebung finden Sie unter „Planen des Einsatzes“ in dieser Dokumentation. Beachten Sie bitte die Erläuterungen der folgenden Abschnitte, die sich explizit auf die Einrichtung der Terminaldienste beziehen.
Installieren des Lizenzservers auf einem Domänencontroller In Windows 2000-Domänen muss der Lizenzserver auf einem Domänencontroller installiert werden. In Arbeitsgruppen oder Windows NT 4.0-Domänen können Sie den Domänenlizenzserver auf jedem beliebigen Windows 2000-Server installieren. Planen Sie jedoch die Migration einer Arbeitsgruppe oder Windows NT-Domäne auf eine Windows 2000-Domäne, sind Sie gut beraten, wenn Sie den Lizenzserver auf dem Domänencontroller oder einem Computer installieren, der zum Domänencontroller hochgestuft werden kann.
Zugriff über WAN Überprüfen Sie, ob auf den Routern oder Firewalls Filter installiert sind, die Clients den Remotezugriff auf einen Terminalserver verweigern würden. Stellen Sie sicher, dass der RDP-Port (Port 3389) nicht an der Firewall blockiert wird und der Zugriff auf bestimmte Firmensegmente nicht auf IP- (Internet Protocol) oder IPX-Netzwerkadressen (Internetwork Packet Exchange) beschränkt ist. Falls derartige Barrieren in Kraft sind und Remoteverbindungen verhindern, muss das Team bei der Einrichtung diese Konstellation berücksichtigen.
Zugriff auf Netzwerkdienste Vielleicht möchten Sie Kunden oder Lieferanten den Zugriff auf Anwendungen und Daten ermöglichen, oder Sie kommen zu dem Schluss, dass für Endbenutzer der Zugriff auf die Terminaldienste am besten über das Internet erfolgt. Wenn Sie vorhaben, Server über das Internet verfügbar zu machen, sollten Sie die Sicherheitsaspekte bedenken. Setzt Ihre Organisation eine Firewall ein, stellen Sie fest, ob es sich um eine Firewall handelt, die auf Paketebene oder auf Anwendungsebene arbeitet. Firewalls auf Paketebene sind leichter für neue Protokolle zu konfigurieren. Bei Einsatz einer Firewall auf Anwendungsebene müssen Sie prüfen, ob der Hersteller einen Filter für RDP definiert hat; falls nicht, wenden Sie sich mit diesem Anliegen direkt an den Hersteller. Zeichnen Sie die Verbindungswege aus dem Netzwerk zum Internet auf. Anhand dieser Informationen können Sie feststellen, wie viel Bandbreite für die Terminaldienste verfügbar ist. Besteht eine permanente Verbindung vom Netzwerk zum Internet? Beschreiben Sie Anzahl und Art der verwendeten Leitungen zur Herstellung der Verbindung, z. B. T1 oder ISDN.
Kapitel 16 Einrichten der Terminaldienste
547
Verbinden von Terminaldiensteclient und -server RDP unterstützt TCP/IP-Verbindungen zwischen dem Terminaldiensteclient und dem Server. Diese Verbindung kann über Netzwerk- und DFÜ-Verbindungen hergestellt werden, innerhalb des eigenen lokalen Netzwerks oder weiträumig über eine WAN-VPN-Verbindung. Die Terminaldienste nutzen jegliche IP-Verbindung, die zur Verfügung steht. Wesentliche Bedeutung kommt den Fragen zu, ob die bereitgestellte Verbindungsart dem angestrebten Funktionsumfang gerecht wird, und ob die gebotene Sicherheit im Hinblick auf die übertragenen Daten ausreichend ist. Ein einzelner Benutzer kann sich über eine Modemleitung mit geringer Bandbreite einwählen und gute Reaktionszeiten erhalten, aber eine einzige Modemleitung mit einer Übertragungsgeschwindigkeit von 28,8 Kbps wäre für ein betriebsames Büro mit 100 Angestellten sicherlich nicht angemessen.
Analysieren der aktuellen Umgebung Erstellen Sie eine relativ generelle Übersicht über die aktuelle Umgebung, die alle Windows-basierten Terminals, Clientcomputer, Datensichtgeräte, MacintoshComputer, UNIX-Workstations, UNIX X-Terminals und größeren Handheldgeräte erfasst. Beschreiben Sie nicht einzelne Computer mit allen Teilkomponenten, sondern beschränken Sie sich darauf, die Anzahl abzuschätzen und abteilungsoder unternehmensweit gültige Standards zu dokumentieren. Ihre Einschätzung sollte die folgenden Punkte berücksichtigen: ? Stellen Sie die Anzahl der Clientcomputer fest, die gegenwärtig in Betrieb sind. ? Beschreiben Sie die aktuelle Konfiguration der Computer, auf denen der
Terminal Server-Client betrieben werden soll. Notieren Sie den Prozessortyp, das Betriebssystem, den verfügbaren Festplatten- und RAM-Speicher sowie das Grafiksubsystem. Dokumentieren Sie alle offiziellen und inoffiziellen Standards, die sich innerhalb von Abteilungen oder in der Gesamtorganisation etabliert haben, und vermerken Sie alle Computer, die diesen Standards nicht entsprechen. Alle Clientcomputer, die den Mindestanforderungen nicht genügen, müssen aufgerüstet oder ersetzt werden. Berücksichtigen Sie die Anzahl der verschiedenen vorhandenen Geräteklassen, um die optimale Kosten/Nutzen-Relation zu ermitteln. ? Halten Sie Anzahl und Art der vorhandenen Terminals fest, einschließlich aller Windows-basierten Terminals, die für die Terminaldienste eingesetzt werden sollen, und aller Datensichtgeräte oder UNIX X-Terminals, die ersetzt werden müssen. Datensichtgeräte können nicht als Terminal Server-Clients eingesetzt werden. Je nach Konstellation können Sie diese Terminals weiterhin als Clients für Großrechner einsetzen, oder Sie entscheiden sich dafür, sie durch Windowsbasierte Terminals zu ersetzen und so Zugriffe sowohl auf die Terminaldienste als auch auf Großrechner zu ermöglichen. ? Dokumentieren Sie alle Systeme, die als Schnittstellen für Terminal Server-
Clients dienen. Falls vorhandene Clientcomputer diese Systeme über ein NichtWindows 2000-Gateway ansprechen, müssen Sie unter Umständen ein neues Gateway installieren. Stellen Sie fest, ob die erforderlichen Lizenzen vorliegen, damit Zugriffe auf diese Systeme aus einer Windows-Umgebung erfolgen können.
548
Teil IV Windows 2000 – Aktualisierung und Installation
Überlegungen zur Anwendungseinrichtung Dokumentieren Sie die Anwendungen, die Sie über die Terminaldienste auf Clientcomputern einsetzen möchten. Einige Anwendungen enthalten Funktionen, die eine Zusammenarbeit mit den Terminaldiensten ausschließen oder zu gravierenden Leistungseinbußen führen. In diesen Fällen sollten Sie die betreffenden Benutzer anweisen, diese Programme, soweit möglich, lokal zu installieren. Im Einzelnen müssen Sie die folgenden Aspekte berücksichtigen: ? Anwendungen, die spezielle Hardware voraussetzen, beispielsweise Barcode-
scanner oder Kartenlesegeräte. Sie können solche Geräte nur dann mit einem Terminaldiensteclient betreiben, wenn sie mit dem Clientcomputer oder -terminal so verbunden sind, dass der Computer das Peripheriegerät als tastaturähnliches Gerät erkennt. Peripheriegeräte, die über den parallelen oder seriellen Anschluss bzw. über spezielle Karten mit dem lokalen Computer verbunden sind, werden zum gegenwärtigen Zeitpunkt von RDP-basierten Terminal Server-Clients nicht erkannt. ? Multimediaanwendungen oder Anwendungen, die sehr hohe Anforderungen an
die Grafikausgabe stellen, laufen unter den Terminaldiensten nicht zufrieden stellend. Zahlreiche Spiele zählen ebenso zu dieser Kategorie wie Streaming Media-Anwendungen. In anderen Fällen können Anwendungen zwar ausgeführt werden, setzen aber spezielle Installations- oder Ausführungsskripts voraus. Im Allgemeinen dienen diese Skripts dazu, Probleme im Programm zu kompensieren, beispielsweise unsachgemäßen Umgang mit der Registrierung oder fehlende Unterstützung für die Dateispeicherung im Mehrbenutzerbetrieb. Besprechen Sie diese Punkte mit dem Anwendungsentwickler für das Terminaldiensteskripting. Weitere Informationen zu diesem Thema finden Sie über den Hyperlink „Terminal Services Application Information“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources. Bei kundenspezifischen Anwendungen sind eventuell Änderungen oder zusätzliche Skripts erforderlich, sofern sie nicht für Mehrbenutzerumgebungen konzipiert wurden. Weitere Informationen zum Erstellen von Skripts finden Sie über den Hyperlink „Terminal Services Creating Installation and Execution Scripts“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources. Anmerkung Benutzer, die keine Administratorfunktion innehaben, sind nicht befugt, Anwendungen auf einem Terminalserver mit Windows Installer zu installieren.
Erstellen des Einrichtungsentwurfs für die Terminaldienste Nachdem Sie Ihre Anforderungen definiert und die vorhandene Systemumgebung inventarisiert haben, können Sie mit der Einsatzplanung der Terminaldienste beginnen. Dieser Abschnitt liefert die Informationen, die Sie benötigen, um einen Einsatzplan für die Terminaldienste in Ihrer Organisation zu entwickeln.
Kapitel 16 Einrichten der Terminaldienste
549
Einrichten eines Lizenzservers Ein Lizenzserver ist dann erforderlich, wenn Sie die Terminaldienste im Anwendungsservermodus betreiben. Der ressourcenschonende Dienst für Terminaldienstelizenzen speichert die Clientlizenzen, die für einen Terminalserver ausgestellt wurden, und überwacht die Lizenzen, die für Clientcomputer oder -terminals ausgestellt wurden. Der Lizenzserver muss durch Microsoft Clearing House aktiviert und mit den zur Verteilung vorgesehenen Clientzugriffslizenzen ausgestattet werden. Die einzige Aufgabe des Lizenzservers besteht darin, neue Lizenzen für Terminalserver auszustellen, und der Verwaltungsaufwand beschränkt sich auf den Empfang der Lizenzen von Clearing House.
Aktivieren eines Lizenzservers Sie können den Dienst für Terminaldienstelizenzen auf Ihrem Computer bei der Ausführung von Windows 2000 Server Setup aktivieren. Es wird empfohlen, die Terminaldienste auf einem Mitgliedsserver oder einem allein stehenden Server zu aktivieren und den Lizenzserver auf einem anderen Computer zu installieren. Es gibt zwei Typen von Lizenzservern, einen Domänenlizenzserver und einen Unternehmenslizenzserver. Stellen Sie fest, welchen der beiden im Folgenden beschriebenen Typen Sie benötigen, bevor Sie den Lizenzserver installieren. ? Ein Domänenlizenzserver ist angemessen, wenn Sie für jede Domäne einen eigenen Lizenzserver einrichten möchten. Falls Ihre Umgebung Arbeitsgruppen oder Windows NT 4.0-Domänen aufweist, haben Sie keine andere Wahl, als einen Domänenlizenzserver zu installieren. Terminalserver können nur dann auf Domänenlizenzserver zugreifen, wenn sie derselben Domäne angehören wie der Lizenzserver. Standardmäßig wird ein Lizenzserver als Domänenlizenzserver installiert. ? Ein Unternehmenslizenzserver kann Terminalserver in allen Domänen eines
Standorts bedienen, sofern es sich um eine Windows 2000-Domäne handelt. Er kann jedoch nur Terminalserver ein und desselben Standorts bedienen. Dieser Lizenzservertyp eignet sich für Umgebungen mit vielen Domänen. Unternehmenslizenzserver können nicht beim Windows 2000-Setup, sondern nur über das Symbol Software in der Systemsteuerung installiert werden. Um entscheiden zu können, in welchem physischen Netzwerksegment der Lizenzserver eingerichtet werden soll, müssen Sie wissen, wie ein Terminalserver einen Lizenzserver ausfindig macht und mit ihm kommuniziert. Sobald die Terminaldienste für Windows 2000 aktiviert wurden, startet der Terminalserver auf der Suche nach einem Lizenzserver Abfragen in der Domäne und in Windows 2000 Active Directory™ (in einer Arbeitsgruppenumgebung sendet der Terminalserver eine Broadcastnachricht an alle Server der Arbeitsgruppe im selben Subnetz). Der Terminalserver startet alle 15 Minuten eine Abfrage nach einem Domänenlizenzserver, alle 60 Minuten überprüft er den Verzeichnisdienst auf das Vorhandensein eines Unternehmenslizenzservers. Wird ein Domänenlizenzserver gefunden, findet alle zwei Stunden eine erneute Überprüfung statt. Kann der Terminalserver keinen Domänenlizenzserver ermitteln, startet er alle 15 Minuten eine erneute Abfrage. Wird ein Unternehmenslizenzserver gefunden, überprüft der Terminalserver jede Stunde den Verzeichnisdienst. Diese Abfragen haben nur geringfügige Auswirkungen auf den Netzwerkverkehr.
550
Teil IV Windows 2000 – Aktualisierung und Installation
Anmerkung In Windows 2000-Domänen muss der Domänenlizenzserver auf einem Domänencontroller installiert werden. In Arbeitsgruppen oder Windows NT 4.0-Domänen kann der Lizenzserver auf einem beliebigen Server installiert werden. Lässt sich bereits absehen, dass letztendlich eine Migration der Arbeitsgruppe oder Windows NT 4.0-Domäne auf eine Windows 2000-Domäne erfolgen wird, sollten Sie den Lizenzserver auf einem Computer installieren, der zum Windows 2000-Domänencontroller hochgestuft werden kann. Möchten Sie den Lizenzserver auf dem schnellsten Weg aktivieren, können Sie die Verbindung zu Microsoft Clearing House über das Internet herstellen; in diesem Fall installieren Sie den Server auf einem Computer mit Internetzugang. Sie müssen einen Windows 2000-Lizenzserver innerhalb von 90 Tagen nach Inbetriebnahme eines Windows 2000-Terminalservers aktivieren. Wurde der Lizenzdienst auf einem Windows 2000-Server nach Ablauf dieser Frist nicht eingerichtet, lassen sich die Windows 2000-Terminaldienste nicht mehr ausführen.
Aktivieren eines Lizenzservers Ein Lizenzserver muss aktiviert werden, damit er identifiziert werden und Clientlizenzen für die Terminalserver ausstellen kann. Sie aktivieren den Lizenzserver mit Hilfe des Lizenzierungs-Assistenten. Sie können den Lizenzserver auf vier verschiedene Arten aktivieren: ? über das Internet ? webbasiert ? per Fax ? per Telefon
Verfügt der Computer, auf dem die Terminaldienstelizenzierung ausgeführt wird, über einen Internetanschluss, stellt die Aktivierung über das Internet den schnellsten und einfachsten Weg dar. Der Lizenzierungs-Assistent lotst Sie zu einer sicheren Microsoft-Internetsite, auf der die Lizenzserver aktiviert werden. Wenn Sie den Lizenzserver aktivieren, stattet Microsoft den Server mit einem digitalen Zertifikat aus, mit dem das Besitzrecht und die Identität des Servers bestätigt werden. Anhand dieses Zertifikats kann ein Lizenzserver künftige Transaktionen mit Microsoft durchführen und Clientzugriffslizenzen für die Terminalserver erhalten. Die zweite Methode setzt zwar keinen Internetanschluss auf dem Lizenzserver voraus, sieht aber vor, dass Sie über den Browser eines anderen Computers auf das World Wide Web zugreifen können. In diesem Fall können Sie den Lizenzserver mit dem webbasierten Verfahren aktivieren. Anschließend führt Sie der Lizenzierungs-Assistent zu der sicheren Microsoft Website, wo Sie ein Zertifikat für den Lizenzserver erhalten.
Kapitel 16 Einrichten der Terminaldienste
551
Die beiden anderen Alternativen zum Aktivieren eines Lizenzservers setzen lediglich einen Fax- oder Telefonanschluss voraus. Wenden Sie sich an das nächstgelegene Microsoft-Kundendienstzentrum, und übermitteln Sie Ihre Daten via Fax oder Telefon. Bei allen weiteren Schritten steht Ihnen auch hier der LizenzierungsAssistent zur Seite. Die korrekte Telefon- oder Faxnummer können Sie mit Hilfe des Assistenten ermitteln. Wenn Sie die Aktivierung per Telefax verwenden, wird auch die bestätigte Anfrage von Microsoft per Fax gesendet. Bevorzugen Sie den telefonischen Kontakt, wird die Anfrage mit einem Kundendienstmitarbeiter direkt am Telefon bearbeitet. Sie müssen den Lizenzserver nur ein einziges Mal aktivieren. Solange der Aktivierungsprozess noch nicht abgeschlossen ist, kann der Lizenzserver temporäre Lizenzen für Clients ausstellen, die Zugriffe auf Terminalserver über einen Zeitraum von 90 Tagen erlauben. Das digitale Zertifikat, das den Lizenzserver eindeutig identifiziert, wird in Form einer Lizenzserverkennung gespeichert. Bewahren Sie eine Kopie dieser Kennung an einem sicheren Ort auf. Sie können die Kennung nach erfolgter Aktivierung des Lizenzservers anzeigen, indem Sie den Lizenzserver auswählen und im Menü Ansicht auf Eigenschaften klicken. Setzen Sie die Verbindungsmethode auf World Wide Web, und klicken Sie anschließend auf OK. Klicken Sie dann im Menü Vorgang auf Lizenzen installieren und anschließend auf Weiter. Die Lizenzserverkennung wird in der Mitte des Assistentenfensters angezeigt.
Installieren von Lizenzen Auf dem Lizenzserver müssen Lizenzen für Terminaldienste installiert sein, damit die Internet Connector-Einstellung aktiviert werden kann, oder um NichtWindows 2000-Clients permanenten Zugriff auf einen Windows 2000-Terminalserver zu gewähren. Sie können Windows 2000-Clientzugriffslizenzen für Terminaldienste oder Internet Connector-Lizenzen auf demselben Weg erwerben, auf dem Sie normalerweise Ihre Software beziehen. Anschließend können Sie die Lizenzen mit dem Lizenzierungs-Assistenten installieren. Wie bei der Aktivierung des Lizenzservers stehen Ihnen auch vier verschiedene Wege zur Installation der Terminaldienstelizenzen offen. Beim Installieren der Lizenzen müssen Sie einige Informationen zum Kauf der Lizenzen beantworten. Die folgenden Informationen werden benötigt: ? Falls Sie Ihre Lizenzen über einen Microsoft Select- oder Enterprise-
Lizenzvertrag erworben haben oder erwerben möchten, werden Sie nach Ihrer Registrierungsnummer gefragt. ? Haben Sie die Lizenzen über einen Microsoft Open-Lizenzvertrag erhalten, müssen Sie bei der Open-Lizenzbestätigung Ihre Autorisierungs- und Lizenznummer bekannt geben. ? Beim Kauf der Lizenzen über ein Microsoft Lizenz-Paket halten Sie bitte die 25stellige Lizenznummer bereit, die Ihrem Microsoft Lizenz-Paket beigefügt ist. Nachdem Sie Ihre Lizenzen installiert haben, kann der Lizenzserver mit der Verteilung der Lizenzen beginnen. Clients mit temporären 90-Tage-Lizenzen erhalten bei der nächsten Anmeldung eine Clientzugriffslizenz für Terminaldienste (es sei denn, die Anzahl der ausstehenden temporären Lizenzen übersteigt die Anzahl der Clientzugriffslizenzen).
552
Teil IV Windows 2000 – Aktualisierung und Installation
Einsatz des Verwaltungsprogramms der Terminaldienstelizenzierung Das Verwaltungsprogramm der Terminaldienstelizenzierung wurde entwickelt, um Sie bei der Aktivierung der Lizenzserver, der Installation von Clientzugriffslizenzen und der Überwachung der Clientzugriffe auf Terminalserver zu unterstützen. Auf diese Weise entlastet die Terminaldienstelizenzierung den Systemadministrator bei der Erfassung und Verteilung der Internet Connector-Lizenzen und der Clientzugriffslizenzen für Terminaldienste. Mit Hilfe der Terminaldienstelizenzierung können Sie nach erfolgter Verbindung zu einem Lizenzserver die folgenden Aufgaben durchführen: ? Aktivieren eines Lizenzservers. ? Installieren von Clientlizenzen. ? Reaktivieren eines Lizenzservers. ? Deaktivieren eines Lizenzservers. ? Erneutes Installieren von Clientlizenzen.
Alle genannten Aufgaben werden mit Hilfe des Lizenzierungs-Assistenten durchgeführt. Zusätzlich zu diesen Aufgaben können Sie die Terminaldienstelizenzierung auch verwenden, um sich mit einem beliebigen Lizenzserver im Netzwerk zu verbinden und die Lizenzinformationen auf diesem Server anzuzeigen. Sie können die folgenden Lizenzinformationen einsehen: ? Die Liste der installierten Schlüsselpakete für die Clientlizenz. ? Die Gesamtzahl der Lizenzen aller Schlüsselpakete für die Clientlizenz und die
Anzahl der verfügbaren und ausgestellten Lizenzen aller Schlüsselpakete. ? Computernamen und Ausstellungsdatum aller Lizenzen. ? Computernamen und Ablaufdatum aller ausgestellten temporären Lizenzen.
Übersteigt die Anzahl der Clients, die Lizenzen von einem Lizenzserver anfordern, die Anzahl der aktivierten Lizenzen, werden Sie daran erinnert, neue Lizenzen zu installieren. Diese Erinnerung wird als Ereignis im Systemprotokoll der Ereignisanzeige angezeigt. Die Zahl der insgesamt benötigten Clientzugriffslizenzen kann anhand der Zahl der ausstehenden temporären Lizenzen ermittelt werden.
Sichern des Lizenzservers Räumen Sie der Sicherung des Lizenzservers große Bedeutung ein, damit Sie bei einem Systemausfall Ihre Lizenzinformationen problemlos wiederherstellen können. Erstellen Sie in regelmäßigen Abständen Sicherungskopien, die zumindest den Systemstatus und das Verzeichnis Lserver enthalten. Der Standardpfad zu diesem Verzeichnis lautet %windir%\system32\Lserver.
Kapitel 16 Einrichten der Terminaldienste
553
Der Lizenzierungsdienst muss bei der Wiederherstellung eines Computers ausgeführt werden. Führen Sie die Wiederherstellung von Datenbank und Systemstatus auf dem ursprünglichen Lizenzserver (mit derselben Kennung) aus, werden alle historischen und aktiven Lizenzinformationen wiederhergestellt. Stellen Sie die Lizenzdatenbank von einer Sicherungskopie auf einem anderen Lizenzserver wieder her, werden nur die historischen Daten zu den ausgestellten Lizenzen wiederhergestellt. Lizenzen, die nicht ausgestellt wurden, werden nicht wiederhergestellt. Informationen zu nicht ausgestellten Lizenzen werden jedoch in einem Systemprotokoll erfasst, das in der Ereignisanzeige überprüft werden kann. Die Informationen im Systemprotokoll geben die Anzahl und die Art der nicht ausgestellten Lizenzen bekannt, die nicht wiederhergestellt wurden. Sie können die nicht ausgestellten Lizenzen wiederherstellen, indem Sie diese über die telefonische Installationsmethode installieren. Der Kundendienst kann die verloren gegangenen Lizenzen erneut ausstellen.
Netzwerkdesign für den Terminaldienstezugriff Beim Einsatz der Terminaldienste muss auch die Netzwerkinfrastruktur berücksichtigt werden. Die angesprochenen Fragen sind überwiegend Gegenstand allgemeiner Netzwerkstrategiediskussionen; einige Aspekte der Terminaldienste bedürfen jedoch besonderer Aufmerksamkeit. Die Terminaldienste können die IP-Adresse einzelner Clients nicht an eine Anwendung übergeben. Mehrbenutzeranwendungen, die voraussetzen, dass jeder Benutzer eine eindeutige IP-Adresse besitzt, arbeiten in einer Terminaldiensteumgebung nicht korrekt, da scheinbar jeder Benutzer auf die IP-Adresse des Servers selbst verweist. Bestimmte Firewalls und Legacyhosts verwenden beispielsweise die IP-Adresse des Clients, um die Sicherheitsstufe und den physischen Standort zu ermitteln. Unter Umständen müssen Sie Pläne ändern, damit die Terminaldienste diese Anwendungen unterstützen. Andererseits müssen Sie bedenken, dass alle Benutzer dieselbe IP-Verbindung eines gegebenen Terminalservers verwenden. Anwendungen oder Dienste, die diese Ressource beschädigen, blockieren oder monopolisieren, können die allgemeine Funktionsfähigkeit des Servers beeinträchtigen.
Netzwerklastenausgleich und Terminaldienste Netzwerklastenausgleich bezeichnet die Verteilung der Arbeitslast auf zwei oder mehrere Server. Diese Funktion fasst eine Gruppe von Servern unter einer einzigen virtuellen IP-Adresse zusammen und stellt Mechanismen zur dynamischen Lastverteilung bereit. Der Lastenausgleich eignet sich insbesondere für Umgebungen, in denen sich eine große Anzahl von Benutzern zu einer auf dem Server ausgeführten Unternehmensanwendung oder Datenbank verbindet, bei der die Aufrechterhaltung einer Sitzung unkritisch ist. Zumal Clustering mit den Terminaldiensten unvereinbar ist, stellt der Lastenausgleich nicht selten eine gute Lösung für die Bereitstellung von Anwendungen für große Benutzergruppen dar.
554
Teil IV Windows 2000 – Aktualisierung und Installation
Traditionelle Lastenausgleichslösungen können nicht immer garantieren, dass ein Benutzer bei einer erneuten Verbindung mit demselben Server verbunden wird. In Fällen wie dem oben dargestellten Szenario gibt es wenig oder gar keine sitzungsspezifischen Daten, die zu berücksichtigen sind. In Unternehmen mit komplexerem Desktopeinsatz oder Remotezugriffen ist die Unterstützung getrennter Sitzungen ohnehin nicht zu empfehlen, um die Ressourcenanforderungen nicht unnötig zu erhöhen und die Sicherheit zu verbessern. Zu guter Letzt wäre es möglich, anhand der Attribute bestimmter Lastenausgleichstypen eine erneute Verbindung vorhersehbar mit demselben Terminalserver aufzubauen und so die Sitzung aufrechtzuerhalten. Aufrechterhalten einer Sitzung und Aufrechterhalten der Benutzerdaten sind zwei verschiedene Dinge. Es ist ohne weiteres möglich, zwei oder mehrere Terminalserver so einzurichten, dass Benutzer sich mit jedem dieser Server verbinden können und den gewohnten Zugang erhalten, indem Benutzerdaten und Benutzerprofile einfach außerhalb der Terminalserver gespeichert werden. Die Server müssen lediglich die Benutzerprofile und gespeicherten Daten aus diesem gemeinsamen Speicher abrufen. Die Benutzer selbst finden immer dieselbe Umgebung vor, unabhängig davon, mit welchem Server sie verbunden sind. Netzwerklastenausgleich stellt für viele Terminalserver eine gute Lösung dar. Der Lastenausgleich nutzt die IP-Zugehörigkeit, die es Benutzern mit derselben IPAdresse erlaubt, sich mit demselben Computer erneut zu verbinden, falls die Sitzung getrennt wurde. Das heißt auch, Netzwerklastenausgleich kann für die Wiederherstellung einer Sitzung verwendet werden, sofern der Benutzer den Computer nicht gewechselt hat. Selbst bei Einsatz des DHCP-Protokolls (DHCP – Dynamic Host Configuration Protocol) bleibt die IP-Adresse einer Person gleich, sofern sie sich in der Zwischenzeit nicht aus dem Netzwerk abmeldet. DNS (Domain Name System) stellt eine Alternativstrategie für Lastenausgleich dar. Beim Round-Robin-Verfahren wird ein einziger Namenseintrag in mehrere IPAdressen aufgelöst, wobei jede dieser Adressen mit einem duplizierten Server korrespondiert. Wenn Sie DNS verwenden, deaktivieren Sie die Option für das Trennen von Sitzungen auf Servern, auf denen die Terminaldienste ausgeführt werden. Da ein Client Verbindung zu allen diesen Servern herstellen könnte, besteht die Möglichkeit, dass er sich mit einem anderen Server verbindet als dem, auf dem die getrennte Sitzung zurückgelassen wurde. Weitere Informationen zum Netzwerklastenausgleich finden Sie unter „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ in dieser Dokumentation.
Entwerfen und Erstellen der Domänenstruktur Bei der Entwicklung des Netzwerkdesigns muss auch die geplante Platzierung der Terminaldienste innerhalb der vorgeschlagenen Windows 2000-Infrastruktur einbezogen werden. Es gibt grundsätzlich drei alternative Domänenstrukturen, die bei Installation der Terminaldienste anwendbar sind: Sie verzichten auf eine Domänenstruktur Ohne Domänenarchitektur benötigen Benutzer separate Konten auf allen Windows 2000-Servern, auf denen die Terminaldienste ausgeführt werden. Diese Option reduziert die Skalierbarkeit und erschwert die Verwaltung von Benutzergruppen.
Kapitel 16 Einrichten der Terminaldienste
555
Sie implementieren die Windows 2000 Terminaldienste in der vorhandenen Windows NT 4.0-Domänenumgebung Bei dieser Konstellation können Sie von den neuen Funktionen der Windows 2000Terminaldienste profitieren, ohne die produktive Umgebung negativ zu beeinflussen. Denken Sie jedoch daran, dass die vorhandenen Beschränkungen der Sicherheitskontenverwaltung (SAM) des Domänenmodells von Windows NT 4.0 auch bei diesem Ansatz Gültigkeit besitzen. Administratoren können Terminaldienste-spezifische Attribute zu Benutzerkonten hinzufügen. Durch diese zusätzlichen Informationen wird der Platzbedarf für einen Benutzereintrag in der SAMDatenbank der Domäne geringfügig erhöht, normalerweise um 1 KB oder weniger. Sie profitieren von der Windows 2000 Active Directory-Infrastruktur Bei dieser Alternative können Sie die Vorteile von Active Directory optimal nutzen. Sie bietet die Möglichkeit, Tausende von Benutzern in der Datenbank zu speichern. Zudem besteht die Option, die Benutzerumgebung bei Verwendung der Terminaldienste durch Gruppenrichtlinien zu kontrollieren. Bei der Definition der Active Directory-Struktur empfiehlt es sich, die Terminalserver in einer separaten Organisationseinheit zu platzieren, getrennt von anderen Computern und ohne Benutzer. Eine Terminaldienste-Organisationseinheit kann nur aus Terminaldienstecomputern bestehen, sie braucht weder Benutzer noch andere Computerobjekte zu enthalten. Laptops werden vermutlich auch in anderer Weise behandelt als Clientcomputer; genauso gut können Sie Ihre Terminalserver als eigenständige Gruppe verwalten.
Windows 2000-Benutzerprofile oder servergespeicherte Benutzerprofile Ein Profil beschreibt die Windows 2000-Konfiguration für einen individuellen Benutzer, einschließlich der Benutzerumgebung und der bevorzugten Einstellungen. Profile enthalten normalerweise benutzerspezifische Informationen wie installierte Anwendungen, Desktopsymbole und Farbeinstellungen. Um Terminaldienstespezifische Profile für einen bestimmten Benutzer zu konfigurieren, verwenden Sie die Profile, die Sie auf der Registerkarte Terminaldienstprofile im Dialogfeld Benutzereigenschaften finden. Einigen Benutzern sind vielleicht bereits Windows 2000-Profile zugeordnet. Auch in den folgenden Situationen könnte es von Vorteil sein, Benutzern spezifische Profile für die Terminaldienste zuzuordnen: ? Benutzer greifen über WAN-Verbindungen auf die Terminaldienste zu. ? Ein Administrator möchte einem Benutzer eine Sitzung zur Verfügung stellen,
die sich von der eigenen Desktopumgebung des Benutzers unterscheidet. Meldet sich ein Benutzer auf einem Server an, auf dem die Terminaldienste ausgeführt werden, versucht der Server, die Profile in der folgenden Reihenfolge zu laden: ? Das Terminaldienste-spezifische Profil eines Benutzers ? Das servergespeicherte Windows 2000-Profil eines Benutzers ? Das Windows 2000-Profil eines Benutzers
556
Teil IV Windows 2000 – Aktualisierung und Installation
Servergespeicherte Benutzerprofile Bei servergespeicherten Benutzerprofilen können Benutzer auf verschiedenen Computern arbeiten und finden dennoch immer dieselbe Umgebung und dieselben Einstellungen vor. Die Profilinformationen werden auf der lokalen Festplatte des Terminalservers zwischengespeichert. In den folgenden Situationen empfiehlt es sich, diese Informationen zu löschen, nachdem sich der Benutzer abgemeldet hat: ? Der Zugriff auf die Terminaldienste wird von einer Gruppe von
Terminaldienstehosts bereitgestellt. ? Der Zugriff auf die Terminaldienste erfolgt eher selten, und Sie möchten den Festplattenspeicher freigeben, der von den Profildaten belegt wird. Der effektivste Weg, die zwischengespeicherten Profile zu löschen, besteht darin, alle Terminaldienstehosts in einem Windows 2000 Active Directory-Container abzulegen und mit einer spezifischen Richtlinie zu koppeln, die alle zwischengespeicherten Profilinformationen bei der Abmeldung löscht. Wenn Sie servergespeicherte Benutzerprofile einsetzen möchten, planen Sie voraus und legen Sie fest, wo sie gespeichert und wie sie verwaltet werden können. Finden Sie zunächst heraus, auf welchem Datei- oder Druckserver genug Platz ist, um die Profile zu speichern, und ob dieser Server für die Benutzer der Terminaldienste auch zugänglich ist. Erstellen Sie anschließend eine Windows 2000-Freigabe, auf die Benutzer mit Schreib- und Leseberechtigung zugreifen können. Sie müssen die Profile im Netzwerk speichern, dürfen aber nicht die Basisverzeichnisse der Benutzer verwenden. Möchten Sie servergespeicherte Benutzerprofile auf eine Gruppe von Terminaldienstecomputern anwenden, muss die Konfiguration dieser Computer hinsichtlich Anwendungen und Betriebssystem absolut identisch sein; dies betrifft u. a. den Speicherort von %systemroot% und die Installationsordner aller Anwendungen. Andernfalls müssen Sie die unterschiedlichen Konfigurationen in separaten Organisationseinheiten anordnen und sie getrennt verwalten.
Gruppenrichtlinien Gruppenrichtlinien sind ein Mittel zur effizienten Verwaltung und Steuerung der Terminaldienste innerhalb der Systemumgebung. Eine Gruppenrichtlinie setzt sich aus einer Kombination von Registrierungswerten und Dateiberechtigungen zusammen und definiert die Computerressource, die einem Active DirectoryStandort, einer Domäne oder einer Organisationseinheit zur Verfügung steht. Gruppenrichtlinien bauen auf der Basisfunktionalität von registrierungsgespeicherten Werten auf und können Sicherheitseinstellungen, Programminstallationen, Anund Abmeldeskripts sowie Startskripts und Skripts zum Herunterfahren, Bereitstellung von Dateien und umgeleitete spezifische Ordner enthalten. Gruppenrichtlinien werden durch Active Directory aktiviert und wirken sich sowohl auf Computer als auch auf Benutzer der folgenden Gruppen aus: lokale Computer, Standorte, Domänen und Organisationseinheiten.
Kapitel 16 Einrichten der Terminaldienste
557
In Organisationen, in denen dieselben Benutzer sowohl Terminaldienste als auch Windows 2000 Professional nutzen, sollten Richtlinien mit Bedacht eingesetzt werden. Eine Richtlinie wirkt sich gleichermaßen auf Terminaldienstesitzungen wie auf Windows 2000 Professional aus (mit Ausnahme der Anwendungsverwaltung auf Einzelbenutzerbasis, die auf einem Terminaldienste-Anwendungsserver deaktiviert ist). In diesem Fall müssen Sie eine individuelle Kombination von Computerrichtlinien auf die Server anwenden, auf denen die Terminaldienste ausgeführt werden, indem Sie diese Computer in eine andere Organisationseinheit verlegen. Benutzer eines Terminalservers im Anwendungsservermodus sind nicht befugt, Windows Installer aufzurufen, um fehlende Anwendungskomponenten hinzuzufügen. Deshalb ist bei der Erstinstallation des Programms darauf zu achten, dass alle notwendigen Komponenten lokal installiert werden. Zu diesem Zweck können Sie eine Transformationsdatei (MST-Datei) verwenden. Transformationsdateien dienen der Modifikation von MSI-Paketen und enthalten die für Windows Installer notwendigen Informationen, welche Komponenten lokal zu installieren sind.
Zugriff auf Anwendungen Administratoren können Benutzerzugriffe auf Terminaldiensteanwendungen auf folgende Weise steuern: Verbindliche Profile In Profilen legen Sie fest, welche Anwendungen für die Benutzer sichtbar sind. Systemrichtlinien Richtlinien verhindern, dass Benutzer Anwendungen über Windows Explorer oder den Befehl Ausführen öffnen können. Richtlinien gelten domänenweit und können sich sowohl auf die Arbeitsplatzcomputer der Benutzer als auch ihre Terminaldienstesitzungen auswirken. Benutzerrichtlinien für die Domäne werden zuerst angewendet, anschließend werden sie mit den Computerrichtlinien zusammengeführt oder durch diese ersetzt. Infolgedessen kann ein Terminalserver die den Benutzern eingeräumten Rechte ändern oder einschränken. Fehlerhafte Richtlinien können dazu führen, dass Benutzern der Zugriff auf Programme auf sämtlichen Computern innerhalb einer Domäne verweigert wird, anstatt nur Zugriffe auf die Terminaldienste zu verhindern. Implementiert ein Administrator eine Richtlinie, die auf einer Benutzerkennung oder einer Windows 2000-Gruppe basiert, gelten alle Bestandteile dieser Richtlinie für den betreffenden Benutzer oder die betreffende Gruppe, unabhängig vom verwendeten System. Eine Richtlinie, die beispielsweise Benutzern der Finanzabteilung die Ausführung von Microsoft ® Word verbietet, betrifft alle Mitglieder dieser Gruppe in der Domäne, gleichgültig, ob sie die Terminaldienste oder ihre lokalen Computer einsetzen.
558
Teil IV Windows 2000 – Aktualisierung und Installation
Basisverzeichnisse In einer Terminaldiensteumgebung kommt dem Einsatz von Basisverzeichnissen große Bedeutung zu, da die meisten Anwendungen benutzerspezifische Informationen installieren oder individuelle Konfigurationsdateien für jeden Benutzer kopieren müssen. Um die Größe von Benutzerprofilen auf praktikable Dimensionen zu beschränken (unter 2 MB) wird empfohlen, allen Benutzern der Terminaldienste ein Basisverzeichnis und ein Verzeichnis Eigene Dateien im Netzwerk einzurichten, in denen die anwendungsspezifischen Informationen gespeichert werden. Prinzipiell erhält jeder Benutzer unter Windows 2000 ein Basisverzeichnis. Das Standardbenutzerverzeichnis wird im Verzeichnis Dokumente und Einstellungen eingerichtet, das Benutzerdokumente und -einstellungen gleichermaßen enthalten kann. Individuelle Benutzerdokumente werden im Basisverzeichnis des Benutzers oder im Ordner Eigene Dateien gespeichert. Die Terminaldienste schreiben benutzerspezifische Anwendungsdateien, z. B. INIDateien, in das Windows-Verzeichnis des Benutzers und verweisen alle Anwendungen, die das Windows-Verzeichnis suchen, auf das WindowsVerzeichnis des Benutzers. Normalerweise verwenden Benutzer ihre Basisverzeichnisse zum Speichern ihrer persönlichen Dateien. Dies kann zu Problemen führen, wenn servergespeicherte Profile verwendet werden und das Basisverzeichnis im Profilverzeichnis des Benutzers liegt. Unter Windows 2000 wird der gesamte Inhalt des Profilverzeichnisses bei jeder Anmeldung des Benutzers in den Profilzwischenspeicher kopiert, was insbesondere bei im Netzwerk verteilten, servergespeicherten Profilen beträchtliche Zeit und Ressourcen kosten kann. Es ist ratsam, für die Terminaldienste eigene Basisverzeichnisse einzurichten, die durch die MMC-Snap-Ins automatisch zur Verfügung gestellt werden. Ein möglicher Ansatz wäre, auf dem Dateiserver ein Verzeichnis namens Homedirs zu erstellen und der Gruppe Jeder die Berechtigung Ändern einzuräumen. Definieren Sie anschließend den Pfad zum Basisverzeichnis der Terminaldienste als p:\Homedirs\%username%. Terminaldienste erstellt das Unterverzeichnis Benutzername automatisch und erteilt ihm die angemessenen Zugriffsberechtigungen. Standardmäßig haben alle Benutzer Vollzugriff auf ihre eigenen Basisverzeichnisse, während Administratoren Dateien in das Verzeichnis kopieren, darin gespeicherte Dateien aber weder lesen noch löschen können. Sie sollten für alle Benutzer denselben virtuellen Laufwerkbuchstaben zur Umleitung der Basisverzeichnisse verwenden, um den Einsatz von Kompatibilitätsskripts für Anwendungen zu ermöglichen. Beim ersten Ausführen eines solchen Skripts auf einem Server werden Sie aufgefordert, den Laufwerkbuchstaben anzugeben, der das Stammverzeichnis zum Basisverzeichnis des Benutzers repräsentiert. Dieser Laufwerkbuchstabe wird für alle folgenden Kompatibilitätsskripts verwendet. Beachten Sie, dass Sie auf allen Servern einer Serverfarm denselben Laufwerkbuchstaben verwenden müssen.
Kapitel 16 Einrichten der Terminaldienste
559
Zu den außergewöhnlichen Funktionen von Windows 2000 gehört die Ordnerumleitung, die es Benutzern und Administratoren erlaubt, den Pfad eines Ordners unter Angabe der neuen Position umzuleiten. Die neue Position kann einen Ordner auf dem lokalen Computer oder ein Verzeichnis auf einer Netzwerkfreigabe bezeichnen. Benutzer haben so die Möglichkeit, mit freigegebenen Dokumenten auf einem sicheren Server zu arbeiten, als wären sie lokal gespeichert. Mit dieser Option können Administratoren den Benutzerordner Eigene Dateien auf eine private Serverfreigabe umleiten, auf die sowohl Clientcomputer unter Windows 2000 Professional als auch die Terminaldienste zugreifen können. Die Verwaltung dieser Funktion erfolgt mit den Gruppenrichtlinien.
Sicherheitsvorkehrungen Die Sicherheit bildet einen zentralen Bestandteil der Einsatzplanung für die Terminaldienste. Zu den bei der Einsatzplanung für Windows 2000 erfassten Sicherheitsaspekten kommen bei Verwendung der Terminaldienste Überlegungen hinzu, die sich explizit auf eine Mehrbenutzerumgebung beziehen. In diesem Abschnitt werden die für Terminaldienste relevanten Sicherheitsfragen besprochen, zu denen u. a. die in Windows 2000 verwendete Version des NTFSDateisystems, Benutzer- und Administratorenrechte, automatische Anmeldeverfahren und Verschlüsselung zählen. Weitere Informationen zu Sicherheitsaspekten von Windows 2000 finden Sie unter „Planen der verteilten Sicherheit“ in diesem Buch.
NTFS-Dateisystem Aufgrund der Mehrbenutzerstruktur der Terminaldienste wird nachdrücklich empfohlen, die mit Windows 2000 eingeführte Version von NTFS als einziges Dateisystem auf dem Server einzusetzen und auf FAT-Partitionen (FAT – File Allocation Table) zu verzichten. Das FAT-System bietet keinerlei Sicherheit auf Benutzer- und Verzeichnisebene, während mit NTFS Zugriffe auf Unterverzeichnisse auf bestimmte Benutzer oder Benutzergruppen begrenzt werden können. Bei einem Mehrbenutzersystem wie den Terminaldiensten ist dieser Aspekt von entscheidender Bedeutung. Ohne die Sicherheitsmechanismen von NTFS können alle Benutzer auf sämtliche Verzeichnisse und Dateien auf dem Terminalserver zugreifen.
Benutzerrechte Die Terminaldienste werden mit einer Reihe von Standardbenutzerrechten eingerichtet, die Sie bei höheren Sicherheitsanforderungen verändern können. Ein Benutzer, der sich an einem Terminalserver anmelden möchte, muss über das Recht zur lokalen Anmeldung auf diesem Computer verfügen. Standardmäßig verfügen bei einem Terminalserver im Remoteverwaltungsmodus nur Administratoren dieses Computers über Rechte, während beim Anwendungsservermodus alle Mitglieder der Gruppe Benutzer Rechte erhalten. Nachdem Windows 2000 auf einem Computer, der nicht als Domänencontroller fungiert, alle Domänenbenutzer in die Gruppe Benutzer aufnimmt, können sich alle Domänenbenutzer auf einem Terminalserver anmelden, der freigegebene Anwendungen zur Verfügung stellt. Änderungen bezüglich der zur Anmeldung berechtigten Gruppen und Benutzer sowie der erteilten Rechte können über die Terminaldienstekonfiguration durchgeführt werden.
560
Teil IV Windows 2000 – Aktualisierung und Installation
Benutzer, die Zugriffsrechte über ein Protokoll wie z. B. RDP besitzen und sich interaktiv an einem Server mit aktivierten Terminaldiensten anmelden, werden automatisch in die vordefinierte lokale Gruppe Terminaldienstbenutzer aufgenommen. Die Zugehörigkeit zu dieser Gruppe ist auf die Dauer der interaktiv auf dem Terminalserver angemeldeten Sitzung beschränkt. Administratoren bleibt durch diese vordefinierte Gruppe die Kontrolle über die Ressourcen vorbehalten, auf die Terminaldienstebenutzer zugreifen können. Sie lässt sich weitgehend mit der vordefinierten Gruppe interaktiv vergleichen. Vermeiden Sie es, Terminaldienste als Domänencontroller zu konfigurieren, da alle Richtlinien für Benutzerrechte, die Sie auf einen solchen Server anwenden, in der Folge für alle Domänencontroller der Domäne gelten. Benutzer, die die Terminaldienste nutzen wollen, müssen beispielsweise das Recht zur lokalen Anmeldung besitzen. Ist der Server, auf dem die Terminaldienste ausgeführt werden, ein Domänencontroller, können sich diese Benutzer auf allen Domänencontrollern der Terminaldienstedomäne lokal anmelden.
Administratorrechte Die Mitglieder der Administratorengruppe eines Terminalservers legen fest, welche Benutzer auf welche Anwendungen mit welchen Rechten Zugriff erhalten. Der überwiegende Teil dieser Kontrollmechanismen gehört zu den Standardrechten eines Administrators für Windows 2000 Server. Diese Rechte werden beim Einsatz der Terminaldienste um die folgenden Komponenten erweitert: ? Serververwaltung: Über das Verwaltungsprogramm zur Terminaldienste-
konfiguration können Sie Benutzerberechtigungen und Sitzungsaktivitäten einrichten sowie Vorgänge und Sitzungen trennen. ? Benutzersteuerung: Benutzerberechtigungen für Terminaldienste werden mit der Terminaldienstekonfiguration erteilt. Spezifische Profile für Terminaldienste können Sie mit dem erweiterten Benutzer-Manager erstellen. ? Sitzungssteuerung: Die Terminaldiensteverwaltung dient zur Überwachung der aktiven Benutzer, Sitzungen und Prozesse. Darüber hinaus können Sie Sitzungen spiegeln und die Trennung von Verbindungen erzwingen. ? Installation von Anwendungen: Bei Terminalservern, die im Anwendungsfreigabemodus betrieben werden, sind nur Administratoren befugt, Anwendungen zu installieren. Diese Beschränkung gilt nicht für die Remoteverwaltung.
Automatische Anmeldevorgänge Je nach vorgesehener Verwendung der Terminaldienste müssen Sie Benutzern möglicherweise Zugriff auf das Dateisystem gewähren. Personen, die nur eine einzige Anwendung, z. B. eine Datenbank, benötigen, können Sie direkt nach dem Start die geöffnete Anwendung präsentieren, indem Sie den Terminalserver entsprechend konfigurieren. Mit dem Clientverbindungs-Manager legen Sie auf Benutzerebene fest, welche Anwendung automatisch gestartet wird. Ein vorkonfigurierter Terminal Server-Client kann auf eine Gruppe von Benutzern übertragen werden, die damit denselben direkten Zugriff auf die Anwendung erhält. Sieht ein Terminalserver die Ausführung einer einzigen Anwendung vor, die allen Zugriffsberechtigten offen steht, kann der Server so konfiguriert werden, dass diese Anwendung nach der Anmeldung automatisch gestartet wird. Diese Einstellung nehmen Sie in der Terminaldienstekonfiguration vor.
Kapitel 16 Einrichten der Terminaldienste
561
Sie können auch Verbindungen ohne Eingabe von Benutzername und Kennwort zulassen. Auf Benutzerebene nehmen Sie diese Einstellung im ClientverbindungsManager vor, auf Serverebene verwenden Sie die Terminaldienstekonfiguration oder den erweiterten Benutzer-Manager. Im Allgemeinen sollten Sie diese Verbindungsmethode nur für Benutzer vorsehen, die auf direktem Weg in eine Unternehmensanwendung gelangen, insbesondere dann, wenn die Anwendung selbst ein Zugangskennwort erfordert. Setzen Sie diese Serverfunktion mit der gebotenen Sorgfalt ein, denn letztendlich kann sich jede Person mit einem Terminaldiensteclient auf dem Server anmelden. Windows 2000 sieht eine sekundäre Anmeldefunktion vor. Sie wird in erster Linie verwendet, um Benutzern die Ausführung von Anwendungen in einem anderen Sicherheitskontext zu ermöglichen. Diese Funktion eignet sich für Umgebungen, in denen sich Clientcomputer mit einem Standardbenutzerkonto automatisch anmelden, bestimmte Benutzer aber Anwendungen ausführen müssen, die eine höhere Sicherheitsstufe erfordern. In diesem Fall können Sie den Befehl runas verwenden, um Anwendungen in einem anderen Sicherheitskontext und ohne vorherige Abmeldung des Benutzers zu starten. Sie können den Befehl runas entweder an der Eingabeaufforderung eingeben oder in eine Programmverknüpfung integrieren. Nachdem Sie die Verknüpfung erstellt haben, können Sie diese Funktion problemlos einfügen, indem Sie in den Eigenschaften der Verknüpfung die Option Unter anderem Benutzernamen ausführen aktivieren. Aufgrund dieser Einstellung werden Benutzer aufgefordert, ihr Benutzerkonto und ihr Kennwort für die Windows 2000-Domäne einzugeben, bevor die Anwendung ausgeführt wird.
Eingeben benutzerspezifischer Informationen Meldet sich ein Benutzer am System an, initiieren die Terminaldienste die Ausführung der Stapeldatei UsrLogon.cmd im Verzeichnis System32. Diese Datei nimmt alle notwendigen Änderungen an der Benutzerumgebung vor und stellt sicher, dass Benutzer ihre Anwendungen in der vorgesehenen Weise ausführen können. Werden innerhalb der Terminaldienste Änderungen an der Benutzerumgebung notwendig, können Sie diese Datei bearbeiten und die betreffenden Änderungen eingeben. Denken Sie jedoch daran, dass Änderungen an dieser Datei zu Problemen mit den Kompatibilitätsskripts führen können, die von dieser Stapeldatei aufgerufen werden.
Ändern des Anmeldevorgangs Überprüfen Sie Ihre Anmeldeskripts auf das Vorhandensein der Umgebungsvariablen %clientname% und %sessionname%. Diese Variablen sind Terminaldienste-spezifisch und erscheinen nur dann in der Umgebung eines Benutzers, wenn dieser an einem Terminalserver im Remoteverwaltungs- oder Anwendungsservermodus angemeldet ist. Sie können beispielsweise auf die Ausführung eines Antivirusprogramms verzichten, falls das Skript feststellt, dass es unter den Terminaldiensten ausgeführt wird.
Verschlüsselung Sie können Datenübertragungen zwischen Terminaldiensteclients und -servern eine von drei verschiedenen Verschlüsselungsstufen zuweisen. Ein hoher Verschlüsselungsgrad ist nur für Nordamerika verfügbar.
562
Teil IV Windows 2000 – Aktualisierung und Installation
Niedriger Verschlüsselungsgrad Bei niedrigem Verschlüsselungsgrad wird der Datenfluss vom Client zum Server unter Verwendung des RC4-Algorithmus und eines 56-Bit-Schlüssels (40-BitSchlüssel für RDP 4.0-Clients) verschlüsselt, während die Datenübertragung vom Server zum Client unverschlüsselt erfolgt. Eine niedrige Verschlüsselung schützt vertrauliche Daten wie Kennwörter und Anwendungsdaten. Die Daten, die vom Server an den Client übermittelt werden, sind mit einer Bildschirmaktualisierung verbunden, die auch bei unverschlüsselter Übertragung nur schwer zu infiltrieren ist.
Mittlerer Verschlüsselungsgrad Bei mittlerem Verschlüsselungsgrad wird der Datenfluss in beide Richtungen mittels RC4-Algorithmus und einem 56-Bit-Schlüssel (40-Bit-Schlüssel für RDP 4.0-Clients) verschlüsselt.
Hoher Verschlüsselungsgrad Lediglich in der nordamerikanischen Version der Terminaldienste wird der Datenfluss in beide Richtungen mit dem RC4-Algorithmus und einem 128-BitSchlüssel verschlüsselt. Beachten Sie, dass in der für den Export aus den USA vorgesehenen Version der Terminaldienste der „hohe“ Verschlüsselungsgrad dem oben erwähnten mittleren Verschlüsselungsgrad entspricht.
Weitere Sicherheitsaspekte Berücksichtigen Sie bei der Sicherheitsplanung für die Terminaldienste die folgenden Punkte: Smartcards Die interaktive Anmeldung unter Windows 2000 ist in der Lage, einen Benutzer im Active Directory-Netzwerk anhand eines auf einer Smartcard gespeicherten X.509-Zertifkats (Version 3) in Kombination mit einem privaten Schlüssel zu authentifizieren. Diese Funktion ist jedoch für Benutzer, die sich über die Terminaldienste authentifizieren, nicht verfügbar. Diese Ausnahmeregelung trifft auch für andere hardwarebasierte Authentifizierungsverfahren zu. Netzwerk- undVerbindungssicherheit Remotezugriffe beschränken den Zugriff nicht auf Benutzer der Terminaldienste. Stellt ein Benutzer eine Modem- oder VPN-Verbindung zum Internet oder zu einem anderen System her, haben alle Benutzer der Terminaldienste Zugriff auf diese Verbindung. InformationsdiensteundTerminaldienste Anonyme Zugriffe über das FTP-Protokoll (File Transfer Protocol) müssen deaktiviert werden, um ungesicherte Zugriffe auf das Dateisystem zu unterbinden. Entfernen nicht verwendeter Dienste Entfernen Sie die IBM OS/2- und POSIXSubsysteme, um Benutzer daran zu hindern, OS/2- oder POSIX-Anwendungen auszuführen, die die Sicherheitsvorkehrungen umgehen. Weitere Informationen zur Aufrechterhaltung der Systemsicherheit finden Sie unter „Planen der verteilten Sicherheit“ in dieser Dokumentation.
Kapitel 16 Einrichten der Terminaldienste
563
Remotezugriffe Die Terminaldienste ermöglichen Remotebenutzern Zugriffe auf Anwendungen, die andernfalls aufgrund der eingeschränkten Systemleistung bei DFÜ- oder langsamen WAN-Verbindungen nicht nutzbar wären. Die bei Terminaldiensten übertragenen Bildschirm-, Maus- und Tastaturinformationen setzen üblicherweise weniger Bandbreite voraus als eine Anwendung, die zunächst gedownloadet und anschließend lokal auf dem Computer des Remotebenutzers ausgeführt wird.
Terminaldienste über das Internet Benutzer können auch über das Internet Zugriff auf die Terminaldienste erhalten, indem sie sich die Vorteile des L2TP-Protokolls (Layer-2 Tunneling Protocol) oder des PPTP-Protokolls (Point-to-Point Tunneling Protocol) zunutze machen. Durch Verschlüsselung bietet jede der beiden Tunnelingoptionen Benutzern, die über ein öffentliches Medium kommunizieren, sicheren Zugang zu einem privaten Netzwerk. Diese Protokolle sind aufgrund der gebotenen Sicherheit besonders empfehlenswert, der Zugriff auf die Terminaldienste kann jedoch über jede beliebige TCP/IP-Verbindung erfolgen.
Firewalls Wird in Ihrer Organisation aus Sicherheitsgründen eine Firewall eingesetzt, denken Sie daran, dass Port 3389 für RDP-Verbindungen zwischen Client und Server offen gehalten werden muss. Um optimale Ergebnisse zu erzielen, sollten Sie eine Firewall einsetzen, die Authentifizierung auf Benutzerbasis anwendet. Eine Firewall, die Zugriff auf Basis der IP-Adresse gewährt, gewährt Benutzern Zugang, wenn die IP-Adresse des Servers, auf dem die Terminaldienste ausgeführt werden, zugriffsberechtigt ist.
Serverkonfiguration für die Einrichtung der Terminaldienste Sie sollten die Computer, die Sie als Server für die Terminaldienste einsetzen möchten, mit identischer Konfiguration von ein und demselben Hersteller beziehen, um die Verwaltung der Terminaldienste zu erleichtern. Wenn Sie die Terminaldienste für verschiedene Zwecke einsetzen möchten, fassen Sie die Server am besten in Funktionsgruppen zusammen, wobei die Server innerhalb einer Gruppe weitgehend homogen sein sollten. Halten Sie sich, soweit vorhanden, an die im Unternehmen üblichen Systemstandards, wenn Sie Neuanschaffungen für den Einsatz der Terminaldienste planen. Korrigieren Sie die existierenden Standards gegebenenfalls nach oben, um die Verwaltung und Wartung der Hard- und Software so einfach wie möglich zu gestalten. Berücksichtigen Sie bei der Einsatzplanung für die Server die Komponenten Arbeitsspeicher, Auslagerungsdatei und Speicherabbilddateien, Prozessoren und Registrierung. Eine Speicherabbilddatei bezeichnet ein bei Systemausfall erstelltes Abbild des Speicherinhalts. Stellen Sie bei allen Komponenten die folgenden Überlegungen an:
564
Teil IV Windows 2000 – Aktualisierung und Installation
Arbeitsspeicher Mit 128 MB RAM für die Basisdienste des Betriebssystems plus zusätzlichem Speicher pro Benutzer haben Sie ein solides Grundgerüst. Die zusätzliche Speicherkapazität ist variabel, sollte aber zwischen 16 MB und 20 MB pro Sitzung liegen. Berechnen Sie die zusätzliche Speicherkapazität, indem Sie circa 13 MB für den Benutzerdesktop einplanen, und fügen Sie die zur Ausführung der Anwendungen erforderliche Speichermenge hinzu. Wird eine Anwendung von mehreren Benutzern ausgeführt, wird der Anwendungscode im Arbeitsspeicher nicht dupliziert (der ausführbare Code wird von mehreren Instanzen einer Anwendung gemeinsam genutzt). 16-Bit-Anwendungen erfordern etwa 25 Prozent mehr Arbeitsspeicher als 32-Bit-Anwendungen. Rechnen Sie damit, dass speicherintensive Anwendungen wie Client/ServerAnwendungen ausgeführt werden, die großen Speicherbedarf haben, müssen Sie den prognostizierten RAM-Bedarf pro Benutzer erhöhen. Jeder Server muss mit so viel physischem Speicher ausgerüstet sein, dass die Auslagerungsdatei so gut wie nie genutzt wird. Auslagerungsdatei und Speicherabbilddateien Der für die Auslagerungsdatei des Servers zugeteilte Festplattenspeicher muss mindestens das Eineinhalbfache des gesamten physischen Speichers betragen. Installieren Sie das Betriebssystem des Terminalservers auf einem physischen Laufwerk, und legen Sie die Auslagerungsdatei auf einem anderen Laufwerk an. Verfügt der Server über einen sehr großen physischen Speicherbereich, müssen Sie überprüfen, ob die Plattenkapazität des vorgesehenen Laufwerks zum Speichern der Speicherabbilddateien auf der Systempartition ausreicht. Berücksichtigen Sie die Faktoren Gesamtarbeitsspeicher, Größe der Auslagerungsdatei, installierte Anwendungen und die Gesamtgröße des Festplattenlaufwerks. Um optimale Systemleistung zu erzielen, sollten Sie die Auslagerungsdatei auf einem separaten physischen Laufwerk anlegen. Überlegen Sie, ob die Kapazität von Laufwerk C ausreicht, um die Speicherabbilddatei zu speichern, und deaktivieren Sie diese Option gegebenenfalls auf Systemen, die mit 128 MB physischem Arbeitsspeicher oder mehr ausgerüstet sind. Prozessoren Die Anforderungen an den Terminalserver müssen auch den Anforderungen von Windows 2000 Server genügen. Die pro Benutzer anfallende Verarbeitungsmenge hängt von der Art der ausgeführten Anwendungen ab. Diese Werte lassen sich durch Testinstallationen ermitteln. Weitere Informationen zur Skalierung finden Sie über den Hyperlink „Terminal Services Scaling“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources. Registrierung Die Größe der Registrierung wird bei der Installation dynamisch festgelegt und basiert auf der Größe der Auslagerungsdatei. Das Registrierungskontingent basiert auf der Größe des Arbeitsspeichers. Die Registrierungsgröße kann auch in der Systemsteuerung eingestellt werden. Doppelklicken Sie auf System, und klicken Sie anschließend auf die Registerkarte Erweitert. Klicken Sie auf dieser Registerkarte auf Systemleistung optimieren, und dann auf Ändern. Geben Sie die gewünschte Registrierungsgröße ein.
Kapitel 16 Einrichten der Terminaldienste
565
Vorbereiten der Clienteinrichtung Clientcomputer oder Terminals stellen die Verbindung zum Terminalserver mit Hilfe eines kleinen Clientprogramms her, das auf der Festplatte oder als Firmware installiert ist. Die Auswahl der Clientplattform hängt von der aktuellen installierten Basis und den individuellen Benutzeranforderungen ab. Als Mindestvorgabe gilt, dass alle Clientcomputer und Terminals, die Verbindung zum Terminalserver aufnehmen sollen, die Hardwareanforderungen erfüllen, um die Clientsoftware zu speichern und Netzwerkverbindungen herzustellen.
Einrichtung auf Windows CE-basierten Terminals Windows CE-basierte Terminals sind generell die „Windows-ähnlichsten“ Terminals, die Sie zum Zugriff auf die Terminaldienste einsetzen können. Diese Terminals werden mit Hilfe von Assistenten eingerichtet und konfiguriert, die sich mit der vertrauten Microsoft® Win32®-Benutzeroberfläche von Microsoft® Windows® 95 und späteren Windows-Betriebssystemen präsentieren. Achten Sie beim Kauf der Terminals darauf, ob der Hersteller ein Programm zur Remoteverwaltung mitliefert, das Terminalaktualisierung, Terminalkonfiguration und Inventarisierung ermöglicht. Üblicherweise können Windows-basierte Terminals unter Verwendung der folgenden Optionen lokal konfiguriert werden: ? Mittels DHCP ? Über eine Verbindung, die über LAN, PPP (Point-to-Point Protocol), IP-
Adresse, Subnetzmaske oder Gateway hergestellt wird. ? Mit DNS, wobei der Terminalservername beim Herstellen der Verbindung ermittelt wird. Der überwiegende Teil der Windows-basierten Terminals kann Zugriffe auf die Terminaldienste über eine DFÜ-Verbindung mit PPP-Protokoll realisieren. Einige dieser Terminals unterstützen die Verschlüsselung beim Anmeldevorgang nicht. In diesem Fall müssen Sie das Gerät, das die Netzwerkkonnektivität herstellt, so konfigurieren, dass es Klartextkennwörter übermittelt; andernfalls kann die Verbindung nicht hergestellt werden. Die Sitzungsanmeldung am Terminalserver kann dagegen immer verschlüsselt durchgeführt werden. Manche Windows CE-basierte Terminals bringen Emulatoren für andere Terminaltypen als Teil der Firmware mit. Benutzer dieser Terminals können gleichzeitig Verbindungen zu verschiedenen Servertypen herstellen und zwischen den unterschiedlichen Emulatoren auf dem Terminal hin- und herschalten. Die folgenden Abkürzungstasten dienen zum Umschalten von Sitzungen auf einem Windows CE-basierten Terminal: ? STRG+ALT+ENDE: bringt die Windows CE-basierte Shell-
Benutzerschnittstelle in den Vordergrund. ? STRG+ALT+NACH-OBEN: Wechselt zur vorhergehenden aktiven Sitzung, ohne die Shell in den Vordergrund zu bringen. ? STRG+ALT+NACH-UNTEN: Wechselt zur nächsten aktiven Sitzung, ohne die
Shell in den Vordergrund zu bringen.
566
Teil IV Windows 2000 – Aktualisierung und Installation ? STRG+ALT+POS1: Wechselt zur Standardverbindung, sofern diese aktiv ist;
andernfalls wird die Verbindung gestartet. ? F2: Zeigt den Konfigurationsdialog für Terminaleigenschaften an.
Weitere Informationen zu Anbietern von Windows CE-basierten Terminals finden Sie über den Hyperlink „Terminal Services Vendors“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources.
Einrichtung auf Clientcomputern Windows-basierte Clientcomputer, die zur Verbindung mit den Terminaldiensten genutzt werden, sollten mindestens mit einem 80386-Mikroprozessor mit 33 MHz (empfohlene CPU: 486/66), einer 16-Bit-VGA-Grafikkarte und dem Microsoft TCP/IP-Stack ausgestattet sein. Der Terminaldiensteclient kann unter Windows 2000, Windows für Workgroups 3.11, Windows 95, Windows 98 und Windows NT 3.51 oder höher betrieben werden. Der Terminaldiensteclient belegt etwa 500 KB Festplattenkapazität und beansprucht im laufenden Betrieb circa 4 MB Arbeitsspeicher. Bei aktiviertem Bitmapcaching auf den Clients kommen u. U. weitere 10 MB an belegtem Festplattenspeicher hinzu. Optimale Systemleistung erzielen Sie mit Clientcomputern, die mit mindestens 8 MB physischem RAM bei Verwendung von Windows für Workgroups 3.11 oder Windows 95, 24 MB RAM für Windows 98 und 32 MB RAM für Windows 2000 ausgestattet sind. Das RDP-Clientprogramm wird standardmäßig als Teilkomponente der Terminaldienste installiert. Die einzelnen Clients werden in der Standardeinstellung im folgenden Verzeichnis installiert: %systemroot%\system32\clients\tsclient Es gibt zwei Möglichkeiten der Clienteinrichtung: ? Erstellen Sie eine Dateifreigabe, um die Installation über das Netzwerk
vorzunehmen. ? Wählen Sie im Menü Verwaltung die Option Terminaldienstclient erstellen, und erstellen Sie eine Clientimagedatei, die von Diskette installiert werden kann. Anmerkung Der Terminaldiensteclient setzt eine TCP/IP-Verbindung zum Server voraus, aber die Terminaldienste selbst können bei Bedarf Zugriffe auf NovellServer über IPX realisieren.
Aktualisieren auf die Terminaldienste In welcher Form die Aktualisierung auf die Terminaldienste durchgeführt wird, hängt von der aktuellen Systemumgebung ab: WinFrame mitoder ohne MetaFrame Es existiert kein direkter Upgradepfad von WinFrame auf die Terminaldienste. In diesem Fall müssen Sie zuerst auf Microsoft Terminal Server 4.0 und anschließend auf Windows 2000 aktualisieren.
Kapitel 16 Einrichten der Terminaldienste
567
TerminalServer4.0 ohne MetaFrame Bei installiertem Terminal Server 4.0 existiert ein direkter Aktualisierungspfad für die Terminaldienste. Wenn Sie Windows 2000 installieren, erkennt der Server die Terminal Server 4.0-Version, führt die Aktualisierung automatisch durch und aktiviert die Terminaldienste im Anwendungsservermodus automatisch. Gegebenenfalls müssen Sie vorhandene Anwendungen erneut installieren, wenn Sie die Terminaldienste im Anwendungsservermodus aktivieren. TerminalServer 4.0 mit MetaFrame Dieser Prozess ist weitgehend mit dem oben beschriebenen Aktualisierungsverfahren bei installiertem Terminal Server 4.0 zu vergleichen. Sie müssen jedoch zuerst auf die MetaFrame-Version für Windows 2000 aktualisieren. Nachdem Sie die neue Version von MetaFrame installiert haben, verläuft der Upgradeprozess genau so, wie bei „Terminal Server 4.0 ohne MetaFrame“ beschrieben. Windows NT ohne Terminaldienste Wählen Sie bei der Installation von Windows 2000 die Option Terminaldienste im Remoteverwaltungs- oder Anwendungsmodus aus, um die Terminaldienste zu aktivieren.
Installieren und Konfigurieren von Anwendungen Ein Windows 2000-Server, auf dem die Terminaldienste im Anwendungsservermodus betrieben werden, ermöglicht mehrfache Benutzerverbindungen zu einer beliebigen Anzahl von Anwendungen. Es empfiehlt sich, Anwendungen über das Symbol Software in der Systemsteuerung hinzuzufügen oder zu entfernen. Auf diese Weise erfolgt die Installation der Terminaldienste weitgehend automatisch. Sie können die Anwendung auch direkt installieren, vorausgesetzt, der Server befindet sich im Installationsmodus. Geben Sie an der Eingabeaufforderung den Befehl change user /install ein, um den Installationsmodus zu aktivieren; der Befehl change user /execute beendet den Installationsmodus des Servers. Diese Befehle sind nicht notwendig, wenn Sie die Installation über die Systemsteuerung durchführen. Da falsche oder fehlende Angaben bei Verwendung der Befehlszeile nie auszuschließen sind, sollten Sie der Installation über die Systemsteuerung den Vorzug geben. Wird eine Anwendung nicht über die Systemsteuerung und bei nicht aktiviertem Installationsmodus installiert, müssen Sie diese entfernen und mit der korrekten Vorgehensweise neu installieren. Nur Administratoren sind befugt, Anwendungen auf einem TerminaldiensteAnwendungsserver zu installieren.
Einrichten von Anwendungen mit Gruppenrichtlinien Die Einrichtung von Anwendungen über Windows Installer mit Hilfe von Active Directory und Gruppenrichtlinien stellt ein sehr flexibles Verfahren dar. Anwendungen können auf unterschiedliche Weise installiert und verwaltet werden. Im Folgenden werden die drei wesentlichen Einrichtungsmethoden bei Verwendung von Windows Installer beschrieben: ? Installation auf einem lokalen Computer durch einen Benutzer. ? Verteilung durch den Systemadministrator vom Domänencontroller auf
Computer oder Benutzer.
568
Teil IV Windows 2000 – Aktualisierung und Installation ? Veröffentlichung durch den Systemadministrator vom Domänencontroller für
einen Benutzer. Bevor eine Anwendung mit Windows Installer installiert werden kann, muss ein MSI-Installationspaket für diese Anwendung zur Verfügung stehen.
Einrichtung von Anwendungen von Domänencontrollern Soll eine Anwendung vom Domänencontroller verteilt werden, muss der Systemadministrator einem Computer eine MSI-basierte Anwendung zuweisen. Anwendungsserver können Anwendungen weder veröffentlichen noch einzelnen Benutzern zuweisen. Transformationsdateien werden erforderlich, wenn bei der Erstinstallation nicht alle benötigten Anwendungskomponenten auf die lokale Festplatte installiert wurden. Sie erlauben eine Auswahl der Komponenten, die bei der Installation berücksichtigt werden sollen. Ein Systemadministrator kann Anwendungen auch über eine Remotesitzung bzw. über die Konsole eines Anwendungsservers installieren. Eine Standardinstallation wird mit dem folgenden Befehl aufgerufen: Msiexec /I Anwendungsname.MSITRANSFORMS=Transformationsdateiname.MST ALLUSERS=1 Die Installation einer Anwendung in einer Mehrbenutzerumgebung unterscheidet sich ganz wesentlich von einer Installation für einen einzelnen Benutzer. Die Installation von Anwendungsserverprogrammen darf keine Gefährdung für das laufende System darstellen, und die Konfiguration muss gleichzeitige Zugriffe durch mehrere Benutzer ermöglichen. Aus den genannten Gründen können nur Administratoren Anwendungen installieren, während Benutzer nicht befugt sind, auch nur Teilkomponenten zu installieren. Es liegt in der Verantwortung des Systemadministrators, zu entscheiden, welche Anwendungen benötigt werden und sicherzustellen, dass Anwendungen lokal installiert und verfügbar sind, bevor Remoteverbindungen von Benutzern zugelassen werden.
Unterstützen mehrsprachiger und internationaler Benutzer Die Terminaldienste sind in der Windows 2000 MultiLanguage-Version verfügbar. Die Windows 2000 MultiLanguage-Version ermöglicht die Installation und Konfiguration der Benutzeroberfläche in mehreren Sprachversionen. Dies vereinfacht den Einrichtungsprozess und reduziert die Hardwarekosten für multinationale Organisationen. So kann beispielsweise ein Schweizer Unternehmen, das gesetzlich verpflichtet ist, die Benutzeroberfläche in Englisch, Französisch und Deutsch zur Verfügung zu stellen, alle drei Sprachen auf einem Server bereitstellen.
Kapitel 16 Einrichten der Terminaldienste
569
Bevor Sie die Terminaldienste in der Windows 2000 MultiLanguage-Version aktivieren, müssen Sie feststellen, in welchen Sprachversionen die Benutzeroberfläche benötigt wird. Möglicherweise können Sie auf Terminalservern, die Benutzer aus aller Welt bedienen, auch die internationale Version (Englisch) der Terminaldienste installieren, sofern alle internationalen Benutzer ausreichende Englischkenntnisse besitzen. Administratoren können die Sprachversion der Benutzeroberfläche mit Hilfe der Gruppenrichtlinien einstellen. Benutzer wählen ihre Sprache auf der Registerkarte Allgemein der Ländereinstellungen in der Systemsteuerung aus. Enthält ein servergespeichertes Profil eines Benutzers eine nicht installierte Sprache, gilt die Standardeinstellung Englisch. Die Terminaldienste behandeln Zeitangaben nach den Vorgaben der bei der Konfiguration gültigen Zeitzone und nicht auf der Grundlage individueller Benutzereinstellungen. Benutzer, die sich in anderen Zeitzonen befinden, müssen die Zeitdifferenz berücksichtigen.
Drucken unter den Terminaldiensten Drucken unter den Terminaldiensten unterscheidet sich kaum von Druckvorgängen bei anderen Versionen von Windows 2000. Benutzer und Administratoren müssen jedoch einige wesentliche Unterschiede zur Kenntnis nehmen. Es gibt eine ganze Reihe von Möglichkeiten, Netzwerkdrucker in einer Terminaldiensteumgebung zu verwalten. In einer kleinen Organisationseinheit oder innerhalb einer Abteilung mag es sinnvoll sein, Drucker lokal auf dem Terminaldiensteserver zu konfigurieren. Die Drucker können lokal über einen Parallelanschluss oder über eine Netzwerkschnittstelle angeschlossen sein und stehen allen Benutzern des Systems automatisch zur Verfügung. Benutzer, die auf einem lokal an den eigenen Computer angeschlossenen Drucker drucken möchten, können sich entweder der Funktion des Terminaldiensteclients zur Umleitung eines Druckauftrags an das lokale Ausgabegerät bedienen oder freigegebene Netzwerkdrucker nutzen.
Drucken auf dem lokalen Drucker über RDP Die Terminaldienste stellen eine Druckumleitungsfunktion zur Verfügung, die Druckaufträge vom Terminalserver auf einen am Client angeschlossenen Drucker umleitet. Es gibt zwei Verfahren, Clients den Zugriff auf den lokalen Drucker über RDP zu ermöglichen: die automatische Druckumleitung und die manuelle Druckumleitung. Die automatische Druckumleitung wird auf allen Win32-Clientplattformen unterstützt, zu denen Windows 95, Windows 98 und Windows NT gehören. Meldet sich ein Client bei den Terminaldiensten an, werden lokale Drucker, die über LPT-, COM- oder USB-Anschlüsse angeschlossen sind, automatisch erkannt, und die entsprechenden Druckwarteschlangen werden in der Benutzersitzung erstellt. Unterbricht oder beendet der Client die Sitzung, wird die Druckwarteschlange gelöscht und alle anstehenden Druckaufträge werden abgebrochen.
570
Teil IV Windows 2000 – Aktualisierung und Installation
Bei Windows für Workgroups 3.11 und WBT-Clients verwenden Sie die manuelle Druckumleitung. In diesem Fall wird der Drucker mit Hilfe des Assistenten für die Druckerinstallation in der Systemsteuerung manuell hinzugefügt. Bei der Auswahl des Druckeranschlusses aus der Liste der verfügbaren Anschlüsse ist der Name des Clientcomputers angegeben. Die Druckumleitung kann auf Verbindungsebene mit der Terminaldienste-Verbindungskonfiguration und auf Benutzerebene über Active Directory-Benutzer und -Computer oder Lokale Benutzer und Gruppen deaktiviert werden. Weitere Informationen zur Druckumleitung finden Sie in der Onlinehilfe von Windows 2000 Server.
Freigegebene Netzwerkdrucker Wie auch auf lokale Festplattenlaufwerke können Benutzer durch Eingabe des Befehls net share auf Drucker zugreifen, die nicht lokal am Server angeschlossen sind. Ist der lokale Drucker mit einer Netzwerkkarte ausgerüstet, gilt er als Netzwerkdrucker. In diesem Fall muss die Dateifreigabe auf dem Computer des Benutzers nicht aktiviert werden. Drucker werden auf Benutzerebene definiert, d. h., sobald ein Drucker für einen bestimmten Benutzer definiert wurde, steht er nur diesem Benutzer während der laufenden Sitzung zur Verfügung. Außerdem werden im Druck-Manager nur die Drucker angezeigt, für die der betreffende Benutzer die Berechtigung zum Drucken besitzt. Meldet sich der Benutzer ab, entfernt der Server die Druckumleitung. In MS-DOS-Anwendungen steht die Druckumleitung nicht zur Verfügung. Der Befehl net share ist für die Arbeit mit Druckern vorgesehen, die lokal an PCs unter Windows für Workgroups 3.11 oder höher angeschlossen sind. WBTBenutzer mit RDP-Verbindungen können mit diesem Verfahren zum gegenwärtigen Zeitpunkt nicht auf lokale Drucker zugreifen.
Drucken über WAN- oder DFÜ-Verbindungen Greifen Benutzer über WAN- oder DFÜ-Verbindungen auf die Terminaldienste zu, müssen Sie die Bandbreitenanforderungen für die zwischengespeicherten Druckaufträge möglichst präzise einkalkulieren. Erfolgt die Druckausgabe auf einem lokalen Drucker, der sich zwar im lokalen Netzwerk des Benutzers befindet, aber nur über eine langsame Verbindung zum Terminalserver selbst verfügt, wird der Druckauftrag über die langsame Verbindung zum Drucker übertragen. Dadurch erhöhen sich die Bandbreitenanforderungen für die Terminaldienste, da das Netzwerk das Druckaufkommen ebenso bewältigen muss wie Tastenanschläge, Mausereignisse und Bildschirmaktualisierungen. Darüber hinaus sollten Sie die Ausgabe umfangreicher Grafikdateien oder komplexer Farbausdrucke über langsame Verbindungen auf das absolut notwendige Minimum beschränken, da diese einen beträchtlichen Teil der verfügbaren Bandbreite beanspruchen.
Kapitel 16 Einrichten der Terminaldienste
571
Bewährte Methoden der Clientkonfiguration Sie können die Arbeitsumgebung für Benutzer der Terminaldienste optimieren, wenn Sie die folgenden Empfehlungen beachten: ? Vermeiden Sie die Anzeige grafischer Elemente, z. B. animierte Bilder,
Bildschirmschoner, blinkende Cursor und den animierten Microsoft OfficeAssistenten. ? Deaktivieren Sie den Active Desktop. ? Deaktivieren Sie den optimierten Bildlauf. ? Reduzieren Sie den Einsatz grafischer Komponenten und Animationen wie
?
? ?
?
mehrstufiger Menüs auf dem Desktop, insbesondere im Startmenü. Erstellen Sie Verknüpfungen auf dem Desktop, und vermeiden Sie weitverzweigte Hierarchien im Untermenü Programme. Verwenden Sie keine Bitmaps als Hintergrundbilder; setzen Sie die Einstellung Hintergrund in Eigenschaften von Anzeige auf Keine, und wählen Sie auf der Registerkarte Darstellung ein einfaches Farbschema aus. Aktivieren Sie die Dateifreigabe auf Clientcomputern, und vergeben Sie für freigegebene Laufwerke leicht verständliche Bezeichnungen wie „LaufwerkC“. Halten Sie sich stets die Sicherheitsanforderungen vor Augen. Vermeiden Sie soweit wie möglich den Einsatz von MS-DOS-Programmen oder Windows-basierten 16-Bit-Anwendungen. Richten Sie den Terminalserver so ein, dass anstelle des Computernamens der Anmeldename des Benutzers zurückgegeben wird. Diese Einstellung bezieht sich auf Anwendungen, die sich einer NetBIOS-Funktion zum Abfragen des Computernamens bedienen. Schulen Sie die Benutzer in der Verwendung der Abkürzungstasten für Terminalserver. Es gibt einige wesentliche Unterschiede bei der Verwendung der Abkürzungstasten in einer Terminaldienste-Clientsitzung und einer Windows 2000-Sitzung.
Planen der Test- und Pilotphase Die Test- und Pilotphase bietet die beste Gelegenheit zum Aufspüren potentieller Schwachstellen in der Terminaldiensteeinrichtung. Testroutinen zur Systemoptimierung und Fehlerbehandlung könnten Probleme bei der Infrastruktur, der Systemkonfiguration oder der Software ans Licht bringen.
Überlegungen zum Testlabor Die ideale Umgebung zur Analyse einer Terminalservereinrichtung ist ein Testlabor, das der realen Systemumgebung so exakt wie möglich nachempfunden ist. Das Testlabor stellt gleichsam eine Miniaturversion der Organisation dar und versetzt das Planungsteam in die Lage, die Terminaldienste vor dem endgültigen Einsatz in Aktion zu sehen.
572
Teil IV Windows 2000 – Aktualisierung und Installation
Bei der Einrichtung des Testlabors für die Terminaldienste sollten Sie die folgenden Gesichtspunkte beachten: ? Beziehen Sie den als Server eingesetzten Computer vom selben Hersteller wie
die Geräte, die für den endgültigen Einsatz vorgesehen sind. Stellen Sie exakt dieselbe Konfiguration her. Richten Sie eine repräsentative Auswahl von Clientcomputern ein, auf denen die Terminaldienste genutzt werden sollen. ? Kopieren Sie die Netzwerkkonfiguration Ihrer Organisation. Weist das Netzwerk sowohl Ethernet- als auch Token Ring-Komponenten auf, müssen Sie auch beide im Testlabor einsetzen. Richten Sie gegebenenfalls eine eigene Windows 2000 Server-Domäne für das Labor ein, damit Sie das Leistungsverhalten der Domänencontroller beobachten können, ohne andere Netzwerkaktivitäten in Rechnung stellen zu müssen. Beabsichtigen Sie, die Terminaldienste in einem WAN einzusetzen, statten Sie das Labor mit Routern aus und verwenden Sie einen Linksimulator, um die Netzwerklatenz zu simulieren. ? Sollen die Terminaldienste mit ähnlicher, aber nicht identischer Funktionalität in verschiedenen Abteilungen eingesetzt werden, können Sie möglicherweise alle Abteilungen in einem einzigen Testlabor nachbilden. Bei signifikanten Unterschieden erscheint es angebracht, separate Testlabors für die verschiedenen Abteilungen oder Aufgabenstellungen aufzubauen. ? Installieren Sie eine typische Kombination von Anwendungen auf einem
Testserver. Dieser Schritt ist von entscheidender Bedeutung für alle Fragen der Interoperabilität, die möglicherweise erst dann auftreten, wenn Benutzer verschiedene Anwendungen gleichzeitig betreiben.
Überwachen der Systemleistung Die Überwachung der Systemleistung stellt sowohl in der Testumgebung als auch beim alltäglichen Betrieb der Terminaldienste eine kritische Komponente dar. Die Basislinie sollte so bald wie möglich zu Beginn der Pilotphase erstellt werden. Während der Einrichtungsphase können Sie dann die Messwerte der Basislinie mit der aktuellen Systemleistung vergleichen. Auf diese Weise lassen sich Systemengpässe schnell identifizieren und beheben. Dieser Abschnitt konzentriert sich auf die wichtigsten Leistungsindikatoren der Systemüberwachung, die zur Leistungsanalyse der Terminaldienste herangezogen werden. In dieser Umgebung wird die Systemleistung maßgeblich durch drei Systemkomponenten beeinflusst: Prozessor, Arbeitsspeicher und Netzwerk.
Analyse der Prozessorleistung Das Aufspüren von Prozessorengpässen bei einem Terminaldienste-Server entspricht in etwa dem Aufspüren von Prozessorengpässen bei einem Windows 2000-Server, aber die Basislinienwerte für die Leistungsindikatoren unterscheiden sich möglicherweise. Im Folgenden werden die wichtigsten Indikatoren zur Identifizierung von Engpässen genannt: Gesamtprozessorzeit (%) (System) Dieser Wert misst die Aktivität aller Systemprozessoren. Auf einem Multiprozessorsystem entspricht der Indikator der gesamten Prozessoraktivität geteilt durch die Anzahl der Prozessoren. Dieser Indikator liefert wertvolle Hinweise, nachdem verifiziert wurde, dass alle Systemprozessoren Threads in gleicher Weise verarbeiten.
Kapitel 16 Einrichten der Terminaldienste
573
Prozessor-Warteschlangenlänge(System) Dieser Wert gibt die Anzahl der Threads an, die sich momentan in der Prozessorwarteschlange befinden. Alle Prozessoren nutzen eine gemeinsame Warteschlange, in der die Threads auf die Prozessorzyklen warten. Sobald ein Prozessor für einen in der Warteschlange wartenden Thread verfügbar wird, kann der Thread zur Ausführung an den Prozessor weitergereicht werden. Ein Prozessor kann zu einem gegebenen Zeitpunkt nur einen einzigen Thread ausführen. Schnellere CPUs können längere Warteschlangen bearbeiten als langsamere CPUs. Prozessorzeit(Prozessor) Gibt den Zeitanteil wieder, den der Prozessor mit der Ausführung eines Threads – mit Ausnahme des Leerlaufprozesses – beschäftigt war. Diesem Indikator sind mehrere Instanzen für alle Systemprozessoren zugeordnet, die dem Betriebssystem zur Verfügung stehen. Anhand dieses Werts können Sie feststellen, ob alle Systemprozessoren in gleichem Ausmaß zur Verarbeitung wartender Threads beitragen. GesamtanzahlInterrupts/s Dieser Wert gibt die Anzahl der Hardwareinterrupts an, die der Prozessor empfängt und bearbeitet. Zu den Geräten, die Interrupts erzeugen, gehören der Systemzeitgeber, die Maus, Datenübertragungsleitungen, Netzwerkadapter und andere Peripheriegeräte. Verwenden Sie diesen Indikator, um Gerätetreiber zu identifizieren, die einen ungewöhnlich hohen Anteil an Prozessorzeit beanspruchen. Gesamtprozessorauslastung(%) und Prozessor-Warteschlangenlänge Dies sind die wichtigsten Leistungsindikatoren zur Identifikation von Engpässen, die aus der Systemprozessorleistung resultieren. Mit der steigenden Prozessorauslastung wächst die Zahl der Threads in der Prozessorwarteschlange, die auf Ausführung warten.
Analyse der Speicherleistung Abgesehen von den Leistungsindikatoren des Systemmonitors liefert auch der Task-Manager Informationen zum physischen Arbeitsspeicher, die bei der Evaluierung der Speicherleistung wertvolle Dienste leisten können. Die Werte für den verfügbaren Speicher, den Gesamtspeicher und den Cachespeicher finden Sie auf der Registerkarte Systemleistung im Task-Manager. Die zwei wichtigsten Leistungsindikatoren im Task-Manager sind der verfügbare reale Speicher und Seiteneingabe/s. Behalten Sie sinkende Werte bei diesen Indikatoren sehr genau im Auge, um die Gefahr von Speicherengpässen zu bannen. Sinkende Werte geben wertvolle Hinweise zum Speicherbedarf pro Benutzer. Als Faustregel für die Speicherauslastung gilt, dass ein Terminalserver als voll ausgelastet betrachtet wird, wenn der Wert des verfügbaren realen Speichers weniger als das Doppelte des durchschnittlichen Speicherbedarfs pro Benutzer beträgt. Ein dramatischer Anstieg des Werts Seiteneingabe/s weist möglicherweise darauf hin, dass die Speicherkapazität überschritten wurde und zusätzlicher Speicher zur Verfügung gestellt werden muss.
574
Teil IV Windows 2000 – Aktualisierung und Installation
Verfügbare Bytes (Speicher) gibt die Größe des virtuellen Speichers an, der auf die genullten, freien und Standby-Speicherlisten verteilt ist. Genullter und freier Speicher kann verwendet werden, wobei genullter Speicher aus mit Nullen überschriebenen Speicherseiten besteht. Standby-Speicher ist Speicher, der von den Arbeitsseiten eines Prozesses entfernt wurde, aber noch verfügbar ist. Dieser Indikator zeigt eine Momentaufnahme an und liefert keinen Durchschnittswert für einen bestimmten Zeitraum. Seiteneingabe/s gibt die Anzahl der angeforderten Seiten an, die von der Festplatte gelesen wurden, weil sie zum Zeitpunkt der Anforderung nicht im Speicher verfügbar waren. Dieser Indikator schließt Auslagerungsaktivitäten vonseiten des Systemcache ein, die aus Zugriffen auf die von Anwendungen angeforderten Daten resultieren. Dieser Indikator liefert wertvolle Hinweise, wenn Sie Anzeichen exzessiver Speicherauslastung und als Folge davon ungewöhnlich hohe Auslagerungsaktivitäten feststellen.
Analyse der Netzwerkleistung Die Leistung der Terminaldienste kann auch durch Verzögerungen im Netzwerkverkehr auf ein nicht akzeptables Niveau absinken, obwohl Prozessor- und Speicherleistung keine Engpässe erkennen lassen. Engpässe im Netzwerkverkehr lassen sich vier verschiedenen Bereichen zuordnen: der Client-Netzwerkschnittstelle, den physischen Übertragungsmedien, der Client/Server-Netzwerkschnittstelle des Servers und der Netzwerkschnittstelle für Server-to-Server/Hostverbindungen. Engpässe in der Netzwerkkommunikation wirken sich unmittelbar auf die Arbeitsumgebung der Clientbenutzer aus. Die nützlichsten Leistungsindikatoren des Systemmonitors zur Überwachung der Netzwerkauslastung stellen die Indikatoren für Netzwerksegmente dar: ? Netzwerknutzung (%) gibt den prozentualen Anteil der Netzwerkbandbreite
an, die das überwachte Segment beansprucht. ? Gesamtanzahl empfangener Bytes/s gibt die Gesamtzahl der in diesem Netzwerksegment empfangenen Bytes pro Sekunde wieder. ? Gesamtanzahl empfangener Rahmen/s gibt die Gesamtzahl der im Netzwerksegment empfangenen Rahmen pro Sekunde wieder.
Support und Verwaltungsprogramme Mit einer ganzen Reihe von Verwaltungsprogrammen und einer Funktion zur Remotesteuerung stellen die Terminaldienste vielfältig einsetzbare Werkzeuge und Optionen für den Support bereit.
Kapitel 16 Einrichten der Terminaldienste
575
Remotesteuerung Mit Hilfe der Remotesteuerung können Supportmitarbeiter vorübergehend die Kontrolle über eine andere Benutzersitzung übernehmen und die Aktionen eines Benutzers beobachten. Die Remotesteuerung ermöglicht auch die Kommunikation mit Benutzern und die Ausführung von Befehlen stellvertretend für den Benutzer. Um Supportmitarbeitern die Nutzung der Remotesteuerung zu ermöglichen wird empfohlen, eine Supportgruppe in der Domäne zu erstellen. Anschließend können Sie das MMC-Snap-In für die Terminaldienstekonfiguration verwenden, um der Gruppe die erforderlichen Berechtigungen zur Ausführung der Remotesteuerung zu erteilen. Um die Remotesteuerung über RDP nutzen zu können, müssen beide Clients mit einem Windows 2000 Terminal-Server verbunden sein.
Verwaltungsprogramme Bei der Installation der Terminaldienste für Windows 2000 werden zusätzliche Verwaltungsprogramme zum Ordner Verwaltung hinzugefügt. Die folgenden Programme werden installiert: Terminaldienste-Clientinstallation Mit diesem Programm können Sie Installationsdisketten für die Terminaldienste-Clientsoftware auf den folgenden Plattformen erstellen: Windows für Workgroups, Windows 95, Windows 98 und Windows NT. Terminaldienste-Manager Mit diesem Programm können Sie alle Windows 2000Server verwalten, auf denen die Terminaldienste ausgeführt werden. Administratoren können die aktuellen Benutzer, Server und Prozesse anzeigen, Nachrichten an bestimmte Benutzer senden, die Remotesteuerung ausführen und Prozesse beenden. Terminaldienstekonfiguration Mit diesem Programm können Sie Ihre RDP-Konfiguration verwalten. Änderungen an Optionen wirken sich global aus, es sei denn, Sie ziehen es vor, Einstellungen derselben Optionen, die in der Benutzerkonfiguration enthalten sind, zu vererben. Die verfügbaren Optionen umfassen Einstellungen zur Verschlüsselung von Verbindungen, Anmeldeeinstellungen, Zeitlimits, Programme, die nach erfolgreicher Anmeldung gestartet werden, Remotesteuerungsoptionen, Windows-Druckerzuordnung, LPT-Anschlusszuordnung, Zwischenablagezuordnung und das Anwenden dieser Optionen auf einen bestimmten LAN-Adapter. Terminaldienstelizenzierung Mit diesem Programm speichern und überwachen Sie die Clientzugriffslizenzen für Windows 2000 Terminaldienste. Es kann bei der Installation der Terminaldienste oder zu einem späteren Zeitpunkt installiert werden. Bei der Anmeldung der Serverdiensteclients bestätigen die Terminaldienste die Clientlizenz. Verfügt ein Client noch nicht über eine Lizenz oder benötigt ein Client eine Ersatzlizenz, fordern die Terminaldienste eine Lizenz vom Lizenzserver an. Der Lizenzserver stellt eine Lizenz aus seinem Pool verfügbarer Lizenzen aus, und die Terminaldienste geben die Lizenz an den Client weiter. Sind keine Lizenzen mehr verfügbar, stellt der Lizenzserver eine temporäre Lizenz für den Client aus. Sobald eine Clientlizenz ausgegeben wurde, ist diese an einen bestimmten Computer oder ein bestimmtes Terminal gebunden.
576
Teil IV Windows 2000 – Aktualisierung und Installation
Taskliste für die Einsatzplanung der Terminaldienste Tabelle 16.2 fasst die Aufgaben zusammen, die Sie bei der Einsatzplanung der Terminaldienste durchführen müssen. Tabelle 16.2 Zusammenfassung der Planungsaufgaben für Terminaldienste Aufgabe
Kapitelabschnitt
Auswahl von Remoteverwaltungs- oder Serveranwendungsmodus.. Identifizieren der Lizenzierungsanforderungen. Festlegen der Einsatzzwecke für die Terminaldienste in Ihrer Organisation.
Überblick über die Terminaldienste
Dokumentieren der vorhandenen Systemumgebung.
Erstellen des Einsatzplans für die Terminaldienste
Ergebnisdarstellung der Gegenüberstellung von Einrichtungsprojekt und Anforderungsprofil
Erstellen des Einrichtungsentwurfs für die Terminaldienste
Entwickeln eines Plans zur Implementierung der Terminaldienste unter Berücksichtigung der Netzwerk-, Sicherheits- und Domänenstruktur
Erstellen des Einrichtungsentwurfs für die Terminaldienste
Erstellen von Richtlinien und Standards für die Servereinrichtung unter Berücksichtigung von CPU, Speicher u.a. Vorbereiten der Clienteinrichtung
Serverkonfiguration für den Einsatz der Terminaldienste
Vorbereiten der Test- und Pilotphase des Einsatzplans Vorbereiten der Supportleistungen
Planen der Test- und Pilotphase
Überblick über die Terminaldienste Erstellen des Einsatzplans für die Terminaldienste
Vorbereiten der Clienteinrichtung
Support und Verwaltungsprogramme
T E I L
V
Erweiterte Verwaltung
IT-Manager sollten umfassende Kenntnisse über die erweiterten Verwaltungsfunktionen von Microsoft® Windows® 2000 haben, um die Zuverlässigkeit und Verfügbarkeit verbessern zu können. Teil V liefert Informationen über Strategien zur Netzwerksicherheit für den Internetzugang, Skalierbarkeit und Verfügbarkeit einzelner Funktionen, Speicherverwaltungsoptionen und das Synchronisieren von Active Directory mit dem Verzeichnisdienst von Microsoft® Exchange Server. Kapitel in Teil V Netzwerksicherheitsstrategien für Windows 2000 579 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten 603 Festlegen der Speicherverwaltungsstrategien von Windows 2000 647 Synchronisieren von Active Directory mit dem Exchange ServerVerzeichnisdienst 677
578
Teil 1 Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
579
K A P I T E L
1 7
Netzwerksicherheitsstrategien für Windows 2000
Die Mehrheit der heutigen Unternehmen ist an einer Verbindung der eigenen Systemumgebung zum Internet interessiert, das Angestellten wie Kunden wertvolle Dienste leisten kann. Dass die missbräuchliche Verwendung der im Internet verfügbaren Dienste nie ganz ausgeschlossen werden kann, macht den Einsatz von Netzwerksicherheitsstrategien erforderlich. Microsoft ® Windows® 2000 zeichnet sich durch eine Reihe von Technologien aus, die Sie bei der Planung Ihrer Netzwerksicherheitsstrategie einsetzen können. Diese Technologien lassen sich auch auf unternehmensinterne Sicherheitsbelange oder andere Verbindungen zu externen Netzwerken anwenden. Weitere Informationen zu internen Sicherheitsaspekten finden Sie unter „Planen der verteilten Sicherheit“ in diesem Buch. Thema dieses Kapitels ist der strategische Einsatz von Sicherheitstechniken zum Schutz der unternehmenseigenen Netzwerkverbindungen ins Internet oder zu anderen öffentlichen Netzwerken. Sie finden hier keine Einzelheiten zur Instal lation und Anwendung von Netzwerksicherheitstechnologien. Die Informationen richten sich an Netzwerkarchitekten, die mit der Implementierung der Netzwerksicherheit befasst sind, und an Systemadministratoren, denen die praktische Verwaltung der Netzwerksicherheit obliegt. Sie sollten mit Netzwerk- und Internettechnologien wie Routing, Netzwerkprotokollen und Webserving vertraut sein, damit Sie die hier umrissenen Aufgaben durchführen können. In diesemKapitel Planen der Netzwerksicherheit 580 Entwickeln von Strategien für sichere Netzwerkverbindungen 585 Einrichten der Netzwerksicherheitstechnologien 588 Taskliste zur Planung der Netzwerksicherheitsstrategien 601 Zielsetzungen Anhand dieses Kapitels können Sie die folgenden Planungsdokumente erstellen: ? Netzwerksicherheitsplan ? Einsatzplan für Netzwerksicherheitstechnologien
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zur Implementierung und Anwendung relevanter Windows 2000-Netzwerksicherheitstechnologien finden Sie in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. ? Weitere Informationen zu IPSec finden Sie in Microsoft Windows 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
580
Teil V Erweiterte Verwaltung
Planen der Netzwerksicherheit Eine Verbindung zum Internet erlaubt es Mitarbeitern Ihrer Organisation, über E-Mail mit Menschen in aller Welt zu kommunizieren und Informationen und Dateien aus einer Vielzahl von Quellen zu beziehen. Kunden können Informationen und Dienste Ihres Unternehmens zu jeder Zeit abrufen, Mitarbeiter können Firmenressourcen zu Hause, im Hotel und an jedem anderen Aufenthaltsort nutzen, und Partnern stehen besondere Funktionen zur Verfügung, die einer effizienten Zusammenarbeit mit Ihrem Unternehmen dienlich sind. Bei der Planung des Netzwerks sollten Sie die Implementierung angemessener Sicherheitstechnologien vorsehen. Je eher diese Fragen bei der Einsatzplanung für Windows 2000 zur Sprache kommen, desto sicherer können Sie sein, ein einbruchssicheres System zu haben und sichere Netzwerkeinrichtungen dann zur Verfügung stellen zu können, wenn sie benötigt werden. Wenn Sie bereits eine sichere Netzwerkumgebung realisiert haben, sollten Sie die vorhandenen Sicherheitsstrategien im Hinblick auf neue Windows 2000-Funktionen überprüfen. Setzen Sie sich mit den Auswirkungen der aktuellen Netzwerksicherheitstechnologien in Windows 2000 auseinander, und überdenken Sie gegebenenfalls Ihren Sicherheitsplan. Zunächst wird empfohlen, bei der Entwicklung des Netzwerksicherheitsplans die folgenden Aufgaben durchzuführen: ? Schätzen Sie die Sicherheitsrisiken Ihres Netzwerks ab. ? Legen Sie die Anforderungen hinsichtlich Servergröße und -platzierung fest. ? Schulen Sie Ihre Mitarbeiter. ? Erstellen und veröffentlichen Sie Sicherheitsrichtlinien und -verfahren. ? Folgen Sie bei der Erstellung des Einsatzplans für die Sicherheitstechnologien
einer konsequenten Systematik. ? Erfassen Sie die Benutzergruppen und ihre spezifischen Anforderungen und Sicherheitsrisiken. In den folgenden Abschnitten werden diese Themen differenzierter behandelt. Anmerkung Weitere Informationen zur Einsatzplanung für Netzwerke finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch. Das betreffende Kapitel stellt Strategien für Routing, Adressvergabe, Namensauflösung, Netzwerkanwendungen und ähnliche Netzwerkfragen vor. Das vorliegende Kapitel konzentriert sich auf Sicherheitsaspekte in Netzwerken.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
581
Abschätzen der Sicherheitsrisiken im Netzwerk Leider birgt die Möglichkeit, Informationen verfügbar zu machen und verfügbare Informationen abzurufen, erhebliche Risiken in sich. Konkurrenten könnten versuchen, Zugriff auf Entwicklungsprojekte oder proprietäre Produktinformationen zu erhalten, oder anonyme Personen Webseiten in schädlicher Weise verändern oder Server so überlasten, dass sie praktisch unbrauchbar werden. Zudem besteht die Gefahr, dass Angestellte Zugriff auf Informationen erhalten, die nicht für sie bestimmt sind. Diese und andere Sicherheitsrisiken sollten Sie von vornherein ausschließen, um den normalen Fortgang der Geschäftstätigkeit Ihres Unternehmens zu gewährleisten. Um sicherzustellen, dass nur berechtigte Personen Zugang zu Ressourcen und Daten erhalten, sollten Sie Ihre Netzwerksicherheitstechnologien sorgsam überprüfen und wohl durchdachte Strategien entwickeln. Sie erhöhen die Zuverlässigkeit zusätzlich, indem Sie die Verwendung von Netzwerkressourcen zurückverfolgen. Generelle Erläuterungen zur Identifizierung von Sicherheitsrisiken und zur Auswahl geeigneter Strategien finden Sie unter „Planen der verteilten Sicherheit“ in diesem Buch. Anmerkung Einige Unternehmen reduzieren Netzwerksicherheitsrisiken dadurch, dass sie Verbindungen zum Internet oder zu anderen öffentlichen Netzwerken gar nicht erst zulassen. Diese Vorgehensweise grenzt den Kreis der Personen, die Netzwerkeinrichtungen missbrauchen könnten, sicherlich ein. Allerdingskönnen Sicherheitsrisiken innerhalb der Organisation dadurch nicht ausgeschlossen werden, und selbst von begrenzten Netzwerkverbindungen können noch Gefahren ausgehen. Auch in solchen Situationen kann deshalb nicht auf Netzwerksicherheitsstrategien und -technologien verzichtet werden. Abbildung 17.1 zeigt die wichtigsten Schritte bei der Festlegung der Netzwerksicherheitsstrategien.
582
Teil V Erweiterte Verwaltung
Abbildung 17.1 Prozess zur Festlegung der Netzwerksicherheitsstrategien
Festlegen der Servergröße und -platzierung Wenn Sie eine Verbindung zwischen Ihrem Intranet und dem Internet oder einem anderen öffentlichen Netzwerk herstellen, wählen Sie den Verbindungsknotenpunkt sorgfältig aus. Normalerweise liegt dieser im Zentrum des Firmennetzwerks, so dass die effektive Entfernung zwischen den Servern und dem Internet verringert wird. Außerdem sollte der Server für Wartungsmaßnahmen durch Netzwerkspezialisten leicht zugänglich sein. Idealerweise besteht nur eine einzige Verbindung vom Firmennetz zum Internet. Dieses Vorgehen vereinfacht die Verwaltung der Verbindungen und reduziert potentielle Sicherheitsrisiken, die aus nicht konsequent angewendeten Richtlinien und Verfahren resultieren. Nachdem Sie entschieden haben, an welcher Stelle die Verbindung zum Internet eingerichtet wird, müssen Sie festlegen, welche Serverhardware zur Einrichtung der Netzwerksicherheitstechnologien erforderlich ist. Die Auswahlkriterien für diese Server richten sich zum einen danach, welche Technologien zum Einsatz kommen sollen, und zum anderen nach der erwarteten Arbeitslast; sie müssen jedoch mindestens die Voraussetzungen für den Betrieb von Windows 2000 Server erfüllen. Obwohl Server, die für die Netzwerksicherheitsanwendungen vorgesehen
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
583
sind, prinzipiell auch andere Anwendungen ausführen können, wird diese Vorgehensweise nicht empfohlen. Zusätzliche Anwendungen beanspruchen einen Teil der Serverressourcen, die für Sicherheitsbelange vorgesehen sind, und könnten zudem Systemausfälle provozieren. Wenn diese Anwendungen selbst Sicherheitslücken aufweisen, gefährden sie die gesamte Netzwerksicherheit.
Schulung der Mitarbeiter Sicherheitstechnologien müssen von ausgesprochen fähigen und vertrauenswürdigen Personen eingerichtet und verwaltet werden. Sie müssen das gesamte Netzwerk und die Netzwerksicherheitsinfrastruktur einbeziehen, um Schwachstellen zu reduzieren oder gänzlich zu eliminieren. Nachdem sich Umgebung und Anforderungen kontinuierlich verändern, müssen sie die Integrität der Netzwerksicherheitsinfrastruktur ständig im Auge behalten. Ein kritischer Faktor für Erfolg oder Misserfolg der Netzwerksicherheitsstrategie ist ein gut ausgebildetes Team, das in der Lage ist, mit dem technologischen Wandel Schritt zu halten. Die Sicherheitsfachleute brauchen Zeit, um sich intensiv mit Windows 2000, insbesondere den integrierten Netzwerksicherheitstechnologien, auseinanderzusetzen und Gelegenheiten, ihre Kenntnisse durch Übung und praktische Anwendung zu vertiefen und zu erweitern. Sicherheitsfachleute müssen sich darüber hinaus Kenntnisse zu allgemeinen Fragen der Netzwerksicherheit aneignen. Zu diesem Thema existiert eine Vielzahl von Veröffentlichungen, und das Internet bietet weitere Möglichkeiten, sich über Netzwerksicherheit zu informieren.
Entwickeln von Sicherheitsrichtlinien und -verfahren Richtlinien und strukturierte Verfahren sind immer wichtig, aber in Sicherheitsfragen kommt ihnen eine überragende Bedeutung zu. Sie müssen Richtlinien erstellen und veröffentlichen, um Konsens darüber zu erzielen, wie bestimmte Sicherheitsfragen behandelt werden, und um sicherzustellen, dass sich alle Betroffenen über diese Richtlinien im Klaren sind. Formalisierte Verfahren stellen sicher, dass Wartungsmaßnahmen und Änderungen am System immer planmäßig und systematisch durchgeführt werden. Eine der Fragen, die Sie sich stellen müssen, betrifft die Überwachung von Sicherheitsverletzungen und versuchten Systemeinbrüchen. Sie können die Zahl erfolgter Sicherheitsverletzungen reduzieren und versuchte Sicherheitsverletzungen beizeiten stoppen, wenn die Verantwortlichen so früh wie möglich Kenntnis davon erlangen. Dies kann nur gelingen, wenn Sie Überwachungsverfahren einsetzen. Gut durchdachte Richtlinien sind bei der Einführung von Verfahren, die sich dieser Sicherheitsanfragen annehmen, überaus hilfreich. Zuverlässigkeit gehört ebenfalls zu den wichtigen Sicherheitsfragen, die Sie berücksichtigen müssen. Stellen Sie Pläne auf für den Fall, dass eine Komponente der Sicherheitsinfrastruktur ausfällt. Legen Sie beizeiten geeignete Maßnahmen für alle eventuellen Sicherheitsverletzungen fest, und stellen Sie die erforderlichen Ressourcen bereit, damit Sie das Problem baldmöglichst beheben können.
584
Teil V Erweiterte Verwaltung
Erstellen eines Einsatzplans für die Sicherheitstechnologien Erstellen Sie als Teil Ihrer Windows 2000-Gesamtplanung einen detaillierten Einsatzplan für die Netzwerksicherheitstechnologien. Verwenden Sie dazu eine formale Projektmethodik. Auf diese Weise stellen Sie sicher, dass die Einrichtung dieser Technologien nach einer durchdachten Systematik erfolgt, die Fehlermöglichkeiten weitgehend ausschließt. Entscheidende Bedeutung kommt der Vermittlung der Netzwerksicherheitsrichtlinien an alle interessierten Gruppen und der Vermittlung der Richtlinien und Verfahren an alle Netzwerkbenutzer zu. Der wichtigste Aspekt des Einrichtungsprojekts betrifft die Testphase. Die vorgeschlagenen Netzwerksicherheitstechnologien müssen intensiven, realistischen Testbedingungen in einer sicheren Umgebung unterworfen werden. Auf diese Weise stellen Sie sicher, dass die Architektur ihren Zweck erfüllt, die definierten Zielvorstellungen erreicht werden und Ihre Mitarbeiter darauf vorbereitet sind, diese Technologien einzurichten und zu warten.
Identifizieren von Benutzerkategorien und deren Sicherheitsanforderungen und Risiken Die Netzwerkinfrastruktur soll allen Personen zugute kommen, damit schließlich auch das Unternehmen davon profitiert. Um die Erläuterungen der Netzwerksicherheitsstrategien in diesem Kapitel anschaulicher zu gestalten, werden diese Personen in vier Kategorien von Netzwerkbenutzern unterteilt: Jeder Diese Kategorie enthält alle Personen, die von beliebigen Organisationen oder Standorten auf Ihr Netzwerk zugreifen; dazu gehören auch Mitarbeiter, Benutzer und Partner. Im Allgemeinen kann diese Personengruppe nicht zuverlässig identifiziert werden und muss deshalb als anonym betrachtet werden. Mitarbeiter Diese Gruppe umfasst alle Personen, die für das Unternehmen arbeiten. Sie können mit standardisierten internen Verfahren leicht identifiziert werden. Normalerweise nutzt diese Gruppe E-Mail-Dienste und das Intranet. Benutzer Dieser Gruppe sind Mitarbeiter zugeordnet, die Anwendungen nutzen, um Geschäftsfunktionen wahrzunehmen. Partner Diese Gruppe fasst Personen aus anderen Unternehmen oder Standorten zusammen, die eine besondere Beziehung zu Ihrem Unternehmen unterhalten. Sie folgen in der Regel standardisierten Verfahren und sind deshalb zu identifizieren. Die Gruppe nutzt möglicherweise ähnliche Einrichtungen wie Mitarbeiter und Benutzer und wird häufig als Teil eines Extranets betrachtet. Die in diesem Kapitel vorgestellten Netzwerksicherheitsstrategien berücksichtigen die Anforderungen und Risiken aller Kategorien von Netzwerkbenutzern und zeigen Lösungsansätze auf, die diese Anforderungen erfüllen und die Risiken mindern. Darüber hinaus wird eine Gesamtstrategie für allgemeine Sicherheitsfragen und eine Gesamtstrategie für die Netzwerksicherheitsinfrastruktur vorgestellt.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
585
Entwickeln von Strategien für sichere Netzwerkverbindungen Netzwerksicherheit wird dann zum zentralen Thema, wenn Sie die eigenen Computer mit einem Netzwerk verbinden, dem Sie nicht bedingungslos vertrauen. Fragen der Netzwerksicherheit innerhalb einer Organisation werden üblicherweise im Rahmen von Zuständigkeiten und Vorschriften geregelt. Darüber hinaus steht Ihnen eine Reihe von grundlegenden, verteilten und netzwerkspezifischen Technologien zur Behandlung sicherheitsrelevanter Probleme zur Verfügung. Außerhalb der eigenen Organisation sind Ihre Möglichkeiten, die Übernahme von Verantwortung und die Einhaltung von Normen durchzusetzen, verschwindend gering. Um so mehr müssen Sie sich auf Ihre eigenen Sicherheitsstrategien verlassen können.
Einrichten sicherer Grenzen Netzwerksicherheit zwischen der eigenen Organisation und der Außenwelt hängt von dem Server oder den Servern ab, auf denen Sie die Netzwerksicherheitstechnologienimplementieren. Diese Server stellen die abstrakte Grenze zwischen der eigenen Organisation und der Außenwelt dar. Anwendungsserver, die Dienste nach außen anbieten, werden häufig demselben physischen Standort zugeordnet. Eine Möglichkeit, die Sicherheit dieser Server zu optimieren, besteht darin, sie in einem logisch abgegrenzten Bereich innerhalb der Netzwerkinfrastruktur zu positionieren. Dieser Bereich wird häufig als „entmilitarisierte Zone“ (Demilitarized Zone – DMZ)bezeichnet. Die Firewall (siehe nächster Abschnitt) ist mit einem zusätzlichen Netzwerkadapter ausgestattet, der den Netzwerkverkehr anhand des zugeordneten Adressbereichs in die DMZ weiterleitet. Abbildung 17.2 demonstriert diese Beziehung. Innerhalb der DMZ können Sie Maßnahmen ergreifen, die sicherstellen, dass Server keinen Zugang zu Unternehmensressourcen erhalten. Auf diese Weise können Eindringlinge, denen der unerlaubte Zugriff auf diese Server gelungen ist, ihre Aktivitäten nicht auf andere Computer im Intranet ausdehnen.
Abbildung 17.2 Eine „entmilitarisierte Zone“
Die DMZ muss wie alle internen Netzwerkkomponenten physisch gegen Zugriffe von außen geschützt werden. Nur so können Sie ausschließen, dass Unbefugte – und seien es die eigenen Angestellten – die Sicherheit gefährden, indem sie Kabelverbindungenmanipulieren oder angemeldete Konten missbrauchen.
586
Teil V Erweiterte Verwaltung
Prinzipiell besteht keine Notwendigkeit, die DMZ physisch von anderen Computern und Netzwerkkomponenten abzugrenzen. Da der DMZ eine entscheidende Rolle in der Netzwerksicherheit zukommt, empfiehlt es sich jedoch, besondere Richtlinien und Verfahrensweisen anzuwenden. Eine unsachgemäß durchgeführte Änderung – sei sie auch noch so unbedeutend – kann ein Sicherheitsleck entstehen lassen, dessen sich Eindringlinge nur allzu gern bedienen. Änderungen an der DMZ durch nicht qualifiziertes Personal müssen faktisch ausgeschlossen sein. Zu diesem Zweck können Sie zusätzliche, konkrete Zugangssperren für die DMZ anbringen. Achtung Umfassende Sicherungsmaßnahmen für Clientcomputer und Konten gewährleisten, dass nur autorisierte Benutzer Zugriff auf das Netzwerk erhalten. Wenn Sie den direkten Zugang zu Clientcomputern nicht verwehren können, stellen Sie sicher, dass die verwendeten Konten mit nur wenigen Privilegien ausgestattet sind, und setzen Sie Dateiverschlüsselung, kennwortgeschützte Bildschirmschoner und andere lokale Sicherheitsmechanismen ein.
Schutzmaßnahmen gegen „Jeder“ Um das Unternehmensnetzwerk gegen Zugriffe zum und aus dem Internet zu schützen, müssen Sie einen Server als Zwischenstation einrichten. Der Server stellt die Verbindung zum Internet für die Mitarbeiter her und reduziert die Risiken, die mit einer solchen Verbindung einhergehen. Gleichzeitig verhindert er unbefugte Zugriffe auf Netzwerkcomputer aus dem Internet, während zugriffsberechtigte Computer durchgelassen werden. Dieser Server ist mit Firewall- oder Proxyserverprogrammen und zwei Netzwerkschnittstellenausgerüstet: eine für das Unternehmensnetzwerk und eine für das Internet. Das Firewall- oder Proxyserverprogramm überprüft sämtliche Netzwerkpakete der beiden Schnittstellen, um die Zieladressen zu ermitteln. Pakete, die die in der Software definierten Kriterien erfüllen, werden bei Bedarf an die jeweils andere Schnittstelle übergeben, die für die Weiterleitung im betreffenden Netzwerk zuständig ist. In bestimmten Fällen werden die Paketinhalte so weitergegeben, als kämen sie vom Proxyserver, und die an den Proxyserver zurückgegebenen Ergebnisse werden an den anfragenden Computer weitergereicht. Dieses Verfahren stellt sicher, dass – mit Ausnahme der Proxyserveradresse – die Adressen der übrigen Computer im Unternehmensnetzwerk im Internet nicht bekannt werden
Microsoft Proxy Server Microsoft® Proxy Server 2.0 bietet sowohl Proxyserver- als auch Firewallfunktionen. Proxy Server 2.0 wird unter Windows 2000 ausgeführt. Beide Systeme müssen korrekt konfiguriert werden, damit lückenlose Netzwerksicherheit gewährleistet ist. Falls Sie eine frühere Version von Proxy Server mit Service Pack 1 einsetzen, müssen Sie diese Version aus Gründen der Kompatibilität mit Windows 2000 aktualisieren, wenn Sie auf dem Server Windows 2000 installieren.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
587
Gelegentlich übersteigt das Datenaufkommen zwischen dem Unternehmensnetzwerk und dem Internet das Leistungspotential eines einzelnen Proxyservers. In diesen Fällen können Sie mehrere Proxyserver einsetzen, wobei der Datenaustausch untereinander automatisch koordiniert wird. Internet- und Intranetbenutzern stellt sich dieser Verbund als einzelner Proxyserver dar. Damit Clientcomputer die erweiterten Funktionen von Microsoft Proxy Server nutzen können, muss der Microsoft Proxy Server-Client installiert und für die Verwendung des Proxyservers konfiguriert werden. Computer ohne Clientsoftware (z. B. Computer im Internet) können die Basisdienste des Proxyservers als anonyme Benutzer in Anspruch nehmen. Unterlassen Sie es auf keinen Fall, den Proxyserver zu testen, bevor Sie die Verbindung zum Internet herstellen. Richten Sie eine Testumgebung zur Simulation von Internet und Intranet ein, und führen Sie auf Clientcomputern Zugriffe auf verschiedene Dienste in beide Richtungen aus. Versuchen Sie, auch nicht autorisierte Verbindungen herzustellen, um sicherzugehen, dass solche Angriffe auf Ihr Netzwerk zurückgewiesen werden. Testen Sie eine breite Auswahl von Netzwerkzugriffsmethoden, um zu gewährleisten, dass alle Zugriffsverfahren sicher sind. Probieren Sie verschiedene Techniken zum Aufspüren und Ausnutzen von Sicherheitslöchern aus, um sicherzustellen, dass Ihre Umgebung keine derartigen Löcher aufweist. Bücher über Netzwerksicherheit enthalten weitere Hinweise zu Testverfahren für bestimmte Probleme. Produkte von Drittherstellern können ebenso wie erfahrene Sicherheitsberater wertvolle Hilfestellung zu Testverfahren geben. Anleitungen zur Verwendung von Microsoft Proxy Server sind Bestandteil des Produkts. Weitere Informationen über Microsoft Proxy Server sowie Einzelheiten zu Sicherheitstechnologien von Microsoft finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Security Advisor“ klicken.
Überwachen der Netzwerksicherheit Die implementierten Netzwerksicherheitstechnologien werden Ihre Zielvorstellungen nur bei gewissenhafter Planung und Konfiguration erfüllen. Gründliche Vorbereitung ist der Schlüssel zum Erfolg. Allerdings lässt sich nicht jedes potentielle Risiko vorhersehen: neue Gefahren entstehen, Systeme fallen aus, und die Umgebung, in der Sie Ihre Systeme implementiert haben, verändert sich mit der Zeit. Durch ständige Überprüfung der Netzwerksicherheitsstrategien können Sie diese Risiken erheblich verringern. Darüber hinaus sollten Sie die aktuelle Netzwerkaktivität beobachten, um Schwachstellen ausfindig zu machen, bevor andere sie ausnutzen, und um Einbruchsversuche zu stoppen, bevor sie irgendwelchen Schaden anrichten können. Zur Überwachung sicherheitsrelevanter Netzwerkaktivitäten benötigen Sie Programme, die detaillierte Informationen zu diesen Aktivitäten festhalten und die aufgezeichneten Daten analysieren. Microsoft Proxy Server ermöglicht eine Protokollierung auf zwei Ebenen: normal und ausführlich. Windows 2000 verfügt ebenfalls über eine Ereignisprotokollierung, die sich durch Aktivieren der Sicherheitsüberwachung erweitern lässt. Der Internetauthentifizierungsdienst, der weiter unten in diesem Kapitel behandelt wird, bietet umfangreiche Optionen zur Berichtserstellung. Produkte anderer Hersteller können ebenfalls zur Überwachung von Sicherheitsservern und -anwendungen herangezogen werden. Für welches System Sie sich auch entscheiden: Lesen Sie die Dokumentation des eingesetzten
588
Teil V Erweiterte Verwaltung
Systems aufmerksam durch, und wählen Sie die Protokolloptionen aus, die Ihren Anforderungen am besten entsprechen.
Verbindungen zu externen Netzwerken Wenn Sie den Proxyserver schließlich komplett mit Überwachungsfunktionen eingerichtet haben und über gut geschultes Personal verfügen, können Sie das lokale Netzwerk mit einem externen Netzwerk verbinden. Führen Sie eine Reihe von Abschlusstests aus, um sicherzustellen, dass die Implementation alle Zielvorgaben erfüllt. Sie müssen absolut sicher sein, dass nur die autorisierten Dienste verfügbar sind und jegliche Möglichkeit zum Missbrauch so gut wie ausgeschlossen ist. Eine solche Umgebung setzt umfangreiche Überwachungs- und Wartungsmaßnahmen voraus, aber wenn Sie anschließend andere sichere Netzwerkdienste anbieten möchten, sind Sie bestens vorbereitet. Hinweis Dieses Kapitel sagt nichts darüber aus, wie Sie eine Netzwerkverbindung einrichten. Bücher zu diesem Thema finden sich zuhauf; Sie können die Verbindungseinrichtung aber auch Ihrem Netzwerkdienstanbieter überlassen, oder Sie wenden sich an externe Berater, die auf solche Dienstleistungen spezialisiert sind.
Einrichten der Netzwerksicherheitstechnologien Nachdem Sie die allgemeine Netzwerksicherheitsstrategie definiert haben, können Sie daran gehen, Festlegungen bezüglich der erweiterten Sicherheitstechnologien für alle Benutzergruppen zu treffen, die in diesem Kapitel definiert wurden: Jeder, Mitarbeiter, Benutzer und Partner. Sie können Netzwerksicherheitsstrategien gezielt für jede einzelne Netzwerkbenutzergruppe einrichten. Je nachdem, wie die Prioritäten gelagert sind, können Sie Ihr Augenmerk zuerst auf die Anforderungen der Gruppe „Jeder“ richten und anschließend die Firmenmitarbeiter, Benutzer von Firmenanwendungen und Partner berücksichtigen. Bevor Sie spezielle Sicherheitsrichtlinien für Ihre Organisation definieren, sollten Sie sich mit den Windows 2000-Funktionen zur Erweiterung der Netzwerksicherheit beschäftigen.
Vorbereiten der Windows 2000-Netzwerksicherheitstechnologien In einigen Fällen hängen Windows 2000-Netzwerksicherheitstechnologien von anderen Windows 2000-Sicherheitstechnologien ab. Das in virtuellen privaten Netzwerken zum Einsatz kommende L2TP-Protokoll nutzt beispielsweise IPSec, um sichere Datenübertragung vom Remoteclient zum VPN-Server zu garantieren. Die IPSec-Sicherheitsaushandlung setzt Zertifikate zur Autorisierung der Verbindung voraus. Sie benötigen deshalb einen Zertifizierungsserver mit der korrekten Konfiguration. Ein Windows 2000-Zertifizierungsserver wird standardmäßig einer Domäne zugeordnet. Die Domäne setzt Gruppenrichtlinien mit PKI-Einstellungen für Computer, die sich automatisch bei dieser Zertifizierungsstelle einschreiben, um ein Computerzertifikat für IPSec zu erhalten. (PKI – Public Key Infrastructure; Infrastruktur für öffentliche Schlüssel.) L2TP erstellt die erforderliche IPSec-Richtlinie, um sichere Datenübertragung über L2TP zu gewährleisten. Administratoren, die auch andere Verbindungswege zwischen sämtlichen Servern und Clients sichern möchten, müssen IPSec auf allen Servern und Clients konfigurieren. Da IPSec mit Hilfe einer Richtlinie konfiguriert wird, können Sie diese in Active Directory™ erstellen und anschließend auf alle
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
589
Computer einer Gruppe oder Domäne anwenden. Sie können die zentrale Verwaltungsfunktion Gruppenrichtlinien in Active Directory verwenden, um Zertifikate und IPSec-Richtlinien für alle Domänencomputer einzurichten. Weitere Informationen zur Einsatzplanung von Windows 2000-Zertifikaten finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in dieser Dokumentation. Zusätzliche Informationen zur Active Directory-Planung finden Sie unter „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation. Strategien für „Jeder“ Jede Person, die von einer vorhandenen Internetverbindung weiß, bedeutet eine potentielle Gefahrenquelle für die Netzwerksicherheit. Deshalb muss Ihre Aufmerksamkeit bei der Einrichtung einer Gesamtstrategie für die Netzwerksicherheit zuerst der Benutzergruppe gelten, die zuvor als „Jeder“ definiert wurde. EinenTeil dieser Aufgaben haben Sie bereits erledigt, indem Sie einen Proxyserver eingerichtet und Richtlinien, Verfahrensweisen und Technologien zur Sicherheitsüberwachung definiert haben. Sie sollten auch die Netzwerkanwendungen berücksichtigen, die der Gruppe „Jeder“ zur Verfügung stehen, und deren Sicherheitsanforderungen bedenken. Vielleicht möchten Sie auch die Microsoft Internetinformationsdienste (IIS) mit einer internen Website einsetzen. IIS stellt viele Sicherheitsoptionen zur Verfügung, die Sie eingehend prüfen und nach Bedarf konfigurieren sollten. (Einzelheiten zu diesem Thema finden Sie in der umfangreichen IIS-Dokumentation.) Ziehen Sie auch den Einsatz von FTP-Servern und anderen Diensten für Mitglieder der Gruppe „Jeder“ in Betracht. Strategien für Mitarbeiter Angehörige dieser Gruppe sollten Zugriff auf das Firmennetzwerk von beliebigen Standorten aus erhalten, damit sie auf interne Websites zugreifen, Dateien kopieren, Dokumente drucken oder andere einfache Aktionen durchführen können. Der primäre Sicherheitsaspekt für diese Gruppe besteht darin, sicherzustellen, dass der fragliche Benutzer autorisierter Mitarbeiter ist, bevor er Zugang zum Netzwerk erhält. Folgerichtig muss die anfängliche Verbindung zum Netzwerk gesichert werden; weitere Bestätigungen sind nicht erforderlich. Darüber hinaus müssen Sie ausschließen, dass nicht autorisierte Personen über das Netzwerk übertragene Nachrichten abfangen und lesen können. Angestellte können über Internetdienstanbieter (ISPs) auf das Firmennetzwerk zugreifen, aber nicht alle Mitarbeiter sollten diese Art des Zugangs nutzen können. Vermutlich möchten Sie nicht alle Intranetdienste auch im Internet zur Verfügung stellen, oder Sie benötigen die garantierte Netzwerkkapazität einer dedizierten Netzwerkverbindung. Über den Routing- und RAS-Dienst von Windows 2000 können Sie Richtlinien für den Remotezugriff definieren und so präzise festlegen, in welcher Weise Benutzer, die über das Internet verbunden sind, auf das interne Netzwerk zugreifen können.
Routing und RAS Normalerweise stellen Firmen ihren Mitarbeitern Remoteverbindungen zu deren Standorten zur Verfügung. IT-Mitarbeiter richten zu diesem Zweck reservierte Telefonnummern ein und schließen Modems (oder ähnliche Geräte) an einen Server an, der direkt mit dem Intranet verbunden ist. Auf dem Server wird ein
590
Teil V Erweiterte Verwaltung
Spezialprogramm ausgeführt, das für die Verbindungsdetails zuständig ist und den DFÜ-Benutzer als autorisierten Mitarbeiter authentifiziert. Mit den in Windows 2000 integrierten Routing- und RAS-Diensten können Sie Ihren Benutzern DFÜ-Einrichtungen zur Verfügung stellen. Wenn Sie die Benutzerauthentifizierungs-, Autorisierungs- und Kontoführungsdienste in Windows 2000 zentralisieren möchten, können Sie RAS-Dienste oder VPNs verwenden, indem Sie einen Server für den Internetauthentifizierungsdienst (IAS – Internet Authentication Service) einrichten. Abbildung 17.3 zeigt ein Konfigurationsbeispiel für diese Server.
Abbildung 17.3 Beispiel für Routing- und RAS-Konfiguration
Informationen zu Funktionsweise und Einsatzmöglichkeiten des Routing- und RAS-Dienstes finden Sie in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. Die Onlinehilfe in Windows 2000 Server beschreibt, wie Sie den Routing- und RAS-Dienst installieren und einsetzen. Wenn Sie vorhaben, den Routing- und RAS-Dienst einzusetzen, sollten Sie die folgenden Sicherheitsaspekte bedenken: ? Wer erhält die Telefonnummern? ? Wer erhält die Berechtigung, den Routing- und RAS-Dienst zu nutzen? ? Welche Authentifizierungsmethoden werden eingesetzt? ? Welche Art der Datenverschlüsselung wird eingesetzt (Routing- und RAS-
Client zu Routing- und RAS-Server)? Wenn Sie Endpunktverschlüsselung benötigen (auf dem gesamten Verbindungsweg vom RAS-Client zum Anwendungsserver im Intranet), verwenden Sie IPSec (Internet Protocol Security). Diese Funktion wird weiter unten in diesem Kapitel besprochen. ? Welche RAS-Richtlinien werden zur Benutzerzugriffskontrolle verwendet?
Allgemeine Informationen zur Einrichtung des Routing- und RAS-Dienstes finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
591
Routing- und RAS-Sicherheit Durch wohlüberlegte Ausgabebeschränkungen bei Routing- und RAS-Telefonnummern verringern Sie die Anzahl der Personen, die sich in das Netzwerk einwählen können. Allerdings stellt jede Lösung über DFÜ-Verbindungen ein Risiko dar, weil praktisch jeder in den Besitz der Telefonnummern gelangen kann. Es ist möglich, ein automatisches Wahlverfahren einzurichten, bei dem die vorgegebenen Telefonnummern der Reihe nach angewählt werden, bis ein Modem gefunden wird, das antwortet. Der Routing- und RAS-Dienst muss so gesichert werden, dass nur autorisierte Zugriffe möglich sind. Als Mindestvoraussetzung sollte der Routing- und RAS-Dienst so eingerichtet werden, dass Benutzer ein gültiges Computerkonto mit Kennwort angeben müssen. Diese Sicherheitsstufe bietet jedoch keinerlei Schutz vor Angriffen, die üblicherweise auf Anmeldeinformationen abzielen, beispielsweise dem Ausspähen von Kennwörtern. Es wird empfohlen, zusätzliche Sicherheitsvorkehrungen für Routing und RAS zu treffen. Sie können den Routing- und RAS-Zugriff auf die Personen begrenzen, deren Aufgabenbereich nachweislich eine Einwahlverbindung erforderlich macht. Sie können den Routing- und RAS-Dienst auch so konfigurieren, dass die Verbindung nach der Einwahl beendet und der Benutzer zurückgerufen wird. Auf diese Weise können Benutzer den Routing- und RAS-Dienst nur mit einer vordefinierten Telefonnummer erreichen. Eine weitere Option sieht die Aufzeichnung der Telefonnummer vor. Soweit die entsprechenden Einrichtungen vorhanden sind, können Sie auch die Anruferkennung verwenden, um die Telefonnummer aufzuzeichnen, die die Verbindung hergestellt hat. Bedenken Sie, dass bei der Anmeldung eines Benutzers am Routing- und RASServer Benutzername und Kennwort mittels abhörähnlicher Techniken abgefangen werden könnten. Um solche Angriffe zu verhindern, stellt der Routing- und RASDienst sichere Benutzerauthentifizierungsverfahren wie die folgenden Protokolle zur Verfügung: EAP (Extensible Authentication Protocol), MS-CHAP Version 1 und Version 2 (Microsoft Challenge Handshake Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) und SPAP (Shiva Handshake Authentication Protocol). Ein ähnliches Risiko geht von einem Benutzer aus, der sich vermeintlich in das Firmennetzwerk einwählt, in Wirklichkeit aber zu einem anderen Standort verbunden wird, der damit über die Anmeldeinformationen verfügt. Verwenden Sie als Abwehrmaßnahme die gegenseitige Authentifizierung, um sicherzustellen, dass der Routing- und RAS-Server genau so autorisiert werden muss wie der Benutzer. Diese Methode wird von den Authentifizierungsprotokollen EAP-TLS (EAPTransport Layer Security) und MS-CHAP, Version 2, unterstützt. Für Daten, die über die Routing- und RAS-Verbindung übertragen werden, werden ähnliche Lösungen angeboten. DieAuthentifizieringsprotokolleEAP-TLS und MSCHAP, Version 2, ermöglichen die Verschlüsselung der übertragenen Daten mit der Microsoft Punkt-zu-Punkt-Verschlüsselung (MPPE – Point-to-Point Encryption). Mit RAS-Richtlinien, die Sie entweder als lokale Richtlinie oder als Teil der Gruppenrichtlinien implementieren, können Sie die Verwendung von Authentifizierungs- und Verschlüsselungstechniken zwingend vorschreiben. Weitere Informationen über Netzwerktechniken, Routing- und RAS-Authentifizierung sowie Datenverschlüsselungsmethoden finden Sie in der Onlinehilfe von Windows 2000 Server.
592
Teil V Erweiterte Verwaltung
Virtuelle private Netzwerke Virtuelle private Netzwerke (VPNs) stellen sichere Netzwerkdienste über ein öffentliches Netzwerk bei reduzierten Kosten zur Verfügung. VPNs ermöglichen Firmenmitarbeitern und anderen autorisierten Benutzern an Remotestandorten Verbindungen ins Firmennetz, wobei diese ebenso sicher sind wie Zugriffe aus einem Firmenstandort. Insofern können Sie alle firmeninternen Netzwerkdienste über VPNs zur Verfügung stellen, ohne Sicherheitsprobleme befürchten zu müssen. Der Aufwand für Planung, Einrichtung und Wartung von VPNs ist sicherlich höher als bei ungesicherten öffentlichen Verbindungen, dafür bekommen Sie aber sichere Datenübertragungswege über Internet - oder ähnliche Verbindungen bei niedrigen Kosten. Sie können VPNs in Verbindung mit dem Routing- und RAS-Dienst verwenden, dies ist aber nicht zwingend erforderlich. VPNs können über alle denkbaren Verbindungswege zwischen Standorten und aus Gründen höherer Sicherheit auch innerhalb eines Standorts eingerichtet werden. Virtuelle private Netzwerke sind in der Regel durch die folgenden Arbeitsabläufe gekennzeichnet: ? Benutzer wählen sich über einen beliebigen Internetdienstanbieter (ISP) ein. ? Die VPN-Clientsoftware stellt die Verbindung zum vorgesehenen,
firmeneigenen VPN-Server über das Internet her und leitet die Authentifizierung ein. ? Der Benutzer wird bestätigt, und die Sicherheitsinformationen werden übergeben. ? Der VPN-Server weist dem Clientcomputer eine neue TCP/IP-Adresse zu, und
der Client wird angewiesen, alle weiteren Netzwerkübertragungen mit dieser Adresse über den VPN-Server abzuwickeln. ? Anschließend werden sämtliche Netzwerkpakete vollständig verschlüsselt. Der Datenaustausch vollzieht sich in einer Weise, die sicherstellt, dass nur der VPN-Client und der VPN-Server die Daten wieder entschlüsseln können. Abbildung 17.4 zeigt die Beziehungen zwischen diesen Computern auf.
Abbildung 17.4 Beispielkonfiguration eines virtuellen privaten Netzwerks
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
593
Sie können VPNs auch verwenden, um mehrere Computer eines Standorts mit dem Firmennetzwerk zu verbinden oder um Verbindungen zu einem Subnetz auf besonders autorisiertes Personal zu beschränken. Die Windows 2000-VPN-Software ist Teil des Routing - und RAS-Dienstes, einer optionalen Komponente von Windows 2000 Server. Eine ausführliche Darstellung der Arbeitsweise und Funktionen von Windows 2000-VPNs finden Sie in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. Die Onlinehilfe zu Windows 2000 Server enthält eine Anleitung zur Installation von VPNs.
Einrichten von VPNs Bei der Einsatzplanung von VPNs sollten Sie sich mit den folgenden Fragen auseinandersetzen: ? Welches Sicherheitsprotokoll soll eingesetzt werden: das PPTP-Protokoll
(Point-to-Point Tunneling Protocol) oder das L2TP-Protokoll (Layer Two Tunneling Protocol). ? Soll IPSec verwendet werden (falls L2TP eingesetzt wird). ? Welche Zertifikate sollen bei Verbindungen über L2TP/IPSec verwendet
werden. ? An welcher Stelle soll der VPN-Server eingerichtet werden: vor, hinter oder neben der Firewall. ? Wie soll der Verbindungs-Manager eingesetzt werden, um Benutzern vordefinierte Einstellungen zuzuweisen. ? Wie sollen VPNs in Bezug auf Ihre RAS-Richtlinie behandelt werden.
PPTP oder L2TP Das PPTP-Protokoll gehört zur Familie der TCP/IP-Netzwerkprotokolle und dient der Verkapselung von IP-, IPX- und NetBEUI-Protokollen(NetBEUI – NetBIOS Enhanced User Interface). PPTP ermöglicht den Datenaustausch via Internet (oder ähnlichen Netzwerke) über Nicht-TCP/IP- bzw. Multiprotokollübertragungswege. PPTP-basierte VPNs stellen Mechanismen zur Benutzerauthentifizierung und Zugriffskontrolle zur Verfügung und ermöglichen den Einsatz von Einwählprofilen, die Remotezugriffe auf eine sorgfältig ausgewählte Gruppe von Benutzern beschränken. PPTP stellt über interne Adresskonfigurationen für Remoteclients deren Zugehörigkeit zum internen Netzwerk her, als wären sie direkt verbunden. PPTP bietet darüber hinaus Komprimierungsoptionen und Optionen für Standard- und starke RC4Verschlüsselung (ein „Symmetric Stream“-Schlüssel) für den Datentransport innerhalb des Tunnels. L2TP lässt sich mit PPTP vergleichen, basiert aber auf UDP und kann deshalb in ATM- (Asynchronous Transfer Mode), Frame Relay- und X.25-Netzwerken gleichermaßen eingesetzt werden. Wird L2TP in IP-Netzwerken eingesetzt, wird ein UDP Port 1701-Paketformat für den Steuerkanal und den Datenkanal verwendet. L2TP kann zur Herstellung einer voll abgesicherten Netzwerkverbindung auch mit IPSec eingesetzt werden. IPSec führt zuerst eine Sicherungsaushandlung zwischen Client und VPN-Server für den L2TP-Datenverkehr durch, wobei Zertifikate für die Authentifizierung zum Einsatz kommen. Anschließend führt
594
Teil V Erweiterte Verwaltung
L2TP die Authentifizierung über ein Benutzerkonto mit Kennwort oder ein Benutzerzertifikat durch.
IPSec (Internet Protocol Security) IPSec ist ein Protokoll zur Sicherung der Datenübertragung in IP-Netzwerken. IPSec stellt absolut sichere Verbindungen zwischen zwei Computern zur Verfügung, d. h. kein Verbindungsabschnitt ist unsicher. Die Konfiguration von IPSec wird über IPSec-Richtlinien durchgeführt. Diese Richtlinien können eine Reihe von Sicherheitsregeln enthalten, die anhand von Filtern jeweils eine bestimmte Übertragungsart definieren und mit einer Filteraktion und einer Authentifizierungsmethode verknüpft sind. IPSec-Richtlinien können lokal auf einem Computer oder mit Gruppenrichtlinien in Active Directory erstellt und zugewiesen werden. Hinweis IPSec garantiert zwar IP-Sicherheit von Endpunkt zu Endpunkt, verschlüsselt aber nicht alle Protokolle, die über IP abgewickelt werden. IPSec enthält Ausnahmeregelungen für bestimmte Übertragungsverfahren wie Internetschlüsselaustausch, Kerberos-Authentifizierung, IP-Broadcast- und IP-MulticastVerkehr. Bei Bedarf können Sie weitere Ausnahmen definieren, indem Sie IPSecRegeln erstellen und mit einem Filter kombinieren, der die Art des Datenverkehrs und die zugelassene Filteraktion angibt. Weitere Informationen zu IPSec finden Sie in der Onlinehilfe von Windows 2000 Server und im Band TCP/IP-Netzwerke innerhalb der Technischen Referenz. Weitere Informationen zur Einsatzplanung Ihrer Zertifizierungsstelle in einer Infrastruktur für öffentliche Schlüssel finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch.
Stellung der VPN-Server Sie können VPNs in Verbindung mit Firewalls einsetzen. Obwohl VPNs ähnliche Funktionen wahrnehmen können wie Firewalls, bietet jeder der beiden Ansätze zusätzliche Vorteile, über die der jeweils andere nicht verfügt, so dass Sie möglicherweise beide einsetzen sollten. In diesem Fall müssen Sie sich Gedanken über die Stellung des VPN-Servers im Verhältnis zur Firewall machen. Konkret betrachtet können Sie beide Lösungen auf demselben (physischen) Server realisieren. Auf diese Weise lässt sich der Schaden auf eine zentrale Stelle begrenzen, falls der Server nicht verfügbar oder die Serversicherheit nicht mehr gewährleistet ist. Allerdings ist beim Einsatz einiger weniger Server die Wahrscheinlichkeit, dass Server nicht verfügbar sind, geringer, und die Kosten der Serverwartung bleiben kalkulierbar. Ein weiterer Aspekt betrifft die Kapazität. Überlegen Sie, welches Gewicht jedem dieser Faktoren in Ihrer Umgebung zukommt, und entscheiden Sie sich dann für eine bestimmte Struktur. Von größerer Bedeutung ist die logische Stellung des VPN-Servers in Bezug auf die Firewall. Die verschiedenen Möglichkeiten sind in Abbildung 17.5 dargestellt: Sie können den VPN-Server vor, hinter oder neben der Firewall betreiben. Windows 2000 kann Firewalldienste sowohl mit Proxyservern als auch mit Paketfilterrouting zur Verfügung stellen. Weitere Informationen zu diesen Lösungsansätzen finden Sie unter „Routing und RAS“ im Band Internetworking innerhalb der Technischen Referenz.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
595
Befindet sich der VPN-Server vor der Firewall, sind die externen Dienste der Firewall nur autorisierten VPN-Benutzernzugänglich. Deshalb stehen kein allgemeiner Internetzugang oder ähnliche Zugänge zur Verfügung, es sei denn, der Internetzugang wird am anderen Ende der VPN-Verbindungenrealisiert.
Abbildung 17.5 Beispiele für die Stellung des VPN-Servers in Bezug auf eine Firewall
Befindet sich der VPN-Server hinter der Firewall, bleiben alle ursprünglichen Dienste erhalten. Bei der Firewallkonfiguration muss jedoch darauf geachtet werden, dass die vom VPN-Server benötigten Ports offen bleiben. Dazu gehören die für IPSec erforderlichen Ports, falls Sie das VPN über L2TP mit IPSec betreiben. Befindet sich der VPN-Server logisch gesehen neben der Firewall, bieten beide ihre Dienste vollkommen unabhängig voneinander an. Aus dieser Konfiguration ergeben sich jedoch zwei Zugangswege zum Firmennetzwerk, wodurch sich die Gefahr von Sicherheitsverletzungen erhöht. Normalerweise stellt keiner dieser Dienste eine Umgehung des anderen zur Verfügung, aber mit zwei Verbindungswegen werden die Risiken verdoppelt. Welche Konfiguration in Ihrer Situation die beste Wahl darstellt, hängt von der angestrebten Sicherheitsstufe ab. Wenn Sie beide Server nebeneinander betreiben, schaffen Sie zwei Zugänge zu Ihrem Intranet und somit zwei potentielle Schwachstellen. Bei der Positionierung des VPN-Servers hinter der Firewall müssen Sie zusätzliche Ports auf der Firewall öffnen. Wenn Sie den VPN-Server vor die Firewall setzen, kann er die von der Firewall zur Verfügung gestellten Sicherheitsmechanismen nicht nutzen, während der gesamte von ihm verarbeitete Datenverkehr von der Firewall profitiert.
596
Teil V Erweiterte Verwaltung
Verbindungs-Manager Wenn Sie Ihren Benutzern VPN-Funktionen zur Verfügung stellen möchten, müssen Sie die Clientcomputer entsprechend konfigurieren. Die erforderlichen Einstellungen sind nicht ganz einfach, aber Windows 2000 enthält einen Verbindungs-Manager, der den Einrichtungsprozess für die Benutzer erleichtert. Der Verbindungs-Manager kann auf allen Computern mit den folgenden Betriebssystemen eingesetzt werden: Microsoft ® Windows® 95, Microsoft ® Windows® 98, Microsoft® Windows NT ® und Windows 2000. Windows 2000Server stellen zudem das Verbindungs-Manager-Verwaltungskit zur Verfügung, mit dem Sie benutzerdefinierte Verbindungs-Manager für die Benutzer erstellen können. Weitere Informationen über Verbindungen, den Verbindungs-Manager und das Verbindungs-Manager-Verwaltungskit finden Sie in der Onlinehilfe von Windows 2000 Server. Das Programm und die Dokumentation, die Sie nach den Anweisungen der Onlinehilfe mit dem Verbindungs-Manager-Verwaltungskit erstellt haben, können Sie dann anschließend an Ihre Benutzer verteilen.
RAS-Richtlinien Mit RAS-Richtlinien legen Sie fest, welche Personen den Routing- und RASDienst nutzen können, und definieren die Bedingungen, die bei der Verbindungsaufnahme zur Anwendung kommen. Sie können Richtlinien auf der Grundlage der Zugehörigkeit zu einer Windows 2000-Gruppe, der verwendeten Telefonnummer, der Tageszeit und anderer relevanter Informationen definieren. Eine Richtlinie kann darüber bestimmen, ob die Verbindung angenommen oder zurückgewiesen wird. Außerdem kann ein Verbindungsprofil zur Anwendung kommen. Das Profil kann die folgenden Festlegungen enthalten: die maximale Dauer der Sitzung, die maximale Leerlaufzeit, die erlaubten DFÜ-Übertragungsmedien, die zugelassenen Adressen, die vorgeschriebenen Authentifizierungsverfahren sowie Angaben zur Verschlüsselung und gegebenenfalls zum VPN. Sie können die RAS-Richtlinien entweder für den Routing- und RAS-Dienst oder für den Internetauthentifizierungsdienst (IAS) definieren, der weiter unten in diesem Abschnitt erläutert wird. Weitere Informationen zur Einrichtung von RASRichtlinien und den verfügbaren Optionen finden Sie in der Onlinehilfe von Windows 2000 Server. Wenn Sie unterschiedliche Richtlinien für einzelne Gruppen oder Konstellationen anwenden möchten, müssen Sie sehr vorsichtig sein. Manchmal überschneiden sich Richtlinien und verweigern prinzipiell autorisierten Benutzern DFÜ-Zugriffe oder verursachen andere Probleme. Komplexe Kombinationen von Richtlinien lassen solche Probleme wahrscheinlicher werden. Versuchen Sie deshalb, die Anzahl der Richtlinien auf das erforderliche Minimum zu beschränken. Bei Problemen ziehen Sie die Onlinehilfe von Windows 2000 Server heran. Sie enthält u. a. empfohlene Verfahren zur Problembehandlung von RAS-Richtlinien.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
597
VPN-Serverkapazität Ebenso wie andere Server können VPN-Server überlastet sein, wenn Sie mit umfangreichen Aufgaben betraut werden. Sie brauchen schon eine Menge VPNVerbindungen, bevor dieser Fall eintritt, aber in großen Organisationen ist dieser Aspekt nicht ganz von der Hand zu weisen. Führen Sie in der Pilotphase Belastungstests durch, um herauszufinden, in welchem Ausmaß Benutzer die verfügbaren VPN-Server vermutlich in Anspruch nehmen werden. Stellen Sie auch fest, welche Kapazität den VPN-Servern zugemutet werden kann, indem Sie die wahrscheinliche Anzahl der gleichzeitigen Benutzer und die anfallenden Datenmengen abschätzen. Sie können eine vergleichbare Datenmenge mit einer geringeren Anzahl von Clientcomputern erzeugen, indem Sie die Daten über das lokale Netzwerk an den VPN-Server senden und große Datenträger in ihre Aktivitäten einbeziehen; Sie können z. B. eine große Anzahl von Dateien kopieren. Überwachen Sie den VPN-Server und seine Reaktionszeiten, und stellen Sie anhand dieser Daten fest, ob die VPN-Server ihrer Rolle gerecht werden. Bei Bedarf können Sie die Serverkapazitäten erhöhen bzw. weitere VPN-Server hinzufügen und Netzwerklastenausgleich oder Round-Robin-DNS einsetzen, um die Last zu verteilen.
Internetauthentifizierungsdienst Windows 2000 Server enthält den Internetauthentifizierungsdienst (IAS – Internet Authentication Service) als optionale Komponente. Dieser Dienst implementiert das dem Industriestandard entsprechende Netzwerkauthentifizierungs-SicherheitsprotokollRADIUS (Remote Authentication Dial-In User Service), das die Zentralisierung von Kontoautorisierungen ermöglicht. RADIUS erlaubt auch Vorgaben für die Sitzungsdauer und die zugelassenen IP-Adressen. IAS kann darüber hinaus Informationen zu Sitzungen aufzeichnen und stellt Berichtsoptionen zur Verfügung. Sie können den IAS auch verwenden, wenn Sie Ihre Remoteeinrichtungen auf externe Betreiber verlagern, die Kontrolle über die Authentifizierung der Personen, die auf diese Dienste zugreifen, aber behalten möchten. In diesem Fall kann der Betreiber die an seine Routing- und RAS-Server gerichteten Autorisierungsanforderungen an Ihren IAS-Server weiterleiten. IAS authentifiziert Konten gegen native Windows 2000-Domänen und Windows NT 4.0-Domänen. Sie müssen den IAS-Server hinter der Firewall einsetzen und die Ports für die RADIUS-Authentifizierung und die entsprechenden UDP-Pakete (UDP – User Datagram Protocol) öffnen. Weitere Informationen zur Installation und Verwendung des Internetauthentifizierungsdienstes finden Sie in der Onlinehilfe von Windows 2000 Server. Die Onlinehilfe zeigt auch bewährte Methoden für erweiterte Sicherheitsmechanismen auf und enthält Informationen zur IAS-Skalierung in großen Organisationen sowie zum effizienten Einsatz der IAS-Protokollierung.
598
Teil V Erweiterte Verwaltung
Strategien für Benutzer Benutzer benötigen mitunter Zugriff auf sichere Firmenanwendungen, wenn sie sich nicht in ihren Büros aufhalten. Einige dieser Anwendungen sind relativ einfach gestrickt, z. B. Terminplaner oder ähnliche Programme. Andere, beispielsweise Buchhaltungsprogramme oder Unternehmensanwendungen, weisen dagegen eine komplexe Struktur auf. Diese Anwendungen müssen unbedingt so gesichert sein, dass nur autorisierte Benutzer auf die Daten zugreifen und nur autorisierte Änderungen durchführen können. Auf diese Weise können Sie auch den Nachweis der Verantwortlichkeit erbringen, weil sich die Nutzung der Anwendungen zu bestimmten Benutzern zurückverfolgen lässt. Darüber hinaus stellt Windows 2000 eine Reihe von Sicherheitstechnologien zur Verfügung, die es Anwendungsentwicklern erlauben, Funktionen für die Netzwerksicherheit zu integrieren. Welche dieser Technologien zur Anwendung kommen, hängt von den folgenden Faktoren ab: ? Den Sicherheitsanforderungen der Anwendung ? Integrationsaspekten ? Den Kenntnissen des Entwicklers auf diesem Gebiet ? Den Auswirkungen auf die Netzwerk- und Anwendungsleistung ? Dem Verwaltungsaufwand
Zu den anwendungsorientierten Sicherheitstechnologien gehören im Einzelnen: ? SSPI (Security Support Provider Interface), eine generelle Sicherheits-API, die
Zugriffe von standardisierten Programmierschnittstellen auf eine große Anzahl von Sicherheitsdiensten bietet. ? Windows NTLM-Sicherheit, auch bekannt als Windows NT-Sicherheit auf
Domänenebene. ? Kerberos V5-Authentifizierungsprotokoll. Weitere Informationen hierzu finden
Sie unter „Planen der verteilten Sicherheit“ in diesem Buch. ? Secure Sockets Layer (SSL). SSL wurde von der Internet Engineering Task Force (IETF) zu TLS (Transport Layer Security) weiterentwickelt und standardisiert. ? Zertifikate, die in diesem Kapitel bereits beschrieben wurden.
Zwischen diesen Netzwerksicherheitstechnologien und den Netzwerktechnologien, die darauf zugreifen, besteht ein System gegenseitiger Abhängigkeiten, die in Abbildung 17.6 dargestellt sind. In dieser Abbildung steht SSP für SSPI-Sicherheitsanbieter und bezeichnet die Schnittstelle zwischen der Sicherheitsfunktion und SSPI. Remoteprozeduraufrufe (RPC – Remote Procedure Call), Microsoft® Distributed Component Object Model (DCOM) und Windows Sockets (Winsock) sind Verbindungsmethoden zwischen einzelnen Prozessen. WinInet (Windows Internet-API) ist eine Programmierschnittstelle, die zur Initiierung und Verwaltung von Webschnittstellen dient. Die Netzwerksicherheitstechnologien sind in der unteren Hälfte des Diagramms angeordnet, den Anfang bildet SSPI. Die Netzwerktechnologien sind in der oberen Hälfte des Diagramms abgebildet. Sie befinden sich unterhalb der Anwendung, die sich ihrer bedient.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
599
Abbildung 17.6 Exemplarische Darstellung der Beziehungen von Netzwerkanwendungs-Sicherheitstechnologien
Arbeiten Sie mit Herstellern und firmenzugehörigen Anwendungsentwicklern zusammen, um festzulegen, welche anwendungsorientierten Netzwerksicherheitstechnologien eingerichtet werden müssen. Der Einsatz dieser Technologien setzt keine weiteren Infrastrukturplanungen voraus; Sie müssen jedoch wissen, wie Ihre Entwickler von den leistungsfähigeren Netzwerksicherheitsmechanismen in Windows 2000 profitieren können. Sie könnten beispielsweise den Einsatz von Smartcards erwägen, um sichere Benutzerauthentifizierung zu gewährleisten, falls die Einrichtung von Routing- und RAS-Verbindungen bzw. VPN-Verbindungen vorgesehen ist.
Strategien für Partner Die meisten Unternehmen arbeiten in einer Welt komplexer Wechselbeziehungen von Kunden, Herstellern, verbündeten Unternehmen, Zulieferern, Beratern, Regulierungsstellen und anderen Repräsentanten, die mit dem Unternehmen zusammenarbeiten. Viele dieser Partner, wie sie oft bezeichnet werden, profitieren erheblich von der Möglichkeit direkter Zugriffe auf Anwendungen und Daten Ihres Unternehmens. Andererseits birgt die Bereitstellung solcher Zugänge beträchtliche Risiken in sich. So könnten wertvolle oder vertrauliche Informationen in die falschen Hände geraten oder Eindringlinge die Kontrolle über die firmeneigenen Computersysteme erlangen. Deshalb müssen wirksame Netzwerksicherheitsstrategien eingeplant werden, um Partnern die jeweils notwendigen Zugangsmöglichkeiteneinzuräumen. Die Kombination von Netzwerk- und Sicherheitstechnologien, die es Partnern erlaubt, auf das Firmennetzwerk zuzugreifen, wird auch als Extranet bezeichnet. Extranets bedienen sich häufig derselben Technologien, die hier bei den Zugriffsmöglichkeiten für Mitarbeiter und Benutzer beschrieben wurden, beispielsweise VPNs sowie Routing- und RAS-Dienste. Im Unterschied zu diesen Gruppen kann bei Partnern jedoch davon ausgegangen werden, dass sie immer vom selben Standort und über einen vordefinierten Übertragungsweg Verbindung zu Ihrem Unternehmen aufnehmen. Deshalb können Sie den Proxyserver so konfigurieren, dass Extranetverbindungen lediglich von dieser Netzwerkadresse erfolgen können.
600
Teil V Erweiterte Verwaltung
Bei der Festlegung der vorgesehenen Nutzer des Extranets müssen Sie auch berücksichtigen, mit welchen Abteilungen diese Firmenpartner kommunizieren. Normalerweise lassen sich Partner verschiedenen Kategorien zuordnen, die im Wesentlichen immer mit denselben bestimmten Abteilungen zu tun haben. Einige arbeiten mit der Versand- oder Wareneingangsabteilung zusammen, andere mit der Konstruktion, und wieder andere stehen nur mit dem Vertrieb in Verbindung. Die Einrichtung von Netzwerksicherheitsstrategien für Partner unterscheidet sich von den Sicherheitsmaßnahmen, die für Benutzer und Mitarbeiter getroffen werden, in erster Linie deshalb, weil Extranets für Ihre Partner sehr leicht zu einer kritischen Schnittstelle werden können. Angestellten steht in der Regel ein Arbeitsplatz im Firmengebäude mit Zugang zu den Unternehmensressourcen zur Verfügung, während Partnern lediglich die Option, das Extranet zu nutzen, offen steht (sofern sie sich nicht auf traditionelle Kommunikationsverfahren beschränken möchten). Angestellte werden wahrscheinlich mit relativ kleinen Datenmengen hantieren, während Partner häufig größere Datenströme erzeugen, die auf firmeneigenen Computern verarbeitet und durch das lokale Netzwerk geschleust werden müssen. Partner wie interne Abteilungen sind zudem auf die zeitliche Verfügbarkeit der Extranetdienste angewiesen. Geschäftsabläufe hängen häufig von den ausgetauschten Daten ab, und Verzögerungen kommen das Unternehmen unter Umständen teuer zu stehen. Das Extranet muss sich durch äußerste Zuverlässigkeit auszeichnen; bei eventuell auftretenden Problemen muss Partnern wie internen Abteilungen ein Ansprechpartner zur Verfügung stehen, der diese Probleme in kürzester Zeit behebt. Die Abteilungen, die Dienste über das Extranet anbieten, nehmen spezifische Geschäftsfunktionen wahr und sind spezifischen Restriktionen unterworfen. Ihre Systeme und Mitarbeiter unterscheiden sich von denen anderer Firmenbereiche. Aus diesem Grund ist es nicht ungewöhnlich, dass bestimmte Abteilungen andere Anforderungen an ein Extranet stellen als die übrigen Unternehmenseinheiten. Eine Strategie, die sich mit der Einrichtung von Netzwerksicherheit für Partner befasst, muss sich in erster Linie auf die Aspekte Zuverlässigkeit,Skalierbarkeit, Flexibilität und Wartungsfreundlichkeit konzentrieren. Dem Personal kommt neben intensiven Probeläufen und der Einführung und Vermittlung von Richtlinien und Standardverfahren eine besondere Bedeutung zu. Die in Windows 2000 integrierten Netzwerksicherheitstechnologien liefern die Grundlage für ein sicheres Extranet, aber die wesentlichen Unterschiede zwischen den ExtranetSicherheitsstrategien und den internen Netzwerksicherheitsstrategien werden durch die Richtlinien und Verfahren definiert.
Kapitel 17 Netzwerksicherheitsstrategien für Windows 2000
Taskliste zur Planung der Netzwerksicherheitsstrategien Tabelle 17.1 fasst die Aufgaben zusammen, die Sie bei der Planung der Netzwerksicherheit durchführen müssen. Tabelle 17.1 Planungsaufgaben zur Festlegung der Netzwerksicherheit Aufgabe
Kapitelabschnitt
Einsatzplanung
Planen der Netzwerksicherheit
Erstellen sicherer Grenzen Vorbereiten der Windows 2000Netzwerksicherheitstechnologien Entwickeln von Strategien für „Jeder“
Einrichten sicherer Grenzen Einrichten der Netzwerksicherheitstechnologien Vorbereiten der Windows 2000Netzwerksicherheitstechnologien
Entwickeln von Strategien für Firmenmitarbeiter
Vorbereiten der Windows 2000Netzwerksicherheitstechnologien
Entwickeln von Strategien für Benutzer von Firmenanwendungen
Strategien für Benutzer
Entwickeln von Strategien für Partner
Strategien für Partner
601
602
Teil V Erweiterte Verwaltung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
603
K A P I T E L
1 8
Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
Wenn Sie sich Produktionseinbußen, die aus der Unterbrechung missionskritischer Anwendungen oder Dienste resultieren, nicht leisten können oder wenn Anwendungen und Dienste in Ihrer Organisation mit fiduziarischen gesetzlichen Verpflichtungen verbunden sind, kommt diesem Kapitel in Ihrer Planung eine wichtige Rolle zu. Insbesondere soll dieses Kapitel Systemadministratoren bei der Entscheidung für oder gegen Clustering und gegebenenfalls bei der Auswahl der für die Anwendungen und Dienste in Ihrer Organisation geeigneten Clustertechnologie unterstützen. Anhand der Richtlinien in diesem Kapitel können Sie einen Plan erstellen, der Benutzern hohe Verfügbarkeit aller kritischen Anwendungen und Dienste unter allen Umständen garantiert. Inhalt dieses Kapitels Hohe Verfügbarkeit von Anwendungen und Diensten 604 Übersicht über Windows Clustering 606 Festlegen von Verfügbarkeitsstrategien 607 Planen des Netzwerklastenausgleichs 611 Planen des Clusterdienstes 622 Clusteroptimierung 641 Planen fehlertoleranter Datenträger 642 Testen der Serverkapazität 643 Planen einer Clustersicherungs- und Wiederherstellungsstrategie Planungstaskliste für Windows 2000 Clustering 645 Zusätzliche Ressourcen 646
644
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung des folgenden Planungsdokuments: ? Einsatzplan für Clustering
Weiterführende Informationen in der technischen Referenz ® ® ? Weitere Informationen zu Microsoft Windows Clustering finden Sie unter „Windows Clustering“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme. ? Weitere Informationen zum Erstellen eines Testplans finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
604
Teil V Erweiterte Verwaltung
Hohe Verfügbarkeit von Anwendungen und Diensten Ein Serverausfall kann in jeder Organisation extrem teuer werden, ganz egal, ob es sich um einen Datei-, Druck-, Web- oder Anwendungsserver handelt. Die Kosten der Ausfallzeit von Servern, Anwendungen oder Diensten lassen sich jedoch nur schwer beziffern. Verluste sind in den folgenden Bereichen möglich: ? Entgangene Umsätze ? Imageverlust bei den Kunden ? Produktivitätseinbußen und Vertrauensverlust bei der Belegschaft ? Erhöhte Kosten wegen Nachholzeiten ? Nichterfüllung vertraglicher Verpflichtungen oder Schadensersatzforderungen ? Vernichtung leicht verderblicher Waren ? Verlust der Wettbewerbsfähigkeit
Die Kosten, die Ihrer Organisation unter Umständen durch die Unterbrechung missionskritischer Anwendungen oder Dienste entstehen, können sich in ungeahnten Höhen bewegen. Wenn Sie Ihren Benutzern die hohe Verfügbarkeit kritischer Anwendungen und Dienste nicht garantieren können, nehmen Sie ein sehr großes Risiko auf sich. In diesem Kapitel wird die Einsatzplanung für Windows Clustering detailliert erläutert. Clustering, eine Funktion von Windows 2000 Advanced Server, bietet Netzwerken und Systemadministratoren im Wesentlichen vier Vorteile: ? Hohe Verfügbarkeit von Anwendungen und Diensten. ? Skalierbarkeit spezifischer Anwendungen und Dienste (bei Verwendung des
Lastenausgleichs). ? Zentralisierte Verwaltung. ? Aktive Aktualisierung (Prozess der individuellen Aktualisierung von Clusterknoten, während andere Knoten ihre Dienste ohne Unterbrechung fortsetzen).
Übersicht über Windows 2000 Advanced Server Die Familie der Windows 2000 Server-Betriebssysteme umfasst gegenwärtig Windows 2000 Server und Windows 2000 Advanced Server. Windows 2000 Server bietet angemessene Kernfunktionalität für kleine bis mittlere Unternehmen, die zahlreiche Arbeitsgruppen und Zweigstellen unterhalten und elementare Datei-, Druck-, Kommunikations-, Infrastruktur- und Webdienste benötigen. Windows 2000 Advanced Server wurde dagegen für kritische Anforderungen wie umfangreiche Datawarehouses, OLTP-Anwendungen (OLTP – Online Transaction Processing), Messaging-, E-Commerce- und Webhostingdienste für mittlere und große Unternehmen sowie für Internetdienstanbieter (ISPs) entwickelt.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
605
Windows 2000 Advanced Server entstand auf der Grundlage von Microsoft ® Windows NT® Server 4.0, Enterprise Edition. Advanced Server stellt eine umfassende Clusterinfrastruktur für hohe Verfügbarkeit und Skalierbarkeit von Anwendungen und Diensten zur Verfügung; u.a. werden bis zu 8 GB Hauptspeicher auf IntelPAE-Systemen (PAE – Page Address Extension) unterstützt. Entwickelt für anspruchsvolle Unternehmensanwendungen, unterstützt Advanced Server neue Systeme mit bis zu 8-fachem symmetrischem Multiprocessing (SMP). Durch SMP ist jeder von mehreren Prozessoren eines Systems imstande, beliebige Betriebssystem- oder Anwendungsthreads simultan mit den anderen Prozessoren im System auszuführen. Windows 2000 Advanced Server ist für Umgebungen mit intensiver Datenbanknutzung bestens geeignet und garantiert mit Funktionen wie Serverclustering und Lastenausgleich hohe System- und Anwendungsverfügbarkeit. Windows 2000 Advanced Server bietet sämtliche Funktionen von Windows 2000 Server und fügt Funktionen für hohe Verfügbarkeit und Skalierbarkeit hinzu, die für Unternehmenslösungen und größere Organisationseinheiten unabdingbar sind. Zu den Schlüsselfunktionen von Advanced Server gehören die folgenden Merkmale: ? Netzwerklastenausgleich (bei TCP/IP-Netzwerken) ? Erweiterte Servercluster mit zwei Knoten, die auf Microsoft Windows Cluster
Server (MSCS) beruhen, einer früheren Version des Clusterdienstes, die mit Windows NT Server 4.0 Enterprise Edition ausgeliefert wurde. ? Bis zu 8 GB Hauptspeicher auf Intel-PAE-Systemen ? Bis zu 8-faches SMP Hinweis Falls Sie sich nicht sicher sind, ob Sie ein Intel-PAE-Computersystem besitzen, wenden Sie sich an Ihren Hardwarehersteller.
Prozess zum Herstellen hoher Anwendungs- und Diensteverfügbarkeit Bei der Einsatzplanung von Windows Clustering müssen Sie Ihr Augenmerk auf Lösungen richten, die den Ausfall von Servern, Anwendungen oder Diensten in Ihrer Organisation vermeiden helfen. Verwenden Sie gegebenenfalls das in Abbildung 18.1 gezeigte Flussdiagramm bei der Planung hoher Anwendungs- und Diensteverfügbarkeit in Ihrer Organisation.
606
Teil V Erweiterte Verwaltung
Abbildung 18.1 Planen der Anwendungs- und Diensteverfügbarkeit
Bevor Sie mit der Planungsphase beginnen, müssen Sie sich Grundkenntnisse der Schlüsselkomponenten von Windows Clustering aneignen, damit Sie Endbenutzern hohe Verfügbarkeit der missionskritischen Anwendungen und Dienste Ihres Unternehmens garantieren können.
Übersicht über Windows Clustering Cluster bezeichnet eine Gruppe unabhängiger Computer, die zur Ausführung einer gemeinsamen Gruppe von Anwendungen oder Diensten zusammenarbeiten und sich gegenüber Clients und Anwendungen als Einzelsystem darstellen. Zu einem Cluster gehörende Computer sind physisch über Kabel und logisch durch die Clustersoftware verbunden. Diese Verbindungen ermöglichen den Einsatz von Problemlösungsfunktionen wie Lastenausgleich und Failover, die bei Einzelcomputern nicht zur Verfügung stehen. Der Lastenausgleich verteilt die Serverlast auf alle konfigurierten Server und verhindert damit die Überlastung eines einzelnen Servers. Für Sie bedeutet dies wiederum, dass Sie die Kapazitäten schrittweise erhöhen und an gestiegene Anforderungen anpassen können. Failover stellt Benutzern unterbrechungsfreie Dienste zur Verfügung, indem die Ressourcen eines ausgefallenen oder nicht betriebsbereiten Clusterservers automatisch auf einen funktionierenden Server übertragen werden. Insofern ist für Clusterbenutzer der permanente Zugriff auf die Ressourcen sichergestellt. Windows Clustering stellt gegenwärtig die folgenden beiden Clustertechnologien zur Verfügung:
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
607
Netzwerklastenausgleich Netzwerklastenausgleich stellt Skalierbarkeit und hohe Verfügbarkeit von TCP/IP-basierten Anwendungen und Diensten sicher, indem bis zu 32 Server, auf denen Windows 2000 Advanced Server ausgeführt wird, in einem gleichmäßig ausgelasteten Cluster zusammengefasst werden. Üblicherweise kommt der Netzwerklastenausgleich bei der Verteilung eingehender Webanforderungen auf einem Cluster von Internetserveranwendungen (z. B. IIS-Anwendungen) zum Einsatz. Clusterdienst Unter Advanced Server stellt der Clusterdienst durch die Kombination von zwei Servern, die als Servercluster zusammenarbeiten, die Verfügbarkeit missionskritischer Anwendungen und Ressourcen für Clients sicher. Servercluster ermöglichen Benutzern und Administratoren den Zugriff auf bestimmte Ressourcen der Server oder Knoten, wobei diese nicht als verschiedene Computer, sondern als Einzelsystem wahrgenommen werden. Ein wichtiger Schritt beim Planen und Einrichten hoher Verfügbarkeit von Anwendungen und Diensten ist die Definition bewährter Methoden für Ihre Organisation. Microsoft hat eine Reihe von Leitfäden entwickelt, die bewährte Methoden für hohe Verfügbarkeit vorstellen. Weitere Informationen zu diesen Leitfäden finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft TechNet High Availability“ klicken.
Festlegen von Verfügbarkeitsstrategien Nachdem Sie sich einen Überblick über die Fähigkeiten von Windows Clustering verschafft haben, können Sie die Planungsphase der Clustereinrichtung in Angriff nehmen, um für Benutzer in Ihrer Organisation hohe Verfügbarkeit von missionskritischen Anwendungen und Diensten sicherzustellen.
Zusammenstellen des Clusterplanungsteams Teamwork ist bei der Festlegung der Anforderungen für Clustering von großer Bedeutung. Bei der Planung der Clusterstrategie müssen Netzwerkadministratoren ebenso einbezogen werden wie Administratoren, die für die folgenden Anwendungen und Dienste zuständig sind: ? Microsoft® SQL Server ™ oder andere Datenbanken ? Microsoft® Exchange Server oder eine andere Groupwareanwendung ®
? Microsoft Internet-Informationsdienste (IIS) oder ein anderer Webdienst ? Windows 2000 Terminaldienste ? WINS (Windows Internet Name Service) ? DHCP (Dynamic Host Configuration Protocol) ? Intern entwickelte Unternehmensanwendungen ? Anwendungen von Fremdanbietern ? Datei- und Druckerfreigaben
In den meisten Organisationen ist hohe Verfügbarkeit dieser Anwendungen und Dienste für die Benutzer unabdingbar.
608
Teil V Erweiterte Verwaltung
Der Kern des Clusterplanungsteams muss den spezifischen Bedarf aller genannten kritischen Anwendungen und Dienste hinsichtlich hoher Verfügbarkeit identifizieren. Die im Team zusammengetragenen Informationen über die Nutzung der Anwendungen, Dienste und Netzwerkinfrastruktur sollten teure Fehlinvestitionen praktisch ausschließen. Nachdem Sie Ihre Clusterstrategie festgelegt haben, sollten Sie zusammen mit Ihrem Planungsteam den Personalbedarf für die Clusterkonfiguration in Ihrem Unternehmen bestimmen. Ressourcen und Anwendungen, die in einem Cluster betrieben werden, stellen möglicherweise andere administrative Anforderungen als dieselben Ressourcen auf einem Einzelserver. Stellen Sie das Ausmaß dieser Unterschiede fest, und schulen Sie Ihr Personal entsprechend. Stellen Sie außerdem sicher, dass Ihre Mitarbeiter über die Anforderungen hoher Verfügbarkeit Bescheid wissen und sich bewusst sind, dass ihre Aktionen unter Umständen negative Auswirkungen auf die Systemverfügbarkeit haben können. Ein Administrator, der z. B. eine neue Ressource zu einer Gruppe hinzufügt, die bereits Hunderte anderer Ressourcen enthält, könnte den Ausfall der gesamten Gruppe (und damit der enthaltenen Ressourcen) provozieren, wenn er die neue Ressource falsch konfiguriert.
Ermitteln des Bedarfs für hohe Verfügbarkeit von Anwendungen und Diensten Um den spezifischen Bedarf an hoher Verfügbarkeit für missionskritische Anwendungen und Dienste in Ihrer Organisation zu ermitteln, müssen Sie die folgenden Aspekte berücksichtigen: ? Grundsätzliche Merkmale der Anwendung oder des Dienstes, z. B.: ? Verwendete Software. ? Besondere Hardwareanforderungen. (Weitere Informationen finden Sie
unter „Festlegen der Hardwarekompatibilität für erweiterte Funktionen“ weiter unten in diesem Kapitel.) ? Datenvolumen. ? Anzahl der Benutzer. ? Betriebszeiten. ? Zu erwartende Änderungen bei Größen- und Leistungsanforderungen, z. B: ? Saisonale oder andere eingeplante Spitzenbelastung. ? Erwartete Zunahme bei der Anzahl der Benutzer. ? Erwartete Zunahme beim Datenvolumen. ? Hardwareanforderungen bei der Ersteinrichtung, während der
Spitzenbelastungszeiten und innerhalb des Planungshorizonts des Projekts. Ermitteln Sie diese Daten, indem Sie die charakteristischen Eigenschaften der Anwendungen und Dienste zugrunde legen, und passen Sie den Entwurf entsprechend an. ? Pläne zur Datensicherung und Notfallwiederherstellung für Anwendungen,
Dienste und Betriebssysteme.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
609
? Maximale Ausfalltoleranz (maximale Ausfallzeit eines Programms oder
Dienstes, die für das System oder die Benutzer noch akzeptabel ist). Dies ist ein wichtiger Punkt, da die Beseitigung aller Ausfallmöglichkeiten sehr teuer werden kann. Bei vielen Anwendungen und Diensten sind gelegentliche kurze Ausfälle wahrscheinlich eine akzeptable Alternative zu größeren Investitionen in hohe Verfügbarkeit. ? Auswirkungen von Ausfallzeiten. Führen Sie eine qualitative Analyse der
Auswirkungen von Anwendungs- oder Dienstausfällen auf Ihre Organisation durch. Dazu gehören beispielsweise entgangene Umsätze, Produktivitätseinbußen und abnehmende Kundenzufriedenheit. ? Messbare Kosten von Ausfallzeiten. Führen Sie eine quantitative Analyse der
Kosten für Anwendungs- oder Dienstausfallzeiten durch, die die definierte maximale Ausfalltoleranz überschreiten. ? Identifizieren Sie alle möglichen Einzelpunktversagen in der geplanten Konfiguration. ? Stellen Sie den Personalbedarf fest. ? Aktuelle Verfügbarkeit. Wenn Sie keine aktuellen Zahlen vorliegen haben, sollten Sie sofort anfangen, die betreffenden Daten zu sammeln. Unter Windows NT 4.0 (SP4) können Sie die Betriebszeit des Systems mit dem in Microsoft Windows NT Server Version 4.0 – Die technische Referenz enthaltenen Programm Uptime.exe berechnen. Uptime.exe berechnet die Zahlen auf der Grundlage der im Ereignisprotokoll gespeicherten Ereignisse. Zu diesem Zweck müssen Sie das Ereignisprotokoll aktivieren. Uptime.exe ist auch in Microsoft Windows 2000 – Die technische Referenz enthalten. Einzelpunktversagen bezieht sich auf eine Systemkomponente, deren Ausfall Daten oder Anwendungen blockiert. Tabelle 18.1 listet mögliche Fehlerquellen in einer Serverumgebung auf und gibt Hinweise, ob Sie sich durch den Einsatz einer Technik, die auf Microsoft Clustering beruht, oder durch Lösungen von Fremdanbietern vor einem solchen Einzelpunktversagen schützen können. Tabelle 18.1 Typische Fehlerquellen Fehlerquelle
Clusteringlösung
Andere Lösungen
Netzwerkhub Netzwerkrouter Stromausfall
N/V N/V N/V
Redundante Netzwerke OSPF – Unterbrechungsfreie Stromversorgung (USV) – Generator –
Serververbindung Datenträger
Failover Failover
Mehrere Stromversorgungsleitungen
N/V Hardware- oder Software-RAID, um dem Verlust von Daten auf einem bestimmten Computer vorzubeugen und den unterbrechungsfreien Betrieb sicherzustellen.
610
Teil V Erweiterte Verwaltung Andere Serverhardware wie Prozessor oder Speicher
Failover
Ersatzteile wie Hauptplatinen und SCSI-Controller (alle Ersatzkomponenten müssen exakt mit den Originalteilen übereinstimmen; dies gilt auch für Netzwerk- und SCSI-Komponenten).
Fehlerquelle
Clusteringlösung
Andere Lösungen
Serversoftware wie das Betriebssystem oder spezielle Anwendungen WAN-Verbindungen wie Router und Standleitungen DFÜ-Verbindung
Failover
N/V
N/V
Redundante Leitungen, die sekundäre Zugänge zu Remoteverbindungen ermöglichen Mehrere Modems und Routingund RAS-Zugänge
(Fortsetzung)
N/V
Festlegen der Hardwarekompatibilität für erweiterte Funktionen Prüfen Sie nach, ob die gegenwärtig installierten oder zum Kauf vorgesehenen Computersysteme und Adapter in der Hardwarekompatibilitätsliste (HCL) von Microsoft aufgeführt sind. Die unterstützte, in der HCL aufgeführte Hardware finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. Wenn Sie Computersysteme mit erweiterter Funktionalität, beispielsweise Clustering oder sehr großer Arbeitsspeicherkapazität einsetzen möchten, müssen Sie zusätzliche Anforderungen berücksichtigen. Setzen Sie beispielsweise Computersysteme mit mehr als 4 GB RAM ein, müssen Sie die PAE-Option in der Boot.ini aktivieren, um die Verwendung des PAESpeichers zu ermöglichen. Sie können diese Änderung durchführen, nachdem Sie sichergestellt haben, dass alle Komponenten unterstützt werden. Ist diese Voraussetzung nicht erfüllt, müssen Sie zuerst Systemkompatibilität herstellen, um mögliche Probleme von vornherein auszuschließen. Wird das System, das mit neuen Adaptern und Treibern ausgerüstet werden soll, bereits in einer Produktionsumgebung eingesetzt, führen Sie unbedingt eine vollständige Systemsicherung durch, bevor Sie irgendwelche Änderungen vornehmen. Hinweis Modifikationen der Registrierung und bestimmte Änderungen an der Datei Boot.ini könnten sich negativ auf die korrekte Funktionsweise und die Stabilität des Systems auswirken. Derlei Auswirkungen lassen sich vermeiden, wenn Sie den Computer unter Verwendung der F8-Taste starten und so die Ausführung vieler Optionen und Treiber umgehen. Auf diese Weise können Sie bei Bedarf Änderungen an der Datei Boot.ini oder in anderen Bereichen durchführen, um die Funktionstüchtigkeit wiederherzustellen.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
611
Festlegen der Clusteranforderungen Nachdem Sie die spezifischen Anforderungen für missionskritische Anwendungen und Dienste festgelegt, mögliche Einzelpunktversagen identifiziert und die Windows 2000-Kompatibilität Ihrer Hardware ermittelt haben, müssen Sie feststellen, welche Clustertechnologie den Anforderungen Ihres Unternehmens am besten entspricht. Überprüfen Sie vor der Planung der Cluster die Anforderungen, um den geeigneten Clustertyp zu ermitteln.
Planen des Netzwerklastenausgleichs Beim Netzwerklastenausgleich wird eine Gruppe von Computern, auf denen Serverprogramme über das TCP/IP-Netzwerkprotokoll ausgeführt werden, zu einem Cluster verbunden. Der Lastenausgleichsdienst verbessert die Verfügbarkeit und Skalierbarkeit von Webservern, FTP-Servern, Windows Media-Servern, VPN-Servern und anderen missionskritischen Programmen. Die erweiterte Funktionalität wird durch einen Cluster von zwei oder mehreren miteinander kooperierenden Hostcomputern (Server, die Mitglieder des Clusters sind) erreicht. Ein einzelner Computer, der Windows 2000 Advanced Server ausführt, bietet ein begrenztes Maß an Serverzuverlässigkeit und skalierbarer Leistung. Indem jedoch die Ressourcen von zwei oder mehreren Computern unter Windows 2000 Advanced Server in einem Cluster kombiniert werden, kann der Netzwerklastenausgleich die Verfügbarkeit garantieren, die Webserver und andere kritische Programme bei optimalem Leistungsverhalten benötigen. Abbildung 18.2 stellt einen Netzwerklastenausgleich-Cluster mit vier Hosts dar.
Abbildung 18.2 Vier Hosts bilden einen Netzwerklastenausgleich-Cluster
Auf jedem Host wird eine Kopie des gewünschten Serverprogramms, z. B. Webserver, FTP, Telnet oder Messaging, ausgeführt. Bei einigen Diensten, beispielsweise beim Webserver, wird eine Kopie des Programms auf allen Hosts innerhalb des Clusters ausgeführt, und der Netzwerklastenausgleich verteilt die Arbeitslast auf diese Server. Bei anderen Diensten, beispielsweise beim Messaging, bewältigt eine einzige Kopie des Dienstes die Arbeitslast innerhalb des Clusters. Anstatt die Last dieser Dienste gleichmäßig zu verteilen, lässt der Netzwerklastenausgleich zu, dass der Netzwerkverkehr über einen einzigen Host abgewickelt wird; lediglich bei einem Serverausfall wird der Datenverkehr an einen anderen Host übergeben. Netzwerklastenausgleich sieht vor, dass alle Computer im Cluster unter denselben, gemeinsamen Cluster-IP-Adressen erreichbar sind, während sie gleichzeitig ihre vorhandene, dedizierte IP-Adresse beibehalten. Der Netzwerklastenausgleich verteilt eingehende Clientanforderungen als TCP/IP-Verkehr, einschließlich TCPVerbindungen und UDP-Datenströmen, auf die Hosts.
612
Teil V Erweiterte Verwaltung
Zur Skalierung der Serverleistung verteilt der Netzwerklastenausgleich die Last der eingehenden TCP/IP-Verbindungen auf alle Hosts im Cluster. Sie können die Größe der Arbeitslast der einzelnen Hosts bei Bedarf anpassen. Darüber hinaus können Sie Cluster durch Hinzufügen weiterer Hosts dynamisch an wachsende Anforderungen anpassen. Der Netzwerklastenausgleich kann außerdem den gesamten TCP/UDP-Verkehr (der nicht für Lastenausgleich konfiguriert wurde) an einen einzelnen, designierten Host übergeben, der als „Standardhost“ bezeichnet wird. Der Vorteil dieser Vorgehensweise liegt auf der Hand, da alle Dienste, die nicht ausdrücklich für den Lastenausgleich konfiguriert wurden, auf einem einzigen Host ausgeführt werden können. Der Netzwerklastenausgleich regelt den TCP/IP-Verkehr, um hohe Verfügbarkeit von Serverprogrammen zu gewährleisten. Wenn ein Host ausfällt oder offline geschaltet wird, konfiguriert der Netzwerklastenausgleich den Cluster automatisch neu, damit Clientanforderungen an die verbleibenden Computer umgeleitet werden. Bei Programmen, die mit Lastenausgleich betrieben werden, wird die Last automatisch auf die verbleibenden, betriebsbereiten Computer neu verteilt. Bei Programmen, die auf einem einzigen Server ausgeführt werden, wird der Verkehr auf einen bestimmten Host umgeleitet. Die Verbindungen zu dem ausgefallenen oder offline geschalteten Server gehen verloren. Nachdem die notwendigen Wartungsarbeiten abgeschlossen sind, kann der Offlinecomputer dem Cluster wieder zugeordnet werden und seinen Anteil an der Arbeitslast übernehmen. Dieser Vorgang vollzieht sich transparent. Der Netzwerklastenausgleich kann Anwendungsfehler nicht erkennen. Er ist vielmehr auf die Kontrolle durch Überwachungsprogramme angewiesen, die die korrekte Ausführung der betreffenden Programme überprüfen und sicherstellen. Stellt ein Überwachungsprogramm beispielsweise fest, dass der überwachte Dienst nicht ordnungsgemäß arbeitet, kann es den Lastenausgleich anweisen, den betreffenden Host aus dem Cluster zu entfernen, bis das Problem behoben ist. Der Netzwerklastenausgleich kann jedoch feststellen, ob ein Clusterhost ordnungsgemäß heruntergefahren wurde oder aus anderen Gründen nicht betriebsbereit ist bzw. ob ein Netzwerkadapter ausgefallen ist. Der Netzwerklastenausgleich sollte dann zum Einsatz kommen, wenn Sie in Ihrer Organisation einen TCP/IP-Dienst (z. B. einen Webserver) betreiben, der seine Leistung an steigende Clientanforderungen anpassen und ohne Unterbrechung zur Verfügung stehen muss. Der Bedarf an E-Commerce-Lösungen im Internet steigt beispielsweise explosionsartig an, und Ausfälle dieser Sites sind für Kunden nicht akzeptabel. Traditionelle Methoden zur Skalierung dieser Dienste, etwa der Einsatz von Round Robin-DNS allein, können die mit Netzwerklastenausgleich erzielbare hohe Verfügbarkeit nicht bieten. Round Robin-DNS stellt eine Lösung dar, die begrenzten TCP/IP-Lastenausgleich bei Webservern ermöglicht.
Planungsprozess für Netzwerklastenausgleich-Cluster In diesem Abschnitt werden Richtlinien vorgestellt, die Sie bei der Planung der Netzwerklastenausgleich-Cluster in Ihrer Organisation berücksichtigen müssen. Verwenden Sie bei Ihrem Planungsprozess gegebenenfalls die in Abbildung 18.3 aufgeführten Einzelschritte.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
Abbildung 18.3
613
Planungsprozess für Netzwerklastenausgleich-Cluster
Festlegen der Anwendungen für den Netzwerklastenausgleich Viele Anwendungen arbeiten mit dem Netzwerklastenausgleich zusammen. Anhand der Erläuterungen in diesem Abschnitt können Sie feststellen, welche Anwendungen geeignet sind. Im Allgemeinen kann der Netzwerklastenausgleich alle Anwendungen und Dienste skalieren, die TCP/IP als Netzwerkprotokoll verwenden und mit einem bestimmten TCP- oder UDP-Port verknüpft sind. Der Netzwerklastenausgleich verwendet „Portregeln“, die beschreiben, welcher Datenverkehr lastgerecht verteilt werden soll und welcher zu ignorieren ist. Standardmäßig werden alle Ports für Netzwerklastenausgleich konfiguriert. Sie können die Konfiguration einzelner Ports ändern, um zu definieren, wie der eingehende Netzwerkverkehr verteilt werden soll. Um das Standardverhalten zu ändern, erstellen Sie Portregeln, die Gültigkeit für bestimmte Portbereiche besitzen. Im Folgenden sind einige Beispiele von Diensten mit den zugehörigen Ports aufgelistet: ? HTTP über TCP/IP: Webserver, beispielsweise Microsoft Internet-
Informationsdienste (IIS): Port 80. ? HTTPS über TCP/IP: HTTP über SSL (Secure Sockets Layer) zur Verschlüsselung des Webverkehrs: Port 443. ? FTP über TCP/IP: FTP: Port 21, Port 20 und die Ports 1024-65535. ? TFTP über TCP/IP: TFTP-Server (TFTP – Trivial File Transfer Protocol), die
von Anwendungen wie BOOTP (Bootstrap Protocol) genutzt werden: Port 69.
614
Teil V Erweiterte Verwaltung ? SMTP über TCP/IP: SMTP (Simple Mail Transport Protocol) wird von
Anwendungen wie Microsoft Exchange verwendet: Port 25. ? Microsoft Terminaldienste: Port 3389.
Lastgerechte Verteilung einer Anwendung oder eines Dienstes setzt voraus, dass mehrere Instanzen (mehrere Kopien eines Programms) gleichzeitig, d. h. je eine pro Clusterhost, ausgeführt werden können. Eine Anwendung darf beispielsweise keine Dateien aktualisieren, die reihum mit Aktualisierungen anderer Instanzen synchronisiert werden müssen, sofern sie nicht explizit über ein entsprechendes Verfahren verfügt. Zur Vermeidung dieses Problems können Sie einen BackendDatenbankserver einsetzen, der synchronisierte Aktualisierungen mit Informationen über den Freigabestatus versieht. Darüber hinaus wird der Netzwerklastenausgleich typischerweise in den folgenden Situationen eingesetzt: ? VPN-Server
Ein VPN-Server dient zur Erweiterung eines privaten Netzwerks, das Verbindungen zu gemeinsamen oder öffentlichen Netzwerken wie dem Internet einbezieht. ? Windows Media Server Software (z. B. Microsoft Media-Technologien), die Multimediaunterstützung bietet und die Übertragung von Inhalten im ASF-Format (Advanced Streaming Format) über ein Intranet oder das Internet ermöglicht. Netzwerklastenausgleich stellt eine gute Wahl für VPN-Server und Windows Media-Server dar, wenn Sie festgestellt haben, dass Ihre Organisation vom Lastenausgleich bei PPTP- oder Media-Übertragungen profitieren würde. Hinweis Bevor Sie die lastgerechte Verteilung einer Anwendung in einem Netzwerklastenausgleich-Cluster einsetzen, überprüfen Sie Ihre Anwendungslizenz oder wenden Sie sich an den Hersteller. Jeder Softwareanbieter sieht eigene Lizenzbestimmungen für die Ausführung von Anwendungen in einer Clusterumgebung vor. Wenn Sie den Netzwerklastenausgleich mit VPN-Servern zur lastgerechten Verteilung von PPTP-Clients einsetzen, achten Sie darauf, die TCP/IP-Eigenschaften korrekt zu konfigurieren, damit die Kompatibilität mit Clients gewahrt bleibt, die frühere Versionen von Windows einsetzen (z. B. Windows 98 und Windows NT 4.0). Zu diesem Zweck weisen Sie dem Netzwerkadapter, der vom Netzwerklastenausgleich verwendet wird, eine einzige virtuelle IP-Adresse zu; vergeben Sie keine dedizierte IP-Adresse in diesem Subnetz. Diese Einschränkung gilt nicht für Windows 2000-Clients. Weitere Informationen zur Konfiguration des Netzwerklastenausgleichs für VPNs und andere Anwendungen finden Sie unter „Windows Clustering“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
615
Netzwerklastenausgleich zur Einrichtung von Terminaldiensteclustern Sind die Windows 2000 Terminaldienste im Anwendungsservermodus konfiguriert, stehen Funktionen zur zentralisierten Einrichtung und Ausführung von Anwendungen für Remotebenutzer zur Verfügung. Sie können den Netzwerklastenausgleich verwenden, um eine umfangreiche Clientbasis auf eine Gruppe von Terminalservern aufzuteilen. Diese Vorgehensweise eignet sich für weitgehend statusfreie Terminalserveranwendungen, beispielsweise Anwendungen zur Dateneingabe in Vertriebs- und Lagerabteilungen. Wenn mobile Benutzer in der Lage sein müssen, die Verbindung zu einer vorhandenen Terminalsitzung wieder aufzunehmen, können Sie den Netzwerklastenausgleich nicht einsetzen und gleichzeitig vollkommene Mobilität garantieren. Da der Netzwerklastenausgleich Benutzer auf Basis der IP-Adresse an Clusterhosts weiterleitet, werden Benutzer, die Verbindung von unterschiedlichen Standorten aus aufnehmen, oder Benutzer, die DHCP verwenden und während laufender Sitzungen die Verbindung trennen, nicht notwendigerweise an denselben Computer weitergeleitet und können von daher eine unterbrochene Sitzung nicht wieder aufnehmen. Selbst in diesen Situationen ermöglicht der Netzwerklastenausgleich die Wiederherstellung der Verbindung zu unterbrochenen Sitzungen; verfügt der Benutzer über eine feste IP-Adresse, erfolgt die Weiterleitung über beständige Routen. Ist die Aufrechterhaltung unterbrochener Sitzungen nicht erforderlich, können Sie den Netzwerklastenausgleich für jede beliebige Terminalserveranwendung einsetzen. Wenn Sie den Netzwerklastenausgleich verwenden, empfiehlt es sich, alle Terminalserver so zu konfigurieren, dass getrennte Sitzungen nach einer moderaten Zeitüberschreitung, z. B. nach 30 Minuten, beendet werden. Diese Konfiguration ermöglicht die Wiederaufnahme unterbrochener Sitzungen und sorgt gleichzeitig dafür, dass getrennte Sitzungen nicht über längere Zeiträume aufrechterhalten werden. Beständige Sitzungen können zum Problem werden, wenn ein Benutzer zu anderen Computern weitergeleitet wird, weil diese die Verbindung nicht wieder aufnehmen. Offene Sitzungen eines Benutzers auf mehreren Computern verbrauchen Ressourcen; schlimmstenfalls kann ein Benutzer ausgesperrt werden, weil die benötigten Ressourcen an anderer Stelle genutzt werden. Wenn Sie einen Terminaldienstecluster unter Verwendung des Netzwerklastenausgleichs einrichten, muss jeder Server imstande sein, alle Benutzer zu bedienen. Um diese Voraussetzung zu erfüllen, müssen Sie Benutzer- und Systeminformationen sowie gemeinsame Daten an einer zugänglichen Stelle speichern, beispielsweise auf einem Backend-Dateiserver. Abbildung 18.4 stellt eine Beispielimplementation von Netzwerklastenausgleich und Terminaldiensten dar.
616
Teil V Erweiterte Verwaltung
Abbildung 18.4 Netzwerklastenausgleich bei Terminalservern
Beachten Sie, dass in dieser Darstellung die unternehmensspezifische Datenbankanwendung und die Benutzerdaten auf separaten Servern gespeichert sind. Jeder einzelne dieser Server muss mittels einer Clusterlösung oder anderer geeigneter Maßnahmen als Server mit hoher Verfügbarkeit implementiert werden. Zudem wird mit dieser Implementation verbesserte Skalierung erzielt, indem die Arbeitslast so verteilt wird, dass mehrere Terminalserver der angestrebten Leistungsstufe gerecht werden. Weitere Informationen zu den Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in dieser Dokumentation.
Konfigurieren von Netzwerklastenausgleich-Clustern für Server mit IIS/ASP- und COM+-Anwendungen Eine Schlüsselkomponente für E-Commerce-Sites stellen Server dar, auf denen COM+-Anwendungen ausgeführt werden. In dem in Abbildung 18.5 gezeigten Beispiel verwaltet ein COM+-Server Objektanforderungen für den Warenkorb eines Onlinebuchhandels.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
617
Abbildung 18.5 Einrichten von COM+-Anwendungen auf denselben physikalischen Servern, auf denen auch IIS installiert ist
Um sicherzustellen, dass diese Objekte verfügbar sind, wenn sie benötigt werden, und um die Leistungsfähigkeit der Site insgesamt zu erhöhen, wird empfohlen, COM+ auf denselben physikalischen Servern einzurichten, auf denen auch IIS ausgeführt wird. Auf diese Weise können die Anwendungsserver von der höheren Skalierbarkeit und Verfügbarkeit profitieren, die aus dem vorhandenen Netzwerklastenausgleich-Cluster resultieren. Eine zusätzliche, separate Schicht dedizierter COM+-Server ist somit nicht erforderlich. Die Verwendung eines einzelnen physikalischen Netzwerklastenausgleich-Clusters, das gleichzeitig für IIS/ASP- und COM+-Dienste konfiguriert ist, weist gegenüber einer Lösung mit einer separaten physikalischen Schicht von Anwendungsservern den Vorteil reduzierter Hardware- und Verwaltungskosten auf, weil weniger Server benötigt werden.
Identifizieren von Netzwerkrisiken Bei der Ermittlung von Netzwerkrisiken identifizieren Sie die Komponenten, deren Ausfall den Zugriff auf Netzwerkressourcen möglicherweise verhindern könnte. Einzelpunktversagen können die Hardware, die Software oder von externen Ver-
618
Teil V Erweiterte Verwaltung
sorgungsunternehmen geleistete Dienste wie die Stromversorgung oder dedizierte WAN-Leitungen betreffen. Prinzipiell können Sie optimale Verfügbarkeit gewährleisten, wenn Sie die folgenden Aspekte berücksichtigen: ? Reduzieren Sie die möglichen Fehlerquellen für Einzelpunktversagen in Ihrer
Umgebung. ? Stellen Sie Mechanismen zur Aufrechterhaltung der Dienste bei eventuellen Ausfällen zur Verfügung. Bei Verwendung des Netzwerklastenausgleichs können Sie optimale Verfügbarkeit garantieren, indem Sie die folgenden Punkte beachten: ? Wenden Sie die Lastverteilung nur bei Anwendungen an, die für den
Netzwerklastenausgleich geeignet sind. ? Stellen Sie sicher, dass Anwendungsserver in Bezug auf die ausgeführten Anwendungen korrekt konfiguriert sind. Weitere Informationen zur korrekten Konfiguration finden Sie unter „Festlegen der Kapazitätsanforderungen für Server“ später in diesem Kapitel. Grundsätzliches Ziel des Netzwerklastenausgleichs ist die Sicherstellung optimaler Verfügbarkeit. Ein Cluster aus zwei oder mehreren Computern garantiert, dass bei Ausfall eines Computers ein anderer Computer bereitsteht, der die Bearbeitung der Clientanforderungen übernimmt. Es ist jedoch nicht Aufgabe des Netzwerklastenausgleichs, jeden Einzelaspekt von Arbeitsläufen unter allen Umständen vor negativen Einwirkungen zu schützen. So stellt der Netzwerklastenausgleich keine Alternative zur Datensicherung dar; er schützt lediglich den Zugriff auf die Daten, nicht die Daten selbst. Er bietet auch keinerlei Schutz vor Stromausfällen, die unter Umständen den gesamten Cluster deaktivieren. Windows 2000 Advanced Server stellt integrierte Funktionen zur Verfügung, die bestimmte Computer- und Netzwerkprozesse vor den Auswirkungen eines Ausfalls schützen. Zu diesen Funktionen gehören RAID 1 (Festplattenspiegelung) und RAID 5 (Festplattenstriping mit Parität). (RAID steht für Redundant Array of Independent Disks.) Ermitteln Sie bei der Planung der NetzwerklastenausgleichUmgebung auch die Bereiche, wo diese Funktionen Lösungen zur Verfügung stellen, die der Netzwerklastenausgleich nicht bietet.
Planen des Netzwerklastenausgleichs Dieser Abschnitt gibt Anhaltspunkte zur Ermittlung der benötigten Anzahl von Servern für den Netzwerklastenausgleich und der korrekten Konfiguration. Die Clustergröße, d. h. die Anzahl der Clusterhosts, aus denen sich der Cluster zusammensetzt (bis zu 32 bei Windows Clustering), basiert auf der Anzahl der Computer, die zur Bewältigung der erwarteten Clientlast einer gegebenen Anwendung benötigt werden. Wenn Sie z. B. feststellen, dass Sie sechs Computer für IIS benötigen, um die projizierten Clientanforderungen an die Webdienste zu bewältigen, besteht Ihr Cluster aus sechs Clusterhosts, und auf allen Hosts wird der Netzwerklastenausgleich ausgeführt.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
619
Eine allgemeine Faustregel besagt: Fügen Sie so viele Server hinzu, bis der Cluster die Clientlast problemlos bewältigt, ohne dass es zu einer Überlastung kommt. Die maximale Clustergröße ist durch die Netzwerkkapazität des gegebenen Subnetzes bestimmt. Die exakte Anzahl hängt von der Natur der Anwendung ab. Hinweis Stellen Sie sicher, dass Sie jederzeit über genügend Reserven an Serverkapazität verfügen und bei Ausfall eines Servers die um dessen Anteil erhöhte Last problemlos auf die übrigen Server verteilen können. Nähert sich das Clustersubnetz langsam der Belastungsgrenze des Netzwerks, fügen Sie einen zusätzlichen Cluster in einem anderen Subnetz hinzu. Verwenden Sie Round Robin-DNS, um Clients an die Cluster weiterzuleiten. Bei wachsenden Netzwerkanforderungen können Sie weitere Cluster nach diesem Muster hinzufügen. Da Round Robin-DNS nur Cluster-IP-Adressen enthält, werden Clients immer an Cluster und nicht an individuelle Server weitergeleitet; auf diese Weise können Clients bei einem Serverausfall nicht in Mitleidenschaft gezogen werden. Bei Konfigurationen, die hohe Bandbreiten benötigen, können Sie Round RobinDNS einsetzen, um den eingehenden Datenverkehr auf mehrere, identische Netzwerklastenausgleich-Cluster zu verteilen. In Abbildung 18.6 ermittelt die IPAnforderung DNS (www.reskit.com), womit die virtuelle IP-Adresse des Netzwerklastenausgleich-Clusters 1 (10.0.0.1) aufgelöst und die Anforderung an diesen Netzwerklastenausgleich-Cluster übergeben wird. Die folgenden Anforderungen werden an Cluster 2 (10.0.0.2) und Cluster 3 (10.0.0.3) gesendet und dann im Round-Robin-Verfahren weitergeleitet.
Abbildung 18.6 Round Robin-DNS bei identischen NetzwerklastenausgleichClustern
620
Teil V Erweiterte Verwaltung
Hinweis Wenn Sie Switches in Ihrem Netzwerk einsetzen und zwei oder mehrere Cluster einrichten, sollten Sie die Cluster individuellen Switches zuordnen, damit der eingehende Datenverkehr separat abgewickelt wird. Ein Switch wird verwendet, um Clusterhosts an einen Router oder eine andere Quelle eingehenden Netzwerkverkehrs anzuschließen. Als wichtiger Punkt bleibt noch zu erwähnen, dass in Umgebungen mit mehreren Clustern Switches zum Trennen des eingehenden Verkehrs verwendet werden können.
Festlegen der Kapazitätsanforderungen für Server Nachdem Sie die Clustergröße definiert haben, können Sie mit der Konfiguration der einzelnen Clusterhosts fortfahren. Im Allgemeinen sollten Sie diese Festlegung auf Basis der Anwendungen treffen, die Sie mit Lastenausgleich betreiben möchten, und der Clientanforderungen, die voraussichtlich an diese Anwendungen gestellt werden. Einige Serveranwendungen, beispielsweise Datei- und Druckserver, sind durch extrem viele Festplattenzugriffe gekennzeichnet und erfordern sehr große Festplattenkapazitäten und schnelle Ein-/Ausgabe (E/A). Ziehen Sie die Produktdokumentation aller zum Einsatz kommenden Anwendungen heran, bevor Sie die Konfiguration der Clusterserver festlegen. Während es durchaus möglich ist, zwei oder drei sehr leistungsfähige Server anstelle einer größeren Anzahl von weniger leistungsfähigen Computern einzusetzen, ist eine Konfiguration mit einer größeren Anzahl von Servern in der Regel vorzuziehen. Bei einer größeren Serveranzahl lässt sich die Clientlast besser verteilen, so dass bei Ausfall eines Servers die Auswirkungen auf die Clients weniger gravierend sind.
Optimieren von Netzwerklastenausgleich-Clustern Es gibt verschiedene Möglichkeiten der Hard- und Softwarekonfiguration, mit denen Sie die Clusterleistung in Bezug auf den Netzwerklastenausgleich verbessern können. Diese Alternativen werden in den folgenden Abschnitten erläutert. Wenn die Clusterhosts direkt mit einem Switch verbunden sind, um Clientanforderungen zu empfangen, wird der eingehende Clientverkehr automatisch an alle Switchports gesendet. Bei den meisten Anwendungen stellt der eingehende Clientverkehr nur einen kleinen Teil des gesamten Clusterverkehrs dar. Sind jedoch andere Cluster oder Computer am selben Switch angeschlossen, beansprucht dieser Clusterverkehr einen Teil der Portbandbreite. Um dieses Problem zu umgehen, können Sie alle Clusterhosts an einen Hub oder einen Repeater anschließen, der über einen einzelnen Switchport weiterverbunden wird. In diesem Fall fließt der gesamte eingehende Clientverkehr vom Hub oder Repeater an den einzelnen Switchport und wird simultan an alle Clusterhosts weitergeleitet. Falls Clientverkehr von mehreren übergeordneten Switchports eingeht, können Sie für jeden Host, der an einen individuellen Switchport angeschlossen ist, einen zweiten dedizierten Netzwerkadapter hinzufügen. Die Verwendung zweier Netzwerkadapter pro Host im Clustersubnetz verbessert die Weiterleitung des über die Clusterhosts fließenden Netzwerkverkehrs. Der eingehende Clientverkehr fließt durch den Switch an alle Hosts, während der ausgehende Verkehr direkt an die Switchports weitergeleitet wird.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
621
Anforderungen des Netzwerklastenausgleichs Eine Anwendung kann unter den folgenden Bedingungen in einem Netzwerklastenausgleich-Cluster ausgeführt werden: ? Die Clientverbindungen sind für die Verwendung von IP konfiguriert. ? Die Anwendung verwendet TCP- oder UDP-Ports. ? Die Anwendung unterstützt die Ausführung mehrerer identischer Instanzen auf
verschiedenen Servern. Falls mehrere Instanzen einer Anwendung Daten gemeinsam nutzen, muss ein Verfahren zur Synchronisation der Aktualisierungen vorhanden sein. Der Netzwerklastenausgleich ist als Standardnetzwerk-Gerätetreiber für Windows 2000 Advanced Server konzipiert. Da der Netzwerklastenausgleich Clusteringunterstützung für TCP/IP-basierte Serverprogramme zur Verfügung stellt, muss TCP/IP installiert sein, damit die Funktionalität des Netzwerklastenausgleichs genutzt werden kann. Die aktuelle Version des Netzwerklastenausgleichs kann in lokalen Netzwerken mit FDDI- oder Ethernetverbindungen (FDDI – Fiber Distributed Data Interface) eingesetzt werden. Sie wurde in Ethernetnetzwerken unterschiedlicher Übertragungsgeschwindigkeiten (10 Mbps, 100 Mbps und Gigabit-Ethernet) und mit einer Reihe verschiedener Netzwerkadapter erfolgreich getestet. Der Netzwerklastenausgleich benötigt weniger als ein 1 MB Speicherplatz und verwendet in der Standardeinstellung je nach Netzwerklast zwischen 250 KB und 4 MB Arbeitsspeicher. Sie können die Standardparameter ändern, wenn Sie mehr Arbeitsspeicher – bis zu 15 MB – zur Verfügung stellen möchten. In der Regel liegt die Speichernutzung zwischen 500 KB und 1 MB. Um eine optimale Clusterleistung zu erzielen, planen Sie einen zweiten Netzwerkadapter für jeden am Netzwerklastenausgleich beteiligten Host ein; dieser ist für den Netzwerkverkehr zuständig, der an den Server als individuellen Computer im Netzwerk gerichtet ist. In dieser Konfiguration wickelt der erste Netzwerkadapter – mit aktiviertem Netzwerklastenausgleich – den Client/Cluster-Netzwerkverkehr ab, der an den Server in seiner Eigenschaft als Clustermitglied gerichtet ist. Der zweite Netzwerkadapter ist zwar nicht unbedingt erforderlich, verbessert aber die Gesamtleistung des Netzwerks, beispielsweise bei Zugriffen auf eine Backend-Datenbank. Wird der Netzwerklastenausgleich im Unicastmodus (Standardeinstellung) aktiviert, ist der in diesem Fall zwingend erforderliche zweite Netzwerkadapter für die Kommunikation der Clusterserver untereinander zuständig, beispielsweise für die Replikation von Dateien zwischen Servern. Weitere Informationen zu Systemvoraussetzungen, Cluster- und Hostparametern finden Sie unter „Windows Clustering“ im Band Verteilte Systeme.
622
Teil V Erweiterte Verwaltung
Einsatz von Routern Der Netzwerklastenausgleich kann in zwei verschiedenen Modi betrieben werden: Unicast und Multicast. Bei (standardmäßig) aktiviertem Unicastmodus ist die korrekte Funktionsweise mit allen Routern gewährleistet. Sie können jedoch zur Multicasteinstellung wechseln, wenn Sie keinen zweiten Netzwerkadapter für die Kommunikation innerhalb des Clusters einsetzen möchten. Wenn Netzwerklastenausgleich-Clients über einen Router auf einen Cluster (der für Multicastmodus konfiguriert wurde) zugreifen, vergewissern Sie sich, dass der Router eine ARPRückmeldung an die (Unicast-)IP-Adressen des Clusters mit einer Multicast-MACAdresse in der Nutzlast der ARP-Struktur akzeptiert. ARP (Address Resolution Protocol) ist ein TCP/IP-Protokoll, das zur Auflösung logisch zugewiesener IPAdressen begrenzte Broadcastnachrichten im lokalen Netzwerk versendet. Auf diese Weise kann der Router die primäre IP-Adresse des Clusters und andere mehrfach vernetzte Adressen der entsprechenden MAC-Adresse zuordnen. Falls der Router diese Anforderung nicht erfüllt, können Sie einen statischen ARPEintrag für den Router erstellen oder den Netzwerklastenausgleich im StandardUnicastmodus betreiben. Einige Router setzen einen statischen ARP-Eintrag voraus, da sie die Auflösung von Unicast-IP-Adressen in MAC-Adressen nicht unterstützen.
Planen des Clusterdienstes Der Clusterdienst von Windows 2000 Advanced Server stellt das Fundament für Servercluster zur Verfügung. Wenn ein Server im Cluster ausfällt oder abgeschaltet wird, übernimmt ein anderer Server im Cluster die Aufgaben des ausgefallenen Servers. Für Clients, die auf Serverressourcen zugreifen, ist diese Unterbrechung kaum oder gar nicht wahrnehmbar, da die Ressourcenunterstützung von einem Server auf einen anderen verlagert wird. Bei Serverclustern verwaltet der Clusterdienst alle clusterspezifischen Aktivitäten. Auf jedem Knoten des Clusters wird eine Instanz des Clusterdienstes ausgeführt. Im Einzelnen nimmt der Clusterdienst die folgenden Aufgaben wahr: ? Verwaltet die Clusterobjekte, Clusterdatenträger und die Konfiguration. ? Koordiniert die anderen Instanzen des Clusterdienstes im Cluster. ? Führt Failover-Vorgänge durch. ? Verwaltet die Ereignisbenachrichtigung. ? Ermöglicht die Kommunikation anderer Softwarekomponenten.
Ob Ihre Organisation Servercluster benötigt, können Sie an den folgenden Faktoren erkennen: ? Benutzer müssen im Rahmen Ihrer Tätigkeiten regelmäßig auf geschäftskriti-
sche Daten und Anwendungen zugreifen. ? Geplante oder ungeplante Betriebsunterbrechungen von mehr als 30 Minuten sind nicht akzeptabel. ? Die Kosten eines Sicherungsservers liegen unter den Kosten, die bei einem Systemausfall aufgrund der Nichtverfügbarkeit von geschäftskritischen Daten und Anwendungen entstehen würden.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
623
Hinweis Der Begriff „Sicherungsserver“ bezieht sich im Allgemeinen auf einen Server, der erst bei Bedarf in Betrieb genommen wird. Diese Betrachtungsweise entspricht nicht dem primären Einsatzzweck eines Serverclusters, obwohl eine derartige Konfiguration durchaus möglich ist.
Planungsprozess für Servercluster In diesem Abschnitt werden Richtlinien vorgestellt, die Sie bei der Planung von Serverclustern in Ihrer Organisation berücksichtigen sollten. Verwenden Sie gegebenenfalls den in Abbildung 18.7 dargestellten Planungsprozess.
Abbildung 18.7
Planungsprozess für Servercluster
Auswählen der Anwendungen für Servercluster Sie können jede Anwendung auf einem beliebigen Server eines Clusters ausführen, aber nicht alle Anwendungen unterstützen Failover-Funktionen. Anwendungen, die Failover unterstützen, müssen nicht notwendigerweise als Clusterressourcen eingerichtet werden. Die Hinweise in diesem Abschnitt sollen diesbezügliche Entscheidungen erleichtern.
624
Teil V Erweiterte Verwaltung
Sie können die folgenden Kriterien zugrunde legen, um festzustellen, ob eine Anwendung Failover-Mechanismen beim Serverclustering unterstützt: ? Client- und Serveranwendungen müssen über TCP/IP (bzw. DCOM, Named
Pipes oder RPC über TCP/IP) kommunizieren, damit sie auf einem Servercluster ausgeführt werden können. Eine Anwendung, die lediglich über NetBEUI- (NetBIOS Enhanced User Interface) oder IPX-Protokolle (Internetwork Packet Exchange) kommuniziert, ist nicht imstande, clusterbasierte Failover-Verfahren zu nutzen. ? Die Anwendung muss angeben können, wo die Anwendungsdaten gespeichert sind. Jede Anwendung, die in einem Servercluster ausgeführt wird, muss imstande sein, die eigenen Daten in einer konfigurierbaren Umgebung zu speichern, d. h. auf Datenträgern, die an gemeinsam genutzte Datenträgerbusse angeschlossen sind. Einige der Anwendungen, die diese Voraussetzung nicht erfüllen, können dennoch für Failover-Mechanismen konfiguriert werden. Allerdings ist in diesem Fall der Zugriff auf die Anwendungsdaten nach einem Failover nicht mehr möglich, da die Daten lediglich auf dem Datenträger des ausgefallenen Knotens gespeichert sind. Durch Replikation der Daten zwischen den Clusterknoten lässt sich dieses Problem unter Umständen umgehen. ? Die Anwendung kann bei einem Ausfall neu gestartet werden. ? Die Anwendung kann auf allen Knoten im Cluster installiert werden. ? Clientanwendungen, die mit Serveranwendungen verbunden sind, müssen über
Funktionen zur Wiederherstellung nach temporären Netzwerkausfällen verfügen. Bei einem Failover sind die Clientanwendungen vorübergehend vom Netz getrennt. Wenn Sie die Clientanwendung so konfigurieren, dass Probleme im Zusammenhang mit einer temporär unterbrochenen Netzwerkverbindung behoben werden können, kann der Betrieb nach einem Serverfailover wieder aufgenommen werden. Anwendungen, die Failover unterstützen, lassen sich in zwei Gruppen unterteilen: Anwendungen, die die Cluster-API nutzen, und Anwendungen, die die Cluster-API nicht nutzen. Anwendungen, die die Cluster-API unterstützen, werden als „clustersensitiv“ bezeichnet. Diese Anwendungen registrieren sich beim Clusterdienst, um Statusinformationen und Benachrichtigungen zu erhalten, und können die ClusterAPI zur Verwaltung von Clustern verwenden. Anwendungen, die die Cluster-API nicht unterstützen, werden als „clusterinsensitiv“ bezeichnet. Wenn clusterinsensitive Anwendungen die Kriterien für TCP/IP und Remotespeicher erfüllen, können Sie sie dennoch in einem Cluster einsetzen und häufig auch für Failover-Mechanismen konfigurieren. In beiden Fällen sind Anwendungen, die signifikante Statusinformationen im Arbeitsspeicher aufbewahren, nicht sehr gut für Clustering geeignet, da Informationen, die nicht auf Datenträgern gespeichert sind, bei einem Failover verloren gehen. Das Ergebnis entspricht in etwa der Situation, die Sie nach dem Neustart eines Servers oder nach einem Stromausfall vorfinden.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
625
Identifizieren von Netzwerkrisiken Bei der Konfiguration eines Clusters sollten Sie die möglichen Punkte für Einzelpunktversagen identifizieren, die den Zugriff auf Ressourcen vorübergehend verhindern könnten. Einzelpunktversagen können die Hardware, die Software oder von externen Versorgungsunternehmen geleistete Dienste wie die Stromversorgung oder dedizierte WAN-Leitungen betreffen. Prinzipiell können Sie optimale Verfügbarkeit gewährleisten, wenn Sie die folgenden Aspekte berücksichtigen: ? Reduzieren Sie die möglichen Fehlerquellen für Einzelpunktversagen in Ihrer
Umgebung. ? Stellen Sie Mechanismen zur Aufrechterhaltung der Dienste bei eventuellen
Ausfällen zur Verfügung. Mit Windows 2000 Advanced Server können Sie Servercluster und neue Verwaltungsverfahren einsetzen, um höhere Verfügbarkeit zu erzielen. Servercluster sind allerdings nicht dafür vorgesehen, alle Komponenten Ihrer Arbeitsabläufe unter allen Umständen vor negativen Einwirkungen zu schützen. Cluster stellen beispielsweise keine Alternative zur Datensicherung dar; sie sichern lediglich die Verfügbarkeit der Daten, nicht aber die Daten selbst. Windows 2000 Advanced Server stellt integrierte Funktionen zur Verfügung, die bestimmte Computer- und Netzwerkprozesse vor den Auswirkungen eines Ausfalls schützen. Zu diesen Funktionen gehören Festplattenspiegelung (RAID 1) und Striping mit Parität (RAID 5). Ermitteln Sie bei der Clusterplanung auch die Bereiche, wo diese Funktionen Lösungen zur Verfügung stellen, die Servercluster nicht bieten. Hinweis Software-RAID, eine Funktion, die die Verwaltung logischer Datenträger in Windows 2000 bietet, kann nicht zum Schutz von Festplatten eingesetzt werden, die vom Clusterdienst verwaltet werden. Um diese Festplatten zu schützen, müssen Sie hardwarebasierte RAID-Lösungen einsetzen. Um die Verfügbarkeit von Netzwerkressourcen zu erhöhen und Datenverlusten vorzubeugen, sollten Sie die folgenden Aspekte berücksichtigen: ? Sie sollten Ersatzfestplatten und Controller an Ihrem Standort verfügbar haben.
Stellen Sie sicher, dass sämtliche Ersatzteile am Lager exakt mit den Originalteilen übereinstimmen; dies gilt auch für Netzwerk- und SCSI-Komponenten. Der Preis für zwei Ersatz-SCSI-Controller liegt vermutlich erheblich unter den Kosten, die entstehen, wenn Hunderte von Clients nicht auf die benötigten Daten zugreifen können. ? Schützen Sie einzelne Computer und das Netzwerk einschließlich Hubs, Brücken und Router durch unterbrechungsfreie Stromversorgungen (USV). USV-Geräte speisen sich aus Batterien, um Computer bei einem Stromausfall für einen bestimmten Zeitraum in Betrieb zu halten. Computer, auf denen Windows 2000 Server ausgeführt wird, unterstützen USV. USV-Lösungen müssen imstande sein, bei einem Stromausfall so lange Energie zu liefern, dass das System ordnungsgemäß heruntergefahren werden kann.
626
Teil V Erweiterte Verwaltung
Festlegen von Failover- und Failback-Richtlinien für Ressourcengruppen Eine Ressourcengruppe bezeichnet eine Zuordnung von abhängigen oder zugehörigen Ressourcen. Abhängige Ressourcen sind zum ordnungsgemäßen Betrieb auf andere Ressourcen angewiesen. Individuelle Ressourcen können beim Failover nicht unabhängig voneinander behandelt werden. Ressourcen werden beim Failover mit allen anderen Ressourcen derselben Ressourcengruppe gemeinsam übergeben. Jeder Ressourcengruppe eines Clusters werden individuelle Failover-Richtlinien zugeordnet. Failover-Richtlinien legen das Verhalten einer Gruppe beim Failover exakt fest. Sie können wählen, welche Richtlinien für eine eingerichtete Ressourcengruppe am besten geeignet sind. Failover-Richtlinien für Gruppen sehen drei Einstellungen vor: Failover-Zeiten Diese Einstellung bewirkt das sofortige Failover einer Gruppe, wenn eine der Gruppe zugehörige Ressource ausfällt. Alternativ dazu können Sie den Clusterdienst anweisen, eine bestimmte Anzahl von Versuchen durchzuführen, die ausgefallene Ressource erneut zu starten, bevor das Failover initiiert wird. Besteht die Möglichkeit, dass die ausgefallene Ressource durch den Neustart aller Ressourcen der Gruppe wieder korrekt arbeitet, stellen Sie den Clusterdienst so ein, dass die gesamte Gruppe neu gestartet wird. Bevorzugter Knoten Diese Einstellung bewirkt, dass eine Gruppe immer auf einem designierten Knoten ausgeführt wird, solange dieser Knoten zur Verfügung steht. Diese Einstellung empfiehlt sich, wenn sich einer der Knoten aufgrund seiner Ausstattung besser zur Übernahme einer Gruppe eignet. Beachten Sie, dass diese Einstellung nur dann in Kraft tritt, wenn Failover aufgrund eines Knotenausfalls erfolgt. In anderen Fällen müssen Sie den Knoten, dem diese Ressourcengruppe angehört, manuell einstellen. Failback-Zeiten Failback bezeichnet den Vorgang, bei dem Ressourcen einzeln oder als Gruppe wieder auf den bevorzugten Knoten verschoben werden, nachdem dieser Knoten im Anschluss an einen Ausfall wieder in Betrieb genommen wurde. Sie können eine Gruppe so konfigurieren, dass das Failback zum bevorzugten Knoten erfolgt, sobald der Clusterdienst feststellt, dass der Knoten wiederhergestellt wurde. Alternativ dazu können Sie den Clusterdienst anweisen, bis zur angegebenen Tageszeit zu warten, beispielsweise um zusätzliche Belastungen während der Hauptgeschäftszeiten zu vermeiden. Weitere Informationen zur Planung von Ressourcengruppen finden Sie unter „Planen der Ressourcengruppen“ weiter unten in diesem Kapitel.
Auswählen einer Serverrolle Die Knoten eines Serverclusters können Mitgliedsserver oder Domänencontroller sein. In beiden Fällen müssen die Knoten derselben Domäne angehören.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
627
Wenn Sie die Clusterknoten als Domänencontroller einrichten, müssen Sie zuerst sicherstellen, dass Sie auch über die erforderliche Hardware verfügen. Weitere Informationen hierzu finden Sie unter „Festlegen der Kapazitätsanforderungen für den Clusterdienst“ weiter unten in diesem Kapitel. Wenn Sie alle Clusterknoten als Mitgliedsserver konfigurieren, hängt die Verfügbarkeit des Clusters von der Verfügbarkeit des Domänencontrollers ab. Der Cluster steht nur dann zur Verfügung, wenn der Domänencontroller verfügbar ist. Planen Sie eine ausreichende Zahl von Domänencontrollern für die gewünschte Verfügbarkeitsstufe ein. Weitere Informationen zur Erhöhung der Systemverfügbarkeit finden Sie unter „Identifizieren von Netzwerkrisiken“ weiter oben in diesem Kapitel. Sie müssen den zusätzlichen Verwaltungsaufwand durch die Domänencontrollerdienste in Rechnung stellen. In großen Netzwerken, die unter Windows 2000 Advanced Server betrieben werden, können die Domänencontroller beträchtliche Ressourcen für die Verzeichnisreplikation und die Serverauthentifizierung für Clients beanspruchen. Aus diesem Grund wird bei vielen Anwendungen, z. B. SQL Server und Message Queuing, empfohlen, diese Anwendungen aus Gründen der Leistungsoptimierung nicht auf Domänencontrollern zu installieren. Betreiben Sie jedoch ein relativ kleines Netzwerk, bei dem nur gelegentliche Änderungen von Konteninformationen anfallen und Benutzeran- und -abmeldungen nicht sehr häufig erfolgen, können Sie auch Domänencontroller als Clusterknoten einsetzen.
Auswählen eines Serverclustermodells Servercluster können in drei Konfigurationsmodelle mit steigender Komplexität unterteilt werden. In diesem Abschnitt werden die einzelnen Modelle erläutert und Beispiele für Anwendungen vorgestellt, die sich für das jeweils beschriebene Modell eignen. Diese Modelle reichen von einem Cluster mit einem einzigen Knoten bis zu Clustern, in denen alle Server aktiv an der Bereitstellung von Diensten beteiligt sind. Wählen Sie das Clustermodell aus, das den Anforderungen Ihrer Organisation am besten entspricht.
Modell 1: Servercluster mit einem Knoten Modell 1 zeigt, wie Sie das Konzept eines virtuellen Servers für Anwendungen auf einem Servercluster mit einem Knoten verwenden können. Bei diesem Clustermodell kommen keine Failover-Mechanismen zum Einsatz. Es handelt sich hier lediglich um eine Methode, Ressourcen auf einem Server zu organisieren, um administrative Tätigkeiten und Clientzugriffe zu erleichtern. Der größte Vorteil dieses Modells ist darin zu sehen, dass Administratoren und Clients über virtuelle Server mit eingängigen Namen auf die gesuchten Freigaben zugreifen können und nicht etwa eine Liste der aktuellen Server im Netzwerk durchsuchen müssen. Dieses Modell weist daneben noch andere Vorteile auf: ? Nachdem ein Computer im Anschluss an ein Ressourcenversagen wiederher-
gestellt wurde, startet der Clusterdienst die einzelnen Anwendungen und abhängigen Ressourcen neu. Diese Funktion erweist sich für Anwendungen, die von einem automatischen Neustart profitieren, diesen aber nicht selbst durchführen können, als äußerst nützlich.
628
Teil V Erweiterte Verwaltung ? Sie können den Einzelknoten mit den bereits vorhandenen Ressourcengruppen
zu einem späteren Zeitpunkt mit einem zweiten Knoten zusammenführen. Nachdem Sie die Failover-Richtlinien für die Gruppen definiert haben, sind die virtuellen Server einsatzbereit. Abbildung 18.8 stellt ein Beispiel für einen Cluster mit einem Knoten ohne FailoverMechanismen dar.
Abbildung 18.8 Serverclusterkonfiguration mit einem Knoten
Sie können dieses Modell beispielsweise anwenden, um alle Datei- und Druckerressourcen Ihrer Organisation auf einem einzigen Computer zusammenzufassen und gleichzeitig separate Gruppen für alle Abteilungen einzurichten. Wenn Clients einer bestimmten Abteilung die Verbindung zu der erwünschten Datei- oder Druckerfreigabe herstellen müssen, können sie die Freigabe genauso leicht ausfindig machen wie einen einzelnen Computer. Hinweis Einige Anwendungen, wie SQL Server, Version 6.5 und 7.0, können nicht auf einem Cluster mit einem Knoten installiert werden.
Modell 2: Dedizierter Sekundärknoten Modell 2 stattet Ihre Ressourcen mit maximaler Verfügbarkeit und Leistungsfähigkeit aus, verlangt aber Investitionen für Hardware, die nur einen Bruchteil der Zeit tatsächlich in Betrieb ist. Einer der Knoten, der „primäre Knoten“, bedient sämtliche Clients, während sich der zweite Knoten im Leerlauf befindet. Der Komplementärknoten ist ein dedizierter Server, der sofort einsatzbereit ist, wenn auf dem primären Knoten ein Failover-Zustand eintritt. Fällt der primäre Knoten aus, übernimmt der dedizierte
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
629
sekundäre Knoten unverzüglich die Fortführung aller Vorgänge und bedient die Clients mit einer Geschwindigkeit, die der des primären Knotens nahe- oder sogar gleichkommt. Dieser Ansatz wird häufig als Aktiv/Passiv-Konfiguration bezeichnet. Die tatsächliche Leistung hängt von der Kapazität des sekundären Knotens ab. Abbildung 18.9 stellt ein Beispiel für eine Lösung mit einem dedizierten Sekundärknoten dar.
Abbildung 18.9 Aktiv/Passiv-Konfiguration
Modell 2 eignet sich am besten für die wichtigsten Anwendungen und Ressourcen Ihrer Organisation. Vertreibt Ihr Unternehmen beispielsweise Waren über das World Wide Web, können Sie dieses Modell einsetzen, um sekundäre Knoten für alle Server zur Verfügung zu stellen, die für die Unterstützung der Webzugriffe zuständig sind, z. B. Server, auf denen die Internet-Informationsdienste (IIS) ausgeführt werden. Die Kosten für die doppelte Hardware in diesem Bereich sind durch den wirksamen Schutz von Clientzugriffen auf Ihr Unternehmen gerechtfertigt. Fällt einer der Webserver aus, kann ein anderer, vollständig konfigurierter Server die Bearbeitung der Vorgänge unverzüglich übernehmen. Falls Ihr Budget die Anschaffung eines sekundären Servers mit der Kapazität des primären Knotens zulässt, müssen Sie für keine der Gruppen einen bevorzugten Server definieren. Ist ein Knoten besser ausgestattet als der andere, sollten Sie zur Leistungsoptimierung in den Failover-Richtlinien den stärkeren Server als bevorzugten Knoten einsetzen. Entspricht die Kapazität des sekundären Knotens der des primären Knotens, stellen Sie die Richtlinie so ein, dass ein Failback für alle Gruppen ausgeschlossen wird. Weist der sekundäre Knoten weniger Kapazität auf als der primäre Knoten, setzen Sie die Richtlinie auf unmittelbares Failback oder Failback zur angegebenen Zeit außerhalb der Spitzenbelastungszeiten. Einrichtungsbeispiel:Aktiv/Passiv-Teilkonfiguration Eine Aktiv/Passiv-Teilkonfiguration stellt ein Beispiel für einen dedizierten sekundären Knoten dar. Diese Konfiguration zeigt, dass Knoten in einem Servercluster nicht auf die Bereitstellung von Anwendungen beschränkt sind, die Clustering nutzen. Knoten, die Clusterressourcen zur Verfügung stellen, können auch Anwendungen bereitstellen, die nicht clustersensitiv sind und ausfallen, wenn der Server nicht mehr betriebsbereit ist.
630
Teil V Erweiterte Verwaltung
Ein Schritt bei der Planung von Ressourcengruppen besteht darin, die Anwendungen zu identifizieren, die nicht für Failover konfiguriert werden. Diese Anwendungen können auf Servern installiert sein, die Cluster bilden, müssen ihre Daten aber auf lokalen Festplatten speichern, nicht auf Festplatten des gemeinsam genutzten Busses. Falls hohe Verfügbarkeit bei diesen Anwendungen eine wichtige Rolle spielt, müssen Sie andere Verfahren anwenden, um diese zu garantieren. Abbildung 18.10 stellt ein Beispiel für eine Aktiv/Passiv-Teilkonfiguration dar.
Abbildung 18.10 Aktiv/Passiv-Teilkonfiguration
Die Anwendungen in den anderen Gruppen bedienen ebenfalls Clients auf einem der Server, aber da sie nicht clustersensitiv sind, richten Sie für diese keine Failover-Richtlinien ein. Sie könnten beispielsweise einen Knoten zur Ausführung eines Mailservers verwenden, für den Failover nicht vorgesehen ist, oder für ein Buchhaltungsprogramm, das Sie so selten benutzen, dass Verfügbarkeit hier keine Rolle spielt. Wenn ein Knoten ausfällt, sind die Anwendungen, die Sie nicht mit FailoverRichtlinien konfiguriert haben, nicht verfügbar, es sei denn, sie haben eigene, integrierte Failover-Mechanismen. Sie sind so lange nicht verfügbar, bis der Knoten, auf dem sie ausgeführt werden, wiederhergestellt ist. Anschließend müssen Sie sie manuell neu starten oder Windows 2000 Advanced Server so konfigurieren, dass sie zusammen mit der Systemsoftware gestartet werden. Die Anwendungen, die Sie mit Failover-Richtlinien konfiguriert haben, führen den Vorgang so durch, wie in den Richtlinien definiert.
Modell 3: Hochverfügbarkeitskonfiguration Modell 3 bietet Zuverlässigkeit und akzeptable Leistung, wenn nur ein Knoten online ist, und hohe Verfügbarkeit und Leistungsoptimierung, wenn beide Knoten online sind. Diese Konfiguration zieht den optimalen Nutzen aus den vorhandenen Hardwareressourcen.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
631
Bei diesem Konfigurationsbeispiel stellt jeder Knoten dem Netzwerk seine eigene Gruppe von Ressourcen in Form von virtuellen Servern zur Verfügung, die von Clients erkannt werden und auf die sie zugreifen können. In einem Servercluster repräsentiert ein virtueller Server eine Reihe von Ressourcen, einschließlich einer Netzwerknamenressource und einer IP-Adressenressource, die in einer Ressourcengruppe enthalten sind. Für jeden Knoten werden die Kapazitäten so gewählt, dass die Ressourcen mit optimaler Leistung betrieben werden, aber auch so, dass jeder Knoten die Last dieser Ressourcen vorübergehend übernehmen kann, sollte ein Failover notwendig werden. Abhängig von der spezifizierten Ressourcen- und Serverkapazität sind alle Clientdienste während und nach dem Failover verfügbar, die Leistung kann allerdings absinken. Abbildung 18.11 stellt ein Beispiel für eine solche Aktiv/Aktiv-Konfiguration dar.
Abbildung 18.11 Aktiv/Aktiv-Konfiguration
Sie können diese Konfiguration beispielsweise für einen Cluster verwenden, der exklusiv für Dateifreigaben und Druckerwarteschlangen vorgesehen ist. Auf jedem Knoten werden mehrere Datei- und Druckerfreigaben als separate Gruppen eingerichtet. Fällt ein Knoten aus, übernehmen die anderen Knoten vorübergehend die Dateifreigabe- und Druckerwarteschlangen-Dienste für alle Knoten. Die FailoverRichtlinie für die Gruppe, die temporär verlagert wird, ist so definiert, dass der ursprüngliche Knoten der bevorzugte Knoten ist. Sobald der ausgefallene Knoten wiederhergestellt ist, geht die verschobene Gruppe wieder in den Kontrollbereich des bevorzugten Knotens über, und die Vorgänge werden mit normaler Leistung fortgesetzt. Die Dienste stehen den Clients während des gesamten Vorgangs mit nur minimaler Unterbrechung zur Verfügung. Die folgenden Einrichtungsbeispiele stellen einige Variationen von Hochverfügbarkeitskonfigurationen dar. Einrichtungsbeispiel 1: Cluster mit einer einzigen Anwendungskategorie Dieses Beispiel zeigt, wie Sie zwei Herausforderungen begegnen können, die typisch für große Systemumgebungen sind. Die erste Herausforderung bezieht
632
Teil V Erweiterte Verwaltung
sich auf einen einzelnen Server, auf dem mehrere große Anwendungen ausgeführt werden, was zu Einbußen in der Netzwerkleistung führt. Um dieses Problem zu lösen, bilden Sie einen Cluster mit einem oder mehreren zusätzlichen Servern und verteilen die Anwendungen auf diese Server. Die zweite Herausforderung ergibt sich aus zusammengehörigen Anwendungen, die auf verschiedenen Servern ausgeführt werden. Das Problem der Verfügbarkeit entsteht, wenn Server nicht verbunden sind. Die Zuordnung zu ein und demselben Cluster garantiert dem Client einen höheren Grad an Verfügbarkeit für beide Anwendungen. Angenommen, Ihr firmeneigenes Intranet hängt von einem Server ab, auf dem zwei große Datenbankanwendungen ausgeführt werden. Beide Datenbanken sind kritische Anwendungen für Hunderte von Benutzern, die sich während des Tages mehrmals mit diesem Server verbinden. Die Herausforderung besteht darin, dass der Server während der Spitzenbelastungszeiten mit den Anforderungen nicht Schritt halten kann und die Leistung deutlich abfällt. Sie können die Situation entschärfen, indem Sie dem überlasteten Server einen zweiten Server zur Seite stellen, einen Cluster bilden und die Last verteilen. Sie haben jetzt mehrere Server, und auf jedem wird eine der beiden Datenbankanwendungen ausgeführt. Fällt ein Server aus, müssen Sie möglicherweise Leistungseinbußen hinnehmen, aber nur für eine kurze Zeit. Sobald der ausgefallene Server wiederhergestellt ist, wird die betreffende Anwendung zurück übertragen, und die Vorgangsbearbeitung wird fortgesetzt. Abbildung 18.12 zeigt diese Lösung.
Abbildung 18.12 Verbindung eines überlasteten Servers mit einem weiteren Server und Bildung eines Clusters
Einrichtungsbeispiel 2: Cluster mit mehreren Anwendungen Angenommen, Ihr Einzelhandel basiert auf zwei getrennten Servern, von denen einer die Nachrichtendienste, der andere eine Datenbankanwendung für Lager- und Auftragsdaten zur Verfügung stellt.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
633
Beide Dienste sind von elementarer Bedeutung für Ihr Geschäft. Angestellte benötigen die Nachrichtendienste, um ihre Tagesgeschäfte abschließen zu können. Ohne Zugriff auf die Datenbankanwendung können Kunden keine Aufträge erteilen, und Angestellte können keine Lager- oder Versandinformationen abrufen. Abbildung 18.13 zeigt eine typische Konfiguration, bei der missionskritische Anwendungen und Dienste auf getrennten Servern ablaufen und so Anwendungen und Dienste gefährden.
Abbildung 18.13 Getrennte Server für missionskritische Anwendungen und Dienste
Um die Verfügbarkeit aller Dienste zu gewährleisten, verbinden Sie die Computer zu einem Cluster. Sie erstellen einen Cluster, der zwei Gruppen enthält, eine auf jedem Knoten. Eine Gruppe enthält alle zum Betrieb der Nachrichtenanwendungen benötigten Ressourcen, die andere Gruppe umfasst alle Ressourcen der Datenbankanwendung, einschließlich der Datenbank. Abbildung 18.14 stellt eine Lösung dar, die in diesem Fall die Verfügbarkeit der Anwendungen sicherstellt.
Abbildung 18.14
Cluster mit mehreren Anwendungen
634
Teil V Erweiterte Verwaltung
Geben Sie in den Failover-Richtlinien beider Gruppen an, dass jede Gruppe auf jedem Knoten ausgeführt werden kann, was im Fall eines Knotenausfalls die Verfügbarkeit beider sicherstellt. In Windows 2000 Advanced Server erkennt der Clusterdienst ausgefallene Verbindungen zwischen Server- und Clientsystemen. Kann das Clusterdienstprogramm das Problem auf einen spezifischen Server eingrenzen, stellt der Clusterdienst einen Netzwerkausfall fest und überträgt abhängige Gruppen auf den anderen Server (über die funktionierenden Netzwerke). Einrichtungsbeispiel3: KomplexeHybridkonfiguration Die komplexe Hybridkonfiguration setzt sich aus Komponenten der anderen Modelle zusammen. Die Hybridkonfiguration kombiniert die Vorzüge der vorherigen Modelle und vereint sie in einem Cluster. Solange Sie ausreichend Kapazität zur Verfügung stellen, können viele verschiedene Failover-Szenarios auf allen Knoten koexistieren. Alle Failover-Aktivitäten werden nach Maßgabe der definierten Richtlinien normal durchgeführt. Abbildung 18.15 stellt ein Beispiel von mehreren Datenbankfreigaben dar, wobei Leistungseinbußen auftreten, wenn die Freigaben auf einem einzigen Knoten eingerichtet sind.
Abbildung 18.15 Die komplexe Hybridkonfiguration
Zur Erleichterung der Verwaltung sind die Datei- und Druckerfreigaben im Cluster (die keine Failover-Funktionen benötigen) logisch nach Abteilungen gruppiert und als virtuelle Server konfiguriert. Eine Anwendung, die nicht über Failover-Funktionalität verfügt, ist auf einem der Cluster eingerichtet und wird im Normalmodus betrieben (ohne Schutz durch Failover-Funktionen).
Planen des Clusterdienstes Nachdem Sie Ihren Bedarf für eine Clusterlösung analysiert haben, können Sie nun festlegen, wie viele Server mit welchen Spezifikationen Sie benötigen, z. B. wie viel Arbeitsspeicher und Festplattenspeicher erforderlich sind.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
635
Planen der Ressourcengruppen Da alle Ressourcen einer Gruppe als Einheit zwischen Knoten verschoben werden, können abhängige Ressourcen niemals auf mehrere Gruppen verteilt sein (Ressourcen können nicht von Ressourcen in anderen Gruppen abhängen). Abbildung 18.16 zeigt, wie abhängige Ressourcen zu einer Gruppe zusammengefasst werden. Der Knoten auf der rechten Seite nimmt die Webservergruppe auf, die aus vier Ressourcen besteht, von denen IIS abhängt: ein Netzwerkname, eine IP-Adresse, ein virtueller Dienst von IIS und die Festplatte E.
Abbildung 18.16 Eine Gruppe abhängiger Ressourcen
Typische Cluster weisen eine Gruppe für jede unabhängige Anwendung und jeden Dienst auf, die auf diesem Cluster ausgeführt werden. Typische Clustergruppen enthalten die folgenden Ressourcen: ? IP-Adresse ? Netzwerkname ? Physische Festplatte ? Eine allgemeine oder unternehmensspezifische Anwendung bzw. einen Dienst
636
Teil V Erweiterte Verwaltung
Führen Sie die folgenden sechs Schritte aus, um Ihre Anwendungen und anderen Ressourcen in Gruppen zu organisieren: 1. Listen Sie alle serverbasierten Anwendungen auf. Die meisten Gruppen enthalten eine oder mehrere Anwendungen. Erstellen Sie eine Liste aller Anwendungen in Ihrer Umgebung, unabhängig davon, ob Sie vorhaben, diese zusammen mit dem Clusterdienst einzusetzen. Ermitteln Sie Ihre gesamten Kapazitätsanforderungen, indem Sie die Gesamtzahl der geplanten Gruppen (virtuellen Server) zur Gesamtzahl der vorgesehenen Programme addieren, die Sie unabhängig von den Gruppen einsetzen möchten. 2. Stellen Sie fest, welche Anwendungen Failover-Funktionen nutzen können. Listen Sie auch die Anwendungen auf, die auf Clusterknoten installiert werden, aber keine Failover-Funktionen nutzen, weil eine Konfiguration mit FailoverFunktion bei diesen Anwendungen zu umständlich, unnötig oder gar unmöglich ist. Obwohl Sie diese Anwendungen weder mit Failover-Richtlinien verknüpfen noch in Gruppen organisieren, beanspruchen sie doch einen Teil der Serverkapazität. Überprüfen Sie die Lizenzbedingungen, bevor Sie eine Anwendung in einer Clusterkonfiguration einsetzen, oder setzen Sie sich mit dem Hersteller in Verbindung. Jeder Softwareanbieter hat seine eigenen Lizenzierungsbestimmungen für Anwendungen, die in Clustern ausgeführt werden. 3. Listen Sie alle anwendungsfremden Ressourcen auf. Stellen Sie fest, welche Hardware, Verbindungen und Betriebssystemsoftware ein Servercluster in Ihrer Netzwerkumgebung schützen kann. Der Clusterdienst kann beispielsweise ein Failover für Druckerwarteschlangen durchführen, um Clientzugriffe auf Druckdienste zu schützen. Eine Dateiserverressource mit Failover-Konfiguration zur Sicherstellung der Clientzugriffe auf Dateien stellt ein weiteres Beispiel dar. In beiden Fällen spielt Kapazität eine Rolle, beispielsweise der beim Failover zur Bedienung der Clients erforderliche Arbeitsspeicher. 4. Listen Sie alle Abhängigkeiten der einzelnen Ressourcen auf. Der Clusterdienst verwaltet eine Hierarchie von Ressourcenabhängigkeiten, um sicherzustellen, dass alle Ressourcen, auf die eine bestimmte Anwendung angewiesen ist, online sind, bevor die Anwendung geladen wird. Er garantiert darüber hinaus, dass die Anwendung mit allen zugehörigen Ressourcen bei Ausfall einer Ressource entweder neu gestartet oder auf einen anderen Knoten übertragen wird. Erstellen Sie eine Liste der Abhängigkeiten, um sich einen Überblick über die Zusammenhänge von Ressourcen und Ressourcengruppen und die optimale Verteilung der Ressourcen auf die Gruppen zu verschaffen. Beziehen Sie alle Ressourcen ein, die die Kernressourcen unterstützen. Erfolgt z. B. ein Failover bei einer Webserveranwendung, müssen auch die Webadressen und Festplatten des gemeinsam genutzten Busses, auf denen die Daten dieser Anwendung gespeichert sind, in das Failover einbezogen werden, damit der Webserver funktionsfähig bleibt. Alle diese Ressourcen müssen derselben Gruppe angehören. Damit ist sichergestellt, dass der Clusterdienst voneinander abhängige Ressourcen unter keinen Umständen trennt.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
637
Hinweis Achten Sie beim Gruppieren von Ressourcen darauf, dass eine Ressource mit all ihren Abhängigkeiten einer einzigen Gruppe angehören muss, da eine Ressource nicht mehrere Gruppen umfassen kann. Denken Sie daran, dass eine Ressourcengruppe die Basiseinheit für das Failover darstellt. Individuelle Ressourcen können beim Failover nicht unabhängig voneinander behandelt werden. Ressourcen werden beim Failover mit allen anderen Ressourcen derselben Ressourcengruppe gemeinsam übergeben. Da die meisten Anwendungen Anwendungsdaten auf Festplatten speichern, sollten Sie eine Ressourcengruppe für jede Festplatte erstellen. Verlegen Sie die Anwendung zusammen mit allen anderen Ressourcen, auf die sie angewiesen ist, in die Gruppe, der auch die Festplatte, auf der sie ihre Daten speichert, angehört. Ordnen Sie eine andere Anwendung zusammen mit ihren Festplatten einer anderen Gruppe zu. Bei dieser Konfiguration können Anwendungen unabhängig voneinander verschoben werden, und ein Failover einer Anwendung wirkt sich nicht auf die anderen Anwendungen aus. 5. Treffen Sie vorläufige Gruppierungsentscheidungen. Darüber hinaus erleichtert die Zuordnung zu einer einzigen Gruppe die Verwaltung. Sie können beispielsweise mehrere Anwendungen in einer Gruppe zusammenfassen, weil die Darstellung dieser spezifischen Anwendungen als Gesamtkomplex die Verwaltung des Netzwerks vereinfacht. Üblicherweise wird diese Technik angewendet, um Ressourcen wie Dateifreigaben und Druckerwarteschlangen in einer einzigen Gruppe zu kombinieren. Wenn Sie diese Ressourcen zusammenfassen, müssen alle Abhängigkeiten der betreffenden Anwendungen ebenfalls zur selben Gruppe gehören. Sie können dieser Gruppe einen eindeutigen Namen geben, der sich auf den zugeordneten Unternehmensbereich bezieht, z. B. BuchhaltungDatei&Druck. Administrative Eingriffe bei den Datei- und Druckerfreigaben dieser Abteilung können Sie in der Clusterverwaltung an dieser Gruppe vornehmen. Alle Anwendungen, die auf einer bestimmten Ressource basieren, in eine einzige Gruppe aufzunehmen, stellt ein weiteres übliches Verfahren dar. Nehmen Sie z. B. an, dass eine Webserveranwendung Zugriff auf Webseiten ermöglicht und dass diese Webseiten Ergebnisse präsentieren, die Clients mittels Abfragen einer SQL-Datenbankanwendung abrufen. (Die Abfragen werden unter Verwendung von HTML-Formularen [Hypertext Markup Language] erstellt.) Indem Sie den Webserver und die SQL-Datenbank in dieselbe Gruppe integrieren, können die Daten der beiden Kernanwendungen auf einem bestimmten Datenträger gespeichert werden. Da beide Anwendungen derselben Gruppe angehören, können Sie auch eine IP-Adresse und einen Netzwerknamen angeben, die diese Ressourcengruppe eindeutig kennzeichnen. 6. Legen Sie die endgültigen Gruppenzuordnungen fest. Nachdem Sie Ihre Ressourcen in Gruppen eingeteilt haben, weisen Sie jeder Gruppe einen anderen Namen zu und erstellen eine Abhängigkeitsstruktur. Eine solche Struktur dient der Visualisierung der Abhängigkeitsverhältnisse zwischen Ressourcen. Sie erstellen eine Abhängigkeitsstruktur, indem Sie alle Ressourcen einer bestimmten Gruppe notieren. Zeichnen Sie – ausgehend von einer Ressource –
638
Teil V Erweiterte Verwaltung
Pfeile zu allen anderen Ressourcen, von denen die erste Ressource unmittelbar abhängig ist. Eine direkte Abhängigkeit zwischen Ressource A und Ressource B bedeutet z. B., dass keine weiteren Ressourcen zwischen diesen beiden Ressourcen liegen. Eine indirekte Abhängigkeit liegt dagegen vor, wenn zwischen Ressourcen eine transitive Beziehung besteht. Wenn Ressource A von Ressource B und Ressource B von Ressource C abhängt, liegt zwischen den Ressourcen A und C eine indirekte Abhängigkeit vor. Eine direkte Abhängigkeit zwischen den Ressourcen A und C besteht dagegen nicht. In der Webservergruppe von Abbildung 18.16 hängen sowohl die Netzwerknamenressource als auch die Instanzressource des virtuellen IIS-Servers von der IP-Adressenressource ab. Es besteht jedoch keinerlei Abhängigkeit zwischen der Netzwerknamenressource und der Instanzressource des virtuellen IIS-Servers. Abbildung 18.17 stellt eine einfache Abhängigkeitsstruktur dar, die einige Ressourcen mit definitiven Gruppenzuweisungen enthält.
Abbildung 18.17
Eine einfache Abhängigkeitsstruktur
In Abbildung 18.17 hängt die Dateifreigaberessource von der Netzwerknamenressource ab, die wiederum auf die IP-Adressenressource angewiesen ist. Dagegen besteht keine direkte Abhängigkeit zwischen der Dateifreigabe- und der IP-Adressenressource. Hinweis Physikalische Datenträger hängen von keiner anderen Ressource ab und können beim Failover als unabhängige Ressource behandelt werden.
Festlegen der Kapazitätsanforderungen für den Clusterdienst Sie können die Anforderungen an die Hardwarekapazität der Server festlegen, nachdem Sie die folgenden Fragen beantwortet haben: ? Welches Clustermodell soll eingesetzt werden? ? Wie sollen die Ressourcen gruppiert werden? ? Welche Failover-Richtlinien sind für jede Ressource erforderlich?
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
Sie können die im Folgenden vorgeschlagenen Kriterien zur Ermittlung der Hardwareanforderungen für die als Clusterknoten vorgesehenen Computer heranziehen.
639
640
Teil V Erweiterte Verwaltung
Anforderungen: Festplattenspeicher Jeder Knoten eines Clusters muss über genügend Festplattenspeicher verfügen, um permanente Kopien aller Anwendungen und anderer Ressourcen zu speichern, die für die Ausführung aller Gruppen benötigt werden. Legen Sie bei der Kalkulation der einzelnen Knoten die Annahme zugrunde, dass alle Ressourcen des Clusters auf diesem Knoten ausgeführt werden, auch wenn einige oder alle dieser Gruppen überwiegend auf dem anderen Knoten ausgeführt werden. Planen Sie diese Festplattenreserven ein, damit jeder andere Knoten während eines Failovers alle Ressourcen ordnungsgemäß ausführen kann. Hinweis Der Clusterdienst unterstützt weder dynamische Datenträger noch die neuen Funktionen, die die Verwaltung für logische Datenträger zur Verfügung stellt. Insbesondere können NTFS-Partitionen auf einer vom Clusterdienst verwalteten Festplatte nicht erweitert werden. Sie müssen die Festplattenkapazität also so berechnen, dass genügend Spielraum für zukünftiges Wachstum bleibt. Anforderungen: CPU Bei einem Failover wird die CPU eines Knotens unter Umständen stark belastet, wenn dieser die Kontrolle über die Ressourcen eines ausgefallenen Knotens übernimmt. Bei ungenügender Planung kann die CPU eines verbleibenden Knotens beim Failover an die Grenze ihrer Verarbeitungskapazität geraten; daraus ergeben sich schlechtere Antwortzeiten für die Benutzer. Planen Sie die CPU-Kapazität so, dass jeder Knoten alle neuen Ressourcen ohne nennenswerte Auswirkungen auf die Antwortzeiten bewältigen kann. Anforderungen: RAM Stellen Sie bei Ihrer Kapazitätsplanung sicher, dass alle Knoten Ihres Clusters über ausreichend RAM für alle Anwendungen verfügen, die gegebenenfalls auf einem anderen Knoten ausgeführt werden. Außerdem sind die Auslagerungsdateien von Windows 2000 Advanced Server dem vorhandenen RAM der einzelnen Knoten entsprechend einzustellen.
Einschränkungen bei Serverclustern Im Folgenden sind einige wichtige Einschränkungen für Windows 2000-Servercluster aufgeführt. ? Wechselmedien ? Schließen Sie keine Wechselmedien an einen gemeinsam genutzten SCSI-
Bus an, der einem Cluster angehört. ? Konfigurieren Sie Wechselmedien, z. B. Bandwechsler, nicht als
Clusterressourcen. ? Festplattenkonfiguration ? Clusterdatenträger müssen mit dem NTFS-Dateisystem formatiert und als Basisdatenträger konfiguriert werden. Die Verwendung dynamischer Festplatten als Clusterdatenträger wird von NTFS jedoch nicht unterstützt. ? Das Verschlüsselnde Dateisystem, Remotespeicher, bereitgestellte Datenträger und Analysepunkte können mit Clusterdatenträgern nicht verwendet werden.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
641
? Sie können den Schreibcache auf einem internen RAID-Controller nicht akti-
vieren, da die Daten im Cache bei einem Failover verloren gehen. Ein interner Controller ist z. B. eine im Knotencomputer eingebaute PCI-Karte (Peripheral Component Interconnect). Bei externen RAID-Controllern kann der Schreibcache unter Umständen – je nach Typ – aktiviert werden. Ein externer RAIDController ist in der Regel im Festplattenschrank untergebracht, und die Daten im Cache bleiben bei einem Failover erhalten. ? Sie können Software-RAID nur auf lokalen Laufwerken einsetzen (Laufwerke, die nicht vom Clusterdienst verwaltet werden). Um die Daten auf Clusterdatenträgern zu schützen, müssen Sie hardwarebasierte RAIDVerfahren einsetzen. ? Netzwerkkonfiguration ? Der Clusterdienst unterstützt nur TCP/IP. ? Netzwerkschnittstellen, die auf allen Knoten eines Serverclusters verwendet werden, müssen sich im selben Netzwerk befinden. Sämtliche Clusterknoten müssen mindestens ein Subnetz gemeinsam haben. ? Terminaldienste Sie können die Terminaldienste zur Remoteverwaltung auf einem Serverclusterknoten einsetzen. Die Verwendung der Terminaldienste für einen Anwendungsserver auf einem Serverclusterknoten ist nicht möglich. Wichtig Netzwerklastenausgleich und Clusterdienst können zum gegenwärtigen Zeitpunkt nicht auf demselben Server ausgeführt werden.
Programme zur Automatisierung der Clusterdiensteinrichtung Sie können die Einrichtung des Clusterdienstes in Ihrem Unternehmen mit Hilfe spezieller Programme automatisieren. Diese Programme befinden sich auf der Windows 2000-CD. Sie sind in Tabelle 18.2 beschrieben. Tabelle 18.2 Programme zur Automatisierung der Clusterdiensteinrichtung Programm
Beschreibung
Sysprep
Ein Programm zur Datenträgerduplizierung. Sie können das Betriebssystem Windows 2000 Advanced Server und Anwendungen auf einem einzelnen Computer installieren und diese Installation auf einer beliebigen Anzahl von Systemen duplizieren.
Cluscfg.exe
Dieses Programm ist Bestandteil des Betriebssystems. Bei jeder Installation des Clusterdienstes auf einem System müssen Sie das Programm zur Clusterkonfiguration ausführen. Ein Assistent, der Sie beim Erstellen von unbeaufsichtigten Skripts und Netzwerkdistributionsfreigaben für reguläre unbeaufsichtigte und Systemvorbereitungsinstallationen unterstützt.
InstallationsManager
642
Teil V Erweiterte Verwaltung
Die folgenden Beispiele zeigen, wie Sie diese Programme einsetzen können. Wenn sich die Systeme, auf denen Sie den Clusterdienst einrichten möchten, hinsichtlich der Hardwarekonfiguration grundlegend unterscheiden, können Sie eine unbeaufsichtigte Installation dieser Systeme durchführen. Dazu müssen Sie die Datei Unattend.txt und eine Netzwerkdistributionsfreigabe (optional) erstellen, die zur automatischen Ausführung von Setup, einschließlich der Konfiguration des Windows 2000 Clusterdienstes, verwendet werden. Bei ähnlichen Hardwarekonfigurationen können Sie mit der Systemvorbereitung (Sysprep.exe) ein Abbild erstellen und den Installations- und Einrichtungsprozess beschleunigen. Wenn Sie den Windows 2000-Clusterdienst mit der Systemvorbereitung einrichten möchten, müssen Sie den Clusterdienst zuerst installieren (Auswahl im Assistenten für Windows-Komponenten). Nachdem das Abbild auf den betreffenden Systemen eingerichtet wurde, führen Sie die Datei Cluscfg.exe aus. Sie können die Ausführung von Cluscfg.exe automatisieren, indem Sie den Dateinamen in den Abschnitt [GuiRunOnce] der Antwortdatei für die Systemvorbereitung einfügen. Cluscfg.exe wird dann im Anschluss an die Systemvorbereitung auf jedem System ausgeführt. Sie können Cluscfg.exe unter Verwendung einer Antwortdatei automatisieren. Weitere Informationen zu diesen Programmen finden Sie unter „Windows Clustering“ im Band Verteilte Systeme.
Clusteroptimierung Windows 2000 Advanced Server verfügt über eine flexible Architektur und weitgehend automatische Optimierung der Systemleistung. Darüber hinaus kann Advanced Server Ressourcen bedarfsorientiert und dynamisch zuweisen, um steigenden Anforderungen gerecht zu werden. Ziel aller Optimierungsmaßnahmen – sei es im Serverbereich oder im Hinblick auf lastgerecht verteilte Anwendungen – ist die Verbesserung der Gesamtleistung. Dazu müssen Sie zunächst die Hardwareressourcen identifizieren, die den größten Belastungen ausgesetzt sind, und anschließend die Konfiguration an diese Anforderungen anpassen. Falls die primäre Rolle eines Clusters z. B. darin besteht, hohe Verfügbarkeit von Datei- und Druckdiensten sicherzustellen, sind die Datenträger aufgrund der vielen Dateizugriffe den größten Belastungen ausgesetzt. Datei- und Druckdienste bedeuten auch für Netzwerkadapter eine große Belastung, da enorme Datenmengen übertragen werden. Stellen Sie deshalb sicher, dass Netzwerkadapter und Clustersubnetze dieser Belastung gewachsen sind. In diesem Beispiel wird der Arbeitsspeicher kaum belastet; allerdings steigt die Speicherauslastung an, wenn große Speicherbereiche für den Dateisystemcache reserviert werden. Die Prozessorauslastung ist in dieser Umgebung eher niedrig anzusetzen. In solchen Fällen müssen Sie auf die Optimierung von Speicher- und Prozessornutzung in der Regel weniger Aufmerksamkeit verwenden als auf andere Komponenten. Arbeitsspeicher kann häufig zur effektiven Reduzierung der Datenträgerauslastung, in erster Linie bei Lesevorgängen, beitragen.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
643
Im Gegensatz dazu nutzt eine Serveranwendungsumgebung (z. B. Microsoft Exchange) Prozessor und RAM sehr viel intensiver als eine typische Datei- oder Druckserverumgebung, da weitaus mehr Verarbeitungsprozesse auf dem Server stattfinden. Für diese Zwecke sind Hochleistungsserver mit mehreren Prozessoren am besten geeignet. Datenträger- und Netzwerkbelastung sind in diesem Fall weniger ausgeprägt, da weniger Daten übertragen werden. Die Lastenausgleichslösungen von Microsoft beanspruchen nur wenig Systemressourcen für die Host/Host-Kommunikation und für die Clusterverwaltung selbst.
Planen fehlertoleranter Datenträger Datenträgerfehler können zum irreversiblen Verlust wichtiger Daten führen, der Lastenausgleichsdienst funktioniert nicht mehr, und zugleich fällt der Server mit allen anderen Anwendungen aus. Aus diesem Grund müssen Sie Ihre Datenträger mit speziellen Verfahren gegen Ausfälle schützen. Viele Ressourcengruppen enthalten Datenträgerressourcen auf gemeinsam genutzten Bussen. In einigen Fällen handelt es sich dabei um einfache physikalische Datenträger, in anderen Fällen um komplexe Festplattensubsysteme mit mehreren Festplatten. Fast alle Ressourcengruppen hängen von den Festplatten auf gemeinsam genutzten Bussen ab. Ein nicht behebbarer Fehler bei einer Datenträgerressource resultiert mit absoluter Gewissheit in einem Ausfall der Gruppe, die diese Ressource enthält. Aus diesem Grund sollten Sie Ihre Festplatten und Festplattensubsysteme mit speziellen Verfahren gegen Ausfälle schützen. Hardwarebasierte RAID-Lösungen stellen eine Möglichkeit zum Schutz der Daten dar. RAID-Unterstützung garantiert hohe Verfügbarkeit der Daten, die auf den Clusterdatenträgern gespeichert sind. Einige dieser hardwarebasierten Lösungen werden als fehlertolerant betrachtet, d. h., es sind keine Datenverluste zu befürchten, falls ein Mitglied des Datenträgersatzes ausfällt.
Hardware-RAID Die Hardwarekompatibilitätsliste für Microsoft Windows enthält viele verschiedene hardwarebasierte RAID-Konfigurationen für Cluster. Viele hardwarebasierte RAID-Lösungen bieten redundante Stromversorgung, redundante Busse und redundante Kabelsysteme innerhalb eines einzigen Gehäuses und können den Zustand aller Komponenten mit der Firmware des Hardware-RAIDs überwachen. Die Bedeutung dieser Funktionen ist leicht zu ermessen, da sie die Verfügbarkeit der Daten mit mehrfachen Redundanzen zum Schutz vor mehrfachen Einzelpunktversagen garantieren. Hardwarebasierte RAID-Lösungen können auch Onboardprozessoren und -cache nutzen. Windows 2000 Advanced Server kann diese Datenträger als StandardDatenträgerressourcen nutzen. Obwohl teurer als eine softwarebasierte RAID-Lösung (als Funktion in Windows 2000 Advanced Server integriert), wird Hardware-RAID im Allgemeinen als die überlegene Lösung betrachtet.
644
Teil V Erweiterte Verwaltung
Fehlerkorrektur Computer, auf denen einer der Lastenausgleichsdienste von Windows 2000 Advanced Server ausgeführt wird, unterliegen denselben Ausfallrisiken wie andere Computer. Computer können aus einer ganzen Reihe von Gründen ausfallen, und es ist immer ratsam, Sicherungen gegen potentielle Einzelpunktversagen einzubauen, wo immer dies möglich ist. Zu diesen Sicherungen gehören Software- und Hardware-RAID, unterbrechungsfreie Stromversorgungsgeräte sowie Transaktionsprotokollierung und Wiederherstellung, eine Funktion des NTFS-Dateisystems. Um diese Funktion zu nutzen, müssen Sie den Lastenausgleichsdienst auf einer NTFS-formatierten Partition ausführen. Die Transaktionsprotokollierung und Wiederherstellung von NTFS garantiert, dass die Datenträgerstruktur nicht beschädigt wird, so dass alle Dateien nach einem Systemausfall verfügbar sind. NTFS benutzt auch ein Wiederherstellungsverfahren, das als „Cluster Remapping“ (Neuzuordnung von Clustern) bezeichnet wird. Wenn Windows 2000 Advanced Server eine Meldung über fehlerhafte Sektoren an NTFS zurückgibt, wird der Festplattencluster mit dem fehlerhaften Sektor dynamisch ersetzt und ein neuer Cluster für die Daten reserviert. Tritt der Fehler während eines Lesevorgangs auf, gibt NTFS einen Lesefehler an das aufrufende Programm zurück, und die Daten sind verloren (sofern sie nicht durch RAID-Fehlertoleranz geschützt sind). Tritt der Fehler während eines Schreibvorgangs auf, schreibt NTFS die Daten auf den neuen Festplattencluster, und die Daten sind gerettet. NTFS überträgt die Adresse des Festplattenclusters, der den fehlerhaften Sektor enthält, in die Liste der fehlerhaften Sektoren und stellt so sicher, dass der beschädigte Sektor nicht mehr genutzt wird. Selbst mit Transaktionsprotokollierung und Wiederherstellung bzw. Neuzuordnung von Clustern können Sie Datenverluste, die auf Hardwareausfälle zurückzuführen sind, nicht vermeiden, sofern Sie keine fehlertolerante Datenträgerlösung einsetzen.
Testen der Serverkapazität Ein äußerst wichtiger Schritt betrifft das Testen der Serverkapazität, um Serverausfälle bei Anwendungen und Diensten, die hohe Verfügbarkeit aufweisen müssen, auszuschließen. Die folgende Liste führt einige Hardwarekomponenten auf, die Sie testen müssen: ? Einzelne Computerkomponenten wie Festplatten, Controller, Prozessoren und
RAM. ? Externe Komponenten wie Router, Brücken, Switches, Kabelsysteme und Steckverbindungen. Darüber hinaus sollten Sie die folgenden Belastungstests durchführen: ? Intensive Netzwerkaktivitäten. ? Intensive Festplatten-E/A auf derselben Festplatte. ? Intensive Nutzung von Datei-, Druck- und Anwendungsservern. ? Viele gleichzeitige Anmeldungen.
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
645
Mit dem Windows DNA Performance Kit können Sie das Leistungsverhalten Ihrer Anwendungen testen und optimieren. Das Kit unterstützt Anwendungen von Windows NT 4.0, Microsoft Transaction Server (MTS), COM+, IIS und SQL Server, und verbessert die Leistung des Lastenausgleichs für Komponenten. Das Kit enthält Informationen zur Leistung von COM+ und IIS sowie Simulationsprogramme, die die Belastung durch viele Benutzerzugriffe auf IIS- oder COM+Anwendungen verdeutlichen. Das Simulieren vieler Benutzer ist ein wichtiger Schritt bei der Ermittlung der Hardwareanforderungen Ihrer Anwendungen. X
Hinweis Das Windows DNA Performance Kit kann mit Windows 2000 Advanced Server oder Windows NT Server 4.0 mit Windows NT Option Pack eingesetzt werden. Weitere Informationen zum Windows DNA Performance Kit sowie zum Downloaden des Kits finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Windows DNA Performance Kit“ klicken. Weitere Informationen zum Erstellen von Testplänen finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
Planen einer Clustersicherungs- und Wiederherstellungsstrategie Eine komplette Clustersicherung enthält die folgenden Komponenten: ? Dokumentation der Clusterkonfiguration, einschließlich der Information,
welcher Registrierungsschlüssel welchen Ressourcen zugeordnet ist. Dieses Vorgehen wird empfohlen, weil jeder Registrierungsschlüssel für Ressourcen lediglich durch die globale eindeutige Kennung (GUID – GloballyUnique Identifier) der Ressource identifiziert wird. ? Katalog der Sicherung. ? Sicherung an einem sicheren Aufbewahrungsort. ? Erstellen einer Notfalldiskette für jeden Knoten, damit Sie Windows 2000
Advanced Server auf dem Knoten im Bedarfsfall wiederherstellen können. Eine Notfalldiskette wird während der Sicherung erstellt und enthält Informationen über die aktuellen Windows-Systemeinstellungen. Diese Diskette kann zur Wiederherstellung des Computers verwendet werden, falls der Systemstart fehlschlägt oder die Systemdateien beschädigt oder gelöscht wurden. Weitere Informationen zum Erstellen einer Notfalldiskette finden Sie in der Onlinehilfe von Windows 2000 Advanced Server. Die Empfehlungen zur Sicherung legen die folgenden Annahmen zugrunde: ? Sie haben das Wiederherstellungsverfahren entworfen und dokumentiert. ? Sie haben alle physikalisch zerstörten Cluster durch funktionsidentische
Hardware (HCL-zertifiziert) ersetzt, und alle Clusterdatenträger weisen dieselbe oder eine höhere Kapazität auf.
646
Teil V Erweiterte Verwaltung
Ein guter Sicherungsplan berücksichtigt die folgenden Aspekte: ? Synchronisation von Sicherungen ? Einrichten von Speicherplatz für Sicherungen ? Aufbewahrung von Sicherungsmedien ? Führen eines Sicherungskatalogs
Weitere Informationen zu Sicherungs- und Wiederherstellungsverfahren finden Sie unter „Windows Clustering“ im Band Verteilte Systeme.
Planungstaskliste für Windows 2000 Clustering Die in Tabelle 18.3 zusammengefasste Planungstaskliste für Windows 2000 Clustering stellt eine Referenzliste wichtiger Informationen dieses Kapitels dar, die Sie beim Erstellen einer Verfügbarkeitsstrategie für Anwendungen und Dienste in Ihrer Organisation verwenden können. Tabelle 18.3
Planungstaskliste für Windows 2000 Clustering
Task
Kapitelüberschrift
Zusammenstellen des Clusterplanungsteams. Identifizieren spezifischer Anforderungen für hohe Verfügbarkeit von Anwendungen und Diensten. Festlegen der Clusteringanforderungen. Festlegen der Anwendungen, die mit Netzwerklastenausgleich betrieben werden sollen.
Festlegen von Verfügbarkeitsstrategien
Verwenden des Netzwerklastenausgleichs zur Einrichtung von Terminaldiensteclustern. Konfigurieren von Netzwerklastenausgleich-Clustern für Server mit IIS/ASP- und COM+Anwendungen. Identifizieren von Netzwerkrisiken.
Planen des Netzwerklastenausgleichs
Durchführen einer Kapazitätsplanung für den Netzwerklastenausgleich. Festlegen der Anforderungen für die Serverkapazität. Optimieren von NetzwerklastenausgleichClustern. Auswählen der Anwendungen, die in einem Servercluster ausgeführt werden. Identifizieren von Netzwerkrisiken.
Planen des Netzwerklastenausgleichs
Festlegen von Failover- und FailbackRichtlinien für Ressourcengruppen.
Planen des Clusterdienstes
Festlegen von Verfügbarkeitsstrategien
Festlegen von Verfügbarkeitsstrategien Planen des Netzwerklastenausgleichs
Planen des Netzwerklastenausgleichs
Planen des Netzwerklastenausgleichs
Planen des Netzwerklastenausgleichs Planen des Netzwerklastenausgleichs Planen des Clusterdienstes Planen des Clusterdienstes
Kapitel 18 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
647
(Fortsetzung) Task
Kapitelüberschrift
Auswählen der Serverrolle. Auswählen eines Clustermodells. Durchführen einer Kapazitätsplanung für den Clusterdienst. Auswählen von Programmen, die zur automatisierten Einrichtung des Clusterdienstes dienen.
Planen des Clusterdienstes Planen des Clusterdienstes Planen des Clusterdienstes
Optimieren derCluster. Planen fehlertoleranter Datenträger. Testen der Serverkapazität.
Clusteroptimierung Planen fehlertoleranter Datenträger Testen der Serverkapazität
Planen einer Sicherungs- und Wiederherstellungsstrategie.
Planen einer Clustersicherungs- und Wiederherstellungsstrategie
Planen des Clusterdienstes
Zusätzliche Ressourcen ? Weitere Informationen zu Windows Clustering finden Sie in der Onlinehilfe von
Windows 2000 Advanced Server. ? Weitere Informationen zur Windows Clustering-API finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Platform SDK“ klicken. ? Weitere Informationen zum WinDNA Performance Kit finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „WinDNA Performance Kit“ klicken. ? Weitere Informationen zu den verschiedenen Hardware-RAID-Konfigurationen finden Sie: ? auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. ? auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft TechNet“ klicken.
647
K A P I T E L
1 9
Festlegen der Speicherverwaltungsstrategien von Windows 2000 Netzwerkadministratoren, die mit alltäglichen Aufgaben der Netzwerkverwaltung konfrontiert sind und die Anforderungen an Datenverwaltung und Speichersysteme kennen, müssen sich mit den neuen Speicherverwaltungsfunktionen von Microsoft® Windows® 2000 Server vertraut machen. Bei der Planung der Windows 2000-Einrichtung sollten Sie diese neuen Funktionen in Ihre Speicherverwaltungsstrategie integrieren. Setzen Sie Datenträgerverwaltung, Wechselmedien, Remotespeicher, Windows Clustering, Verteiltes Dateisystem (DFS – Distributed File System), Microsoft® Indexdienst und andere Funktionen ein, um Ihre Speicherverwaltung zu verbessern. Weitere Themen in diesem Kapitel sind Überlegungen zur Auswahl eines Datenspeichersystems, Fehlertoleranz und Sicherungsstrategien sowie Methoden der Notfallwiederherstellung. In diesemKapitel Verbessern der Speicherverwaltungsfunktionen 648 Verwalten der Datenträgerressourcen 652 Optimieren der Datenverwaltung 660 Verbesserter Datenschutz 670 Verbessern der Notfallwiederherstellung 672 Planungstaskliste für die Speicherverwaltung 676 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Speicherkonfigurationsrichtlinie ? Notfallwiederherstellungsplan ? Speicherverwaltungsplan
Weiterführende Information in der technischen Referenz ? Weitere Informationen zur Verwendung von Wechselmedien und Remotespeicher finden Sie unter „Speicherung und Verwaltung von Daten“ in Microsoft Windows 2000 Server – Die technische Referenz: Betrieb. ? Weitere Informationen zu Sicherungsplanung, -strategien und -verfahren finden Sie unter „Sicherung“ und „Planen einer zuverlässigen Konfiguration“ im Band Betrieb. ? Weitere Informationen zur Notfallwiederherstellung finden Sie unter „Reparatur und Wiederherstellung“ im Band Betrieb.
648
Teil V Erweiterte Verwaltung
Verbessern der Speicherverwaltungsfunktionen Die Verbesserung Ihrer Speichersysteme und deren Verwaltung spielt nicht nur bei der Einrichtung von Windows 2000 Server eine wichtige Rolle, sie ist auch ein kritischer Teil jeder Netzwerkinfrastruktur. Bei den enormen Datenmengen, die in einer Unternehmensumgebung anfallen, müssen Sie über aktuelle Datenschutztechnologien informiert sein, damit Sie die Hard- und Software auswählen können, die Ihren Netzwerkanforderungen am besten entsprechen. Microsoft Windows 2000 stellt verschiedene Funktionen zur Verwaltung von Datenträgerressourcen bereit, mit denen Leistungsverhalten und Datenschutz verbessert werden können. Dazu gehören die folgenden Funktionen: Datenträgerverwaltung zur Einrichtung und Organisation von DatenträgerSpeichersystemen. Wechselmedien zur Verwaltung einer neuen Klasse von Speichermedien. Remotespeicher zum Verlagern ungenutzter Dateien auf Remotespeichermedien. Die folgenden Funktionen von Windows 2000 unterstützen Sie bei der effizienten Datenverwaltung: Windows Clustering zur Erleichterung der Verwaltung und Verbesserung der Verfügbarkeit von Daten und Anwendungen. VerbesserungendesDateisystems zur Verbesserung von Leistung, Verfügbarkeit, Sicherheit und Verwaltbarkeit von freigegebenen Informationen und Ressourcen, u. a. NTFS-Dateisystem und Kontingentverwaltung. Verteiltes Dateisystem (DFS) zum Einbinden von Freigaben in einen einzigen Namespace, womit Datensuche und Datenverwaltung vereinfacht werden. Indexdienst zur schnellen Dateisuche nach Inhalt und Eigenschaften. Zusätzlich zu diesen Funktionen bietet Windows 2000 Funktionen zur Fehlertoleranz und Sicherung, die den Datenschutz verbessern. Die folgenden Abschnitte beschreiben diese Funktionen ausführlicher. Sie müssen sich mit den Speicherverwaltungsfunktionen von Windows 2000 vertraut machen und Ihre vorhandenen Einsatzplanungsdokumente durch einen Speicherverwaltungsplan ergänzen.
Erstellen des Speicherverwaltungsplans Beim Erstellen Ihres Speicherverwaltungsplans müssen Sie viele Aspekte berücksichtigen. Größere Unternehmen sollten ein Speicherverwaltungsteam zusammenstellen, das den Bedarf an Datenspeichersystemen ermittelt und die entsprechenden Pläne erstellt. In einigen Organisationen werden unter Umständen mehrere Teams erforderlich, die sich der jeweils relevanten Fragen annehmen, z. B. ein Team für Aspekte der Sicherung und Wiederherstellung, ein weiteres für die Datenverwaltung und ein Team, das sich mit Speicherverwaltung befasst. Jedes Team ermittelt zunächst die Speicheranforderungen des Unternehmens und erstellt eine Speicherverwaltungsstrategie.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
649
Ziehen Sie bei der Erstellung Ihres Speicherverwaltungsplans die Verwendung des Planungsverfahrens in Betracht, das in Abbildung 19.1 dargestellt ist.
Abbildung 19.1
Planungsprozess für eine Speicherverwaltungsstrategie
Analysieren des Speicherbedarfs Mit der steigenden Zahl und Größe von Unternehmensnetzwerken werden immer mehr Lösungen für Netzwerkspeichersysteme verfügbar. Jede Organisation folgt anderen Prioriäten bei der Auswahl von Medien und Methoden zur Datenspeicherung. Während bei einigen die Kostenfaktoren dominieren, stellen andere den Leistungsaspekt über alle sonstigen Erwägungen. Bei der Ermittlung Ihres Speicherbedarfs müssen Sie mögliche Datenverluste, Produktivitäts- und Umsatzeinbußen den Kosten eines Speichersystems gegen-
650
Teil V Erweiterte Verwaltung
überstellen, das hohe Leistung und Zuverlässigkeit bietet. Berücksichtigen Sie bei der Entwicklung Ihrer Speicherverwaltungsstrategie die folgenden Faktoren: ? Technologien, die für Ihre Organisation das beste Preis-/Leistungsverhältnis
bieten. ? Angemessene Speicherkapazität, die sich dem wachsenden Netzwerk leicht anpasst. ? Notwendigkeit, schnell und rund um die Uhr auf kritische Daten zugreifen zu können. ? Eine sichere Umgebung für die Datenspeicher. Wenn Sie eine kosteneffektive Lösung suchen, müssen Sie die Kosten für den Kauf und die Wartung von Hard- und Software gegen die vielleicht katastrophalen Konsequenzen eines Datenverlusts abwägen. Überprüfen Sie die folgenden Kostenfaktoren: ? Anfangsinvestitionen in Hardware wie Band- und Festplattenlaufwerke,
Netzteile und Controller. ? Dazugehörige Medien wie Magnetbänder und CD-Rohlinge. ? Software, z. B. Speicherverwaltungs- und Sicherungsprogramme. ? Laufende Wartungskosten für Hard- und Software. ? Personalkosten. ? Schulung im Einsatz der neuen Technologien. ? Speichereinrichtungen außerhalb des Standorts.
Vergleichen Sie diese mit den folgenden Kostenfaktoren: ? Wiederbeschaffungskosten für Datei-, Mail- und Druckserver. ? Wiederbeschaffungskosten für Server, auf denen Anwendungen wie
Microsoft ® SQL Server™ oder Microsoft® Systems Management Server (SMS) ausgeführt werden. ? Wiederbeschaffungskosten für Gatewayserver, auf denen der Routing- und RAS-Dienst, Microsoft® SNA Server, Microsoft® Proxy Server oder Novell NetWare ausgeführt werden. ? Wiederbeschaffungskosten für Arbeitsplatzrechner in verschiedenen Abteilungen. ? Wiederbeschaffungskosten für einzelne Computerkomponenten wie Festplatten oder Netzwerkkarten. Ein weiterer wichtiger Aspekt, den Sie bei der Auswahl eines Speichersystems berücksichtigen sollten, betrifft die Geschwindigkeit, mit der Daten wiederherstellbar sind. Wenn die Daten auf einem Server verloren sind, wie schnell können Sie diese Daten wiederbeschaffen? Wie lange können Sie sich einen nicht betriebsbereiten Server (oder einen Ausfall des gesamten Netzwerks) leisten, ohne gravierende Auswirkungen auf Ihre Geschäftstätigkeit hinnehmen zu müssen? Speichertechnologien ändern sich rasch. Vergleichen Sie deshalb die jeweiligen Vorzüge der verschiedenen Techniken, bevor Sie eine Kaufentscheidung treffen. Das Speichersystem, für das Sie sich schließlich entscheiden, muss über ausreichend Kapazität zur Sicherung der kritischsten Daten verfügen. Es sollte
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
651
darüber hinaus Verfahren zur Fehlererkennung und -korrektur während der Sicherung und Wiederherstellung zur Verfügung stellen.
Auswählen eines Datenspeichersystems Beantworten Sie die folgenden Fragen, um das Speichersystem zu ermitteln, das Ihren Anforderungen am besten entspricht: Wie viele Daten müssen Sie gegenwärtig speichern? Wenn Sie sehr große Datenmengen sichern müssen, stellt ein Bandspeichersystem vermutlich die beste Wahl dar. Die Kosten pro Megabyte liegen bei Magnetbändern wesentlich niedriger als bei anderen Datenträgern. Wie sieht der zukünftige Datenspeicherbedarf aus? In vielen Unternehmen verdoppelt sich der Speicherbedarf jedes Jahr. Beziehen Sie diesen Faktor in Ihre Überlegungen ein, und beschaffen Sie ein Speichersystem, das über die aktuellen Anforderungen hinausgeht, oder ein skalierbares System, das an den wachsenden Bedarf angepasst werden kann. Vergleichen Sie zur Beurteilung der aktuellen Situation eine Datenspeicherung, die mehrere Jahre zurückliegt, mit Ihrem aktuellen Stand, und schätzen Sie anhand dieser Steigerung Ihren zukünftigen Bedarf ab. Wie viele Benutzer oder Anwendungen greifen gleichzeitig auf das Speichersystem zu? Viele Hersteller bieten Systeme mit mehreren Laufwerken an, die gleichzeitige Zugriffe auf mehrere Laufwerke erlauben. Auf diese Weise können verschiedene Benutzer oder Anwendungen gleichzeitig auf das System zugreifen, ohne die Leistung zu beeinträchtigen. Wie wichtig ist die Datenzugriffszeit? Wird Ihre Datenbibliothek vorwiegend für Datenzugriffe in Echtzeit genutzt, ist die Zugriffszeit der wichtigste Faktor von allen. In diesem Fall stellen CD-ROMLaufwerke die beste Lösung dar, weil die Möglichkeit des wahlfreien Zugriffs bei CD-ROMs die Suchzeit auf ein Mindestmaß begrenzt. Die Datenzugriffszeit ergibt sich aus zwei Werten: Suchzeit und Transferrate. Die Nachteile dieser Lösung sind in den Kosten und in der Geschwindigkeit zu sehen: die Datentransferrate ist niedriger als bei Bandgeräten, es sei denn, Sie verwenden die aktuellsten Hochgeschwindigkeitslaufwerke, und die Kosten pro Megabyte liegen höher als bei Magnetbändern. Wie wichtig ist die Datentransferrate? Wird Ihr Datenspeichersystem vorwiegend für Datenarchivierung und -sicherung genutzt, stellt die Datentransferrate den entscheidenden Faktor dar. Trifft dies zu, ist ein Magnetbandsystem möglicherweise die bessere Wahl, weil die Datentransferrate von Bandlaufwerken die Geschwindigkeit von CD-ROM-Laufwerken etwa um das Zehnfache übertrifft. Die Pro-Megabyte-Kosten für Bandgeräte sind zudem niedriger. Dagegen spricht allerdings die Datenzugriffszeit, die bei Bandgeräten mehrere Minuten dauern kann, weil Zugriffe linear erfolgen. Wie hoch ist Ihr Budget? Auch hier gilt: Kalkulieren Sie die möglichen Kosten durch verlorene oder beschädigte Daten und durch unzuverlässige Hardware verursachte Ausfallzeiten ein, bevor Sie entscheiden, welche Ausgaben Sie sich leisten können. Sind die
652
Teil V Erweiterte Verwaltung
gespeicherten Daten wichtig für Ihre Organisation, steht das Risiko, das Sie eingehen, möglicherweise in keinem Verhältnis zu der Kostenersparnis durch eine preiswerte Lösung. Außerdem sollten Sie die Gesamtkosten im Auge behalten. Die Beschaffungskosten für bestimmte Geräte sind zwar relativ niedrig, dafür liegen die Kosten pro Megabyte wesentlich höher. Dies trifft vor allem auf CD-ROM-Systeme zu. Normalerweise wird für Datenträger im Lauf der Zeit mehr Geld ausgegeben als ursprünglich für das Speichergerät. Um die Auswahl des geeigneten Speichersystems zu erleichtern, sollten Sie zwei oder mehrere Modelle mit verschiedenen Hard- und Softwarelösungen erstellen und die Unterschiede bei der Speicherkapazität und dem Datenschutz analysieren. Kalkulieren Sie auch das geplante Wachstum ein. Tabelle 19.1 zeigt die relative Eignung möglicher Hardware- und Softwarespeicherlösungen auf: 5 steht für die beste verfügbare Lösung, 1 ist die am wenigsten geeignete Lösung. Mit Hilfe dieser Tabelle können Sie die Speichersysteme ermitteln, die sich für Ihre Organisation eignen. Tabelle 19.1 Ausgewählte Hardware- und Softwarespeicherlösungen Lösung
Verfügbarkeit
Reaktionszeit
Kapazität
Unterstützung mehrerer Benutzer
CD-ROM/DVD-ROM
41
3
2-3
2
CD-ROM-Bibliothek CD-ROM-Laufwerkarray Dfs
4 5 5
2 4 3-4
5 4 5
5 4 5
Festplatte Festplattenspiegelung mit zwei Controllern (Duplex)
3 5
4 4
3 2-3
3 2
Stripeset Stripeset mit Parität Bandgerät
1 4 3
5 3 2
4 3-4 4
4 4 1
Bandbibliothek
3
1
5
4
1
5 – Hoch/1 – Niedrig
Nachdem Sie Ihr Speicherverwaltungsteam zusammengestellt, Ihren Speicherbedarf ermittelt und Ihr Budget festgelegt haben, sollten Sie die Speicherfunktionen von Windows 2000 analysieren.
Verwalten der Datenträgerressourcen Windows 2000 stellt verschiedene Speicherfunktionen zur Verfügung, die Sie bei der Datenspeicherung und -verwaltung unterstützen. Dazu gehören die Datenträgerverwaltung, Wechselmedien und Remotespeicher. In den folgenden Abschnitten werden diese Funktionen erläutert.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
653
Festplattenverwaltung Das Datenträgerverwaltungs-Snap-In für Microsoft Management Console (MMC) ist ein Programm zur Verwaltung von Festplattensystemen. Assistenten unterstützen Sie beim Erstellen von Partitionen oder Datenträgern bzw. beim Initialisieren und Aktualisieren von Festplatten. Windows 2000 bietet neue Schlüsselfunktionen zur Datenträgerverwaltung: Online-Datenträgerverwaltung Sie können Verwaltungsaufgaben durchführen, ohne das System herunterzufahren oder Benutzer zu unterbrechen. Unter anderem können Sie verschiedene Partitionsauslegungen erstellen und unterschiedliche Schutzmechanismen auswählen, z. B. Festplattenspiegelung und Festplattenstriping, ohne das System neu zu starten. Sie können auch Festplatten ohne Neustart hinzufügen. Die meisten Konfigurationsänderungen treten sofort in Kraft. Remote-Datenträgerverwaltung Ein Administrator kann jeden Remotecomputer (bzw. lokalen Computer) verwalten, auf dem Windows 2000 ausgeführt wird. Abbildung 19.2 zeigt einige der im Menü Ansicht der Datenträgerverwaltung zur Verfügung stehenden Optionen.
Abbildung 19.2 Datenträgerverwaltungs-Snap-In für MMC
654
Teil V Erweiterte Verwaltung
Basisspeicher und dynamischer Speicher In Windows 2000 wird der Festplattenspeicher in zwei Kategorien unterteilt: Basisspeicher und dynamischer Speicher. Basisspeicher unterstützt Festplatten mit Partitionen. Eine Basisfestplatte kann primäre Partitionen, erweiterte Partitionen und logische Laufwerke enthalten. Basisfestplatten können auch übergreifende Datenträger (Datenträgersätze), gespiegelte Datenträger (Spiegelsätze), Stripesetdatenträger (Stripesets) und RAID-5-Datenträger umfassen. In Microsoft® Windows NT® 4.0 und früheren Versionen wurde RAID-5 als Stripeset mit Parität bezeichnet. Sollen Computer, auf denen Windows NT 4.0 oder frühere Versionen, Microsoft ® Windows® 98 oder frühere Vresionen bzw. Microsoft® MS-DOS ® ausgeführt wird, auf diese Datenträger zugreifen, müssen Sie Basisdatenträger erstellen. Dynamischer Speicher unterstützt datenträgerorientierte Festplatten und wurde in Windows 2000 neu eingeführt. Dieses Speicherprinzip hebt die Beschränkungen der Festplattenpartitionierung auf und ermöglicht fehlertolerante Speichersysteme mit mehreren Festplatten. Darüber hinaus können Sie Festplatten und Datenträger verwalten, ohne das Betriebssystem neu zu starten. Auf einer dynamischen Festplatte wird der Speicher in Datenträger und nicht in Partitionen unterteilt. Ein Datenträger besteht aus einem oder mehreren Anteilen einer oder mehrerer physischer Festplatten in einer der folgenden Auslegungen: einfach, übergreifend, gespiegelt, Stripesets und RAID-5-Datenträger. Dynamische Festplatten können keine Partitionen oder logischen Laufwerke enthalten, und Systeme unter MSDOS oder Microsoft® Windows® 98 und früheren Versionen können nicht auf diesen Speicher zugreifen. Sie können dynamischen Speicher zur Einrichtung eines fehlertoleranten Systems mit mehreren Festplatten verwenden. Wenn Sie neue Festplatten an Ihren Computer anschließen, müssen Sie diese initialisieren, bevor Sie Datenträger oder Partitionen erstellen können. Wählen Sie beim Initialisieren der Festplatte dynamischen Speicher, wenn Sie einfache Datenträger auf dieser Festplatte oder durch Kombination mit anderen Festplatten übergreifende, gespiegelte, Stripeset- oder RAID-5-Datenträger erstellen möchten. Wählen Sie Basisspeicher, wenn Sie Partitionen und logische Laufwerke auf der Festplatte erstellen möchten. Tabelle 19.2 fasst die Verwaltungsfunktionen der Datenträgerverwaltung für Basis- und dynamische Festplatten zusammen. Tabelle 19.2 Verwaltungsfunktionen von Basis- und dynamischen Festplatten Funktion
Basisfestplatte
Erstellen und Löschen primärer und erweiterter Partitionen. Erstellen und Löschen logischer Laufwerke in einer erweiterten Partition. Formatieren und Benennen einer Partition sowie Kennzeichnen als aktive Partition. Löschen eines Datenträgersatzes. Aufteilen eines Spiegelsatzes.
X
Reparieren eines Spiegelsatzes. Reparieren eines Stripesets mit Parität.
X X
X X X X
Dynamische Festplatte
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
655
(Fortsetzung) Funktion Aktualisieren einer Basisfestplatte auf eine dynamische Festplatte. Erstellen und Löschen einfacher, übergreifender, gespiegelter, Stripeset- und RAID-5-Datenträger. Erweitern eines Datenträgers auf einer oder mehreren Festplatten.
Basisfestplatte
Dynamische Festplatte
X X X
Hinzufügen oder Entfernen eines Spiegelsatzes zu bzw. von einem gespiegelten Datenträger.
X
Reparieren eines gespiegelten Datenträgers. Reparieren eines RAID-5-Datenträgers. Überprüfen der Festplatteninformationen, z. B. Kapazität, verfügbarer freier Speicher und aktueller Status. Überprüfen von Datenträger- und Partitionseigenschaften, z. B. Größe. Zuordnen und Ändern von Laufwerkbuchstaben für Festplattendatenträger oder Partitionen und CD-ROMLaufwerke.
X
X X X
X
X
X
X
X X
X X
Erstellen von Bereitstellungspunkten. Erstellen oder Bestätigen von Freigaben und Zugriffsberechtigungen für Datenträger und Partitionen.
Datenträgerverwaltung Windows 2000 weist wesentliche Verbesserungen in der Architektur der Datenträgerverwaltung auf. Zur Datenträgerverwaltung zählen alle Prozesse, die sich unter die Begriffe Erstellen, Löschen, Ändern und Instandhalten von Datenträgern eines Systems subsumieren lassen. Die neue Architektur verbessert die Verwaltungs- und Wiederherstellungsmöglichkeiten von Datenträgern in einer Unternehmensumgebung. Mit der Einführung des Dienstes für die Verwaltung logischer Datenträger (LDM – Logical Disk Manager) sind Erweiterungen und Verbesserungen in den Bereichen Fehlertoleranz, Systemwiederherstellung und Verwaltungsfunktionen verbunden. Zudem können Datenträger durch gekapselte Datenträgerinformationen problemlos verschoben werden. Dieser Dienst ist für das Erstellen und Löschen von Datenträgern, Fehlertoleranzfunktionen (RAID) und Datenträgerüberwachung zuständig. Mit dem Datenträgerverwaltungs-Snap-In werden lokale und Remotedatenträger verwaltet. Zur Datenträgerverwaltung gehören die folgenden Funktionen: ? Erstellen beliebig vieler Datenträger im freien Speicher einer physischen
Festplatte oder Erstellen von übergreifenden Datenträgern, die zwei oder mehrere Festplatten umfassen. ? Jeder Datenträger einer Festplatte kann mit einem anderen Dateisystem formatiert werden, z. B. mit FAT oder NTFS.
656
Teil V Erweiterte Verwaltung ? Änderungen der Festplattenkonfiguration werden größtenteils sofort durch-
geführt. Sie müssen weder die Datenträgerverwaltung beenden, um die Einstellungen zu speichern, noch den Computer neu starten, um sie zu implementieren.
Bereitstellungspunkte Die Erstellung von Bereitstellungspunkten ist Teil der Datenträgerverwaltung. Bereitstellungspunkte stellen eine schnelle Methode dar, Daten online und offline zu schalten. Im internen Namespace von Windows 2000 werden sie als Dateisystemobjekte geführt, die Speicherdatenträger repräsentieren. Wenn Sie einen Bereitstellungspunkt in einem leeren NTFS-Verzeichnis anlegen, können Sie neue Datenträger in den Namespace einfügen, ohne zusätzliche Laufwerkbuchstaben zu vergeben. Sie können Bereitstellungspunkte beispielsweise auf einem Computer verwenden, der nur ein Laufwerk und einen einzigen, als C: formatierten Datenträger aufweist, um die Festplatte C:\Spiele bereitzustellen. Bereitstellungspunkte können zu den folgenden Verwendungszwecken eingesetzt werden: Bereitstellen zusätzlicher Speicherkapazität für Programme Sie können eine Festplatte beispielsweise als C:\Programme bereitstellen. Wenn Sie zusätzlichen Speicherplatz benötigen, fügen Sie eine weitere Festplatte hinzu und verbinden diese mit der Festplatte von C:\Programme zu einem übergreifenden Datenträger. ErstellenverschiedenerSpeicherkategorien Legen Sie zunächst zur Leistungssteigerung einen Datenträgersatz an, und stellen Sie diesen als C:\Scratch bereit. Erstellen Sie dann aus Sicherheitsgründen einen Spiegelsatz, und stellen Sie diesen als C:\Projekte bereit. Benutzer nehmen die Bereitstellungspunkte als normale Verzeichnisse wahr, aber während das Scratchverzeichnis schnelle Zugriffe erlaubt, ist das Projektverzeichnis durch einen Spiegelsatz geschützt. Erstellen mehrerer BereitstellungspunktefüreinenDatenträger Ein Datenträger wird beispielsweise als C:\Spiele und als C:\Projekte bereitgestellt. Sie müssen allerdings bedenken, dass Schleifenverkettungen im Namespace nicht unterbunden werden. Wenn Sie einen Datenträger als D und als D:\Doks bereitstellen, erzeugen Sie eine Schleife im Namespace, weil D auf sich selbst verweist. Anwendungen, die Verzeichnisse auflisten, geraten auf diesem Datenträger in eine Endlosschleife. Bereitstellungspunkte verhalten sich bei Systemveränderungen durch Hinzufügen oder Entfernen von Datenträgern stabil. Die Anzahl der Datenträger, die Sie erstellen können, ist damit nicht mehr auf die Anzahl der verfügbaren Laufwerkbuchstaben begrenzt.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
657
Defragmentierung Eine weitere Funktion der Datenträgerverwaltung ist das Defragmentierungsprogramm. Mit diesem Programm können Sie fragmentierte Dateien und Ordner analysieren und Cluster auf einem lokalen Datenträger reorganisieren. Das Defragmentierungsprogramm ordnet Cluster neu an, um Dateien, Ordner und freien Speicher in zusammenhängenden Blöcken zu organisieren. Durch zusammenhängende Blöcke werden Zugriffe auf vorhandene Dateien und Ordner beschleunigt und neu erstellte Dateien und Ordner effizienter gespeichert. Bei erheblicher Fragmentierung kann das Defragmentierungsprogramm die Gesamtleistung des Systems in Bezug auf Datenträgereingabe/-ausgabe (E/A) signifikant verbessern. Das Defragmentierungsprogramm entscheidet, wo Dateien auf der Festplatte angeordnet werden, aber NTFS und FAT verschieben die Cluster. Sie können dieses Programm auf Datenträgern einsetzen, die mit FAT16, FAT32 oder NTFS formatiert sind.
Überlegungen zur Verwendung von dynamischem Speicher Berücksichtigen Sie beim Erstellen von Datenträgern die folgenden Gesichtspunkte: ? Dynamischer Speicher beruht auf einem datenträgerorientierten Prinzip der
Festplattenorganisation. Windows NT Server ist nicht kompatibel mit dynamischen Festplatten. ? Das Setup-Programm von Windows 2000 ermöglicht die Konfiguration des Festplattenspeichers während der Aktualisierung auf Windows 2000 Server. Hinweis Sie können neue Datenträger und Partitionen mit nicht zugeordnetem Festplattenspeicher erstellen, ohne Datenverluste auf vorhandenen Datenträgern befürchten zu müssen. Wenn Sie aber vorhaben, die Datenträgertopologie zu ändern, müssen Sie Ihre Daten sichern, weil bei Änderungen auf vorhandenen Datenträgern alle bestehenden Daten gelöscht werden. ? Sie können die interne Festplatte eines neuen Computers bei der Installation des
Betriebssystems Windows 2000 Server während der ersten Phase von Setup konfigurieren. Nachträgliche Änderungen an der Datenträgerkonfiguration führen Sie mithilfe der Datenträgerverwaltung durch. Weitere Informationen zur Datenträgerverwaltung finden Sie unter „Datenträgerkonzepte und Fehlerbehebung“ und „Speicherung und Verwaltung von Daten“ in Microsoft Windows 2000 Server – Die technische Referenz: Betrieb.
Wechselmedien Die neue Technologie des Wechselspeichersystems stellt eine weitere Verbesserung der Speicherverwaltung dar. Sie ermöglicht die gemeinsame Nutzung von lokalen Bibliotheken, Band- oder Festplattenlaufwerken durch mehrere Anwendungen. Das System unterstützt eigenständige Speichergeräte, Onlinemedienbibliotheken und Roboterwechsler sowie Wechselplatten und -bandlaufwerke. Zu den eigenständigen Geräten zählen CD-ROM-, DVD-ROM- und Bandlaufwerke (u. a. 4mm, DLT, 8mm) sowie Festplattenlaufwerke mit hoher Kapazität.
658
Teil V Erweiterte Verwaltung
Das Wechselspeichersystem steuert auch die Wechselmedien eines einzelnen Servers. Darüber hinaus führt es Funktionen in Kooperation mit der Sicherungsfunktion und dem Remotespeicher aus. Die wichtigste Funktion des Wechselspeichersystems ermöglicht es Anwendungen, Medienpools zu erstellen und zu nutzen und als deren Eigentümer zu agieren. Speichergeräte sind – wie auch bei Festplatten üblich – sehr häufig über SCSIAdapter (Small Computer System Interface) oder IDE-Schnittstellen (Integrated Device Electronics) an das System angeschlossen. Auch neuere Technologien, die einfachere Handhabung und höheren Durchsatz bieten, z. B. Fibre Channel, IEEE 1394 und intelligente E/A (I2O) werden mit zunehmender Häufigkeit eingesetzt. Eigenständige Geräte werden meist bei Einzelbenutzersystemen eingesetzt. Bibliotheken fassen mehrere Laufwerke – CD-ROM, DVD-ROM, magnetooptische (MO) Medien oder Bandgeräte zusammen. Diese können mit Roboterwechslern kombiniert werden, die eine weitgehend automatisierte Verwaltung der einzelnen Speichermedien ermöglichen. Die Kapazität reicht von kleinen CDWechslern mit drei Laufwerken bis zu Band- oder Festplattenbibliotheken mit hoch komplexen Anwendungen in großen Unternehmen. Bibliotheken sind meist mit Servern verbunden, werden aber zunehmend auch mit Einzelbenutzersystemen eingesetzt. Mit dem Wechselspeichersystem können Sie folgende Aufgaben durchführen: ? Überwachen der Online- und Offlinemedien. ? Bereitstellen von Medien und Aufheben der Bereitstellung. ? Einlegen und Auswerfen von Bibliotheksmedien. ? Statusüberprüfung von Medien und Bibliotheken. ? Erstellen von Medienpools und Setzen von Eigenschaften für Medienpools. ? Setzen von Sicherheitsparametern für Medien und Medienpools. ? Inventarisierung von Bibliotheken.
Hinweis Ihr Sicherungsprogramm muss mit dem Wechselspeichersystem kompatibel sein, damit Sie diese Funktionen einsetzen können.
Remotespeicher Remotespeicher ist das hierarchische Speicherverwaltungssystem von Windows 2000 Server. Mit dem Remotespeicherverwaltungs-Snap-In für MMC können Sie ungenutzte Dateien in eine Bandbibliothek verschieben. Durch regelmäßiges Auslagern von Dateien können Sie den freien Speicherplatz auf Festplatten erhöhen. Aus der Benutzerperspektive sind die ausgelagerten Dateien immer noch aktiv, der Zugriff erfolgt jedoch langsamer. Die Speicherhierarchie besteht aus zwei Ebenen. Die höchste Ebene wird als lokaler Speicher bezeichnet. Er umfasst die lokalen NTFS-Datenträger eines Computers, der den Remotespeicherdienst auf einem Windows 2000-Server ausführt. Die lokalen Datenträger, die der Kontrolle des Remotespeicherdienstes unterliegen, werden als verwaltete Datenträger bezeichnet.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
659
Die untere Ebene der Speicherhierarchie, der Remotespeicher, enthält die Daten, die vom lokalen Speicher in eine Onlinebibliothek oder auf andere Speichergeräte kopiert wurden. Sinkt der freie Speicher auf einem lokalen Datenträger unter das erforderliche Niveau, kürzt der Remotespeicher Daten aus lokalen Dateien, die vorher in den Remotespeicher kopiert wurden, und schafft auf diese Weise freien Speicherplatz. Wenn Daten verschoben werden, wird eine Markierung gesetzt, die den Zugriff auf diese Datei ermöglicht. Die Datenverwaltung durch den Remotespeicher erfolgt nach den Richtlinien, die der Administrator für die einzelnen lokalen Datenträger setzt. Das Verlagern von Dateien kann nach einem definierten Zeitplan oder nach bestimmten Kriterien und Regeln erfolgen, die an die zu verschiebenden Dateien geknüpft sind. Im Einzelnen können Sie die folgenden Funktionen durchführen: ? Zuordnen und Konfigurieren von Remotespeichergeräten und -medien. ? Setzen von systemweit gültigen Optionen. ? Konfigurieren der Einstellungen für die im Remotespeicherdienst verwalteten
Datenträger. ? Anzeigen von Informationen über die Remotespeicheraktivität. ? Wiederherstellen nach Medienausfällen. ? Erstellen und Erteilen von Aufträgen. Vergleicht man die Kosten pro Megabyte Speicher von Magnetbändern und Festplatten, stellt Remotespeicher eine ökonomische Methode dar, die immense Speicherkapazität von Bandlaufwerken mit dem hohen Datendurchsatz lokaler Festplatten zu verbinden. Hinweis Die eingesetzten Sicherungs- und Antivirenprogramme müssen mit Remotespeicher kompatibel sein. Administratoren müssen sicherstellen, dass Dateivorgänge auf Datenträgern erledigt sind, bevor der Remotespeicher aktiviert wird, damit Sie nicht alle Dateien auf die Festplatte zurückverschieben müssen. Die Sicherungsfunktion liest die Daten direkt vom Band.
Beziehung zwischen Remotespeicher und Wechselmedien Der Remotespeicherdienst nutzt den Wechselmediendienst, um Daten in Onlinebibliotheken zu kopieren, die austauschbare Medien enthalten. Abbildung 19.3 stellt die Beziehungen zwischen diesen Speichersystemen und verschiedenen Speichergeräten dar.
660
Teil V Erweiterte Verwaltung
Abbildung 19.3 Beziehungen zwischen Remotespeicher, Wechselmedien und Speichergeräten
Überlegungen zur Verwendung von Remotespeicher Die Verwendung von Remotespeicher weist die folgenden Vorteile auf: ? Virtuelle Erweiterung des lokalen Speichers durch Verwendung von
kostengünstigem Remotespeicher. ? Transparenter und automatischer Zugriff auf Daten im Remotespeicher. ? Automatisierung der Arbeitsabläufe, die mit alltäglichen Vorgängen der
Datenverwaltung verbunden sind. ? Zentralisiertes Freigeben von Remotespeicher für mehrere Datenträger. Remotespeicher stellt keinen Ersatz für Sicherungskopien dar, da nur eine Instanz der Daten existiert. Auf die regelmäßige Sicherung des Datenträgers kann keinesfalls verzichtet werden. Die Sicherungsfunktion ist in die Remotespeicherung integriert; Sie müssen also nicht alle Daten auf die Festplatte zurückübertragen, da die Sicherung die Daten direkt vom Band liest.
Optimieren der Datenverwaltung Die folgenden Windows 2000-Funktionen ermöglichen eine effizientere Datenverwaltung in Unternehmensumgebungen: ? Windows Clustering ? NTFS-Dateisystem ? Kontingentverwaltung ? Verteiltes Dateisystem (DFS)
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
661
? Indexdienst
Windows Clustering Wenn Sie hohe Verfügbarkeit mit vereinfachter Verwaltung kombinieren möchten, sollten Sie Clustering in die Speicherstrategie für Ihr Unternehmensnetzwerk einbeziehen. Die Clusteringarchitektur reduziert Ausfallzeiten, da beim Ausfall eines einzelnen Servers die Funktionsfähigkeit des Gesamtsystems erhalten bleibt. Mit Windows Clustering können Sie zwei oder mehrere Server zu einem Servercluster verbinden; die einzelnen Server arbeiten zusammen und bilden ein Gesamtsystem. Diese Server werden als Knoten bezeichnet. Jeder Knoten ist unabhängig von den anderen Knoten im Cluster funktionsfähig. Die in Windows 2000 integrierte Clusterfunktionalität basiert auf offenen Spezifikationen, unterstützt Hardware, die dem Industriestandard entspricht, und erfüllt die Standards im Hinblick auf Benutzerfreundlichkeit. Jeder Knoten verfügt über eigenen Arbeitsspeicher und Systemdatenträger, ein eigenes Betriebssystem und eine Teilmenge der Clusterressourcen. Bei Ausfall eines Knotens wird ein als Failover bezeichneter Prozess initiiert, und der andere Knoten übernimmt die Ressourcen des ausgefallen Knotens. Der Clusterserver registriert die Netzwerkadresse der Ressource auf dem neuen Knoten, und der Clientverkehr wird an das betriebsbereite System weitergeleitet, das nun über die Ressource verfügt. Wird die ausgefallene Ressource später wieder online geschaltet, können Sie den Clusterserver so konfigurieren, dass die Ressourcen und Clientanfragen in angemessener Weise neu verteilt werden. Abbildung 19.4 zeigt eine Standardclusterkonfiguration unter Windows 2000.
Abbildung 19.4 Typische Zweiknotencluster-Konfiguration
Der Clusterdienst weist die folgenden Vorzüge auf: GemeinsameVerwaltung Mit dem Clusterverwaltungs-Snap-In für MMC verwalten Sie einen Cluster als Gesamtsystem. Auch Clientcomputer nehmen den Cluster als einzelnen Server wahr. Lastenausgleich Innerhalb des Clusters können Sie die Arbeitslast manuell
662
Teil V Erweiterte Verwaltung
verteilen oder Server für Wartungszwecke von Lasten befreien, ohne dass Daten und Anwendungen offline geschaltet werden müssen.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
663
Hohe Verfügbarkeit Clustering bietet hohe Verfügbarkeit durch automatische Wiederherstellung kritischer Daten und Anwendungen bei einer Reihe von typischen Systemausfällen. Fällt ein Knoten im Cluster aus, erkennt Windows Clustering diesen Ausfall und stellt die Prozesse, die zum Zeitpunkt des Ausfalls aktiv waren, wieder her. Der Ausfall eines Knotens im Cluster wirkt sich nicht auf den anderen Knoten aus. Wenn Sie Clustering in Ihrem Netzwerk noch nicht realisiert haben und Windows Clustering einrichten möchten, müssen Sie einige zusätzliche Aspekte bei Ihrer Einsatzplanung für Windows 2000 Server berücksichtigen, die mit der Einrichtung einer Clusterumgebung zusammenhängen. Weitere Informationen zur Planung einer Clusterumgebung finden Sie unter „Windows Clustering“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme, und in der Onlinehilfe von Windows 2000 Advanced Server. Hinweis Setzen Sie in Clusterumgebungen nur zertifizierte Konfigurationen ein, die in der Hardwarekompatibilitätsliste (HCL) aufgeführt sind. Die HCL steht online zur Verfügung. Weitere Informationen zu dieser Liste finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List (HCL)“ klicken.
Überlegungen zur Verwendung von Clustering in Ihrer Speicherstrategie Bedenken Sie die folgenden Vorteile, die sich aus der Einbeziehung einer Clusterumgebung in Ihre Speicherplanung ergeben: ? Clustering stellt hohe Verfügbarkeit ohne Datenreplikation her und garantiert
damit Datenkonsistenz, wobei die Speicheranforderungen und das Verkehrsaufkommen im Netzwerk kaum beeinflusst werden. ? Clustering bietet Wiederherstellungsfunktionen bei Softwarefehlern. ? Server teilen sich Festplattenarrays mit mehreren Anschlüssen. Hardwarebasierte RAID-Controller liefern die besten Leistungswerte bei externen Festplattenarrays. ? Clustering bietet hohe Verfügbarkeit von Daten, kann aber die Datenintegrität nicht sicherstellen.
Verbesserungen des Dateisystems Windows 2000 unterstützt das NTFS-Dateisystem und zwei FAT-Dateisysteme: FAT16 und FAT32. FAT eignet sich für kleine Festplatten und einfache Ordnerstrukturen. FAT16 wird in Windows 2000 unterstützt, um einen Aktualisierungspfad für frühere Versionen Windows-kompatibler Produkte bereitzustellen. Darüber hinaus ist FAT16 kompatibel mit den meisten Betriebssystemen von Drittanbietern. FAT32 unterstützt größere Datenträger, die mit FAT16 nicht mehr verwaltet werden können, und wurde in Microsoft® Windows®95 eingeführt. Windows 2000 unterstützt FAT32Dateisysteme.
664
Teil V Erweiterte Verwaltung
NTFS Die in Windows 2000 verwendete Version von NTFS zeichnet sich durch Leistungsfähigkeit, Zuverlässigkeit und Funktionen aus, die in FAT-Dateisystemen nicht enthalten sind. Die NTFS-Datenstrukturen ermöglichen es, die neuen Funktionen in Windows 2000 auszunutzen, z. B. den Verzeichnisdienst Microsoft ® Active Directory™ , die Änderungs- und Konfigurationsverwaltung, Analysepunkte (Verzeichnisabzweigungen und Bereitstellungspunkte), Unterstützung für Dateien mit geringer Datendichte, Objektkennungen, erweiterte Eigenschaftsattribute, das Änderungsjournal und viele andere neue und erweiterte Speicherfunktionen. Zur Unterstützung vieler neuen Funktionen wurden die NTFS-Datenstrukturen in Windows 2000 aktualisiert. Vorhandene NTFS-Datenträger werden auf die neue Version von NTFS bei der Installation von Windows 2000 aktualisiert. FAT16und FAT32-Datenträger können Sie jederzeit in dieses Format konvertieren. Formatieren der Windows NT-Partitionen mit NTFS anstelle von FAT ermöglicht die Nutzung von Wiederherstellungs- und Komprimierungsfunktionen, die nur mit NTFS zur Verfügung stehen. Darüber hinaus bieten NTFS-formatierte Datenträger höhere Zugriffsgeschwindigkeiten und zusätzliche Funktionen der Datei- und Ordnersicherheit. Wichtig Die in Windows 2000 verwendete NTFS-Version wird von früheren Versionen nicht unterstützt. In Dual-Boot-Systemen, bei denen eine Windows NT 4.0Installation einen NTFS-Datenträger lesen muss, der in Windows 2000 erstellt oder aktualisiert wurde, muss die Windows NT 4.0-Installation aktualisiert werden (Service Pack 4 oder höher).
Kontingentverwaltung Datenträgerkontingente gehören zu den neuen Funktionen der in Windows 2000 verwendeten NTFS-Version. Sie bietet bessere Kontrolle über die Speicherressourcen im Netzwerk. Sie können Datenträgerkontingente verwenden, um den Festplattenspeicher pro Benutzer oder pro Datenträger zu begrenzen und zu überwachen. Wenn Benutzer zum ersten Mal Daten auf einem Datenträger speichern, werden sie automatisch in die Kontingenttabelle eingetragen und erhalten ein Standardkontingent zugewiesen. Administratoren müssen also nicht für jeden Benutzer individuelle Kontingente definieren. Benutzer werden mit den Dateien belastet, deren Besitzer sie sind. Angenommen allen Benutzerordnern auf \\Marketing\Public wurde ein Speicherlimit von 5 MB eingeräumt. Kopieren Benutzer 5 MB Daten in ihren Ordner, können Sie keine weiteren Dateien in diesem oder einem anderen Ordner auf \\Marketing\Public erstellen oder kopieren. Sie können jedoch Dateien verschieben oder löschen. Festplattenspeicher wird nicht auf die Benutzer angerechnet, wenn sie eine vorhandene Datei ändern, die einem anderen Benutzer gehört. Denken Sie daran, dass einige Anwendungen, z. B. Microsoft ® Office, das Besitzrecht an einem Dokument auf den Benutzer übertragen, der es zuletzt bearbeitet hat. Kontingenteinstellungen gelten nur für den betreffenden Datenträger; d. h. das Kontingent auf Laufwerk C hat keinen Einfluss auf das Kontingent auf Laufwerk D.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
665
Sie können mit der Kontingentfunktion des Datenträgerverwaltungs-Snap-Ins für MMC die folgenden Maßnahmen durchführen: ? Aktivieren oder Deaktivieren von Kontingenten auf einem Datenträger. ? Verhindern, dass Benutzer weiteren Speicherplatz belegen, wenn Sie ihr Limit
überschritten haben. ? Überprüfen der Kontingentinformationen aller Benutzer eines Datenträgers. ? Einstellen der Standardwerte für die Warnschwelle und die Kontingentgrenze,
die neuen Benutzern auf diesem Datenträger zugewiesen werden. ? Sperren weiterer Speicheranforderungen und Ereignisprotokollierung, wenn ein Benutzer das angegebene Speicherlimit überschreitet. Benutzer können Dateien lesen, löschen und bearbeiten, solange sie nicht versuchen, mehr Speicherplatz anzufordern. Sie können sowohl Schwellenwerte als auch fixe Kontingentgrenzen setzen. Bei der Kontingentaktivierung können Sie zwei Werte einstellen: Kontingentgrenze Gibt die maximale Speicherplatzgröße an, die ein Benutzer in Anspruch nehmen kann. Warnschwelle Gibt den Wert an, bei dem der Administrator benachrichtigt wird, dass eine Kontingentgrenze bald erreicht ist. Die Warnung erfolgt in Form einer Ereignismeldung. Als Administrator können Sie angeben, dass Ereignisse automatisch protokolliert werden, wenn Benutzer Warnschwellen und Kontingentgrenzen überschreiten. Sie können die Kontingentgrenze eines Benutzers beispielsweise auf 50 MB setzen und die Warnschwelle auf 45 MB. Speichert dieser Benutzer mehr als 45 MB Daten auf dem Datenträger, protokolliert das Kontingentsystem ein Systemereignis. Eine weitere Option sieht vor, Benutzern, die ihr Kontingent überschritten haben, weiteren Speicherplatz zu verweigern. Wenn Sie diese Option aktivieren, können Benutzer keine Daten mehr auf diesen Datenträger schreiben, bevor sie nicht einige der vorhandenen Dateien gelöscht oder auf einen anderen Datenträger verschoben haben. NTFS zeigt die Meldung „Nicht genügend Speicherplatz“ an, wenn Benutzer versuchen, Speicher über das zugeteilte Maß hinaus anzufordern. Windows 2000 unterstützt Datenträgerkontingente mit den folgenden Funktionen: ? Richtlinien für umfassende Remoteverwaltung von Datenträgerkontingenten. ? Verbesserte Suchfunktion zur Ermittlung aller Dateien, die im Besitz eines
bestimmten Benutzers sind. Hinweis Windows 2000 Server unterstützt Datenträgerkontingente nur auf NTFSformatierten Datenträgern. Berücksichtigen Sie bei der Erstellung Ihrer Speicherverwaltungsstrategie die folgenden Vorteile von Datenträgerkontingenten: ? Überwachen des Speicherplatzes auf Benutzer- und Datenträgerbasis
ermöglicht eine bessere Planung der Datenträgerressourcen.
666
Teil V Erweiterte Verwaltung ? Die Begrenzung des Speicherplatzes ermöglicht eine effizientere Verwaltung
der Speicherressourcen, weil Benutzer angehalten sind, nicht mehr benötigte Dateien regelmäßig zu löschen. ? Mit dem Einsatz von Speicherkontingenten kann der Kosten- und Zeitaufwand für Sicherungsmedien und Wiederherstellung nachhaltig reduziert werden.
Verteiltes Dateisystem Das Verteilte Dateisystem (DFS) ist ein Bestandteil von Windows 2000 Server, das die Suche nach Dateien und die Dateiverwaltung in Unternehmensnetzwerken vereinfacht. DFS bietet Funktionen zur Zuordnung und einheitlichen Benennung von Servern, Freigaben und Dateien. Darüber hinaus stellt DFS Funktionen zur Organisation von Dateiservern und ihrer Freigaben in einer logische Hierarchie zur Verfügung, was die Verwaltung und Verwendung von Datenressourcen wesentlich erleichtert. Mit DFS kann eine einzelne Verzeichnisstruktur erstellt werden, die mehrere Dateiserver und Dateifreigaben für eine Gruppe, einen Geschäftsbereich oder ein Unternehmen umfasst. Jeder Windows 2000-Server kann als Host für einen DFSStamm oder DFS-Datenträger dienen. Ein DFS-Stamm ist eine lokale Freigabe, die als Startpunkt und Host für andere Freigaben dient. Ein Netzwerk kann viele verschiedene DFS-Datenträger enthalten, die alle eindeutig benannt sind. Eine DFS-Topologie ist ein einzelner DNS-Namespace (Domain Name System). Sie können eine einzelne oder mehrere DFS-Topologien verwenden, um die freigegebenen Ressourcen im Unternehmen zu verteilen. Die DFS-Funktionalität ist in Active Directory integriert; die DFS-Topologie wird in Active Directory veröffentlicht. Da Änderungen an einer domänenbasierten DFS-Topologie automatisch mit Active Directory synchronisiert werden, können Sie eine DFS-Topologie jederzeit wiederherstellen, falls der DFS-Stamm aus irgendeinem Grund offline ist. Das computerbasierte DFS speichert die Topologie in der Registrierung. DFS zeichnet sich durch die folgenden Funktionen aus: ? Vereinfachte Anzeige von Netzwerkfreigaben, die durch Administratoren
angepasst werden kann. ? Clients unter Microsoft® Windows® 95 und Windows 98 können über das SMB-Protokoll (Server Message Block) auf Freigaben zugreifen. ? Die Bereitstellung von Replikaten von Netzwerkfreigaben ermöglicht
Lastenausgleich und verbessert die Datenverfügbarkeit. Active Directory optimiert darüber hinaus die Netzwerkverwendung, indem für Active Directory vorbereitete Clients an einen DFS-Freigabepunkt innerhalb des Clientstandorts umgeleitet werden. ? DFS arbeitet mit dem Dateireplikationsdienst (FRS – File Replication Service) zusammen, um die optionale Replikation von Lese-/Schreibdaten zwischen mehrfachen Freigaben zu erlauben. ? Benutzer müssen sich für mehrfache Zugriffe nur ein einziges Mal anmelden.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
667
Der Zugriff auf einen DFS-Datenträger kann über den UNC-Namen (Uniform Naming Convention) erfolgen. Obwohl UNC-Namen verwendet werden können, fällt es Benutzern in der Regel leichter, mit Laufwerkbuchstaben zu arbeiten. In Tabelle 19.3 sind die physischen Standorte in Relation zu den logischen Pfaden dargestellt. Tabelle 19.3 Zugriffe auf einen DFS-Datenträger Logischer Pfad in DFS
Physischer Standort
Beschreibung
Zugeordneter Laufwerkpfad
\\MS Server\Root
\\MS Server\Root
Root-Freigabe
X
\\MS Server\Root\Users
\\MS Users1\Employees
X:\Users
\\MS Server\Root\Privat e\JaneD \\MS Server\Root\Privat e\SusanY
\\Legal\Data\JaneD
Abzweigung zum EmployeeVerzeichnis Abzweigung zu JaneD’s Computer Abzweigung zu SusanY’s Computer
X:\Private\SusanY
\\Human Res\SusanY
X:\Private\JaneD
Da DFS den physischen Speicher auf eine logische Struktur abbildet, ist der physische Standort der Daten für Benutzer und Anwendungen transparent. Benutzer können somit auf Informationen zugreifen, ohne den physischen Standort zu kennen. Dass Benutzer den Namen eines Servers oder einer Freigabe nicht benötigen, erleichtert die Dateiverwaltung. So können Sie Daten von Benutzern einfach auf einen anderen Server verschieben, ohne sie darüber informieren zu müssen, wo sie in Zukunft ihre Daten finden.
Überlegungen zur Verwendung von DFS in Ihrer Speicherstrategie Bedenken Sie die folgenden Vorteile, die sich aus der Integration von DFS in Ihre Speicherverwaltungsstrategie ergeben: ? Active Directory repliziert die DFS-Topologien für alle domänenbasierten DFS-
Topologien auf alle DFS-Stammserver. Auf diese Weise wird die Last auf alle einbezogenen Server verteilt und Fehlertoleranz für den DFS-Stamm hergestellt. ? Mehrere Server können als Host für domänenbasierte DFS-Stämme und -Alternativen dienen. Fällt ein Stamm aus, registriert DFS diesen Vorfall, und ein anderer Server übernimmt den Stamm. Dieser Failover-Prozess erhöht die Datenverfügbarkeit. ? Mehrere Kopien von Freigaben auf separaten Servern können unter demselben logischen DFS-Namen bereitgestellt werden. Durch diese alternativen Standorte für den Datenzugriff wird Lastenausgleich und eine höhere Datenverfügbarkeit erzielt. ? Mehrfachkopien von Freigaben ermöglichen Administratoren auch präventive Wartungsmaßnahmen auf Servern. Ein Server, auf dem ein Replikat gespeichert ist, kann ohne Auswirkungen auf die Benutzer offline geschaltet werden, da DFS Anforderungen automatisch an ein Replikat weiterleitet, das online ist.
668
Teil V Erweiterte Verwaltung ? DFS garantiert durch die Verteilung von Dateikopien nach Standorten, dass
Benutzer auf das nächstgelegene Replikat zugreifen. Dies reduziert die Last in einem Weitbereichsnetz (WAN). ? Die Transparenz des Speicherorts reduziert den Arbeitsaufwand, der durch Aktualisierung auf neue Server entsteht, da zusätzlicher Speicher in Unterverzeichnissen veröffentlicht werden kann. Trifft eine der folgenden Bedingungen auf Ihre Organisation zu, sollten Sie die Implementation von DFS in Erwägung ziehen: ? Benutzer, die auf freigegebene Ressourcen zugreifen, sind auf einen oder
mehrere Standorte verteilt. ? Die meisten Benutzer benötigen Zugriff auf mehrere freigegebene Ressourcen. ? Benutzer benötigen unterbrechungsfreien Zugriff auf freigegebene Ressourcen. ? Der Lastenausgleich im Netzwerk könnte durch die Neuverteilung von
freigegebenen Ressourcen verbessert werden. ? Unternehmensdaten sind auf mehreren Netzwerkfreigaben verteilt. Weitere Informationen zur Einrichtung eines DFS-Stamms finden Sie in der Onlinehilfe von Windows 2000 Server.
Indexdienst Der Indexdienst erleichtert Benutzern die Suche nach Dateien auf Clientcomputern und Servern. Der Indexdienst scannt Dateien auf Windows 2000-Servern und Clientcomputern und erstellt Indizes nach Inhalt und Eigenschaften, die zu beeindruckenden Verbesserungen der Suchfunktion führen und große Geschwindigkeitsvorteile bieten. Wird der Dienst ausgeführt, können Benutzer in nur wenigen Sekunden Tausende von Dateien nach Wörtern und Ausdrücken durchsuchen. Zum Indexdienst gehören die folgenden Funktionen: ? Suche nach Inhalt (z. B. Durchsuchen aller Dateien, die „erwartete Einkünfte“
enthalten). ? Suche nach Dokumenteigenschaften (z. B. Durchsuchen aller Dateien, die „Susi“ im Feld AUTOR enthalten). ? Suche mit Booleschen Operatoren (z. B. AND, OR, NOT). ? Die Volltextsuche ermöglicht Benutzern die Eingabe beliebiger
Wortkombinationen und setzt keine bestimmte Suchsyntax voraus. ? Datenträger auf dem lokalen Computer werden ebenso indiziert wie Netzwerkfreigaben, auch auf NetWare- und UNIX-Servern. ? Bereitstellen sicherer Abfrageergebnisse. Zurückgegeben werden nur die Dokumente, die Benutzer auch lesen dürfen. Verwendung der Standard-Zugriffssteuerungslisten (ACL – Access Control Lists) von Windows 2000. ? Erhöhte Leistungsfähigkeit und Zuverlässigkeit durch Integration in NTFS. ? Kooperation mit den Internet-Informationsdiensten (IIS) stellt Suchfunktionen für Internet- und Intranet-Websites zur Verfügung.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
669
? Mit OLE-DB oder Microsoft® ActiveX® Data Objects (ADO) können
benutzerdefinierte Suchformulare und Benutzeroberflächen erstellt werden. ? Indizes werden für eine Vielzahl von Dateiformaten erstellt, u. a. für
Microsoft® Office 97, Microsoft® Office 2000, Textdateien und HTML-Seiten.
? Integration in die Windows 2000-Benutzeroberfläche und den Windows
Explorer. ? Vereinfachte Verwaltung durch Verwendung eines MMC-Snap-Ins. Der Indexdienst überwacht den Server, auf dem der Dienst ausgeführt wird, auf geänderte Dateien. Geänderte Dateien werden geöffnet und nach Inhalt indiziert. Das Öffnen der Dateien wird von einem Hintergrundprozess mit niedriger Priorität ausgeführt, damit die allgemeine Serverleistung so wenig wie möglich beeinträchtigt wird. In Verbindung mit NTFS nutzt der Indexdienst eine Reihe von erweiterten NTFS-Funktionen, um die Gesamtbelastung des Systems zu reduzieren. Hinweis Bei der ersten Ausführung des Dienstes müssen die Indizes von Grund auf neu erstellt werden. Alle Dateien auf dem Datenträger werden gescannt. Bei der Ersterstellung der Indizes wird die Festplatte sehr stark beansprucht. Nachdem die Indizes einmal erzeugt wurden, fallen nur noch inkrementelle Aktualisierungen an, wenn Dateien geändert werden; diese Aktualisierungen sind praktisch nicht mehr wahrnehmbar. Die Indexaktualisierung stellt in allen Fällen eine Aufgabe mit niedriger Priorität dar, und wird angehalten, wenn Serverressourcen für andere Vorgänge benötigt werden. Benutzer, die nach Dokumenten suchen, wählen die entsprechende Suchoption für Dateien und Ordner im Windows Explorer oder Startmenü aus. Anschließend wird ein Suchformular angezeigt, in dem sie die Suchbegriffe eingeben können. Wird der Indexdienst auf einem Dateiserver ausgeführt, können Benutzer Netzwerkfreigaben äußerst effizient durchsuchen, weil die Suche selbst auf dem Server erfolgt und lediglich die Suchergebnisse über das Netzwerk zurückgegeben werden.
Integration mit Windows 2000-Komponenten Der Indexdienst ist aus Gründen der Leistungsfähigkeit und Zuverlässigkeit in viele andere Windows 2000-Komponenten integriert. Er nutzt auch NTFS-Funktionen wie die Massenverarbeitung von Zugriffssteuerungslisten für schnellere Sicherheitsüberprüfungen, bevor er die Suchergebnisse zurückgibt. Darüber hinaus werden NTFS-Dateien mit geringer Datendichte genutzt, um Indizes ohne unnötigen Verbrauch von Festplattenspeicher zu optimieren. Des weiteren werden NTFS-Änderungsprotokolle zur Überwachung des Datenträgers auf geänderte Dateien eingesetzt. Damit entfällt das wiederholte Scannen des gesamten Datenträgers, das bei vielen anderen Suchmaschinen üblich ist. Wird eine Datei geändert, scannt und indiziert der Indexdienst lediglich die betreffende Datei. Dateien, die möglicherweise in den Remotespeicher verlagert wurden, werden vom Indexdienst ebenfalls erkannt. Diese Dateien werden nicht zwangsläufig zurückgeholt, damit sie indiziert werden können. Dateien, die in den Sekundärspeicher verlagert wurden, werden nicht erneut gescannt. Das bedeutet, dass Benutzer auch nach Dateien suchen können, die auf Magnetbänder ausgelagert wurden. Wenn Sie Remotespeicher zur Archivierung von Dokumenten nutzen, ist diese Funktionsweise ideal.
670
Teil V Erweiterte Verwaltung
Der Indexdienst kann auch im schreibgeschützten Modus ausgeführt werden. In diesem Modus können die Indizes durch den Administrator gesichert werden. Im schreibgeschützten Modus führt der Dienst weiterhin Abfragen durch, nimmt aber keine Aktualisierung der Indizes vor. Auf diese Weise ist die Integrität und Stabilität der Indizes gesichert, so dass eine gültige Sicherung durchgeführt werden kann. Nach Abschluss der Sicherung können Sie den Dienst wieder auf Normalbetrieb umschalten, und alle während der Sicherung erfolgten Änderungen werden normal verarbeitet. Das bei der Volltextsuche von Windows 2000 eingesetzte Indexmodul ist kompatibel mit der Volltextindizierung von Microsoft® SQL Server™ Version 7.0. Wenn Sie in SQL Server den Abfrageprozessor für verteilte Abfragen verwenden, können Sie SQL-Abfragen (Structured Query Language) formulieren und diese gleichzeitig auf das Dateisystem und eine Datenbank anwenden.
Überlegungen zur Verwendung des Indexdienstes in Ihrer Speicherstrategie Bedenken Sie die folgenden Vorteile, die sich aus der Integration des Indexdienstes in Ihre Speicherverwaltungsstrategie ergeben: ? Benutzer können Datei- und Webserver schnell und problemlos nach den
benötigten Dokumenten durchsuchen. ? Benutzer müssen keine eigene Abfragesyntax erlernen, obwohl
?
? ? ?
fortgeschrittenen Benutzern auch eine leistungsfähige Abfragesprache zur Verfügung steht. Ein einziger Dateiserver und Index kann Abfragen über mehrere Netzwerkfreigaben durchführen, was auch Dateien auf Dateiservern einschließt, auf denen Betriebsysteme von Drittanbietern ausgeführt werden. Die nahtlose Integration in die Windows 2000-Infrastruktur verbessert die Gesamtleistung und reduziert die Systembelastung. Eine sichere Suchmaschine garantiert, dass Benutzer Dokumente, für die sie keine Anzeige- oder Leseberechtigung besitzen, nicht sehen. Die Benutzeroberfläche kann mit OLE- und ADO-Programmierschnittstellen problemlos angepasst werden.
Trifft eine der folgenden Bedingungen auf Ihre Organisation zu, sollten Sie den Indexdienst implementieren: ? Benutzer können Dokumente auf Servern nicht finden oder vergessen die
Speicherorte ihrer Dateien. ? Dateiserver enthalten Hunderte oder Tausende von Dokumenten, was die Suche nach einem bestimmten Dokument mühsam oder schlicht unmöglich macht. ? Sie müssen Suchfunktionen für Websites zur Verfügung stellen.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
671
Verbesserter Datenschutz In einem Unternehmensnetzwerk müssen Sie kombinierte Strategien anwenden, um Ihre Daten zu schützen. Datensicherung und die Verwendung der Fehlertoleranzfunktionen von Windows 2000 sind zwei Möglichkeiten zur Verbesserung des Datenschutzes.
Fehlertoleranz Fehlertoleranz ist die Fähigkeit eines Systems, bei Ausfall eines Teilsystems die Betriebsbereitschaft des Gesamtsystems aufrecht zu erhalten. Fehlertoleranz wirkt Problemen wie Datenträgerfehlern, Stromausfällen und Beschädigungen des Betriebssystems entgegen, die Startdateien, das Betriebssystem selbst oder Systemdateien betreffen können. Windows 2000 Server enthält fehlertolerante Funktionen. Obwohl die Verfügbarkeit und Aktualität der Daten in einem fehlertolerantem System stets gewährleistet ist, müssen Sie Bandsicherungen erstellen, um die Daten der Datenträger-Subsysteme vor Benutzerfehlern und höherer Gewalt zu schützen. Fehlertolerante Datenträger stellen keine Alternative zu einer Sicherungsstrategie mit Aufbewahrungsorten außerhalb des Standorts dar. Fehlertolerante Datenträgersysteme sind standardisiert und in sechs Kategorien unterteilt, die als RAID-Level 0 bis RAID-Level 5 bekannt sind. Jede Stufe bietet eine spezifische Kombination aus Leistung, Zuverlässigkeit und Kostenaufwand.
Datenträgerverwaltung Die Windows 2000-Datenträgerverwaltung unterstützt die RAID-Levels 1 und 5: Stufe 1: Gespiegelte Datenträger (Spiegelsätze in Windows NT 4.0) Gespiegelte Datenträger stellen eine identische Kopie des ausgewählten Datenträgers bereit. Sämtliche Daten, die auf den primären Datenträger geschrieben werden, werden auch auf den sekundären Datenträger oder Spiegel geschrieben. Fällt ein Datenträger aus, arbeitet das System mit den Daten des anderen Datenträgers weiter. Da jede Datei an zwei verschiedenen Orten gespeichert wird, benötigen Sie die doppelte Speicherkapazität, um diese Stufe zu implementieren. Stufe 5: RAID-5-Datenträger (Striping mit Parität) Auf RAID-5-Datenträgern werden die Daten auf alle Festplatten eines Arrays verteilt. Das System erzeugt eine geringe Datenmenge, die Paritätsinformationen, die bei Ausfall einer Festplatte zur Rekonstruktion verloren gegangener Daten benutzt werden. RAID 5 ist eindeutig, da die Paritätsinformationen über alle Festplatten verteilt werden. Datenredundanz für den Fall eines Festplattenausfalls wird dadurch erzielt, dass ein Datenblock mit den zugehörigen Paritätsinformationen über mehrere Festplatten des Arrays verteilt wird. Für diese Stufe sind mindestens drei Festplatten erforderlich. Werden zusätzliche Festplatten in einer RAID-5-Konfiguration eingesetzt, reduziert sich der Overhead von maximal 50 Prozent (drei Festplatten sind erforderlich, um die Daten normal auf zwei Festplatten zu speichern). Bei sieben oder noch mehr Festplatten in einer RAID-5Konfiguration wird keine Steigerung mehr erzielt.
672
Teil V Erweiterte Verwaltung
Auswählen einer RAID-Strategie RAID-Strategien umfassen Hard- und Softwarelösungen. Die Entscheidung für RAID-1- oder RAID-5-Datenträger muss unter Berücksichtigung der Systemumgebung getroffen werden. Stellen Sie bei der Auswahl einer RAIDStrategie die folgenden Überlegungen an: ? Im Vergleich zu RAID-5-Datenträgern ist die Implementierung eines gespiegelten Datenträgers mit geringeren Einstiegskosten verbunden, setzt weniger Systemspeicher voraus, bietet eine bessere Gesamtleistung und zeigt keine Leistungseinbußen bei einem Festplattenausfall. Die Kosten pro Megabyte sind allerdings höher als bei RAID-5-Datenträgern. ? Eine softwarebasierte Implementierung von RAID-5 zeichnet sich durch bessere Leseleistung aus und ist mit geringeren Kosten verbunden, dagegen sind die Anforderungen an den Systemspeicher höher, und bei Ausfall einer Festplatte im Array wird der Leistungsvorsprung aufgehoben. ? Hardware- oder softwarebasierte RAID-5-Datenträger stellen eine gute Lösung für Datenredundanz in einer Systemumgebung dar, in der Daten in erster Linie gelesen werden. Sie können beispielsweise einen RAID-5-Datenträger auf einem Server einrichten, auf dem sämtliche Anwendungen Ihres Standorts verwaltet werden. Auf diese Weise können Sie die Programme bei Verlust einer einzelnen Festplatte des Stripesetdatenträgers schützen. Zudem wird die Leseleistung verbessert, weil Daten auf allen Festplatten des RAID-5Datenträgers gleichzeitig gelesen werden. ? Für Umgebungen, in denen häufige Aktualisierungen der Daten die Regel darstellen, sind gespiegelte Datenträger unter Umständen besser geeignet. Sie können jedoch RAID-5-Datenträger einrichten, wenn Sie Redundanz benötigen und gespiegelte Datenträger aufgrund der hohen Overheadkosten nicht in Frage kommen.
Sicherung Das Sicherungsprogramm schützt Ihre Daten gegen versehentliche Verluste, die auf Hardware- oder Speicherfehler zurückzuführen sind. Mit dem Sicherungsprogramm erstellen Sie ein Duplikat der Daten auf der Festplatte und archivieren diese Kopie auf einem anderen Speichermedium, beispielsweise einer anderen Festplatte oder einem Band. Sie können Daten auf einer Vielzahl von Wechselmedien mit hoher Kapazität sichern. Die Sicherungsfunktion ist auch in den Remotespeicher für die Archivierung integriert. Mit Sicherungs-Assistenten können Sie die folgenden Aufgaben durchführen: ? Erstellen einer Archivkopie von ausgewählten Dateien und Ordnern auf der Festplatte. ? Erstellen eines Zeitplans für regelmäßige Sicherungen, um die archivierten Daten auf dem neuesten Stand zu halten. ? Wiederherstellen der archivierten Dateien und Ordner auf der ursprünglichen Festplatte oder anderen Festplatten, auf die Sie Zugriff haben. ? Sichern von Active Directory. Sie können eine Kopie des Active DirectorySpeichers auf Wechseldatenträger zur Aufbewahrung außerhalb des Standorts sichern. ? Sichern von Daten im Offlineremotespeicher, Registrierungseinstellungen und anderen Bereitstellungspunkten.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
673
Eine Datenschutzstrategie für Unternehmensnetzwerke Berücksichtigen Sie beim Erstellen Ihrer Datenschutzrichtlinien die folgenden Sicherungs- und Fehlertoleranzstrategien: ? Sichern Sie für den Fall eines Festplattenausfalls den gesamten Datenträger.
Die Wiederherstellung des gesamten Datenträgers in einem Durchgang ist das effizientere Verfahren. ? Sichern Sie immer die Verzeichnisdatenbank auf dem Domänencontroller, um dem Verlust von Benutzerkonten- und Sicherheitsinformationen vorzubeugen. ? Implementieren Sie auf den kritischen Computern eine Softwarespiegelung von zwei separaten hardwarebasierten RAID-Arrays. Mit dieser Konfiguration können Sie die Funktionsfähigkeit des Systems aufrecht erhalten, wenn entweder eine Festplatte oder ein gesamtes Array ausfällt. ? Für den Fall, dass ein Computer ausfällt, auf dem Windows 2000 Server ausgeführt wird, sollten Sie einen Ersatzcomputer mit bereits installiertem Betriebssystem bereithalten, damit Sie die Daten auf diesen Computer übernehmen können.
Überlegungen zum Entwurf eines fehlertoleranten Speichersystems Bei der Planung Ihrer Speicherstrategie sollten Sie die folgenden Aspekte berücksichtigen: ? Im Allgemeinen benötigen Sie fehlertolerante Konfigurationen nur für Daten,
die bei Hardwareausfällen oder nicht behebbaren Festplattenfehlern sofort verfügbar sein müssen, für den Fall, dass die primäre Datenquelle aus irgendeinem Grund nicht betriebsbereit ist. ? Werden Anwendungen auf einem Einzelcomputer unter Windows 2000 Server ausgeführt, müssen Sie diese nur dann auf einem fehlertoleranten Datenträger ausführen, wenn die Nichtverfügbarkeit der Daten für den Zeitraum, den Sie zum Wiederherstellen der Anwendungen von einer Sicherungskopie benötigen, nicht akzeptabel ist. ? Sie müssen den Datenträger mit den Anwendungen immer dann sichern, wenn Sie eine neue Anwendung installiert oder die Standardeinstellungen einer Anwendung geändert haben. ? Wenn Sie zu wenig Speicherplatz haben, können Sie den Datenträger mit den Anwendungen mit dem NTFS-Dateisystem formatieren und die Ordner und Dateien auf dem Datenträger komprimieren.
Verbessern der Notfallwiederherstellung Da es selbst bei den besten Datenschutzstrategien zu schwerwiegenden Ausfällen bei Computern oder Standorten kommen kann, benötigen Sie einen Notfallplan zur Wiederherstellung des Systems. Notfall bezeichnet jede außergewöhnliche Situation – vom Fehlverhalten eines Computers beim Hochfahren bis zur Zerstörung des gesamten Netzwerks aufgrund einer Naturkatastrophe.
674
Teil V Erweiterte Verwaltung
Um gegen Systemausfälle gewappnet zu sein, sollten Sie die folgenden Dokumente vorliegen haben: ? Gut dokumentierte Pläne und Verfahren für die Wiederherstellung nach einem
Ausfall. ? Disketten, mit denen Sie einen Computer neu starten können, wenn Sie Probleme mit dem System- oder Startdatenträger haben. ? Dokumentierte Software- und Hardwarekonfigurationen Ihrer Computer. Um den Zeitaufwand für die Wiederherstellung zu reduzieren, sollten Sie die folgenden Aufgaben durchführen: ? Legen Sie die Datenträger für System-, Start- und normale Dateien von
Windows 2000 Server auf separaten Laufwerken an. ? Sichern Sie die Datenträgerkonfiguration nach jeder Änderung, die Sie in der
Datenträgerverwaltung durchgeführt haben. ? Erstellen Sie schriftliche Aufzeichnungen über Datenträger und deren Größen.
Der Rest dieses Abschnitts befasst sich mit den Notfallschutzfunktionen von Windows 2000, die Sie zur Absicherung Ihres Unternehmens gegen mögliche Netzwerkausfälle einsetzen können.
Erstellen von Sicherungsrichtlinien und Richtlinien zur Aufbewahrung außerhalb des Standorts Ihr Notfallwiederherstellungsplan sollte Richtlinien und Verfahren für die Sicherung und Wiederherstellung einzelner Computer und ganzer Systeme enthalten. Ihr Ziel sind klare Vorgaben zur Wiederherstellung von Daten.
Sicherungsrichtlinien Berücksichtigen Sie beim Erstellen von Sicherungsrichtlinien die folgenden Strategien: Sichern aller Computer oder nur einzelner Computer Möchten Sie das ganze Netzwerk sichern oder nur die Server, auf denen wichtige Benutzerdaten gespeichert sind? Erstellen netzwerkbasierteroderlokaler Sicherungen Verfügen Sie über einige Sicherungsserver mit Bandgeräten, die Daten von allen ausgewählten Servern im gesamten Netzwerk lesen, oder sind die Benutzer selbst für die Sicherung ihrer Daten verantwortlich? Verwenden einer zentralisierten Sicherungsrichtlinie oder einerverteilten Sicherungsrichtlinie Sichert eine einzige IT-Gruppe die gesamten Unternehmensserver, oder führt jede Gruppe eigene Sicherungen durch? Trifft Letzteres zu, werden Sie Richtlinien für Zeitpläne und Sicherungsverfahren erstellen?
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
675
Ihr Sicherungsplan muss Ausführungen zu den folgenden Aufgaben enthalten: ? Sichern der Speichergeräte und der Speichermedien. ? Erstellen von Kopien aller erforderlichen Gerätetreiber, damit Speichergeräte im
Notfall einsatzbereit sind. Die Gerätetreiber werden zur Wiederherstellung benötigt. ? Erstellen und Aufbewahren der Ausdrucke von Sicherungsprotokollen. Die
Protokolle sind unverzichtbarer Bestandteil der Wiederherstellung von Daten. ? Vorhalten von drei Kopien der Sicherungsmedien. Bewahren Sie zumindest eine
Kopie außerhalb des Standorts in einer sicheren Umgebung auf. ? Führen Sie in regelmäßigen Abständen einen Testlauf der Wiederherstellung durch, um sicherzustellen, dass Ihr Sicherungssatz lesbar ist und alle Dateien enthält, die Sie sichern wollten. Weitere Informationen zur Verwendung bestimmter Sicherungsmethoden und Verfahrensweisen finden Sie unter „Sicherung“ in Microsoft Windows 2000 Server – Die technische Referenz: Betrieb.
Überlegungen zur Speicherung außerhalb des Standorts Berücksichtigen Sie bei der Planung von Speicherungen außerhalb des Standorts die folgenden Daten und Informationen: ? Eine vollständige, wöchentliche Sicherung des gesamten Systems. ? Die Originale der installierten Programme und aller erforderlichen Gerätetreiber. ? Dokumente, die Sie zur Geltendmachung eines Versicherungsanspruchs
benötigen, beispielsweise Inventurlisten der Hard- und Software sowie Kopien von Bestellformularen oder Quittungen für Hard- und Software. ? Eine Kopie der Informationen, die zur Neuinstallation und Neukonfiguration der Netzwerkhardware benötigt werden.
Erstellen eines Plans zur Notfallwiederherstellung Zur Feststellung der Vorkehrungen, die im Fall eines teilweisen oder vollständigen Datenverlustes zu treffen sind, müssen Sie die Gesamtkosten für die Rekonstruktion oder Wiederbeschaffung der unternehmenswichtigen Daten ermitteln. Stellen Sie die folgenden Überlegungen an: ? Wie hoch sind die Kosten für die Rekonstruktion der Finanz-, Personal- und
anderen Unternehmensdaten? ? Sind die Kosten für die Wiederbeschaffung der verlorenen Daten durch Versicherungen gedeckt? ? Wie lange würde es dauern, die Unternehmensdaten zu rekonstruieren? Was
würde dies für die Zukunft Ihres Unternehmens bedeuten? ? Wie hoch sind die Ausfallkosten pro Server und Stunde? Bei der Entwicklung eines umfassenden Plans zur Notfallwiederherstellung müssen verschiedene Bereiche einbezogen werden. Der Datenschutzplan muss die folgenden Fragen beantworten: ? Welche Daten müssen wie oft gesichert werden?
676
Teil V Erweiterte Verwaltung ? Wie sichern Sie die Konfigurationsinformationen Ihrer kritischen Computer und
anderer Hardware, die bei normalen Sicherungen nicht gesichert werden? ? Welche Daten müssen am Standort aufbewahrt werden, und welche
physischen Sicherungsmaßnahmen sind dafür vorgesehen? ? Welche Daten müssen außerhalb des Standorts aufbewahrt werden, und
welche physischen Sicherungen sind dafür vorgesehen? ? Welche Schulungsmaßnahmen sind erforderlich, damit Serveroperatoren und -administratoren bei einem Notfall schnell und effizient eingreifen können? Testen Sie Ihren Plan zur Wiederherstellung der unternehmenskritischen Daten, und bewahren Sie Kopien des Notfallplans sowohl innerhalb als auch außerhalb des Standorts auf.
Testen der Strategien zur Systemwiederherstellung Tests sind ein wichtiger Bestandteil der Vorkehrungen für die Notfallwiederherstellung. Die Fähigkeiten und Erfahrungen der Administratoren und Operatoren sind ein wesentlicher Faktor bei der Wiederherstellung der Betriebsbereitschaft ausgefallener Computer oder ausgefallener Netzwerke – bei möglichst niedrigen Kosten und geringfügiger Störung des Geschäftsablaufs. Sie brauchen IT-Kräfte, die in der Problembehandlung und in der Durchführung von Wiederherstellungsmaßnahmen geschult sind. Unterlassen Sie es auf keinen Fall, Wiederherstellungsverfahren zu testen, bevor Sie einen neuen Server in die produktive Umgebung eingliedern. Testläufe umfassen die folgenden Schritte: ? Sicherstellen, dass Ihre Windows 2000-Startdisketten ordnungsgemäß
funktionieren. ? Testen der unterbrechungsfreien Stromversorgung (USV) auf den Computern, auf denen Windows 2000 Server ausgeführt wird, sowie auf Hubs, Routern und anderen Netzwerkkomponenten. ? Testen Ihres Wiederherstellungsplans. ? Durchführen vollständiger oder teilweiser Wiederherstellungen von den Sicherungsmedien mit der täglichen, wöchentlichen und monatlichen Sicherung.
Üben von Wiederherstellungsverfahren Sie können die Testläufe verwenden, um Fehlersituationen vorherzusagen und Wiederherstellungsverfahren zu üben. Führen Sie Belastungstest durch, und testen Sie alle Funktionen. Die folgenden Fehlersituationen sollten in die Tests einbezogen werden: ? Individuelle Computerkomponenten wie Festplatten und Controller,
Prozessoren und RAM. ? Externe Komponenten wie Router, Brücken, Switches, Verkabelung und Steckverbindungen.
Kapitel 19 Festlegen der Speicherverwaltungsstrategien von Windows 2000
677
Führen Sie außerdem die folgenden Belastungstests durch: ? Intensive Netzwerkbelastung. ? Umfangreiche Ein-/Ausgabe auf derselben Festplatte. ? Intensive Nutzung von Datei-, Druck- und Anwendungsservern. ? Hohe Belastung durch Benutzer, die sich gleichzeitig anmelden.
Dokumentieren von Wiederherstellungsverfahren Es empfiehlt sich Schritt-für-Schritt-Anleitungen zur Wiederinbetriebnahme eines Computers oder Netzwerks nach einem Ausfall zu erstellen. Erstellen Sie ein Handbuch, das die folgenden Verfahren beschreibt: ? Durchführen von Sicherungen. ? Implementieren von Richtlinien für die Speicherung außerhalb des Standorts. ? Wiederherstellung von Servern und Netzwerk.
Überarbeiten Sie Ihre Dokumentation, wenn Sie Änderungen an der Konfiguration der Computer oder des Netzwerks vorgenommen haben. Die Aktualisierung der Unterlagen ist besonders wichtig bei der Installation neuer Betriebssystemversionen und beim Einsatz neuer Tools und Dienstprogramme zur Wartung des Systems.
Planungstaskliste für die Speicherverwaltung Tabelle 19.4 enthält eine Checkliste, die Sie bei der Festlegung Ihrer Speicheranforderungen und deren Einbeziehung heranziehen können. Tabelle 19.4 Zusammenfassung der Aufgaben der Speicherplanung Aufgabe
Kapitelabschnitt
Analysieren des Speicherbedarfs.
Verbessern der Speicherverwaltungsfunktionen Verbessern der Speicherverwaltungsfunktionen Verwalten der Festplattenressourcen
Auswählen eines Datenspeichersystems. Planen der Speicherverwaltung, einschließlich Wechselmedien und Remotespeicher. Entwickeln von Strategien zur Optimierung der Speicherverwaltung. Entwickeln von Strategien zum Schutz der Daten. Entwickeln von Strategien für Sicherungen und Notfallwiederherstellung.
Optimieren der Datenverwaltung Verbessern des Datenschutzes Verbessern der Notfallwiederherstellung
677
K A P I T E L
2 0
Synchronisieren von Active Directory mit dem Exchange ServerVerzeichnisdienst Wenn Sie Microsoft® Windows® 2000 Server Active Directory™ implementieren möchten und derzeit den Verzeichnisdienst von Microsoft® Exchange Server Version 5.5 verwenden, stellt dieses Kapitel grundlegende Informationen für die im Unternehmen mit der Verzeichnisdienstverwaltung beauftragten Personen dar. Die in diesem Kapitel dargestellten Konzepte und Verfahren zur Verzeichnissynchronisation unterstützen Sie bei der Auswahl der kostengünstigsten und effizientesten Methode zum Verwalten des Windows 2000 Server-Active Directory und des Exchange Server 5.5-Verzeichnisdiensts. Darüber hinaus können Sie mit Hilfe der Beispiele festlegen, welche Verzeichnissynchronisations- und Verwaltungskonfigurationsoptionen für den Einsatz im Unternehmen geeignet sind. Es empfiehlt sich, vor diesem Kapitel die Kapitel „Entwerfen der Active DirectoryStruktur“ und „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch zu lesen. In diesen Kapiteln werden das neue Konzept und die wichtigsten Komponenten des Active Directory sowie Themen zur Domänenmigration behandelt. Inhalt dieses Kapitels Überblick über die Verzeichnissynchronisation 678 Erstellen des ADC-Verbindungsabkommensplans 683 Schutz vor unbeabsichtigtem Datenverlust 706 Aufgabenliste zur Planung der Verzeichnissynchronisation Zusätzliche Informationen 709
708
Zielsetzung Dieses Kapitel unterstützt Sie bei der Erstellung des folgenden Planungsdokuments: ADC-Verbindungsabkommensplan (Active Directory Connector) Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Active Directory, zur Namespaceplanung und Domänenverwaltung finden Sie im Kapitel „Entwerfen der Active DirectoryStruktur“ in diesem Buch. ? Weitere Informationen zum Migrieren auf Windows 2000 Server finden Sie im Kapitel „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. ? Weitere Informationen zu Windows 2000 Server-Sicherheitsstandards finden Sie im Kapitel „Planen der verteilten Sicherheit“ in diesem Buch. ? Weitere Informationen zum Erstellen von Testplänen finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
678
Teil V
Erweiterte Verwaltung
Überblick über die Verzeichnissynchronisation Bei der Verzeichnissynchronisation werden zwei verschiedene Verzeichnisdienste synchronisiert, d. h., Änderungen, die an Objekten in einem Verzeichnis vorgenommen wurden, werden automatisch in das andere Verzeichnis übernommen. Wenn Sie das Windows 2000 Server-Active Directory und den Exchange Server 5.5-Verzeichnisdienst synchronisieren, können Sie die Exchange Server 5.5Benutzerattribute und -Objekte in das neue Active Directory übernehmen. Da Exchange Server 5.5 E-Mail-Verzeichnisdienste von Fremdanbietern unterstützt, besteht die Möglichkeit, Benutzerattribute und Objekte der Fremdanbieterverzeichnisse auf den Exchange-Server und anschließend vom Exchange-Server in das Active Directory zu kopieren. Nach der erstmaligen Aufnahme von Daten in das Active Directory unterstützen die beiden Verzeichnisse einen wechselseitigen Datenaustausch. Die Konsistenz der Daten des Active Directory und des Exchange Server 5.5-Verzeichnisses kann mit Hilfe vorkonfigurierter sowie automatisierter Synchronisationsverfahren sichergestellt werden.
Verfahren zum Synchronisieren der Verzeichnisse Bevor Sie mit der Planung der Verzeichnissynchronisationsstrategie beginnen, ziehen Sie die Verwendung des Planungsverfahrens in Betracht, das im Flussdiagramm in Abbildung 20.1 dargestellt wird.
Abbildung 20.1 Verfahren zum Synchronisieren des Active Directory und des Verzeichnisdiensts von Exchange Server 5.5
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
679
Bevor Sie mit der Planung der Verzeichnissynchronisation beginnen, müssen Sie mit den zum Durchführen des Verzeichnissynchronisationsverfahrens erforderlichen Hauptkomponenten vertraut sein.
Softwarekomponenten in Windows 2000 Server Active Directory Connector (ADC) und Microsoft Management Console (MMC) stellen unter Windows 2000 Server die Softwarekomponenten dar, die die Synchronisation und Verwaltung der Kommunikation zwischen dem Active Directory und dem Verzeichnisdienst von Exchange Server 5.5 ermöglichen. Mit dem LDAP-Protokoll (Lightweight Directory Access Protocol) bietet die ADCKomponente eine automatisierte Methode, um die Konsistenz der Daten zwischen Active Directory und Exchange Server-Verzeichnisdienst sicherzustellen. Verwenden Sie zum Konfigurieren von ADC und Ausführen bestimmter Funktionen MMC- und ADC-spezifische MMC-Snap-Ins und -Erweiterungen. Ohne die ADCSoftwarekomponente müssen neue Daten und Änderungen manuell in beiden Verzeichnisdiensten eingegeben werden. Zu den wichtigsten Leistungsmerkmalen und Funktionen des ADC-Diensts gehören: ? Bidirektionale Synchronisation
?
?
?
?
Mit dieser Funktion werden Änderungen im Exchange Server-Verzeichnis automatisch in das Active Directory übernommen und umgekehrt. Somit können Änderungen in beiden Verzeichnissen verwaltet werden. Selektive Attributauswahl Sie können bestimmte zu synchronisierende Active Directory- und Exchange Server-Attribute auswählen und andere Attribute von der Synchronisation ausschließen. Änderungssynchronisation Im Gegensatz zur Synchronisation unter Exchange Server werden unter Windows 2000 Server Änderungen nur auf der Objektebene aktualisiert. Wenn Sie beispielsweise Änderungen an 20 Benutzerobjekten für 100.000 Benutzer vornehmen, werden vom System lediglich diese 20 Benutzerobjekte aktualisiert. Auf diese Weise werden die Duplizierung, die Übertragungsdauer und die Netzwerkauslastung reduziert. Änderungen auf Attributebene Bei der Synchronisation zweier Objekte vergleicht der ADC-Dienst die Attributwerte, um die zu synchronisierenden Attribute zu ermitteln. Wurde beispielsweise die Telefonnummer in einem Exchange Server-Postfach geändert, vergleicht der ADC-Dienst die Attribute des Postfachs mit dem zugehörigen Benutzerobjekt im Active Directory und synchronisiert ausschließlich die geänderten Attribute. In diesem Fall wird lediglich die Telefonnummer synchronisiert. Einheitliche Verwaltungstools Mit Hilfe des MMC-Snap-Ins für Active Directory-Benutzer und -Computer können Sie Benutzer, Kontakte und Gruppen verwalten. Weitere Informationen zur Microsoft Management Console sowie zu MMC Snap-Ins und -Erweiterungen finden Sie in der Onlinehilfe zu Windows 2000 Server.
680
Teil V
Erweiterte Verwaltung
Hauptvorteile der ADC-Verwendung Die ADC-Verwendung bietet folgende Vorteile: Administration aus einer Quelle Nach der Aktualisierung einer Windows NT Server 4.0-Domäne auf Windows 2000 Server Active Directory können Sie den ADC-Dienst so konfigurieren, dass Verzeichnisdaten aus Exchange Server 5.5 problemlos und automatisch in das neue Active Directory übernommen werden, wie z. B. die in Abbildung 20.2 dargestellten Benutzereigenschaften eines Postfachs.
Abbildung 20.2 Administration aus einer Quelle
Funktionen zur direkten Verwaltung und Delegierung Sie können den ADC-Dienst zum Synchronisieren und Verwalten des Exchange Server-Verzeichnisses über das Active Directory verwenden. Auf diese Weise besteht die Möglichkeit, die Vorteile der unter Windows 2000 Server zur Verfügung stehenden Verwaltungsdelegierung zu nutzen. Dies bedeutet, dass Berechtigungen unter Windows 2000 Server auf der Attributebene statt auf der Objektebene eingerichtet werden können. Somit können Administratoren mit bestimmten Attributen verbundene Aufgaben an verschiedene Benutzer delegieren. Benutzer sind beispielsweise berechtigt, die Kostenstelle der Abteilung zu aktualisieren sowie bestimmte private Telefonnummern anzuzeigen und zu ändern. Bei Verwendung von Exchange Server 5.5 können Benutzer Eigenschaften anzeigen, diese jedoch nicht direkt aktualisieren. Unter Windows 2000 Server kann der Verzeichnisadministrator diese Aufgaben delegieren, so dass die Benutzer die Kostenstelle und die privaten Telefonnummern ändern können. Sie können bestimmte
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
681
Aufgaben an berechtigte Benutzer delegieren und andere Datenbereiche, wie z. B. Gruppenzugehörigkeit und Zugriffsrechte, vor dem Benutzerzugriff schützen. Anschließend können Sie den ADC-Dienst verwenden, um das Exchange ServerVerzeichnis mit den Ergebnissen der autorisierten Verwaltungsänderungen zu aktualisieren. Weitere Informationen über die verschiedenen Ebenen der Verwaltungs- und Delegierungsfunktionen im Active Directory finden Sie im Kapitel „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation. Interoperabilität mit E-Mail-VerzeichnisdienstenvonFremdanbietern Unter Verwendung von Exchange Server können Sie Benutzer- und Gruppendaten aus E-Mail-Verzeichnissen von Fremdanbietern in das Active Directory übernehmen. Exchange Server unterstützt die bidirektionale Verzeichnissynchronisation mit E-Mail-Verzeichnisdiensten von Fremdanbietern, die Synchronisationsagenten enthalten. In Abbildung 20.3 wird die Interoperabilität zwischen Exchange Server und E-Mail-Verzeichnisdiensten von Fremdanbietern dargestellt.
Abbildung 20.3 Bidirektionale Verzeichnissynchronisation mit E-MailVerzeichnisdiensten von Fremdanbietern
ProblemlosesAuffindenvonNetzwerkbenutzern Der Active Directory-Client ermöglicht Benutzern mit Clients unter Windows 2000 Server oder Windows 9x, auf denen der Active Directory-Client installiert ist, mit Hilfe der Option Personen suchen problemlos nach anderen Benutzern zu suchen. Durch Kombinieren der ADC-Funktionen mit dem Active Directory-Client können Sie das Active Directory als Benutzerverzeichnis einrichten, das mit einem Telefonbuch vergleichbar ist. Weitere Informationen zum Active Directory-Client finden Sie im Kapitel „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ in diesem Buch.
682
Teil V
Erweiterte Verwaltung
Einrichten von Beziehungen unter Verwendung von Verbindungsabkommen Mit der Installation von ADC wird Windows 2000 Server und dem Active Directory lediglich ein Dienst hinzugefügt. Um eine Beziehung zwischen einem vorhandenen Exchange Server-Standort und dem Active Directory einzurichten, müssen Sie ein Verbindungsabkommen konfigurieren. Ein Verbindungsabkommen enthält beispielsweise folgende Daten: die Namen der bei der Synchronisation zu kontaktierenden Server, die zu synchronisierenden Objektklassen, die Zielcontainer sowie den Synchronisationszeitplan. Es ist möglich, mehrere Verbindungsabkommen auf einem einzelnen ADC einzurichten. Jedes Verbindungsabkommen kann vom Active Directory zu einem einzelnen oder zum selben Exchange ServerStandort übermittelt werden. Ein Verbindungsabkommen enthält folgende Daten: ? Die zu synchronisierenden Verzeichnisse ? Synchronisationsobjekte unter Windows 2000 Server ? Synchronisationsobjekte unter Exchange Server 5.5 ? Die Richtung der Synchronisation ? Den Synchronisationszeitplan ? Die Methode zum Löschen von Objekten ? Einzelheiten zu den erweiterten Optionen, wie z. B: ? Zuordnen von Attributen ? Erstellen neuer Objekte ? Authentifizieren sämtlicher Verzeichnisse ? Festlegen der zu synchronisierenden Organisationseinheiten oder Container
Der ADC-Dienst führt die Verzeichnissynchronisation nur zwischen Exchange Server 5.5 Service Pack 1 (SP1) oder höher und Windows 2000 Server durch. Wenn Sie eine frühere Version von Exchange Server mit SP1 an einem Exchange Server 5.5-Standort ausführen, führt der Exchange-Server automatisch eine Synchronisation mit der früheren Version durch. In diesem Fall entsprechen sich die Verzeichnisdaten des Exchange Server-Standorts und des Unternehmens. Obwohl nur eine Instanz des ADC-Diensts auf einem Computer unter Windows 2000 verwendet werden kann, können mehrere Verbindungsabkommen eingerichtet werden. Es ist möglich, jedes Verbindungsabkommen für die Ausführung bestimmter Synchronisationsaufgaben zu konfigurieren. Mit einem Verbindungsabkommen kann beispielsweise das Windows 2000 Server-Active Directory in regelmäßigen Abständen aktualisiert werden, während mit einem anderen Verbindungsabkommen täglich zu einer bestimmten Uhrzeit die Windows 2000 Server-Kontakte mit dem Verzeichnis des Exchange-Servers aktualisiert werden.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
683
Erstellen des ADC-Verbindungsabkommensplans Wenn Sie mit den ADC-Funktionen und den Verbindungsabkommen vertraut sind, können Sie mit der Planung der Verzeichnissynchronisation beginnen. Dieser Abschnitt unterstützt Sie beim Zusammenstellen der Daten, die zum Erstellen des ADC-Verbindungsabkommensplans benötigt werden.
Zusammenstellen des Einrichtungsteams Aufgrund zahlreicher gegenseitiger Abhängigkeiten stellt die Teamarbeit einen wesentlichen Faktor bei der Synchronisation des Windows 2000 Server-Active Directory sowie des Exchange Server-Verzeichnisdiensts dar. An der Planung der Strategie für die Verzeichnissynchronisation sollten die wichtigsten Entscheidungsträger sowie die technischen Führungskräfte folgender Gruppen beteiligt sein: ? IT-Verwaltung ? Exchange Server-Verwaltung ? Active Directory-Verwaltung ? Gruppe der Schemaverwalter ? Netzwerkdienste
Dieses Team verfügt über ausreichende Kenntnisse der Topologie des Exchange Server-Standorts, des Active Directory-Entwurfs sowie der Netzwerktopologie, um kostenintensive Fehler zu vermeiden. Nach der Zusammenstellung des Einrichtungsteams können Sie mit der Planung der Verzeichnissynchronisation beginnen. Zu den Planungsüberlegungen des mit der Verzeichnissynchronisation beauftragten Einrichtungsteams gehören: ? Übertragung bestimmter Zuständigkeiten und Zielsetzungen an alle
Systemadministratoren im Einrichtungsteam für die Verzeichnissynchronisation. ? Angabe von gegebenenfalls erforderlichen Schulungen zum Ausführen des ADC- und MMC-Snap-Ins. Benötigen die Systemadministratoren derartige Schulungen, legen Sie die Schulungstermine fest. ? Erlangung einer Installationsberechtigung. Da nur die Mitglieder der Gruppe der Schemaverwalter über Schreibzugriff auf das Schema verfügen, müssen diese die Berechtigung zum Installieren des ADC-Diensts erteilen. Schemaverwalter können das ADC-Setup jedoch ausschließlich zu Schemaerweiterungszwecken ausführen. Das Schema wird bei der Verwaltung des ADC-Diensts nicht berücksichtigt. Wenn jedoch eine Folgeversion des ADC-Diensts aus einem bestimmten Grund eine Schemaänderung beinhaltet, sind Sie auf die Unterstützung der Gruppe der Schemaverwalter angewiesen. Weitere Informationen zum Installieren des ADCDiensts finden Sie im Abschnitt „ADC-Implementierungsstrategie“ in diesem Kapitel.
684
Teil V
Erweiterte Verwaltung
Weitere Informationen zum Active Directory-Schema finden Sie im Kapitel „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation sowie in Microsoft® Windows ® 2000 – Die technische Referenz: Verteilte Systeme. ? Angabe der betrieblichen Vorgänge, die durch dieses Synchronisationsverfahren automatisiert bzw. optimiert werden sollen. ? Zustimmung des Managements zur Implementierung des Verzeichnissynchronisationsplans.
Überprüfen der Domänenstruktur sowie der Topologie des Exchange Server-Standorts Bevor Sie mit der Zusammenstellung der Daten für den ADC-Verbindungsabkommensplan beginnen, müssen Sie mit den Exchange 5.5-Standorten, den Windows NT Server-Domänen und den Strukturen des Windows 2000 ServerActive Directory im Unternehmen vertraut sein. Wenn Sie die Diagramme für die Topologie des Exchange Server-Standorts sowie für die Domänenstruktur erhalten haben, empfiehlt sich folgende Vorgehensweise: Feststellen des Bestands der Exchange Server-Standorte Sie müssen die Anzahl der Exchange Server-Standorte, die verwendete Verwaltungsmethode sowie die Eignung der Standorte zur Synchronisation ermitteln. Für die zu synchronisierenden Exchange Server-Standorte benötigen Sie ausführliche Informationen über die jeweiligen Empfangscontainer sowie über die zu synchronisierenden Objekte. Installieren des ADC-Diensts auf einemWindows 2000Server Für jede in die Verzeichnissynchronisation einbezogene Active Directory-Domäne muss auf einem globalen Katalogserver, einem Mitgliedsserver oder einem Domänencontroller unter Windows 2000 Server der ADC-Dienst installiert werden. Angeben des Speicherortsder Postfächer aller Domänenbenutzer Zahlreiche Unternehmen verwenden eine Topologie mit mehreren Hauptdomänen, bei der Benutzerkonten in mehreren Domänen vorhanden sind. Die Angabe des Speicherorts der Postfächer für die Benutzer in jeder Domäne stellt einen wesentlichen Faktor dar. Das einfachste Szenario besteht darin, dass alle Postfächer in einer Hauptdomäne am selben Exchange Server-Standort gespeichert werden. Sicherstellen, dass jedes Verzeichnis zu synchronisierende Objekte aufweist Exchange Server-Standorte können Postfächer enthalten, denen Windows 2000 Server-Konten aus mehreren Domänen zugeordnet sind. Sie können Verbindungsabkommen für einen einzelnen Exchange Server-Standort oder für mehrere Active Directory-Domänen erstellen. Der ADC-Dienst weist die Exchange ServerPostfächer den entsprechenden Benutzerobjekten zu. Der ADC-Dienst erstellt für benutzerdefinierte Empfänger, Verteilerlisten und Postfächer in Exchange Server, die nicht über ein zugehöriges Active Directory-Benutzerobjekt verfügen, neue Objekte in einer der Active Directory-Domänen. Sie müssen die Active DirectoryDomäne angeben, in der vom ADC-Dienst neue Objekte erstellt werden sollen.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
685
Vorbereiten des Netzwerks für die ADC-Einrichtung Auf einem Computer unter Windows 2000 Server kann lediglich eine Instanz des ADC-Diensts aktiv sein. Dennoch unterstützt der ADC-Dienst mehrere Verbindungsabkommen. Um die ADC-Einrichtung vorzubereiten, beachten Sie die im folgenden Abschnitt dargestellten Anforderungen und Empfehlungen:
Berücksichtigen bestimmter Netzwerkanforderungen Beim Zusammenstellen der Daten für den ADC-Verbindungsabkommensplan müssen zwei netzwerkspezifische Aufgaben berücksichtigt werden: Festlegen von Servern als Bridgeheadserver Bridgeheadserver empfangen und leiten E-Mail-Verkehr an die beiden Partner eines Verbindungsabkommens weiter. Die Funktionen eines Bridgeheadservers sind mit denjenigen eines Gateway vergleichbar. Als ADC-Bridgeheadserver fungierende Server müssen folgende Voraussetzungen erfüllen: ? Geeignete Ressourcen (CPU und Arbeitsspeicher) zur Unterstützung des
Synchronisationsverkehrs sowie der Verarbeitung eingehender LDAPSitzungen. ? Geeignete Netzwerkverbindung. Umfasst ein Exchange Server-Standort beispielsweise mehrere physische Standorte in einem sternförmigen Netzwerk, muss sich der Bridgeheadserver für den Exchange Server-Standort auf dem Hub befinden. ? Handelt es sich bei dem Bridgeheadserver nicht um einen globalen Katalogserver, muss sich dieser im selben LAN-Segment (Local Area Network) befinden wie der globale Katalogserver. Der Grund hierfür besteht darin, dass der ADC-Dienst einen globalen Katalogserver kontaktiert, um nach Zielübereinstimmungen zu suchen. Beim Empfang eines neuen Exchange ServerObjekts versucht der ADC-Dienst, die zufällige Erstellung eines entsprechenden Active Directory-Objekts in derselben Domäne zu vermeiden. Indem der ADCDienst den globalen Katalog durchsucht, wird die Möglichkeit der doppelten Erstellung eines Objekts minimiert. ? Verfügt die Exchange Server-Umgebung über Connectorserver, auf denen keine Postfächer gespeichert sind, konfigurieren Sie diese Server als Bridgeheadserver. FestlegenderRessourcenauslastung Sowohl die Synchronisation von Verzeichnisobjekten zwischen Verzeichnissen als auch die Replikation, die in den Active Directory- und Exchange ServerVerzeichnisreplikationsumgebungen stattfindet, verbrauchen Netzwerkressourcen. Da das Active Directory nach der Aktualisierung von Windows NT Server 4.0 auf Windows 2000 Server und der Synchronisation mit Exchange Server einen relativ statischen Zustand aufweist, werden zwischen dem Active Directory und dem Exchange Server 5.5-Verzeichnisdienst lediglich geringe Datenmengen übermittelt. Änderungen am Exchange Server 5.5-Verzeichnis, die mit dem Active Directory synchronisiert werden, führen zu einer etwas höheren Netzwerkauslastung als Änderungen am Active Directory, die mit dem Exchange-Server synchronisiert werden.
686
Teil V
Erweiterte Verwaltung
Computeranforderungen Wenn Sie die Verwendung des ADC-Diensts vorbereiten, beachten Sie folgende Computeranforderungen: ? Mindestens ein Windows 2000-Server muss vorhanden sein. ? Auf jedem in einem Verbindungsabkommen festgelegten Exchange-Server
muss Exchange Server 5.5 mit SP1 (Mindestanforderung) installiert sein. Je nach Synchronisationszeitplan kann es auf dem ADC-Server sowie auf anderen Verzeichnisservern, mit denen eine Interaktion stattfindet, zu einer starken Erhöhung der Verarbeitungsmenge kommen. Es ist wichtig, dass diese Computer entsprechend ausgelegt (CPU und Arbeitsspeicher) und mit dem Netzwerk verbunden sind. Idealerweise sollten sich die Computer im selben LAN befinden. Wurde für den ADC-Zeitplan im Gegensatz zu den Verzeichnisreplikationszeitplänen in der Exchange Server 5.x-Umgebung die Option Immer aktiviert, synchronisiert der ADC-Dienst Änderungen zwischen dem Active Directory und dem Exchange Server-Verzeichnis. Bei dieser Synchronisation wechseln sich die maximal dauernde Replikationszeit und der Verzögerungsruhestand für Synchronisation in Abständen von fünf Minuten ab. Die erwartete Ressourcenauslastung für Pentium-Server (200 MHz) mit 128 MB Arbeitsspeicher und einem konfigurierten Verbindungsabkommen wird in Tabelle 20.1 dargestellt. Tabelle 20.1 CPU-Auslastung bei Pentium-Servern CPU-Auslastung (etwa alle 5 Minuten)
Auslastung
Server, auf dem der ADC-Dienst ausgeführt wird Domänencontroller Verbindungsherstellung zu einem Exchange 5.5Bridgeheadserver
8-24% 6-66% 0-91%
Anhand der in Tabelle 20.2 dargestellten Ressourcenauslastung von Servern der Dual Pentium II-Klasse (450 MHz) mit 256 MB Arbeitsspeicher können Sie die unterschiedlichen CPU-Typen und -Geschwindigkeiten vergleichen. Tabelle 20.2 CPU-Auslastung bei Servern der Dual Pentium II-Klasse CPU-Auslastung (etwa alle 5 Minuten)
Auslastung
Server, auf dem der ADC-Dienst ausgeführt wird
1-12%
Domänencontroller Verbindungsherstellung zu einem Exchange 5.5Bridgeheadserver
0-30% 20-36%
Bei Exchange Server 5.5- und Active Directory-Installationen auf Unternehmensebene müssen Sie den durch den ADC-Dienst und die zugehörigen Verbindungsabkommen entstehenden Overhead berücksichtigen. Dies ist besonders wichtig, wenn die Größe der Server sowie die Netzwerkkapazität genau festgelegt werden muss und wenn zwischen dem ADC-Server, dem Domänencontroller und dem Server unter Exchange Server 5.5 langsame Verbindungen bestehen.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
687
Einrichtungsempfehlungen Beachten Sie folgende Empfehlungen, um eine erfolgreiche Einrichtung zu gewährleisten: Übernehmen Sie Benutzerkonten in das Active Directory, indemSie den primären Domänencontroller auf Microsoft Windows 2000Serveraktualisieren Verwenden Sie den ADC-Dienst, um Verzeichnisdaten aus dem Exchange ServerVerzeichnis mit den vorhandenen Active Directory-Konten abzugleichen. Somit wird verhindert, dass unter Exchange Server synchronisierte Objekte Sicherheitsobjekten im Active Directory zugewiesen werden. Verwenden Sie Bridgeheadserverfür die Verzeichnisreplikation, um die Exchange Server-VerzeichnisreplikationzwischenExchangeServer-Standorten zu erleichtern Verwenden Sie diese Server gegebenenfalls als ADC-Bridgeheadserver für Verbindungsabkommen. Richten Sie den Server, auf dem der ADC-Dienst ausgeführt wird, gegebenenfallsim selben Subnetz wie das Exchange Server-Verzeichnis und die Active DirectoryBridgeheadserverein Wenn Sie den ADC-Dienst in einer WAN-Umgebung (Wide Area Network) verwenden, richten Sie diesen an einem strategischen Standort ein, beispielsweise auf einem Hub in einer Sterntopologie. Synchronisieren Sie den gesamten ExchangeServer-Standort anstelleeinzelner Empfängercontainer Sie können den gesamten Exchange Server-Standort als Quelle und Ziel auf dem Exchange-Server auswählen. Weiterhin besteht die Möglichkeit, die Active Directory-Domäne als Quelle und Ziel auf dem Active Directory-Standort auszuwählen. Auf diese Weise wird die Hierarchie der Empfängercontainer unter Exchange Server mit der Hierarchie der Organisationseinheiten unter Windows 2000 Server synchronisiert. Sie können die Hierarchie der Organisationseinheiten oder den Standort einzelner Empfänger, die im Active Directory vom ADC-Dienst angelegt wurden, zu einem späteren Zeitpunkt ändern. Durch das Verschieben der Empfänger oder Organisationseinheiten an einen neuen Standort werden bei der nächsten ADC-Synchronisation die neuen Standorte und die vorhandenen Empfänger berücksichtigt (vorausgesetzt, diese befinden sich im Suchbereich der festgelegten Import- und Exportcontainer). Installieren Sie zur Leistungsoptimierung den ADC-Dienst auf einem Mitgliedsserver in der Windows 2000Server-Domäne Wenn Sie je nach Synchronisationszeitplan den ADC-Dienst mit mehreren Verbindungsabkommen konfigurieren, kann dies zu einer hohen Prozessorauslastung führen. Stellen Sie bei der Installation des ADC-Diensts auf einem Domänencontroller oder in einem globalen Katalog sicher, dass die Serverhardware die zusätzliche Verarbeitungsmenge unterstützt.
688
Teil V
Erweiterte Verwaltung
Erstellen Sie entweder ADC-Verbindungsabkommen zwischeneinemglobalen Katalog und einem Exchange-Server, oder richten Sie den ADC-Dienst in einem Netzwerkein, das sich in unmittelbarer Nähe des globalen Katalogs befindet In einer Umgebung mit mehreren Domänen führt der ADC-Dienst Suchläufe im globalen Katalog durch, auch wenn kein Verbindungsabkommen für die Synchronisation mit einem globalen Katalogserver vorhanden ist. Mit der Durchführung von Suchläufen im globalen Katalog wird sichergestellt, dass der ADC-Dienst keine doppelten Objekte in der Gesamtstruktur erstellt.
ADC-Implementierungsstrategie Zur erfolgreichen Installation des ADC-Diensts und Konfiguration eines Verbindungsabkommens müssen Sie sich an Windows 2000 Server mit einem Konto anmelden, das unterschiedliche Anmeldeinformationen enthält. Zum Durchführen verschiedener Aufgaben benötigen Sie folgende Berechtigungen: Erstmalige ADC-Installation Bei der erstmaligen Installation des ADC-Diensts in einer Windows 2000Gesamtstruktur erweitert das ADC-Setupprogramm das Active Directory-Schema mit den Exchange-Schemaerweiterungen. Hierzu muss es sich bei dem zur Ausführung des Setups verwendeten Konto um das Konto eines Mitglieds der Gruppe der Schemaverwalter handeln, oder das Konto muss Berechtigungen zum Erweitern des Schemas aufweisen. Darüber hinaus erstellt das ADC-Setup Objekte im Active Directory-Konfigurationscontainer. Hierzu muss es sich bei dem zur Ausführung des Setups verwendeten Konto um das Konto eines Mitglieds der Gruppe der Domänenverwalter handeln, oder das Konto muss Berechtigungen zum Erstellen von Objekten in den Dienst- und Standortcontainern aufweisen. Abschließend legt das ADC-Setup zwei Sicherheitsgruppen in der lokalen Domäne an. Die eine Gruppe stellt die Gruppe Exchange-Dienste und die andere die Gruppe Exchange-Verwalter dar. Hierzu muss es sich bei dem zur Ausführung des Setups verwendeten Konto um das Konto eines Mitglieds der Gruppe der Domänenverwalter handeln, oder das Konto muss Berechtigungen zum Erstellen von Objekten im Benutzercontainer aufweisen. Nachfolgende Installationen des ADC-Diensts Nachfolgende Installationen des ADC-Diensts in derselben Gesamtstruktur erfordern keine Schemaverwalterberechtigung. Bei nachfolgenden Installationen werden entweder Domänenverwalterberechtigungen oder andere Berechtigungen für die Erstellung neuer Objekte in den Standort- oder Dienstcontainern im Konfigurationsnamenskontext benötigt. Bei weiteren Installationen in derselben Domäne muss weder die Gruppe Exchange-Dienste noch die Gruppe ExchangeVerwalter erstellt werden. Jede erstmalige Installation des ADC-Diensts in einer anderen Windows 2000 Server-Domäne erfordert jedoch die Erstellung dieser Gruppen und folglich die hierzu benötigten Berechtigungen. ADC-Konfiguration Sie können die ADC-Richtlinie konfigurieren, indem Sie die Eigenschaftsseiten des Knotens der höchsten Ebene im ADC-Administrator-Snap-In für MMC anzeigen. Durch Ändern der Richtlinie können Sie die im jeweiligen Verzeichnis synchronisierten Attribute sowie die Richtlinien steuern, die vom ADC-Dienst zum Zuordnen der Objekte im jeweiligen Verzeichnis verwendet werden.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
689
ADC-Schema- und ADC-Objektzuordnung Jedes Verbindungsabkommen verwendet eine tabellenbasierte Schemazuordnung für die Mehrzahl der Attribute in Objekten, die zwischen den beiden Verzeichnissen synchronisiert werden. Die Standardzuordnung befindet sich im ADC-Richtlinienobjekt im Active Directory. Während ein Teil der Attribute, die in beiden Verzeichnissen synchronisiert werden, aktiviert und deaktiviert werden kann, ist es nicht möglich, die Schemazuordnung im ADC-Administrator-Snap-In für MMC zu ändern. In den Tabellen 20.3, 20.4, 20.5 und 20.6 werden zahlreiche Zuordnungen aufgelistet, die in der Standardschemazuordnung festgelegt sind. Die Tabelle 20.3 enthält die Attributzuordnungen für alle Objekte in Windows 2000 und Exchange. Wenn ein Attributwert für ein zuzuordnendes Attribut im Quellverzeichnis nicht vorhanden ist, wird die Zuordnung ignoriert. Tabelle 20.3 Attributzuordnungen für alle Objekte Windows 2000-Attribut (LDAP-Name) Alle Objektklassen
Exchange-Attribut(LDAP-Name) Alle Objektklassen
description autoReply businessRoles
Admin-description AutoReply Business-Roles
co company delivContLength
co company deliv-Cont-Length
department displayName
department cn
displayNamePrintable distinguishedName dnQualifier
name distinguishedName dnQualifier
employeeID extensionAttribute1 extensionAttribute2
employeeNumber Extension-Attribute-1 Extension-Attribute-2
extensionAttribute3 extensionAttribute4
Extension-Attribute-3 Extension-Attribute-4
extensionAttribute5 extensionAttribute6 extensionAttribute7
Extension-Attribute-5 Extension-Attribute-6 Extension-Attribute-7
extensionAttribute8 extensionAttribute9 extensionAttribute10
Extension-Attribute-8 Extension-Attribute-9 Extension-Attribute-10
extensionAttribute11 extensionAttribute12
Extension-Attribute-11 Extension-Attribute-12
extensionAttribute13 extensionAttribute14 extensionAttribute15
Extension-Attribute-13 Extension-Attribute-14 Extension-Attribute-15
690
Teil V
Erweiterte Verwaltung facsimileTelephoneNumber (Fortsetzung)
facsimileTelephoneNumber
Windows 2000-Attribut(LDAP-Name) Alle Objektklassen
Exchange-Attribut(LDAP-Name) Alle Objektklassen
generationQualifier
generationQualifier
homephone homePostalAddress
homephone homePostalAddress
houseIdentifier info initials
houseIdentifier info initials
l Language mail
l Language mail
mailnickname mobile
uid mobile
otherTelephone otherHomePhone telephoneAssistant
Telephone-Office2 Telephone-Home2 telephone-Assistant
pager personalPager personalTitle
pager personalPager personalTitle
physicalDeliveryOfficeName postalCode
physicalDeliveryOfficeName postalCode
secretary sn st
secretary sn st
street streetAddress telephoneNumber
street postalAddress telephoneNumber
telexNumber teletexTerminalIdentifier
telexNumber teletexTerminalIdentifier
textEncodedORAddress title userCertificate
textEncodedORAddress title userCertificate
userCert userSMIMECertificate url
user-Cert userSMIMECertificate url
x121Address autoReplyMessage
x121Address conferenceInformation
importedFrom
Imported-From
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
Die Tabelle 20.4 enthält die Attributzuordnungen für alle Benutzer- und Postfachobjekte in Windows 2000 und Exchange. Tabelle 20.4 Objektklassenspezifische Zuordnungen Windows 2000-Attribut (LDAP-Name) Benutzerobjekt
Exchange-Attribut (LDAP-Name) Postfachobjekt
givenName manager altRecipient
givenName manager Alt-Recipient
publicDelegates mdbUseDefaults
public-Delegates mdb-use-defaults
mdbOverQuotaLimit mdbStorageQuota submissionContLength
MDB-Over-Quota-Limit MDB-Storage-Quota submission-cont-length
mDBOverHardQuotaLimit protocolSettings mapiRecipient
DXA-task protocol-Settings mapi-recipient
msExchHomeServerName msExchHomeServerName
home-MDB home-MTA
deliverAndRedirect garbageCollPeriod securityProtocol
deliver-and-redirect garbage-coll-period security-Protocol
deletedItemFlags objectSID authOrig
DXA-Flags Assoc-NT-Account Auth-Orig
unauthOrig dLMemSubmitPerms
Unauth-Orig DL-Mem-Submit-Perms
dLMemRejectPerms folderPathname
DL-Mem-Reject-Perms Folder-Pathname
Die Tabelle 20.5 enthält die Attributzuordnungen für alle Kontakt- sowie benutzerdefinierten Objekte in Windows 2000 und Exchange. Tabelle 20.5 Objektklassenspezifische Zuordnungen Windows 2000-Attribut (LDAP-Name) Kontaktobjekt
Exchange-Attribut (LDAP-Name) Benutzerdefiniertes Objekt
givenName Manager targetAddress
givenName Manager target-Address
protocolSettings mapiRecipient AuthOrig
protocol-Settings mapi-Recipient Auth-Orig
UnauthOrig dlMemSubmitPerms
Unauth-Orig dl-Mem-Submit-Perms
691
692
Teil V
Erweiterte Verwaltung dlMemRejectPerms
dl-Mem-Reject-Perms
Die Tabelle 20.6 enthält die Attributzuordnungen für alle Gruppen- und Verteilerlistenobjekte in Windows 2000 und Exchange. Tabelle 20.6 Objektklassenspezifische Zuordnungen Windows 2000-Attribut(LDAP-Name) Gruppenobjekt
Exchange-Attribut (LDAP-Name) Verteilerlistenobjekt
member msExchExpansionServerName managedby
member home-MTA owner
oOFReplyToOriginator reportToOriginator reportToOwner
OOF-Reply-To-Originator Report-To-Originator Report-To-Owner
hideDLMembership authOrig
Hide-DL-Membership Auth-Orig
unauthOrig dLMemSubmitPerms dLMemRejectPerms
Unauth-Orig DL-Mem-Submit-Perms DL-Mem-Reject-Perms
Stimmen Sie die Anzahl der vom Unternehmen benötigten Vereinbarungsabkommen auf die jeweilige Netzwerkumgebung ab, und berücksichtigen Sie dabei die Einrichtungszielsetzungen und -anforderungen sowie das gewünschte Implementierungsergebnis. Weiterhin müssen Sie sich mit den Exchange Server- und Active Directory-Objektattributen vertraut machen, die nicht synchronisiert werden können. Diese Attribute werden in der Tabelle 20.7 aufgelistet. Tabelle 20.7 Attribute von Objekten, die nicht synchronisiert werden können Windows 2000 Server-Active Directory
Exchange Server 5.5-Verzeichnisdienst
Sämtliche Kontoinformationen, wie z. B. Kontoanmeldung, Kennwort usw. Profilinformationen
Erweiterte Sicherheitseinstellungen
DFÜ-Berechtigungen für Routing und RAS
Stamminformationsspeicher
Zugriffskontrolllisten (ACLs)
Zugriffskontrolllisten (ACLs)
Verwalten von Objekten Sie müssen den Verzeichnisdienst festlegen, der zum Verwalten von Objekten verwendet werden soll. Wie weiter oben in diesem Kapitel erläutert, können Sie den ADC-Dienst zum Verwalten von Objekten im Active Directory oder im Exchange Server-Verzeichnisdienst bzw. in beiden Verzeichnisdiensten verwenden.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
693
Die vom ADC-Dienst durchgeführte Synchronisation von gelöschten Objekten zwischen den beiden Verzeichnissen unterscheidet sich von der Synchronisation anderer geänderter Objekte. Standardmäßig führt der ADC-Dienst bei gelöschten Objekten keine Synchronisation des Quell- und Zielverzeichnisses durch. Stattdessen erstellt der ADC-Dienst eine Importdatei auf dem Datenträger, auf dem das zu löschende Element gespeichert ist. Ein Administrator kann die gelöschten Objekte in dieser Importdatei überprüfen, die Datei gegebenenfalls importieren und gleichzeitig die Gruppe der Zielobjekte löschen. Um gelöschte Objekte in den beiden Verzeichnissen direkt zu synchronisieren, wählen Sie in den Löscheigenschaften der Verbindungsabkommenseigenschaften die entsprechende Option aus. Darüber hinaus können Sie die ADC-Handhabung der beiden Richtungen eines bidirektionalen Verbindungsabkommens steuern.
Verwalten von Objekten über das Active Directory Wenn Sie Objekte über das Active Directory verwalten, müssen Sie für jedes Verbindungsabkommen einen Schreibzugriff auf das Exchange Server-Verzeichnis einrichten. Für jeden Exchange Server-Standort, dessen Empfänger über das Active Directory verwaltet werden, muss ein Verbindungsabkommen von einem Server an diesem Standort zu einer geeigneten Windows 2000 Server-Domäne erstellt werden. Dieses Verwaltungsmodell eignet sich beispielsweise für ein Unternehmen, in dem Mitarbeiterinformationen im Active Directory oder einem anderen Verzeichnissystem verwaltet werden, das eine Synchronisation mit dem Active Directory durchführt. Sie können den ADC-Dienst verwenden, um das Exchange Server-Verzeichnis mit Änderungen an den Mitarbeiterinformationen zu aktualisieren.
Verwalten von Objekten über den Exchange Server 5.5Verzeichnisdienst Wenn Sie Objekte weiterhin über Microsoft Exchange Administrator verwalten, konfigurieren Sie zum Auffüllen und Aktualisieren des Active Directory unidirektionale Verbindungsabkommen. Es ist möglich, ein unidirektionales Verbindungsabkommen zu einem einzelnen Exchange Server-Standort einzurichten und das gesamte Exchange Server-Verzeichnis unter Verwendung dieses Verbindungsabkommens mit dem Active Directory zu synchronisieren. Somit entfällt die Notwendigkeit, mehrere Verbindungsabkommen zwischen allen ExchangeStandorten zu erstellen und zu verwalten. Wenn das Verbindungsabkommen für die Weiterleitung aus Exchange zum Active Directory konfiguriert wurde, kann jeder beliebige Exchange Server-Standort als Quellcontainer ausgewählt werden. Durch Auswahl aller Standorte als Quellcontainer können Sie sämtliche Empfänger im Exchange Server-Verzeichnis synchronisieren. Dieses Modell eignet sich für Einsteiger in die ADC-Einrichtung. Bei diesem Modell werden die eingerichteten Exchange Server-Verzeichnisdaten ohne Auswirkungen auf das verwendete Exchange Server-System in das Active Directory verschoben. Wenn Sie das Active Directory ordnungsgemäß aufgefüllt und sich mit den ADC-Funktionen in einer Arbeitsumgebung vertraut gemacht haben, können Sie für die Verbindungsabkommen eine bidirektionale Konfiguration oder eine Weiterleitung vom Active Directory zu Exchange einrichten.
694
Teil V
Erweiterte Verwaltung
Anmerkung Wenn Sie als Quelle für das unidirektionale Verbindungsabkommen mehrere Downstream-Exchange Server-Standorte ausgewählt haben und das Verbindungsabkommen in ein bidirektionales Abkommen umwandeln möchten, müssen Sie die Container für dieses Verbindungsabkommen aus allen nichtlokalen Standorten entfernen. Um die Objekte an einem beliebigen Exchange ServerStandort bearbeiten zu können, müssen Sie verschiedene Verbindungsabkommen für alle Server unter Exchange Server 5.5 erstellen.
Verwalten von Objekten über das Active Directory und den Exchange Server 5.5-Verzeichnisdienst Wenn Sie Daten sowohl über das Active Directory als auch über das Exchange Server 5.5-Verzeichnis verwalten, müssen Sie ein bidirektionales Verbindungsabkommen zwischen den zu synchronisierenden Standorten und Domänen erstellen. Weitere Informationen zum Einrichten von Verbindungsabkommen finden Sie im Abschnitt „Einrichten von Verbindungsabkommen“ in diesem Kapitel. Bei der Verwaltung von Objekten über beide Verzeichnisse ist eine komplexere Verbindungsabkommenstopologie erforderlich. Verwenden Sie dieses Verwaltungsmodell, wenn bestimmte Daten über das Exchange Server-Verzeichnis und bestimmte Daten über das Active Directory verwaltet werden müssen. Bei einer Änderung desselben Objekts in beiden Verzeichnissen wird die letzte Änderung übernommen. Unter Umständen sind jedoch zwei Synchronisationszyklen für dieses Objekt notwendig. Dies richtet sich danach, ob das Objekt vor oder während des ersten Synchronisationszyklus des ADC-Diensts geändert wurde.
Festlegen von Objekten für die Verzeichnissynchronisation Beim Festlegen von Objekten für die Verzeichnissynchronisation zwischen dem Exchange Server 5.5-Verzeichnis und dem Active Directory sind folgende Ziele vorrangig: ? Bereitstellung der gewünschten Objekte in beiden Umgebungen. ? Problemloser Objektzugriff durch Benutzer, Administratoren und Entwickler. Sie erreichen diese Ziele, indem Sie die Windows 2000 Server-Objekte, wie z. B. Benutzer, Kontakte und Gruppen, in Empfängercontainern zusammenfassen, die den Exchange Server-Empfängercontainern entsprechen. Im Folgenden wird die hierzu erforderliche Vorgehensweise dargestellt: ? Erstellen Sie im Exchange Server 5.5-Verzeichnisdienst drei Empfängercontainer: ? Benutzerdefinierte Empfänger ? Postfächer ? Verteilerlisten ? Konfigurieren Sie in Windows 2000 Server folgende Organisationseinheiten: ? Kontakte ? Benutzer ? Gruppen ? Computer
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
695
Anmerkung Die Erstellung eines Empfängercontainers, der mit der Organisationseinheit des Computers unter Windows 2000 Server übereinstimmt, ist nicht möglich, da Exchange Server keine Synchronisation von Computern durchführt. Speichern Sie sämtliche internen Benutzer im Benutzercontainer, die benutzerdefinierten Empfänger im Kontaktcontainer und die Verteilerlisten im Gruppencontainer. Synchronisieren Sie anschließend die Verzeichnisse. Zur Einrichtung der Synchronisation zwischen Exchange Server-Containern und Active Directory-Organisationseinheiten stehen zwei Möglichkeiten zur Verfügung. Diese lauten wie folgt: ? Die erste Möglichkeit besteht darin, drei verschiedene Verbindungsabkommen
zu erstellen, die den jeweiligen Exchange Server-Container der entsprechenden Active Directory-Organisationseinheit zuordnen. Die benutzerdefinierten Empfänger in Exchange Server werden beispielsweise den Kontakten im Active Directory zugeordnet usw. In Abbildung 20.4 wird diese Möglichkeit an einem Beispiel dargestellt.
Abbildung 20.4 Verwenden mehrerer Verbindungsabkommen zum Zuordnen von Exchange Server-Containern zu Windows 2000 Server-Organisationseinheiten ? Die zweite Möglichkeit besteht darin, ein einzelnes Verbindungsabkommen
zwischen dem übergeordneten Container aller untergeordneten Exchange Server-Container und dem übergeordneten Container aller untergeordneten Active Directory-Container anzulegen. Bei der erstmaligen Synchronisation der Verzeichnisse erstellt der ADC-Dienst automatisch Container, die dem übergeordneten Windows 2000 Server-Container untergeordnet sind, um diejenigen in Exchange Server widerzuspiegeln. In diesem Fall werden die in den Postfächern, benutzerdefinierten Empfängern und Verteilerlisten enthaltenen Objekte unter Beibehaltung der Verzeichnishierarchie in die entsprechenden Container repliziert. Nur Container mit mindestens einem E-Mail-fähigen Objekt werden repliziert. In Abbildung 20.5 wird die Erstellung eines einzelnen Verbindungsabkommens zum Zuordnen von Daten aus festgelegten Exchange Server-Containern zu einer Active Directory-Organisationseinheit an einem Beispiel dargestellt.
696
Teil V
Erweiterte Verwaltung
Abbildung 20.5 Zuordnen von Exchange Server-Containern zu Windows 2000 Server Active Directory mit Hilfe eines einzelnen Verbindungsabkommens
Die zweite Möglichkeit ist der ersten vorzuziehen, da eine geringere Anzahl an Verbindungsabkommen erstellt wird und das System die Hauptarbeitslast trägt.
Einrichten von Verbindungsabkommen Beim Einrichten von Verbindungsabkommen müssen Sie die Windows 2000 Server-Domänen und Exchange Server-Standorte bewerten und die Mindestanzahl der Verbindungsabkommen festlegen, die für den optimalen Betrieb des Systems erforderlich sind. Es ist nicht empfehlenswert, ein Verbindungsabkommen zwischen jedem Exchange Server-Standort und jeder Windows 2000 ServerDomäne im Unternehmen zu erstellen. Um eine optimale Systemleistung zu erreichen, beachten Sie beim Festlegen der Anzahl der Verbindungsabkommen für das Unternehmen Folgendes: ? Geschwindigkeit, Anzahl der CPUs sowie den verfügbaren Arbeitsspeicher aller ? ? ? ?
Exchange-, Windows 2000- und ADC-Server. Netzwerkauslastung. Gesamtzahl der Exchange Server-Postfächer und Active Directory-Benutzer. Gesamtzahl der benutzerdefinierten Empfänger in Exchange Server sowie die Gesamtzahl der Active Directory-Kontakte. Gesamtzahl der Exchange Server-Verteilerlisten und Active Directory-Gruppen.
Verwenden Sie bei der Implementierung den ADC-Dienst sowie das ADCVerwaltungs-Snap-In, um die Verbindungsabkommen für das Unternehmen einzurichten und zu konfigurieren.
Erstellen der Verbindungsabkommen Es stehen mehrere Kombinationsmöglichkeiten für die Einrichtung von Verbindungsabkommen zum Synchronisieren des Exchange Server-Verzeichnisdiensts mit dem Active Directory zur Verfügung. Gehen Sie beim Planen und Erstellen der Verbindungsabkommen folgendermaßen vor: ? Geben Sie an, welches der im Folgenden dargestellten Modellunternehmen eine
mit der Windows 2000 Server- und Exchange Server-Umgebung Ihres Unternehmens vergleichbare Umgebung aufweist. ? Erstellen Sie den ersten Verbindungsabkommensentwurf, und beginnen Sie mit
dem ADC-Verbindungsabkommensplan.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
697
? Bereiten Sie sich auf eine mögliche Rechtfertigung Ihres Entwurfs vor, und
holen Sie die Zustimmung des Managements ein, um mit der Implementierung zu beginnen. Während der Einrichtung erstellen Sie die Verbindungsabkommen unter Verwendung des ADC-Diensts und des ADC-Verwaltungs-Snap-Ins. Anmerkung Bei den folgenden ADC-Verbindungsmodellen wird davon ausgegangen, dass sich die Domänen und Exchange-Standorte in einer Gesamtstruktur befinden. Sind die Domänen und Exchange-Standorte über mehrere Gesamtstrukturen verteilt, muss für jede Gesamtstruktur eine eigene ADC-Topologie angelegt werden.
ADC-Verbindungsmodell 1: Eine einzelne Windows 2000 Server-Domäne mit einem einzelnen Exchange Server-Standort Eine einzelne Windows 2000 Server-Domäne mit einem einzelnen ExchangeStandort stellt die einfachste Domänenarchitektur in einer Windows 2000 ServerTopologie dar. In der Regel eignet sich dieses Verbindungsmodell für kleinere Unternehmen mit einer zentralen Verwaltung und bis zu 5.000 Benutzern. In Abbildung 20.6 wird die Einrichtung eines bidirektionalen Verbindungsabkommens zwischen einer einzelnen Windows 2000 Server-Domäne und einem einzelnen Exchange Server-Standort an einem Beispiel dargestellt.
Abbildung 20.6 Eine einzelne Windows 2000 Server-Domäne mit einem einzelnen Exchange Server-Standort
698
Teil V
Erweiterte Verwaltung
Sie können die Verbindungsabkommen so einrichten, dass die Empfänger ausschließlich über Windows 2000 Server Active Directory bzw. Exchange Server 5.5 oder über beide Verzeichnisse verwaltet werden. Eignet sich das ADC-Verbindungsmodell 1 am besten für die Umgebung im jeweiligen Unternehmen, so verwenden Sie zum Erstellen eines ADC-Verbindungsabkommensplans für das Unternehmen das Flussdiagramm in Abbildung 20.7
Abbildung 20.7 Eine einzelne Windows 2000 Server-Domäne mit einem einzelnen Exchange Server-Standort
ADC-Verbindungsmodell 2: Eine einzelne Windows 2000 Server-Domäne mit mehreren Exchange Server-Standorten In der Regel wird dieses Verbindungsmodell in kleinen bis mittleren Unternehmen mit bis zu 20.000 Benutzern und/oder einem Hauptstandort und mehreren Niederlassungen eingesetzt. In Abbildung 20.8 wird die Einrichtung bidirektionaler Verbindungsabkommen zwischen einer einzelnen Windows 2000 Server-Domäne und mehreren ausgewählten Exchange Server-Standorten an einem Beispiel dargestellt.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
Abbildung 20.8 Eine einzelne Windows 2000 Server-Domäne mit mehreren Exchange Server-Standorten
Eignet sich das ADC-Verbindungsmodell 2 am besten für die Umgebung im jeweiligen Unternehmen, so verwenden Sie zum Erstellen eines ADC-Verbindungsabkommensplans für das Unternehmen das Flussdiagramm in Abbildung 20.9.
Abbildung 20.9 Eine einzelne Windows 2000 Server-Domäne mit mehreren Exchange Server-Standorten
699
700
Teil V
Erweiterte Verwaltung
Anmerkung Bei den ADC-Verbindungsmodellen mit mehreren Domänen und/oder Standorten ist es nicht erforderlich, zwischen jeder Windows 2000 ServerDomäne und jedem Exchange Server-Standort ein Verbindungsabkommen zu erstellen. Ein Verbindungsabkommen zwischen einem Exchange Server-Standort und einer Windows 2000 Server-Domäne muss nur dann erstellt werden, wenn sich in dieser Domäne Exchange-Postfächer mit dem primären Windows NT Server-Konto befinden.
ADC-Verbindungsmodell 3: Mehrere Windows 2000 Server-Domänen mit einem einzelnen Exchange Server-Standort Sie können dieses Verbindungsmodell zum Erstellen eines ADC-Plans für mittlere bis große Unternehmen oder für einen einzelnen Geschäftsbereich eines großen, dezentralen Unternehmens verwenden. In Abbildung 20.10 wird die Einrichtung bidirektionaler Verbindungsabkommen zwischen mehreren Windows 2000 Server-Domänen und einem einzelnen Exchange Server-Standort an einem Beispiel dargestellt.
Abbildung 20.10 Mehrere Windows 2000 Server-Domänen mit einem einzelnen Exchange Server-Standort
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
Eignet sich das ADC-Verbindungsmodell 3 am besten für die Umgebung im jeweiligen Unternehmen, so verwenden Sie zum Erstellen eines ADCVerbindungsabkommensplans für das Unternehmen das Flussdiagramm in Abbildung 20.11. Dieses Flussdiagramm unterstützt Sie bei der Verwaltung von Empfängern in einer Umgebung mit mehreren Windows 2000 Server-Domänen und einem einzelnen Exchange Server-Standort.
Abbildung 20.11 Mehrere Windows 2000 Server-Domänen und ein einzelner Exchange Server-Standort
ADC-Verbindungsmodell 4: Mehrere Windows 2000 Server-Domänen mit mehreren Exchange Server-Standorten Bei einer Umgebung mit mehreren Domänen und mehreren Exchange ServerStandorten ist ein komplexer Verbindungsabkommensentwurf erforderlich. Der Zweck jedes zu erstellenden Verbindungsabkommens muss genau definiert werden. In Abbildung 20.12 wird die Einrichtung bidirektionaler Verbindungsabkommen zwischen mehreren Windows 2000 Server-Domänen und mehreren Exchange Server-Standorten an einem Beispiel dargestellt.
701
702
Teil V
Erweiterte Verwaltung
Abbildung 20.12 Mehrere Windows 2000 Server-Domänen mit mehreren Exchange Server-Standorten
Bei mehreren über den ADC-Dienst verbundenen Windows 2000 Server-Domänen und Exchange Server-Standorten stehen unter Umständen zahlreiche Verbindungsabkommen zur Verfügung, die zum Synchronisieren eines bestimmten Objekts verwendet werden können. Um zwischen Verbindungsabkommen unterscheiden zu können, verwendet der ADC-Dienst eine Reihe von Übereinstimmungsrichtlinien, die auf dem primären Windows NT Server-Konto für ein Postfach und dem entsprechenden Konto im Active Directory basieren. Ist der ADC-Dienst in der Lage, einem Windows 2000 Server-Konto in einer beliebigen verbundenen Domäne ein Postfach zuzuordnen, wird die Synchronisation der beiden Objekte fortgesetzt. In Abbildung 20.12 werden beispielsweise die Postfächer von Robert Lyon und Kim Abercrombie am Exchange Server-Standort B mit Benutzerobjekten synchronisiert, die sich in zwei verschiedenen Windows 2000 Server-Domänen befinden. Eignet sich das ADC-Verbindungsmodell 4 am besten für die Umgebung im jeweiligen Unternehmen, verwenden Sie zum Erstellen eines ADC-Verbindungsabkommensplans für das Unternehmen das Flussdiagramm in Abbildung 20.13.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
703
Abbildung 20.13 Mehrere Windows 2000 Server-Domänen und mehrere Exchange Server-Standorte
Erstellen des ADC-Verbindungsabkommensplans Zur Einrichtung des ADC-Verbindungsabkommensplans sollten Sie ein Treffen zwischen dem Beratungsteam für die Verzeichnissynchronisation und dem Einrichtungsteam organisieren, um ein Profil mit folgenden Inhalten zu erstellen: ? Anforderungen der Administratoren und Endbenutzer. ? Eine Risikoeinschätzung. ? Ein Bericht zum aktuellen Status der Windows NT Server- oder
Windows 2000 Server-Domäne und der Umgebung des Exchange ServerStandorts. ? Überlegungen bezüglich geeigneter Umgebungen für Windows 2000 Server und den Exchange Server-Standort. ? Vereinbarungen bezüglich umsetzbarer Umgebungen für Windows 2000 Server und den Exchange Server-Standort. Stellen Sie hierzu alle für die Erstellung eines ADC-Verbindungsabkommensplans benötigten Daten zusammen. Der Plan beinhaltet die Durchführung folgender Aufgaben: ? Auswahl eines der im vorherigen Abschnitt vorgestellten Verbindungsmodelle.
704
Teil V
Erweiterte Verwaltung ? Angabe der Anforderungen für die ADC-Netzwerkinfrastruktur sowie
Kenntnisse bezüglich der Vorbereitung der ADC-Implementierung. ? Angabe des Verzeichnisdiensts, der zum Verwalten von Objekten verwendet werden soll. ? Angabe der Objekte, die zwischen den Verzeichnissen synchronisiert werden sollen. Die Diagramme zur Windows 2000 Server-Domäne sowie zur Topologie des Exchange Server-Standorts unterstützen Sie bei der Erstellung des ersten ADCVerbindungsabkommensplans.
Testen der Verbindungsabkommenskonfigurationen Der ADC-Dienst übernimmt in Test- und Arbeitsumgebungen unterschiedliche Funktionen. Verwenden Sie den ADC-Dienst in einer Testumgebung zur Durchführung folgender Aufgaben: ? Bewerten des ADC-Diensts. ? Angeben von Leistungsmerkmalen des ADC-Diensts. ? Überprüfen der Anordnung der Verbindungsabkommen. ? Überprüfen des Active Directory-Entwurfs anhand der
Verzeichnisinformationen des eingesetzten Exchange Server-Verzeichnisses. Es empfiehlt sich, einen Testplan zu erstellen. Beachten Sie beim Testen der Verbindungsabkommenskonfigurationen die folgenden Richtlinien: ? Erstellen Sie ein Testlabor, das den Exchange Server-Standort und die
Windows NT Server- oder Windows 2000 Server-Domänenstruktur widerspiegelt. ? Stellen Sie bei der Durchführung von Vor-Ort-Aktualisierungen der Win-
dows NT 4.0 Server-Hauptkontendomänenmaster sicher, dass beim Einrichten der Windows 2000 Server-Domänencontroller im Testlabor die eingesetzten Windows NT 4.0 Server-Reservedomänencontroller (BDCs) offline geschaltet und im Testlabor eingerichtet werden. Aktualisieren Sie anschließend die Windows 2000 Server-Domänencontroller, um den ADC-Dienst zu testen. ? Verwenden Sie die Testlaborumgebung, um die ADC-initiierte Aufnahme von Exchange Server-Daten in den eingesetzten Domänencontrollern zu verstehen. Legen Sie fest, wann der ADC-Dienst in diesem Fall vorhandene Windows 2000 Server-Objekte zuordnet anstatt neue Objekte zu erstellen. Passen Sie die Übereinstimmungsrichtlinien gegebenenfalls an, um eine ordnungsgemäße Auffüllung des Active Directory zu gewährleisten. ? Testen und überprüfen Sie in Umgebungen mit mehreren Domänen und mehreren Standorten den ADC-Verbindungsabkommensplan sowie die Verwendung von ADC-Bridgeheadoptionen, um eine ordnungsgemäße Auffüllung des Active Directory zu gewährleisten. ? Wenn Sie eine parallele Windows 2000 Server-Domäne für die Verwendung mit Exchange Server einrichten möchten, testen Sie den ADC-Dienst, indem Sie in der Gesamtkapazitätsplanung für parallele Domänen unter Windows 2000 Server neue Benutzer erstellen.
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
705
Weitere Informationen zum Erstellen von Testplänen finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
Erstellen eines Zeitplans für die Verzeichnissynchronisation Sie können verschiedene Verbindungsabkommen einrichten, um Synchronisationsvorgänge zu bestimmten Tageszeiten durchzuführen. Jedes Verbindungsabkommen verfügt über einen eigenen Zeitplan. Der für Synchronisationsvorgänge am besten geeignete Zeitpunkt wird vom Administrator festgelegt. In umfangreichen Netzwerken mit zahlreichen Benutzern ist eine häufigere Synchronisation erforderlich als in kleinen Netzwerken. Darüber hinaus ist es in manchen Netzwerken notwendig, bestimmte Objekte häufiger zu synchronisieren als andere Objekte. Bei der Erstellung eines Zeitplans für die Verzeichnissynchronisation sind folgende Überlegungen zu berücksichtigen: ? Geben Sie an, ob mehr als 100.000 Benutzer oder Postfächer synchronisiert
werden müssen. In diesem Fall können Sie die Systemleistung optimieren, indem Sie mehrere Verbindungsabkommen erstellen, um verschiedene Objekte zu unterschiedlichen Uhrzeiten zu synchronisieren. ? Wenn Sie täglich Änderungen in einem Verzeichnis durchführen, die jedoch erst am nächsten Tag im anderen Verzeichnis benötigt werden, empfiehlt sich die Durchführung nächtlicher Synchronisationsvorgänge. ? Machen Sie sich mit den internen Replikationszeitplänen des Active Directory und des Exchange Server-Verzeichnisses vertraut. Um eine regelmäßige und effiziente Nutzung der Ressourcen sicherzustellen, berücksichtigen Sie bei der Planung der ADC-Synchronisation die interne Verzeichnisreplikation. ? Findet die Verzeichnisaktualisierung in der Regel zu festgelegten Uhrzeiten statt, führen Sie den Synchronisationsvorgang unmittelbar nach einer Änderung durch. In Abbildung 20.14 wird ein Produktions- sowie Verzeichnissynchronisationszeitplan dargestellt.
706
Teil V
Erweiterte Verwaltung
Abbildung 20.14 Ein Zeitplan für die Produktion und Verzeichnissynchronisation
Erstellen Sie für den ADC-Verbindungsabkommensplan einen Verzeichnissynchronisationszeitplan, der mit dem in Abbildung 20.14 dargestellten Zeitplan vergleichbar ist. Bei dem in Anhang A enthaltenen Arbeitsblatt zur Erstellung eines ADC-Verbindungsabkommensplans handelt es sich um eine Vorlage zum Anlegen eines Synchronisationszeitplans.
Schutz vor unbeabsichtigtem Datenverlust Vor dem Einrichten des ersten Verbindungsabkommens müssen Sie einen Plan für die Unterbrechung der Verzeichnissynchronisation sowie für die Sicherung und Wiederherstellung der Daten erstellen. Erarbeiten Sie gemeinsam mit den Netzwerkadministratoren im Unternehmen einen Sicherungs- und Wiederherstellungsplan für die Verzeichnissynchronisation. Dieser Plan ist Bestandteil des Hauptsicherungs- und -wiederherstellungsplans. In diesem Abschnitt wird die Unterbrechung eines Synchronisationsvorgangs erläutert, unabhängig davon, ob es sich um Daten aus dem Exchange Server 5.5Verzeichnisdienst oder dem Active Directory handelt. Darüber hinaus stehen in diesem Abschnitt Vorschläge bezüglich des günstigsten Zeitpunkts für die
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
707
Verzeichnissicherung sowie Tools zum Durchführen des Sicherungsvorgangs zur Verfügung. Unter Umständen müssen Sie den Verzeichnissynchronisationsvorgang abbrechen und alle vom ADC-Dienst durchgeführten Änderungen rückgängig machen. Das Verbindungsabkommen muss in jedem Fall gelöscht oder deaktiviert werden, bevor das Wiederherstellungsverfahren eingeleitet werden kann. Die Methode zum Wiederherstellen des Active Directory richtet sich nach der Konfiguration des ADC-Verbindungsabkommens. Sichern Sie unter Verwendung der geeigneten Windows 2000 Server-Sicherungstools alle Domänencontroller, mit denen der ADC-Dienst eine Verbindung herstellt. Die Exchange Server 5.5-Verzeichnisse, mit denen der ADC-Dienst verbunden ist, müssen ebenfalls gesichert werden. Die verwendeten Sicherungstools müssen die autorisierte Wiederherstellung unterstützen, damit die beschriebenen Wiederherstellungsmethoden durchgeführt werden können. Mit der autorisierten Wiederherstellung werden alle Änderungen rückgängig gemacht, die seit der letzten Sicherung einer Domäne oder eines Containers vorgenommen wurden. Weitere Informationen zur autorisierten Wiederherstellung finden Sie im Kapitel „Sicherung und Wiederherstellung in Active Directory“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme. Beim Auftreten der beiden folgenden Situationen muss der Synchronisationsvorgang unter Umständen abgebrochen werden: Beispiel 1: Aufnehmen neuer Objekte in das Active Directory Das Verbindungsabkommen ist für die Aufnahme neuer Objekte (Gruppen Kontakte und Verteiler) in das Active Directory konfiguriert. In diesem Fall erstellen Sie eine dedizierte Organisationseinheit, in der lediglich die vom ADCDienst erstellten Objekte abgelegt werden. Die Wiederherstellungsmethode besteht darin, die im Verbindungsabkommen festgelegten Organisationseinheiten zu löschen. Somit werden alle vom Verbindungsabkommen erstellten Objekte in der Organisationseinheit entfernt. Alle anderen in dieser Organisationseinheit abgelegten Active Directory-Objekte (z. B. die Objekte Benutzer oder Drucker) werden beim Entfernen der Organisationseinheit ebenfalls gelöscht. Um einen Datenverlust zu vermeiden, verschieben Sie die Objekte Benutzer und Drucker vor dem Löschen der Organisationseinheit. Beispiel 2: Auffüllen der Attribute (Felder) vorhandener Objekte Der ADC-Dienst ist für die Aufnahme der im Exchange Server-Verzeichnis gespeicherten Daten in die Felder vorhandener Objekte konfiguriert. Sie können die Objekte auf verschiedene Container auf dem Domänencontroller verteilen. Um die vom ADC-Dienst durchgeführten Änderungen rückgängig machen zu können, ist in diesem Fall eine autorisierte Wiederherstellung erforderlich. Somit werden die vom ADC-Dienst durchgeführten Änderungen rückgängig gemacht. Ein Datenverlust ist jedoch nicht auszuschließen. Darüber hinaus wurden die seit der Durchführung der letzten Sicherung in der ausgewählten Domäne oder im ausgewählten Container vorgenommenen Änderungen nicht gespeichert. Eine autorisierte Wiederherstellung kann für verschiedene Container durchgeführt werden. Zuerst müssen die entsprechenden Container festgelegt werden. Anschließend wird eine autorisierte Wiederherstellung für diese Container durchgeführt. Weitere Informationen zur Wiederherstellung nach einem Systemausfall finden Sie im Kapitel „Bestimmen der Strategien für die Speicherverwaltung von Windows
708
Teil V
Erweiterte Verwaltung
2000“ in dieser Dokumentation oder in den Kapiteln „Sicherung“ und „Reparatur und Wiederherstellung“ in Microsoft® Windows ® 2000® Server – Die technische Referenz: Betrieb.
Aufgabenliste zur Planung der Verzeichnissynchronisation Bei der in Abbildung 20.8 dargestellten Aufgabenliste zur Planung der Verzeichnissynchronisation handelt es sich um eine praktische Kapitelübersicht, die Sie beim Auffinden wichtiger Aufgaben zur Erstellung eines Verbindungsabkommensplans für das Unternehmen unterstützt. Tabelle 20.8
Aufgabenliste zur Planung der Verzeichnissynchronisation
Aufgabe
Kapitelüberschrift
Erstellen des ADC-Verbindungsabkommensplans Zusammenstellen des Planungs- und Einrichtungsteams Überprüfen der Domänenstruktur sowie der Topologie des Exchange Server-Standorts
Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans
Vorbereiten des Netzwerks für die ADCEinrichtung
Erstellen des ADCVerbindungsabkommensplans
Beachten bestimmter Netzwerkanforderungen
Erstellen des ADCVerbindungsabkommensplans
Festlegen des für die Verwaltung von Objekten zu verwendenden Verzeichnisdiensts
Erstellen des ADCVerbindungsabkommensplans
Verwalten von Objekten über das Active Directory Verwalten von Objekten über den Exchange Server 5.5-Verzeichnisdienst Festlegen von Objekten für die Verzeichnissynchronisation Zuordnen von Exchange Server-Containern zu Windows 2000 Server-Organisationseinheiten Einrichten von Verbindungsabkommen
Testen der Verbindungsabkommenskonfigurationen
Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans Erstellen des ADCVerbindungsabkommensplans
Erstellen eines Zeitplans für die Verzeichnissynchronisation
Erstellen des ADCVerbindungsabkommensplans
Abbrechen eines Synchronisationsvorgangs
Schutz vor unbeabsichtigtem Datenverlust
Erstellen von Verbindungsabkommen Erstellen des ADC-Verbindungsabkommensplans
Kapitel 20 Synchronisieren von Active Directory mit dem Exchange Server-Verzeichnisdienst
709
Zusätzliche Informationen ? Weitere Informationen zu Exchange Server 5.5 finden Sie in
Microsoft® Exchange Server 5.5 – Die technische Referenz. ? Weitere Informationen zu einem beliebigen Thema in diesem Kapitel finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft TechNet“ klicken.
710
Teil V
Erweiterte Verwaltung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
T E I L
V I
Windows 2000 Professional/Clienteinrichtung Der Zeitpunkt und die Art der Installation des Clientcomputers stellt eine der Hauptüberlegungen beim Einsatz von Microsoft® Windows® 2000 dar. Teil VI behandelt die Planung für die automatisierte Clientinstallation und den Einsatz von Technologien zur Änderungs- und Konfigurationsverwaltung. Kapitel in Teil VI Testen der Anwendungskompatibilität mit Windows 2000 713 Festlegen einer Strategie zur Clientkonnektivität 737 Definieren von Standards für die Verwaltung und Konfiguration von Clients 759 Anwenden der Änderungs- und Konfigurationsverwaltung 801 Automatisieren der Clientinstallation und -aktualisierung 845
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
713
K A P I T E L
2 1
Testen der Anwendungskompatibilität mit Windows 2000 Wenn Sie die Einrichtung eines neuen Betriebssystems planen, kann aufgrund der Vielzahl der zu berücksichtigenden Faktoren die Auswahl der zu verwendenden Programme in den Hintergrund treten. Zu den wichtigsten Schritten eines Einrichtungsprojekts gehören aber die Ermittlung der Anwendungen, die bei der Einrichtung Probleme verursachen können, sowie die Behebung dieser Probleme vor Beginn der Einrichtung. Um das Auftreten möglicher Probleme vor der Einrichtung auszuschließen, muss der für die Anwendungstests zuständige Mitarbeiter rechtzeitig mit der Entwicklung eines Plans zum Testen von Windows-basierten Anwendungen beginnen. In diesem Kapitel wird das Verfahren zum Testen der Kompatibilität der vorhandenen Anwendungen mit Microsoft® Windows® 2000 erläutert. Inhalt dieses Kapitels Übersicht über das Testen von Anwendungen 714 Verwalten von Anwendungstests 715 Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität Vorbereiten eines Anwendungstestplans 720 Testen von Anwendungen 724 Protokollieren von Testergebnissen 731 Beheben von Kompatibilitätsproblemen bei Anwendungen 734 Planungstaskliste für Anwendungstests 736 Zusätzliche Ressourcen 736
716
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Eine Liste der nach Priorität geordneten Geschäftsanwendungen ? Ein Plan zum Testen der Kompatibilität von Anwendungen ? Testüberwachungs- und Berichtssystem
Weiterführende Informationen in der technischenReferenz ? Weitere Informationen zum Erstellen von Testplänen finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in diesem Buch. ? Weitere Informationen zum Festlegen von Anwendungsstandards finden Sie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
714
Teil VI
Windows 2000 Professional/Clienteinrichtung
Übersicht über das Testen von Anwendungen Da Windows 2000 grundlegende neue Technologien enthält, müssen Sie im Rahmen des Windows 2000-Einrichtungsprojekts die Kompatibilität Ihrer Geschäftsanwendungen mit dem Betriebssystem überprüfen. Selbst wenn Sie derzeit Windows NT verwenden, können Sie nicht davon ausgehen, dass die verwendeten Anwendungen unter Windows 2000 fehlerfrei ausgeführt werden. Leistungsverbesserungen, wie z. B. die erhöhte Sicherheit, erfordern das Testen der Anwendungen, die für frühere Windows-Versionen entwickelt wurden. Diese Anwendungen unterstützen unter Umständen nicht alle unter Windows 2000 zur Verfügung stehenden Funktionen. Dennoch sollte sich die Ausführung der Anwendungen unter Windows 2000 nicht von der Ausführung auf der aktuellen Plattform unterscheiden.
Definition der Geschäftsanwendungen In diesem Kapitel werden diejenigen Anwendungen als Geschäftsanwendungen bezeichnet, die für die Ausführung der Geschäftsvorgänge von Bedeutung sind. Zu den Geschäftsanwendungen gehören umfangreiche Unternehmenssysteme sowie speziell ausgerichtete Tools. Berücksichtigen Sie sämtliche Anwendungen, die auf Clientcomputern oder Servern ausgeführt werden, einschließlich kommerzieller Standardprodukte, angepasster Fremdanbietersysteme sowie intern entwickelter Systeme. Anmerkung Obwohl in diesem Kapitel häufig auf clientbasierte Anwendungen verwiesen wird, gelten die dargestellten Methoden und Themen ebenso für serverbasierte Anwendungen. Wie in zahlreichen anderen Unternehmen werden in Ihrem Unternehmen bei weitem mehr Anwendungen verwendet als getestet werden können. In diesem Fall müssen Sie die Anwendungen nach Priorität ordnen und anschließend diejenigen testen, die für die wichtigsten Geschäftsvorgänge von Bedeutung sind. Weitere Informationen zum Ordnen von Anwendungen nach Priorität finden Sie unter „Festlegen und Ordnen der Geschäftsanwendungen nach Priorität“ in diesem Kapitel.
Anwendungstestverfahren In Abbildung 21.1 werden die Schritte des Anwendungstestverfahrens dargestellt. Als Erstes müssen Sie die Windows-basierten Anwendungen bestimmen und nach ihrer Wichtigkeit für das Unternehmen ordnen. Im weiteren Verlauf der Bestandsaufnahme können Sie mit der Koordinierung der Tests beginnen. Während der Testphase müssen Sie das Management regelmäßig über die Verfahrensfortschritte informieren und auftretende Kompatibilitätsprobleme beheben. In diesem Kapitel werden die entsprechenden Schritte ausführlich erläutert.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
715
Abbildung 21.1 Schritte zum Testen von Anwendungen
Verwalten von Anwendungstests Aufgrund der Vielzahl der durchzuführenden Tests empfiehlt sich die Auswahl eines Testmanagers, der für die Entwicklung eines Testplans und einer Testmethode sowie für die Überwachung des Testverfahrens zuständig ist. Bei einem multinationalen oder stark dezentralisierten Unternehmen werden Testmanager an mehreren Standorten benötigt, insbesondere dann, wenn an den verschiedenen Standorten unterschiedliche Anwendungen verwendet werden. In diesem Fall können sich die Testmanager schwerpunktmäßig mit standortspezifischen Gegebenheiten auseinander setzen, wie z. B. verschiedene Netzwerkclients oder Leistungsanforderungen. Legen Sie zu Beginn des Windows 2000-Einrichtungsprojekts einen Zeitplan für das Anwendungstestverfahren fest, der genügend Spielraum für die Behebung auftretender Probleme bietet. Der Testmanager ist für die Koordination des Anwendungstestprojekts sowie für die Durchführung folgender Aufgaben zuständig: ? Entwickeln eines Systems zum Ordnen von Anwendungen nach Priorität ? Koordinieren des Inventarisierungsverfahrens sowie der Prioritätszuordnung ? Entwickeln einer Testmethode ? Festlegen der Ressourcenanforderungen für das Testverfahren einschließlich
der Hardware, Software sowie der Mitarbeiter. ? Erstellen eines Zeitplans für das Testverfahren ? Erstellen des Testplans
716
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Entwerfen oder Erwerben eines Testüberwachungs- und Berichtssystems ? Hervorheben der Notwendigkeit von Testverfahren sowie Entwickeln einer
Anwendungsteststrategie. Sichern Sie sich die Mitarbeit von Anwendungsexperten. ? Überwachen des Fortschritts der Testverfahren und Informieren des Manage-
ments, der Fremdanbieter sowie interner Gruppen, die für die Anwendungsentwicklung zuständig sind. ? Überwachen der Gruppen, die die gewünschten Testanforderungen nicht erfüllen.
Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität Die erste Aufgabe bei der Testvorbereitung besteht darin, Daten über die auf den Client- und Servercomputern installierten Anwendungen zusammenzustellen. Diese Daten, wie z. B. Angaben zur aktiven Verwendung einer Anwendung sowie zur Anzahl der Benutzer, unterstützen Sie bei der Einschätzung der Bedeutung der jeweiligen Anwendung für das Unternehmen. Ordnen Sie die Anwendungen nach Priorität. Berücksichtigen Sie hierbei auch vermeintlich unbedeutende Anwendungen. Eine nicht ordnungsgemäß ausgeführte Anwendung kann die Arbeit derjenigen Mitarbeiter, die diese Anwendung benötigen, stark beeinträchtigen.
Ermitteln der Anwendungen Wenn Sie nicht bereits über eine Inventarliste der auf den Server- und Clientcomputern installierten Anwendungen verfügen, müssen Sie diese nun erstellen. Berücksichtigen Sie bei der Zusammenstellung der Anwendungen auch anwendungsbezogene Tools und Verwaltungstools, wie z. B. Antiviren-, Komprimierungs-, Sicherungs- und Remoteüberwachungsprogramme.
Zusammenstellen von Anwendungsdaten Bei einem großen oder dezentralisierten Unternehmen kann die Auflistung der Anwendungen eine zeitintensive Aufgabe darstellen. Wenn Sie für die Verwaltung der Netzwerkcomputer Microsoft® Systems Management Server oder ein anderes Programm zur Ermittlung des Softwarebestands verwenden, können Sie die benötigten Daten zusammenstellen und anschließend eine Abfrage zum Kategorisieren und Aufzeichnen dieser Daten durchführen. Weitere Informationen über die Verwendung von Systems Management Server zum Ermitteln des Softwarebestands finden Sie im Kapitel „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in diesem Buch. Steht keine automatisierte Methode für die Ermittlung der auf den Computern installierten Anwendungen zur Verfügung, müssen Sie ein Verfahren zum Erfassen der benötigten Daten entwickeln. Sie können beispielsweise einen Fragebogen oder ein webbasiertes Formular erstellen, das von den Mitarbeitern der jeweiligen Abteilungen ausgefüllt werden kann. Wenn Sie auf ein manuelles Verfahren angewiesen sind, benötigen Sie die Unterstützung des Managements, um kurze Reaktionszeiten zu ermöglichen.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
717
Ermitteln Sie bei der Erstellung der Liste die Anwendungen, die in den jeweiligen Abteilungen benötigt werden. Die folgende Liste enthält Beispiele für Daten, die Sie für die einzelnen Anwendungen unter Umständen benötigen: ? Bezeichnung und Version der Anwendung ? Name des Anbieters ? Aktueller Status (z. B. in Verwendung, in der Entwicklung, keine weitere
Verwendung) ? Benutzeranzahl und zugehörige Abteilungen ? Bedeutung der Anwendung für das Unternehmen ? Aktuelle Plattformen, auf denen die Anwendung eingesetzt wird
? ? ? ?
Geben Sie an, ob es sich um eine client- oder serverbasierte Anwendung handelt, und bestimmen Sie die Komponenten, die sich auf dem Client und dem Server befinden. Websiteadressen (URLs) für Webanwendungen Installationsanforderungen (z. B. Sicherheitseinstellungen und Installationsverzeichnisse) Bei der internen Entwicklung von Anwendungen verwendete Dienstprogramme oder Technologien Namen und Telefonnummern von internen Ansprechpartnern oder Ansprechpartnern beim Anbieter Stehen bei einem Anbieter mehrere Ansprechpartner zur Verfügung, fassen Sie diese zusammen.
Fassen Sie die Anwendungsdaten an einem zentralen Speicherort zusammen, der problemlos aktualisiert werden kann, wenn sich neue Daten ergeben und die Anwendungen nach Priorität geordnet werden. Während des Anwendungstestverfahrens können Sie diesen Speicherort ebenfalls verwenden, um Testergebnisse oder Statusangaben aufzuzeichnen. Weitere Informationen zum Protokollieren und Aufzeichnen von Testergebnissen finden Sie unter „Protokollieren von Testergebnissen“ weiter unten in diesem Kapitel.
Vereinfachen der Anwendungsumgebung Die Inventaraufnahme eignet sich besonders zur Ermittlung von Daten, mit deren Hilfe die Anwendungsumgebung optimiert und kostengünstiger gestaltet werden kann. In einer vereinfachten Umgebung werden die Durchführung von Anwendungskompatibilitätstests sowie die Aktualisierung auf Windows 2000 erleichtert. Darüber hinaus wird die Verwaltung der neuen Umgebung optimiert. Die in diesem Abschnitt behandelten Themen unterstützen Sie bei der Durchführung der Testverfahren sowie bei der Reduzierung künftiger Verwaltungskosten. Problembehandlung Ausführliche anwendungsspezifische Informationen bieten Unterstützung bei der Problemdiagnose während des Windows 2000-Testverfahrens sowie bei der Reduzierung der Zeit, die von Helpdeskmitarbeitern für die Problembehandlung benötigt wird. Zu diesen Informationen gehören: ? Durch die Anwendung auf der Festplatte installierte Dateien
718
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Datumsstempel aller Dateien ? Dateigröße (Angabe in Byte) ? Installationsort der Dateien ? Registrierungseinstellungen
Stellen Sie diese Informationen nicht während der Inventarisierung der Anwendungen, sondern beim Installieren der Anwendungen im Testlabor zusammen. Beim Installieren von Anwendungen in einer Testumgebung wird die Ermittlung dieser Informationen erleichtert, da die benutzerspezifischen Dateien nicht vorhanden sind, die während des Einsatzes der Anwendung zusammenkommen. Redundante Anwendungen Werden im Unternehmen zahlreiche vergleichbare Anwendungen eingesetzt, stellt die Inventarisierung eine geeignete Methode dar, redundante Anwendungen zu ermitteln und durch Standardanwendungen zu ersetzen. Sie stellen beispielsweise fest, dass im Unternehmen verschiedene Textverarbeitungsprogramme sowie mehrere Versionen dieser Programme eingesetzt werden. Indem Sie standardmäßig dieselbe Version einer bestimmten Anwendung verwenden, wird das Windows 2000-Testverfahren erheblich erleichtert, und die Kosten für die Clientunterstützung werden reduziert. Obwohl unter Umständen ein anderes Team für die Bewertung und Einrichtung der Standardanwendungen zuständig ist, müssen dieses Team und das Testteam eng zusammenarbeiten, um schwerpunktmäßig die geeigneten Anwendungen zu testen. Weitere Informationen zu standardisierten Clientkonfigurationen finden Sie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. Nicht autorisierte Anwendungen Beim Auflisten der Anwendungen stoßen Sie unter Umständen auf nicht autorisierte Anwendungen, die Benutzer aus dem Internet gedownloadet oder von zu Hause mitgebracht haben. Verwenden Sie die Bestandsaufnahme, um diese Anwendungen zu ermitteln und sicherzustellen, dass die verwendete Software lizenziert ist. Anwendungen mit Standortlizenz Die Bestandsaufnahme eignet sich hervorragend zum Festlegen der Anwendungen mit Standortlizenz, wie z. B. Komprimierungs- und Antivirenprogramme, sowie zum Entwickeln einer Verwaltungsstrategie für diese Anwendungen. Wenn Sie IntelliMirror™ implementieren möchten, verwenden Sie dieses Programm zum Ankündigen dieser Anwendungen. Beim Einsatz von IntelliMirror zum Ankündigen von Anwendungen können Sie problemlos redundante Server einrichten und somit den Benutzerzugriff auf die Anwendungen erhöhen. Weitere Informationen zur Verwendung von IntelliMirror zur Clientunterstützung finden Sie im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch. Wenn Sie IntelliMirror nicht implementieren möchten, richten Sie für die Anwendungen mit Standortlizenz freigegebene Laufwerke ein. Weisen Sie dem Server einen einfachen Namen zu, wie z. B. \\Lizenzierte_Produkte.
Ordnen der Anwendungen nach Priorität Vor der Erstellung der Anwendungsliste können Sie eine Methode zum Klassifizieren und Ordnen der Anwendungen nach Priorität festlegen. Wenn diese
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
719
Methode zum Zeitpunkt der Bestandsaufnahme bereits zur Verfügung steht, können Sie die Anwendungen direkt klassifizieren. Aus folgenden Gründen benötigen Sie eine Methode zum Ordnen der Anwendungen nach Priorität: ? Bis zum Rollout-Datum steht nicht genügend Zeit zum ordnungsgemäßen
Testen aller Anwendungen zur Verfügung. ? Die Anwendungen, deren ordnungsgemäße Ausführung für den Einrichtungsprozess von entscheidender Bedeutung ist, müssen bekannt sein. Das Hauptziel der Prioritätszuordnung besteht in der Ermittlung derjenigen Anwendungen, die ordnungsgemäß ausgeführt werden müssen, damit mit der Einrichtung von Windows 2000 begonnen werden kann. Beachten Sie beim Erstellen des Plans für die Prioritätszuordnung Folgendes: ? Bedeutung der Anwendung für das Unternehmen ? Anzahl der betroffenen Benutzer ? Verfügbarkeit neuerer Versionen ? Standortanforderungen
Eventuell verfügt das Unternehmen bereits über ein Klassifizierungsmodell, das übernommen oder geändert werden kann. Im Notfallwiederherstellungsplan wurden die Anwendungen beispielsweise nach Priorität geordnet. Die Anwendungen, die nach einem Systemausfall als Erstes online verfügbar sein müssen, werden bei der Kompatibilitätsprüfung bevorzugt behandelt. Der Umfang der Prioritätszuordnung richtet sich nach der Anzahl der Anwendungen sowie der Vielzahl der zu unterstützenden Geschäftsfunktionen. Ein großes Hochtechnologieunternehmen hat vier Prioritätsebenen festgelegt. Diese lauten wie folgt: Unternehmenskritisch Diese Anwendungen müssen nach einem Systemausfall als Erstes online verfügbar sein. Sie werden zum Erfassen von Einnahmen oder Erfüllen einer rechtlich bindenden Verpflichtung benötigt. Das Risiko eines Ausfalls dieser Anwendungen ist für das Unternehmen mit hohen finanziellen Einbußen verbunden und deshalb nicht tragbar. Geschäftskritisch Diese Anwendungen müssen nach einem Systemausfall als Zweites online verfügbar sein. Sie sind zur Aufrechterhaltung der Geschäftsinfrastruktur erforderlich. Personalverwaltungsanwendungen stellen ein Beispiel für geschäftskritische Anwendungen dar. Da ein Ausfall dieser Anwendungen mit moderaten finanziellen Einbußen verbunden ist, ist das Unternehmen bereit, ein kalkuliertes Ausfallrisiko einzugehen.
720
Teil VI
Windows 2000 Professional/Clienteinrichtung
Erforderlich Diese Anwendungen sind zum Ausführen der Geschäftsvorgänge erforderlich. Ein länger andauernder Ausfall dieser Anwendungen ist tolerierbar. Da ein Ausfall dieser Anwendungen mit geringen finanziellen Einbußen verbunden ist, ist das Unternehmen bereit, ein kalkuliertes Ausfallrisiko einzugehen. Sonstige Diese Anwendungen passen nicht in die bereits genannten Kategorien. Ein Ausfall dieser Anwendungen hat keinen Einfluss auf die Geschäftsvorgänge. Ein anderes großes Hochtechnologieunternehmen hat lediglich zwei Kategorien festgelegt: unternehmenskritisch und nicht unternehmenskritisch. Steht nicht genügend Zeit zum Testen aller Anwendungen zur Verfügung, möchte dieses Unternehmen sicherstellen, dass die unternehmenskritischen Anwendungen vollständig getestet und sämtliche Probleme behoben wurden, bevor mit der Einrichtung dieser Anwendungen begonnen wird.
Vorbereiten eines Anwendungstestplans Eine der Hauptaufgaben bei der Testvorbereitung besteht in der Erstellung eines Testplans. Im Testplan werden der Umfang, die Zielsetzungen und die zu verwendenden Methoden festgelegt. Nehmen Sie folgende Informationen in den Plan auf: ? Umfang ?
?
?
?
Die Prioritätsebenen, mit denen Sie sich während der Tests befassen. Methoden Hiermit geben Sie an, wer die Tests durchführt und wie Teilnehmer einbezogen werden. Anforderungen Hardware, Software, Mitarbeiter, Schulungen und Tools, die zum Ausführen der Tests benötigt werden. Bewertungskriterien Die Faktoren, die die Kompatibilität bzw. Inkompatibilität einer Anwendung bestimmen. Zeitplan Hiermit geben Sie an, wie die Tests bis zum geplanten Rollout abgeschlossen werden sollen.
Abhängig von der Anzahl der Anwendungen und dem gewählten Testverfahren, erfordert das Durchführen von Anwendungstests die enge Zusammenarbeit verschiedener Abteilungen im Unternehmen. Wenden Sie sich zu Beginn des Projekts an die Verwalter der Anwendungen, und bitten Sie diese, den Testplan zu überprüfen und zu genehmigen oder ihre Ressourcen im vereinbarten Umfang zur Verfügung zu stellen. Weitere Informationen zum Erstellen eines Testplans finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
721
Festlegen des Umfangs der Tests Werden im Unternehmen zahlreiche Anwendungen eingesetzt, steht unter Umständen nicht genügend Zeit zur Verfügung, alle Anwendungen gründlich zu testen. Testen Sie zuerst die Anwendungen mit der höchsten Priorität sowie die Anwendungen, die am häufigsten benutzt werden. Beschränken Sie die Tests jedoch nicht nur auf diese Anwendungen. Testen Sie sowohl server- als auch clientbasierte Anwendungen. Aufgrund der Vielzahl an clientbasierten Anwendungen erweist sich das Testen dieser Anwendungen als äußerst schwierig und zeitintensiv. Selbst wenn die verwendeten kommerziellen Anwendungen bereits von einem externen Unternehmen getestet wurden, müssen in der jeweiligen Umgebung dennoch erneute Tests durchgeführt werden. Trotz einer nachweislichen Kompatibilität mit den zugrunde liegenden Windows 2000-Technologien besteht die Möglichkeit, dass die Anwendungen in der jeweiligen Umgebung nicht ordnungsgemäß ausgeführt werden. Weitere Informationen zu extern getesteten kommerziellen Anwendungen finden Sie unter „Testen von Anwendungen“ in diesem Kapitel.
Festlegen der Testmethoden Ein Großteil des Testplans setzt sich aus der Beschreibung der Teststrategie zusammen. Beachten Sie beim Planen der Methoden Folgendes: ? Den Ort, an dem die Tests durchgeführt werden. ? Für die Durchführung der Tests zuständige Mitarbeiter. ? Die Einbeziehung anderer Teilnehmer und die Kommunikation mit ihnen. ? Die Erstellung eines Zeitplans für die Tests. ? Die Vorgehensweise beim Auftreten von Anwendungsfehlern.
Die Auslagerung der Anwendungstests stellt eine Möglichkeit dar. Beachten Sie bei dieser Möglichkeit Folgendes: ? Stehen Mitarbeiter zur Durchführung der Tests zur Verfügung? ? Verfügen diese Mitarbeiter über die erforderlichen Kenntnisse? ? Die Kostenentwicklung bei interner Durchführung oder Auslagerung der Tests. ? Verfügbarer Zeitrahmen. Werden die Tests durch eine Auslagerung beschleunigt? ? Worin bestehen die Sicherheitsanforderungen? Müssen dem externen Unternehmen vertrauliche Informationen zur Verfügung gestellt werden? Wenn Sie die Tests intern durchführen, wählen Sie erfahrene Mitarbeiter aus. Verfügt das Unternehmen über eine Gruppe von Anwendungstestern, empfiehlt sich die Auswahl dieser Personen. Ist eine solche Gruppe nicht verfügbar, ziehen Sie eine Vielzahl von Möglichkeiten in Betracht, um das bestmögliche Ergebnis in einem angemessenen Zeitraum zu erreichen. Sie können beispielsweise ein paar erfahrene Tester mit der Entwicklung von Tests beauftragen, die dann unter deren Anleitung von anderen Mitarbeitern ausgeführt werden können. Wahlweise besteht die Möglichkeit, die erfahrenen Tester mit der Entwicklung bestimmter Basistests zu beauftragen, die dann von ausgewählten Mitarbeitern der jeweiligen Abteilungen unter Testlaborbedingungen durchgeführt werden.
722
Teil VI
Windows 2000 Professional/Clienteinrichtung
Legen Sie die Tage fest, an denen die Tests durchgeführt werden, und verständigen Sie sich mit den Testern. Richten Sie beispielsweise eine Website im Intranet ein, in der Testtermine, Statusberichte, Namen von Ansprechpartnern und andere relevante Dokumente angezeigt werden. Erstellen Sie ein Verfahren zum Verwalten der Testergebnisse. Beschreiben Sie die Funktionen und Zuständigkeitsbereiche, und berücksichtigen Sie hierbei Folgendes: ? Wer ist für die Eingabe von Berichten in das System zur
Problemprotokollierung zuständig? ? Wie wird die Priorität von Problemen ermittelt, wie werden diese zugewiesen und behoben? ? Wer ist für die Aufzeichnung von Problemlösungen und das erneute Testen der Anwendungen zuständig? ? Wie geben Tester Testergebnisse im Testüberwachungs- und Berichtssystem
ein?
Fallstudie 1: Testpartys Ein großes Hochtechnologieunternehmen hat seine Entwickler mit dem Testen der Kompatibilität von Anwendungen mit Windows 2000 beauftragt. Die Testmanagerin arbeitet eng mit den Managern anderer Teams zusammen. Da die Testmanagerin in ständigem Kontakt mit der Geschäftsführung steht und deren volle Unterstützung genießt, wurde ihr die aktive Teilnahme an diesem Programm ermöglicht. Sie ist für die Planung der Testsitzungen im Labor zuständig und sendet Berichte über die Sitzungen an die Entwickler. Das Labor setzt sich aus vorkonfigurierten Computern zusammen, auf denen die Tester die entsprechenden Anwendungen installieren können. Die Anwendungen können von CD oder über das Netzwerk installiert werden. Um die Testsitzungen abwechslungsreich zu gestalten, stellt die Testmanagerin Essen und Getränke bereit, was den Sitzungen den Namen „Testpartys“ eingebracht hat.
Fallstudie 2: Testprogramm Ein großes Fertigungsunternehmen hat ein Programm zum Testen von Windows 2000 Professional entwickelt. Dieses Programm wird zum Testen clientbasierter Anwendungen verwendet. Das Unternehmen hat zuerst sichergestellt, dass der auf den Windows 2000-Clientcomputern zu verwendende Protokollstapel mit der Windows NT 4.0-Arbeitsumgebung kompatibel ist. Anschließend wird Windows 2000 Professional an festgelegten Standorten im Netzwerk installiert, an denen die Anwendungen getestet werden. Das Projektteam hat eine Website mit Angaben zum Programm eingerichtet. Benutzer haben in der Website ein Formular ausgefüllt, um sich für die Teilnahme am Testprogramm zu bewerben. Um die Anzahl der Teilnehmer zu beschränken und die sorgfältige Durchführung der Tests sicherzustellen, werden die Bewerbungen sowohl vom Projekt- als auch vom Personalleiter überprüft. Für die Teilnahme an diesem Programm, das auf 50 bis 100 Teilnehmer beschränkt ist, hat sich eine Vielzahl von Mitarbeitern beworben. Die Tester stellen ihre Problemberichte in der Website zur Verfügung.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
723
Festlegen der Ressourcenanforderungen Berücksichtigen Sie beim Testen der Kompatibilität von Anwendungen die Computerumgebung, in der die Anwendungen eingesetzt werden sollen. Möchten Sie bestimmte Softwarekomponenten auf Versionen aktualisieren, die die neuen Windows 2000-Funktionen vollständig unterstützen? Planen Sie die Implementierung neuer Standarddesktopkonfigurationen oder die Verwendung von Terminaldiensten? Mit Hilfe dieser Fragen werden die benötigten Ressourcen und die zu testenden Anwendungen ermittelt. Wenn Sie während des Rollouts von Windows 2000 neue Anwendungen installieren möchten, testen Sie diese Anwendungen mit den aktuell verwendeten Anwendungen. Sie können den Testvorgang vereinfachen, indem Sie ein Labor zum Durchführen der Tests einrichten. In einem solchen Labor stehen die notwendigen Tools und Geräte jederzeit zur Verfügung. Bestimmte Unternehmen verfügen neben dem Windows 2000-Labor über ein weiteres Labor zum Testen von Anwendungen. Wenn Sie nicht über die finanziellen Mittel für ein eigenes Windows 2000-Labor verfügen, benutzen Sie ein Labor, das auch für andere Projekte oder zu Schulungszwecken verwendet wird. Wählen Sie in diesem Fall ein Labor aus, das geeignete Planungs- und Geräteanforderungen aufweist. Installieren Sie zwei oder drei Betriebssysteme auf den Testcomputern im Labor, so dass die Tester problemlos in den Modus wechseln können, der zum Installieren und Testen der Anwendungen benötigt wird. Wenn Sie beispielsweise die unter „Testen von Anwendungen“ in diesem Kapitel empfohlene Strategie verwenden, benötigen Sie Windows NT 4.0 und Windows 2000, um die Anwendungen auf die entsprechenden Aktualisierungen zu überprüfen. Um die ursprüngliche Konfiguration der Computer problemlos wiederherstellen zu können, erstellen Sie ein Festplattenabbild der Datenträger, auf denen die Betriebssysteme gespeichert sind. Denken Sie über eine Verbindung des Labors mit dem Unternehmensnetzwerk nach. Sie benötigen eventuell Zugriff auf Netzwerkfreigaben, um Anwendungen über das Netzwerk zu installieren, oder auf das Intranet, um ein webbasiertes Testprotokollierungssystem einzurichten. Stellen Sie in diesem Fall zuerst sicher, dass die auf den Clientcomputern verwendeten Protokollstapel mit der Arbeitsumgebung kompatibel sind. Ein großes Labor sollte von einem Laborleiter geführt werden. Die Leitung des Labors und die Leitung der Tests sollte zwei verschiedenen Personen übertragen werden, da sich die jeweils erforderlichen Kenntnisse stark unterscheiden. Während ein Laborleiter fundierte technische Kenntnisse benötigt, sollte der Testmanager hervorragende Verwaltungs- und Kommunikationsfähigkeiten aufweisen. Weitere Informationen zum Einrichten und Verwalten eines Testlabors sowie zum Aufstellen eines Testplans finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
724
Teil VI
Windows 2000 Professional/Clienteinrichtung
Festlegen von Bewertungskriterien Bestimmte Anwendungen entsprechen den Testanforderungen, während andere die Anforderungen nicht erfüllen. Entwickeln Sie ein Verfahren zum Aufzeichnen von Anwendungsproblemen sowie bestimmter zu klärender Aspekte. Nach Abschluss der Tests für eine bestimmte Anwendung müssen die Ergebnisse im Testüberwachungs- und Berichtssystem eingegeben werden. Weiterhin müssen alle offenen Probleme protokolliert und nach Priorität geordnet werden. Führen Sie nach der Behebung der Probleme erneute Tests für die jeweiligen Anwendungen durch. Damit die Testfortschritte verfolgt werden können, müssen Angaben zum Status der Anwendungen bereitstehen. Wenn Sie den Fortschritt nach der Kompatibilität bzw. Inkompatibilität der Anwendungen bewerten möchten, müssen Sie die Kriterien für die verwendeten Kategorien festlegen. Beachten Sie beim Festlegen dieser Bewertungskriterien Folgendes: ? Bedeutung des Problems. Ist eine kritische oder eine periphere Funktion
betroffen? ? Wahrscheinlichkeit des Auftretens des Problems. ? Möglichkeiten zum Umgehen des Problems.
Aufstellen eines Testzeitplans Der Testzeitplan ist von folgenden Faktoren abhängig: ? Anzahl der Tester. ? Vollzeit- oder Teilzeiteinsatz der an diesem Projekt beteiligten Tester. ? Kenntnisstand der Tester. ? Anzahl und Umfang der Anwendungen.
Gestalten Sie den Zeitplan so, dass genügend Zeit zum Beheben von Problemen sowie zum erneuten Testen der betreffenden Anwendungen zur Verfügung steht. Bestimmen Sie lang- und mittelfristige Ziele, anhand derer der Fortschritt überwacht und die Einhaltung des Zeitplans gewährleistet werden kann.
Testen von Anwendungen Microsoft hat in Zusammenarbeit mit Kunden und unabhängigen Softwareanbietern (ISVs) die Spezifikation „Windows 2000 Application Specification“ entwickelt. Gemäß dieser Spezifikation entwickelte Anwendungen weisen neben der Kompatibilität mit Windows 2000 auch die Fähigkeit zur optimalen Nutzung der in diesem Betriebssystem bereitgestellten neuen Technologien auf.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
725
Die Spezifikation „Windows 2000 Application Specification“, die von der Microsoft Developer Network-Website (MSDN) gedownloadet werden kann, setzt sich aus zwei Komponenten zusammen: einer Komponente für Desktopanwendungen und einer Komponente für verteilte Anwendungen. Die Spezifikation für Desktopanwendungen gilt für Anwendungen unter Windows 2000 Professional, die entweder als eigenständiges Programm oder als Clientmodul einer verteilten Anwendung ausgeführt werden. Die Spezifikation für verteilte Anwendungen gilt für Anwendungen unter Windows 2000 Server. Weitere Informationen zur Spezifikation sowie zum Downloaden einer Kopie finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Windows 2000 Application Specification“ klicken. Kommerzielle Anwendungen, die der Spezifikation „Windows 2000 Application Specification“ entsprechen, können ebenfalls zertifiziert werden. Zertifizierte Anwendungen wurden von einer unabhängigen Organisation getestet und erfüllen bestimmte Voraussetzungen. Um eine Zertifizierung zu erhalten, muss eine Anwendung beispielsweise Windows Installer verwenden. Kommerzielle Anwendungen können der Spezifikation entsprechen, ohne eine Zertifizierung aufzuweisen. In diesem Fall wurden die Anwendungen vom Anbieter und nicht von einer unabhängigen Organisation getestet. Als Teil des Windows 2000-Einrichtungsprojekts haben bestimmte Unternehmen als Auswahlkriterium für den Erwerb von Anwendungen deren Kompatibilität mit der Spezifikation verwendet. Wenn Sie intern Anwendungen entwickeln, fügen Sie den Richtlinien für die Entwicklung von Anwendungen diese Spezifikation hinzu. Inzwischen wurden bereits zahlreiche kommerzielle Anwendungen auf ihre Kompatibilität mit Windows 2000 getestet. Microsoft stellt ein Verzeichnis der Windows 2000-Anwendungen zur Verfügung, in dem Angaben zum Status der von Ihnen benutzten Anwendungen enthalten sind. Weitere Informationen zu den client- oder serverbasierten Produkten, die Windows 2000 unterstützen, finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Directory of Windows 2000 Applications“ klicken. Das Verzeichnis enthält folgende Bewertungskriterien: Certified (Zertifiziert) Gibt an, dass die Anwendung von einer unabhängigen Organisation getestet wurde und die neuen Windows 2000-Funktionen nutzt. Ready (Geeignet) Gibt an, dass die Anwendung laut Anbieter auf Kompatibilität mit und Unterstützung in Windows 2000 getestet wurde. Die Anwendung nutzt jedoch nicht notwendigerweise die neuen Windows 2000-Funktionen. Planned (Geplant) Gibt an, dass die Anwendung nach Abschluss der Testverfahren das Kriterium „Zertifiziert“ oder „Geeignet“ aufweisen wird.
Entwickeln einer Teststrategie Das Ziel des Anwendungstestverfahrens besteht darin, sicherzustellen, dass alle auf der aktuellen Plattform ausgeführten Anwendungen unter Windows 2000 ebenfalls ausgeführt werden können. Wurde eine Anwendung für eine frühere Windows-Version konzipiert, kann diese die neuen Windows 2000-Funktionen unter Umständen nicht optimal nutzen. Die Funktionen der Anwendung stehen unter Windows 2000 jedoch ebenso zur Verfügung wie auf der aktuellen Plattform.
726
Teil VI
Windows 2000 Professional/Clienteinrichtung
Strategie für kommerzielle Anwendungen Bei kommerziellen Anwendungen besteht der erste Schritt in der Ausführung des Windows 2000 Professional-Setups im Modus „Nur auf Aktualisierung prüfen“, um mögliche Kompatibilitätsprobleme zu ermitteln. Wenn Sie das Setup in diesem Modus ausführen, wird die installierte Software unter Verwendung einer Liste mit nicht kompatiblen Anwendungen überprüft, und alle nicht kompatiblen Anwendungen werden protokolliert. Die Befehlszeilensyntax für den Modus „Nur auf Aktualisierung prüfen“ lautet wie folgt: winnt32 /checkupgradeonly Obwohl dieses Dienstprogramm Sie beim Auffinden möglicher Kompatibilitätsprobleme unterstützt, wird nur ein geringer Prozentsatz der verwendeten Anwendungen überprüft. Darüber hinaus werden bei der Überprüfung lediglich die auf dem jeweiligen Computer installierten Anwendungen berücksichtigt. Wird eine Anwendung in der Liste der nicht kompatiblen Anwendungen nicht aufgeführt, bedeutet dies nicht, dass diese Anwendung kompatibel ist. Weitere Informationen zum Setupprogramm finden Sie im Kapitel „Automatisieren der Clientinstallation und der Aktualisierung“ in dieser Dokumentation. Der nächste Schritt besteht in der Überprüfung des Windows 2000-Anwendungsverzeichnisses, um die Kompatibilität der verwendeten Anwendungen zu bestimmen. Selbst wenn bestimmte Anwendungen bereits getestet wurden, sollte für die jeweilige Umgebung dennoch ein erneuter Test durchgeführt werden. Verlagern Sie die Tests in diesem Fall schwerpunktmäßig auf den Einsatz der Anwendungen im Unternehmen. Testen Sie beispielsweise Folgendes: ? Im Unternehmen verwendete Konfigurationen. ? Am häufigsten verwendete Funktionen. ? Kombinationen gemeinsam verwendeter Anwendungen. Im Abschnitt „Testvorschläge“ in diesem Kapitel werden Möglichkeiten zum Testen von Anwendungsfunktionen erläutert. Wurden die kommerziellen Anwendungen nicht bereits von anderen Organisationen auf Kompatibilität überprüft, sind sorgfältige Tests erforderlich. Denken Sie an die Überprüfung der Antivirenprogramme. Eine Vielzahl dieser Anwendungen muss aktualisiert werden, da sie Dateisystemfilter verwenden. Zahlreiche Windows NT 4.0-Dateisystemfilter können aufgrund der Änderungen im NTFS-Dateisystem unter Windows 2000 nicht ausgeführt werden.
Strategie für benutzerdefinierte Anwendungen Beim Einsatz von benutzerdefinierten Fremdanbieterprodukten oder intern entwickelten Anwendungen müssen Sie umfangreichere Tests als bei bereits getesteten kommerziellen Anwendungen durchführen. Die Spezifikation „Windows 2000 Application Specification“ bietet auch Unterstützung beim Testen nicht intern entwickelter Anwendungen. Von der MSDNWebsite kann neben einer Version der Spezifikation auch ein Testplan gedownloadet werden, in dem alle Microsoft-Tests für die Windows 2000-Anwendungszertifizierung aufgeführt werden. Der Plan enthält Vorschläge bezüglich der zu testenden Funktionsbereiche. Weitere Informationen zum Downloaden der Spezifikation oder des Testplans finden Sie auf der Seite für Webressourcen
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
727
(http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Application Specification Download“ klicken. Die MSDN-Website enthält weitere wichtige Informationen, wie z. B. Informationsblätter zu sondierendenVersuchstests sowie die Methode, die von unabhängigen Organisationen zum Testen von für die Zertifizierung vorgeschlagenen Anwendungen verwendet wird.
Testvorschläge Die in diesem Abschnitt dargestellten Testvorschläge sind weder vollständig noch auf jede Situation anwendbar. Sie geben Ihnen lediglich einen Überblick über die verschiedenen Testmöglichkeiten.
Testeinrichtungsszenarios Testen Sie die Installation und Ausführung der Anwendungen unter Verwendung der Szenarios, die bei der Einrichtung benutzt werden sollen. Sie planen für die Einrichtung beispielsweise eine Neuinstallation oder eine Aktualisierung von Windows 3.x oder einer früheren Version von Windows NT. Wenn Sie eine Aktualisierung durchführen, können die Anwendungen während des Aktualisierungsvorgangs auf dem Computer verbleiben. Wahlweise besteht die Möglichkeit, die Anwendungen zu deinstallieren und nach der Aktualisierung erneut zu installieren. Packen Sie die Anwendungen für Windows Installer erneut als ZAP-Dateien, um die jeweilige Anwendung mit Hilfe der IntelliMirror-Installation und -Wartung zu verwalten. Weitere Informationen zum Packen von Anwendungen finden Sie im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in dieser Dokumentation. Die ordnungsgemäße Ausführung bestimmter Anwendungen richtet sich nach dem bei der Installation verwendeten Betriebssystem. Wenn Sie eine Anwendung beispielsweise auf einem Computer mit Windows 3.x installieren und anschließend eine Aktualisierung auf Windows 2000 durchführen, wird die Anwendung unter Umständen nicht ordnungsgemäß ausgeführt. In diesem Fall müssen Sie die Anwendung deinstallieren und nach der Aktualisierung auf Windows 2000 neu installieren oder eine Migrations-DLL (Dynamic Link Library) verwenden. Mit Hilfe einer Migrations-DLL kann eine Anwendung, die ursprünglich unter Windows 3.x installiert wurde, nach der Aktualisierung des Computers auf Windows 2000 ordnungsgemäß ausgeführt werden. Der Einsatz von MigrationsDLLs ermöglicht die Behebung von Anwendungsproblemen, indem folgende Aktionen durchgeführt werden: ? Ersetzen oder Aktualisieren von spezifischen Windows 3.x-Dateien mit kompatiblen Windows 2000-Dateien. ? Verschieben der Anwendungen und Benutzereinstellungen an den geeigneten Windows 2000-Standort. ? Zuordnen spezifischer Windows 3.x-Registrierungsschlüssel zu den geeigneten
Windows 2000-Standorten. Für intern entwickelte Anwendungen müssen Migrations-DLLs unter Umständen angelegt oder vom Anbieter bereitgestellt werden. Weitere Informationen zum Erstellen und Testen von Migrations-DLLs finden Sie in der MSDN-Bibliothekmit Hilfe des Suchbegriffs „migration DLL“. Weitere Informationen zur MSDN-Bibliothek finden Sie auf der Seite für Webressourcen
728
Teil VI
Windows 2000 Professional/Clienteinrichtung
(http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „MSDN“ klicken. Bestimmte Migrations-DLLs befinden sich auch im Lieferumfang von Windows 2000. Da die Testergebnisse je nach Aktualisierungsmethode variieren können, empfiehlt sich die Verwendung derselben Tools und Verfahren, die auch während des Rollouts eingesetzt werden sollen. Stehen die Verfahren und Tools beim Testen der Anwendungen nicht zur Verfügung, testen Sie zumindest das geplante Szenario. Aktualisierungsszenario Gehen Sie bei einer geplanten Aktualisierung der Computer folgendermaßen vor: ? Installieren Sie Windows 3.x bzw. Windows NT 3.51 oder höher. ? Installieren Sie die Anwendung. ? Führen Sie eine Aktualisierung auf Windows 2000 durch. ? Testen Sie die Anwendung.
Wird eine Windows 3.x-Anwendung nicht ordnungsgemäß ausgeführt, fordern Sie die entsprechende Migrations-DLL beim ISV an. Wird eine Windows NT-Anwendung nicht ordnungsgemäß ausgeführt, fordern Sie beim ISV ein Patch oder ein neues Setupprogramm an. Neuinstallationsszenario Gehen Sie bei einer geplanten Neuinstallation von Windows 2000 folgendermaßen vor: ? Installieren Sie Windows 2000. ? Installieren Sie die Anwendung. ? Testen Sie die Anwendung.
Wird die Anwendung nicht ordnungsgemäß ausgeführt, fordern Sie beim ISV ein Patch oder ein neues Setupprogramm an.
Testinstallation und -deinstallation Testen Sie die Installation der Anwendung auf folgende unterschiedliche Arten: ? Brechen Sie die Installation vorzeitig ab. ? Wählen Sie alle in der jeweiligen Umgebung verwendeten Installationsoptionen
aus. ? Wenn im Unternehmen die Installation von Anwendungen durch Benutzer zulässig ist, testen Sie die Installation sowohl als Administrator als auch als Hauptbenutzer. Überprüfen Sie anschließend die Anwendungsfunktionen. ? Deinstallieren Sie die Anwendung. ? Stellen Sie sicher, dass eine Anwendung von einem Administrator installiert und einem Benutzer deinstalliert werden kann. Ein mit Benutzerrechten angemeldeter Benutzer muss den Deinstallationsvorgang entweder vollständig ausführen, oder die Deinstallation ist unzulässig.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
729
Testen der Basisfunktionen einer Anwendung Testen Sie die Anwendungen unter Verwendung der Funktionen, Konfigurationen und Anwendungsabfolgen, die zum Ausführen der Geschäftsaufgaben erforderlich sind. Sie können beispielsweise folgende Tests durchführen: ? Melden Sie sich als Benutzer an, und testen Sie die von den Endbenutzern am
häufigsten verwendeten Funktionen. Testen Sie bestimmte Szenarios, die zum Ausführen von Geschäftsaufgaben erforderlich sind. ? Melden Sie sich unter Verwendung verschiedener Benutzernamen an. Die
jeweiligen Benutzer müssen Mitglieder der Benutzergruppe sein. ? Wenden Sie Gruppenrichtlinien auf das System und die Anwendungen an. ? Testen Sie Anwendungskombinationen, z. B. Standarddesktopkonfigurationen. ? Führen Sie verschiedene Anwendungen mehrere Tage oder Wochen auf dem
Desktop aus, ohne sie zu schließen. ? Testen Sie automatisierte Aufgaben, die Microsoft® VisualBasic® für Applikationen (VBA) in Microsoft® Office-Anwendungen verwenden. ? Stellen Sie sicher, dass lange Dateinamen unterstützt werden. Verwenden Sie eingebettete Punkte, und stellen Sie sicher, dass führende Leerzeichen entfernt werden. ? Bearbeiten Sie umfangreiche Grafikdateien, z. B. Dateien über 1 MB. ? Führen Sie umfangreiche Bearbeitungen in Textverarbeitungsprogrammen
durch. ? Führen Sie einen schnellen Wechsel zwischen Bearbeitungs- und
Kompilierungsphasen durch. ? Testen Sie benutzerdefinierte OLE-Steuerelemente (OCXs). ? Berücksichtigen Sie bei den Tests die verfügbaren Hardwarekomponenten, wie
z. B. Scanner und Plug & Play-Geräte. ? Wenn Sie Terminaldienste einrichten möchten, testen Sie die Anwendungen auf
einem Terminaldienstserver. Führen Sie die Tests mit mehreren Benutzern aus, die dieselbe oder unterschiedliche Anwendungen verwenden, sowie mit verschiedenen Benutzereinstellungen. Verwenden Sie zum Downloaden eines Beispieltestplans den Hyperlink „Application Specification Download“ auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources).
Datenzugriff Für den Datenzugriff stehen folgende Möglichkeiten zur Verfügung: ? Greifen Sie auf die Daten eines Servers unter der aktuellen Windows-Version
sowie auf die Daten eines Servers unter Windows 2000 zu. ? Testen Sie die parallele Verwendung einer Datenbank einschließlich des gleichzeitigen Zugriffs sowie der Aktualisierung eines Datensatzes. ? Führen Sie umfangreiche Abfragen durch.
Testdruckvorgänge Drucken Sie unterschiedliche Dokumenttypen mit Hilfe verschiedener Drucker, wie z. B.:
730
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Drucken Sie Dokumente mit eingebetteten Objekten in verschiedenen
Quellanwendungen. ? Verwenden Sie Drucker, die lange Dateinamen unterstützen.
Verwenden von Testtools Das Windows 2000 Software Development Kit (SDK), das Driver Development Kit (DDK) und Windows® 2000 Server – Die technische Referenz enthalten Tools zum Testen und Debuggen von Anwendungen. ? Dependency Walker, das im Lieferumfang von Windows 2000 Server – Die
technische Referenz enthalten ist, überprüft rekursiv abhängige Module, die von einer Anwendung benötigt werden. Dieses Dienstprogramm ermittelt fehlende und ungültige Dateien, Abweichungen bei Import und Export, Probleme mit zirkulären Abhängigkeiten sowie Module, die auf falsch zugeordneten Computern installiert wurden. Weitere Informationen zu diesem Dienstprogramm finden Sie in der begleitenden Hilfedatei. ? ApiMon, das im Lieferumfang von Windows 2000 Server – Die technische
Referenz enthalten ist, überwacht eine geöffnete Anwendung für alle APIAufrufe (Application Programming Interface), zählt und stimmt diese zeitlich ab. Wahlweise können auch Seitenfehler überwacht werden. Mit ApiMon können folgende Daten bereitgestellt werden: ? Die Anzahl der API-Aufrufe und deren zeitliche Abstimmung. ? Eine Ablaufverfolgung der API-Aufrufe in der Reihenfolge des Auftretens.
Allgemeine Kompatibilitätsaspekte Die unter Windows 2000 bereitstehenden neuen Technologien und Techniken können bei Anwendungen, die für frühere Windows-Versionen konzipiert wurden, Fehler verursachen. Der in der MSDN-Website verfügbare Windows 2000 Compatibility Guide enthält ausführliche Beschreibungen zu zahlreichen Änderungen, die zu Anwendungsproblemen führen können. In diesem Leitfaden werden die Kompatibilitätsaspekte in vier Bereiche unterteilt: ? Setup und Installation ? Allgemeine Windows 2000-Kompatibilität ? Stabilität der Anwendungen ? Windows-Plattform In diesem Abschnitt werden bestimmte Änderungen in Windows 2000 beschrieben, die für die am häufigsten auftretenden Anwendungsprobleme verantwortlich sind. Neue Funktionen, wie z. B. Active Directory oder IntelliMirror, können von Anwendungen, die für frühere Windows-Versionen entwickelt wurden, nicht optimal genutzt werden. Diesbezügliche Aspekte werden in diesem Abschnitt nicht näher erläutert. Probleme können in folgenden Bereichen auftreten: Windows-Dateischutz In früheren Windows-Versionen wurden freigegebene Systemdateien während der Installation von Anwendungen unter Umständen ersetzt. In diesem Fall wurden Benutzer häufig mit Problemen konfrontiert, wie z. B. Programmfehler oder eine instabile Ausführung des Betriebssystems.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
731
Bei dem Windows-Dateischutz handelt es sich um eine neue Windows 2000Funktion, die verhindert, dass Systemdateien durch Anwendungen ersetzt werden. Mit dieser Funktion wird sichergestellt, dass Systemdateien die entsprechende Microsoft-Version aufweisen. Wird eine Datei durch eine falsche Version ersetzt, stellt Windows 2000 die richtige Version wieder her. RobusteHeap-Überprüfung Die Heapverwaltung unter Windows 2000 weist eine Reihe von Leistungsverbesserungen auf. Wurde die Heapverwaltung zuvor bei einigen Anwendungen nicht ordnungsgemäß ausgeführt, treten nun möglicherweise Speicherverwaltungsprobleme auf. Eine häufige Problemursache liegt in der Verwendung von zuvor freigegebenem Speicher, davon ausgehend, dass sich der physische Speicherbereich trotz Reduzierung der Größe nicht verändert. ListederHardwaregeräte Änderungen an der Liste der unterstützten Hardwaregeräte können zu Problemen bei Anwendungen führen, die Geräte verwenden, die nicht mehr unterstützt werden. Liste derSchriftarten Die Liste der Schriftarten wurde geändert. Da Registrierungsschlüssel zur Unterstützung der Globalisierung hinzugefügt wurden, weisen bestimmte Programme eine größere Anzahl an Schriftarten auf. GeänderteRegistrierungsschlüssel Bestimmte Registrierungsschlüssel wurden verschoben oder gelöscht. Anwendungen, die die Win32-API (Application Programming Interface) zum Ändern der Registrierung verwenden, werden fehlerfrei ausgeführt. Wenn die Anwendungen jedoch direkt in die Registrierung schreiben, können unter Umständen Probleme auftreten. Versionsüberprüfung Bei Anwendungsinstallationsprogrammen, die eine fehlerhafte Versionskontrolle durchführen, werden Probleme auftreten. Ermitteln Sie die für die Anwendung erforderliche Betriebssystemversion, und verwenden Sie bei der Installation diese oder eine höhere Version, es sei denn, die Anwendung benötigt ein bestimmtes Betriebssystem oder eine bestimmte Version. Windows Messaging-Dienst Der Windows Messaging-Dienst (WMS) ist nicht im Lieferumfang des Betriebssystems enthalten. Dieser Dienst kann von der Windows Update-Website gedownloadet werden. Sicherheit der Dateieingabe/-ausgabe Die Sicherheit der Dateieingabe sowie -ausgabe wurde unter Windows 2000 erhöht. Anwendungen, die Dateifilter verwenden (z. B. Antivirenprogramme), können wichtige Funktionen unter Windows 2000 unter Umständen nicht mehr ausführen.
732
Teil VI
Windows 2000 Professional/Clienteinrichtung
Protokollieren von Testergebnissen Selbst wenn Sie bereits über ein System zur Problemprotokollierung verfügen, in dem Sie Kompatibilitätsprobleme von Anwendungen aufzeichnen, benötigen Sie ein weiteres System zum Protokollieren der Ergebnisse der Anwendungstests. Angaben zur Kompatibilität bzw. Inkompatibilität von Anwendungen sowie zum Teststatus müssen jederzeit verfügbar sein. Entwickeln Sie ein System zum problemlosen und genauen Erfassen von Testergebnissen, um im Bedarfsfall einen Bericht erstellen zu können. Beachten Sie bei der Planung folgende Aspekte: ? Datenerfassungsmethode ? Kategorien der zu erfassenden Daten
Auswählen eines Protokollierungssystems Das zu verwendende Datenerfassungssystem richtet sich nach dem Umfang des Testvorhabens, den finanziellen Mitteln sowie den vorhandenen Kenntnissen. Erwerben Sie gegebenenfalls ein Testüberwachungs- und Berichtssystem. Zahlreiche Produkte dieser Art werden auf dem Markt angeboten. Weitere Informationen zu Anbietern dieser Produkte finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Test Tracking Systems“ klicken. Wahlweise können Sie unter Verwendung folgender Suchbegriffe einen Suchlauf im Web starten: ? „Softwaretesttools“ („software testing tools“) ? „Testverwaltungstools“ („test management tools“) ? „Automatisierte Testtools“ („automated testing tools“) ? „Testtools“ („testing tools“)
Bevor Sie sich für ein Protokollierungssystem entscheiden, ermitteln Sie die jeweiligen Möglichkeiten, und vergleichen Sie die Kosten einer gebrauchsfertigen Lösung mit den Kosten für die Entwicklung eines eigenen Systems. Wenn Sie sich für die Entwicklung eines eigenen Systems entscheiden, empfiehlt sich die Erfassung von Daten in einer Datenbank und nicht in einem Arbeitsblatt oder einem Textverarbeitungsdokument. Eine Datenbank bietet größtmögliche Flexibilität bei der Datenerfassung sowie eine problemlose Verwaltung großer Datenmengen. Eine Webschnittstelle ermöglicht einen problemlosen Datenbankzugriff sowohl für die Dateneingabe als auch für die Statusanzeige. Die Vorteile einer automatisierten Onlinelösung bestehen in der einfachen Aufzeichnung von Ergebnissen sowie der unkomplizierten Erstellung von Berichten. Zu den Nachteilen gehören die Entwicklungsdauer sowie die Tatsache, dass hierzu entsprechende Kenntnisse erforderlich sind. Der Einsatz von Hardcopysystemen ist nicht empfehlenswert, da diese im Gegensatz zu EDV-gestützten Systemen schwieriger zugänglich sind, wodurch die Erstellung präziser Berichte erschwert wird. Das ausgewählte System muss folgende Voraussetzungen erfüllen: ? Problemlose Dateneingabe
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
733
? Problemloser Datenzugriff ? Problemlose Datensicherung und -duplizierung ? Problemloses Auswählen und Sortieren der Daten für verschiedene Berichte ? Verwaltung großer Datenmengen ? Handhabung zahlreicher Benutzer mit gleichzeitigem Datenzugriff ? Schutz vorhandener Einträge vor Änderungen
Die Prüfer benötigen beim Durchführen der Tests ein unkompliziertes, leicht zu handhabendes System zur Dateneingabe. Richten Sie auf den Testcomputern unter Umständen eine Verknüpfung zu der entsprechenden Anwendung oder Website ein. Wenn Sie im Intranet eine Website für die Datenerfassung eingerichtet haben, verwenden Sie diese zu Kommunikationszwecken. Stellen Sie in dieser Website Statusberichte, Namen von Ansprechpartnern, Datumsangaben zu Testvorhaben, Verknüpfungen zu weiteren Informationen sowie andere wichtige Dokumente zur Verfügung. Bei der Einrichtung des Datenerfassungssystems benötigen Sie Ressourcen, um Folgendes zu entwickeln: ? Web- oder andere Anwendungscodes für die Dateneingabeanwendung ? Datenbank und Schema ? Berichte und Abfragen ? Sicherheit (gegebenenfalls)
Erfassen von Daten Nach Auswahl des Datenerfassungssystems müssen Sie die gewünschten Daten bestimmen. Lassen Sie sich bei der Auswahl dieser Daten Zeit. Sie können gegebenenfalls neue Berichte erstellen, wenn die Daten von Anfang an erfasst wurden. Beim Inventarisieren der Anwendungen haben Sie den Großteil der benötigten Daten bereits ermittelt. Darüber hinaus benötigen Sie für jede Anwendung folgende Daten: ? Name des Testers sowie die Abteilung ? Name des Entwicklers sowie die entsprechende Abteilung (bei intern
entwickelten Systemen) ? Windows 2000-Produktname (Server oder Professional) ? Testergebnisse, wie z. B. ? kompatibel ? nicht kompatibel ? in Bearbeitung ? unbekannt ? Nummer jedes Problems, das im System zur Problemprotokollierung
eingegeben wurde ? Kommentare
734
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Datums- und Zeitstempel für jeden Datensatz
Der Datums-/Zeitstempel stellt einen nützlichen Filter zum Erstellen von Berichten für einen bestimmten Zeitraum dar.
Aufzeichnen der Ergebnisse Je gründlicher Sie die zu erfassenden Daten analysieren, desto flexibler gestaltet sich die Berichterstellung. Die Erstellung folgender Berichte erweist sich unter Umständen als nützlich: ? Ein Liste der nicht kompatiblen Anwendungen.
Dieser Bericht erfordert die Behebung der Probleme sowie die Durchführung erneuter Anwendungstests. ? Pro Abteilung die Anzahl der Anwendungen auf jeder Prioritätsebene. ? Pro Abteilung die Anzahl der nicht getesteten Anwendungen. Berücksichtigen Sie den Prozentsatz der nicht getesteten Anwendungen. Verwenden Sie diesen Bericht, um zu ermitteln, welche Abteilungen den Testzeitplan einhalten und welche hinter dem Zeitplan zurückliegen. Sie können diesen Bericht auch als Ansporn für die hinter dem Testzeitplan zurückliegenden Abteilungen verwenden. Wenn Sie den Fortschritt anhand der kompatiblen bzw. nicht kompatiblen Anwendungen darstellen möchten, verwenden Sie hierzu entweder den relativen Fortschritt oder konkrete Zahlen. Sie können den relativen Fortschritt mit Hilfe von Farbschemata oder Grafiken darstellen. Auf diese Weise können Sie den Teilnehmern einen Eindruck des Fortschritts vermitteln, ohne irreführende Zahlen zu verwenden. Wenn Sie den Fortschritt anhand konkreter Zahlen darstellen müssen, entwickeln Sie eine Methode, um die Zahlen basierend auf der Wichtigkeit der Anwendungen zu relativieren. Ein Bericht, in dem beispielsweise 10 kompatible und eine nicht kompatible Anwendung aufgeführt sind, spiegelt unter Umständen nicht den genauen Status wider. Handelt es sich bei den 10 kompatiblen Anwendungen um spezielle Dienstprogramme, die lediglich sporadisch von einer geringen Anzahl von Benutzern verwendet werden, und stellt die nicht kompatible Anwendung eine Anwendung dar, die für die Durchführung der täglich anfallenden Geschäftsvorgänge unbedingt erforderlich ist, vermittelt der Bericht einen falschen Eindruck. Wenn Tester auftretende Probleme beispielsweise in einer Website speichern, empfiehlt es sich, einen Bericht mit gelösten und ungelösten Problemen bereitstellen. Erstellen Sie die Berichte nach Abschluss jeder Testphase oder in regelmäßigen Abständen, und verteilen Sie diese an das Management und die Testteilnehmer. Wenn Sie den Testbericht in einer Website veröffentlichen, können Sie die Möglichkeit zur Erstellung von Onlineberichten bereitstellen.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
735
Beheben von Kompatibilitätsproblemen bei Anwendungen Beim Auftreten von Kompatibilitätsproblemen müssen Sie diese nach Priorität ordnen und einen Mitarbeiter mit deren Behebung beauftragen. Sie benötigen einen Plan für die Vorgehensweise bei Problemen. Probleme bei kommerziellen Anwendungen werden anders gehandhabt als Probleme bei intern entwickelten Anwendungen. Die Auswahl der für die Ermittlung und Behebung der Probleme zuständigen Mitarbeiter ist von großer Bedeutung für den Erfolg des Testverfahrens. Die Problembehebung ist unter Umständen mit einer Vielzahl von Aktivitäten verbunden. Hierzu gehören beispielsweise: ? Durchsuchen von Websites nach bekannten Problemen sowie den
entsprechenden Lösungen. ? Anfordern von Updates, Setupprogrammen oder Migrations-DLLs beim jeweiligen Anbieter. ? Verwenden des Microsoft Software Service. ? Debuggen intern entwickelter Anwendungen. Ziehen Sie bei der Ermittlung der Ursache eines Problems verschiedene Vorgehensweisen in Betracht, um die effizienteste Lösung bereitzustellen. Gehen Sie beispielsweise folgendermaßen vor: ? Beheben Sie das Problem, wenn die Anwendung intern entwickelt wurde. ? Bitten Sie den Anbieter um Lösung des Problems, wenn es sich um eine
kommerzielle Anwendung handelt. ? Ersetzen Sie die Anwendung durch eine neue Version oder eine andere Anwendung. ? Ignorieren Sie den Fehler, wenn eine Möglichkeit zur Umgehung des Problems besteht. Bevor Sie ein Problem auf die Inkompatibilität mit Windows 2000 zurückführen, stellen Sie sicher, dass dieses Problem nicht bereits auf der vorhandenen Plattform auftritt. Zu den Ressourcen für die Ermittlung von Windows 2000Kompatibilitätsproblemengehören: ? Spezifikation „Windows 2000 Application Specification“
Weitere Informationen zum Downloaden der Spezifikation finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Application Specification Download“ klicken. ? Windows 2000 Compatibility Guide Dieser Leitfaden, der in der MSDN- und Technet-Website zur Verfügung steht, enthält nützliche Informationen zur Diagnose von Kompatibilitätsproblemen. ? Microsoft Technet Diese Ressource enthält Produktupdates, Informationsblätter sowie andere technische Informationen. Weitere Informationen zu Technet finden Sie auf der Seite für Webressourcen
736
Teil VI
Windows 2000 Professional/Clienteinrichtung
(http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Technet“ klicken. ? Verzeichnis der Windows 2000-Anwendungen
Dieses Verzeichnis enthält Supportinformationen sowie Verknüpfungen zu Websites von Anbietern. Weitere Informationen zu diesem Verzeichnis finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Directory of Windows 2000 Applications“ klicken.
Kapitel 21 Testen der Anwendungskompatibilität mit Windows 2000
737
Planungstaskliste für Anwendungstests In Tabelle 21.1 werden die Tasks zusammengefasst, die bei der Planung sowie beim Testen der Kompatibilität von Anwendungen mit Windows 2000 durchgeführt werden müssen. Tabelle 21.1 Planungstaskliste für Anwendungstests Task
Kapitelüberschrift
Inventarisieren der Anwendungen, die für Geschäftsaufgaben verwendet werden.
Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität
Reduzieren der Anzahl der verwendeten Anwendungen und Einrichten von Desktopstandards. Entwickeln eines Systems zum Ordnen von Anwendungen nach Priorität. Ordnen der Anwendungen nach deren Bedeutung für die Ausführung der Geschäftsvorgänge. Aufstellen eines Testplans einschließlich Testmethoden, Anforderungen an das Labor und die Testressourcen sowie eines Zeitplans. Entwickeln eines Protokollierungssystems zum Erfassen und Aufzeichnen von Testergebnissen. Verwenden der Testmethode. Planen der Testverfahren. Testen von Anwendungen und Aufzeichnen der Ergebnisse. Darstellen des Testfortschritts. Beheben von Kompatibilitätsproblemen bei Anwendungen.
Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität Ermitteln und Ordnen der Geschäftsanwendungen nach Priorität Vorbereiten eines Anwendungstestplans Protokollieren von Testergebnissen
Vorbereiten eines Anwendungstestplans Vorbereiten eines Anwendungstestplans Testen von Anwendungen Protokollieren von Testergebnissen Beheben von Kompatibilitätsproblemen bei Anwendungen
Zusätzliche Ressourcen ? Weitere Informationen zum Testen und Ermitteln von Kompatibilitätsproblemen
bei Anwendungen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Knowledge Base“ klicken. ? Weitere Informationen zum Testen von Anwendungen finden Sie unter: ? Testing Computer Software, Cem Kaner, Jack Falk und Hung Quoc Nguyen, 1999, New York: John Wiley & Sons ? Black-Box Testing: Techniques for Functional Testing of Software and Systems, Boris Bizer, 1995, New York: John Wiley & Sons
738
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Software Testing: A Craftsman’s Approach, Paul Jorgensen, 1995, Boca
Raton: CRC Press ? The Craft of Software Testing: Subsystem Testing Including Object -Based and Object-Oriented Testing, Brian Marick, 1997, Englewood Cliffs: Prentice Hall
737
K A P I T E L
2 2
Festlegen einer Strategie zur Clientkonnektivität
Ziel dieses Kapitels ist es, Sie beim Festlegen einer Strategie zum Verbinden von Clientcomputerkonfigurationen mit einem Microsoft® Windows® 2000 ServerNetzwerk in einer Unternehmensumgebung zu unterstützen. Mitarbeiter, die für den logischen Entwurf des Unternehmensnetzwerks verantwortlich sind, müssen sich mit den in diesem Kapitel dargestellten Empfehlungen vertraut machen. Diese Empfehlungen gelten sowohl für kleine als auch für große Unternehmen. Zum Verständnis dieses Kapitel benötigen Sie Grundkenntnisse im Hinblick auf Windows-basierte Clients und Netzwerke. Weiterhin müssen Sie mit TCP/IPAdressen, der Remotekonnektivität sowie dem Routing- und RAS-Dienst vertraut sein. Erfahrungen mit NetWare-Netzwerken und -Protokollen erweisen sich ebenfalls als hilfreich. Inhalt dieses Kapitels Überblick über die Clientkonnektivität 738 Grundlagen der Clientkonnektivität 739 Erweiterte Clientkonnektivität 747 Möglichkeiten zur Verbindung von Remotenetzwerken Planungstaskliste für die Clientkonnektivität 758
749
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung des folgenden Planungsdokuments: ? Eine Konnektivitätsstrategie für Clientcomputerkonfigurationen.
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu Microsoft® Windows® 2000 TCP/IP finden Sie in Microsoft® Windows® 2000 – Die technische Referenz: TCP/IP-Netzwerke. ? Weitere Informationen zu Windows 2000 Routing und RAS finden Sie in
Microsoft® Windows® 2000 – Die technische Referenz: Internetworking.
738
Teil VI
Windows 2000 Professional/Clienteinrichtung
Überblick über die Clientkonnektivität Die Größe und der Typ eines Netzwerks werden durch dessen Funktion bestimmt. Die Verbindung von Clients mit dem Netzwerk richtet sich nach den jeweiligen Standorten der Clients, wie z. B: ? Interne Clients sind direkt in die Firmeninfrastruktur integriert. Interne Clients
können eine Vielzahl an unterschiedlichen Netzwerkmedien verwenden, wie z. B. ATM (Asynchronous Transfer Mode), Ethernet oder Token Ring. ? Externe Clients befinden sich an Remotestandorten und benötigen Routing und RAS oder ein virtuelles privates Netzwerk für den Zugriff auf die Netzwerkinfrastruktur des Unternehmens. Clients müssen mit zahlreichen Ressourcen eine Verbindung herstellen können. Zu diesen Ressourcen gehören Datei- und Druckserver, Datenbankserver (z. B. Microsoft ® SQL Server™), Microsoft® Exchange-Server sowie interne Webserver. Um zuverlässige und effiziente Clientverbindungen zu gewährleisten, muss vor dem Implementieren der Konnektivitätspläne eine Windows 2000-Clientkonnektivitätsstrategie festgelegt werden. In Abbildung 22.1 wird ein Basisverfahren zum Festlegen einer Clientkonnektivitätsstrategie dargestellt. Die Aufgaben müssen nicht in der dargestellten Reihenfolge durchgeführt werden. Das Flussdiagramm enthält eine Liste der durchzuführenden Aufgaben sowie einen Vorschlag bezüglich der einzuhaltenden Reihenfolge.
Abbildung 22.1 Verfahren zum Festlegen der Clientkonnektivitätsstrategie
Grundlagen der Clientkonnektivität Wenn Sie Computer unter Microsoft® Windows® 2000 Professional mit einem LAN (Local Area Network) verbinden, erkennt Windows 2000 die zugehörige
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
739
Netzwerkkarte und erstellt eine LAN-Verbindung. Diese wird mit allen anderen Verbindungstypen im Ordner Netzwerk- und DFÜ-Verbindungen angezeigt, auf den über die Systemsteuerung zugegriffen werden kann. Standardmäßig stellt die LAN-Verbindung den einzigen Verbindungstyp dar, der automatisch aktiviert wird. DFÜ-Verbindungen werden nicht vom System aktiviert. Diese müssen unter Verwendung des Netzwerkverbindungs-Assistenten, der sich im Ordner Netzwerk- und DFÜ-Verbindungen in der Systemsteuerung befindet, manuell konfiguriert werden. Zu den LAN-Verbindungen gehören Ethernet, Token Ring, Kabelmodems, DSL (Digital Subscriber Line), FDDI (Fiber Distributed Data Interface), IP über ATM, Infrarotgeräte per IrDA (Infrared Data Association) sowie drahtlose und ATMemulierte LANs. Emulierte LANs basieren auf virtuellen Adaptertreibern, wie z. B. dem LAN Emulation Protocol. Wenn Sie Änderungen am Netzwerk vornehmen, können Sie die Einstellungen einer vorhandenen LAN-Verbindung entsprechend bearbeiten. Diese Änderungen umfassen beispielsweise: ? Protokolle, wie z. B. Änderungen an statischen IP-Adressen. ? DNS- oder WINS-Konfigurationen. ? Dienste.
Im Dialogfeld Status können Sie neben den Daten zu einer LAN-Verbindung, wie z. B. Verbindungsdauer, Geschwindigkeit sowie übertragene und empfangene Datenmenge, auch die für eine bestimmte Verbindung verfügbaren Diagnosetools anzeigen. Darüber hinaus können Sie in der Windows-Taskleiste ein Statussymbol für die LAN-Verbindung hinzufügen. Wenn Sie ein neues LAN-Gerät auf dem Client installieren, wird beim nächsten Start von Windows 2000 im Ordner Netzwerk- und DFÜ-Verbindungen ein Symbol für die LAN-Verbindung angezeigt. Laptopcomputern kann ein PCMCIASteckplatz (Personal Computer Memory Card International Association) oder ein PC Card-Netzwerkadapter hinzugefügt werden. Die LAN-Verbindung wird unmittelbar im Ordner Netzwerk- und DFÜ-Verbindungen angezeigt, d. h., ein Neustart des Computers ist nicht erforderlich. Von der LAN-Verbindung verwendete Netzwerkkomponenten können mit Hilfe des Menüs Eigenschaften konfiguriert werden. Zu den Netzwerkkomponenten gehören die Clients, Dienste und Protokolle, die nach der Verbindungsherstellung zu einem Server zur Kommunikation mit den Netzwerkservern verwendet werden. Die zu konfigurierenden Komponenten sowie die zugehörigen Funktionen lauten wie folgt: ? Dienste, wie z. B. zur gemeinsamen Nutzung von Dateien und Druckern. ? Protokolle, wie z. B. TCP/IP (Transmission Control Protocol/Internet
Protocol) ? Clients, wie z. B. Gateway Service und Client Service für NetWare von Microsoft. Weitere Informationen zum Konfigurieren der Eigenschaften von LANVerbindungen finden Sie in der Hilfe zu Windows 2000 Professional.
740
Teil VI
Windows 2000 Professional/Clienteinrichtung
Sie können Einstellungen für mehrere LAN-Adapter mit Hilfe des Menüs Weitere Einstellungen für die LAN-Verbindung im Ordner Netzwerk- und DFÜ-Verbindungen konfigurieren. Unter Verwendung dieser Option können Sie die Reihenfolge der von einer Verbindung verwendeten Adapter sowie die dem Adapter zugeordneten Clients, Dienste und Protokolle ändern.
Windows 2000-Dienste und -Protokolle Bei TCP/IP handelt es sich um das in Windows 2000 standardmäßig verwendete Netzwerkprotokoll. Benötigt ein Client Zugriff auf Datei- oder Druckressourcen auf NetWare- oder Macintosh-Servern, stellt Microsoft entweder das für die Konnektivität in diesen Netzwerken benötigte Protokoll oder ein kompatibles Protokoll für diese Umgebungen zur Verfügung. Ein Beispiel für ein kompatibles Protokoll ist NWLink. Hierbei handelt es sich um die Microsoft-Implementierung des Novell IPX/SPX-Protokolls. Sie können die Services für Macintosh, zu denen auch das AppleTalk-Protokoll gehört, auf Clientcomputern installieren, die Zugriff auf Macintosh-Ressourcen benötigen. Macintosh-Clients können auch auf Dateiserver zugreifen, indem sie TCP/IP ausführen. In Windows 2000 werden Netzwerkprotokolle für Netzwerkverbindungen mit Remoteservern entsprechend der vom Benutzer im Dialogfeld Weitere Einstellungen festgelegten Reihenfolge der LAN-Verbindungen verwendet. Installieren und aktivieren Sie nur die erforderlichen Protokolle. Wenn Sie beispielsweise nur TCP/IP benötigen, IPX jedoch ebenfalls geladen wird, entsteht zusätzlicher IPXund SAP-Netzwerkverkehr.
TCP/IP-Netzwerkclients TCP/IP stellt eines der am häufigsten verwendeten Netzwerkprotokolle dar. Clients in einem TCP/IP-Netzwerk können IP-Adressen aufweisen, die entweder statisch über einen Netzwerkadministrator oder dynamisch über den DHCP-Server (Dynamic Host Configuration Protocol) zugewiesen wurden. Windows 2000 verwendet einen neuen DNS-Dienst, der als dynamische DNSAktualisierung bezeichnet wird. Der DNS-Dienst fungiert als Namespaceprovider, unabhängig davon, ob auf dem Client DHCP oder statische IP-Adressen verwendet werden. Windows-Clients können nun auf die Verwendung von WINS verzichten und stattdessen den DNS-Dienst einsetzen. In älteren WindowsNetzwerken wurde WINS in Verbindung mit DHCP verwendet, um den Hosts die dynamische Registrierung der zugehörigen NetBIOS-Namen und IP-Adressen in der WINS-Datenbank zu ermöglichen. Befinden sich im Netzwerk Clients, auf denen Microsoft® Windows NT® Workstation, Microsoft® Windows® 95, Microsoft ® Windows® 98 oder Microsoft® Windows® 3.1 ausgeführt wird, müssen Sie den WINS-Dienst weiterhin einsetzen, da diese Clients die NetBIOSNamensmethode verwenden. Die Verwendung von Microsoft DNS im Netzwerk bietet bestimmte Vorteile: ? DNS bietet Interoperabilität mit anderen DNS-Servern, wie z. B. Novell NDS
und UNIX BIND. ? DNS ist in Active Directory™ integriert und wird für die Unterstützung dieses Diensts benötigt.
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
741
? DNS ist in andere Netzwerkdienste integriert, wie z. B. WINS und DHCP. ? DNS ermöglicht Clients die Aktualisierung von Ressourceneinträgen durch eine
dynamische Registrierung der zugehörigen DNS-Namen und IP-Adressen. ? DNS unterstützt inkrementelle Zonenübertragungen zwischen Servern. ? DNS unterstützt neue Ressourceneinträge, wie z. B. SRV- (Services Locator) oder ATMA-Einträge (Asynchronous Transfer Mode Addresses). Legen Sie vor der Installation von Microsoft TCP/IP auf einem System fest, ob dem Client statische oder dynamische IP-Adressen zugewiesen werden. Geben Sie an, ob die Netzwerkhosts DHCP verwenden oder ob eine statische Zuweisung der IP-Adressen erfolgt.
DHCP Die Verwendung von DHCP (Dynamic Host Configuration Protocol) ermöglicht die automatische Zuweisung von IP-Adressen zu Clients. Somit werden Konfigurationsfehler vermieden, die durch die manuelle Eingabe von Werten verursacht werden können. Weiterhin verhindert DHCP Adressenkonflikte, die entstehen können, wenn eine bereits zugewiesene IP-Adresse zum Konfigurieren eines neuen Netzwerkcomputers verwendet wird. Mit der DHCP-Lease-Erneuerung wird darüber hinaus sichergestellt, dass häufige Konfigurationsänderungen (z. B. bei Benutzern mit mobilen Computern, die häufig den Standort wechseln) effizient und automatisch durchgeführt werden können. Schließlich ermöglicht die Einrichtung von DHCP in einem Netzwerk eine weitaus effizientere Verwendung und Verwaltung des Unternehmensadressraums, da von Geräten nicht mehr verwendete Adressen erneut in den Adresspool aufgenommen und anderen Clients zugewiesen werden. Zur Aktivierung von DHCP muss im Fenster TCP/IP-Eigenschaften eines Clients die Option IP-Adresse automatisch beziehen ausgewählt werden. Auf dieses Fenster kann über das Symbol LAN-Verbindung zugegriffen werden kann. Diese Option ist bei der erstmaligen Installation eines Windows 95-, Windows 98-, Windows NT- oder Windows 2000 Professional-Clients standardmäßig ausgewählt, so dass bei Verwendung von DHCP die manuelle Einrichtung der IPKonfiguration entfällt. Der Einsatz von DHCP bietet folgende Vorteile: ? Die IP-Einstellungen müssen nicht manuell geändert werden, wenn beispiels-
weise ein mobiler Benutzer verschiedene Standorte im Netzwerk verwendet. Der Client erhält unabhängig vom für die Verbindungsherstellung verwendeten Subnetz automatisch eine neue IP-Adresse, vorausgesetzt, das jeweilige Subnetz eignet sich für den Zugriff auf den DHCP-Server. ? Die DNS- oder WINS-Einstellungen müssen nicht manuell konfiguriert werden. Diese Einstellungen können vom DHCP-Server auf den Client übertragen werden, vorausgesetzt, der DHCP-Server wurde für die Übermittlung dieser Daten an die DHCP-Clients konfiguriert. Wählen Sie zur Aktivierung dieser Option auf dem Client die Option DNS-Serveradresse automatisch beziehen aus. Weitere Informationen zu DNS und WINS finden Sie unter „TCP/IPNetzwerkclients“ in diesem Kapitel. ? Es werden keine Konflikte durch doppelte IP-Adressen erzeugt. Weitere Informationen zur Einrichtung von DHCP finden Sie im Kapitel „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
742
Teil VI
Windows 2000 Professional/Clienteinrichtung
Statische Adressen Für statisch zugewiesene IP-Adressen stehen folgende Informationen zur Verfügung: ? Die IP-Adressen und Subnetzmasken aller auf dem Client installierten Netzwerkkarten. ? Die IP-Adresse des Standardgateways. ? Angaben zur Verwendung von DNS oder WINS auf dem Client. ? Bei Einsatz des DNS-Diensts auf dem Client wird der Name der entsprechenden DNS-Domäne sowie die IP-Adressen des primären DNSServers und des DNS-Sicherungsservers angezeigt. ? Bei Einsatz von WINS auf dem Client werden die IP-Adressen des primären DNS-Servers und des DNS-Sicherungsservers angezeigt.
Active Directory Windows 2000 bietet Unterstützung für Active Directory. Windows 95- (und höher) sowie Windows NT 4.0-Clients benötigen hierzu jedoch zusätzliche Active Directory-Clientsoftware. Ein mit Active Directory konfigurierter Client kann sich am Netzwerk anmelden, indem er eine Verbindung mit einem Domänencontroller herstellt. Der Client kann die Active Directory-Funktionen dann optimal nutzen. Hierzu gehören: ? Unmittelbarer Zugriff auf Informationen zu allen Objekten in einem Netzwerk. ? Verwendung der Sicherheitsfunktionen von Active Directory, wie z. B. die
Anmeldeauthentifizierung und die Zugriffssteuerung. Anmerkung Der Active Directory-Client für Windows 95 und Windows 98 steht in einem gemeinsamem Aktualisierungspaket in einem Clientordner auf der Windows 2000 Server-CD zur Verfügung.
IPX-Netzwerkclients Mit Hilfe des Client Service für NetWare oder des Gateway Service für NetWare können Windows-Clients und NetWare-Server zusammenarbeiten. Werden auf Netzwerkservern Novell NetWare-Betriebssysteme ausgeführt, können Windows-Clients den Client Service für NetWare verwenden, um eine direkte Verbindung mit dem jeweiligen Server herzustellen. Wahlweise können die Windows-Clients auch eine Verbindung mit einem Windows 2000-basierten Server herstellen, auf dem der Gateway Service für NetWare ausgeführt wird. Gehen Sie folgendermaßen vor, um den Clientzugriff auf NetWare-Ressourcen einzurichten: 1. Installieren Sie den Client Service für NetWare. Dies ermöglicht die Herstellung direkter Verbindungen zu NetWare-Ressourcen. Das NetBIOS NWLinkProtokoll wird gemeinsam mit dem Client Service für NetWare installiert. Bei diesem Protokoll handelt es sich um die Microsoft-Version des IPX-Protokolls, das die Konnektivität zwischen Systemen unter Windows 2000 Server und Systemen unter NetWare 4.x und früher unterstützt. 2. Stellen Sie eine Verbindung zu NetWare-Datenträgern her. Nach der Installation der zuvor aufgelisteten Dienste, können Sie durch Klicken auf Netzwerk-
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
743
umgebung auf dem Desktop eine Verbindung zu einem NetWare-Datenträger herstellen. 3. Stellen Sie eine Verbindung zu NetWare-Datei- und NetWare-Druckressourcen her. Sie können einem Windows 95-Client (oder höher) einen NetWareDrucker hinzufügen, indem Sie im Menü Einstellungen zum Ordner Drucker wechseln und den Anweisungen des Assistenten zur Druckerinstallation folgen. Sie können neue NetWare-Drucker im Assistenten festlegen, indem Sie den Namen des Druckers im UNC-Format (Universal Naming Convention) eingeben.
Gateway Service für NetWare Sie können den Gateway Service für NetWare auf einem Windows 2000-basierten Server installieren, um diesem die Funktion eines Gateways zuzuweisen. In diesem Fall können Clients unter Verwendung von TCP/IP eine Verbindung zu NetWareRessourcen herstellen. Die Ausführung des NWLink-Protokolls ist hierzu nicht erforderlich. Auf dem Server werden der Gateway Service für NetWare und das NWLink-Protokoll ausgeführt, die den Client mit dem NetWare-Server verbinden. Der Gateway Service für NetWare ist im Lieferumfang von Windows 2000 Server enthalten.
Datei- und Druckdienste für NetWare Bei diesem Dienst handelt es sich um ein eigenständiges Produkt, das einem Windows-basierten Server ermöglicht, einem NetWare-Server und kompatiblen Clientcomputern Datei- und Druckdienste direkt zur Verfügung zu stellen. Ressourcen, zu denen über diesen Dienst eine Verbindung hergestellt wird, können von NetWare-Clients wie ein beliebiger NetWare-Server gehandhabt werden, d. h., die Clients können auf Datenträger, Dateien und Drucker auf dem Server zugreifen. An der Software des NetWare-Clients müssen keine Änderungen vorgenommen werden.
Client Service für NetWare Mit diesem Dienst können Clientcomputer direkte Verbindungen zu Datei- und Druckressourcen auf NetWare-Servern unter NetWare 2.x, 3.x oder 4.x herstellen. Verwenden Sie den Client Service für NetWare, um auf Server unter Novell Directory Services oder Bindery-Sicherheit zuzugreifen. Dieser Dienst ist im Lieferumfang von Windows 95, Windows 98, Windows NT und Windows 2000 Professional enthalten.
Windows-Clients und Novell-Server Administratoren haben verschiedene Möglichkeiten, Clients Zugriff auf Datei- und Druckdienste auf einem Novell-Server zu gewähren. Installieren des Client Service für NetWare Informationen hierzu finden Sie unter „IPX-Netzwerkclients“ in diesem Kapitel.
744
Teil VI
Windows 2000 Professional/Clienteinrichtung
Anmerkung Für die Ausführung des Client Service für NetWare wird das IPX/SPX-Protokoll benötigt. Zur Gewährleistung der Interoperabilität mit NetWare 5.0-Servern, auf denen lediglich das TCP/IP-Protokoll ausgeführt wird, muss der Novell-Client verwendet werden. Installieren eines CIFS-Add-Ons (Common Internet File System) auf einem Novell NetWare-Server Windows 2000 Professional verwendet für Datei- und Druckdienste das CIFSProtokoll (Common Internet File System). Das CIFS-Protokoll stellt eine erweiterte Version des SMB-Protokolls (Microsoft Server Message Block) dar. Durch die Installation eines CIFS-Snap-Ins reagiert ein NetWare-Server auf Anfragen Windows-basierter Clients wie ein Windows 2000-Server. Selbst wenn auf allen Netzwerkcomputern das IPX-Protokoll ausgeführt wird, können die Windows-Clients auf Datei- und Druckdienste des Windows 2000-basierten Servers zugreifen, ohne dass die Installation zusätzlicher Software erforderlich ist.
Windows-Clients in einer gemischten Novell NetWare- und Windows 2000 Server-Umgebung Selbst wenn alle Netzwerkcomputer das IPX-Protokoll verwenden, besteht die Möglichkeit, dass Clients auf Datei- und Druckdienste auf dem Novell-Server nicht zugreifen können. Der Grund hierfür liegt darin, dass auf dem Novell-Server das NetWare-Kernprotokoll und auf den Windows-Clients das CIFS-Protokoll ausgeführt wird (Standardeinstellung bei Microsoft-Clients in MicrosoftNetzwerken). Sie haben mehrere Möglichkeiten, die Kommunikation zwischen Windows-Clients sowie NetWare- und Windows-basierten Servern sicherzustellen: 1. Möglichkeit: Installieren der Datei- und Druckdienste für NetWare Die Datei- und Druckdienste für NetWare ermöglichen einem Windows 2000-basierten Server Clientanfragen wie ein NetWare-Server zu handhaben. Wenn sich Benutzer an einem Computer unter Windows 2000 Server anmelden, entspricht die Oberfläche derjenigen eines NetWare 3.x-Servers. Die Datei- und Druckdienste für NetWare, die als Teil des kompatiblen NWLink IPX/SPX-Diensts ausgeführt werden, ermöglichen Windows 2000 Server die Emulation eines NetWare-Datei- und Druckservers, wobei die Dialogfelder eines NetWare-Servers angezeigt werden. Sie können die Windows 2000 Server-Datei- und -Druckdienste mit Hilfe von NetWare-Tools verwalten und somit die Notwendigkeit erneuter Mitarbeiterschulungen ausschließen. Weiterhin entfallen bei der Verwendung der Datei- und Druckdienste für NetWare Änderungen an die NetWare-Clients. Eine Clientanwendung, die NetWare-Protokolle und -Namenskonventionen verwendet, benötigt beispielsweise weder eine Neuadressierung noch eine Übersetzung. Anmerkung Die Datei- und Druckdienste für NetWare können lediglich auf Systemen unter Windows 2000-Server und Windows 2000 Advanced Server ausgeführt werden.
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
745
2. Möglichkeit: Installieren des Gateway Service für NetWare Ein Windows 2000Server mit installiertem Gateway Service für NetWare fungiert als Gateway für CIFS-basierte Windows-Clients, die mit einem NetWare-Server kommunizieren, d. h., die Benutzer können auf alle Ressourcen auf diesem Server zugreifen. Clients unter Windows 95 und höher können unter Verwendung von TCP/IP, dem nativen Netzwerkkommunikationsprotokoll für Windows 2000-Betriebssysteme, auf NetWare-Ressourcen zugreifen. Zusätzlich können Windows 2000-Netzwerkclients mit Hilfe des Gateway Service für NetWare auf Dateien auf einem NetWare-Server zugreifen. Eine Neuadressierung des NetWare-Clients oder ein IPX/SPX-Protokollstapel (z. B. NWLink) ist hierzu nicht erforderlich. Diese Leistungsmerkmale reduzieren den Verwaltungsaufwand für die Clients und erhöhen die Netzwerkleistung. Der Gateway Service für NetWare unterstützt darüber hinaus die NDS-Navigation und -Authentifizierung sowie NDS-Druckvorgänge und -Anmeldeskripts. Durch die Installation des Gateway Service für NetWare auf einem Computer unter Windows 2000 Server übernimmt dieser Computer die Funktion eines Kommunikationsgateways zu einem NetWareNetzwerk, indem er die Netzwerkverbindungen des NetWare-Servers nutzt.
Verwenden von NetWare-Druckern Neben den herkömmlichen Diensten zur gemeinsamen Nutzung von Druckern unterstützt Windows 2000 Professional die verteilten Novell Druck-Services. Diese Dienste stellen in NetWare 5 eine verbesserte Druckarchitektur zur Verfügung, mit der Druckdienste in Novell Directory Services integriert werden. Die verteilten Novell Druck-Services unterstützen weiterhin die bidirektionale Druckerkommunikation, die Verwaltung von Einzelplatzdruckern sowie die automatische Installation der entsprechenden Druckertreiber auf einem Client bei der erstmaligen Verwendung eines Druckers. Nach der Konfiguration eines Druckers für die verteilten Novell Druck-Services auf einem NetWare-Server können Sie einen Drucker folgendermaßen installieren: ? So installieren Sie einen Drucker auf einem NetWare-Server 1. Suchen Sie in der Netzwerkumgebung nach dem zu installierenden Drucker. 2. Klicken Sie mit der rechten Maustaste auf das Druckersymbol, und klicken Sie dann auf Verbinden. 3. Der Server installiert und konfiguriert die Treiber, die für das Betriebssystem des Computers erforderlich sind. Druckunterstützung für die NetWare-Versionen 2.x, 3.x und 4.x ist im Lieferumfang von Windows 2000 Professional enthalten. Sie können Verbindungen für Netzwerkdrucker direkt oder durch Zuordnen eines LPT- oder UNC-Anschlusses einrichten. Da zur Ausführung der verteilten Novell Druck-Services die Novell Directory Services benötigt werden, ist zur Verwendung der verteilten Novell Druck-Services ein Novell NetWare-Client erforderlich.
UNIX-Netzwerkclients Zur Herstellung der Kommunikation zwischen Computern müssen diese dieselben Protokolle verwenden. In Abbildung 22.2 wird im gesamten Netzwerk das TCP/IP-Übertragungsprotokoll ausgeführt. Auf der TCP/IP-Ebene führt der UNIX-Server das NFS-Anwendungsprotokoll (Network File System, der UnixStandard für Datei- und Druckdienste) und das Windows 2000 ServerBetriebssystem das CIFS-Anwendungsprotokoll aus.
746
Teil VI
Windows 2000 Professional/Clienteinrichtung
Abbildung 22.2 UNIX in einem Windows NT-Netzwerk
Nach der Herstellung der Kommunikation unterstützt jedes Betriebssystem zusätzliche Funktionen, wie z. B. eine zentrale Verwaltung, RAS-Zugriff sowie andere Leistungsmerkmale, die entweder in das Betriebssystem integriert oder bei Verwendung zusätzlicher Produkte von Microsoft, UNIX oder unabhängigen Softwareanbietern zur Verfügung stehen. Im Folgenden erhalten Sie einen Überblick über die Möglichkeiten, die für die Integration von UNIX in Windows-basierten Umgebungen bereitstehen: Hinzufügen des NFS-Add-Ons zu Clients Eine der am häufigsten verwendeten Methoden zum Gewährleisten der Interoperabilität besteht darin, Desktopsystemen NFS-Funktionen, z. B. aus dem Services for UNIX Add-On-Pack, hinzuzufügen. Hinzufügen von CIFS-Funktionen zum UNIX-Server Installieren Sie auf dem UNIXServer ein CIFS-Add-In. Somit reagiert ein UNIX-Server auf sämtliche Anfragen von Windows-basierten Clients wie ein Windows 2000-basierter Server. Verwenden eines NFS-Gateways mit Windows 2000Server Durch Installieren eines NFS-Gatewayprodukts, wie z. B. des Services for UNIX Add-On-Pack, fungiert der Windows 2000-basierte Server als Gateway für CIFS-basierte WindowsClients, die mit dem UNIX-Server kommunizieren. Benutzer können wie bei einer standardmäßigen Windows 2000-Dateifreigabe auf alle Ressourcen auf einem UNIX-Server zugreifen. Verwenden integrierter Telnet- und File Transfer Protocol-Clients Windows 2000 Server bietet Telnet- und FTP-Clients (File Transfer Protocol) als Standardkomponenten im Betriebssystem. Mit Hilfe dieser Clients können Windows 2000 Professional-Benutzer normale VT100-Shellsitzungen auf allen UNIX-Systemen einrichten, die das Telnet-Protokoll unterstützen. Wahlweise können diese Benutzer auch das FTP-Protokoll verwenden, um Dateien zwischen dem UNIX- und dem Windows 2000 Professional-System zu übertragen.
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
747
AppleTalk-Netzwerkclients Sie können Windows 2000-Servern Services für Macintosh hinzufügen, um Macintosh-Systemen den Zugriff auf diese Server zu ermöglichen. Ein entsprechend konfigurierter Windows 2000-Server wird in der AppleTalk-Zone angezeigt und gewährt Zugriff wie ein beliebiges Macintosh-System.
Erweiterte Clientkonnektivität Clients, die ATM als Übertragungsmedium in einem Netzwerk einsetzen und ein hohes Maß an Konnektivität benötigen, können die Windows 2000-Unterstützung für ATM (Asynchronous Transfer Mode) und IP über ATM verwenden. Diese Technologien bieten Clients maximale Bandbreite in einer stark ausgelasteten Netzwerkumgebung und werden in den folgenden Abschnitten näher erläutert.
ATM (Asynchronous Transfer Mode) Indem Sie Clients mit einem ATM-Netzwerk verbinden, können Sie die Übertragungsgeschwindigkeit erhöhen und verbesserte Dienste verwenden. Legen Sie bei der Planung einer ATM-Konnektivitätsstrategie fest, ob der Client direkt mit ATM verbunden werden soll oder ob eine vorhandene Ethernet-Infrastruktur beibehalten und LANE (LAN Emulation) verwendet werden soll. Bei Verwendung einer vorhandenen Infrastruktur ist die vorhandene Ethernet-Hardware ausreichend. Sie benötigen in diesem Fall LANE, um die Ethernet-Segmente mit dem ATM-Kern des Netzwerks zu verbinden.
Direkt verbundener ATM Der direkt verbundene ATM kann nur dann verwendet werden, wenn der Client über eine mit Windows 2000 kompatible ATM-Karte verfügt. Sie können dies mit Hilfe der Hardwarekompatibilitätsliste (HCL) sicherstellen. Weitere Informationen zur Hardwarekompatibilitätsliste (HCL) finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows-Hardwarekompatibilitätsliste“ klicken. Wenn die ATM-Netzwerkkarte die Plug & Play-Erkennung nicht unterstützt, wenden Sie sich an den Anbieter der Installationssoftware. Wird die ATM-Karte vom System erkannt, wird dieses für die LAN-Emulation konfiguriert.
IP über ATM Mit IP über ATM kann ein Client trotz Verwendung des TCP/IP-Protokolls auf ein schnelles Netzwerk zugreifen. Ein IP über ATM-Netzwerk verwendet einen ATMARP-Server (Address Resolution Protocol) zum Übersetzen der IP-Adressen in ATM-Adressen, wodurch der Zugriff auf ein ATM-Netzwerk ermöglicht wird. Mit einem MARS-Server (Multicast Addresses Resolution) können Multicastadressen aufgelöst werden.
IrDA-Protokoll (Infrared Data Association) Windows 2000 Professional, Windows 98 und Windows 95 unterstützen das IrDA-Protokoll (Infrared Data Association). Mit diesem Protokoll können Benutzer Daten übertragen und Ressourcen, wie z. B. Drucker, gemeinsam nutzen, ohne dass die jeweiligen Computer durch Kabel miteinander verbunden sind. Die
748
Teil VI
Windows 2000 Professional/Clienteinrichtung
meisten mobilen Computer der neuen Generation verfügen über die für IrDA benötigte Hardware. Laptopbenutzer können beispielsweise Dateien übertragen, indem Sie anstelle von Kabeln oder Disketten eine IrDA-Verbindung verwenden. Eine IrDA-Verbindung kann eingerichtet werden, indem die Laptops in unmittelbarer Nähe voneinander aufgestellt werden. Ein Abstand von etwa 90 cm wird von IrDA unterstützt. IrDA ermöglicht darüber hinaus den Zugriff auf Ressourcen, die mit einem anderen Computer verbunden sind. Wenn Sie beispielsweise ein auf einem Laptop gespeichertes Dokument drucken müssen, erstellen Sie eine IrDA-Verbindung zu einem Computer, der mit einem lokalen oder einem Netzwerkdrucker verbunden ist. Nach Einrichtung der Verbindung sowie der entsprechenden Berechtigung kann der Benutzer über die IrDA-Verbindung drucken. Bestimmte Drucker verfügen über eine direkte IrDA-Unterstützung. In diesem Fall können Druckaufträge über den IrDA-Anschluss des Computers direkt an den Drucker gesendet werden. Unter Windows 2000 Professional können neben dem Hauptbenutzer eines Computers auch andere Benutzer Dateien mit Hilfe des IrDA-Protokolls senden. Benutzer können darüber hinaus den Speicherort für die Dokumente festlegen. Windows 2000 Professional erkennt automatisch alle Geräte, die Infrarotsysteme verwenden, wie z. B. Computer und Kameras.
RAS-Client Eine Möglichkeit zur Steigerung der Produktivität in einem Unternehmen besteht in der Verwendung des Windows 2000-Routing- und RAS-Diensts. Clients an Remotestandorten können mit Hilfe dieses RAS-Diensts auf Ressourcen im internen Netzwerk zugreifen. Darüber hinaus werden bei Verwendung dieses Diensts die Übertragungsgeschwindigkeit sowie die Sicherheit erhöht. Windows 2000 Professional ermöglicht Benutzern über DFÜ-, Infrarot- sowie direkte Kabelverbindungen einen problemlosen RAS-Zugriff auf Netzwerke, wie z. B. virtuelle private Netzwerke (VPNs). Der Netzwerkverbindungs-Assistent unterstützt Benutzer bei der Erstellung neuer Verbindungstypen mit Hilfe eines einzigen Tools. Die Verbindungseinrichtung wurde ebenfalls automatisiert, d. h., das Downloaden und Installieren zusätzlicher Dienste entfällt. In Abbildung 22.3 wird der Netzwerkverbindungs-Assistent dargestellt.
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
749
Abbildung 22.3 Netzwerkverbindungs-Assistent
DFÜ-Verbindung mit einem privaten Netzwerk Clients, die keine RAS-VPNs (Virtual Private Network) verwenden möchten, können sich direkt in den RAS-Server des Unternehmens einwählen und auf die entsprechenden Ressourcen zugreifen. Der Vorteil besteht darin, dass Sie bei Verwendung einer DFÜ-Verbindung keinen Internetdienstanbieter (ISP) benötigen. Nachteilig können sich hierbei jedoch hohe Fernverbindungskosten auswirken.
Virtuelle private Netzwerke Remoteclients in modernen Netzwerken können mit Hilfe von VPN-Protokollen auf Ressourcen zugreifen. Neben der Unterstützung des weit verbreiteten PPTPProtokolls (Point-to-Point Tunneling Protocol) bietet Windows 2000 sichere Verbindungen mit Hilfe des L2TP-Protokolls (Layer 2 Tunneling Protocol) und IPSec (Internet Protocol Security). Unter Verwendung von L2TP und IPSec können über den Internetdienstanbieter des RAS-Clients sichere Tunnel geöffnet werden, die das Senden und Empfangen von Daten ermöglichen und gleichzeitig Schutz vor Angriffen aus dem Internet gewähren. Mit IPSec werden Daten während der Übertragung verschlüsselt und somit vor nicht autorisierten Änderungen geschützt. Zuerst muss ein Administrator vertrauenswürdige Verbindungen zwischen den beiden Computern einrichten und anschließend die bei der Datenübertragung zu verwendenden Schutzmechanismen festlegen. Diese Konfiguration ist in einer IPSec-Richtlinie enthalten, die vom Administrator erstellt und auf den lokalen Computer angewendet wird. Wahlweise besteht die Möglichkeit, die Gruppenrichtlinie in Active Directory zu verwenden. Da die Konfiguration von IPSec-Richtlinien umfassende Kenntnisse voraussetzt, hat Microsoft IPSec-Unterstützung in das L2PT-Protokoll integriert. Sie müssen nun lediglich mit dem L2TP-Protokoll eine VPN-Verbindung zwischen dem Remotecomputer und dem VPN-Server herstellen. Weitere Informationen zu IPSec finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. Zur Verwendung von IPSec auf Internet- oder Netzwerkclients muss das IPSecSnap-In auf beiden an der Datenübertragung beteiligten Hosts installiert werden. Wenn sich ein Remotebenutzer über den lokalen Internetdienstanbieter des Clients einwählt, muss sowohl auf dem Client als auch auf dem entsprechenden VPNServer das IPSec-Protokoll ausgeführt werden. Wenn zwei Clients in einem internen Netzwerk für den Datenaustausch sichere Verbindungen benötigen, muss auf diesen Clients ebenfalls das IPSec-Protokoll ausgeführt werden.
Möglichkeiten zur Verbindung von Remotenetzwerken Für die Verbindung von Netzwerken stehen zahlreiche Möglichkeiten zur Verfügung. Diese Möglichkeiten richten sich nach der gewünschten Infrastruktur. Netzwerke können nach Größe kategorisiert werden. In diesem Fall ergeben sich folgende Netzwerktypen: ? Ein SOHO-Netzwerk (Small Office/Home Office) in kleineren Büros oder Heimbüros. ? Ein mittleres Netzwerk, das in mittleren bis großen Unternehmen eingesetzt werden kann.
750
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Ein sehr großes Netzwerk mit Tausenden von Clients.
SOHO-Netzwerke (Small Office/Home Office) SOHO-Netzwerke (Small Office/Home Office) werden hauptsächlich in kleinen Büros eingesetzt, die unter Umständen Teil eines größeren Unternehmens sind, jedoch über ein eigenes nicht mit dem Unternehmen verbundenes Netzwerk verfügen. In einem SOHO-Netzwerk können zwei Technologien eingesetzt werden, mit denen Verbindungen zwischen den SOHO-Netzwerkclients und dem Internet oder dem Unternehmensnetzwerk oder beiden hergestellt werden können. Bei diesen Technologien handelt es sich um die gemeinsame Nutzung der Internetverbindung (ICS, Internet Connection Sharing) und die Netzwerkadressübersetzung (NAT, Network Address Translation). SOHO-Netzwerke sind in der Regel Peer-To-Peer-Netzwerke. Bei diesem Netzwerktyp handelt es sich um ein einzelnes Subnetz, das zur einfachen Verbindung von Clients verwendet wird. Router, DHCP- oder WINS-Server werden in diesem Subnetz nicht benötigt. Dieser Netzwerktyp eignet sich hervorragend für kleinere Büros, in denen Benutzer mehrere Computer verwenden und Ressourcen (z. B. Dateien, Anwendungen oder Drucker) auf verschiedenen Computern gemeinsam nutzen müssen. Im folgenden Abschnitt werden die Vorteile, Anforderungen sowie die Installation beider Technologien erläutert.
SOHO-Konnektivität Ein SOHO-Netzwerk muss für die Verwaltung und Organisation der eigenen internen Netzwerkstruktur sowie für die Herstellung und Aufrechterhaltung einer sicheren Internetverbindung konzipiert sein. Windows 2000 bietet SOHO-Netzwerken mit der automatischen privaten IPAdressvergabe (APIPA, Automatic Private IP Addressing) die Möglichkeit zur automatischen Zuweisung von privaten IP-Adressen zu internen Computern. Sie können den Computern in einem SOHO-Netzwerk auch Adressen zuweisen, während Sie mit dem Internet verbunden sind. Dies erfolgt mit Hilfe eines als NAT (Network Address Translation) bezeichneten Diensts. Mit dem NAT-Dienst werden private IP-Adressen in öffentliche IP-Adressen übersetzt, um den Datenaustausch über das Internet zu ermöglichen. Somit ist das interne Netzwerk vor Angriffen aus dem Internet geschützt, und für den SOHO-Benutzer entfällt die Verwaltung eines öffentlichen Adressbereichs einschließlich des damit verbun denen Zeitaufwands und der anfallenden Kosten. In Tabelle 22.1 werden die Komponenten dargestellt, die unter Umständen zum Implementieren eines SOHONetzwerks benötigt werden. Tabelle 22.1 SOHO-Entwurf Netzwerkkomponente
Methode
Windows 2000 Server
Stellen Sie sicher, dass die Serverhardware den in der Windows 2000-Hardwarekompatibilitätsliste angegebenen Spezifikationen entspricht. Verwenden Sie 10- oder 100BaseT-UTP-Kabel (Unshielded Twisted Pair), 10- oder100BaseT-Hubs bzw.10- oder 100BaseT-Netzwerkadapter. Weitere Informationen zu den Kompatibilitätsanforderungen
LAN-Medium
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
751
von Netzwerkadaptern finden Sie in der Hardwarekompatibilitätsliste. (Fortsetzung) Netzwerkkomponente
Methode
Internetkonnektivität
Verwenden Sie eine ICS-, NAT- oder eine RoutingVerbindung zum Internet. Verwenden Sie eine POTS-, ISDN- bzw. segmentierte T1-Leitung, ein Kabel- oder ein DSL-Modem. Verwenden Sie die automatische private IP-Adressvergabe (APIPA, Automatic Private IP Addressing) bzw. vom ISP zugewiesene oder statische IPAdressen. TCP/IP
Interne Clientkonnektivität
Netzwerkprotokolle
Gemeinsame Nutzung der Internetverbindung Bei ICS (Gemeinsame Nutzung der Internetverbindung) handelt es sich um ein Paket, das DHCP, NAT (Netzwerkadressübersetzung) und den DNS-Dienst umfasst. Sie können ICS zum Verbinden des SOHO-Netzwerks mit dem Internet verwenden. ICS ermöglicht die schnelle und problemlose Konfiguration einer übersetzten Verbindung, die allen Netzwerkcomputern den Zugriff auf E-MailFunktionen, Websites, FTP-Sites usw. gewährt. ICS stellt allen Computern im SOHO-Netzwerk die Netzwerkadressübersetzung (siehe folgenden Abschnitt), automatische IP-Adressen sowie Namensauflösungsdienste zur Verfügung. ICS bietet Folgendes: ? Ein einzelnes Kontrollkästchen zur Vereinfachung der Konfiguration ? Eine einzelne öffentliche IP-Adresse ? Ein festgelegter Adressbereich für SOHO-Hosts ? DNS-Proxy für die Namensauflösung ? Eine SOHO-Schnittstelle für Peer-To-Peer-Netzwerke
Sie können ICS für eine neue oder bereits vorhandene RAS- oder LAN-Verbindung konfigurieren, indem Sie über ein einzelnes Kontrollkästchen die gemeinsame Nutzung der Internetverbindung aktivieren. Um ICS nutzen zu können, müssen Sie über einen Computer mit einer Netzwerkverbindung zu einem lokalen ISP und einer Netzwerkkarte zum Herstellen einer Verbindung zu einem Peer-To-PeerNetzwerk verfügen. ICS ist für die Verbindung zum lokalen ISP aktiviert und erhält die entsprechende IP-Adresse vom ISP. Ist ICS für die Verbindung aktiviert, wird die Netzwerkkarte automatisch mit der statischen IP-Adresse 192.168.0.1 konfiguriert, die Teil des IP-Adressbereichs (192.168.0.0 bis 192.168.254.254) ist. Computer auf der internen Seite des ICS-Systems erhalten ebenfalls IP-Adressen aus diesem Bereich. Anmerkung Nach der Aktivierung von ICS ist im Netzwerk keine weitere Konfiguration von Diensten, wie z. B. DNS oder IP-Adressierung, zulässig. Diese Dienste werden durch das ICS-System implementiert.
752
Teil VI
Windows 2000 Professional/Clienteinrichtung
Netzwerkadressübersetzung Die Netzwerkadressübersetzung (NAT) bietet ähnliche Funktionen wie die gemeinsame Nutzung der Internetverbindung (ICS), kann jedoch flexibler gehandhabt werden. Darüber hinaus gestaltet sich die NAT-Einrichtung aufwendiger. Einer der Hauptunterschiede zwischen NAT und ICS besteht darin, dass NAT als Mindestanforderung Windows 2000 Server benötigt, wohingegen ICS unter Windows 2000 Professional oder Windows 98 Zweite Ausgabe konfiguriert werden kann. Sie laden und konfigurieren die Netzwerkadressübersetzung mit Hilfe der Windows 2000 Routing- und RAS-Dienste. Die Netzwerkadressübersetzung bietet Folgendes: Manuelle Konfiguration Dies ermöglicht dem Benutzer größere Flexibilität bei der Konfiguration übersetzter RAS-Verbindungen. Mehrere öffentliche IP-Adressen Die Netzwerkadressübersetzung kann mehrere öffentliche Adressbereiche verwenden. KonfigurierbarerAdressbereich NAT ermöglicht die manuelle Konfiguration von IP-Adressen und Subnetzmasken, wohingegen ICS einen festgelegten IP-Adressbereich verwendet. Jeder IP-Adressbereich kann unter Verwendung der NATEigenschaften in den Routing- und RAS-Diensten konfiguriert werden. Eine DHCP-Zuweisung bietet dieselben Mechanismen zum Verteilen von IP-Adressen wie DHCP. Durch Aktivierung des Kontrollkästchens IP-Adressen automatisch mittels DHCP zuweisen in der NAT-Eigenschaftenseite kann die Netzwerkadressübersetzung auch von einem DHCP-Server zugewiesene IP-Adressen verwenden. DNS- und WINS-Proxy Die Namensauflösung kann unter Verwendung von DNS oder WINS eingerichtet werden. Die Konfiguration erfolgt durch Aktivierung der entsprechenden Kontrollkästchen in der NAT-Eigenschaftenseite der Registerkarte Namenauflösung. MehrereNetzwerkschnittstellen Sie können die NAT-Funktionalität auf mehrere Netzwerkschnittstellen verteilen, indem Sie der Netzwerkadressübersetzung die entsprechende Schnittstelle in den Routing- und RAS-Diensten hinzufügen. In Netzwerken, in denen die Netzwerkadressübersetzung eingesetzt wird, können VPN-Verbindungen auch unter Verwendung des PPTP-Protokolls hergestellt werden. Dies ermöglicht kleineren Unternehmen oder SOHO-Netzwerken, in denen die Netzwerkadressierung verwendet wird, die Herstellung sicherer RASVerbindungen mit einem Unternehmensnetzwerk. Anmerkung Verwenden Sie die Netzwerkadressübersetzung nicht in einem Netzwerk mit anderen Windows 2000 Server-Domänencontrollern, DNS-Servern, Gateways, DHCP-Servern oder anderen Systemen, die für statische IP-Adressen konfiguriert wurden, da dies zu Konflikten mit anderen Diensten führen kann. Verbinden Sie die Netzwerkadressübersetzung nicht direkt mit einem Unternehmensnetzwerk, da die Kerberos-Authentifizierung, IPSec und IKE (Internet Key Encryption) nicht ausgeführt werden können.
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
753
Automatische private IP-Adressvergabe Windows 2000 Server, Windows 2000 Professional und Windows 98 können sich selbst IP-Adressen aus dem Adressbereich 169.254.0.0/16 zuweisen, wenn im Netzwerk keine DHCP-Server erkannt werden. Windows 3.11, Windows NT 3.51 und Windows NT 4.0 benötigen für die Zuweisung einer IP-Adresse aus diesem Bereich einen APIPA-Server. APIPA kann zur Verteilung der IP-Adressen aus diesem Bereich eingerichtet werden, indem die Routing- und RAS-Dienste ausgeführt, NAT konfiguriert und die Schnittstelle für die Verteilung der IPAdressen hinzugefügt wird. Weiterhin wird der IP-Adressbereich in den NATEigenschaften anhand des zuvor aufgelisteten Adressbereichs neu konfiguriert. Weitere Informationen zu APIPA finden Sie im Kapitel „Festlegen von Strategien für Netzwerkverbindungen“ in dieser Dokumentation. Anmerkung Bei den Windows 98- und Windows 2000 Professional-Clients handelt es sich um die einzigen Clients, die die automatische private IP-Adressvergabe unterstützen. Alle weiteren Systeme benötigen einen Server mit Windows 2000 Routing- und RAS-Dienst, über den die Verteilung der APIPA-Adressen erfolgt.
Beispiele für SOHO-Netzwerke In den folgenden Abschnitten werden zwei Beispiele zur Implementierung eines SOHO-Netzwerks dargestellt.
Beispiel 1 In diesem Beispiel setzt sich das SOHO-Netzwerk aus fünf Computern zusammen. Das SOHO-Netzwerk verwendet ICS als Verbindung zum Internet und das Internet als Verbindung zum Unternehmensnetzwerk, wobei ein PPTP-Tunnel geöffnet wird. Der von den Clients verwendete IP-Adressbereich wird vom ICSComputer verteilt. Benötigt ein Client eine Verbindung mit der Unternehmenszentrale, wird auf diesem Client ein VPN-Profil konfiguriert und anschließend ein PPTP-Tunnel aus dem Internet in das Unternehmensnetzwerk geöffnet. In Abbildung 22.4 wird dieses Netzwerk dargestellt.
Abbildung 22.4 Heimnetzwerk
Beispiel 2 Bei dem SOHO-Netzwerk in diesem Beispiel greifen die Clients über einen Routing- und RAS-Server auf das Unternehmensnetzwerk zu. Der Zugang zum
754
Teil VI
Windows 2000 Professional/Clienteinrichtung
Internet erfolgt über das Unternehmensnetzwerk. In Abbildung 22.5 wird dieses Netzwerk dargestellt.
Abbildung 22.5
„Kaufhaus“-Netzwerk
Mittlere bis große Netzwerke Mittlere bis große Netzwerke benötigen eine robuste Architektur mit mehreren verknüpften Subnetzen, die bei einer Zunahme von Clientcomputern problemlos erweitert werden kann.
Routing und RAS Windows 2000 Routing und RAS eignet sich hervorragend zur Steigerung der Produktivität eines Unternehmens. Dieser Dienst bietet Clients an Remotestandorten RAS-Zugriff auf Ressourcen im internen Netzwerk. Routing und RAS stellt darüber hinaus zahlreiche Möglichkeiten zur Erhöhung der Übertragungsgeschwindigkeit und Netzwerksicherheit zur Verfügung. Windows 2000 Professional ermöglicht Benutzern über VPN-, DFÜ-, Infrarot- sowie direkte Kabelverbindungen einen problemlosen RAS-Zugriff auf Netzwerke. Der Netzwerkverbindungs-Assistent unterstützt Benutzer bei der Erstellung neuer Verbindungstypen mit Hilfe eines einzigen Tools. Die Verbindungseinrichtung wurde ebenfalls automatisiert, d. h., das Downloaden und Installieren zusätzlicher Dienste entfällt. Unter Windows 95 werden diese Dienste zum Einrichten bestimmter Remotenetzwerktypen benötigt. In Abbildung 22.6 wird der Netzwerkverbindungs-Assistent dargestellt.
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
Abbildung 22.6
755
Netzwerkverbindungs-Assistent
DFÜ-Verbindung mit einem privaten Netzwerk Clients, die keine RAS-VPNs (Virtual Private Network) verwenden möchten, können sich direkt in den RAS-Server des Unternehmens einwählen und auf die entsprechenden Ressourcen zugreifen. Hierzu müssen für den Remoteclient lediglich Zugriffsberechtigungen eingerichtet werden. Der Nachteil von DFÜVerbindungen besteht in den unter Umständen anfallenden hohen Fernverbindungskosten.
Direkter DFÜ-Zugriff Clients können sich direkt in den RAS-Server des Unternehmens einwählen, um Dateien zu übertragen sowie E-Mail zu senden und zu empfangen. Hierbei handelt es sich um eine bequeme Möglichkeit des Netzwerkzugriffs, die jedoch unter Umständen hohe Kosten verursachen kann. Die Fernverbindungsgebühren können zu hohen Kosten sowohl beim Remotebenutzer als auch beim Unternehmen führen. Weitere Kosten entstehen durch die Verwaltung der DFÜ-Infrastruktur. In bestimmten Fällen erweist es sich als kostengünstiger, Dienste für den direkten DFÜ-Zugriff unter Verwendung des Windows 2000-Internetauthentifizierungsdiensts (IAS) auszulagern. Weitere Informationen zu IAS finden Sie im Kapitel „Festlegen von Strategien für Netzwerkverbindungen“ in dieser Dokumentation. Um auf den RAS-Server eines Unternehmens zugreifen zu können, muss ein Client über die entsprechenden Berechtigungen verfügen. Anschließend müssen Sie ein DFÜ-Profil erstellen, indem Sie in der Systemsteuerung im Ordner Netzwerkund DFÜ-Verbindungen die Option Neue Verbindung herstellen auswählen. Eine weitere Möglichkeit des Clientzugriffs auf Benutzerkonten im Unternehmensnetzwerk besteht in der Verwendung eines virtuellen privaten Netzwerks, das im folgenden Abschnitt erläutert wird.
Zugriff über einen Internetdienstanbieter unter Verwendung von VPNs Remoteclients in modernen Netzwerken können mit Hilfe von VPN-Protokollen auf Ressourcen zugreifen. Neben der Unterstützung des PPTP-Protokolls bietet
756
Teil VI
Windows 2000 Professional/Clienteinrichtung
Windows 2000 sichere Verbindungen unter Verwendung von L2TP mit IPSec. Mit Hilfe von L2TP und IPSec können über den Internetdienstanbieter des RASClients sichere Tunnel geöffnet werden, die das Senden und Empfangen von Daten ermöglichen und Schutz vor Angriffen aus dem Internet gewähren. Mit IPSec werden Daten während der Übertragung verschlüsselt und somit vor nicht autorisierten Änderungen geschützt. Zuerst muss ein Administrator vertrauenswürdige Verbindungen zwischen den beiden Computern herstellen und anschließend die bei der Datenübertragung zu verwendenden Schutzmechanismen festlegen. Diese Konfiguration ist in einer IPSec-Richtlinie enthalten, die vom Administrator erstellt und auf den lokalen Computer angewendet wird. Wahlweise besteht die Möglichkeit, die Gruppenrichtlinie in Active Directory zu verwenden. Da die Konfiguration von IPSec-Richtlinien umfassende Kenntnisse voraussetzt, hat Microsoft IPSec-Unterstützung in das L2PT-Protokoll integriert. Sie müssen nun lediglich mit Hilfe des L2TP-Protokolls eine VPN-Verbindung zwischen dem Remotecomputer und dem VPN-Server herstellen. Weitere Informationen zu IPSec finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. Zur Verwendung von IPSec auf Internet- oder Netzwerkclients muss das IPSecSnap-In auf beiden an der Datenübertragung beteiligten Hosts installiert werden. Wenn sich ein Remotebenutzer über den lokalen Internetdienstanbieter des Clients einwählt, muss sowohl auf dem Client als auch auf dem entsprechenden VPNServer das IPSec-Protokoll ausgeführt werden. Wenn zwei Clients in einem internen Netzwerk für den Datenaustausch sichere Verbindungen benötigen, muss auf diesen Clients ebenfalls das IPSec-Protokoll ausgeführt werden.
Ein Beispiel für ein mittleres bis großes Netzwerk Ein mittleres bis großes Netzwerk setzt sich aus zahlreichen Computern und mehreren Subnetzen zusammen. Die Technologien, mit denen in einem SOHONetzwerk Verbindungen zum Internet oder einem Unternehmensnetzwerk hergestellt werden, werden in mittleren bis großen Netzwerken ebenfalls eingesetzt, erfordern jedoch einen höheren Konfigurationsaufwand, bieten aber gleichzeitig weitere Leistungsmerkmale. In Tabelle 22.2 werden die verschiedenen Technologien und deren Anwendung auf die unterschiedlichen Netzwerktypen dargestellt. Tabelle 22.2
Netzwerktechnologien
SOHO-Netzwerk
Mittleres Netzwerk
Großes Netzwerk
Einsatz von ICS sowie des privaten IPAdressbereichs 192.168.0.0/24.
Einsatz der Netzwerkadressübersetzun g mit einem geeigneten privaten IP-Adressbereich.
Ausschließliche Verwendung von PPTP.
Ausschließliche Verwendung von PPTP.
Verwendung einer einzelnen Netzwerkschnittstelle.
Verwendung mehrerer Netzwerkschnittstellen.
Einsatz von Microsoft Proxy Server zur Verbindungsherstellung mit dem Internet sowie des DHCP-Protokolls zum Zuordnen von IPAdressen. Verwendung eines VPNServers zum Zulassen von PPTP- und L2PT/IPSecTunnelverkehr. Die Proxy- und VPNServer sind mit einem Router mit mehreren
Kapitel 22 Festlegen einer Strategie zur Clientkonnektivität
757
Netzwerkschnittstellen verbunden. Ausschließliche Verwendung von DNS zur Namensauflösung.
Verwendung von DNS bzw. WINS oder beiden Diensten für die Namensauflösung.
Verwendung von DNS bzw. WINS oder beiden Diensten für die Namensauflösung.
Der Einsatz von ICS eignet sich hervorragend für kleinere SOHO-Netzwerke, die lediglich ein Subnetz und nur eine Internetverbindung aufweisen. In mittleren Netzwerken empfiehlt sich der Einsatz von NAT zum Verbinden der Clients mit dem Internet, da die Netzwerkadressübersetzung mehrere Subnetze und IPAdressbereiche unterstützt. Große Netzwerke benötigen einen Proxy- und einen VPN-Server, um Clientzugriff auf das Internet sowie Tunnelverkehr zuzulassen. Große Netzwerke müssen in ihrer Infrastruktur einen als DMZ (Demilitarized Zone) bezeichneten Bereich aufweisen. Bei diesem Bereich handelt es sich um ein Netzwerk, das die Einbeziehung des Internets in ein privates Netzwerk erlaubt, ohne die Sicherheit dieses Netzwerks zu gefährden. In diesem Bereich werden alle Server zusammengefasst, die über eine Internetschnittstelle verfügen. Weitere Informationen zu DMZ finden Sie im Kapitel „Festlegen von Strategien für Netzwerkverbindungen“ in dieser Dokumentation. In diesem Beispiel unterhält ein mittleres bis großes Unternehmen mit 750 bis 1.000 Angestellten ein Netzwerk mit 3 Standorten. Die Netzwerkstandorte sind über T1- und segmentierte T1-Leitungen miteinander verbunden. Das Unternehmen verfügt über eine bestimmte Anzahl an Remotebenutzern, die sich zum Empfangen von Dateien und E-Mail in das Netzwerk einwählen. Darüber hinaus wurde für jeden Angestellten ein eigenes RAS-Konto eingerichtet. Jeder Standort weist weiterhin einen Internetzugang auf, über den die Angestellten zu beruflichen Zwecken auf das Internet zugreifen können. Dieses Netzwerk wird gerade von einer NetWare- auf eine Windows 2000-Infrastruktur umgestellt, und die Interoperabilität zwischen Clients und Servern in der Windows 2000- und der NetWare-Umgebung muss gewährleistet sein. In Abbildung 22.7 wird dieses Beispiel vereinfacht dargestellt.
758
Teil VI
Windows 2000 Professional/Clienteinrichtung Abbildung 22.7 Mittleres bis großes Netzwerk
Das Netzwerk setzt sich aus folgenden Clients zusammen: ? Windows 98-Clients ? Windows 2000 Professional-Clients ? Windows 95-Clients ? Windows NT 4.0 Workstation-Clients ? NetWare-Clients
Während der zeitaufwendigen Migration dieses Netzwerks von NetWare auf Windows 2000 benötigen die Angestellten weiterhin Zugriff auf die NetWareServer und -Drucker. Bestimmte Windows-Clients in dem Teil des Netzwerks, auf dem weiterhin das IPX-Protokoll ausgeführt wird, verwenden den Client Service für NetWare und das NWLink-Protokoll. Die anderen Windows-Clients verwenden TCP/IP und greifen auf die benötigten NetWare-Dateien über Windows 2000Router zu, auf denen der Gateway Service für NetWare ausgeführt wird. Die RAS-Clients greifen auf Windows 2000- und NetWare-Server zu, indem sie das Multiprotokoll-VPN und den in der DMZ (Demilitarized Zone) des Hauptstandorts befindlichen RAS-Server verwenden. Die Clients in diesem Netzwerk erhalten die IP-Adressen von einem DHCP-Server, und der Internetzugriff erfolgt über einen in der DMZ befindlichen Proxyserver. Weitere Informationen zum Entwerfen mittlerer bis großer Netzwerke finden Sie im Kapitel „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
Planungstaskliste für die Clientkonnektivität Tabelle 22.3 beschreibt die Aufgaben, die bei der Planung von Netzwerkverbindungsstrategien durchzuführen sind. Tabelle 22.3
Planungstaskliste für die Clientkonnektivität
Task
Kapitelüberschrift
Festlegen der geeigneten Protokolle. Konfigurieren statischer IP-Clients.
Windows 2000-Dienste und -Protokolle Statische Adressen
Konfigurieren der DHCP-Optionen. Konfigurieren der Clients, die IPX verwenden. Konfigurieren der Clients, die AppleTalk verwenden. Festlegen des DFÜ-/VPN-Zugriffs.
DHCP IPX-Netzwerkclients AppleTalk-Netzwerkclients Mittlere bis große Netzwerke
759
K A P I T E L
2 3
Definieren von Standards für die Verwaltung und Konfiguration von Clients Zu den Zielen der meisten IT-Organisationen zählen in erster Linie die Verbesserung der Benutzerproduktivität sowie die Reduzierung der für die Clientcomputerverwaltung anfallenden Kosten. Microsoft® Windows® 2000 Server und Microsoft ® Windows® 2000 Professional bieten eine Reihe neuer benutzer- und verwaltungsorientierter Funktionen, mit deren Hilfe Clientteams und Teams mit mobilen Computern die Benutzerproduktivität verbessern und Clientsupportkosten verwalten können. Dieses Kapitel soll Sie bei der Auswahl und Implementierung dieser Funktionen im Unternehmen unterstützen. Darüber hinaus werden die erweiterten Verwaltungsfunktionen erläutert, die durch die Gruppenrichtlinie von Windows 2000 Professional und Windows 2000 Server bereitgestellt werden. Auf Grundlage dieser Informationen können Sie Verwaltungs- und Clientstandards für das Unternehmen einrichten, die die Vorteile dieser Funktionen nutzen. Führen Sie gegebenenfalls eine Bewertung der Infrastruktur von Clientsoftware und hardware des Unternehmens durch. Weitere Informationen finden Sie unter „Erstellen eines Testlabors für Windows 2000“ und „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Möglicherweise möchten Sie ebenfalls die Unternehmensziele hinsichtlich der IT-Verwaltung überprüfen. Inhalt dieses Kapitels Verbessern der Verwaltung von Clientsystemen 760 Verwalten von Clients unter Verwendung der Gruppenrichtlinie Konfigurieren der Hardware 785 Festlegen von Benutzeroberflächenstandards 787 Planungstaskliste für Clientstandards 800
770
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Clientverwaltungsplan ? Bevorzugte Clientkonfigurationen
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zur Verwendung der Gruppenrichtlinie sowie zum Anlegen administrativer Vorlagendateien (ADM-Dateien) finden Sie unter „Gruppenrichtlinie“ in Microsoft® Windows® 2000 – Die technische Referenz: Verteilte Systeme.
760
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Weitere Informationen zur Verwendung der Microsoft® IntelliMirror ®-
Funktionen in Windows 2000 finden Sie im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch. ? Weitere Informationen zu Installationsdiensten und -tools finden Sie in den Kapiteln „Automatisieren der Clientinstallation und der Aktualisierung“ und „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. ? Weitere Informationen zum Einrichten von Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in diesem Buch. ? Weitere Informationen zur Planung von Windows 2000 Server-Sicherheitsfunktionen finden Sie im Kapitel „Planen der verteilten Sicherheit“ in diesem Buch.
Verbessern der Verwaltung von Clientsystemen Das Verwalten und Unterstützen von Clientcomputern kann sich als einfach oder sehr komplex erweisen. In großen Unternehmen verfügen die Benutzer in der Regel über sehr verschiedene Kenntnisse. Sie verwenden zahlreiche Anwendungen und Hardwaresysteme und werden häufig an unterschiedlichen Standorten eingesetzt. Benutzer arbeiten zunehmend extern und greifen dann zeitweilig über langsame Verbindungen auf das Netzwerk zu. Anhand zahlreicher Untersuchungen wurden ermittelt, dass diese unterschiedlichen Nutzungsmuster sowie der Mangel an Clientkonfigurationsstandards für die ständig steigenden IT-Supportkosten verantwortlich sind. Dieses Kapitel ist hilfreich bei der Festlegung grundlegender Clientkonfigurationsstandards, die den Bedürfnissen der Benutzer gerecht werden, unabhängig vom Arbeitsplatz oder den Arbeitsanforderungen. Darüber hinaus erfahren Sie Wissenswertes über die Verwendung der Gruppenrichtlinie zur optimalen Verwaltung Windows 2000-basierter Clientcomputer. Das Planen von Clientcomputerstandards erfordert sowohl technische als auch unternehmerische Kenntnisse. Sie müssen mit der aktuellen Computerumgebung und den Anforderungen der Benutzer sowie des Unternehmens vertraut sein. Darüber hinaus müssen die zu aktivierenden Windows 2000-Funktionen festgelegt und die erforderlichen Änderungen dokumentiert werden. Beim Planen der Clientcomputerstandards müssen folgende Punkte berücksichtigt werden: ? Benutzer- und Computeranforderungen. ? Anwendungen und Anwendungsanforderungen. ? Hardware und Hardwareanforderungen. ? Aktuelles und gewünschtes Verwaltungsmodell. ? Gravierende Supportprobleme und deren Lösung.
Die Planung der Standards für die Clientverwaltung und -konfiguration setzt auf Ihre Kenntnis der neuen Clientsupportfunktionen in Windows 2000 Server und Windows 2000 Professional voraus. Abbildung 23.1 zeigt den Planungsvorgang zur Erstellung von Standards für die Konfiguration und Verwaltung von Clients.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
761
Abbildung 23.1 Übersicht über die Planung der Clientverwaltung und -konfiguration
Die Erstellung von Clientstandards ist derart umfassend, dass sie in einem Kapitel nicht vollständig erläutert werden kann. In diesem Kapitel werden die folgenden Windows 2000-Optionen der Clientverwaltung und -konfiguration beschrieben: ? Hardwarekonfigurationsoptionen. Die standardmäßigen Hardwarekonfigura-
tionsoptionen von tragbaren und Desktopcomputern, die zur Ausführung von Windows 2000 erforderlich sind. ? Verwaltungsoptionen. Die Gruppenrichtlinie, die in Windows 2000 die Hauptfunktion zur Implementierung von Optionen der Clientverwaltung und -konfiguration darstellt. ? Betriebssystem- und Anwendungsoptionen. Das Betriebssystem und die
Anwendungen, die für die Arbeit der Benutzer benötigt werden. Darüber hinaus stehen in Windows 2000 unter anderem folgende Konfigurationsoptionen des Startmenüs und des Desktops zur Verfügung: ? Mehrsprachige Optionen. Auswahl zwischen der in Windows 2000 enthaltenen mehrsprachigen Computerunterstützung oder der neuen Windows 2000 MultiLanguage-Version. ? Eingabehilfenoptionen. Windows 2000-Funktionen zur Erleichterung der Computerarbeit für Benutzer mit speziellen Bedürfnissen hinsichtlich der Eingabehilfen.
762
Teil VI
Windows 2000 Professional/Clienteinrichtung
Die folgenden Windows 2000-Optionen der Clientverwaltung und -konfiguration werden in weiteren Kapiteln dieser Dokumentation beschrieben: ? Clientsicherheitsoptionen werden im Kapitel „Planen der verteilten Sicherheit“
erläutert. ? Das Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ befasst sich mit den verzeichnisdienstfähigen Clientverwaltungsfunktionen von Active Directory™ , der Benutzerdatenverwaltung, der Softwareinstallation und -wartung sowie der Verwaltung von Benutzereinstellungen, die unter dem Begriff IntelliMirror oder Remoteinstallation des Betriebssystems zusammengefasst sind. ? Der Netzwerkzugriff wird im Kapitel „Festlegen einer Strategie zur Clientkonnektivität“ erörtert. Machen Sie sich nach Abschluss der in diesem Kapitel beschriebenen Planungsaufgaben mit den Vorgehensweisen der oben aufgeführten Kapitel vertraut, und führen Sie sie durch, um die Planung von Standards der Clientverwaltung und -konfiguration zu beenden.
Definieren von Benutzertypen In großen Unternehmen kommen zahlreiche verschiedene Benutzertypen vor. Im Folgenden werden einige Unterschiede aufgeführt, die sich auf die Computernutzung eines Benutzers auswirken: ? Die Organisationseinheit, der der Benutzer angehört, z. B. die Buchhaltung,
Konstruktion oder das Marketing. ? Die Art der Arbeit, die ein Benutzer ausführt, z. B. technischer Support,
Führungs- oder Verwaltungsaufgaben. ? Der Arbeitsplatz des Benutzers, z. B. ein Büro, ein Remotestandort oder ein freigegebener Computer. ? Die Handlungsbefugnis, die der Benutzer zur Durchführung von Aufgaben benötigt. ? Der Umfang und die Art der Unterstützung, die der Benutzer benötigt. Weiterhin ist die Kategorie des Benutzers von Bedeutung: Mobile Benutzer Zahlreiche Benutzer wechseln ihre Arbeitsplätze. Mobile Benutzer nehmen einen Computer dabei in der Regel nicht mit. Bei Bankschalterpersonal, das häufig an verschiedenen Schaltern arbeitet, handelt es sich z. B. um mobile Benutzer. ReisendeBenutzer Mitarbeiter werden zunehmend im Außendienst eingesetzt und verwenden für ihre Arbeit tragbare Computer. Häufig besteht keine Verbindung mit dem Netzwerk und vielfach wird dann unter Verwendung von Verbindungen mit geringer Bandbreite auf das Netzwerk zugegriffen. Oft gehören Vertriebsmitarbeiter und Berater dieser Benutzerkategorie an. Remotebenutzer Der Unterschied zwischen Remotebenutzern und reisenden Benutzern besteht darin, dass Remotebenutzer in der Regel von einem festen Standort, z. B. einer Zweigstelle oder einem Heimbüro, auf das Netzwerk zugreifen, wobei dies häufig über langsame oder temporäre Netzwerkverbindungen erfolgt.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
763
Aufgabenbasierte Benutzer Hierbei handelt es sich um Benutzer, die mit dem Computer bestimmte Aufgaben durchführen, z. B. das Eingeben von Aufträgen. Unter Umständen benötigt ein aufgabenbasierter Benutzer lediglich einen Computer, auf dem die Terminaldienste ausgeführt werden. Empfangs- und Bankschalterpersonal stellen aufgabenbasierte Benutzer dar. Wissensarbeiter Benutzer, wie z. B. Ingenieure, Rechtsanwälte, Grafikdesigner und Programmierer („Wissensarbeiter“), deren Computer Höchstanforderungen genügen müssen, benötigen häufig spezielle Anwendungen und benutzerdefinierte Konfigurationen. Legen Sie eine Tabelle nach folgendem Muster (Tabelle 23.1) an, um die Benutzertypen innerhalb des Unternehmens zu ermitteln. (Einige Mitarbeiter gehören mehreren Kategorien an.) Tabelle 23.1 Beispieltabelle für Benutzertypen Position
Kategorie
Arbeitsgruppe
Standort
Erforderliche Anwendungen
Erforderlicher Support
Handlungsbefugnis
Leiter der Finanzabteilung
Wissensarbeiter
Finanzabteilung
Hauptniederlassung
Obligatorisch und optional
Normal
Hoch
Zweigstellenleiter
Wissensarbeiter, Remotebenutzer
Marketing
Zweigstelle
Obligatorisch und optional
Normal
Hoch
Vertriebsmitarbeiter
Wissensarbeiter, reisender Benutzer
Marketing
Unterschiedlich
Obligatorisch und optional
Normal
Hoch
Fließbandarbeiter
Aufgabenbasierter mobiler Benutzer Aufgabenbasierte mobile Benutzer
Produktion
Verschiedene Standorte innerhalb der Produktion Verschiedene Standorte in der Hauptniederlassun g
Obligatorisch
Hoch
Gering
Obligatorisch
Hoch
Gering
Empfangspersonal
Verwaltung
Zum Erstellen von Clientstandards werden neben den Informationen zu den Benutzern weitere Daten benötigt. Sie müssen ein umfassendes Verständnis für die möglichen Anforderungen und Probleme der Benutzer entwickeln. Dazu zählen unter Umständen Situationen wie Datenverlust aufgrund eines Systemausfalls oder die Tatsache, dass Benutzern ohne Rücksicht auf den aktuellen Standort stets der Zugriff auf Daten ermöglicht werden muss. Gegebenenfalls ist eine Synchronisation mit den Daten anderer Benutzer durchzuführen, auch wenn häufig keine Netzwerkverbindung besteht. Nur wenn Sie über eine konkrete Vorstellung von den Benutzern und deren Anforderungen verfügen, können Sie entsprechende Clientstandards festlegen.
764
Teil VI
Windows 2000 Professional/Clienteinrichtung
Ermitteln der Anforderungen von Benutzertypen Wenn Sie mit den grundlegenden Geschäftsanforderungen der Benutzer vertraut sind, erfolgt die Bewertung der aktuellen und gewünschten Umgebungen. Überprüfen Sie hierzu folgende Punkte: ? Softwareanforderungen ? Computerhardware ? Verwaltungsmodell ? Desktopkonfigurationen
Die folgenden Abschnitte enthalten Anforderungen, die sowohl auf normale Standardbenutzer als auch auf fortgeschrittene Benutzer zutreffen. Im Allgemeinen gelten die hier festgelegten Standardanforderungen für aufgabenbasierte Mitarbeiter, und die erweiterten Anforderungen treffen in der Regel auf Wissensarbeiter zu. Weitere Informationen zu den Anforderungen normaler und fortgeschrittener Benutzer finden Sie im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in dieser Dokumentation. Hier handelt es sich jedoch um allgemeine Profile. Unter Umständen unterscheiden sich die Vorgaben des Unternehmens, und Sie möchten dementsprechend Standards für zusätzliche Benutzerkategorien erstellen.
Definieren von Softwarestandards Große Unternehmen unterstützen in der Regel zahlreiche verschiedene Sofwareanwendungen und -versionen, darunter auch Betriebssysteme. Häufig können die Unternehmen durch den Clientbetrieb anfallende Kosten senken, indem sie grundlegende Softwarestandards implementieren, insbesondere bei unternehmensweiten Funktionen wie E-Mail, Textverarbeitung usw., und veraltete und überflüssige Software nicht mehr verwenden. Beantworten Sie die folgenden Fragen hinsichtlich der Betriebssysteme, allgemeiner kommerzieller Anwendungen, wie z. B. Textverarbeitungsprogramme, und Unternehmensanwendungen, die intern zur Durchführung spezifischer Aufgaben wie Clientverwaltung oder Auftragserfassung entworfen wurden, um Ihre Clientstandards zu entwickeln. ? Welche Software ist für das Unternehmen obligatorisch? ? Welche Software wird in einer bestimmten Position oder Abteilung benötigt? ? Welche Software ist für das Unternehmen, die Abteilungen oder die ? ? ? ? ? ? ? ?
Mitarbeiter, die eine bestimmte Arbeit ausführen, optional? Wie häufig ändern sich die Softwareanforderungen im Unternehmen? Wer legt die im gesamten Unternehmen und in den einzelnen Arbeitsgruppen zu verwendende Software fest? In welchen Zeitabständen wird die Software angepasst? Wie wird die Software verteilt? Wie wird die Software konfiguriert? Wie wird die neue Clientsoftware installiert? Wie wird die vorhandene Software aktualisiert? Wie wird neue Software getestet oder bewertet?
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
765
Entscheiden Sie gleichzeitig, welche Software mit Windows 2000 eingesetzt wird und auf welche Weise dies erfolgt. Software, die nicht mit dem Betriebssystem installiert wird, kann Benutzern nach Bedarf zur Verfügung gestellt werden.
Standardbenutzer Diese Benutzer benötigen unter Umständen eine standardisierte Konfiguration des Betriebssystems und die Mindestanzahl der Unternehmensanwendungen, wie z. B. E-Mail und Textverarbeitung, sowie die für ihre Arbeit erforderlichen spezifischen Anwendungen, z. B. zur Auftragserfassung. Die Installation optionaler Anwendungen ist für Standardbenutzer nicht zulässig, komplexere Anwendungsfunktionen wie Pivot-Tabellen in Tabellenkalkulationsprogrammen können deaktiviert werden.
Fortgeschrittene Benutzer Fortgeschrittene Benutzer müssen häufig mit erweiterten Betriebssystemfunktionen arbeiten, wie beispielsweise der Funktion zum Einrichten von Netzwerkfreigaben. Im Allgemeinen benötigen sie zusätzliche Anwendungen und Funktionen, die nach Bedarf installiert werden können. Dennoch kann die Installation nicht genehmigter Anwendungen verhindert werden. Anmerkung Nach Festlegung der obligatorischen und optionalen Anwendungen informieren Sie sich in den Kapiteln „Anwenden der Änderungs- und Konfigurationsverwaltung“, „Automatisieren der Clientinstallation und der Aktualisierung“ und „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch über die Installation und Verwaltung dieser Anwendungen.
Definieren von Hardwarestandards Die Anwendungen, die Benutzer für ihre Arbeit benötigen, bestimmen die Hardwareanforderungen des Unternehmens. Bei der Hardwareplanung müssen jedoch im Allgemeinen längere Laufzeiten als bei der Planung von Softwareaktualisierungen berücksichtigt werden. Planen Sie daher sorgfältig, und nehmen Sie sich ausreichend Zeit, um den Benutzern die erforderliche Computerhardware zum richtigen Zeitpunkt zur Verfügung stellen zu können. Im Folgenden werden einige Fragen aufgeführt, die hinsichtlich der Clients im Unternehmen gestellt werden können: ? Wie hoch ist die Prozessorgeschwindigkeit der derzeitigen
Clientdesktopcomputer? Wie schnell sind die Prozessoren der tragbaren Computer? ? Wie hoch ist die Netzwerkverbindungsgeschwindigkeit der aktuellen Clients (einschließlich tragbarer Computer, die direkt über ein Modem mit dem Netzwerk verbunden sind)? ? Über wie viel RAM und Festplattenspeicherplatz verfügen die Clients? ? Sind Windows 2000-Treiber für die aktuellen Netzwerkadapter und weitere
Peripheriegeräte vorhanden? ? Welche Dateisysteme werden verwendet? ? Werden auf den aktuellen Computern zu aktualisierende Betriebssysteme ausgeführt, oder sind Neuinstallationen erforderlich?
766
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Kann auf den Computern ein Remotestart ausgeführt werden? Verfügen sie
? ? ?
?
?
über remotebootkompatible Netzwerkadapter? Können sie eine Remotebootdiskette verwenden? Speichern Sie Benutzer- und Konfigurationsdaten unter Verwendung von Netzwerkfreigaben? Wer ist für die Sicherung der Benutzerdaten zuständig? Wie werden neue Computer transportiert? Wie setzen Sie neue Hardware ein? Sind auf den Computern Anwendungen vorinstalliert? Entfernen Sie vorinstallierte Software, und erfolgt eine Neuinstallation gemäß Ihren Standards? Wie ersetzen Sie fehlerhafte Hardware? Wie gehen Sie bei Ausfall einer Festplatte vor? Wie werden das Betriebssystem, Anwendungen oder Benutzerdaten ersetzt oder wiederhergestellt? Welche Sicherheitsanforderungen gelten für die Festplattendaten? Werden Daten verschlüsselt?
? Sind auf den Computern mehrere Konfigurationen eingerichtet? Verfügt ein
tragbarer Computer beispielsweise über unterschiedliche Hardware, je nachdem, ob er in oder außerhalb einer Dockingstation verwendet wird? (In einer Dockingstation wird ein Netzwerkadapter eingesetzt, außerhalb jedoch ein Hochgeschwindigkeitsmodem.) ? Wie viel Zeit wenden Sie für die Hardwareproblembehandlung auf, bevor Sie den Computer ersetzen und das Standardbetriebssystem sowie die Basisanwendungen wiederherstellen? Legen Sie für jede Benutzerkategorie im Unternehmen einen standardmäßigen Computertyp fest, der die aktuellen und zukünftigen Anforderungen über einen Zeitraum von mindestens zwei Jahren erfüllen kann. Schränken Sie darüber hinaus die Anzahl der unterstützten Hardwarekonfigurationen zur optimalen Benutzerunterstützung und zur Senkung der Clientsupportkosten ein. Weitere Informationen zu Aktualisierungs- und Neuinstallationsoptionen finden Sie in den Kapiteln „Automatisieren der Clientinstallation und der Aktualisierung“ und „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in dieser Dokumentation. Weitere Informationen zur Remoteinstallation des Betriebssystems sowie zu Offlineordnern finden Sie im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in dieser Dokumentation. Da nur wenige Unternehmen über die finanziellen Mittel zur Anschaffung der neuesten, leistungsstärksten und vielseitigsten Computer für sämtliche Mitarbeiter verfügen, enthält Tabelle 23.2 Beispielrichtlinien für die Zuordnung verschiedener Computer zu entsprechenden Benutzergruppen.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
767
Tabelle 23.2 Beispielstrategie für die Zuordnung von Computern Computereigenschaft
Geeignete Benutzergruppe
Weitere Möglichkeiten
Erfüllt die Hardwaremindestanforderung für Windows 2000nicht
Aufgabenbasierte Benutzer
Ausführen von Terminaldiensten mit dieser Hardware
Erfüllt die Hardwaremindestanforderungen für Windows 2000
Standardbenutzer einschließlich mobiler und aufgabenbasierter Benutzer
Bereitstellen permanenter Netzwerkverbindungen für Standardbenutzer
Übertrifft die Hardwaremindestanforderungen für Windows 2000
Fortgeschrittene Benutzer einschließlich Wissensarbeiter und reisender Benutzer
Analysieren wichtiger Supportprobleme Indem Sie sich mit den aktuellen Supportproblemen vertraut machen, können Sie die Standards der Clientverwaltung und -konfiguration verbessern sowie die Supportkosten reduzieren. Die folgenden Fragen ermöglichen Ihnen das Festlegen der Richtlinien, die für das Unternehmen von Nutzen sind. ? Wie lauten die zehn wichtigsten Supportprobleme?
Listen Sie sie auf, und entwickeln Sie Vorgehensweisen, um deren Auftreten einzuschränken. ? Wie häufig ändern Benutzer die Konfiguration, indem Sie Einstellungen, z. B.
für Videotreiber, und weitere Konfigurationsoptionen ändern? Falls Konfigurationsprobleme sehr häufig auftreten, sollten Sie möglicherweise den Zugriff der Benutzer auf die Betriebssystemkonfiguration einschränken. ? Wie häufig ändern Benutzer die Konfiguration durch nicht ordnungsgemäßes Hinzufügen oder Entfernen von Anwendungen? Tritt dieses Problem zu oft auf, müssen den Benutzern unter Umständen die Berechtigungen zum Installieren bzw. Deinstallieren von Anwendungen entzogen werden. ? Führen Benutzer auf den Computern nicht autorisierte Software aus? Wenn dies im Unternehmen ein Problem darstellt, definieren Sie Firmenrichtlinien bezüglich der Zulässigkeit nicht autorisierter Software. Auch wenn die Verwendung solcher Software im Unternehmen grundsätzlich erlaubt ist, legen Sie die zulässige Software sowie die Lizenzierungsregeln fest, an die die Benutzer gebunden sind. ? Werden die Clientdaten gesichert? Ist die Sicherung erforderlich? In der Regel möchten Unternehmen Sicherheitsmaßnahmen für Firmendaten einrichten. Dabei richtet sich die Sicherheitsstufe nach den betreffenden Daten, z. B. erfordern Finanzdaten oder Betriebsgeheimnisse eine höhere Sicherheitsstufe als Pressemitteilungen. Darüber hinaus kann der für die Sicherheit zuständige Mitarbeiter ebenfalls nach Datentyp festgelegt werden.
768
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Können Benutzer ihre Computer als lokale Administratoren bedienen?
War dies bisher der Fall, stellt die Installation eines neuen Betriebssystems eine gute Gelegenheit zur Änderung bzw. Optimierung der Berechtigungsvergabe dar, um so den Verwaltungsanforderungen des Unternehmens besser gerecht zu werden. ? Wie viel Zeit verbringt das Helpdeskteam mit der Korrektur einer fehlerhaften Konfiguration, bevor die Basiskonfiguration erneut installiert und eingerichtet wird? Ziehen Sie für diese Fälle das Festsetzen von Zeitbegrenzungen in Betracht. Ermitteln Sie darüber hinaus die Windows 2000-Funktionen, mit deren Hilfe die Benutzerdatensicherung und die Installation bzw. Deinstallation von Betriebssystemen und Anwendungen erfolgen kann. Mit Hilfe dieser neuen Funktionen können Probleme unter Umständen schneller behoben werden. Wenn z. B. die Neuinstallation eines Desktops einfacher durchzuführen ist als die Problembehandlung einer fehlerhaften Konfiguration, kann der durchschnittlich für einen Supporteinsatz benötigte Zeitraum erheblich verkürzt werden. Die Antworten auf diese und weitere Fragen unterstützen Sie bei der Auswahl der zu implementierenden Funktionen und Konfigurationsoptionen von Windows 2000. Eine Reihe maßgeblicher Konfigurations- und Steuerungsoptionen werden im Folgenden in diesem Kapitel beschrieben. Anhand der Antworten auf diese Supportfragen können Sie ebenfalls die Effektivität des aktuellen Verwaltungsmodells sowie der derzeitigen Standards bewerten. Mängel und Defizite der Clientsupportdienste finden ihre Lösung häufig in einem verbesserten Verwaltungsmodell. Der folgende Abschnitt unterstützt Sie bei der Bewertung des vorhandenen Modells.
Festlegen des Verwaltungsmodells sowie der entsprechenden Standards Bisher wurden IT-Manager dadurch eingeschränkt, dass IT-Verwaltungsaufgaben nicht entsprechend delegiert werden konnten. In Windows 2000 wurde die Unterstützung der Clientsteuerung sowie der Delegierung von Verwaltungsaufgaben bedeutend verbessert. Spiegelt das IT-Verwaltungsmodell die aktuelle Unternehmensstruktur wider? Falls es sich um ein veraltetes Modell handelt, müssen sämtliche IT-Aufgaben sowie ihre Durchführung neu bewertet werden, so dass eine effizientere Delegierung und Durchführung ermöglicht wird. Im Folgenden werden einige zu beantwortende Fragen aufgelistet: ? Wer erstellt oder ändert Benutzer- bzw. Computerkonten? Wie viele Benutzer-
bzw. Computerkonten werden pro Monat angelegt oder bearbeitet? In vielen rasch anwachsenden Unternehmen kann eine Einzelperson oder ein Team Benutzer- oder Computerdaten nicht mehr regelmäßig aktualisieren. Zusammengeführte oder übernommene Unternehmen wiederum verfügen über mehrere Teams oder Personen, die ähnliche Aufgaben durchführen. Sie müssen also die effizienteste Art der Delegierung dieser IT-Aufgaben ermitteln und herausfinden, ob diese auf Domänenebene, auf der Ebene der Organisationseinheit oder auf Standortebene erfolgen soll.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
769
? Wer legt Softwarestandards fest? Wer ist für das Einrichten von Software
zuständig? Wenn es im Unternehmen keine Softwarestandards gibt, stellt die Migration auf ein neues Betriebssystem einen günstigen Zeitpunkt zum Einrichten dieser Standards dar, die Benutzern eine effektivere Kommunikation ermöglichen. Möglicherweise weisen viele Abteilungen oder Organisationseinheiten eindeutige Anwendungsanforderungen auf. Berücksichtigen Sie beim Festlegen von Anwendungsstandards sowohl die zentralisierten als auch die dezentralisierten Anforderungen des Unternehmens. ? Wer richtet Kennwörter ein oder aktualisiert sie? Worin bestehen die Kennwort- oder Authentifizierungsanforderungen? In zahlreichen Unternehmen ist das Helpdeskpersonal zum Ändern von Kennwörtern berechtigt. Auf der anderen Seite werden die eigentlichen Kennwortanforderungen auf höherer Unternehmensebene eingerichtet, und häufig gilt eine Gruppe von Authentifizierungsanforderungen für das gesamte Unternehmen. ? Wer führt die Serversicherung durch? Wer sichert die Benutzerdaten? Wie oft erfolgen die Sicherungen? Wie häufig werden Daten anhand von Sicherungen wiederhergestellt? Häufig erfolgen Datensicherungen lediglich auf Servern, und die Sicherung der eigenen Daten bleibt dem Benutzer überlassen, der diese entweder selten oder gar nicht durchführt. Ist dies der Fall, sollten Sie das Einrichten von Netzwerkfreigaben in Betracht ziehen. Benutzer müssen dann wichtige Daten in den freigegebenen Verzeichnissen speichern, damit diese regelmäßig gesichert werden können. ? Gibt es im Unternehmen Dienstleistungsübereinkünfte oder weitere explizite
Dienstleistungsziele? Worin bestehen die Dienstleistungsziele oder Erfolgskriterien des Unternehmens? Immer mehr Unternehmen legen explizite Dienstleistungsziele fest oder unterschreiben Dienstleistungsübereinkünfte, in denen sie sich zur Erzielung bestimmter Ergebnisse verpflichten. Berücksichtigen Sie bereits vorhandene oder neue Dienstleistungsziele im Windows 2000-Clientverwaltungsplan. Durch die Festlegung expliziter Ziele wird dieser Plan auf die Unternehmensanforderungen zugeschnitten.
Zusammenfassen der Verwaltungs- und Konfigurationsziele Bevor Sie fortfahren, sollten der bestehende Clientsupportplan sowie die zu übernehmenden Supportstandards zusammengefasst werden. Verschaffen Sie sich ebenfalls einen Überblick über das vorhandene Clientverwaltungsmodell sowie das Modell, das mit den neuen Windows 2000Funktionen implementiert werden soll.
770
Teil VI
Windows 2000 Professional/Clienteinrichtung
Verwalten von Clients unter Verwendung der Gruppenrichtlinie Die Verwendung der Gruppenrichtlinie zur Clientverwaltung wird durch die festgelegten Dienstleistungsstandards und -ziele bestimmt. In einer optimal verwalteten Umgebung beinhaltet eine Dienstleistungsübereinkunft Richtlinien für eine schnelle Fehlerbehebung, rasches Ersetzen von Geräten bei Ausfall einer Hardwarekomponente sowie regelmäßige Datensicherungen. Darüber hinaus umfasst eine solche Umgebung erweiterte Funktionen wie beispielsweise gruppenrichtlinienbasierte Benutzer- oder Computerumgebungen, Softwareinstallation und -wartung, Offlineordner sowie benutzerdefinierte Skripts für die Anmelde-, Abmelde- und Startprozesse und das Herunterfahren. In unzureichend verwalteten Umgebungen werden unter Umständen längere Zeitspannen für den Support und den Geräteersatz benötigt. Weiterhin wird lediglich ein Teil der Dienste einer optimal verwalteten Umgebung bereitgestellt. Die Benutzer in einer nicht verwalteten Umgebung führen die Fehlerbehandlung und die Datensicherung selbst durch, ersetzen ihre Geräte selbst und nutzen die gruppenrichtlinienbasierten Funktionen somit nur minimal. In den folgenden Abschnitten werden verschiedene Ebenen und Qualitätsstufen des Supports beschrieben, der mit Hilfe der Systemrichtlinie von Microsoft® Windows NT® Version 4.0, der Richtlinie für lokale Gruppen von Windows 2000 Professional sowie der Active Directory-basierten Gruppenrichtlinie von Windows 2000 bereitgestellt werden kann. Mit diesen Informationen sind Sie in der Lage, die Hauptaufgaben des Clientsupports für das Unternehmen sehr effizient zu delegieren.
Vergleichen der Windows NT 4.0-Systemrichtlinie mit der Windows 2000-Gruppenrichtlinie In Windows NT 4.0 führte Microsoft den Systemrichtlinien-Editor ein, mit dem in der Windows NT-Registrierung gespeicherte Benutzer- und Computerkonfigurationen festgelegt wurden. Mit dem Systemrichtlinien-Editor kann eine Systemrichtlinie eingerichtet werden, um die Arbeitsumgebung des Benutzers zu steuern und die Konfigurationseinstellungen auf sämtliche Computer unter Windows NT 4.0 Workstation oder Windows NT 4.0 Server anzuwenden. In Windows NT 4.0, Microsoft® Windows® 95 und Microsoft® Windows® 98 stehen 72 Richtlinieneinstellungen zur Verfügung. Diese weisen folgende Eigenschaften auf: ? Die Werte der Registrierungseinträge können nur auf Grundlage von ADMDateien festgelegt werden. ? Die Einstellungen werden auf Domänen angewendet. ? Sie werden durch Zugehörigkeit der Benutzer zu Sicherheitsgruppen gesteuert. ? Die Einstellungen sind nicht sicher. ? Sie werden in den Benutzerprofilen gespeichert, bis die angegebene Richtlinie
verworfen wird oder der Benutzer die Registrierung bearbeitet. ? Die Einstellung werden in erster Linie zum Sperren von Desktops verwendet. ?? Sie können nur mit Hilfe von ADM-Dateien erweitert werden.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
771
In Windows 2000 dienen die Gruppenrichtlinieneinstellungen dem Administrator in erster Linie zur zentralisierten Änderungs- und Konfigurationsverwaltung. Anhand der Gruppenrichtlinie kann eine spezifische Desktopkonfiguration für eine bestimmte Gruppe von Benutzern und Computern angelegt werden. Passen Sie die Gruppenrichtlinie dazu mit Hilfe des Gruppenrichtlinien-Snap-Ins von Microsoft Management Console (MMC) an. Dieses Snap-In ersetzt den SystemrichtlinienEditor von Windows NT 4.0 und bietet einen verbesserten Zugriff auf die Konfigurationseinstellungen für Computer- und Benutzergruppen. Mit mehr als 100 Sicherheitseinstellungen und über 450 Registrierungseinstellungen bietet die Windows 2000-Gruppenrichtlinie eine breite Palette an Optionen zur Verwaltung der Computerumgebung des Benutzers. Die Windows 2000Gruppenrichtlinie kennzeichnet sich durch folgende Eigenschaften: ? Sie kann auf Active Directory basieren oder lokal definiert werden. ? Sie kann mit Hilfe von Microsoft Management Console (MMC) oder ADM-
Dateien erweitert werden. ? Die Gruppenrichtlinie ist sicher. ? Einstellungen in den Benutzerprofilen werden durch Ändern der gültigen ?
? ?
? ? ?
Richtlinie überschrieben. Die Gruppenrichtlinie kann auf Benutzer oder Computer in einem angegebenen Active Directory-Container (Standort, Domäne und Organisationseinheit) angewendet werden. Sie kann durch Benutzer- oder Computerzugehörigkeit zu Sicherheitsgruppen weiter gesteuert werden. Mit der Gruppenrichtlinie können zahlreiche verschiedene Sicherheitseinstellungen konfiguriert werden. (Weitere Informationen zu Sicherheitseinstellungen finden Sie unter „Planen der verteilten Sicherheit“ in dieser Dokumentation.) Sie kann zur Anwendung von Anmelde- und Abmeldeskripts sowie von Skripts zum Starten und Herunterfahren eingesetzt werden. Unter Verwendung der Gruppenrichtlinie kann die Softwareinstallation und -verwaltung erfolgen. Sie kann zum Umleiten von Ordnern, wie z. B. Eigene Dateien und Anwendungsdaten, verwendet werden. ®
? Mit Hilfe der Gruppenrichtlinie kann Microsoft Internet Explorer verwaltet
werden. Die eingerichteten Gruppenrichtlinieneinstellungen werden in Gruppenrichtlinienobjekten gespeichert, die mit den ausgewählten Active Directory-Standorten, -Domänen und -Organisationseinheiten verbunden sind. Beim Anlegen, Speichern und Zuordnen von Richtlinieneinstellungen wird ähnlich wie bei Dokumenten verfahren. Genau wie Microsoft® Word Daten in DOC-Dateien speichert, erfolgt die Speicherung von Gruppenrichtlinieneinstellungen in den entsprechenden Objekten. Weiterhin kann die Verwendung der Gruppenrichtlinie im Unternehmen durch Filtern von Gruppenrichtlinienobjekten anhand von Sicherheitsgruppen präzise an die Computer- und Benutzeranforderungen angepasst werden. Auf diese Weise wird die Verarbeitung der Gruppenrichtlinie beschleunigt.
772
Teil VI
Windows 2000 Professional/Clienteinrichtung
Anwenden von Windows NT 4.0-Richtlinien auf Windows 2000 Durch Aktualisieren von Windows NT 4.0-basierten Clients und Servern auf Windows 2000 ändern sich die Richtlinien. Die Migrationsstrategie richtet sich danach, ob Benutzerkonten- und Computerkontenobjekte auf einem Windows NT 4.0-Server oder einem Windows 2000-Server mit Active Directory gespeichert sind. Tabelle 23.3 geht von einem Windows 2000-basierten Client aus. Sämtliche Clients, die die Windows NT 4.0-Systemrichtlinie übernehmen, erhalten diese über die Netlogon-Netzwerkfreigabe auf dem Anmeldeserver des Benutzers. Tabelle 23.3 Voraussichtliches Verhalten der Serverbetriebssysteme Umgebung
Speicherort des Kontenobjekts
Aufden Client angewendete Richtlinie
Reine Windows NT 4.0Umgebung
Computer: Windows NT 4.0
Beim Computerstart: Computerinterne Gruppenrichtlinie (falls geändert). Bei jeder Benutzeranmeldung: Systemrichtlinie des Computers.
Computeraktualisierung
Vor dem Drücken von STRG+ALT+ENTF: Computerinterne Gruppenrichtlinie. Nach der Anmeldung des Benutzers: Computerinterne Gruppenrichtlinie und Systemrichtlinie des Computers.
Benutzer: Windows NT 4.0
Bei Anmeldung des Benutzers: Systemrichtlinie des Benutzers. Bei Änderung der Richtlinien für lokale Gruppen: Richtlinien lokaler Benutzergruppen und Benutzersystemrichtlinie. Richtlinienlokaler Benutzergruppen und Benutzersystemrichtlinie. Beim Computerstart: Computerinterne Gruppenrichtlinie (falls geändert). Bei jeder Benutzeranmeldung:Systemrichtlinie des Computers. Vor dem Drücken von STRG+ALT+ENTF: Computerinterne Gruppenrichtlinie. Nach der Anmeldung des Benutzers: Computerinterne Gruppenrichtlinie und Systemrichtlinie des Computers.
Benutzeraktualisierung
Gemischt(Migration)
Computer: Windows NT 4.0
Computeraktualisierung
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
773
(Fortsetzung) Umgebung
Gemischt (Migration)
Speicherort des Kontenobjekts
Auswirkungen auf den Client
Benutzer: Windows 2000
Bei Anmeldung des Benutzers: Die Gruppenrichtlinie wird nach der Systemrichtlinie des Computers verarbeitet.
Benutzeraktualisierung
Gruppenrichtlinie des Benutzers.
Computer: Windows 2000
Während des Systemstarts: Gruppenrichtlinie. Gruppenrichtlinie des Computers Bei Anmeldung des Benutzers: Systemrichtlinie des Benutzers. Bei Änderung der Richtlinien für lokale Gruppen: Richtlinienlokaler Benutzergruppen und Benutzersystemrichtlinie. Richtlinienlokaler Benutzergruppen und Benutzersystemrichtlinie.
Computeraktualisierung Benutzer: Windows NT 4.0
Benutzeraktualisierung
Windows 2000
Computer: Windows 2000
Ohne Active Directory
Benutzer: Windows 2000 Lokal
Während des Computerstarts und der Benutzeranmeldung: Gruppenrichtlinie. Nur interne Gruppenrichtlinie.
Anmerkung Befindet sich das Kontenobjekt des Computers in einer Windows NT 4.0-Domäne und das des Benutzers in einer Windows 2000Domäne, wird die Systemrichtlinie des Computers bei der Benutzeranmeldung verarbeitet. Verwenden Sie die Datei NTConfig.pol aus der Netlogon-Netzwerkfreigabe des Windows 2000-basierten und nicht des Windows NT 4.0-basierten Domänencontrollers, um die Benutzerauthentifizierung durchzuführen. Es empfiehlt sich, möglichst rasch aus dieser gemischten Umgebung zu einer reinen Windows 2000-Umgebung zu wechseln. Zum Ändern dieses Verhaltens stehen keine Optionen zur Verfügung. Um die Verwaltung im Unternehmen zu vereinfachen, sollten Sie die Windows NT 4.0Systemrichtlinien schnellstmöglich durch die Windows 2000-Gruppenrichtlinie ersetzen.
774
Teil VI
Windows 2000 Professional/Clienteinrichtung
Verwenden von Active Directory zum Delegieren der Clientverwaltung Die Clientverwaltung von Windows 2000 kann in einer Umgebung mit Windows 2000 Professional, Windows 2000 Server und einem Active DirectoryNamespace mit dem gesamten Funktionsumfang optimal genutzt werden. Gruppenrichtlinieneinstellungen werden einem Active Directory-Container, einer Domäne, einem Standort oder einer Organisationseinheit zugeordnet. Einstellungen, die Sie in Verbindung mit der Active Directory-Struktur des Unternehmens konfigurieren, ermöglichen die Clientstandarddefinition auf breiter Ebene, z. B. für eine ganzes Unternehmen, oder eine enger angelegte Definition, z. B. für die Mitglieder einer bestimmten Arbeitsgruppe oder einen Standort. Die Ebene, auf der Gruppenrichtlinieneinstellungen implementiert werden, muss auf das Verwaltungsmodell des Unternehmens ausgerichtet sein, das zusammen mit Active Directory und dem Domänenmodell festgelegt wurde. Obwohl das mit dem Anlegen und Implementieren von Clientstandards beauftragte IT-Team bisher nicht in die Domänennamespaceplanung einbezogen wurde, sollte es jetzt daran beteiligt werden, wenn das Unternehmen einen Active DirectoryNamespace plant. Je eher sich das Team für die Domänennamespaceplanung mit den Anforderungen und Zielen der Clientverwaltung vertraut macht, desto wahrscheinlicher ist die Optimierung der Verwaltung und Unterstützung von Benutzeranforderungen durch den Namespaceentwurf des Unternehmens. Achtung Wurde der Active Directory-Namespace nicht bereits entwickelt, muss die Zusammenarbeit des Clientverwaltungsteams mit dem Verzeichnis- und Namespaceteam zum Einrichten von Clientstandards, zum Festlegen von Gruppenrichtlinieneinstellungen sowie zum Durchführen der Verwaltungsaufgaben auf effiziente Art und Weise erfolgen. Ein optimal entworfener Active Directory-Namespace vereinfacht die Implementierung bestimmter Clientstandards, z. B. E-Mail, auf Domänen- oder Organisationseinheitenebene. Darüber hinaus wird das Delegieren der Verwaltung bestimmter Clientaufgaben auf andere Ebenen erleichtert. Hierbei handelt es sich z. B. um das Hinzufügen oder Löschen von Benutzern, Ändern von Desktopkonfigurationen oder Implementieren von Arbeitsgruppenanwendungen. Sie möchten beispielsweise die Sicherheit sowie grundlegende Anwendungsstandards wie E-Mail, Textverarbeitung usw. für ein gesamtes Unternehmen auf Domänenebene festlegen. Das Einsetzen von Administratoren auf Unternehmensebene zum Hinzufügen und Löschen von Benutzern stellt eine ineffiziente Vorgehensweise dar, wenn ein Administrator auf Standort- oder Organisationseinheitenebene die Berechtigung zur Durchführung dieser Routineänderungen erhalten kann. Auf ähnliche Weise stellt ein Administrator auf Domänenebene nicht die geeignete Person zum Zurücksetzen von Kennwörtern dar, wenn diese Aufgabe in der Regel vom Helpdeskpersonal auf Standort- oder Organisationseinheitenebene übernommen werden kann. Mit der Gruppenrichtlinie von Windows 2000 können Sie kennwortbezogene Aufgaben an die Helpdeskmitarbeiter weitergeben, ohne dass diese Zugriff auf nicht zu ändernde Einstellungen erhalten.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
775
Folgende Punkte sind im Clientverwaltungsplan zu berücksichtigen: ? Ermitteln sämtlicher clientbezogener Verwaltungsaufgaben, wie z. B.
Neuinstallation von Computern, Einrichten, Übertragen und Löschen von Benutzerkonten, Softwareinstallationen und -aktualisierungen, Fehlerbehandlungen sowie die Definition von Clientkonfigurationsstandards. ? Feststellen, an welcher Stelle im Unternehmen diese Aufgaben derzeit durchgeführt werden. ? Ermitteln der Ebene im Unternehmen, auf der sie durchgeführt werden
müssen. Weitere Informationen zu den Beziehungen zwischen der Gruppenrichtlinie und der Active Directory-Struktur finden Sie im Kapitel „Entwerfen der Active Directory-Struktur“ in diesem Buch.
Delegieren von Verwaltungsaufgaben der Gruppenrichtlinie Unternehmen, die Active Directory einsetzen, können die Steuerung des Verzeichnisdiensts zum Teil delegieren und somit die Zuständigkeit für zahlreiche bereits beschriebene Clientverwaltungsaufgaben weitergeben. In diesem Abschnitt wird erläutert, wie die Gruppenrichtlinie das Delegieren von Verwaltungsaufgaben auf Standort-, Domänen- und Organisationseinheitenebene ermöglicht. Das Delegieren der Verwaltung über die Gruppenrichtlinie umfasst folgende Aufgaben, die je nach Bedarf zusammen oder gesondert durchgeführt werden können: ? Verwalten von Gruppenrichtlinienverknüpfungen für einen Standort, eine
Domäne oder Organisationseinheit. ? Anlegen von Gruppenrichtlinienobjekten. ? Bearbeiten von Gruppenrichtlinienobjekten.
Verwalten von Gruppenrichtlinienverknüpfungen für einen Standort, eine Domäne oder Organisationseinheit. Standardmäßig sind lediglich Mitglieder der Domänenadministrator- und Organisationsadministratorgruppe in der Lage, die Gruppenrichtlinie für Standorte, Domänen und Organisationseinheiten zu konfigurieren. Auf der Registerkarte Gruppenrichtlinie der Eigenschaftenseite des Standorts, der Domäne oder Organisationseinheit können Sie angeben, welche Gruppenrichtlinienobjekte mit einem Standort, einer Domäne oder Organisationseinheit verknüpft werden sollen. Active Directory unterstützt die Sicherheitseinstellungen nach Eigenschaft. Das heißt, Sie können einem Nichtadministrator Lese- und Schreibzugriff auf bestimmte Eigenschaften zuweisen. In diesem Fall wird den Nichtadministratoren die Aufgabe Verwalten der Gruppenrichtlinien-Verknüpfungen zugeteilt. Sie verwalten die mit diesem Standort, dieser Domäne oder Organisationseinheit verknüpften Gruppenrichtlinienobjekte. Zum Delegieren dieser Aufgabe an einen Benutzer verwenden Sie den Assistenten zum Erstellen neuer Delegierungen.
776
Teil VI
Windows 2000 Professional/Clienteinrichtung
Anlegen von Gruppenrichtlinienobjekten Standardmäßig sind nur Mitglieder der Gruppen der Domänen- und Organisationsadministratoren sowie der Richtlinien-Ersteller-Besitzer in der Lage, neue Gruppenrichtlinienobjekte anzulegen. Wenn der Domänenadministrator einem Nichtadministrator bzw. einer entsprechenden Gruppe die Berechtigung zum Erstellen von Gruppenobjekten zuweisen möchte, kann der Benutzer oder die Gruppe der Sicherheitsgruppe der Richtlinien-Ersteller-Besitzer hinzugefügt werden. Legt ein Nichtadministrator der Gruppe der Richtlinien-Ersteller-Besitzer ein Gruppenrichtlinienobjekt an, wird er zum Ersteller und Besitzer dieses Objekts und kann es bearbeiten. Durch die Zugehörigkeit zur Gruppe der RichtlinienErsteller-Besitzer erhält ein Nichtadministrator den Vollzugriff auf Gruppenrichtlinienobjekte, die von ihm erstellt oder ausdrücklich an ihn delegiert wurden.
Bearbeiten von Gruppenrichtlinienobjekten Standardmäßig ermöglichen Gruppenrichtlinienobjekte Mitgliedern der Gruppen der Domänenadministratoren, der Organisationsadministratoren und der Richtlinien-Ersteller-Besitzer den Vollzugriff, ohne dass das Attribut Gruppenrichtlinie übernehmen zugewiesen wurde. Sie können das Gruppenrichtlinienobjekt zwar bearbeiten, die in dem Objekt enthaltenen Richtlinien werden auf sie jedoch nicht angewendet. Authentifizierte Benutzer verfügen standardmäßig über Lesezugriff auf das Gruppenrichtlinienobjekt, dem das Attribut Gruppenrichtlinie übernehmen zugewiesen wurde. Das bedeutet, dass die Gruppenrichtlinie für diese Benutzer gilt. Domänen- und Organisationsadministratoren gehören ebenfalls zu den authentifizierten Benutzern. Gruppenrichtlinienobjekte werden daher standardmäßig auf die Mitglieder dieser Gruppe angewendet, es sei denn, sie werden explizit ausgeschlossen. Erstellt ein Nichtadministrator ein Gruppenrichtlinienobjekt, wird dieser zum Ersteller-Besitzer dieses Objekts. Wenn ein Administrator ein Gruppenrichtlinienobjekt anlegt, gilt die Gruppe der Domänenverwalter als Ersteller-Besitzer dieses Objekts. Um ein Gruppenrichtlinienobjekt bearbeiten zu können, benötigt der Benutzer sowohl Lese- als auch Schreibzugriff auf dieses Objekt. Zur Bearbeitung eines Gruppenrichtlinienobjekts muss ein Benutzer eine der folgenden Eigenschaften aufweisen: ? Zugehörigkeit zur Gruppe der Domänen- oder Organisationsadministratoren. ? Zugehörigkeit zur Gruppe der Richtlinien-Ersteller-Besitzer. Darüber hinaus
muss der Benutzer das Gruppenrichtlinienobjekt zuvor erstellt haben. ? Er muss über delegierten Zugriff auf das Gruppenrichtlinienobjekt verfügen.
Das heißt, es muss sich um einen Administrator oder Benutzer handeln, dem von einer Person mit den entsprechenden Berechtigungen unter Verwendung der Registerkarte Sicherheit der Eigenschaftenseite des Gruppenrichtlinienobjekts Zugriff erteilt wurde.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
777
Anlegen der MMC-Konsolen für Gruppenrichtlinien zum Delegieren der Gruppenrichtlinien Sie können die Gruppenrichtlinie delegieren, indem Sie Konsolen für das Gruppenrichtlinien-Snap-In (MSC-Dateien) anlegen und speichern und anschließend Benutzern und Gruppen Zugriffsberechtigungen auf das Gruppenrichtlinienobjekt oder den Active Directory-Container zuweisen. Berechtigungen können auf der Registerkarte Sicherheit der Eigenschaftenseite des Gruppenrichtlinienobjekts definiert werden. Sie gewähren den angegebenen Gruppen Zugriff auf ein Gruppenrichtlinienobjekt bzw. verweigern diesen. Diese Art der Delegierung wird durch die für MMC verfügbaren Richtlinieneinstellungen verbessert. In der Konsolenstruktur von Microsoft Management Console stehen unter Windows-Komponenten im Knoten Administrative Vorlagen mehrere Richtlinien zur Verfügung. Mit Hilfe dieser Richtlinien legt der Administrator fest, welche MMC-Snap-Ins der betreffende Benutzer ausführen darf. In den Richtliniendefinitionen können entweder die auszuführenden oder die nicht auszuführenden Snap-Ins angegeben werden.
Besondere Implementierungsoptionen für Gruppenrichtlinien Durch sorgfältige Anwendung der Gruppenrichtlinienoptionen wird die Antwortzeit im Netzwerk auch bei Verwendung der datenintensiven Ordnerumleitungsund Softwareinstallationsoptionen verbessert. Setzen Sie die Gruppenrichtlinienoptionen zunächst vorsichtig ein, und überprüfen Sie sämtliche vorgeschlagenen Änderungen sorgfältig, um eine Beeinträchtigung der Netzwerkleistung auszuschließen. Darüber hinaus ermöglichen zahlreiche Implementierungsoptionen die Anwendungsoptimierung der Gruppenrichtlinie, ohne dass dabei zusätzliche Gruppenrichtlinienobjekte erstellt werden. Im Folgenden werden einige verfügbare Optionen aufgelistet: ? Optionen zum Filtern durch Sicherheitsgruppen ? Option für den Vorrang eines Gruppenrichtlinienobjekts ? Option zum Deaktivieren der Blockrichtlinienvererbung nach ? ? ? ?
Organisationseinheit Einstellungen für die Verarbeitung von Loopbackrichtlinien Verarbeitungsoptionen für langsame Verbindungen Optionen für periodische Aktualisierungen Optionen für die synchrone und asynchrone Verarbeitung
Die folgenden Abschnitte enthalten eine kurze Erklärung dieser Optionen.
Optionen zum Filtern durch Sicherheitsgruppen Mit Hilfe der Sicherheitsgruppen von Windows 2000 kann genauer festgelegt werden, auf welche Computer- und Benutzergruppen sich ein bestimmtes Gruppenrichtlinienobjekt auswirkt. Das bedeutet, dass die Auswirkungen der Gruppenrichtlinienobjekte auf Mitglieder bestimmter Sicherheitsgruppen gefiltert werden können. Verwenden Sie hierzu die Registerkarte Sicherheit auf der Eigenschaftenseite des Gruppenrichtlinienobjekts.
778
Teil VI
Windows 2000 Professional/Clienteinrichtung
Ordnen Sie z. B. verschiedene Benutzertypen entsprechend den erforderlichen Handlungsbefugnissen in Windows 2000-Benutzergruppen ein. Windows 2000 bietet folgende Standardbenutzergruppen, die denen von Microsoft® Windows NT® Version 3.51 und Windows NT 4.0 ähneln, jedoch nicht mit ihnen übereinstimmen. ? Administratoren. Mitglieder dieser Gruppe können die gesamte Verwaltung
eines Computers oder einer Domäne durchführen. ? Sicherungs-Operatoren. Mitglieder können die Dateisicherheit umgehen, um Dateien zu sichern. ? Hauptbenutzer. Mitglieder dieser Gruppe sind in der Lage, den Computer zu
modifizieren und Programme zu installieren. Dateien, die anderen Benutzern gehören, können von den Mitgliedern der Gruppe jedoch nicht gelesen werden. Sie können ebenfalls Verzeichnisse und Drucker freigeben. ? Benutzer. Mitgliedern dieser Gruppe ist es möglich, Dokumente anzulegen und
zu speichern. Sie können ohne Administratorberechtigungen keine Programme installieren sowie keine potenziell nachteiligen Änderungen an den Systemdateien und -einstellungen vornehmen. ? Gäste. Mitgliedern wird kurzzeitig Zugriff auf den Computer oder die Domäne gewährt. In dieser Kategorie können besondere Berechtigungen für Hersteller oder Vertragspartner erteilt werden. Das Gastkonto ist z. B. standardmäßig deaktiviert. Anmerkung Windows 2000 ermöglicht Administratoren eine präzisere Benutzersteuerung als Windows NT 4.0. Die Standardberechtigungen der Gruppe der Benutzer von Windows NT 3.51 und 4.0 gelten jetzt für die Gruppe der Hauptbenutzer und die der Gruppe der eingeschränkten Benutzer von Windows NT 3.51 und 4.0 werden auf die Gruppe der Benutzer angewendet. In Tabelle 23.1 könnten der Leiter der Finanzabteilung, der Zweigstellenleiter und der Vertriebsmitarbeiter in die Gruppe der Hauptbenutzer und das Empfangspersonal sowie der Fließbandarbeiter in die Gruppe der Benutzer eingeteilt werden. Zusätzliche Gruppen können ausgehend von den Aufgaben der Mitglieder, ihren Berechtigungen zur Durchführung von Änderungen am eigenen oder anderen Computern sowie der gewünschten Konfigurationen erstellt werden. Beispielsweise besteht die Möglichkeit, die Gruppe der Benutzer innerhalb des Unternehmens nach Abteilung, beispielsweise Verkauf, Personalabteilung, Entwicklung usw., zu unterteilen, so dass entsprechende Standardkonfigurationen für sämtliche Mitarbeiter mit denselben Aufgaben eingerichtet werden können. Diese Vorgehensweise vereinfacht das Verwalten von Benutzern mit verschiedenen Konfigurations - und Berechtigungsanforderungen erheblich. Die Aufhebung der Gruppenrichtlinieneinstellungen eines Objekts für eine bestimmte Gruppe erfordert, dass der ACE-Eintrag Gruppenrichtlinie übernehmen (Access Control Entry, Eintrag für die Zugriffssteuerung) aus dieser Gruppe entfernt wird. Für Gruppen, denen Nichtadministratoren angehören, ist ebenfalls das Entfernen des ACE-Eintrags Lesen erforderlich, da sämtliche Benutzer mit Lesezugriff Daten anzeigen können.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
779
Weitere Informationen zum Einrichten und Verwenden von Sicherheitsgruppen finden Sie im Kapitel „Planen der verteilten Sicherheit“ in dieser Dokumentation.
Optionen für den Vorrang der Gruppenrichtlinie und die Blockrichtlinienvererbung Mit Hilfe dieser Optionen können die Einstellungen eines bestimmten Gruppenrichtlinienobjekts so festgelegt werden, dass eine Außerkraftsetzung dieser Richtlinie durch Gruppenrichtlinienobjekte aus untergeordneten Active DirectoryContainern vermieden wird. Ein bestimmtes Gruppenrichtlinienobjekt wurde beispielsweise auf Domänenebene als vorrangig definiert. Die in diesem Objekt enthaltenen Richtlinieneinstellungen gelten für sämtliche Organisationseinheiten innerhalb dieser Domäne. Die untergeordneten Container (Organisationseinheiten) können die Domänengruppenrichtlinie nicht außer Kraft setzen. Darüber hinaus besteht die Möglichkeit, die Vererbung von Gruppenrichtlinien übergeordneter Active Directory-Container zu deaktivieren. Wenn Sie für eine Organisationseinheit die Option Richtlinienvererbung deaktivieren auswählen, wird die Übernahme von Gruppenrichtlinienobjekten übergeordneter Active Directory-Container verhindert, wie z. B. einer übergeordneten Organisationseinheit oder Domäne. Die Richtlinienoption Keine Außerkraftsetzung (erzwungen) hat jedoch stets Vorrang vor der Option Richtlinienvererbung deaktivieren.
Loopbackoptionen Die Anwendung der Gruppenrichtlinie auf einen Benutzer oder Computer beruht auf der Position des Benutzer- oder Computerobjekts im Active Directory. Unter Umständen muss die Gruppenrichtlinie jedoch nicht auf Grundlage der logischen Position des Benutzerobjekts, sondern ausgehend vom physischen Standort des Computerobjekts im Unternehmen angewendet werden. Beispielsweise kann es eine Rolle spielen, ob sich der Benutzer in einer Bibliothek befindet oder ob sich ein Benutzer an einem Computer in einer anderen Organisationseinheit anmeldet. Die Loopbackfunktion der Gruppenrichtlinie ermöglicht dem Administrator, die Benutzereinstellungen der Gruppenrichtlinie basierend auf dem Computer anzuwenden, an dem die Benutzeranmeldung erfolgt. Die Loopbackoption kann beispielsweise ausgewählt werden, wenn Anwendungen, die den Benutzern in der Marketingorganisationseinheit zugewiesen wurden, nicht zur Verfügung stehen sollen, wenn diese sich an Computern in der Serverorganisationseinheit anmelden. Über die Loopbackfunktion der Gruppenrichtlinie stehen zwei Möglichkeiten zum Abrufen der Liste von Gruppenrichtlinienobjekten für jeden Computerbenutzer in der Serverorganisationseinheit zur Verfügung: Zusammenführungsmodus In diesem Modus wird die Benutzerliste der Gruppenrichtlinienobjekte mit Hilfe der API-Funktion GetGPOList während der Anmeldung normal verarbeitet. Anschließend wird diese Funktion unter Berücksichtigung der Computerposition im Active Directory erneut aufgerufen. Die Liste der Gruppenrichtlinienobjekte für den Computer wird am Ende der Liste der Gruppenrichtlinienobjekte für den Benutzer eingefügt. Die Computerobjekte erhalten somit Vorrang vor den Benutzerobjekten. Ersetzungsmodus In diesem Modus werden die auf den Benutzer angewendeten Gruppenrichtlinienobjekte nicht verarbeitet. Lediglich die auf Computerobjekten basierenden Gruppenrichtlinienobjekte werden verwendet. DieRichtlinieneinstellungen sind im Pfad Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie gespeichert. Der Richtlinienname lautet Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien.
780
Teil VI
Windows 2000 Professional/Clienteinrichtung
Anmerkung Bei der Verwendung von Loopback-Verarbeitungsoptionen müssen sich sowohl das Computer- als auch das Benutzerkonto in einer Windows 2000Domäne befinden. Wenn sich eines der Konten in einer Windows NT 4.0-Domäne befindet, ist die Loopbackoption deaktiviert und Richtlinienverarbeitung wird ohne dieses Konto durchgeführt.
Verarbeiten langsamer Verbindungen Zahlreiche Benutzer, z. B. Benutzer tragbarer Computer oder solche, die zu Hause oder in einer Zweigstelle arbeiten, greifen mit Hilfe langsamer Verbindungen auf das Netzwerk zu. Ein Großteil der Gruppenrichtlinieneinstellungen kann so konfiguriert sein, dass ihre Anwendung lediglich bei angemessener Netzwerkverbindung erfolgt. Zu ihnen zählen die Einstellungen der folgenden Elemente: ? Softwareinstallation und -wartung ? Skripts ? Datenträgerkontingent ? IP-Sicherheit ? EFS-Wiederherstellungsrichtlinie ? Internet Explorer-Wartung Diese Richtlinieneinstellungen sind im Pfad Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie gespeichert. Jede aufgeführte Gruppenrichtlinienoption verfügt über eine Verarbeitungsrichtlinie zum Ändern des Verhaltens langsamer Verbindungen. Wenn eine Gruppenrichtlinie eine langsame Verbindung erkennt, gelten in der Regel die folgenden Standardeinstellungen: ? Sicherheitseinstellungen: Aktiviert (Deaktivieren nicht möglich). ? Administrative Vorlagen: Aktiviert (Deaktivieren nicht möglich). ? Softwareinstallation und -wartung: Deaktiviert. ? Skripts: Deaktiviert. ? Ordnerumleitung: Deaktiviert. ? Internet Explorer-Wartung: Deaktiviert. Mit Ausnahme von Administrative Vorlagen und Sicherheitseinstellungen ist für sämtliche Einstellungen eine Richtlinie für die Aktivierung und Deaktivierung vorhanden. Weitere Informationen zum Konfigurieren von Computern mit langsamen Netzwerkverbindungen finden Sie im Abschnitt „Verwenden der Gruppenrichtlinie zur Konfigurationssteuerung“ in diesem Kapitel.
Verarbeiten periodischer Aktualisierungen Gruppenrichtlinien können in regelmäßigen Abständen verarbeitet werden. Standardmäßig erfolgt dieser Vorgang alle 90 Minuten mit einem Offset von 30 Minuten. Beim Offset handelt es sich um eine willkürliche Zeitspanne, die dem Aktualisierungsintervall hinzugefügt wird, um eine zeitgleiche Anforderung der Gruppenrichtlinie durch sämtliche Clients zu verhindern. Es ist dazu gedacht, unnötige Spitzen in der Netzwerkauslastung zu vermeiden (z. B. durch Ausführung erst 90 Minuten nachdem die meisten Benutzer gleichzeitig ihre Computer einschalten und sich anmelden). Die Aktualisierungsrate kann nach Bedarf geändert werden. Beispielsweise können zu Test- und Demonstrationszwecken kürzere Intervalle eingesetzt werden.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
781
Im Pfad Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie sind zwei Richtlinieneinstellungen für die Änderung der Aktualisierungsrate gespeichert. Die eine Einstellung gilt für Domänencontroller, die andere wird auf alle Computer, einschließlich weiterer Server, angewendet. Diese Richtlinieneinstellungen tragen die Bezeichnungen Gruppenrichtlinien-Aktualisierungsintervall für….
Synchrone und asynchrone Verarbeitung Standardmäßig erfolgt die Gruppenrichtlinienverarbeitung sowohl für Computerals auch für Benutzerrichtlinieneinstellungen synchron. Bei der Computerverarbeitung können Benutzer sich erst nach Aktualisierung sämtlicher Gruppenrichtlinieneinstellungen anmelden. Bei der Benutzerverarbeitung wird Benutzern der Zugriff auf das Desktop erst nach Aktualisierung aller Einstellungen der Benutzergruppenrichtlinie ermöglicht. Diese Verarbeitungsregeln gewährleisten den sichersten Betriebsmodus. Es existiert eine weitere Gruppenrichtlinieneinstellung für die Verarbeitung sowohl der Computer- als auch der Benutzergruppenrichtlinie, auf der die asynchrone Verarbeitung beruht. Diese Einstellung bewirkt, dass das System die Anmeldeaufforderung (Computereinstellungen) bzw. das Desktop (Benutzereinstellungen) vor Abschluss der Gruppenrichtlinienaktualisierung anzeigt. Die asynchrone Verarbeitung hat zur Folge, dass das Anmeldedialogfeld unter Umständen eher angezeigt bzw. die Windows-Oberfläche vollständig eingeblendet wird, bevor alle Gruppenrichtlinieneinstellungen angewendet wurden. Wenn Sie die asynchrone Verarbeitung festlegen und der Benutzer den Anmeldevorgang durchführen und vor Abschluss der Verarbeitung der Computer- oder Benutzereinstellungen mit der Computerarbeit beginnen kann, entstehen möglicherweise erhebliche Probleme für den Benutzer. Verwendet der Benutzer beispielsweise eine Anwendung, deren Einstellungen geändert werden, können nach Beendigung der Verarbeitung von Computer- und Benutzereinstellungen Fehler auftreten.
Verwenden clientseitiger Erweiterungen Einige Gruppenrichtlinienkomponenten enthalten clientseitige Erweiterungen (DLLs), anhand derer die Gruppenrichtlinien auf dem Clientcomputer implementiert werden. Sie werden bei Verarbeitung einer Richtlinie durch einen Client nach Bedarf geladen. Der Client erhält zunächst eine Liste der Gruppenrichtlinienobjekte. Anschließend durchsucht er sämtliche clientseitigen Erweiterungen und stellt für jede Erweiterung fest, ob sie Daten in einem der Gruppenrichtlinienobjekte gespeichert hat. Ist dies der Fall, wird die clientseitige Erweiterung mit der Liste der zu verarbeitenden Gruppenrichtlinienobjekte aufgerufen. Sind für eine Erweiterung keine Einstellungen in einem Gruppenrichtlinienobjekt gespeichert, wird sie nicht aufgerufen. Für sämtliche clientseitigen Erweiterungen der Gruppenrichtlinie existieren Computerrichtlinieneinstellungen. Jede Richtlinie umfasst maximal drei Optionen (Kontrollkästchen). Einige clientseitige Erweiterungen weisen lediglich zwei Computerrichtlinienoptionen auf, da die dritte Option für sie nicht geeignet ist. Im folgenden Abschnitt werden die clientseitigen Verarbeitungsoptionen der Gruppenrichtlinie erläutert.
782
Teil VI
Windows 2000 Professional/Clienteinrichtung
Bearbeitung über langsame Verbindungen zulassen Wenn sich eine clientseitige Erweiterung von dem Betriebssystem registrieren lässt, schreibt sie Werte in die Registrierung, anhand derer festgelegt wird, ob die Erweiterung bei Anwendung einer Richtlinie über eine langsame Verbindung aufzurufen ist. Einige Erweiterungen, z. B. Softwareinstallation und -wartung, verursachen ein hohes Datenverkehrsaufkommen, so dass die Verarbeitung über eine langsame Verbindung möglicherweise zu einer Leistungsbeeinträchtigung führt. (Denken Sie z. B. an die Zeitspanne, die zur Installation einer umfangreichen Anwendung über eine Modemverbindung mit 28,8 KB pro Sekunde benötigt wird.) Ein Administrator kann die Verbindungsgeschwindigkeit festlegen, die als langsam gilt. Er kann ebenfalls die entsprechende Richtlinie aktivieren, wenn er sich trotz der großen Datenmenge für die Ausführung der clientseitigen Erweiterung über eine langsame Verbindung entscheidet. Die Richtlinieneinstellungen sind im Pfad Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie gespeichert. Währendregelmäßiger Hintergrundbearbeitung nicht übernehmen Die Computerrichtlinie wird während des Systemstarts und danach etwa alle 90 Minuten angewendet. Die Anwendung der Benutzerrichtlinie erfolgt bei Anmeldung des Benutzers und danach ebenfalls alle 90 Minuten. Einige Erweiterungen können die Richtlinie lediglich während der erstmaligen Ausführung verarbeiten, da die Verarbeitung im Hintergrund ein Risiko darstellt. Die Verarbeitung der mit der Softwareinstallation und -wartung verbundenen Anwendungsänderungen kann beispielsweise nur während des Systemstarts oder der Benutzeranmeldung sicher erfolgen. Andernfalls wird möglicherweise eine Anwendung deinstalliert oder eine neue Version installiert, während diese sich noch in Gebrauch befindet. Das Standardverhalten einiger Erweiterungen kann geändert werden. Es besteht die Möglichkeit, das Standardverhalten mit der Option Während regelmäßiger Hintergrundbearbeitung nicht übernehmen außer Kraft zu setzen und eine Ausführung der Erweiterung im Hintergrund zu erzwingen bzw. diese zu deaktivieren. Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten Standardmäßig ist die wiederholte Anwendung der Gruppenrichtlinienobjekte auf den Client nicht erforderlich, wenn die Gruppenrichtlinienobjekte des Servers nicht geändert wurden, da sämtliche Einstellungen auf dem Client gespeichert sind. Benutzer sind jedoch Administratoren ihrer Computer und somit in der Lage, Richtlinieneinstellungen zu ändern. In diesem Fall ist die wiederholte Anwendung der Einstellungen während des Anmeldevorgangs oder der periodischen Aktualisierung sinnvoll, um den Computer in den gewünschten Zustand zurückzusetzen. Sie definieren beispielsweise anhand der Gruppenrichtlinie bestimmte Sicherheitsoptionen für eine Datei. Ein Benutzer mit Administratorrechten meldet sich an und ändert diese. Sie können eine Richtlinie festlegen, die besagt, dass die Gruppenrichtlinie auch verarbeitet wird, wenn keine Änderung der Gruppenrichtlinienobjekte erfolgt ist. In diesem Fall werden die Sicherheitseinstellungenbei jedem Start- und Anmeldevorgang erneut angewendet. Dies gilt ebenfalls für Anwendungen. Mit Hilfe der Gruppenrichtlinie wird eine Anwendung installiert, aber der Benutzer kann die Anwendung bzw. das entsprechende Symbol entfernen. Die Option Gruppenrichtlinienobjekte auch ohne Änderungen
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
783
bearbeiten befähigt den Administrator, die Wiederherstellung der Anwendung bei der nächsten Anmeldung des Benutzers zu erzwingen.
Vergleichen von eigenständigen und auf Active Directory basierenden Verwaltungsfunktionen In Tabelle 23.4 werden die Verwaltungsfunktionen von Windows 2000 Professional mit Active Directory und Windows 2000 Professional ohne Active Directory gegenübergestellt. Tabelle 23.4 Vergleich zwischen den Windows 2000 Professional-Verwaltungsfunktionen und den auf Active Directory basierenden Verwaltungsfunktionen Verwaltungsfunktionen
Windows2000 Professional
Windows2000 Professional mit Windows2000 Server, Active Directory und der Gruppenrichtlinie
Administrative Vorlagen (registrierungsbasierte Einstellungen) Sicherheitseinstellungen
X
X
X
X
Softwareinstallation und -wartung (Zuweisen, Veröffentlichen)
–
X
Remoteinstallation Unbeaufsichtigte Installation
– X
X X
Sysprep Skripts Ordnerumleitung
X X –
X X X
Internet Explorer-Wartung Benutzerprofile Servergespeicherte Benutzerprofile
X X –
X X X
Sämtliche Gruppenrichtlinen-Snap-Ins, deren Verwendung auf einem lokalen Computer möglich ist, können ebenfalls eingesetzt werden, wenn die Gruppenrichtlinie schwerpunktmäßig auf einen Active Directory-Container ausgerichtet ist. Für folgende Vorgänge sind jedoch die Ausführung von Windows 2000 Server, eine Active Directory-Infrastruktur sowie ein Windows 2000-Client erforderlich: ? Die Softwareinstallation und -wartung, d. h. die Möglichkeit der zentralen
Verwaltung von Software für Benutzer- und Computergruppen. ? Die Verwaltung von Benutzerdaten und -einstellungen einschließlich der Ordnerumleitung, die das Umleiten bestimmter Ordner im Netzwerk ermöglicht. ? Remoteinstallation des Betriebssystems. Weitere Informationen zu Änderungs- und Konfigurationsoptionen finden Sie im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch.
784
Teil VI
Windows 2000 Professional/Clienteinrichtung
Wenn Sie zunächst die Richtlinien der lokalen Gruppen verwenden und der Computer dann Mitglied in einer Domäne wird, in der Active Directory und die Gruppenrichtlinie implementiert sind, werden zunächst die Richtlinien der lokalen Gruppe und anschließend die domänenbasierte Gruppenrichtlinie verarbeitet. Besteht ein Konflikt zwischen den beiden Richtlinien, hat die Domänenrichtlinie Vorrang. Falls ein Computer dann die Domäne verlässt, werden wieder die Richtlinien der lokalen Gruppe angewendet. KritischeEntscheidung Wenn Clients auf Windows 2000 Professional aufgerüstet werden, bevor eine Aktualisierung auf Windows 2000 Server erfolgt und die Verwendung von Active Directory für einen späteren Zeitpunkt vorgesehen ist, muss die Gruppenrichtlinienstrategie so sorgfältig geplant werden, dass Benutzer keine Änderungen an ihren Computern vornehmen können, bevor sie einer schärferen Kontrolle unterliegen. Sie setzen beispielsweise Windows 2000 Professional in einer nicht verwalteten Umgebung ein und möchten die Computer später in eine verwaltete Active Directory-Domäne eingliedern. Dann ist unter Umständen eine Neuinstallation des Betriebssystems sowie der Anwendungen erforderlich, um unzulässige Änderungen an der Systemkonfiguration zu verhindern.
Verwenden der Gruppenrichtlinie auf eigenständigen Computern Obwohl das Einsetzen der Gruppenrichtlinie auf eigenständigen Computern nicht zu empfehlen ist, ist es unter Umständen erforderlich. Auf eigenständigen Computern unter Windows 2000 Professional werden die Richtlinien der lokalen Gruppe im Pfad \%SystemRoot%\System32\Gruppenrichtlinie gespeichert. Folgende Elemente können eingesetzt werden, wenn das Gruppenrichtlinien-Snap-In schwerpunktmäßig auf einen lokalen Computer ausgerichtet ist. ? Sicherheitseinstellungen. Sicherheitseinstellungen können lediglich für den
lokalen Computer, nicht für eine Domäne oder ein Netzwerk festgelegt werden. ? Administrative Vorlagen, die die Festlegung von über 450 Verhaltensweisen für das Betriebssystem ermöglichen. ? Skripts. Skripts werden zur Automatisierung des Startens und Herunterfahrens
sowie der Benutzeranmeldung bzw. -abmeldung eingesetzt. Im Folgenden werden einige Unternehmensregeln aufgeführt, die durch die Richtlinien der lokalen Gruppe eingerichtet werden können: ? Die Benutzer des Computers haben keinen Zugriff auf den Befehl Ausführen. ? Ein Virenprogramm wird bei jedem Computerstart ausgeführt. ? Allgemeine Programmgruppen des Startmenüs können ausgeblendet werden.
Zur Verwaltung der Gruppenrichtlinie auf lokalen Computern sind administrative Rechte für diese Computer erforderlich. Die folgende Vorgehensweise ermöglicht den Zugriff auf das Gruppenlinien-Snap-In, das schwerpunktmäßig auf lokale Computer ausgerichtet ist:
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
785
? So greifen Sie auf Gruppenrichtlinien-Snap-Ins zu 1. Klicken Sie im Startmenü auf Ausführen, und geben Sie MMC ein. Klicken Sie anschließend auf OK. 2. Wählen Sie im Menü Konsole des MMC-Fensters den Befehl Snap-In hinzufügen/entfernen aus. 3. Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. 4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Gruppenrichtlinie und anschließend auf Hinzufügen. 5. Klicken Sie im Dialogfenster Gruppenrichtlinienobjekt auswählen auf Lokaler Computer, um das Richtlinienobjekt der lokalen Gruppe zu bearbeiten. 6. Klicken Sie auf Fertig stellen. 7. Klicken Sie auf Schließen. 8. Klicken Sie auf OK. Das Gruppenrichtlinien-Snap-In wird geöffnet, der Schwerpunkt befindet sich auf dem Richtlinienobjekt der lokalen Gruppe. Mit dieser Vorgehensweise können Sie ebenfalls das Gruppenrichtlinien-Snap-In auf einem Remotecomputer öffnen. Klicken Sie dazu in Schritt 5 auf Durchsuchen, und wählen Sie den gewünschten Computer aus. Anmerkung Bei den Richtlinien lokaler Gruppen ist weder die Filterung durch Sicherheitsgruppen möglich, noch können mehrere Gruppenrichtlinienobjekte existieren, wie es bei Active Directory-basierten Gruppenrichtlinienobjekten der Fall ist. Dem Ordner %SystemRoot%\System32\Gruppenrichtlinie können jedoch DACLs (Discretionary Access Control Lists) zugewiesen werden, so dass die Einstellungen des Richtlinienobjekts der lokalen Gruppe auf die angegebenen Gruppen angewendet werden bzw. ihre Anwendung nicht erfolgt. Diese Option ist bei der Steuerung und Verwaltung von Computern hilfreich, die in Umgebungen, wie etwa einer Kioskumgebung, eingesetzt werden, die mit einem LAN verbundenen sind. Im Gegensatz zu der über Active Directory verwalteten Gruppenrichtlinie wird hier nur das Attribut Lesen verwendet. Durch dieses Attribut werden die Einstellungen des Richtlinienobjekts der lokalen Gruppe auf normale Benutzer, jedoch nicht auf lokale Administratoren angewendet. Der lokale Administrator kann zunächst die gewünschten Richtlinieneinstellungen vornehmen und anschließend dem Richtlinienobjekt der lokalen Gruppe die DACLs zuweisen, so dass der Administratorengruppe der Lesezugriff verweigert wird. Damit der Administrator nachfolgend Änderungen am Richtlinienobjekt der lokalen Gruppe vornehmen kann, muss er zunächst den Besitz des Verzeichnisses übernehmen, sich selbst Lesezugriff erteilen, die Änderungen durchführen und den Lesezugriff dann entziehen.
Konfigurieren der Hardware Zu diesem Zeitpunkt müssen Sie darüber informiert sein, welche Desktopcomputer, Arbeitsstationen, tragbaren Computer und Peripheriegeräte im Unternehmen die Mindestanforderungen für Windows 2000 erfüllen.
786
Teil VI
Windows 2000 Professional/Clienteinrichtung
KritischeEntscheidung Stellen Sie vor Beginn der Systemaufrüstung sicher, dass das derzeitige BIOS Windows 2000 unterstützt oder dass Windows 2000-kompatible BIOS-Aktualisierungen zur Verfügung stehen. Nachdem Sie überprüft haben, ob die Systeme die Anforderungen von Windows 2000 erfüllen, wird die Hardwarekonfiguration für Windows 2000 größtenteils automatisch während des Installationsprozesses durchgeführt. Im Folgenden werden dennoch einige wichtige Probleme hinsichtlich der Hardwarekonfiguration aufgeführt, die im Clientkonfigurationsplan zu berücksichtigen sind.
Unterstützung des Dateisystems Microsoft empfiehlt die Formatierung sämtlicher Windows 2000-Partitionen, auf die nicht durch Clients mit anderen Betriebssystemen zugegriffen wird, mit dem NTFS-Dateisystem. Bei einem Systemausfall stellt NTFS die Konsistenz des Dateisystems anhand der Protokolldatei- und Prüfpunktinformationen wieder her. Darüber hinaus umfasst NTFS folgende Funktionen: ? Unterstützung sämtlicher Betriebssystemfunktionen von Windows 2000 ? Bereitstellung verbesserter Dateikomprimierung und -dekomprimierung. ? Erhöhen der Zugriffsgeschwindigkeit durch Minimieren der Anzahl der
Datenträgerzugriffe, die für die Suche nach einer Datei erforderlich sind. ? Bereitstellung verbesserter Datei- und Ordnersicherheit.
Anhand der Gruppenrichtlinien können für NTFS-Datenträger folgende Dateiberechtigungsoptionen festgelegt werden: Kein Zugriff, Auflisten, Lesen, Hinzufügen, Hinzufügen und Lesen, Ändern, Vollzugriff, Beschränkter Verzeichniszugriff und Beschränkter Dateizugriff. Darüber hinaus besteht die Möglichkeit anzugeben, welchen Benutzern und Gruppen Zugriff auf diese Datenträger erteilt und welche Zugriffsebene zugewiesen wird. Diese zusätzlichen Dateisicherheitsoptionen ermöglichen Unternehmen eine schärfere Kontrolle des Dateizugriffs als in Windows 95 und Windows NT 4.0. Wenn Benutzer auf einem tragbaren Computer vertrauliche Informationen speichern, sind sie in der Lage, die entsprechenden Dateien und Ordner zu verschlüsseln. Wird ein tragbarer Computer gestohlen, ist die Sicherheit der Dateien und Ordner durch das verschlüsselnde Dateisystem von Windows 2000 (Encrypting File System, EFS) sogar bei einer Neuinstallation von Windows 2000 Professional gewährleistet. Achten Sie jedoch darauf, dass sowohl der Administrator als auch der Endbenutzer über ausreichende Zugriffsrechte für verschlüsselte Dateien und Ordner verfügen müssen.
Hardwareprofile Wie bereits erwähnt, erfolgt die Hardwarekonfiguration überwiegend automatisch. Unter Umständen erfordern ältere Modelle tragbarer Computer, die in häufigem Wechsel in und außerhalb einer Dockingstation eingesetzt werden oder die aus einer primären Netzwerkverbindung in den Offlinezustand wechseln und dann wieder über andere Verbindungen auf das Netzwerk zugreifen, jedoch erweiterte Konfigurationsmaßnahmen.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
787
Da die Benutzer tragbarer Computer größtenteils nicht über die zur Konfiguration von Hardwareprofilen erforderlichen technischen Kenntnisse verfügen, müssen Sie die Profile für die verschiedenen Umgebungen konfigurieren oder die Benutzer entsprechend schulen. Abbildung 23.2 zeigt ein Beispiel für die Konfiguration mehrerer Hardwareprofile.
Abbildung 23.2 Tragbarer Computer mit mehreren Hardwareprofilen
Konfigurieren Sie Hardwareprofile für mehrere Computer nur dann gleichzeitig, wenn die tragbaren Computer, Konfigurationsoptionen und Peripheriegeräte genau übereinstimmen. Sie können auch einige Hardwareeinstellungen konfigurieren und die Endbenutzer so schulen, dass diese einen Teil der Konfigurationsaufgaben selbst übernehmen.
Festlegen von Benutzeroberflächenstandards Wie bereits erwähnt, sind die Computeranforderungen der Benutzer in jedem Unternehmen unterschiedlich. Windows 2000 ermöglicht die Erstellung standardmäßiger Betriebsumgebungen, einschließlich der Vorgaben für die Benutzeroberfläche, auf der Grundlage der Anforderungen eines Unternehmens. Unabhängig davon, ob Sie die Windows 2000-Standards übernehmen oder eigene Vorgaben für die Benutzeroberfläche implementieren, empfiehlt Microsoft die Bewertung der Konfigurationsoptionen von Windows 2000 gemäß den folgenden Kriterien: ? Sind sie problemlos zu verstehen? ? Ist ihre Verwendung effizient? ? Sind sie einfach zu behalten? ? Werden die wichtigsten Helpdeskanforderungen angesprochen?
788
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Reduzieren sie die Benutzerfehler?
Obwohl in wenigen Unternehmen eine so gründliche Überprüfung dieser Fragen erforderlich ist wie bei einem Softwarehersteller wie Microsoft, unterstützen die folgenden Verfahren Sie unter Umständen dabei, die optimale Windows 2000Konfiguration für die Benutzer zu ermitteln. ? Zusammenbringen von Benutzergruppen. Dabei soll in zielgerichteten
Diskussionen über die Vor- und Nachteile von Computerkonfigurationen sowie die Änderungen eine verbesserte Produktivität erreicht werden. ? Beobachtungen. Beobachten Sie Benutzer bei der Arbeit an den Computern. ? Feldstudien. Führen Sie mit Administratoren anderer Unternehmen Gespräche über deren Erfahrungen. ? Expertenmeinungen. Beschäftigen Sie sich mit den vorhandenen Forschungsergebnissen zu Benutzeroberflächendesign und Benutzerproduktivität. In den folgenden Abschnitten werden zahlreiche Optionen der Benutzeroberfläche in Windows 2000 beschrieben, die mit Hilfe der Gruppenrichtlinie konfiguriert werden können. Die nicht von einem Administrator festgelegten Konfigurationsoptionen werden in die Profile der Benutzer aufgenommen, die sie dann nach Bedarf konfigurieren. Wenn Sie nachfolgend eine Gruppenlinie erstellen, die sich auf eine Konfigurationsoption auswirkt, so hat die Gruppenrichtlinie Vorrang. Gruppenrichtlinieneinstellungen setzen benutzerdefinierte Oberflächenkonfigurationen, die in den Benutzerprofilen gespeichert werden, stets außer Kraft.
Standardbenutzer Standardbenutzer verfügen über weniger Computererfahrung als fortgeschrittene Benutzer. IT konfiguriert ihre Systeme daher so, dass die Produktivität maximiert und das Risiko potenziell nachteiliger Änderungen am System eingeschränkt wird. Die Optionen Ausführen und Systemsteuerung werden deaktiviert, so dass nur Änderungen implementiert werden, die ein Administrator unter Verwendung der Gruppenrichtlinie angibt. Den Benutzern stehen lediglich die von einem Administrator zugewiesenen Netzwerkverbindungen zur Verfügung. Darüber hinaus sind sie nicht in der Lage, Anwendungen zu installieren oder zu löschen, die nicht von einem Administrator genehmigt wurden.
Fortgeschrittene Benutzer Fortgeschrittene Benutzer sind in der Regel erfahrener, führen häufig anspruchsvolle Anwendungen aus, die besondere Konfigurationsoptionen erfordern, oder arbeiten ohne Verbindung zu dem Netzwerk und benötigen daher einen größeren Spielraum bei der Systemverwaltung. Ihnen müssen jedoch dieselben obligatorischen An- und Abmeldeoptionen und Funktionen wie etwa mehrsprachige Optionen und Eingabehilfen zur Verfügung stehen.
Verwenden der Gruppenrichtlinie zur Konfigurationssteuerung Anhand der Gruppenrichtlinie können Sie zahlreiche Desktopeinstellungen und Konfigurationsoptionen steuern. Im Folgenden werden einige Beispiele aufgeführt: ? Anpassen des Anmelde- und Abmeldevorgangs
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
789
? Anpassen des Desktops ? Ändern zahlreicher Komponenten des Betriebssystems
In den folgenden Abschnitten werden die entsprechenden Konfigurationsoptionen beschrieben. Hierbei handelt es sich um repräsentative Beispiele und nicht um eine ausführliche Liste. Es kommen über 550 verschiedene Gruppenrichtlinieneinstellungen vor. Die beste Möglichkeit, sich mit sämtlichen Optionen vertraut zu machen, besteht in der Beschäftigung mit einer installierten Windows 2000Version. Weitere Informationen zu den Gruppenrichtlinieneinstellungen finden Sie unter „Gruppenrichtlinie“ in Microsoft® Windows® 2000 – Die technische Referenz: Verteilte Systeme. Notieren Sie beim Lesen des restlichen Kapitels und der nachfolgenden Arbeit mit Windows 2000 die Optionen, die für Ihr Unternehmen von Nutzen sein können. Enthält die Liste sämtliche erforderlichen Optionen, können Sie mit den gewünschten Anpassungen der Gruppenrichtlinienobjekte beginnen. Ein vollständige Liste der Optionen und Gruppenrichtlinieneinstellungen sollte ebenfalls im Clientkonfigurationsplan enthalten sein.
Anpassen der Anmelde- und Abmeldeprozesse Windows 2000 bietet zahlreiche Möglichkeiten zur Anpassung der Anmelde- und Abmeldevorgänge. Sie können beispielsweise angeben, dass bei jeder Benutzeranmeldung bzw. -abmeldung ein Diagnose- oder Virenprogramm ausgeführt wird. In Tabelle 23.5 werden hilfreiche Anmelde- und Abmeldeoptionen aufgeführt. Tabelle 23.5 Beispiele von Gruppenrichtlinienoptionen für dieAnmeldung und Abmeldung Richtlinie
Beschreibung
Veraltete Anmeldeskripts im Hintergrund ausführen
Standardmäßig zeigt Windows 2000die Anweisungen in für Windows NT 4.0 und ältere Versionen geschriebenen Anmeldeskripts während der Ausführung in einem Befehlsfenster an. (Für Windows 2000 erstellte Anmeldeskripts werden nicht eingeblendet.) Durch Aktivieren dieser Richtlinie wird vermieden, dass Anmeldeskripts, die für Windows NT 4.0 und frühere Versionen geschrieben wurden, angezeigt werden. Durch diese Richtlinie wird imStartmenü der Befehl abmelden hinzugefügt. Das Entfernen des Befehls durch den Benutzer wird verhindert. Bei deaktivierter Option werden die Änderungen zurückgesetzt, die vom Benutzer während seiner letzten Sitzung am Desktop vorgenommen wurden.
Option Abmelden dem Startmenü hinzufügen
Einstellungen beim Beenden nicht speichern Dialogfeld 'Willkommen' bei der Anmeldung nicht anzeigen
Bei Auswahl dieser Option wird der Begrüßungsbildschirm Erste Schritte bei Windows 2000 nicht angezeigt, der in Windows 2000 Professional bei jeder Benutzeranmeldung eingeblendet wird.
790
Teil VI
Windows 2000 Professional/Clienteinrichtung
Einschränken der Änderungen am Desktop Mit Hilfe der Gruppenrichtlinie kann verhindert werden, dass Benutzer Änderungen an ihren Computern vornehmen, die sich unter Umständen nachteilig auswirken können. Darüber hinaus unterstützt sie Sie bei der Optimierung des Desktops für bestimmte im Unternehmen durchgeführte Aufgaben. In Tabelle 23.6 werden einige Richtlinien zur Anpassung des Desktops aufgeführt. Anmerkung In zahlreichen Unternehmen ist die Anpassung der Konfiguration der Internet- und Intranetbrowsersoftware erwünscht. Weitere Informationen zur Anpassung und Verwaltung von Internet Explorer 5 finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft® Internet ExplorerAdministration Kit (IEAK)“ klicken. Im Lieferumfang von Windows 2000 ist das Gruppenrichtlinien-Snap-In mit der Bezeichnung Internet Explorer-Wartung zum Konfigurieren und Verwalten von Internet Explorer 5 enthalten. Tabelle 23.6 Beispiele für benutzerdefinierte Desktopoptionen Richtlinie
Beschreibung
Änderungen des Pfades zum Ordner Eigene Dateien verhindern Systemsteuerung deaktivieren
Der Benutzer kann den Pfad zum Ordner Eigene Dateien nicht ändern. Sämtliche Programme der Systemsteuerung werden deaktiviert.
Option Ein Programm von CD oder Diskette hinzufügen ausblenden
Die Option Ein Programm von CD oder Diskette hinzufügen wird in der Seite Neue Programme hinzufügen nicht mehr angezeigt. Die angegebenen Komponenten und Ordner der Systemsteuerung werden ausgeblendet. Sie können ein Standarddesktop einrichten, indem Sie den Benutzer daran hindern, Active Desktop zu aktivieren bzw. zu deaktivieren oder die Konfiguration zu ändern. Mit dieser Richtlinie wird der Desktophintergrund angegeben, der auf den Desktops sämtlicher Benutzer angezeigt wird.
Programme der Systemsteuerung ausblenden Änderungen an Active Desktop verhindern
Hintergrund des Active Desktop
Jahrhundertinterpretation für das Jahr 2000(System)
Mit dieser Option wird das letzte Jahr mit zweistelliger Jahreszahlangabe festgelegt, das als zum 21. Jahrhundert gehörig angesehen wird.
Angegebene Laufwerke unter Arbeitsplatz ausblenden
Die Symbole der ausgewählten Festplatten werden im Arbeitsplatz, im Windows Explorer sowie in der Netzwerkumgebung ausgeblendet. Im Dialogfeld Öffnen werden die Laufwerksbuchstaben dieser Laufwerke nicht angezeigt. In dieser Richtlinie wird der auf demComputer verwendete Bildschirmschoner angegeben.
Programmname des Bildschirmschoners auf dem Desktop
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
791
(Fortsetzung) Richtlinie
Beschreibung
Eingabeaufforderung deaktivieren
Durch diese Richtlinie wird die Ausführung der interaktiven Eingabeaufforderung Cmd.exe durch den Benutzer verhindert. Darüber hinaus wird festgelegt, ob Batchdateien (.bat, .cmd) auf dem Computer ausgeführt werden können. Mit dieser Richtlinie werden die RegistrierungsEditoren Regedt32.exe und Regedit.exe deaktiviert.
Tools zur Registrierungsbearbeitung deaktivieren
Einschränken von Änderungen im Startmenü Unter Umständen möchten Sie im Unternehmen den Zugriff der Benutzer auf das Startmenü steuern. Die Gruppenrichtlinie ermöglicht die Deaktivierung von Optionen, die nicht verfügbar sein sollen, und die Erstellung eines optimierten Startmenüs, das den Unternehmens- und Benutzeranforderungen entspricht. In Tabelle 23.7 werden einige Beispiele aufgeführt. Tabelle 23.7 Beispieloptionen für das Startmenü Richtlinie
Beschreibung
Hyperlinks zur Windows Update-Website deaktivieren und löschen Befehl Ausführen aus dem Startmenü entfernen
Der Hyperlink zur Windows Update-Website wird gelöscht. Er wird weder im Startmenü noch im Menü Extras von Internet Explorer eingeblendet. DerBefehl Ausführenwird aus dem Startmenü entfernt; der Befehl Neuer Task (Ausführen...) im Task-Manager wird ausgeblendet. Darüber hinaus sind Benutzer, die auf ihren Tastaturen bestimmte Tastenkombinationen festgelegt haben, nicht länger in der Lage, das Dialogfeld Ausführen unter Verwendung einer Tastenkombinationen anzuzeigen. Der Befehl abmelden wirdim Startmenü hinzugefügt und kann vom Benutzer nicht gelöscht werden.
Re
Abmeldebefehlim Startmenü hinzufügen Drag & Drop-Vorgang sowie die Kontextmenüs im Startmenü deaktivieren
Benutzer können die Befehle des Startmenüs nicht mehr mit dem Drag & Drop-Verfahren löschen bzw. neu anordnen. Darüber hinaus werden im Startmenü keine Kontextmenüs mehr angezeigt.
Verwendung von Suchverfahren zum Löschen von Shell-Verknüpfungen verhindern
Mit dieser Richtlinie wird verhindert, dass das System zum Löschen einer Verknüpfung eine umfassende Suche nach dem Ziellaufwerk durchführt.
Ausführung bestimmter Windows-basierter Anwendungen verhindern
Windows führt die in dieser Richtlinie angegebenen Programme nicht aus.
Anmerkung Das für den Benutzer verfügbare angepasste Startmenü kann entweder lokal oder auf einem Netzwerkserver gespeichert werden.
792
Teil VI
Windows 2000 Professional/Clienteinrichtung
Konfigurieren von Optionen für Remotebenutzer Aufgrund der zunehmenden Anzahl von Benutzern mit tragbaren Computern in einem Großteil der Unternehmen stellt die Verwaltung dieser Remotecomputer einen wesentlichen Gesichtspunkt dar. Die Strategien in Tabelle 23.8 unterstützen Sie bei der Verwaltung der Daten von Benutzern mit Remotezugriff. Tabelle 23.8 Optionen für tragbare Computer und Remotecomputer Strategie
Beschreibung
Verwendung der Gruppenrichtlinie einschränken
Die Verwendung der Gruppenrichtlinie kann auch für langsame Verbindungen nicht deaktiviert werden. (Äußerst restriktive Gruppenrichtlinieneinstellungen oder Einstellungen, aufgrund derer große Datenmengen auf tragbare Computer oder Computer am Heimarbeitsplatz des Benutzers heruntergeladen werden, sollten vorsichtig eingesetzt werden. Berücksichtigen Sie die Anmeldeskripts sowie das Standardzeitlimit von 600 Sekunden.)
Langsame Netzwerkverbindungen automatisch ermitteln
Mit Hilfe dieser Strategie können Schwellenwerte für langsame Verbindungen festgelegt werden. Es besteht dann die Möglichkeit, bestimmte Aktivitäten zu definieren, die sehr viel Bandbreite beanspruchen und somit nicht über langsame Verbindungen durchzuführen sind.
Netzwerkdateien und -ordner angeben, die stets offline verfügbar sind. Option Offlineverfügbar machen deaktivieren
Diese Strategie ermöglicht die Angabe von Netzwerkdateien und -ordnern, die stets offline verwendet werden können. Diese Strategie verhindert die Verfügbarkeit bestimmter Dateien und Ordner für den Benutzer.
Hinzufügen mehrsprachiger Optionen Mehr Unternehmen denn je erschließen neue Märkte und zahlreiche mehrsprachige Benutzer sind im Außendienst tätig. Sie sind weltweit in nahezu allen mittleren oder großen Unternehmen zu finden. Dies stellt IT-Administratoren vor neue Herausforderungen, unter anderem die Folgenden: ? Unterstützen mehrsprachiger Benutzer, die den Computer am effizientesten in
einer Sprache bedienen, die nicht mit der allgemein im Büro verwendeten Sprache übereinstimmt. Zur Gewährleistung optimaler Produktivität müssen lokalisierte Einstellungen wie etwa Tastaturlayouts, Sortierreihenfolgen, Datums- und Währungsformate sowie Hilfedateien konfiguriert werden. ? Durch das Konfigurieren von Betriebssystemen für jede mögliche Sprachenkombination werden die Komplexität und die Kosten der Einrichtung und des Supports unnötig erhöht. Mehrsprachige Versionen des Betriebssystems erschweren die Problembehandlung für das Helpdeskpersonal. ? Sind in einem Unternehmen mehrere lokalisierte Versionen des Betriebssystems vorhanden, müssen die entsprechenden Service Packs getestet und eingerichtet werden.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
793
Windows 2000 bietet die erweiterte Unterstützung internationaler und mehrsprachiger Computerumgebungen durch die Verwendung von Unicode-Zeichen, APIs zur Unterstützung der Landessprache (National Language Support, NLS) sowie mehrerer Sprachen und Windows-Ressourcedateien. Diese Technologie ermöglicht Windows 2000 die Unterstützung der Eingabe und Anzeige von in über 100 internationalen Gebietsschemas verwendeten Sprachen, unabhängig davon, welche der 24 lokalisierten Windows 2000-Versionen verwendet wird. Darüber hinaus bietet Microsoft eine separate Windows 2000 MultiLanguageVersion, die in Windows 2000 eine erweiterte Unterstützung der Muttersprache bereitstellt. Die Sprache der Benutzeroberfläche kann je nach Benutzer eingestellt werden. Anmerkung Die Windows 2000 MultiLanguage Version steht lediglich Microsoft Open-Lizenzvertragskunden sowie Select- und Enterprisevertragskunden zur Verfügung. Weitere Informationen zu diesen Programmen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Licensing Programs for Enterprises“ klicken. DieMultiLanguage-Version ermöglicht Administratoren folgende Vorgehensweisen: ? Minimieren der Anzahl im Netzwerk eingesetzter Installationspakete für
Windows 2000 Server und Windows 2000 Professional. ? Unterstützen von Benutzern im Außendienst, deren Sprachen nicht mit denen übereinstimmen, die an dem aufgesuchten Remotestandorten gesprochen werden. ? Durchführen von Verwaltungsaufgaben in einer Sprache und Einsetzen desselben Computers, Monitors sowie derselben Tastatur zur Durchführung weiterer Aufgaben in einer anderen Sprache, ohne dass ein Neustart des Computers erforderlich ist. ? Hinzufügen oder Löschen mehrerer Sprachen der Benutzeroberfläche von Computern unter Windows 2000 Server und Windows 2000 Professional. DieMultiLanguage-Version wirkt sich nicht auf die in den Anwendungen verwendete Sprache aus. Lediglich die Sprache in den Menüs, Dialogfeldern und Hilfedateien von Windows 2000 wird geändert. Auf ähnliche Weise stellt Microsoft ® Office® 2000 MultiLanguage für Unternehmen eine Möglichkeit zur Vereinfachung der Einrichtungsoptionen von Office 2000 dar.
Überlegungen zur Auswahl der MultiLanguage-Version Die Windows 2000 MultiLanguage-Version bietet zahlreiche Optionen für internationale und mehrsprachige Benutzer. Tabelle 23.9 unterstützt Sie bei der Auswahl der für Ihr Unternehmen geeigneten Sprachoptionen.
794
Teil VI
Windows 2000 Professional/Clienteinrichtung Tabelle 23.9 Mehrsprachige Funktionen und Vorteile von MultiLanguage-Version Funktion
Einsprachige Version
MVersion
Mehrsprachige Funktionen für Benutzer
Die vollständig lokalisierte Benutzeroberfläche umfasst Menüs, Hilfedateien, Dialogfelder und Ordnernamen. Eingaben, die Anzeige sowie die Druckvorgänge können in über 60 Sprachen erfolgen. Bestens geeignet, wenn in der Umgebung lediglich eine einsprachige Version unterstützt werden muss. Benutzer können Dokumente auch in weiteren Sprachen anzeigen und bearbeiten.
Benutzer können der Benutzeroberfläche die bevorzugte Sprache zuweisen. Eingaben, die Anzeige sowie die Druckvorgänge können ebenfalls in über 60 Sprachen erfolgen. Optimal für die Verwendung und Unterstützung mehrerer Sprachen in der Umgebung. Bei Einsatz eines Service Packs z. B. ist nur eine Version erforderlich. Ebenfalls bestens für die Unterstützung von Benutzern mit verschiedenen Sprachen an einem einzelnen Computer geeignet.
Mehrsprachige Funktionen für ITExperten
Aktualisieren auf Windows 2000 MultiLanguage-Version Lediglich internationale englische Windows-Versionen können auf die MultiLanguage-Version aktualisiert werden. Falls Sie eine anderssprachige Windows-Version durch Windows 2000 MultiLanguage Version ersetzen möchten, ist eine Neuinstallation der MultiLanguage-Version erforderlich. Es existieren weitere Versionseinschränkungen, die Ihnen bei der Planung einer Aktualisierung auf die MultiLanguage-Version bekannt sein müssen. Tabelle 23.10 enthält Richtlinien zur Versionskompatibilität. Tabelle 23.10 Aktualisierungsoptionen der Multilanguage-Version Windows 2000 Professional MultiLanguageVersion
Windows 2000 Server MultiLanguageVersion
Windows 2000 AdvancedServer MultiLanguageVersion
Windows 3.x
–
–
–
Windows für Workgroups
–
–
–
Windows NT 3.51 Workstation Windows NT 4.0 Workstation Windows 95
X
–
–
X
–
–
X
–
–
Windows 98 Windows 2000 Professional Windows NT 3.51 Server
X X
– –
– –
–
X
X
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients Windows NT 4.0 Server
–
X
795
X
(Fortsetzung) Windows 2000 Professional MultiLanguageVersion
Windows 2000 Server MultiLanguageVersion
Windows 2000 AdvancedServer MultiLanguageVersion
Windows 2000 Server Windows NT 4.0 TerminalServer
–
X
–
–
X
X
Windows NT 4.0 Enterprise Edition
–
–
X
Windows 2000 Advanced Server
–
–
X
Planen der Installation von Windows 2000 MultiLanguageVersion Folgende Aspekte sollten für eine erfolgreiche Installation der Windows 2000 MultiLanguage-Version berücksichtigt werden: ? Welche Datei- und Sprachgruppen der MultiLanguage-Version benötigen Sie? ? Wie viel Speicherplatz benötigen diese Sprachdateien? ? Welcher Installationsprozess eignet sich am besten? ? Wie richten Sie diese Dateien ein? ? Führen Sie die Installation über eine CD-ROM oder eine Netzwerkfreigabe aus?
Datei- und Sprachgruppen der MultiLanguage-Version Für die Sprachunterstützung der Benutzeroberfläche der Windows 2000 MultiLanguage-Version sind zwei verschiedene Kategorien von Dateien erforderlich: ? Sprachgruppen, die sämtliche benötigten Schriftarten sowie weitere zur
Verarbeitung und Anzeige bestimmter Sprachen benötigten Dateien umfassen. ? Die Dateien der MultiLanuage-Version mit der Benutzeroberfläche und dem Hilfesystem in der jeweiligen Sprache. In Windows 2000 MultiLanguage-Version erfordert jede installierte Oberflächensprache die Einrichtung der entsprechenden Sprachgruppe. Zur Verwendung der deutschen Benutzeroberfläche müssen beispielsweise zunächst die Sprachgruppen Westeuropa und USA eingerichtet werden. Die Sprachgruppen können während der Ausführung des Windows 2000-Setup und anschließend über die Option Ländereinstellungen der Systemsteuerung installiert und deinstalliert werden. Das Installieren und Löschen der MultiLanguage-Version-Dateien stellt einen von der Installation der Sprachgruppen getrennten Vorgang dar.
796
Teil VI
Windows 2000 Professional/Clienteinrichtung
Festplattenspeicher Jede auf einem einzelnen Computer unterstützte Sprachgruppe erfordert zusätzlichen Festplattenspeicher. In Tabelle 23.11 wird der ungefähre Speicherplatz angegeben, der von den einzelnen Sprachgruppen benötigt wird. Tabelle 23.11 Für Sprachgruppen benötigter Festplattenspeicher(Ungefähre Angabe) Sprachgruppe
Erforderlicher Speicherplatz in MB (Ungefähre Angabe)
Arabisch Armenisch
1,6 11,5
Baltisch Mitteleuropäisch
1 1,2
Kyrillisch Georgisch Griechisch
1,2 5,8 1
Hebräisch Indisch Japanisch
1,4 0,25 58
Koreanisch Chinesisch (vereinfacht)
29,4 32,5
Thai Chinesisch(traditionell) Türkisch
3,9 13,5 0,9
Vietnamesisch Westeuropa und USA
0,5 10,1
Anmerkung Zahlreiche Dateien, überwiegend Schriftarten und Tastaturbelegungen, werden von mehreren Sprachgruppen gemeinsam verwendet. Bei der Installation mehrerer Sprachgruppen ist daher unter Umständen weniger Speicherplatz erforderlich als in der Tabelle angegeben ist. Zusätzlich müssen Sie bis zu 45 MB Festplattenspeicher für die Dateien der MultiLanguage-Version in jeder installierten Benutzeroberflächensprache einrechnen.
Setup Die Installation von Windows 2000 MultiLanguage-Version wird in zwei Schritten durchgeführt: 1. Installation von Windows 2000 2. Installation der Datein der MultiLanguage-Version Wenn Sie beim Setup von Windows 2000 die erforderlichen Sprachgruppen vor der Installation der entsprechenden Dateien der MultiLanguage-Version einrichten, müssen die CD-ROMs während der Installation der MultiLanguage-Version nicht ausgetauscht werden.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
797
Die Standardsprache der Benutzeroberfläche, d. h. die standardmäßig auf sämtliche neuen Benutzerkonten des Computers angewendete Sprache, wird während der Installation der MultiLanguage-Version festgelegt. Unter Verwendung des Programms Muisetup.exe kann eine andere Sprache bestimmt werden. Außerdem können damit Sprachen hinzugefügt oder gelöscht werden. Anmerkung Die Verwendung der Datei Muisetup.exe betrifft nur die Dateien der MultiLanguage Version. Die Dateien der Sprachgruppen werden mit Hilfe der Option Ländereinstellungen in der Systemsteuerung hinzugefügt oder gelöscht. Weitere Informationen zur Automatisierung des Windows 2000-Setups finden Sie in den Kapiteln „Automatisieren der Serverinstallation und der Aktualisierung“ und „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch.
Verwalten von Benutzeroberflächensprachen mit Hilfe der Gruppenrichtlinie Das Reduzieren der Clientkonfigurationen in einem Unternehmen mit Hilfe der MultiLanguage-Version kann die Clientverwaltung erheblich vereinfachen. Wenn jedoch sämtliche Benutzer die Oberflächensprache ihres Computers ändern können, erhöht dies die Komplexität der Umgebung unnötig. Aus diesem Grund werden die Möglichkeiten des Benutzers in dieser Hinsicht eingeschränkt. Dazu verwenden Sie die Gruppenrichtlinie aus dem Knoten Benutzerkonfiguration des Gruppenrichtlinien-Snap-Ins. Beachten Sie ebenfalls, dass sich das Richtlinienobjekt der lokalen Gruppe bei Anwendung der MultiLanguage-Richtlinie auf einen lokalen Computer, der die Richtlinie der lokalen Gruppen verwendet, auf sämtliche Benutzer dieses Computers auswirkt, da eine Filterung dieser Objekte für einzelne Benutzer nicht möglich ist. Weitere Informationen zur Windows 2000 MultiLanguage-Version finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Windows 2000 Professional Multilanguage Support“ klicken.
Verbessern der Eingabehilfen Besondere Auswirkungen hat die Benutzeroberfläche des Computers auf Menschen mit speziellen Bedürfnissen. Eines der Planungsziele besteht darin, jedem Benutzer, insbesondere Personen mit Behinderungen, dieselben Zugriffsmöglichkeiten auf Computersoftware zu bieten. Benutzer mit kognitiven Behinderungen haben je nach Art der Behinderung unterschiedliche Bedürfnisse und können deshalb nicht in einer Gruppe zusammengefasst werden. Berücksichtigen Sie die unterschiedlichen Erschwernisse, mit denen Benutzer mit folgenden Behinderungen konfrontiert werden: ? Beeinträchtigung der Sehkraft. Dazu zählen Blindheit, eingeschränkte Sehkraft
sowie Farbenblindheit. ? Beeinträchtigung des Gehörs. In diese Kateogrie fallen Gehörlosigkeit und Hörstörungen. ? Bewegungseinschränkungen. Darunter fallen Zerebralparese, Tremor, epilep-
tische Anfälle, Verlust von Gliedmaßen bzw. Fingern sowie Lähmungs-
798
Teil VI
Windows 2000 Professional/Clienteinrichtung
erscheinungen. Auch Benutzer mit Karpaltunnelsyndrom oder stressbedingten Überbeanspruchungen gehören dieser Kategorie an. Kognitive Behinderungen. Zu dieser Gruppe zählen Benutzer mit Lernschwächen, wie etwa Dyslexie und Gedächtnisschwäche, Down-Syndrom und Sprachstörungen, wie z. B. Analphabetismus und Spracherkennungsstörungen.
Konfigurieren von Windows 2000-Funktionen für Eingabehilfen In Abhängigkeit von den unterschiedlichen Bedürfnissen stehen den Benutzern in Windows 2000 verschiedene Möglichkeiten zur Verfügung. In Tabelle 23.12 werden einige allgemeine Überlegungen hinsichtlich der Konfiguration von Windows 2000 sowie neue und aktualisierte Eingabehilfen von Windows 2000 beschrieben. Tabelle 23.12 Eingabehilfen in Windows 2000 Funktion
Beschreibung
MicrosoftHilfsprogrammManager
DerHilfsprogramm-Manager verbessert den Zugriff auf die Eingabehilfen auf dem Computer und vereinfacht die Konfiguration dieser Optionen. Der Eingabehilfen-Assistent erleichtert die Installation allgemein verwendeter Eingabehilfenfunktionen, da Optionen nach Art der Beeinträchtigung und nicht nach numerischen Werten angegeben werden. Die Bildschirmtastatur ermöglicht beschränkten Zugriff für Benutzer mit Bewegungseinschränkungen. Bei dem Sprecher handelt es sich um ein TextSprach-Modul mit eingeschränktem Funktionsumfang für Benutzer mit Beeinträchtigungen der Sehkraft. Es erfolgt eine Sprachausgabe der Bildschirmanzeige. Bei der Bildschirmlupe handelt es sich um eine Vergrößerungsfunktion, die einen Teil des Bildschirms in einem gesonderten Fenster anzeigt.
Microsoft EingabehilfenAssistent
Microsoft Bildschirmtastatur Microsoft Sprecher (integrierte Text-Sprach-Funktion)
Microsoft Bildschirmlupe
Gut sichtbare Mauszeiger
Neue, besonders große, weiße oder schwarze Mauszeiger. Darüber hinaus ändern invertierte Zeiger die Farbe zur Darstellung eines Kontrasts zumHintergrund.
Kontrastreiche Farbschemas
Die erweiterte Palette an Farbschemas unterstützt Benutzer mit geringemSehvermögen, die einen starken Kontrast zwischen Vorder- und Hintergrund benötigen.
Schnellstartleiste
Die Statussymbole der Eingabehilfenfunktionen in der Schnellstartleiste der Taskleiste zeigen dem Benutzer an, ob bestimmte allgemeine Tastaturfilter aktiviert sind.
SAMI (Synchronized Accessible Media Interchange)
Diese Funktion ermöglicht die Untertitelung von Multimediaprodukten.
Kapitel 23 Definieren von Standards für die Verwaltung und Konfiguration von Clients
799
Aktivieren von Fremdanbietergeräten Obwohl die mit Windows 2000 veröffentlichten Eingabehilfentools auf Benutzer mit speziellen Bedürfnissen zugeschnitten sind, benötigt ein Großteil der Benutzer mit Behinderungen zusätzliche Tools zur täglichen Verwendung. Microsoft Active Accessibility (MSAA) stellt eine weitere neue Funktion von Windows 2000 dar. Es handelt sich um eine API, die die Zusammenarbeit von Eingabehilfentools mit den Elementen der Benutzeroberfläche, wie etwa Symbolleisten, Menüs, Text und Grafiken, ermöglicht. Beispielsweise gibt es größere oder kleinere Tastaturen, über die Blickrichtung gesteuerte Zeigegeräte sowie mundgesteuerte Eingabehilfen, die mit Hilfe der Atmung gesteuert werden. Auch alternative Spracherkennungsgeräte werden eingesetzt, die ursprünglich zur Steuerung eines Sprachsynthesizers für Benutzer mit Sprachbehinderungen entwickelt wurden. Den Benutzern sind diese Produkte möglicherweise bekannt. Sie können Sie darüber informieren, welche Produkte auf dem Computer aktiviert werden sollen. Weitere Informationen zur Hardware und Software für Benutzer mit besonderen Bedürfnissen hinsichtlich der Eingabehilfen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken.
Verwenden der Gruppenrichtlinie zum Optimieren von Eingabehilfenkonfigurationen Zahlreiche über die Gruppenrichtlinie verfügbare Konfigurationsoptionen können Benutzern mit speziellen Bedürfnissen bezüglich der Eingabehilfen nützlich sein. Überprüfen Sie die Konfigurationsoptionen der Benutzeroberfläche in Zusammenarbeit mit einer sachkundigen Person – in den Personalabteilungen findet sich im Allgemeinen eine Fachkraft für diese Fragen –, um Computer für Benutzer mit speziellen Bedürfnissen zu konfigurieren. Berücksichtigen Sie bei der Planung der erweiterten Änderungs- und Konfigurationsverwaltung (siehe Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ in dieser Dokumentation) die Bedeutung dieser Funktionen für Benutzer mit speziellen Bedürfnissen hinsichtlich der Eingabe, deren Tätigkeitsbereich das Arbeiten mit mehreren Computern umfasst, die eine entsprechende Konfiguration aufweisen müssen.
800
Teil VI
Windows 2000 Professional/Clienteinrichtung
Planungstaskliste für Clientstandards In Tabelle 23.13 werden die Aufgaben zusammengefasst, die bei der Vorbereitung der Standards für die Clientverwaltung und -konfiguration für Windows 2000 durchzuführen sind. Tabelle 23.13 Planungstaskliste für die Clientkonfiguration Aufgabe
Entsprechender Abschnitt in diesemKapitel
Festlegen der Strategie zur Clientverwaltung.
Festlegen des Verwaltungsmodells sowie der entsprechenden Standards
Definieren der Anforderungen an die Clientanwendungen basierend auf der Funktion des Benutzers. Definieren von Einschränkungen der Clientanwendungen basierend auf der Funktion des Benutzers. Konfigurieren genehmigter Clienthardware (tragbarer Computer und Desktopcomputer) zur Ausführung von Windows 2000. Konfigurieren grundlegender Optionen der Windows 2000-Benutzeroberfläche.
Definieren von Softwarestandards
An- und Abmeldeoptionen
Verwenden der Gruppenrichtlinie zur Konfigurationssteuerung
Startmenüoptionen
Verwenden der Gruppenrichtlinie zur Konfigurationssteuerung
Desktopoptionen
Verwenden der Gruppenrichtliniezur Konfigurationssteuerung
Mehrsprachige Optionen
Hinzufügen mehrsprachiger Optionen Verbessern der Eingabehilfen
Eingabehilfenoptionen
Konfigurieren der Hardware
Konfigurieren der Hardware
Verbessern der Verwaltung von Clientsystemen
Konfigurieren von Anwendungen basierend auf den Clientanforderungen und Verwaltungsrichtlinien. Obligatorische Anwendungen
Definieren von Softwarestandards
Optionale Anwendungen
Definieren von Softwarestandards
Definieren von Softwarestandards
801
K A P I T E L
2 4
Anwenden der Änderungs- und Konfigurationsverwaltung
Clientcomputerkonfigurationen sowie der Einsatz von Desktops und Laptops werden zunehmend komplizierter. Ebenso verhält es sich bei den Lösungen und Diensten, die Benutzern über die Informationstechnologie (IT) bereitgestellt werden müssen. Microsoft® Windows® 2000 bietet erweiterte Funktionen für die Änderungs- und Konfigurationsverwaltung, um mobilen Benutzern Einstellungen, Dokumente und Anwendungen auf sämtlichen verwendeten Computern zur Verfügung zu stellen. Darüber hinaus ermöglichen diese Active Directory™ fähigen Funktionen bei einem Ausfall der Festplatte oder einer anderen Komponente die Bereitstellung eines nahezu identischen Benutzercomputers. Die Planungsschritte, die zum Implementieren der auch als IntelliMirror™ bezeichneten erweiterten Clientverwaltungsfunktionen in Windows 2000 erforderlich sind, werden in diesem Kapitel erläutert. Zusätzlich erhalten Sie Informationen zur Einbeziehung der Remoteinstallation des Betriebssystems in den Clientsupportplan. Beschäftigen Sie sich vor dem Lesen dieses Kapitels mit den Planungsschritten, die in den Kapiteln „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Entwerfen der Active DirectoryStruktur“ dargestellt werden. Inhalt dieses Kapitels Bewerten der Änderungs- und Konfigurationsverwaltung 802 Aktivieren der Remoteinstallation des Betriebssystems 810 Verwenden einer Gruppenrichtlinie zum Verbessern der Softwareverwaltung 817 Verwalten von Benutzerdaten und -einstellungen in einem Netzwerk 829 Auswählen von Änderungs- und Konfigurationsverwaltungsoptionen für die Organisation 836 Planungstaskliste für die Änderungs- und Konfigurationsverwaltung 844 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Implementierungsplan für IntelliMirror ? Implementierungsplan für die Remoteinstallation des Betriebssystems
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu den grundlegenden Clientkonfigurationsoptionen sowie zum Verwenden von Gruppenrichtlinien für die Windows 2000Clientverwaltung finden Sie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
802
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Weitere Informationen zur Verwendung von Microsoft Systems Management
Server (SMS) finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. ? Weitere Informationen zum Erstellen eines Testlabors sowie zum Ausführen eines Pilotprojekts für die Windows 2000-Technologien finden Sie in den Kapiteln „Erstellen eines Testlabors für Windows 2000“ und „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
Bewerten der Änderungs- und Konfigurationsverwaltung Beim Auftreten von Computerproblemen, wie z. B. Softwarefehlfunktionen, fehlenden Dateien oder Hardwareausfällen, ist häufig die Anwesenheit eines ITSupportmitarbeiters vor Ort erforderlich, um das Problem zu diagnostizieren und zu beheben. Multipliziert mit Hunderten oder Tausenden von Clientcomputern einschließlich einer zunehmenden Zahl von Computern, die häufig vom Netzwerk getrennt werden, sowie Computern, die von verschiedenen Benutzern verwendet werden, stellt dies eine der kostenintensivsten Supportaufgaben für Netzwerkadministratoren dar. Windows 2000 bietet IT-Abteilungen zahlreiche Änderungs- und Konfigurationsverwaltungstechnologien zur Reduzierung des Arbeitsaufwands sowie der Kosten, die mit der Verwaltung und Wartung von Clientcomputern verbunden sind. Bei Verwendung der im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ festgelegten Verwaltungs- und Konfigurationsstandards können Sie neben dem Arbeitsaufwand auch die für das Austauschen von Computern benötigte Zeit verringern, indem Sie folgende Active Directory-fähigen Benutzerdienste aktivieren: RemoteinstallationdesBetriebssystems Die Remoteinstallation des Betriebssystems bietet Administratoren eine vereinfachte Einrichtung und Konfiguration von neuen oder Ersatzclientcomputern sowie die Möglichkeit zur Reduzierung der damit verbundenen Kosten. Darüber hinaus ermöglicht die Remoteinstallation des Betriebssystems IT-Mitarbeitern die schnelle Wiederherstellung eines ausgefallenen Systems mit Hilfe eines vorkonfigurierten Betriebssystems sowie der Basisanwendungen. Softwareinstallation und -wartung Hiermit erhalten Administratoren die Möglichkeit zum Festlegen bestimmter Anwendungen, die einem Benutzer oder einer Benutzergruppe jederzeit zur Verfügung stehen. Wird eine bestimmte Anwendung auf einem Computer nicht ausgeführt, erfolgt im Bedarfsfall eine automatische Installation dieser Anwendung. Das Aktualisieren, Entfernen oder Reparieren einer Anwendung (beispielsweise aufgrund einer beschädigten oder versehentlich gelöschten Datei) kann ebenfalls automatisch durchgeführt werden. Verwaltung der Benutzereinstellungen Während im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ die Anpassung und Steuerung der Benutzeroberfläche dargestellt wird, befasst sich dieses Kapitel mit der Implementierung von servergespeicherten Benutzerprofilen. Mit servergespeicherten Benutzerprofilen werden Profileinstellungen sowie für den Benutzer geltende Gruppenrichtlinieneinstellungen auf sämtliche Netzwerkcomputer kopiert, an denen sich der Benutzer anmeldet.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
803
Verwaltung der Benutzerdaten Dies ermöglicht Benutzern eine Anmeldung an allen Windows 2000 Professional-basierten Computern im Unternehmensnetzwerk und somit Zugriff auf die entsprechenden Daten. Darüber hinaus werden offline bearbeitete Netzwerkressourcen neu synchronisiert, wenn sich der Benutzer erneut am Netzwerk anmeldet. Die drei zuletzt genannten Leistungsmerkmale sind unter dem Begriff IntelliMirror zusammengefasst. Die Windows 2000-Änderungs- und Konfigurationsverwaltung setzt sich aus IntelliMirror und der Remoteinstallation des Betriebssystems zusammen. Bei Verwendung beider Funktionen können der zum Austauschen von Computern erforderliche Arbeitsaufwand sowie die hierzu benötigte Zeit drastisch reduziert werden. In Abbildung 24.1 wird der Planungsvorgang für diese Funktionen dargestellt.
Abbildung 24.1 Planungsschritte für IntelliMirror und die Remoteinstallation des Betriebssystems
Technologien zum Aktivieren der Änderungs- und Konfigurationsverwaltung In Windows 2000 ist der problemlose Zugriff auf IntelliMirror- und Remoteinstallationstechnologien gewährleistet. Diese Programme nutzen zahlreiche Windows 2000-Technologien, die wahrscheinlich bereits eingesetzt werden. In Tabelle 24.1 werden die zum Implementieren von IntelliMirror und der Remoteinstallation des Betriebssystems erforderlichen Technologien erläutert.
804
Teil VI
Windows 2000 Professional/Clienteinrichtung Tabelle 24.1 Technologien zum Aktivieren von IntelliMirror und der Remoteinstallation des Betriebssystems Funktionen
Eingesetzte Technologie
Verwaltung der Benutzereinstellungen
Active Directory Gruppenrichtlinie Offlineordner Servergespeicherte Benutzerprofile Active Directory Gruppenrichtlinie Offlineordner Synchronisationsverwaltung Datenträgerkontingente Servergespeicherte Benutzerprofile Active Directory Gruppenrichtlinie Windows-Installationsdienst Software (Systemsteuerung) Verteiltes Dateisystem (DFS, Distributed File System) Active Directory Gruppenrichtlinie Remoteinstallationsdienste (RIS) Remoteinstallationsfähige Arbeitsstation
Verwaltung der Benutzerdaten
Softwareinstallation und -wartung
Remoteinstallation des Betriebssystems
Sie können die Remoteinstallation des Betriebssystems und die IntelliMirror-Funktionen (Verwaltung der Benutzerdaten und -einstellungen sowie Softwareinstallation und -wartung) einzeln oder als Zweier- oder Dreierkombination implementieren. Eine weitere Möglichkeit besteht in der Implementierung aller vier Funktionen als integrierte Änderungs- und Konfigurationsverwaltungslösung, die im Falle eines Hardwareausfalls auf einen schnellen, automatisierten Austausch der Computer unter Beibehaltung nahezu identischer Daten ausgerichtet ist. Anmerkung Die Daten auf dem Ersatzcomputer sind unter Umständen nicht absolut identisch, da Benutzer Dateien an ungeeigneten Speicherorten ablegen und somit die Replikation dieser Dateien auf einem Server verhindern. Weiterhin erweist sich die Verwaltung umfangreicher Dokumente, wie z. B. bestimmter Postfächer oder Datenbankdateien, aufgrund der Netzwerkbandbreite, des Serverspeicherplatzes und der Synchronisationszeit, die zum Speichern aktueller Kopien auf dem Server und dem Clientcomputer erforderlich sind, als schwierig.
Festlegen der Anforderungen und Möglichkeiten der Änderungs- und Konfigurationsverwaltung Die Windows 2000-Funktionen der Änderungs- und Konfigurationsverwaltung unterstützen Sie bei der Bewältigung zahlreicher Verwaltungsanforderungen. IntelliMirror und die Remoteinstallation des Betriebssystems werden von Organisationen für folgende Aufgaben eingesetzt: ? Konfigurieren eines Computers für einen neuen Benutzer ? Installieren und Verwalten der Software ? Sichern der Unternehmensdaten
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
805
? Wiederherstellen eines Computers nach einem Systemausfall
Diese Aufgaben können auf alle standardmäßigen und erweiterten Benutzergruppentypen angewendet werden, wie z. B. mobile, reisende, Remote- sowie aufgaben- und wissensbasierte Benutzergruppen, die im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ besprochen wurden. Verwenden Sie die bevorzugten Clientkonfigurations- und Clientverwaltungspläne als Grundlage für die Implementierungspläne der IntelliMirror-Funktionen und der Remoteinstallation des Betriebssystems. Die Implementierungspläne für IntelliMirror und die Remoteinstallation des Betriebssystems erweitern die Clientkonfigurations- und Clientverwaltungspläne und unterstützen Sie bei der Erfüllung der Verwaltungs- und Clientanforderungen, die bei der Windows 2000-Einsatzplanung festgelegt wurden.
Wichtige Hintergrundinformationen Die folgenden Hintergrundinformationen erweisen sich bei der Planung von IntelliMirror sowie der Remoteinstallation des Betriebssystems als besonders wichtig: ? Welcher Zeitraum ist für die Migration der Organisation auf Windows 2000
Professional und Windows 2000 Server vorgesehen? IntelliMirror und die Remoteinstallation des Betriebssystems stehen nur auf Windows 2000 Professional-Clients zur Verfügung, auf denen eine Windows 2000 Server Active Directory-fähige Infrastruktur ausgeführt wird. Anmerkung Windows 2000-Terminaldienstclients können die Funktionen von IntelliMirror und der Remoteinstallation des Betriebssystems ebenfalls nutzen. Reine Terminaldienstclients können die Softwareinstallation und -wartung nicht verwenden, da die zugehörigen Anwendungen auf dem Terminaldienstclient installiert sein müssen. Im Administratormodus ausgeführte Terminaldienstclients können die Softwareinstallation und -wartung verwenden. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in dieser Dokumentation. ? Erfüllen die vorhandenen Clientcomputer die Remoteboot-ROM- (Read-Only
Memory) und PXE-Voraussetzungen (Preboot Execution Environment) für die Remoteinstallation des Betriebssystems? Die IntelliMirror-Funktionen stellen die gleichen Anforderungen an die Prozessorgeschwindigkeit bzw. Speichergröße wie Windows 2000 Server und Windows 2000 Professional. Um jedoch die Remoteinstallation des Betriebssystems nutzen zu können, muss auf den Clients eine unterstützte Netzwerkkarte oder Remoteboot-ROM, Version .99b oder höher installiert sein. ? Worin bestehen die Anforderungen der Benutzer? Wechseln diese häufig den Standort? Verwenden sie mehrere Computer? Besteht häufig keine Verbindung zum Netzwerk? Haben die Benutzer stabile oder ständig wechselnde Anwendungsanforderungen? Das Ziel besteht darin, den Benutzern die benötigten Verwaltungsfunktionen zur Verfügung zu stellen. Weitere Informationen zum Anpassen von IntelliMirror sowie der Remoteinstallation des Betriebssystems an die Anforderungen der Benutzer finden Sie im Abschnitt „Auswählen von Änderungs- und Konfigurationsverwaltungsoptionen für die Organisation“ in diesem Kapitel.
806
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Wie schnell sind die Netzwerkverbindungen der Organisation? Verwenden
Benutzer häufig langsame Verbindungen? Verfügt das Netzwerk über die Bandbreitenkapazität, die zum Unterstützen von Funktionen, wie z. B. automatisierten Softwareinstallationen und -aktualisierungen, benötigt wird? Für die IntelliMirror-Funktionen und die Remoteinstallation des Betriebssystems müssen unter Berücksichtigung aller möglichen Verwendungsmuster Testpläne und Pilotprojekte erstellt werden, um die Anzahl der Server sowie die zum Implementieren der Änderungs- und Konfigurationspläne benötigte Netzwerkkapazität festzulegen. ? Wie sollen die Computerkonten verwaltet werden? Richten Windows 2000 Professional-Benutzer eigene Benutzerkonten und Betriebssystemeinstellungen ein, oder werden diese von IT-Mitarbeitern auf den Computern vorkonfiguriert? Die Remoteinstallation des Betriebssystems bietet über eine Kombination von Gruppenrichtlinien und Sicherheitseinstellungen die Möglichkeit der Benutzerund IT-Verwaltung. ? In welchem Maße ist die Verwaltung der Clientcomputer serverorientiert? Welche Clientverwaltungsprobleme verursachen die meisten Kosten? Können diese Probleme mit Hilfe der Änderungs- und Konfigurationsverwaltungstechnologien behoben oder verringert werden? In welchen Zeitabständen werden vorhandene Anwendungen aktualisiert oder neue Anwendungen verteilt? Wurden diesbezügliche Daten nicht bereits erfasst, beschäftigen Sie sich mit dem Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“. ? Wurde in der Organisation eine Active Directory- und Domänenstruktur
eingerichtet? Worin bestehen die verwaltungstechnischen und logischen Überlegungen, die die Grundlage für die Active Directory- und Domänenstruktur bilden? Wurden die DHCP- (Dynamic Host Configuration Protocol) und DNS-Dienste (Domain Name Service) aktiviert? Weitere Informationen zum Fertigstellen dieser Teile der IT-Infrastruktur finden Sie im Kapitel „Entwerfen der Active Directory-Struktur“. Dieses Kapitel enthält wichtige Planungsinformationen, die Sie beim Erstellen einer soliden Grundlage für die Änderungs- und Konfigurationsverwaltungspläne unterstützen.
Verwenden von SMS als Ergänzung zu IntelliMirror Organisationen mit komplexen Umgebungen können IntelliMirror und die Remoteinstallation des Betriebssystems mit den im Lieferumfang von Systems Management Server 2.0 enthaltenen erweiterten Tools für die Änderungs- und Konfigurationsverwaltung ergänzen. Zu diesen Tools gehören: Planungstools SMS (Systems Management Server) verwendet WMI (Windows Management Instrumentation) sowie Softwarescanner, um Hardware- und Softwareinventurdaten, wie z. B. Messungen der Anwendungsbenutzung, abzurufen und diese in ein Microsoft® SQL Server™ -basiertes Repository zu laden. Diese Tools unterstützen Sie beim Verstehen der Umgebungskonfiguration, beim Durchführen von Kompatibilitätstests, beim Überwachen und Einschränken der
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
807
Anwendungsverwendung sowie beim Planen neuer Softwareinstallationen und -aktualisierungen. Einrichtungstools MitHilfe von SMS können Sie die Installation von Software auf Windows-basierten Clients einschließlich Clients unter Windows 3.x, Windows NT® 3.51/4.0 und Windows 2000 planen und synchronisieren. Diese Verteilung ist vollständig in das Inventar integriert, um neben einer zielgerichteten Planung ausführliche Statusberichte zu Fortschritt und Erfolg aller geplanten Einrichtungen bereitzustellen. Mit SMS können Sie im Hintergrund Softwareinstallations- und -verteilungsvorgänge für eine beliebige Anzahl an Computern ausführen, ohne dass Benutzer an den Computern angemeldet sein müssen. Mit SMS kann darüber hinaus Software installiert werden, die die neue Windows Installer-Technologie sowie die zugehörigen Pakete verwendet. Diagnosetools SMS bietet eine Vielzahl an erweiterten Remotediagnosetools, die die Verwaltung von Desktops und Servern von einem Remotestandort aus ermöglichen. Hierzu gehören Dienstprogramme wie die Remotesteuerung oder der Remoteneustart, ein Netzwerkmonitor für die Analyse von Netzwerkbedingungen in Echtzeit sowie im Anschluss an die Datenerfassung und ein HealthMonServerdienstprogramm, das wichtige Leistungsdaten von Windows 2000 Server und Microsoft® BackOffice® anzeigt. Die getrennte oder gemeinsame Verwendung von IntelliMirror und SMS richtet sich nach der Komplexität der Umgebung. In Tabelle 24.2 werden die MicrosoftVerwaltungslösungen dargestellt, die sich für die unterschiedlichen Organisationstypen am kostengünstigsten erweisen.
808
Teil VI
Windows 2000 Professional/Clienteinrichtung Tabelle 24.2 Empfohlene Lösungen für die Änderungs- und Konfigurationsverwaltung Einzel-LAN/Einfaches Mehrfach-LAN mit Verbindungen bei LANGeschwindigkeiten
KomplexesMehrfachLAN/Systeme mit mehreren Standorten
Ausschließlich Windows 2000-basierte Systeme
IntelliMirror Remoteinstallation des Betriebssystems
IntelliMirror Remoteinstallation des Betriebssystems SMS
Gemischte WindowsUmgebungen einschließlich Windows 2000basierten Systemen Windows 3.x, Windows NT 3.51/4.0
IntelliMirror Remoteinstallation des Betriebssystems SMS
IntelliMirror Remoteinstallation des Betriebssystems SMS
SMS
SMS
In Tabelle 24.3 wird dargestellt, wie IntelliMirror, die Remoteinstallation des Betriebssystems und SMS zu einer effektiven Änderungs- und Konfigurationsverwaltungslösung kombiniert werden können. Tabelle 24.3 Möglichkeiten für eine effektive Änderungs- und Konfigurationsverwaltung Remoteinstallation des Betriebssystems
IntelliMirror
SMS
Installieren Windows 2000basierter Desktopabbilder.
X
–
–
Aktivieren von Daten, Software und Einstellungen für mobile Benutzer. Grundlegende Notfallwiederherstellung für Windows 2000-basierte Systeme. Verwalten von nicht Windows 2000-basierten Umgebungen. Bestands-, erweiterte Einrichtungs-, Problembehandlungs- und Diagnosetools. Umfassende Änderungs- und Konfigurationsverwaltung.
–
X
–
X
X
–
–
–
X
–
–
X
X
X
X
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
809
Verwenden Sie die Informationen in diesen Tabellen, und beachten Sie die internen Clientverwaltungsanforderungen, um geeignete Funktionen für die Organisation auszuwählen. Weitere Informationen zum Verwenden von SMS mit Windows 2000 finden Sie im Kapitel „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ und „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in dieser Dokumentation. Umfassende technische Informationen zu SMS finden Sie in Microsoft® Systems Management Server Resource Kit.
Planen des erweiterten Clientsupports mit IntelliMirror Der Rest dieses Kapitels befasst sich mit der Verbesserung des Clientsupports, indem wichtige Aspekte bei der Einrichtung von IntelliMirror und der Remoteinstallation des Betriebssystems berücksichtigt und entsprechende Konfigurationen vorgenommen werden. Wurde in den Clientverwaltungsstandards die Speicherung von Benutzerdaten oder -einstellungen auf einem Netzwerkserver festgelegt, sollten Sie vor dem Einrichten der Clients unter Umständen ein grundlegendes Clientabbild sowie die entsprechende Netzwerkinfrastruktur (d. h. Serverfreigaben und Gruppenrichtlinieneinstellungen) erstellen. Zum Einrichten der Clients müssen folgende Aufgaben durchgeführt werden: ? Einrichten des Betriebssystems ? Einrichten der Anwendungen
Wie bei alternativen Einrichtungsmethoden, z. B. Sysprep oder SMS, können Sie die Remoteinstallation des Betriebssystems zum Installieren der Basisanwendungen zusammen mit Windows 2000 Professional verwenden. Hierzu müssen Sie die Strategie für die Anwendungseinrichtung unter Berücksichtigung folgender Aspekte planen: ? Welche Anwendungen werden unter Verwendung der Remoteinstallation mit
dem Betriebssystem installiert? ? Welche Anwendungen werden nach der Installation des Betriebssystems mit Hilfe der Softwareinstallation und -wartung eingerichtet? ? Auf welche Weise erfolgt die Neuinstallation oder Fehlerbehebung bei
Anwendungen, die unter Verwendung der Remoteinstallation des Betriebssystems eingerichtet wurden? Mit der Einrichtung der wichtigsten Anwendungen während der Remoteinstallation des Betriebssystems wird die Konfiguration eines Computers gemäß den Organisationsstandards unter Umständen vereinfacht. Hiermit entfällt jedoch nicht die Notwendigkeit, die Anwendungsinstallation auf Computern zu unterstützen, auf denen Windows 2000 Professional bereits ausgeführt wird. Aus diesem Grund sollten Anwendungen, die während der Remoteinstallation des Betriebssystems eingerichtet werden, im Softwareinstallations- und -wartungsplan von IntelliMirror berücksichtigt werden.
810
Teil VI
Windows 2000 Professional/Clienteinrichtung
In den folgenden Abschnitten werden wichtige Planungsaspekte besprochen, die Sie bei der Verwendung der Remoteinstallation des Betriebssystems, der IntelliMirror-Softwareinstallation und -wartung sowie bei der IntelliMirrorVerwaltung von Benutzerdaten und -einstellungen in der Organisation unterstützen. Der letzte Abschnitt enthält Empfehlungen zur Implementierung von IntelliMirror und der Remoteinstallation des Betriebssystems in Organisationen mit unterschiedlichen Anforderungen.
Aktivieren der Remoteinstallation des Betriebssystems Die Windows 2000-Remoteinstallation des Betriebssystems ermöglicht die Verbindungsherstellung zwischen Computern und einem Windows 2000Netzwerkserver während des erstmaligen Startvorgangs. Anschließend kann Windows 2000 Professional über den Server auf dem Clientcomputer installiert werden. Die Remoteinstallation des Betriebssystems ermöglicht dem Administrator die einmalige Konfiguration von Windows 2000 sowie der mit dem Betriebssystem zu installierenden Anwendungen für eine bestimmte Benutzergruppe. Diese Konfiguration kann anschließend bei der Installation des Betriebssystems auf einzelnen Clientcomputern angewendet werden. Für die Benutzer bedeutet dies eine vereinfachte und problemlose Installation sowie Konfiguration der jeweiligen Computer und somit eine schnellere Wiederaufnahme der Arbeit im Falle eines Hardwareausfalls. In Tabelle 24.4 werden die Windows 2000-Technologien dargestellt, die für die Verwendung der Remoteinstallation des Betriebssystems benötigt werden. Tabelle 24.4 Für die Remoteinstallation des Betriebssystems erforderliche Windows 2000-Technologien Technologie
Zweck
DHCP (Dynamic Host Configuration Protocol)
Weist einemremotebootfähigen Clientcomputer vor der Verbindungsherstellung mit einem RIS-Server eine IP-Adresse zu.
DNS (Domain Name System)
Löst Computernamen anhand von TCP/IP-Adressen auf. Gibt die Benutzer und Computer an, die über die Berechtigung für eine bestimmte Desktopkonfiguration verfügen.
Gruppenrichtlinie
Active Directory-Verzeichnisdienst
Remoteinstallationsdienste (RIS, Remote Installation Services)
Ermittelt die Clientcomputer und RISServer und speichert die Gruppenrichtlinienobjekte, in denen die Ressourcen für den Benutzer- oder Computerzugriff festgelegt wurden. Verwaltet und verteilt Windows 2000 Professional-Abbilddateien an remotebootfähige Clients.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
811
Stellen Sie vor der Weiterbearbeitung dieses Kapitels sicher, dass DNS, DHCP und Active Directory bereits installiert und konfiguriert wurden. Ist dies nicht der Fall, erhalten Sie weitere Informationen zum Durchführen dieser Planungsschritte im Kapitel „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation. Weiterhin sollten Sie mit den im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ dargestellten Planungsschritten für Gruppenrichtlinien vertraut sein. Der Rest dieses Kapitels beschäftigt sich schwerpunktmäßig mit der Planung der verschiedenen RIS-Komponenten sowie mit deren Konfiguration für eine effektive Einrichtung.
Festlegen der Benutzeranforderungen Alle Benutzer unabhängig vom Kenntnisstand oder den jeweiligen Computeranforderungen benötigen im Falle eines Systemausfalls oder bei Erhalt eines neuen Computers eine effiziente und schnelle Methode zum Installieren eines neuen Betriebssystems sowie der entsprechenden Anwendungen. Um die Kosten und die zum Vorkonfigurieren eines neuen Systems benötigte Zeit zu reduzieren, müssen Sie folgende Fragen beantworten: Welche Methode zumInstallieren des Betriebssystems eignet sich für diese Benutzer? In kleinen Unternehmen, deren geringe Benutzerzahl die Einrichtung eines RISServers nicht rechtfertigt oder deren Benutzer häufig unterwegs sind und keine Verbindung mit hoher Bandbreite zu einem Netzwerkserver aufweisen, empfiehlt sich die Verwendung einer CD-ROM oder einer anderen lokalen Methode zum Installieren eines Betriebssystems. Benutzer mit Netzwerkverbindungen mit hoher Bandbreite, deren Computer jedoch weder über eine remotebootkompatible Netzwerkkarte noch ein Remoteboot-ROM verfügen, sollten eine netzwerkbasierte Abbildkopier- oder eine manuelle Installationsmethode verwenden. Weitere Informationen finden Sie im Kapitel „Automatisieren der Clientinstallation und der Aktualisierung“ in dieser Dokumentation. Verwenden Sie in allen anderen Fällen, in denen eine Standardkonfiguration von Windows 2000 Professional erwünscht ist, die Remoteinstallation des Betriebssystems. Welcher Spielraum wird Benutzern bei der Auswahl optionaler BetriebssystemkomponentenoderalternativerBetriebssystemabbildereingeräumt? In den folgenden Abschnitten werden zahlreiche optionale Einstellungen dargestellt, die zum Konfigurieren der Remoteinstallation von Betriebssystemabbildern verwendet werden können. Für unerfahrene oder aufgabenorientierte Benutzer sollten die bei der Installation des Betriebssystems zur Verfügung stehenden Konfigurationsoptionen auf ein Minimum reduziert werden. Erfahrene Benutzer benötigen hingegen unter Umständen zusätzliche Auswahlmöglichkeiten bei der Windows 2000 Professional-Installation.
Verwenden der Remoteinstallation des Betriebssystems Die Remoteinstallation des Betriebssystems gestaltet sich aus der Perspektive des Endbenutzers relativ unkompliziert, da von der IT-Abteilung folgende Konfigurationen zur Verfügung gestellt werden: ? Festlegen der Betriebssystemkonfiguration für die jeweiligen Benutzergruppen. ? Bereitstellen einer geringen Anzahl an Optionen zum Konfigurieren des
Betriebssystems.
812
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Unterstützen des Benutzers bei einer fehlerfreien Betriebssysteminstallationen
mit Hilfe von Installationsoptionen, die vom Endbenutzer gegebenenfalls geändert werden können. Fünf Hauptkomponenten der Remoteinstallationsdienste sind an der Remoteinstallation des Betriebssystems beteiligt: ? Installation der Remoteinstallationsdienste (RISetup.exe). Wird zum
Einrichten des RIS-Servers verwendet. ? Administrationsmodul für Remoteinstallationsdienste. Wird zum Konfigurieren der Gruppenrichtlinieneinstellungen für die RIS-Dienste verwendet. ? Assistent zur Vorbereitung der Remoteinstallation (RIPrep.exe). Wird
zum Erstellen von Betriebssystemabbildern sowie zu deren Installation auf dem RIS-Server verwendet. Sie können RIPrep auch zum Erstellen von Anwendungsabbildern einsetzen, wenn Sie eine Anwendung mit dem Betriebssystem installieren möchten. ? Tool zur Erstellung einer Startdiskette für Remoteinstallationsdienste (RBFG.exe). Wird zum Erstellen einer Remotebootdiskette verwendet, die zum Installieren eines RIS-basierten Betriebssystems auf bestimmten Clientcomputern benötigt wird. ? Clientinstallations-Assistent (OSChooser.exe). Wird auf dem Clientcomputer zur Auswahl des RIS-Abbilds verwendet, das vom Benutzer installiert werden muss. Alle Computer, die der Entwurfsspezifikation PC98 Version 0.6 und höher entsprechen, verfügen über einen PXE-fähigen (Pre-Boot Execution Environment) Remoteboot-ROM für die Remoteinstallation des Betriebssystems. Auf Clientcomputern ohne PXE-ROM können Sie das Tool zur Erstellung einer Startdiskette für Remoteinstallationsdienste einsetzten, um eine Diskette zum Starten des RISVorgangs zu erstellen. Die RIS-Remotebootdiskette kann mit einer Vielzahl an unterstützten PCI-basierten (Peripheral Component Interconnect) Netzwerkkarten verwendet werden. Weitere Informationen finden Sie in der Windows 2000Hardwarekompatibilitätsliste (HCL) auf der Betriebssystem-CD zu Windows 2000 und auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. In Abbildung 24.2 werden die wichtigsten Schritte zum Konfigurieren der Remoteinstallation des Betriebssystems dargestellt. Die folgenden Abschnitte befassen sich mit den wichtigsten Einsatzplanungsaspekten, die bei der Verwendung der Datei RISetup.exe, des Snap-Ins für das Administrationsmodul für Remoteinstallationsdienste und der Datei RIPrep.exe berücksichtigt werden müssen.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
813
Abbildung 24.2 Planungsschritte für RIS-Dienste
Konfigurieren des Remoteinstallationsdiensts Bei dem Remoteinstallationsdienst (RIS) handelt es sich um eine optionale Komponente, die mit Windows 2000 Server installiert werden kann. Obwohl ein Großteil des Installationsvorgangs automatisch durchgeführt wird, stehen zahlreiche standardmäßige und erweiterte Einstellungen zur Verfügung, die während der RIS-Installation konfiguriert werden können. Erst dann kann der Dienst den Benutzern bereitgestellt werden.
814
Teil VI
Windows 2000 Professional/Clienteinrichtung
Standardmäßig ist der RIS-Dienst nicht so konfiguriert, dass er Clientcomputern unmittelbar nach der Installation zur Verfügung steht. Sie können alle standardmäßigen RIS-Konfigurationseinstellungen übernehmen und Benutzern basierend auf diesen Optionen Installationsabbilder bereitstellen. In den meisten Organisationen wird die Konfiguration des RIS-Diensts jedoch auf die IT- und Geschäftsanforderungen abgestimmt. Um RIS-Einstellungen für den RIS-Server und den Clientcomputer zu konfigurieren, müssen Sie das Snap-In für Active Directory-Benutzer- und -Computer in der Microsoft Management Console (MMC) verwenden. Mit den Serverkonfigurationsoptionen wird festgelegt, wie ein bestimmter RIS-Server auf Dienstanfragen von Clientcomputern reagiert. Die Clientoptionen unterstützen Sie bei der Installation des RIS-Abbilds auf dem Clientcomputer. Zu den wichtigsten Konfigurationsoptionen, die mit Hilfe des Snap-Ins für Active Directory-Benutzer und -Computer eingerichtet werden können, gehören: Festlegendesautomatischen Namensformatsfür Clientcomputer Mit dieser Option können Sie festlegen, ob der automatisch erzeugte Computername auf dem Benutzernamen, dem Nachnamen plus Vornamen des Benutzers oder auf einem internen Namensformat basiert. Standardmäßig wird der Benutzername verwendet. Festlegen des standardmäßigenActive Directory-Speicherorts für die Erstellung von Computerkontenobjekten Sie können standardmäßige Active Directory-Container oder -Organisationseinheiten verwenden. Wahlweise besteht die Möglichkeit der Erstellung einer neuen Active Directory-Organisationseinheit für RIS-Clients. Standardmäßig wird der Container des Computers verwendet. Vorkonfigurieren von Clientcomputern mit Active Directory vorder Bereitstellung von Serverdiensten Mit dieser Option kann festgelegt werden, welche Active Directory-Clientcomputerkonten die Remoteinstallation des Betriebssystems verwenden können. Um diese Option einsetzen zu können, müssen Sie den Namen des Clientcomputers, den Active Directory-Standardspeicherort, den GUID (Globally Unique Identifier) des Clientcomputers und wahlweise zu Lastausgleichszwecken die von den jeweiligen Clients zu verwendenden RIS-Server angeben. Die Standardeinstellung lautet Keine vorkonfigurierten Clients. Bereitstellen von Wartungs- und Problembehandlungstools von Fremdanbietern Mit dieser Option können Administratoren und gegebenenfalls Endbenutzer vor der Installation auf Wartungs- und Problembehandlungstools von unabhängigen Softwareanbietern (ISV) zugreifen. Diese Tools ermöglichen vor der Installation des Betriebssystems beispielsweise die Aktualisierung des System-BIOS, die Durchführung einer Virusüberprüfung bzw. Computerdiagnose sowie eine Bestandsaufnahme des Systems. Die Standardeinstellung lautet Keine installierten Tools.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
815
Hinzufügen weiterer Betriebssystemabbilder im CD- oderRIPrep-Format Mit dieser Option können Sie vorhandenen RIS-Servern im Unternehmen neue Betriebssystemversionen oder RIPrep-Abbilder hinzufügen. Wahlweise besteht die Möglichkeit, vorhandenen Betriebssystemabbildern verschiedene Vorlagen für eine unbeaufsichtigte Installation zuzuweisen. Sie können diese Option beispielsweise zum Erstellen mehrerer RIPrep-Abbilder verwenden, die dann nur bestimmten Benutzern in der Organisation zur Verfügung gestellt werden. Die Standardeinstellung lautet CD-basiertes Windows 2000-Abbild. Remotekonfiguration von RIS-Servern über Windows 2000ProfessionalArbeitsstationen Bei Aktivierung dieser Option können zahlreiche RIS-Optionen auf beliebigen RISServern in der Domäne oder im Unternehmen remote verwaltet werden. Die Standardeinstellung lautet N/A. Dies bedeutet, dass die meisten der hier beschriebenen Konfigurationsoptionen auch über einen Computer unter Windows 2000 Professional, der für die Ausführung von Verwaltungsaufgaben aktiviert wurde, eingerichtet werden können. Unterstützen der Koexistenz vonServern, auf denen verschiedene Fremdanbietersystemeinstalliertsind Diese Option unterstützt Organisationen, die im selben physischen Netzwerk Remoteinstallations- und Bootserver verwenden, auf denen verschiedene Fremdanbietersysteme ausgeführt werden. Diese Option wird in der Regel gemeinsam mit der zuvor beschriebenen Option zum Vorkonfigurieren von Clientcomputern verwendet, so dass zwischen dem RIS-Dienst und den bereits vorhandenen Remotebootservern, auf denen dieselben Remotebootprotokolle eingesetzt werden, keine Konflikte entstehen. Die Standardeinstellung lautet Deaktiviert. Es stehen drei weitere Konfigurationsoptionen zur Verfügung, die außerhalb der Eigenschaftenseite des RIS-Servers eingerichtet werden können. Diese Optionen werden festgelegt, indem Gruppenrichtlinieneinstellungen verwendet und bestimmte Sicherheitsbeschreibungen oder Zugriffssteuerungslisten (ACLs) auf Betriebssystemabbildern eingerichtet werden, auf die kein Benutzerzugriff erfolgen soll. FestlegenverfügbarerClientinstallationsoptionen Diese Option verwendet Gruppenrichtlinien, um die Installationsoptionen auf bestimmte Benutzergruppen einzuschränken. Bestimmten Benutzern soll beispielsweise kein Zugriff auf das Menü Verwaltungs- und Problembehandlungstools oder die Einrichtungsoption Benutzerdefiniert gewährt werden. Entsprechend der Standardeinstellung wird allen Benutzern die automatische Einrichtung zur Verfügung gestellt. Weitere Installationsoptionen sind nicht verfügbar. Festlegen verfügbarer Installationsoptionen für dasBetriebssystem Diese Option verwendet Sicherheitsbeschreibungen, mit denen die Benutzer festgelegt werden, die Zugriff auf die auf dem RIS-Server verfügbaren Betriebssystemabbilder erhalten sollen. Diese Option ermöglicht Benutzern die Durchführung einer unbeaufsichtigten Betriebssysteminstallation entsprechend der jeweiligen Funktionen in der Organisation. Standardmäßig können die Benutzer auf alle Abbilder zugreifen.
816
Teil VI
Windows 2000 Professional/Clienteinrichtung
Autorisieren von RIS-Servern zumVerhindern der Ausführung von Rogue-Servern Mit dieser Option wird verhindert, dass den Netzwerkclients in der Organisation Serverdienste von nicht autorisierten RIS-Servern zur Verfügung gestellt werden. Sie müssen diejenigen RIS-Server autorisieren, die remotebootfähigen Clients Installationsoptionen bereitstellen können. Es gibt keine Möglichkeit, diese Einstellung zu ändern.
Vorbereiten von Betriebssystemabbildern für Clients RIS unterstützt zwei Typen von Betriebssystemabbildern: CD-basierte und RIPrep-Abbilder. Im einfachsten Fall können Sie Benutzern eine problemlose CDbasierte Betriebssysteminstallation anbieten, die eine unbeaufsichtigte Windows 2000 Professional-Installation ermöglicht. Verwenden Sie den RIS-Dienst zum Konfigurieren von benutzerdefinierten Windows 2000 Professional-Installationen. Bei Einsatz des RIS-Diensts entfällt die Erstellung eines eigenen Abbilds für jeden Clientcomputer sowie für jede auf dem entsprechenden Computer installierte Hardwarekomponente, da dieser Dienst die Vorteile der verbesserten Plug & Play-Unterstützung in Windows 2000 nutzt, um die Unterschiede zwischen den Quell- und Zielcomputern während der Installation zu ermitteln. Anmerkung Bei Nichtübereinstimmung der auf den Clientcomputern verwendeten HAL-Treiber (Hardware Abstraction Layer) können benutzerdefinierte Windows 2000 Professional-Installationen nur dann konfiguriert werden, wenn für jeden Clientcomputer sowie für jede auf dem entsprechenden Computer installierte Hardwarekomponente ein eigenes Abbild erstellt wird. Die meisten Arbeitsstationen und Desktopcomputer benötigen jedoch im Gegensatz zu Servercomputern keine eindeutigen HAL-Treiber. Eindeutige HAL-Treiber werden in der Regel zur Ermittlung der Clientcomputer verwendet, die APIC (Advanced Configuration Power Interface) unterstützen. RIPrep kann für die Vorbereitung eines vorhandenen Windows 2000 ProfessionalAbbilds einschließlich aller lokal installierten Anwendungen oder Konfigurationseinstellungen sowie für die anschließende Replikation dieses Abbilds auf einen RISServer im Netzwerk verwendet werden. Durch Einbeziehung der Basisanwendungen in das RIS-Abbild können Sie den mit der Einrichtung eines Clientcomputers verbundenen Arbeitsaufwand drastisch reduzieren. Weitere Informationen zum Packen von Anwendungen für den Einsatz mit RIS und IntelliMirror finden Sie unter „Verwenden einer Gruppenrichtlinie zum Verbessern der Softwareverwaltung“ in diesem Kapitel.
Clientinstallationsoptionen Zum Ausführen von RIPrep müssen Sie bestimmte Fragen beantworten, wie z. B. bezüglich des Standorts des Servers, auf dem das Abbild gespeichert werden soll. Nach der Beantwortung dieser Fragen erstellt der RIPrep-Assistent die Basiskonfiguration des Abbilds, indem sämtliche spezifischen Einstellungen, wie z. B. die eindeutige Sicherheitskennung (SID), vom Computer entfernt werden. Anschließend wird das Abbild auf den RIS-Server repliziert.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
817
Sie können Gruppenrichtlinien verwenden, um die folgenden Clientinstallationsoptionen bei der Einrichtung des RIS-Diensts zu konfigurieren: Automatische Installation Standardmäßig steht allen Benutzern die Option zur automatischen Installation zur Verfügung. Wenn darüber hinaus Zugriff auf ein Betriebssystemabbild gewährt wurde, wird die Installation des Betriebssystems bei Anmeldung des Benutzers gestartet, ohne dass der Benutzer zur Beantwortung von Fragen aufgefordert wird. Sollen den Benutzern mehrere Typen der Betriebssysteminstallation zur Verfügung gestellt werden, beschränken Sie diese aus Gründen der Übersichtlichkeit auf drei bis fünf Typen. Somit kann sichergestellt werden, dass die Benutzer das für ihre Anforderungen und ihre Funktion in der Organisation am besten geeignete Betriebssystem auswählen. BenutzerdefinierteInstallation Die Option für die benutzerdefinierte Installation ermöglicht Administratoren oder Helpdeskmitarbeitern die Einrichtung von Computern für andere Benutzer. Diese Option ermöglicht die Überschreibung der Richtlinien, mit denen die automatische Erzeugung von Computernamen sowie der Erstellungsort des Computerkontos festgelegt werden. Unter Verwendung dieser Option können die Computernamen und Speicherorte der Konten, die sich nach den für die jeweiligen Administratoren oder Helpdeskmitarbeiter geltenden Gruppenrichtlinieneinstellungen richten, geändert werden. Verwenden Sie diese Option, wenn Sie einen Clientcomputer vorinstallieren möchten, oder wenn zum Einrichten oder Neuinstallieren eines Endbenutzercomputers die Anwesenheit eines IT- oder Helpdeskmitarbeiters erforderlich ist. Neustarten einer vorherigen Installation Bei Verwendung dieser Option muss der Benutzer keine Fragen bezüglich des zu installierenden Betriebssystems beantworten. Wurde ein Benutzer beispielsweise bereits nach dem Namen der Organisation oder der Abteilung bzw. der Bildschirmauflösung gefragt, wird durch die Option Neu starten sichergestellt, dass diese Fragen bei einem Neustart nach einer fehlgeschlagenen Installation nicht erneut beantwortet werden müssen. Die Installation wird jedoch nicht an der Stelle neu gestartet, an der sie fehlgeschlagen ist. Weiterhin erfolgt keine Behebung der Fehler, die bei der vorangegangenen Installation aufgetreten sind. Wartung und Problembehandlung Diese Option ermöglicht den Zugriff auf Hardware- und Softwaretools von Fremdanbietern, wie z. B. BIOSAktualisierungen und Virenscanner. Gewähren Sie lediglich Zugriff auf Installationstools, die weder Beschädigungen des Computers noch andere Probleme verursachen können.
Verwenden einer Gruppenrichtlinie zum Verbessern der Softwareverwaltung In großen Organisationen wird in der Regel eine Vielzahl an Programmen eingesetzt. Diese Anzahl erhöht sich drastisch, wenn unterschiedliche Versionen, Patches, Problembehebungen und Vorlagen im Inventar als Programme geführt werden. Da den Organisationen häufig die entsprechenden Möglichkeiten zum Verwalten der Software fehlen, erfolgt lediglich in seltenen Fällen eine regelmäßige Aktualisierung der Anwendungsprogramme. Aus diesem Grund kann die Abschaffung veralteter Software oder die Implementierung neuer Anwendungen schwer wiegende Probleme verursachen.
818
Teil VI
Windows 2000 Professional/Clienteinrichtung
Sie können Windows 2000 zum Vereinfachen der Softwareverwaltung in den folgenden Bereichen verwenden: ? Vorbereitung, Welche Software soll verwaltet werden? Wie soll die Software
für die Verteilung und Installation formatiert werden? ? Verteilung. Welcher Standort ist für die Softwareverwaltung vorgesehen? ? Zielgruppen. Wer ist als Empfänger der Software vorgesehen? ? Installation. Wie soll die Software auf dem Computer installiert werden?
In Abbildung 24.3 werden die Hauptplanungsaspekte dargestellt, die für jeden Bereich zu berücksichtigen sind.
Abbildung 24.3 Hauptplanungsaspekte für die IntelliMirror-Softwareeinrichtung
Sie müssen diese Planungsschritte auch für Anwendungen durchführen, die mit Windows 2000 Professional installiert wurden. Weiterhin sind diese Planungsschritte zum Einrichten, Aktualisieren und Verwalten von Anwendungen auf vorhandenen Computern erforderlich.
Vorbereiten der Softwareverteilung In den Kapiteln „Testen der Anwendungskompatibilität mit Windows 2000“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ wurden Sie aufgefordert, die Kompatibilität der in der Organisation eingesetzten Anwendungen mit Windows 2000 zu überprüfen und diese für folgende Bereiche als obligatorisch oder optional zu klassifizieren: ? Für die gesamte Organisation. ? Für Benutzergruppen innerhalb des Unternehmens.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
819
Vor der Verwendung von IntelliMirror zur Verteilung der Softwareanwendungen müssen Sie sicherstellen, dass diese Anwendungen für den Einsatz mit Windows 2000 ordnungsgemäß konfiguriert wurden. Anwendungen, die Windows Installer verwenden, können die Windows 2000Supportfunktionen effizient nutzen. Bei Windows Installer handelt es sich um einen Installationsdienst, der folgende Möglichkeiten bietet: EinbetriebssystemresidenterInstallationsdienst In der Vergangenheit wurde für jede Anwendung eine eigene ausführbare Setupdatei sowie ein eigenes Skript benötigt. Aus diesem Grund musste für jede Anwendung sichergestellt werden, dass die geeigneten Installationsregeln (z. B. Dateiversionsregeln) befolgt werden. Darüber hinaus verfügten die Entwickler der Setuproutinen lediglich über eine geringe Anzahl an Empfehlungen und Richtlinien. Dies führte bei der Installation oder Deinstallation einer bestimmten Anwendung häufig zu Beschädigungen der auf dem Computer vorhandenen Anwendungen. Mit dem Windows-Installationsdienst wird gewährleistet, dass wichtige Setupregeln durch das Betriebssystem implementiert werden. Damit diese Regeln befolgt werden können, müssen Anwendungen lediglich das Windows Installer-Standardformat aufweisen. Ein Standardformat für die Komponentenverwaltung Für den Windows-Installationsdienst bestehen alle Anwendungen aus folgenden logischen Einheiten: Komponenten, Optionen und Produkten. Bei den Komponenten handelt es sich um Dateien, Registrierungsschlüssel und andere Ressourcen, die gemeinsam installiert oder deinstalliert werden. Wenn eine bestimmte Komponente hinzugefügt oder entfernt werden soll, werden alle Ressourcen dieser Komponente entweder installiert oder deinstalliert. Optionen sind die Teile einer Anwendung, deren Installation dem Benutzer optional zur Verfügung steht. In der Regel stellen diese die funktionalen Bestandteile der Anwendung dar. Wenn ein Benutzer die Option Benutzerdefiniert in einem Installationsprogramm auswählt, entsprechen die auswählbaren Bestandteile der zu installierenden Anwendung ungefähr den Optionen. Bei einem Windows Installer-Produkt handelt es sich um ein einzelnes Produkt, wie beispielsweise Microsoft ® Office. Produkte setzen sich aus einer oder mehreren Windows Installer-Funktionen zusammen. Jedes Produkt stellt sich dem Windows-Installationsdienst als einzelne Windows Installer-Paketdatei (.msi) dar.
820
Teil VI
Windows 2000 Professional/Clienteinrichtung
Eine Verwaltungs-API für Anwendungen und Tools Die Windows Installer-API (Application Programming Interface) bietet Anwendungen und Tools die Möglichkeit, die auf dem Computer installierten Produkte, Optionen und Komponenten aufzulisten, die Windows Installer-Produkte und -Leistungsmerkmale zu installieren und konfigurieren sowie die Pfade bestimmter auf dem Computer installierter Windows Installer-Komponenten anzugeben. Anwendungen, die für die Nutzung des Windows-Installationsdiensts entwickelt wurden, bieten Unterstützung für mobile Benutzer, bedarfsgesteuerte Installationen sowie eine stabile Ressourcennutzung zur Laufzeit. Anwendungen, die speziell für die Verwendung der Windows Installer-Technologie geschrieben wurden, unterstützen folgende Funktionen: ? Bedarfsgesteuerte Anwendungsinstallation. Ermöglicht die Verteilung eines
Teils der optionalen Funktionen einer Anwendung. Nicht installierte Optionen, wie z. B. die Grammatikprüfung oder die ClipArt-Bibliothek, werden erst im Bedarfsfall eingerichtet. Somit steht mehr Festplattenspeicher zur Verfügung, und diese selten verwendeten Funktionen können vom Benutzer jederzeit installiert werden. ? Funktionswiederherstellung. Wenn wichtige Anwendungsdateien beschädigt oder versehentlich gelöscht werden, sucht Windows Installer nach den benötigten Dateien und führt eine automatische Neuinstallation durch. ? Installation mit erweiterten Berechtigungen. Benutzer müssen auf dem lokalen Computer nicht über Administratorrechte verfügen, um Software unter Verwendung der IntelliMirror-Softwareinstallation und -wartung zu installieren. Benutzer- oder Hauptbenutzerberechtigungen sind hierfür ausreichend. Anmerkung Zahlreiche Softwareanbieter sowie unternehmensinterne Entwicklungsgruppen aktualisieren ihre Anwendungen, um die Windows InstallerLeistungsmerkmale zu nutzen. Weitere Informationen zur Windows 2000Anwendungsspezifikation finden Sie auf der Seite für Webressourcen, wenn Sie auf den Hyperlink „MSDN“ klicken.
Wenn das Neuschreiben nicht möglich ist Es ist nicht immer möglich, Anwendungen von Grund auf neu zu schreiben. Dies ist insbesondere dann der Fall, wenn Sie ältere Anwendungen verwenden und nicht über die Möglichkeit zum Neuschreiben von Windows Installer-Paketen verfügen. Sie können dennoch von den Windows Installer-Vorteilen profitieren, indem Sie die entsprechenden Anwendungen für die Verwendung mit Windows 2000 erneut packen. Sie können Dateien mit Hilfe von WinInstall LE, einem im Lieferumfang von Windows 2000 Server enthaltenen Tool, erneut packen. Die Änderungen zwischen der ursprünglichen Anwendung und dem angepassten Anwendungsabbild werden dann in ein Windows Installer-Paket konvertiert.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
821
Mit Hilfe erneut gepackter Dateien können Sie bestimmte Windows InstallerFunktionen nutzen, d. h., diese Dateien können angekündigt, repariert und mit erweiterten Berechtigungen installiert werden. Ankündigungs- sowie andere Verteilungsoptionen werden im Folgenden unter „Softwareverwaltungsoptionen“ behandelt. Eine erneut gepackte Anwendung kann die Vorteile der Windows Installer-Architektur nicht nutzen, d. h., die erneut gepackte Anwendung wird als Produkt mit nur einer Funktion installiert.
Verwalten älterer Anwendungen Sie können Benutzern weitere Anwendungen zur Verfügung stellen, indem Sie die auf den entsprechenden Computern vorhandenen Installationsprogramme verwenden. Hierzu benötigen Sie einen Texteditor, wie z. B. Notepad, der die Erstellung einer ZAP-Datei (.zap) ermöglicht. ZAP-Dateien, die mit INI-Dateien vergleichbar sind, werden im selben Ordner auf dem Softwareverteilungspunkt gespeichert wie das ursprüngliche Installationsprogramm, auf das verwiesen wird. Da Sie das bereits vorhandene Setup veröffentlichen, ist dieses Setup nicht verbesserungsfähig. Wird beispielsweise die vollständige Deinstallation der Software von der vorhandenen Installation nicht unterstützt, führt die Veröffentlichung der vorhandenen Installation nicht zu einer Verbesserung der Softwaredeinstallation. Beim Verwalten von Softwaredateien im ZAP-Dateiformat werden die entsprechenden Anwendungen unter Software in der Systemsteuerung angezeigt und können von dort aus installiert werden. Anmerkung Um diesen Installationstyp abzuschließen, benötigt der Benutzer dieselben Verwaltungsberechtigungen wie für die ältere Anwendung. Weitere Informationen zum Verwalten älterer Anwendungen finden Sie unter „Softwareverwaltung“ im Band Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
Verwenden von Transformationspaketen In der Vergangenheit mussten Administratoren zum Anpassen einer Installation die jeweilige Anwendung erneut packen und eine direkt Bearbeitung des Setupskripts durchführen, um die gewünschten Ergebnisse zu erzielen. Ähnliche Änderungen an mehreren Setupskripts mussten pro Skript vorgenommen werden. In Windows 2000 entfällt die Notwendigkeit, die Windows Installer-Pakete zum Anpassen der Installation zu ändern. Stattdessen können Sie ein Transformationspaket erstellen und dieses zum Ändern des Pakets verwenden. Mit dem Transformationspaket des Windows-Installationsdiensts wird die Windows Installer-Paketdatei bei der Einrichtung geändert. Dies führt wiederum zu einer dynamischen Änderung der Installation. Sie können die Windows Installer-Pakete transformieren oder anpassen, um zahlreiche Änderungen vorzunehmen. Ein Transformationspaket kann beispielsweise verwendet werden, um ausgewählte Funktionen an einem festgelegten Standort zu installieren. In diesem Fall müssen die Benutzer weder die zu installierenden Funktionen noch den Speicherort für diese Funktionen festlegen. Weiterhin besteht die Möglichkeit zum Ändern des Pfads einer bestimmten Komponente, vorausgesetzt, diese Komponente ist in dem zu bearbeitenden Paket enthalten.
822
Teil VI
Windows 2000 Professional/Clienteinrichtung
Während der Benutzer bei vorhandenen Installationsprogrammen in der Regel lediglich zwischen dem Installieren bzw. Nichtinstallieren einer bestimmten Funktion auswählen kann, stehen in Windows Installer vier Möglichkeiten zur Verfügung: ? Installiert auf der lokalen Festplatte. Die Dateien werden auf die Festplatte
des lokalen Computers kopiert. ? Installiert für Start von Quelle. Die Dateien verbleiben in der Quelle (in der Regel eine Netzwerkfreigabe oder eine CD). Die Anwendung greift auf die Dateien in der Quelle zu. ? Angekündigte Dateien. Die Dateien verbleiben in der Quelle, können jedoch
bei der erstmaligen Verwendung auf die Festplatte des lokalen Computers kopiert werden. ? Nicht installiert. Es werden keine Dateien kopiert. Transformationspakete müssen auf denselben Netzwerkfreigaben gespeichert werden wie die zu ändernden Windows Installer-Pakete. Transformationspakete werden während der Einrichtung angewendet. Auf bereits installierte Anwendungen haben Transformationspakete keinen Einfluss.
Verteilen von Software Nach dem Vorbereiten der Software (d. h., die Software weist das geeignete Paketformat auf, und alle Anpassungen bzw. Transformationspakete wurden erstellt) können Sie die entsprechenden Softwaredateien einschließlich des Pakets sowie aller Transformationspakete auf verschiedene Netzwerkfreigaben in der Organisation verschieben. In der Regel stehen in der Organisation mehrere Softwareverteilungspunkte zur Verfügung, so dass die Benutzer jederzeit über einen Verteilungspunkt, der zuverlässige und schnelle Verbindungen bietet, auf die benötigte Software zugreifen können. Die Windows 2000-Softwareinstallation und -wartung hat keine direkten Auswirkungen auf die Verteilungsphase. Es ist die Aufgabe des Einrichtungsteams, die Softwareverteilungspläne zu testen und sicherzustellen, dass die Netzwerkbandbreite sowie die Platzierung und Anzahl der Installationsserver den Anforderungen der Organisation entsprechen. Sie können jedoch auch andere Windows 2000-Dienste, wie z. B. den DFS-Dienst (Distributed File System), zum Verwalten der Verteilungsphase verwenden. Weitere Informationen zum Planen und Einrichten von DFS-Datenträgern finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
Zielgerichtete Software IT-Administratoren müssen in der Organisation Anwendungen zur Verfügung stellen, die sich nach den Anforderungen der Benutzer richten. Da die Benutzer über unterschiedliche Softwareanforderungen sowie Computerkenntnisse verfügen, müssen die IT-Mitarbeiter in der Regel folgende Anwendungen bereitstellen: ? Allgemeine Anwendungen, wie z. B. E-Mail- und Textverarbeitungspro-
gramme, die von allen Benutzern benötigt werden.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
823
? Aufgabenorientierte Anwendungen, die von Benutzern mit bestimmten
Aufgaben oder in bestimmten Abteilungen benötigt werden. ? Optionale Anwendungen, die von Benutzern im Bedarfsfall installiert werden
können. An diesem Punkt der Einsatzplanung müssen Sie folgende Angaben machen: ? Die für die jeweiligen Anwendungen vorgesehenen Benutzer. ? Die auf der Standort-, Domänen- und Organisationseinheitenebene
einzurichtenden Gruppenrichtlinieneinstellungen für die Anwendungsverwaltung. Anmerkung Vermeiden Sie die Verwaltung derselben Anwendung, wie z. B. Microsoft Word, in verschiedenen Gruppenrichtlinienobjekten, die auf eine bestimmte Person angewendet werden. Zum Festlegen der Ziele bei der Verwendung der Gruppenrichtlinie müssen Sie das Gruppenrichtlinien- sowie das Softwareinstallations-Snap-In verwenden. Das Gruppenrichtlinien-Snap-In ermöglicht die Erstellung eines neuen oder die Bearbeitung eines vorhandenen Gruppenrichtlinienobjekts sowie die Zuweisung und Veröffentlichung der Software für Benutzer oder Computer. Mit dem Softwareinstallations-Snap-In wird ein Skript für die Anwendungsankündigung erzeugt, das in Active Directory und dem Gruppenrichtlinienobjekt gespeichert wird. Weitere Informationen zum Verwenden der Gruppenrichtlinie mit Standorten und Organisationseinheiten finden Sie unter „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation. Weitere Informationen zum Verwenden der Gruppenrichtlinie für die Implementierung von standardisierten Clientkonfigurationen finden Sie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
Softwareverwaltungsoptionen Die gruppenrichtlinienbasierte Softwareeinrichtung zielt auf die Vereinfachung der Softwareverwaltung ab. Sie können die Softwareinstallation und -wartung zum Zuweisen oder Veröffentlichen von Anwendungen, zum Aktualisieren vorhandener Anwendungen, zum Installieren von Service Packs sowie zum Entfernen von veralteten Anwendungen verwenden. Alle diese Aufgaben können ohne Benutzereingriff durchgeführt werden. Die Windows 2000-Gruppenrichtlinie ermöglicht die Verteilung von Anwendungen anhand folgender Kriterien: Zuweisen von Anwendungen zu Benutzern Wenn Sie Benutzern Anwendungen zuweisen, werden diese im Startmenü jedes Computers angezeigt, an dem sich der jeweilige Benutzer anmeldet. Startet der Benutzer eine zugewiesene Anwendung, die nicht auf dem lokalen Computer installiert ist, wird diese zuerst installiert und anschließend ausgeführt. Entfernt ein Benutzer eine zugewiesene Anwendung, wird deren Verknüpfung erneut im Startmenü angezeigt. In der Regel sollten Sie den Benutzern alle obligatorischen (allgemeine und aufgabenorientierte) Anwendungen zuweisen.
824
Teil VI
Windows 2000 Professional/Clienteinrichtung
Zuweisen von Anwendungen zu Computern Im Gegensatz zu den Anwendungen, die Benutzern zugewiesen werden, werden Computern zugewiesene Anwendungen erst durch einen Neustart des Computers installiert. Wird ein Computer von mehreren Benutzern verwendet, die dieselbe Anwendung nutzen, empfiehlt sich die Zuweisung dieser Anwendung zum Computer. Virenschutzprogramme mit Standortlizenz sind ein Beispiel für Software, die einem Computer zugewiesen werden sollte. Die Zuweisung von Anwendungen zu Computern empfiehlt sich auch, wenn die Anwendungen nur auf einem bestimmten Computer benötigt werden (beispielsweise auf einem Computer in einer Bibliothek). Veröffentlichen von Anwendungen Veröffentlichte Anwendungen werden nicht im Startmenü angezeigt. Diese Anwendungen müssen über die Option Software in der Systemsteuerung manuell installiert werden. Mit der Option Software wird die Liste der veröffentlichten Anwendungen aus Active Directory abgerufen. Benutzer können veröffentlichte Anwendungen vom Computer löschen. Diese werden dann nicht erneut auf dem Computer angekündigt. Veröffentlichen Sie eine Anwendung, wenn die Benutzer an einem Standort, in einer Domäne oder Organisationseinheit die Anwendung zwar nicht benötigen, sie jedoch für bestimmte Benutzer nützlich sein kann. Ältere Anwendungen können weder Benutzern noch Computern zugewiesen werden. Diese Anwendungen können nur veröffentlicht werden. Anmerkung Weisen Sie eine Anwendung entweder einem Benutzer oder einem Computer zu, wenn diese Anwendung jederzeit verfügbar sein soll. Veröffentlichte Anwendungen sind weniger eng mit einem Benutzer oder Computer verbunden als zugewiesene Anwendungen. Zugewiesene oder veröffentlichte Anwendungen können auch installiert werden, indem der Benutzer auf ein Dokument doppelklickt, dessen Dateinamenerweiterung mit der entsprechenden Anwendung verbunden wurde. In Tabelle 24.5 stehen zusätzliche Informationen zu den Unterschieden zwischen Benutzern oder Computern zugewiesenen Anwendungen und veröffentlichten Anwendungen zur Verfügung. Tabelle 24.5 Unterschiede zwischen zugewiesenen und veröffentlichten Anwendungen
Wann steht die eingerichtete Software zur Installation zur Verfügung? Von wo wird die Software in der Regel installiert? Wird die Software installiert, wenn der Benutzer eine Datei öffnet, die mit der Software verbunden ist?
Benutzern zugewiesene Anwendungen
Computern zugewiesene Anwendungen
Veröffentlichte Anwendungen
Nach der nächsten Anmeldung.
Beim nächsten Neustart des Computers.
Nach der nächsten Anmeldung.
Über das Startmenü oder eine Deskotpverknüpfung. Ja.
Die Software ist bereits installiert.
Über die Option Software in der Systemsteuerung. Ja.
Die Software ist bereits installiert.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
825
(Fortsetzung) Benutzern zugewiesene Anwendungen
Computern zugewiesene Anwendungen
Veröffentlichte Anwendungen
Kann der Benutzer die Anwendung unter Verwendung der Option Software in der Systemsteuerung entfernen?
Ja. Die Anwendung steht sofort wieder zur erneuten Installation bereit.
Nein. Nur der lokale Administrator kann die Anwendung entfernen.
Ja. Die Anwendung kann erneut über die Option Software in der Systemsteuerung installiert werden.
Welche Installationsdateien werden unterstützt?
Windows InstallerPakete.
Windows InstallerPakete.
Windows InstallerPakete und ältere Anwendungen.
Die zum Zuweisen und Veröffentlichen von Anwendungen erforderlichen Schritte sind vergleichbar. Der Administrator verwendet hierzu das SoftwareinstallationsSnap-In. Die genauen Aufgaben werden in der Hilfedatei des Snap-Ins beschrieben. Zugewiesene Anwendungen werden in der Regel in verwaltungsintensiven Organisationen verwendet, in denen die Supportkosten einen nicht unbedeutenden Faktor darstellen und Computer von mehreren Benutzern gemeinsam genutzt werden. In Organisationen mit geringem Verwaltungsaufwand werden im Allgemeinen veröffentlichte Anwendungen eingesetzt.
Unterstützen mobiler Benutzer In zahlreichen Organisationen verfügen bestimmte Mitarbeiter nicht über einen fest zugewiesenen Arbeitsplatz, wie z. B. Mitarbeiter am Empfang, die regelmäßig ihren Arbeitsplatz wechseln. Obwohl sich diese Mitarbeiter an verschiedenen Computer anmelden, stehen jederzeit Hochgeschwindigkeits- oder LAN-Verbindungen bereit. Mit der Windows 2000-Softwareinstallation und -verwaltung kann der IT-Support für mobile Benutzer verbessert werden, indem im Bedarfsfall jede benötigte Anwendung auf jedem verwendeten Computer installiert werden kann. Ebenso verhält es sich bei der Deinstallation einer zuvor veröffentlichten Anwendung. Diese Anwendung wird bei der erneuten Anmeldung eines Benutzers unabhängig vom verwendeten Computer entfernt. Sie sollten diesen Benutzern Anwendungen zuweisen. In diesem Fall werden den mobilen Benutzern auf den verschiedenen Computern die jeweils zugewiesenen Anwendungen angezeigt. Konfigurieren Sie die Gruppenrichtlinieneinstellungen jedoch so, dass die Anwendung erst installiert wird, wenn sie vom Benutzer benötigt wird.
Unterstützen freigegebener Computer In zahlreichen Organisationen werden Computer von Benutzern gemeinsam genutzt. Bei in Fabrikanlagen, Schulungseinrichtungen oder Laboren eingesetzten Computern handelt es sich in der Regel um gemeinsam genutzte Computer.
826
Teil VI
Windows 2000 Professional/Clienteinrichtung
In diesen Fällen empfiehlt sich die Zuweisung von Anwendungen zu den jeweiligen Computern. Dies ermöglicht eine effiziente Softwareverwaltung, indem eine vom Benutzer deinstallierte Anwendung nach einem Neustart des Computers erneut installiert wird. Ziehen Sie die Verwendung der Remoteinstallation des Betriebssystems in diesen freigegebenen Umgebungen in Betracht. Im Falle einer Neuinstallation der gesamten Umgebung steht Ihnen hiermit eine effiziente Methode zur Verfügung.
Unterstützen reisender Benutzer Ein wachsender Prozentsatz an Mitarbeitern, wie z. B. Vertriebsmitarbeiter oder Berater, ist ständig im Außendienst tätig. Obwohl sich diese Benutzer in der Regel am selben Computer anmelden, verwenden sie für die Verbindungsherstellung mit dem Netzwerk zeitweise Hochgeschwindigkeitsverbindungen und zeitweise langsame DFÜ-Verbindungen. Standardmäßig wird die Richtlinie für die Softwareinstallation und -wartung über langsame Verbindungen nicht angewendet. Dies gilt insbesondere, wenn der Benutzer eine Neuinstallation oder Aktualisierung durchführen möchte. Weitere Informationen zum Konfigurieren einer Gruppenrichtlinie für langsame Verbindungen finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. Sie sollten eventuell Anwendungen für mobile Benutzer veröffentlichen und sicherstellen, dass alle Änderungen an der Software lokal auf dem Computer installiert werden (die Änderungen sollen weder bei erstmaliger Anwendung installiert noch über das Netzwerk ausgeführt werden). Darüber hinaus sollten Sie reisenden Benutzern bestimmte Anwendungen auf lokalen Medien zur Verfügung stellen. Wenn ein reisender Benutzer beispielsweise häufig Präsentationen durchführt, empfiehlt sich die Bereitstellung einer Microsoft Office-CD, damit wichtige Dateien jederzeit und an jedem Ort installiert oder repariert werden können.
Verwalten von Software mit Hilfe von IntelliMirror Administratoren müssen die Software während des gesamten Softwarelebenszyklus verwalten können. Die IntelliMirror-Softwareinstallation und -wartung wurde unter Berücksichtigung des folgenden Softwarelebenszyklus entwickelt: 1. Der Softwarelebenszyklus beginnt mit der erstmaligen Installation der Software. Die Benutzer haben sich mit der Anwendung vertraut gemacht und setzen diese produktiv ein. Aus diesem Grund nehmen Administratoren an dieser Situation ungern Änderungen vor. 2. Aufgrund geänderter Geschäftsanforderungen oder der Entwicklung einer neuen verbesserten Version der Anwendung müssen Sie die Installation der neuen Version in Betracht ziehen. Bewerten Sie die neuen Funktionen, und stellen Sie sie einer sorgfältig ausgewählten Benutzergruppe im Rahmen eines Pilotprojekts zur Verfügung. Die nicht am Pilotprojekt beteiligten Benutzer verwenden weiterhin die alte Version. 3. Bei erfolgreichem Verlauf des Pilotprojekts führen die IT-Mitarbeiter eine allmähliche Implementierung der neuen Anwendung in der gesamten Organisation durch. Für die ältere Version verbleiben zwei Möglichkeiten: ? Durchführen einer Aktualisierung auf die neue Version. ? Belassen der vorhandenen Version in einem nicht unterstützten Zustand.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
827
4. Schließlich wird die neue Version von allen Benutzern verwendet, d. h., die alte Anwendung wird nicht mehr benötigt. Entfernen Sie die alte Anwendung aus der Verteilungsfreigabe, erstellen Sie eine Sicherungskopie, und archivieren Sie die Anwendung für eine eventuelle Wiederverwendung. In Abbildung 24.4 wird dieser Vorgang dargestellt.
Abbildung 24.4
Der Softwarelebenszyklus
Dieser Lebenszyklus umfasst folgende Verwaltungsaufgaben: ? Installieren der Anwendung ? Ändern der Anwendung ? Aktualisieren der Anwendung ? Reparieren der Anwendung ? Entfernen der Anwendung
Bis zu diesem Punkt hat sich die Darstellung der IntelliMirror-Softwareinstallation und -wartung fast ausschließlich auf die Installation beschränkt. Die folgenden Abschnitte beschäftigen sich mit dem Ändern, Aktualisieren und Entfernen von Anwendungen.
Bereitstellen von Patches für vorhandene Software Software-Herausgeber stellen häufig Patches zur Verfügung, mit denen bestimmte Probleme in deren Anwendungen behoben werden können. Sie müssen feststellen, ob der Patch benötigt wird. Wenn Sie einen Patch mit Windows 2000 einsetzen, können Sie die Patchdateien auf den Softwareverteilungspunkt kopieren und die älteren Dateien ersetzten. Der
828
Teil VI
Windows 2000 Professional/Clienteinrichtung
vom Software-Herausgeber bereitgestellte Patch sollte entweder ein neues Windows Installer-Paket (MSI-Datei) oder einen Windows Installer-Patch (MSPDatei) enthalten. Mit Hilfe des Windows Installer-Pakets können Sie das vorhandene Paket problemlos ersetzen. Wahlweise können Sie den Windows Installer-Patch zum Aktualisieren des vorhandenen Pakets verwenden. Anschließend installieren Sie das zugewiesene oder veröffentlichte Paket erneut mit dem Softwareinstallations-Snap-In. Auf diese Weise werden die aktualisierten Dateien auf die Computer kopiert, auf denen die entsprechende Software installiert ist. Service Packs enthalten in der Regel mehrere Patches, die gemeinsam getestet wurden. Aus diesem Grund werden Service Packs seltener als Patches, aber häufiger als vollständige Aktualisierungen verwendet. Anmerkung Wird durch ein Service Pack nur eine geringe Anzahl an Dateien aktualisiert, verteilen und verwalten Sie das Service Pack wie einen Patch. Wird durch ein Service Pack eine große Anzahl an Dateien aktualisiert, verteilen und verwalten Sie das Service Pack wie eine Aktualisierung.
Aktualisieren vorhandener Software In einer Netzwerkumgebung stehen zwei Aktualisierungstypen zur Verfügung: ? Obligatorische Aktualisierungen. Jeder Computer, auf dem die vorhandene
Version der Anwendung installiert ist, wird mit der neuen Version aktualisiert. Auf Computern, auf denen die Anwendung nicht verwendet wird, kann im Bedarfsfall nur die aktualisierte Version installiert werden. ? Optionale Aktualisierungen. Vorhandene Benutzer haben die Möglichkeit, eine Aktualisierung durchzuführen. Neue Benutzer können zwischen den verschiedenen Versionen auswählen. Anfänglich sollten Sie neue Versionen auf einer optionalen Basis bereitstellen, so dass Benutzer im Bedarfsfall eine Aktualisierung durchführen können. Schließlich entscheiden Sie sich eventuell zu einer Umwandlung der optionalen Aktualisierung in eine obligatorische Aktualisierung. Windows Installer-Pakete basieren auf einem als deklarierte Aktualisierungsbeziehung bezeichneten Konzept, mit dem die durch ein bestimmtes Paket zu aktualisierenden Pakete festgelegt werden. Sie können das SoftwareinstallationsSnap-In verwenden, um eine deklarierte Aktualisierungsbeziehung zu erstellen. Mit einem Microsoft® Word 2000-Paket können beispielsweise Microsoft Word 6.0 und Microsoft Word 7.0 aktualisiert werden. Diese deklarierte Aktualisierungsbeziehung erfordert anstelle von erneut gepackten Anwendungen von Grund auf neu geschriebene Anwendungen, d. h., für erneut gepackte Anwendungen müssen manuelle Aktualisierungen erstellt werden. Das neue Anwendungspaket (von Grund auf neu geschrieben oder erneut gepackt) kann eine nicht von Grund auf neu geschriebene Anwendung unter Umständen nicht aktualisieren. In bestimmten Fällen müssen Sie die Softwareinstallation und -wartung verwenden, um eine vorhandene Anwendung zu entfernen und durch die Aktualisierung zu ersetzen.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
829
Unter Umständen ist es nicht möglich, eine erneut gepackte Anwendung vollständig zu entfernen. Bestimmte Komponenten, wie z. B. Desktopverknüpfungen, müssen gegebenenfalls manuell entfernt werden, selbst wenn diese weder freigegeben noch erforderlich sind. Da eine ständig wachsende Zahl an von Grund auf neu geschriebenen Paketen zur Verfügung steht, kann die vorhandene Anwendung mit Hilfe von Aktualisierungen auf die neue Anwendung migriert werden.
Entfernen von Software Nach einer bestimmten Zeit ist die gesamte Software veraltet und wird nicht mehr benötigt. Sie müssen entscheiden, wie mit dieser Software zu verfahren ist. Sie können beispielsweise den Support einstellen, auch wenn die veraltete Anwendung noch von bestimmten Benutzern verwendet wird. Es fällt dann in den Aufgabenbereich der Benutzer, die Anwendung zu löschen, wenn diese nicht mehr benötigt wird. Neuen Benutzern sollte die Möglichkeit zur Installation der veralteten Software jedoch weder über die Option Software, das Startmenü noch mittels Dokumentaufruf eingeräumt werden. Wahlweise können Sie die Entfernung der Software von Benutzercomputern erzwingen. Wählen Sie zum Entfernen der Software das Paket im Softwareinstallations-Snap-In aus, und klicken Sie anschließend im Kontextmenü auf Entfernen. Sie können die Entfernung der Software bei der nächsten Benutzeranmeldung (bei veröffentlichten oder Benutzern zugewiesenen Anwendungen) oder beim nächsten Computerneustart (bei Computern zugewiesenen Anwendungen) erzwingen. Ein Benutzer, der beispielsweise aus gesundheitlichen Gründen nicht anwesend ist, muss sich mindestens einmal während des nächsten Jahres am Computer anmelden, damit die Software entfernt wird.
Verwalten von Benutzerdaten und -einstellungen in einem Netzwerk Die Verwaltung der Benutzerdaten und -einstellungen ermöglicht Benutzern den Zugriff auf Daten und Einstellungen unabhängig davon, ob eine Netzwerkverbindung besteht oder welcher Computer verwendet wird. Sie können den Benutzerzugriff auf Daten und die jeweilige persönliche Umgebung erweitern, indem Sie die entsprechenden Daten auf Netzwerkservern sowie an synchronisierten Offlinespeicherorten auf der lokalen Festplatte sichern. Zur Implementierung der Verwaltung von Benutzerdaten und -einstellungen werden häufig dieselben Technologien eingesetzt. In bestimmten Organisationen werden die Benutzerdaten und -einstellungen getrennt verwaltet. In anderen Organisationen hingegen werden die Daten und Einstellungen gleichzeitig geplant und eingerichtet. Die folgenden Abschnitte beschäftigen sich mit der gemeinsamen Verwaltung der Benutzerdaten und -einstellungen. Folgende Technologien werden für die zentrale Verwaltung der Benutzerdaten und -einstellungen benötigt: ActiveDirectory Stellt die Infrastruktur zum Verwenden und Verwalten von Gruppenrichtlinien zur Verfügung. Gruppenrichtlinie Ermöglicht Administratoren Windows 2000-Elemente, wie z. B.
830
Teil VI
Windows 2000 Professional/Clienteinrichtung
den Desktop, den Netzwerkzugriff und Microsoft® Internet Explorer, für Benutzer oder Computer anzupassen oder zu steuern. ServergespeicherteBenutzerprofile Ermöglicht Benutzern den Zugriff auf persönliche Einstellungen und Desktopkonfigurationen einschließlich sämtlicher Startmenüänderungen sowie der Inhalte des Ordners Eigene Dateien auf jedem beliebigen Computer. Somit steht den Benutzern eine vertraute Arbeitsumgebung unabhängig vom verwendeten Computer zur Verfügung. Ordnerumleitung Verwendet Gruppenrichtlinien zum Umleiten persönlicher Ordner (Eigene Dateien, Anwendungsdaten, Startmenü und Desktop) an einen Netzwerkserver. Ein umgeleiteter persönlicher Ordner wird im Netzwerk gespeichert und steht den Benutzern unabhängig vom verwendeten Computer zur Verfügung. Offlinedateienoder -ordner Ermöglicht Benutzern das Speichern desselben Dokuments auf einer Netzwerkdateifreigabe sowie auf dem Benutzercomputer. Bei jeder An- bzw. Abmeldung des Benutzers führt Windows 2000 eine Synchronisation der beiden Dokumentkopien durch. Datenträgerkontingente Beschränkt die Datenmenge, die von einem Benutzer auf einem bestimmten NTFS-Datenträger gespeichert werden kann. Da die meisten IntelliMirror-Technologien für die Speicherung von Benutzerdaten im Netzwerk und nicht auf lokalen Festplatten konzipiert wurden, müssen unter Umständen Datenträgerkontingente festgelegt werden, um Benutzern ausreichend Speicherplatz im Netzwerk zu gewähren. Sicherheitseinstellungen Ermöglicht die Einrichtung von wahlfreien Zugriffssteuerungslisten (DACL, Discretionary Access Control List) für Dateien und Ordner. In Abbildung 24.5 werden die wichtigsten Planungsschritte erläutert, die zum Aktivieren der Verwaltung von Benutzerdaten und -einstellungen ausgeführt werden müssen.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
831
Abbildung 24.5 Planungsprozess für die Verwaltung von Benutzerdaten und einstellungen
In den folgenden Abschnitten erhalten Sie Informationen zu den zusätzlichen Technologien, die zum Aktivieren der Verwaltung von Benutzerdaten und -einstellungen benötigt werden. ? Servergespeicherte Benutzerprofile ? Ordnerumleitung ? Offlinedateien oder -ordner ? Synchronisationsverwaltung ? Datenträgerkontingente
Aktivieren servergespeicherter Benutzerprofile Servergespeicherte Benutzerprofile bieten Benutzern eine vertraute und benutzerfreundliche Arbeitsumgebung. Im Gegensatz zu einem lokalen Profil, das sich auf einem einzelnen Computer unter Windows 2000 befindet, wird ein servergespeichertes Profil auf einer Netzwerkfreigabe gespeichert. Somit kann über jeden beliebigen Windows 2000-basierten Computer im Netzwerk auf dieses Profil zugegriffen werden. Sowohl lokale als auch servergespeicherte Benutzerprofile enthalten verschiedene Ordner, wie z. B. die Ordner Anwendungsdaten, Desktop, Favoriten, Eigene Dateien und Startmenü. Im Allgemeinen ist die Implementierung servergespeicherter Benutzerprofile in Windows 2000 vergleichbar mit der Windows NT 4.0-Implementierung. Weitere Informationen zu den Übereinstimmungen und Unterschieden finden Sie im Kapitel „Einführung in die Desktopverwaltung“ im Band Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme. ? So richten Sie ein servergespeichertes Benutzerprofil ein 1. Richten Sie die Netzwerkfreigabe zum Speichern der Benutzerprofile auf einem Server ein. 2. Konfigurieren Sie den Ordner als einen freigegebenen Ordner. 3. Öffnen Sie das Snap-In für Active Directory-Benutzer- und -Computer, und suchen Sie nach dem Knoten, auf dem die Benutzereigenschaften gespeichert sind. 4. Klicken Sie mit der rechten Maustaste auf den Namen des Benutzers, und klicken Sie anschließend im Kontextmenü auf Eigenschaften. 5. Klicken Sie auf die Registerkarte Profil. 6. Geben Sie als Profilpfad den Pfad der Netzwerkfreigabe ein, auf der die Benutzerprofile gespeichert werden sollen. Für eine Benutzerin mit dem Netzwerknamen MaryK wird bei Eingabe des folgenden Pfads \\Netzwerkfreigabe\Profile\%MaryK% ein Verzeichnis mit der Bezeichnung MaryK auf der Freigabe Profile des Servers erstellt, der zum Speichern der Profile verwendet wird.
832
Teil VI
Windows 2000 Professional/Clienteinrichtung
Lediglich im Netzwerk gespeicherte Elemente stehen mobilen Benutzern zur Verfügung. Andere Elemente, wie z. B. Bildschirmschoner und Hintergrundbilder, sind dann verfügbar, wenn Kopien dieser Elemente auf jedem Computer gespeichert werden, an dem sich der Benutzer anmeldet.
Richtlinien zum Einrichten von servergespeicherten Profilen Servergespeicherte Profile weisen Vorteile und Nachteile auf. Die Vorteile bestehen darin, dass der Benutzer über jeden beliebigen Computer auf persönliche Einstellungen und Dokumente zugreifen kann. Ein möglicher Nachteil besteht in dem durch servergespeicherte Profile verursachten Netzwerkverkehr. Testen Sie verschiedene Auslastungsszenarios, um den Umfang der Unterstützung servergespeicherter Benutzerprofile zu ermitteln, der für die jeweilige Organisation geeignet ist. Der Einsatz servergespeicherter Benutzerprofile empfiehlt sich nicht bei RAS-Benutzern, die über langsame Verbindungen, wie z. B. Telefonleitungen, auf das Netzwerk zugreifen.
Umleiten von Ordnern Persönliche Ordner, wie z. B. Eigene Dateien und Eigene Bilder, können unter Verwendung einer Gruppenrichtlinie umgeleitet werden. Umgeleitete Ordner stehen Benutzern unabhängig vom verwendeten Computer zur Verfügung. Darüber hinaus können umgeleitete Ordner von Administratoren problemlos verwaltet und gesichert werden. Benutzern stellen sich umgeleitete Ordner wie lokal gespeicherte persönliche Ordner dar. Umgeleitete Ordner werden im Gegensatz zu den Ordnern eines servergespeicherten Benutzerprofils nicht über das Netzwerk kopiert, wenn sich ein Benutzer am Netzwerk an- oder abmeldet. Über umgeleitete Ordner können Benutzer problemlos auf die persönlichen Dokumente zugreifen, ohne das Netzwerk zu belasten.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
833
Erstellen Sie zum Umleiten von Ordnern in der Gruppenrichtlinienkonsole ein neues Gruppenrichtlinienobjekt, und erweitern Sie anschließend die Einträge Benutzerkonfiguration, Windows-Einstellungen und Ordnerumleitung. Für die fünf persönlichen Ordner (Anwendungsdaten, Desktop, Eigene Dateien, Eigene Bilder und Startmenü), die umgeleitet werden können, werden Symbole angezeigt. Klicken Sie zum Umleiten des gewünschten Ordners mit der rechten Maustaste auf den Namen des Ordners, klicken Sie auf Eigenschaften, und wählen Sie anschließend eine der folgenden Optionen aus: Standard Leitet die Ordner sämtlicher Benutzer an dieselbe Netzwerkfreigabe um. Alle diesem Gruppenrichtlinienobjekt zugeordneten Ordner werden auf derselben Netzwerkfreigabe gespeichert. Erweitert Leitet persönliche Ordner basierend auf der Zugehörigkeit eines Benutzers zu einer Windows 2000-Sicherheitsgruppe um. Die Ordner werden gemäß der Sicherheitsgruppenzugehörigkeit an verschiedene Netzwerkfreigaben umgeleitet. Die Ordner der Gruppe Buchhaltung können beispielsweise an den Server Finanzwesen umgeleitet werden, während die Ordner der Gruppe Vertrieb an den Server Marketing umgeleitet werden. Bei Auswahl der Einstellung Standard oder Erweitert müssen Sie den Namen des freigegebenen Netzwerkordners als Speicherort des Zielordners eingeben, wie z. B.: \\OrdnerServer\OrdnerEigeneDokumente\Benutzername Wählen Sie nach der Eingabe eines Speicherorts für den Zielordner die Registerkarte Einstellungen aus, konfigurieren Sie die gewünschten Optionen in diesem Dialogfeld, und klicken Sie anschließend zum Abschließen der Ordnerumleitung auf Fertig stellen. Anmerkung Erstellen Sie das durch den jeweiligen Benutzernamen festgelegte Verzeichnis nicht im Voraus. Bei der Ordnerumleitung werden für den Ordner die geeigneten DACLs eingerichtet.
Richtlinien zum Konfigurieren der Ordnerumleitung Die Ordnerumleitung bietet Benutzern eine bedarfsgesteuerte Bereitstellung von Dokumenten. Die Verfügbarkeit dieser Dokumente kann ebenfalls verbessert werden, indem Sie diese in den Serversicherungsplan aufnehmen. Wird durch servergespeicherte Profile die Netzwerkauslastung drastisch erhöht, leiten Sie lediglich ausgewählte persönliche Ordner um, so dass die Benutzer über einen beliebigen Computer auf diese zugreifen können. Die Verwendung der persönlichen Einstellungen ist in diesem Fall nicht möglich.
Konfigurieren der Synchronisation von Offlinedateien Die meisten Organisationen verfügen über regelmäßige Sicherungsverfahren, insbesondere für kritische Daten. In bestimmten Fällen werden zum Durchführen dieser wichtigen Aufgabe Programme wie Systems Management Server oder Fremdanbieterprodukte verwendet.
834
Teil VI
Windows 2000 Professional/Clienteinrichtung
In zahlreichen Fällen werden Dateiordner oder Dateien mit kritischen Daten von mehreren Benutzern gemeinsam genutzt, wie z. B. von den Mitarbeitern der Vertriebsabteilung. Die Bereitstellung aktueller Kopien dieser Dateien oder Ordner stellt eine wesentliche Aufgabe der IT-Abteilung dar. Mit der Windows 2000-Synchronisationsverwaltung wird sichergestellt, dass kritische Dateien und Ordner auf Clientcomputern und Netzwerkservern synchronisiert werden. Somit wird gewährleistet, dass wichtige Daten in regelmäßigen Abständen gesichert werden. Die Synchronisationsverwaltung ist besonders nützlich für Remote- oder reisende Benutzer, die sich in unregelmäßigen Abständen mit dem Netzwerk verbinden. Mit der Synchronisationsverwaltung können Sie den Zeitpunkt für die Synchronisation der Offlinedateien mit den Netzwerkdateien festlegen. Hierbei handelt es sich um einen transparenten Vorgang, da für den Benutzer kein Unterschied zwischen dem Offline- oder Onlinezugriff auf die Dateien erkennbar ist. Mit der Synchronisationsverwaltung wird sichergestellt, dass die Benutzer im Bedarfsfall auf die aktuellen Netzwerkdaten zugreifen können. Auf diese Weise wird die Gefahr möglicher Unterbrechungen verringert, die durch einen Datenverlust auf dem lokalen Computer auftreten können. Mit der Synchronisationsverwaltung werden Netzwerkelemente mit Elementen verglichen, die von Benutzern offline geöffnet oder geändert wurden. Die aktuelle Version des entsprechenden Elements wird dann sowohl auf dem lokalen Computer als auch im Netzwerk zur Verfügung gestellt. Zu den zu synchronisierenden Elementen gehören einzelne Dateien, Ordner und Offlinewebseiten. Mit der Synchronisationsverwaltung können die offline verfügbaren Daten in folgenden Zeitabständen automatisch synchronisiert werden: ? Bei jedem An- und/oder Abmeldevorgang. ? In festgelegten Zeitabständen, in denen sich der Computer zwar im Leerlauf
befindet, jedoch weiterhin mit dem Netzwerk verbunden ist. ? Zu bestimmten festgelegten Zeiten. Kombinationen dieser und anderer Optionen können für Offlinedateien aus verschiedenen freigegebenen Quellen verwendet werden. Administratoren können jeden beliebigen freigegebenen Netzwerkordner für die Offlineverwendung bereitstellen. ? So kennzeichnen Sie einen freigegebenen Ordner für die Offlineverwendung 1. Klicken Sie im Windows Explorer mit der rechten Maustaste auf den freizugebenden Ordner. 2. Klicken Sie auf Freigabe und anschließend auf Zwischenspeichern. 3. Aktivieren Sie das Kontrollkästchen Zwischenspeichern der Dateien in diesem freigegebenen Ordner zulassen, und wählen Sie dann eine der folgenden Einstellungen aus. Klicken Sie anschließend auf OK. ? Manuelles Zwischenspeichern für Dokumente. Benutzer müssen die zu speichernden Dokumente manuell festlegen. Alle ausgewählten Dateien werden automatisch gespeichert.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
835
? Automatisches Zwischenspeichern für Dokumente. Der gesamte Inhalt
eines Ordners kann gespeichert werden. Es werden jedoch lediglich die vom Benutzer tatsächlich geöffneten Dokumente gespeichert. Dies führt im Gegensatz zur manuellen Speicherung, bei der alle Dateien gesichert werden, zu einer geringeren Netzwerkauslastung. ? Automatisches Zwischenspeichern für Programme. Reduziert den Netzwerkverkehr, da die Netzwerkversionen der Dokumente oder Programme lediglich einmal gespeichert werden. Anschließend werden die Offlineversionen verwendet. Die Verwendung dieser Einstellung empfiehlt sich bei Ordnern, die schreibgeschützte Dokumente enthalten, oder bei Anwendungen, die über das Netzwerk ausgeführt werden.
Richtlinien zum Konfigurieren von Offlinedateien Gruppenrichtlinien bieten Ihnen zahlreiche Möglichkeiten zum Verwalten von Offlineordnern. Mit den Optionen Freigabe und Zwischenspeichern können Sie angeben, dass Offlineordner auf einem bestimmten Clientcomputer zur Verfügung stehen. Der Standardmodus eines freigegebenen Ordners lautet Manuelles Zwischenspeichern für Dokumente. Um das Zwischenspeichern eines Ordners durch die Benutzer zu verhindern, deaktivieren Sie das Kontrollkästchen Zwischenspeichern der Dateien in diesem freigegebenen Ordner zulassen. Sie können auch die Option Nicht im Zwischenspeicher verwenden, um bestimmte Dateitypen (nach Erweiterung) von der Zwischenspeicherung auszuschließen. Verwenden Sie diese Option beispielsweise, um die Übertragung umfangreicher AVI-Multimediadateien über das Netzwerk zu verhindern. Mit Hilfe der Option Benutzerkonfiguration von Offlinedateien deaktivieren können Sie die manuelle Änderung der zuvor beschriebenen Synchronisationsoptionen durch den Benutzer ausschließen. Die Optionen für die Synchronisation aller Offlinedateien vor dem Abmelden sowie für das Deaktivieren der Benutzersynchronisation von Ordnern und Dateien ermöglichen Ihnen die Angabe des Synchronisationszeitpunkts, nicht jedoch der zu synchronisierenden Dateien. Mit der ersten Option wird der bei der Abmeldung zu verwendende Synchronisationstyp – schnell oder vollständig – festgelegt. Bei der schnellen Synchronisation werden lediglich vom Benutzer ausgewählte Dateien synchronisiert. Bei der vollständigen Synchronisation werden automatisch zwischengespeicherte Dateien ebenfalls synchronisiert. Mit der Option für das Deaktivieren der Benutzersynchronisation von Ordnern und Dateien können Sie festlegen, dass die Synchronisation nur während des Ab- und Anmeldevorgangs durchgeführt wird.
Einrichten von Datenträgerkontingenten Bei der Speicherung von Benutzerdaten und -profilen im Netzwerk besteht die Möglichkeit, dass bestimmte Benutzer den gesamten Festplattenspeicher eines Servers verwenden. Um dies zu verhindern und den Bedarf der Benutzer an Speicherplatz mit den Kosten für die Erhöhung der Speicherkapazität abzustimmen, können Sie Datenträgerkontingente konfigurieren.
836
Teil VI
Windows 2000 Professional/Clienteinrichtung
Sie können die Kontingente pro Benutzer und Datenträger festlegen. Überschreitet das Profil eines einzelnen Benutzers die festgelegte Dateigrößenbeschränkung, kann sich der Benutzer erst vom Computer abmelden, wenn die Datei entsprechend angepasst wurde. Kontingente, die einem Benutzer pro Datenträger zugewiesen werden können, verfügen über zwei Hauptvorteile: ? Wenn Sie Kontingente auf einem Datenträger festlegen, gelten diese nur für
diesen Datenträger. Wenn Benutzer Dateien auf verschiedenen NTFS-Datenträgern speichern, können Sie für jeden Datenträger ein Kontingent einrichten. ? Kontingente werden dem Besitzer der Datei angerechnet. Somit sind die Besitzverhältnisse eindeutig, auch wenn ein Benutzer mehrere Dateien mit anderen Benutzern gemeinsam verwendet.
Richtlinien zum Einrichten von Datenträgerkontingenten Sie müssen ausreichend Speicherplatz für die Speicheranforderungen der Benutzer bereitstellen, ohne dass in der Organisation zusätzliche Server für die Dateien zur Verfügung gestellt werden müssen, die von Benutzern an eine Netzwerkfreigabe gesendet werden können. Verwenden Sie beim Festlegen des von den Benutzern tatsächlich benötigten Netzwerkspeicherplatzes die zu diesem Zweck während des Pilotprojekts ermittelten Daten. Beachten Sie, dass sich die Speicheranforderungen der einzelnen Benutzer unterscheiden. Softwareentwickler benötigen beispielsweise mehr Speicherplatz als andere Benutzer. Bei den Mitarbeitern von Finanz- oder Entwicklungsabteilungen handelt es sich um Benutzer, die im Gegensatz zu anderen Benutzern häufig umfangreiche Dateien bearbeiten müssen. Ermitteln Sie zum Festlegen effektiver Datenträgerkontingente die genauen Anforderungen der jeweiligen Benutzer. Weitere Informationen zum Einrichten und Verwenden von Datenträgerkontingenten finden Sie im Kapitel „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
Auswählen von Änderungs- und Konfigurationsverwaltungsoptionen für die Organisation Zum Vorbereiten des Plans für die Änderungs- und Konfigurationsimplementierung müssen Sie die für die jeweiligen Benutzergruppen am besten geeigneten Funktionen sowie deren Konfiguration festlegen. Verwenden Sie die in diesem Kapitel erläuterten Änderungs- und Konfigurationsverwaltungsoptionen, um den Benutzern einen verbesserten Support zu bieten. Mit bestimmten Konfigurationsoptionen wird Basissupport für herkömmliche Organisationen bereitgestellt, während andere Optionen erweiterten Support bieten. So vervollständigen Sie den IntelliMirror- sowie den Remoteinstallationsplan für das Betriebssystem ? Legen Sie die Optionen für die standardmäßige sowie für die erweiterte
Änderungs- und Konfigurationsverwaltung fest.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
837
? Legen Sie die standardmäßigen und erweiterten Optionen für die Änderungs-
und Konfigurationsverwaltung entsprechend den Anforderungen der Benutzertypen fest. ? Fassen Sie die Auswirkungen der Änderungs- und Konfigurationsverwaltung auf die Organisation zusammen. Die folgenden Abschnitte beschäftigen sich mit der Implementierung der Funktionen von IntelliMirror und der Remoteinstallation des Betriebssystems in den Änderungs- und Konfigurationsverwaltungsplan. Abhängig von den jeweiligen Anforderungen erweisen sich bestimmte Optionen, die in den folgenden Abschnitten als erweiterte Optionen aufgelistet werden, für Ihre Organisation als Standardoptionen, während bestimmte als Standardoptionen bezeichnete Optionen in einem anderen Unternehmen erweiterte Optionen darstellen. Sie müssen die standardmäßigen sowie die erweiterten Anforderungen und Implementierungen für die Organisation festlegen.
Überblick über standardmäßige und erweiterte Optionen Die folgenden Optionen erfüllen die Basisanforderungen der Benutzerdatenverwaltung. Hierbei handelt es sich um: ? Bereitstellung von privaten Netzwerkfreigaben für Benutzer und Zuordnen des
Benutzerordners Eigene Dateien zu der entsprechenden Freigabe. ? Einbeziehung des Desktops in diese Netzwerkfreigabe, um Dokumente sowohl auf dem Desktop als auch auf der Netzwerkfreigabe zu speichern. ? Bereitstellungen von öffentlichen Netzwerkfreigaben für Benutzer. Diese Freigabe kann von einem einzelnen Benutzer oder einer Arbeitsgruppe verwendet werden. ? Einrichtung von Kontingenten für Freigaben, insbesondere für Einzelbenutzerfreigaben. ? Bereitstellung von Sicherungs- und Wiederherstellungsdiensten für Freigaben, insbesondere für die Einzelbenutzerfreigaben. ? Aktivierung von Offlineordnern auf Freigaben, die persönliche Daten enthalten. ? Aktivierung der Synchronisationsverwaltung für die herkömmlichen Datentypen. Ziehen Sie bei der erweiterten Benutzerdatenverwaltung die Implementierung folgender Funktionen in Betracht: ? Implementieren servergespeicherter Benutzerprofile für Benutzer, die mehr als
einen lokalen Computer verwenden. ? Entfernen des servergespeicherten Benutzerprofils sowie des Caches, wenn ein mobiler Benutzer die Verwendung eines Computers beendet. Stellen Sie für die Verwaltung der Standardeinstellungen folgende Optionen bereit: ? Einrichten einer Standardrichtlinie für die Desktop- und Shellsteuerung. ? Einrichten einer Standardrichtlinie für die Sicherheitssteuerung (siehe Kapitel
„Planen der Netzwerksicherheit“). ? Festlegen der Anmeldeskripts.
838
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Wenden Sie höchstens fünf oder sechs Gruppenrichtlinienobjekte auf einen
bestimmten Benutzer und Computer an. (Weitere Informationen zum Verwenden und Anwenden der Gruppenrichtlinie für die Verwaltung von Clientkonfigurationen finden Sie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in dieser Dokumentation.) ? Legen Sie für Benutzer von servergespeicherten Profilen ein Standardprofil für neue Benutzer fest. Dieses Standardprofile wird auf dem Server gespeichert und bei der erstmaligen Anmeldung des Benutzers auf den Computer kopiert. Stellen Sie für die Verwaltung der erweiterten Einstellungen folgende Optionen bereit: ? Konfigurieren Sie Gruppenrichtlinien, um den Zugriff auf Systemdateispeicher-
orte streng einzuschränken. ? Konfigurieren Sie Gruppenrichtlinien, um die Ausführung nicht genehmigter Software durch die Benutzer auszuschließen. Richten Sie für die standardmäßige Softwareinstallation und -verwaltung folgende Optionen ein: ? Bereitstellen der Option Software, die Benutzern das Hinzufügen und Entfernen
von Anwendungen während deren Lebenszyklus ermöglicht. ? Ausschließen der Installation von Software über eine CD. ? Veröffentlichen vorhandener Windows Installer-basierter Anwendungen im
Formular „Teilweise/bedarfsgesteuerte Installation“. ? Verwenden von Transformationspaketen zum Ändern des Paketverhaltens. ? Veröffentlichen oder Zuweisen von Betriebssystemaktualisierungen. ? Verwenden von Gruppenrichtlinien zum Aktualisieren von Anwendungen. Richten Sie für die erweiterte Softwareinstallation und -verwaltung folgende Optionen ein: ? Erstellen von DFS-fähigen Verteilungspunkten. ? Verwenden von Systems Management Server zum Verwalten von DFS-
Verteilungspunkten. In den folgenden Abschnitten werden Änderungs- und Konfigurationsverwaltungspläne für verschiedene Benutzertypen dargestellt.
Anforderungen technischer Benutzer Technische Benutzer, wie z. B. Entwickler, müssen häufig als Administratoren der eigenen Computer fungieren. Diese Benutzer nehmen die Verwaltungsdienste der IT-Abteilung in der Regel in Anspruch, ohne dass deren Möglichkeiten zum Steuern der eigenen Computer eingeschränkt werden. Mit der in Windows 2000 zur Verfügung stehenden Änderungs- und Konfigurationsverwaltung wird diesen Benutzern die Einrichtung der eigenen Computer erleichtert. Darüber hinaus bietet diese Funktion den Benutzern die Möglichkeit, den Verlust persönlicher Daten zu minimieren.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
839
Anhand der folgenden standardmäßigen und erweiterten Optionen wird die mögliche Anwendung der Änderungs- und Konfigurationsverwaltung auf technische Benutzer dargestellt: ? Standardverwaltung der Benutzerdaten. Alle Aspekte werden angewendet.
?
? ? ?
? ?
Leiten Sie insbesondere für Laptopbenutzer die Ordner Eigene Dateien um. Führen Sie keine Umleitung des Desktops durch. Aktivieren Sie Offlineordner auf der Freigabe Eigene Dateien. Erweiterte Verwaltung der Benutzerdaten. Bestimmte Benutzer möchten unter Umständen servergespeicherte Benutzerprofile verwenden. Darüber hinaus benötigen sie lokale Verwaltungsberechtigungen. Verwaltung von Standardeinstellungen. Lassen Sie die geringst mögliche Anzahl an Überschreibungen für die jeweiligen Konfigurationen zu. Verwaltung erweiterter Einstellungen. Keine. Standardmäßige Softwareinstallation und -wartung. Alle Aspekte werden angewendet. Veröffentlichte Anwendungen und die Remoteinstallation des Betriebssystems bieten zahlreiche Vorteile, ohne technischen Benutzern die Möglichkeit zur Steuerung der eigenen Computer zu entziehen. Erweiterte Softwareinstallation und -wartung. Keine Zuweisung bzw. keine Form der Steuerung. Erweiterte Remoteinstallation des Betriebssystems. Gewähren Sie Zugriff auf alle erweiterten Installationsoptionen. Stellen Sie dem Benutzer gegebenenfalls alle anwendbaren Installationsabbilder zur Auswahl zur Verfügung.
Anforderungen stationärer Benutzer Stationäre Benutzer verwenden in der Regel bestimmte Verwaltungsdienste, vorausgesetzt, diese erweisen sich als nützlich und wirken sich nicht auf die Konfigurationssteuerung aus. Für diese Benutzer stellen die Remoteinstallation des Betriebssystems sowie IntelliMirror die einfachste Methode zum Einrichten der jeweiligen Computer dar. Diese Funktionen bieten darüber hinaus die Möglichkeit zur Datensicherung sowie geeignete Funktionskombinationen für die häufigsten Verwendungszwecke. Anhand der folgenden standardmäßigen und erweiterten Pläne wird die mögliche Anwendung der Änderungs- und Konfigurationsverwaltung auf stationäre Benutzer dargestellt: ? Standardverwaltung der Benutzerdaten. Alle Aspekte werden angewendet.
Der Desktop kann umgeleitet werden. Die lokale private Speicherung erweist sich als geeignete Option für diese Gruppe. ? Erweiterte Verwaltung der Benutzerdaten. Bestimmte Benutzer benötigen unter Umständen servergespeicherte Benutzerprofile. Die Verwendung des verschlüsselnden Dateisystems (Encrypting File System, EFS) eignet sich für Benutzer in Führungspositionen. Beachten Sie jedoch, dass verschlüsselte Dateien und Ordner nicht in einem servergespeicherten Benutzerprofil zur Verfügung gestellt werden können. Verschlüsselte Dateien und Ordner können umgeleitet werden.
840
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Verwaltung von Standardeinstellungen. Eine begrenzte Anzahl an
?
?
? ?
Überschreibungen ist zulässig. Diese Benutzer können nicht als lokale Administratoren fungieren. Verwaltung erweiterter Einstellungen. Die Steuerung des Computerstatus und -zugriffs ist zulässig. Dies erfordert jedoch häufig die lokale Erstellung des Ordners Eigene Dateien, wenn die netzwerkbasierten Kontingente einen geringen Umfang aufweisen. Standardmäßige Softwareinstallation und -wartung. Alle Aspekte werden angewendet, einschließlich der Veröffentlichung von Anwendungen. Verwenden Sie für optionale Funktionen die bedarfsgesteuerte Installation. Erweiterte Softwareinstallation und -wartung. Verwenden Sie die Anwendungszuweisung nur in seltenen Fällen. Standardmäßige Remoteinstallation des Betriebssystems. Vereinfachen Sie den Vorgang, indem Sie die verfügbaren Installationsoptionen und Abbilder einschränken.
Anforderungen mobiler Benutzer Die Anforderungen mobiler Benutzer sind mit denen stationärer Benutzer vergleichbar. Obwohl sie mehrere Computer verwenden, verfügen sie in der Regel über einen Hauptcomputer. Die problemlose Mobilität dieser Benutzer muss gewährleistet werden, ohne dass höhere Kosten anfallen (gemessen an den Kosten der stationären Verwendung). Anhand des folgenden Plans wird die Anwendung der standardmäßigen und erweiterten Änderungs- und Konfigurationsverwaltung auf mobile Benutzer dargestellt: ? Standardverwaltung der Benutzerdaten. Alle Aspekte werden angewendet.
Die lokale private Speicherung stellt für diese Gruppe einen wesentlichen Faktor dar. Der Desktop sollte umgeleitet werden. ? Erweiterte Verwaltung der Benutzerdaten. Servergespeicherte Benutzer-
profile sind erforderlich. Die Verwendung des verschlüsselnden Dateisystems (Encrypting File System, EFS) eignet sich für Benutzer in Führungspositionen. Beachten Sie jedoch, dass verschlüsselte Dateien und Ordner nicht in einem servergespeicherten Benutzerprofil zur Verfügung gestellt werden können. Verschlüsselte Dateien und Ordner können umgeleitet werden. ? Verwaltung von Standardeinstellungen. Eine begrenzte Anzahl an Überschreibungen ist zulässig. Diese Benutzer fungieren nicht als lokale Administratoren. ? Verwaltung erweiterter Einstellungen. Die Steuerung des Computerstatus und -zugriffs ist zulässig. Dies erfordert jedoch häufig die lokale Erstellung des Ordners Eigene Dateien, wenn die netzwerkbasierten Kontingente einen geringen Umfang aufweisen. ? Standardmäßige Softwareinstallation und -wartung. Alle Aspekte werden angewendet. Veröffentlichte Anwendungen können nur dann verwendet werden, wenn diese über das Netzwerk ausgeführt werden können und keine Installation der Anwendungen auf dem lokalen Computer erforderlich ist. Verwenden Sie für optionale Funktionen die bedarfsgesteuerte Installation.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
841
? Erweiterte Softwareinstallation und -wartung. Verwenden Sie die
Anwendungszuweisung nur in seltenen Fällen. Weisen Sie lediglich Benutzern Anwendungen zu, nicht jedoch Computern. ? Standardmäßige Remoteinstallation des Betriebssystems. Der Benutzerzugriff auf die Optionen der Remoteinstallation des Betriebssystems wird vollständig entfernt. Sämtliche Installationen werden entweder von Administratoren oder Helpdeskmitarbeitern durchgeführt. Wahlweise können die Optionen der Remoteinstallation des Betriebssystems so eingerichtet werden, dass Installationen automatisch durchgeführt werden.
Anforderungen reisender Benutzer Reisende Benutzer profitieren in hohem Maße von den neuen Windows 2000Funktionen, wie z. B. der Synchronisationsverwaltung, dem verschlüsselnden Dateisystem (EFS), der clientseitigen Zwischenspeicherung sowie von Plug & Play. Diese Benutzer verwenden in der Regel neben einem Laptop auch einen primären Desktopcomputer. Im Folgenden wird die Anwendung der Änderungs- und Konfigurationsverwaltung auf reisende Benutzer dargestellt: ? Standardverwaltung der Benutzerdaten. Alle Aspekte werden angewendet.
?
?
?
?
?
Der Desktop sollte nicht umgeleitet werden. Die lokale private Speicherung stellt für diese Gruppe einen wesentlichen Faktor dar. Umgeleitete und Offlineordner stellen geeignete Optionen für diese Gruppe dar. Erweiterte Verwaltung der Benutzerdaten. Servergespeicherte Benutzerprofile werden in der Regel verwendet. Verfügt der Benutzer lediglich über einen Computer, ist ein servergespeichertes Profil nicht erforderlich, es sei denn zu Datenschutzzwecken. Das verschlüsselnde Dateisystem sollte eingesetzt werden. Verwaltung von Standardeinstellungen. Eine begrenzte Anzahl an Überschreibungen ist zulässig. Diese Benutzer fungieren nicht als lokale Administratoren. Verwaltung erweiterter Einstellungen. Aufgrund der räumlichen Entfernung zum Administrator verfügen reisende Benutzer häufig über umfangreiche Steuerungsberechtigungen für die verwendeten Laptops. Standardmäßige Softwareinstallation und -wartung. Alle Aspekte werden angewendet. Die Anwendungsveröffentlichung kann verwendet werden, vorausgesetzt, Anwendungen können lokal installiert werden. Verwenden Sie für optionale Funktionen nicht die bedarfsgesteuerte Installation. Erweiterte Softwareinstallation und -wartung. Anwendungen können nur dann zugewiesen werden, wenn sie lokal installiert werden. Ermöglichen Sie Benutzern die Installation von einer lokalen Quelle, beispielsweise einer CD, wenn keine Verbindung zu den Softwareverteilungspunkten besteht.
842
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Erweiterte Remoteinstallation des Betriebssystems Auf tragbaren Compu-
tern wird die Remoteinstallation des Betriebssystems nur dann unterstützt, wenn diese über eine Dockingstation mit einem Remoteboot-ROM oder über einen unterstützten Netzwerkadapter mit dem Netzwerk verbunden sind. Stellen Sie Benutzern ohne Dockingstation oder Benutzern, die aufgrund der seltenen Verwendung der Dockingstation keine Remoteinstallation durchführen können, alternative Lösungen oder Verfahren zum Neuinstallieren des Betriebssystems zur Verfügung.
Anforderungen aufgabenbasierter Benutzer Aufgabenbasierte Benutzer verfügen in der Regel nicht über einen eigenen Computer. Nach der Abmeldung dieser Benutzer vom Computer dürfen keine Datendateien mit Benutzereinstellungen zurückbleiben. Diese Benutzer können weder Anwendungen installieren oder Dateien außerhalb der Netzwerkfreigabe erstellen noch die vom Administrator festgelegte Konfiguration des Computers ändern. In bestimmten Fällen handelt es sich bei diesen Computern um Windows Terminaldienste-Clients. Im Folgenden wird die Anwendung der Änderungs- und Konfigurationsverwaltung auf aufgabenbasierte Benutzer dargestellt: ? Standardverwaltung der Benutzerdaten. Alle Aspekte gelten für Nicht-
?
? ? ?
?
?
Kioskumgebungen. Der Desktop wird umgeleitet. Es findet keine lokale Speicherung statt. In Kioskumgebungen werden lokale Profile bei der Abmeldung des Benutzers gelöscht. Erweiterte Verwaltung der Benutzerdaten. Servergespeicherte Benutzerprofile werden nur dann verwendet, wenn es sich um eine Nicht-KioskUmgebung handelt. Es sollten keine Daten zurückbleiben. Verwaltung von Standardeinstellungen. Der Desktop wird umgeleitet. Es findet eine umfassende Steuerung der Computereinstellungen statt. Verwaltung erweiterter Einstellungen. Der Desktop wird umgeleitet. Es findet eine umfassende Steuerung der Computereinstellungen statt. Standardmäßige Softwareinstallation und -wartung. Die meisten Anwendungen werden einem Computer und nicht einem Benutzer zugewiesen. Werden Benutzern zugewiesene Anwendungen benötigt, müssen diese über das Netzwerk ausgeführt werden. Erweiterte Softwareinstallation und -wartung. Anwendungen werden lediglich zugewiesen. Lassen Sie lediglich die ausschließliche Softwareinstallation über das Netzwerk zu. Standardmäßige Remoteinstallation des Betriebssystems. Der Zugriff auf die Optionen der Remoteinstallation des Betriebssystems wird vollständig entfernt. Sämtliche Installationen werden entweder von Administratoren oder Helpdeskmitarbeitern durchgeführt. Alternativ besteht die Möglichkeit, die Installationsoptionen einzuschränken und die Installation des Betriebssystems automatisch durchzuführen.
Kapitel 24 Anwenden der Änderungs- und Konfigurationsverwaltung
843
Zusammenfassung In Tabelle 24.6 wird die Änderungs- und Konfigurationsverwaltungsstrategie für eine große Organisation mit verschiedenen Benutzertypen dargestellt. Tabelle 24.6 Änderungs- undKonfigurationsverwaltungsstrategie (Beispiel) Klassifizierung der Benutzer
Verwaltungder Benutzerdaten
Verwaltung der Benutzereinstellungen
Softwareinstallation und -wartung
Remoteinstallation des Betriebssystems
Technische Benutzer Stationäre Benutzer MobileBenutzer
Standard
Standard
Erweitert
Standard
Standard (ohne Sperrung) Standard
Erweitert
Standard
Erweitert
Standard
Erweitert
Standard
Erweitert Erweitert
Standard Erweitert
Erweitert Erweitert
Erweitert Standard
Reisende Benutzer Aufgabenbasierte Benutzer
Verwenden Sie für die Verwaltung von Benutzerdaten folgende Richtlinien: ? Die Standardverwaltung der Benutzerdaten sollte in Unternehmen eingesetzt
werden, die für die Clientcomputer lediglich einen geringen Verwaltungsaufwand betreiben. ? Die erweiterte Verwaltung der Benutzerdaten richtet sich besonders in
Umgebungen mit hohem Verwaltungsaufwand nach den Benutzertypen sowie nach den Diensten, die beispielsweise von Benutzern in Führungspositionen benötigt werden. Bei der Verwaltung der Benutzereinstellungen wurden folgende Richtlinien angewendet: ? Die Verwaltung von Standardeinstellungen wird hauptsächlich in Organisa-
tionen eingesetzt, die für Clientcomputer lediglich einen geringen Verwaltungsaufwand betreiben. In den meisten Fällen wird sie auf verwaltungsintensive Clientcomputer angewendet. Die Verwaltung von Standardeinstellungen wird insbesondere dann verwendet, wenn zahlreiche Administratoren zur Verfügung stehen. ? Die Verwaltung erweiterter Einstellungen wird hauptsächlich in verwaltungsintensiven Umgebungen eingesetzt, in denen die Supportkosten eine Rolle spielen, wie z. B. in Schulen, Krankenhäusern und Fertigungsstätten. Bei der Softwareinstallation und -wartung wurden folgende Richtlinien angewendet: ? Die standardmäßige Softwareinstallation und -wartung kommt hauptsächlich
bei der Veröffentlichung der Organisationssoftware zum Einsatz. ? Die erweiterte Softwareinstallation und -wartung wird hauptsächlich in verwaltungsintensiven Umgebungen eingesetzt, in denen die Supportkosten eine Rolle spielen, wie z. B. in Schulen, Krankenhäusern und Fertigungsstätten.
844
Teil VI
Windows 2000 Professional/Clienteinrichtung
Bei der Remoteinstallation des Betriebssystems wurden folgendeRichtlinien angewendet: ? Die standardmäßige Remoteinstallation des Betriebssystems wird verwendet,
wenn Benutzeroptionen eingeschränkt oder automatisiert werden. Ist die Remoteinstallation des Betriebssystems durch Benutzer zulässig, sollte diese jedoch lediglich während des Systemstarts und unter Eingabe des Benutzernamens und Kennworts durchgeführt werden können. ? Die erweiterte Remoteinstallation des Betriebssystems wird verwendet, wenn der Benutzer das zu installierende Betriebssystemabbild sowie die Art der Installation auswählen kann oder wenn der Benutzer aufgrund bestimmter Umstände bei der Installation zusätzliche Flexibilität benötigt.
Planungstaskliste für die Änderungs- und Konfigurationsverwaltung In Tabelle 24.7 werden die Aufgaben zusammengefasst, die für die Erstellung des Windows 2000-Änderungs- und Konfigurationsverwaltungsplans erforderlich sind. Planungstaskliste für die Änderungs- undKonfigurationsverwaltung Aufgabe
Kapitel
Festlegen der Anforderungen von Benutzern und Organisationen an die Änderungs- und Konfigurationsverwaltung. Bewerten und Auswählen gewünschter Windows 2000-Funktionen für die Änderungsund Konfigurationsverwaltung. Verwenden der Remoteinstallation des Betriebssystems zum Installieren von Windows 2000. Konfigurieren von Gruppenrichtlinien zum Aktivieren der IntelliMirrorSoftwareinstallation und -wartung.
Bewerten der Änderungs- und Konfigurationsverwaltung
Konfigurieren von Serverfreigaben und Gruppenrichtlinien für die Verwaltung von Benutzerdaten. Konfigurieren von Serverfreigaben und Gruppenrichtlinien für die Verwaltung von Benutzereinstellungen.
Bewerten der Änderungs- und Konfigurationsverwaltung Aktivieren der Remoteinstallation des Betriebssystems Verwenden einer Gruppenrichtlinie zum Verbessern der Softwareverwaltung Verwalten von Benutzerdaten und -einstellungen in einemNetzwerk Verwalten von Benutzerdaten und -einstellungen in einem Netzwerk
845
K A P I T E L
2 5
Automatisieren der Clientinstallation und -aktualisierung Sie können nun die automatisierte Installation von Microsoft® Windows® 2000 Professional und der damit verbundenen Anwendungen entwickeln und durchführen. Dies ist die Grundvoraussetzung für alle Phasen der Einrichtung: Testphase, Pilotprojekt und Produktionseinführung. In diesem Kapitel werden die verfügbaren Methoden für automatisierte Installationen vorgestellt, u. a. die erforderlichen Vorbereitungen und Beispielkonfigurationen. Netzwerktechniker, die am Entwurf des Installationsprozesses beteiligt sind, und Netzwerkadministratoren, die sich mit der Installation von Windows 2000 und den damit verbundenen Anwendungen befassen, sollten sich mit dem Inhalt dieses Kapitels vertraut machen. Bei der Installation von Windows 2000 Professional wird unterschieden zwischen der Neuinstallation auf Computern, auf denen kein älteres Betriebssystem als Microsoft ® Windows® 2000 installiert ist, und der Neuinstallation bzw. Aktualisierung von Computern, auf denen gegenwärtig Microsoft® Windows® 95, Microsoft ® Windows® 98 oder Microsoft ® Windows NT® Workstation, Version 3.51 oder Version 4.0, ausgeführt wird. Bevor Sie eine Entscheidung hinsichtlich Neuinstallation oder Aktualisierung treffen, müssen Sie einige kritische Planungsfragen klären, die in der Planungsübersicht dieses Buches bereits angesprochen wurden. In diesemKapitel Entscheiden zwischen Aktualisierung und Neuinstallation 846 Vorbereiten der Installation 848 Automatisieren der Installation von Clientanwendungen 864 Automatisieren der Installation von Windows 2000 Professional Beispiele zu Installationskonfigurationen 889 Installationstaskliste 893
869
Zielsetzungen Anhand dieses Kapitels können Sie das folgende Planungsdokument erstellen: ? Plan für die automatisierte Installation
WeiterführendeInformation in der technischen Referenz ? Weitere Informationen zur Planung finden Sie in der „Planungsübersicht“ in diesem Buch. ? Weitere Informationen zum Automatisieren von Serverinstallationen finden Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ in diesem Buch.
846
Teil VI
Windows 2000 Professional/Clienteinrichtung ? Weitere Informationen zum Verwalten von Clientcomputern finden Sie unter
„Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. ? Weitere Informationen zu den Parametern für die unbeaufsichtigte Installation, auf die in diesem Kapitel Bezug genommen wird, finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Windows 2000-CD. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Benutzen Sie in Windows 95 und früheren Versionen bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. ? Weitere Informationen zur unbeaufsichtigten Installation, u. a. zu Beispielantwortdateien, finden Sie im Anhang „Beispielantwortdateienfür die unbeaufsichtigteInstallation“ in diesem Buch.
Entscheiden zwischen Aktualisierung und Neuinstallation In der Firmenumgebung ist es zu kostenintensiv, für jeden Computer die interaktive Standardinstallation von Windows 2000 zu verwenden. Sie können automatisierte Installationen von Windows 2000 Professional auf mehreren Computern durchführen, um die Gesamtbetriebskosten erheblich zu senken. Kritische Entscheidung Vor dem Automatisieren der Installation von Windows 2000 Professional muss geklärt werden, ob eine Neuinstallation oder eine Aktualisierung von Windows NT durchgeführt werden soll. Die folgenden Überlegungen sind hilfreich bei der Entscheidung, ob eine Aktualisierung oder eine Neuinstallation durchgeführt werden soll. ? Wenn in einer Organisation bereits ein Windows-Betriebssystem implementiert
wurde und die IT-Abteilung zentral verwaltet wird, kommt eine Aktualisierung in Betracht. Wird geplant, eine verwaltete Umgebung aufzubauen, die es in der Organisation zurzeit noch nicht gibt, kommt eine Neuinstallation in Betracht, damit bei der Installation die Standardkonfigurationen implementiert werden können. ? Möchten Sie dagegen die vorhandene Hard- und Software weiter verwenden, kommt nur eine Aktualisierung in Betracht. Ist der Erwerb neuer Hardware geplant und sollen neue Softwareanwendungen installiert werden, bietet sich eineNeuinstallationan.
Klären wichtiger Planungsfragen Soll Windows 2000 Professional auf Computern installiert werden, auf denen noch kein Windows-Betriebssystem installiert ist, liegt eine Neuinstallation nahe. Wird auf den Computern aktuell Windows 95, Windows 98, Windows NT Workstation 3.51 oder Windows NT Workstation 4.0 ausgeführt, muss überlegt werden, ob es kostengünstiger ist, das bestehende Betriebssystem zu aktualisieren oder eine Neuinstallation durchzuführen.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
847
Typische Planungsfragen sind in Tabelle 25.1 zusammengefasst. Tabelle 25.1 Planungsaspekte, die vor der Aktualisierung oder Installation geklärt werden müssen Aspekt
Aufgabe
Organisationsziele
Legen Sie die Hauptziele der Firma fest.
Regionale Anforderungen
Legen Sie die regionalen Anforderungen fest, und berücksichtigen Sie, ob internationale Zweigstellen oder Firmen in den Geschäftsablauf einbezogen sind. Berücksichtigen Sie die Benutzergruppen, u. a. deren Aufgabenkategorien und Anforderungen, EDVKenntnisse und -Erfahrungen, Sicherheitsanforderungen und Standorte der Benutzer sowie die Anforderungen an Netzwerkverbindungen, u. a. die Verbindungsgeschwindigkeit. Legen Sie fest, welche Produkte auf allen Computern vorinstalliert werden, welche Produkte nur bestimmten Benutzern angeboten werden und welche Produkte an individuelle Benutzergruppen verteilt werden sollen. Analysieren Sie die aktuellen Datenspeicher- und Benutzereinstellungen, legen Sie den Migrationsbedarf für Benutzereinstellungen fest und überprüfen Sie verbindliche, servergespeicherte und lokale Profile. Inventarisieren Sie die vorhandene Hardware, und stellen Sie den Bedarf für Neuanschaffungen fest. Legen Sie vor einer Aktualisierung oder Installation die Mindestanforderungen an die Hardware fest.
Benutzergruppen
Anwendungsanforderungen
Computer- und Benutzerstrategien
Hardware
Risiko- und Problembereiche
Wachstumserwartungen
Netzwerkfaktoren
Softwareverwaltung
Konnektivität
Planen Sie den zukünftigen Computerbedarf voraus. Bestimmen Sie, wie Computer in der Organisation wieder verwendet werden. Stellen Sie fest, ob alle Computer über Boot-CDs verfügen. Berücksichtigen Sie mögliche Risiken, u. a. Inkompatibilitäten mit Windows 2000, Zeitfaktoren, mehrere Standorte, dezentralisierte Budgets oder die Auswirkungen möglicher zukünftiger Zusammenschlüsse. Berücksichtigen Sie das zu erwartende Wachstum im Laufe des nächsten Jahres, der nächsten 3 und der nächsten 5 Jahre. Geplante Fusionen, neue Standorte, Länder usw. müssen in die Planung einbezogen werden, sobald sie bekannt werden. Stellen Sie fest, ob die Remotestandorte über Server für Anwendungseinrichtungen verfügen. Bestimmen Sie, wie die Server außerhalb des Hauptstandortes aktualisiert werden. Stellen Sie fest, ob für die Einrichtung ein System für Softwareverwaltung zur Verfügung steht, z. B. Microsoft ® Systems Management Server. Stellen Sie fest, ob die Server und die Serververbindungen so eingerichtet sind, dass umfangreiche Pakete an alle Benutzer in der Firma verteilt werden können.
848
Teil VI
Windows 2000 Professional/Clienteinrichtung
Auswählen der Installationsmethode Nachdem Sie die kritischen Planungsfragen geklärt haben, können Sie die Methoden auswählen, die Sie zur Automatisierung der Installation verwenden möchten. Tabelle 25.2 fasst die Methoden der automatisierten Installation zusammen und gibt an, ob sie für die Aktualisierung, die Neuinstallation oder für beides verwendet werden können. Tabelle 25.2 Methoden zur automatisierten Installation Methode
Windows2000-Version
Aktualisierung
Neuinstallation
Syspart
Server und Professional
Nein
Ja
Sysprep SMS
Server und Professional Server und Professional
Nein Ja
Ja Nein
Boot-CD Remoteinstallation des Betriebssystems Unbeaufsichtigte Installation
Server und Professional Professional
Nein Nein
Ja Ja
Server und Professional
Ja
Ja
Vorbereiten der Installation Zum Vorbereiten der Neuinstallation von Windows 2000 Professional gehören die folgenden Faktoren: ? Erstellen des Verteilungsordners. ? Kenntnisse über die Verwendung von Antwortdateien. ? Kenntnisse der Setup-Befehle von Windows 2000.
Hinweis Die in diesem Abschnitt beschriebene Vorgehensweise beim Durchführen einer automatisierten Installation bezieht sich sowohl auf die Neuinstallation als auch auf die Aktualisierung. Ein typisches Szenario stellt wohl die Neuinstallation dar. Das Flussdiagramm in Abbildung 25.1 stellt den Installationsprozess grafisch dar.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
849
Abbildung 25.1 Flussdiagramm zur automatisierten Installation
Erstellen von Distributionsordnern Um Windows 2000 Professional über ein Netzwerk auf mehreren Computern zu installieren, muss mindestens ein Satz Distributionsordner erstellt werden. Die Distributionsordner werden in der Regel auf einem Server eingerichtet, mit dem sich Clientcomputer verbinden können. Anschließend installieren Sie Windows 2000 auf dem Zielcomputer, indem Sie den Befehl Winnt.exe oder Winnt32.exe ausführen. Für verschiedene Systemimplementierungen kann derselbe Satz an Distributionsordnern mit unterschiedlichen Antwortdateien verwendet werden. Auch wenn Festplattenabbildungals Installationsmethode gewählt wurde, bieten die Distributionsordner konsistente Implementierungen für zahlreiche Systemtypen. Ferner können Sie Distributionsordner zum Aktualisieren zukünftiger Abbilder verwenden, indem Sie entweder die Dateien in den Distributionsordnern bearbeiten oder die Antwortdateien ändern, um aktualisierte Abbilder zu erstellen, ohne den gesamten Vorgang zu wiederholen.
850
Teil VI
Windows 2000 Professional/Clienteinrichtung
Sie können Distributionsordner auf mehreren Servern erstellen, um für einen Lastenausgleich der Server zu sorgen und die Kopierphase der Dateien für die Windows 2000-Installation für Computer zu beschleunigen, auf denen Windows 95, Windows 98, Windows NT oder Windows 2000 bereits ausgeführt wird. Anschließend können Sie Winnt32.exe mit bis zu acht Quelldateiordnern ausführen. Kritische Entscheidung Vor dem Automatisieren der Installation von Windows 2000 Professional muss geklärt werden, ob eine Neuinstallation oder eine Aktualisierung von Windows NT durchgeführt werden soll. Hinweis In diesem Kapitel bezieht sich der Begriff „Windows NT“ sowohl auf Microsoft® Windows NT® 3.51 als auch auf Microsoft® Windows NT® 4.0. Die Distributionsordner enthalten die Installationsdateien von Windows 2000 Professional, Gerätetreiber und andere bei der Installation benötigte Dateien. Der Installations-Manager, ein Programm auf der Windows 2000 ProfessionalCD, ist beim Automatisieren des Prozesses zum Erstellen von Distributionsordnern hilfreich. Weitere Informationen zum Installations-Manager finden Sie unter „Erstellen der Antwortdatei“ an späterer Stelle in diesem Kapitel. Hinweis In diesem Kapitel wird die „Windows 2000-Installation“ auch als „Installation“bezeichnet. ? So erstellen Sie einen Distributionsordner 1. Stellen Sie eine Verbindung zu dem Netzwerkserver her, auf dem der Distributionsordner erstellt werden soll. 2. Erstellen Sie einen \i386-Ordner in der Distributionsfreigabe auf dem Netzwerkserver. Um zwischen den Distributionsfreigaben für die verschiedenen Versionen von Windows 2000 (Microsoft® Windows 2000 Professional, Microsoft ® Windows 2000 Server und Microsoft ® Windows 2000 Advanced Server) zu unterscheiden, können Sie für diesen Ordner einen anderen Namen auswählen. Sollen lokalisierte Sprachversionen von Windows 2000 für internationale Zweigstellen der Organisation verwendet werden, können Sie für jede lokalisierte Version eine eigene Distributionsfreigabe erstellen. 3. Kopieren Sie den Inhalt des Ordners \i386 von der CD für Windows 2000 Professional in den erstellten Ordner. 4. Erstellen Sie in diesem Ordner einen Unterordner mit dem Namen $OEM$. Der Unterordner $OEM$ bietet die notwendige Ordnerstruktur für zusätzliche Dateien, die während der Installation auf den Zielcomputer kopiert werden. Der Ordner kann Treiber, Tools, Anwendungen und andere Dateien enthalten, die zum Einrichten von Windows 2000 Professional innerhalb der Organisation erforderlich sind.
Strukturieren des Distributionsordners Ein Beispiel für die Struktur eines Distributionsordners ist in Abbildung 25.2 dargestellt.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
Abbildung 25.2
851
Beispielstruktur eines Distributionsordners
i386 Hier handelt es sich um den Distributionsordner, der alle zur Installation von Windows 2000 erforderlichen Dateien enthält. Diesen Ordner erstellen Sie im Stammverzeichnis der Distributionsfreigabe, indem Sie den Inhalt des Ordners i386 auf der Betriebssystem-CD von Windows 2000 Professional in den Distributionsordnerkopieren.
$OEM$ Der Unterordner $OEM$ wird im Distributionsordner direkt unter dem Ordner I386 erstellt. Während der Installation können Sie Verzeichnisse, Dateien im 8 + 3Standardformat und alle für den automatisierten Installationsprozess benötigten Dateien automatisch in den Unterordner $OEM$ kopieren. Beachten Sie, dass Sie beim Verwenden des OEMFILESPATH-Schlüssels in der Antwortdatei den Unterordner $OEM$ außerhalb des Distributionsordners erstellen können. Informationen zur Definition der Antwortdatei finden Sie unter „Überprüfen der Antwortdatei“ an späterer Stelle in diesem Kapitel. Weitere Informationen zu den Parametern und der Syntax von Antwortdateien finden Sie
852
Teil VI
Windows 2000 Professional/Clienteinrichtung
unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. DieDatei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Der Unterordner $OEM$ kann die optionale Datei Cmdlines.txt umfassen, in der eine Liste der Befehle enthalten ist, die während des grafischen Teils von Setup ausgeführt werden. Diese Befehle können zum Installieren zusätzlicher Programme verwendet werden, die in die Installation eingeschlossen werden sollen. Weitere Informationen zu der Datei Cmdlines.txt finden Sie unter „Verwenden von Cmdlines.txt“ an späterer Stelle in diesem Kapitel. Findet Setup den Unterordner $OEM$ im Stammverzeichnis des Verteilungspunktes vor, werden alle Dateien aus diesem Verzeichnis in das temporäre Verzeichnis kopiert, das während des nichtgrafischen Teils der Installation erstellt wird. Hinweis In diesem Kapitel wird der GUI-Teil der Installation als „GUI-Modus“ und der nichtgrafische Teil als „nichtgrafischer Modus“ bezeichnet.
$OEM$\textmode Der Unterordner $OEM$\textmode enthält neue oder aktualisierte Dateien zur Installation der Treiber für Massenspeichergeräte und Hardwareabstraktionsschichten (HAL – Hardware Abstraction Layer). Diese Dateien können OEMHALs, Treiber für SCSI-Geräte und Txtsetup.oem enthalten, worüber das Laden und Installieren dieser Komponenten gesteuert wird. Stellen Sie sicher, dass die Datei Txtsetup.oem einbezogen wird. Alle Dateien, die sich im Unterordner $OEM$\textmode befinden (HALs, Treiber und Txtsetup.oem) müssen im Abschnitt [OEMBootFiles] der Antwortdatei aufgeführt werden.
$OEM$\$$ Der Unterordner $OEM$\$$ entspricht den Umgebungsvariablen %systemroot% oder %windir%. Der Unterordner enthält zusätzliche Dateien, die in die verschiedenen Unterordner des Windows 2000-Installationsverzeichnisses kopiert werden sollen. Die Struktur dieses Unterordners muss der Struktur einer standardmäßigen Windows 2000-Installationentsprechen, wobei $OEM$\$$ den Variablen %systemroot% oder %windir% (z. B. C:\Winnt), $OEM$\$$\System32 der Variable %windir%\System32 entspricht, und so fort. Jeder Unterordner muss die Dateien enthalten, die in den entsprechenden Systemordner auf dem Zielcomputer kopiert werden sollen.
$OEM$\$1 Der mit Windows 2000 neu eingeführte Unterordner $OEM$\$1verweist auf das Laufwerk, auf dem Windows 2000 installiert ist. Die Bezeichnung $1 entspricht der Umgebungsvariablen %systemdrive%. Wird Windows 2000 z. B. auf Laufwerk D: installiert, zeigt $OEM$\$1 auf Laufwerk D:.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
853
$OEM$\$1\pnpdrvrs Mit Hilfe des Unterordners $OEM$\$1\pnpdrvrs, der mit Windows 2000 neu eingeführt wurde, können Sie neue oder aktualisierte Treiber für Plug & PlayGeräte im Distributionsordner speichern. Diese Ordner werden in den Ordner %systemdrive%\pnpdrvrs des Zielcomputers kopiert. Fügen Sie in der Antwortdatei den Parameter OemPnPDriversPath ein, sucht Windows 2000 während und nach der Installation in den erstellten wie auch in den ursprünglichen Ordnern nach neuen oder aktualisierten Plug & Play-Treibern. Beachten Sie, dass der Name pnpdrvrs durch einen Namen ersetzt werden kann, der höchstens acht Zeichen umfasst.
$OEM$\$1\Sysprep Der Unterordner $OEM$\$1\Sysprep ist optional. Dieser Unterordner umfasst die zum Ausführen des Dienstprogramms Sysprep benötigten Dateien. Weitere Informationen zu diesen Dateien finden Sie unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ an späterer Stelle in diesem Kapitel.
$OEM$\Laufwerkbuchstabe Im nichtgrafischen Modus wird die Struktur aller $OEM$\LaufwerkbuchstabeUnterordner in das Stammverzeichnis des entsprechenden Laufwerks auf dem Zielcomputer kopiert. Dateien, die Sie z. B. im Unterordner $OEM$\D ablegen, werden in das Stammverzeichnis von Laufwerk D: kopiert. Sie können auch weitere Unterordner in diesen Ordnern anlegen. Beispielsweise sorgt der Eintrag $OEM$\E\Misc dafür, dass Setup den Unterordner \Misc auf Laufwerk E: erstellt. Dateien, die umbenannt werden sollen, müssen in der Datei $$Rename.txt angegeben werden. Weitere Informationen zum Umbenennen von Dateien finden Sie unter „Konvertieren langer Dateinamen mit $$Rename.txt“ an späterer Stelle in diesem Kapitel. Beachten Sie, dass die Dateien in den Distributionsordnern den Konventionen für kurze Dateinamen (Format 8 + 3) folgen müssen.
Installieren von Massenspeichergeräten Unter Windows 2000 werden über Plug & Play die meisten Hardwaregeräte erkannt und installiert, die zu einem späteren Zeitpunkt während der Installation geladen werden können. Massenspeichergeräte, z. B. Festplatten, müssen jedoch ordnungsgemäß installiert sein, damit im GUI-Modus die Unterstützung durch Plug & Play vollständig zur Verfügung steht. Hinweis Ein Gerät, das bereits durch Windows 2000 unterstützt wird, braucht nicht angegeben zu werden.
854
Teil VI
Windows 2000 Professional/Clienteinrichtung
Um SCSI-Geräte im nichtgrafischen Modus zu installieren, also bevor die Plug & Play-Unterstützung zur Verfügung steht, muss eine Txtsetup.oem-Datei vorhanden sein, in der beschrieben wird, wie ein bestimmtes SCSI-Gerät installiert werden soll. Wichtig Stellen Sie vor dem Verwenden aktualisierter Treiber sicher, dass sie signiert sind. Wenn sie nicht signiert sind, schlägt die Installation fehl. Sie können den Status einzelner Treiber im Gerätemanager überprüfen oder die Datei Sigverif.exe ausführen, um im Unterordner %windir% die Datei Sigverif.txt zu erstellen. In Sigverif.txt wird der Status aller Treiber im System aufgeführt. ? So installieren Sie ein Massenspeichergerät 1. Erstellen Sie im Unterordner $OEM$ des Distributionsordners den Unterordner \Textmode. 2. Kopieren Sie die folgenden, beim Gerätehersteller erhältlichen Dateien in den Unterordner \Textmode (ersetzen Sie den Begriff Treiber durch den entsprechendenTreibernamen): ? Treiber.sys ? Treiber.dll ? Treiber.inf ? Txtsetup.oem Hinweis Einige Treiber, z. B. SCSI-Miniporttreiber, enthalten möglicherweise keine DLL-Datei. 3. Erstellen Sie in der Antwortdatei einen Abschnitt [MassStorageDrivers], und geben Sie in diesem Abschnitt die Treibereinträge ein, die berücksichtigt werden sollen. Ein möglicher Eintrag im Abschnitt [MassStorageDrivers] kann z. B. folgendermaßenlauten: "Adaptec 2940…" = "OEM"
Informationen zu diesem Abschnitt finden Sie in der Datei Txtsetup.oem, die beim Hardwarehersteller erhältlich ist. Weitere Informationen zu den Parametern und der Syntax von Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den WindowsExplorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. 4. Erstellen Sie in der Antwortdatei einen Abschnitt [OEMBootFiles], und geben Sie in diesem Abschnitt eine Liste der Dateien im Ordner $OEM$\Textmode ein. Ein möglicher Eintrag im Abschnitt [OEMBootFiles] kann z. B. folgendermaßenlauten: [OEMBootFiles] Treiber.sys Treiber.dll Treiber.inf Txtsetup.oem
Treiber steht für den jeweiligen Treibernamen.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
855
5. Handelt es sich bei dem Massenspeichergerät um ein Plug & Play-Gerät, enthält die Datei Txtsetup.oem einen Abschnitt mit dem Namen [HardwareIds.Scsi.yyyyy]. Ist ein entsprechender Abschnitt nicht vorhanden, müssen Sie ihn erstellen und mit den folgenden Einträgen versehen: "xxxxx" , "yyyyy"
xxxxx stellt hierbei die Geräte-ID und yyyyy den mit dem Gerät verbundenen Dienst dar. Stellen Sie sicher, dass die Datei Txtsetup.oem folgendenzusätzlichen Abschnitt enthält, um beispielsweise den Treiber Symc810 mit der Geräte-ID PCI\VEN_1000&DEV_0001 zu installieren: [HardwareIds.scsi.symc810] id = "PCI\VEN_1000&DEV_0001" , "symc810"
Installieren der Hardwareabstraktionsschichten (HALs) Um die Hardwareabstraktionsschichten (HALS) für die Installation festzulegen, werden eine Txtsetup.oem-Datei sowie die HAL-Dateien benötigt, die beim Händlererhältlich sind. Beim Installieren der Gerätetreiber für Massenspeicher muss dieselbe Txtsetup.oem-Datei verwendet werden. Es kann nur eine Txtsetup.oem-Datei verwendet werden; wenn also HALs und Gerätetreiber für Massenspeicher installiert werden sollen, müssen die Einträge in einer Datei kombiniert werden. Wenn Treiber von Drittanbietern verwendet werden, müssen Sie in der Antwortdatei entsprechende Änderungen vornehmen. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. ? So installieren Sie eine HAL 1. Falls nicht bereits geschehen, erstellen Sie im Ordner $OEM$ einen Unterordner \Textmode. 2. Kopieren Sie die Dateien des Geräteherstellers in den Unterordner \Textmode. 3. Bearbeiten Sie in der Antwortdatei den Abschnitt [Unattend] für die HAL, und fügen Sie alle Treiber hinzu, die installiert werden sollen. Geben Sie z. B. Folgendes ein: [Unattend] Computertype = "HAL-Beschreibung ", OEM
Informationen zur HAL-Beschreibung finden Sie im Abschnitt [Computer] in der Datei Txtsetup.oem des Treiberherstellers. 4. Erstellen Sie in der Antwortdatei einen Abschnitt [OEMBootFiles], und geben Sie in diesem Abschnitt die Namen der Dateien im Ordner $OEM$\Textmode ein.
856
Teil VI
Windows 2000 Professional/Clienteinrichtung
Installieren von Plug & Play-Geräten Über folgende Prozedur werden Plug & Play-Geräte installiert, bei denen es sich weder um Massenspeichergeräte noch um HALs handelt und die nicht auf der Betriebssystem-CD für Windows 2000 enthalten sind. ? So installieren Sie Plug & Play-Geräte 1. Erstellen Sie im Distributionsordner einen Unterordner für bestimmte Plug & Play-Treiber und die entsprechenden INF-Dateien. Sie können z. B. einen Ordner mit dem Namen PnPDrvs erstellen: $OEM$\$1\PnPDrvs
2. Fügen Sie den Pfad zu der Liste der Plug & Play-Suchlaufwerke hinzu, indem Sie in der Antwortdatei die folgende Zeile einfügen: OEMPnPDriversPath = "PnPDrvs"
Befinden sich im Ordner PnPDrvs Unterordner, muss der Pfad für jeden Unterordner angegeben werden. Die Pfade müssen jeweils durch ein Semikolon voneinander abgetrennt werden. Um die Ordner so verwalten zu können, dass auch zukünftige Gerätetreiber berücksichtigt werden, erstellen Sie Unterordner für diese Treiber. Indem Sie die Ordner in Unterordner unterteilen, können Sie die Gerätetreiberdateien nach Gerätetyp speichern, so dass sich nicht alle Treiberdateien in einem Ordner befinden. Mögliche Unterordner sind z. B. Audio, Modem, Netz, Druck, Video und Andere. In dem Ordner Andere können mögliche neue Hardwaregeräte gespeichert werden, die zum jetzigen Zeitpunkt noch nicht bekannt sind. Enthält der Ordner PnpDrvs z. B. die Unterordner Audio, Modem und Netz, muss in der Antwortdatei folgende Zeile stehen: OEMPnPDriversPath = "PnPDrvs\Audio;PnPDrvs\Modem;PnPDrvs\Netz"
Konvertieren langer Dateinamen mit $$Rename.txt Während der Installation werden über die Datei $$Rename.txt kurzeDateinamen in lange Dateinamen umgewandelt. In $$Rename.txt werden alle Dateien eines bestimmten Ordners aufgeführt, die umbenannt werden müssen. Alle Ordner, die kurze Dateinamen enthalten, die umbenannt werden sollen, müssen über eine eigene Version von $$Rename.txt verfügen. Wenn Sie $$Rename.txt verwenden möchten, speichern Sie die Datei in einem Ordner, der zur Konvertierung vorgesehene Dateien enthält. Die Syntax für $$Rename.txt lautet: [Abschnittsname_1] kurzer_Name_1 = "langer_Name_1" kurzer_Name_2 = "langer_Name_2"
kurzer_Name_x = "langer_Name_x"
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
857
[Abschnittsname_2] kurzer_Name_1 = "langer_Name_1" kurzer_Name_2 = "langer_Name_2"
kurzer_Name_x = "langer_Name_x"
Die Parameter werden folgendermaßen festgelegt: Abschnittsname_x: Der Pfad zum Unterordner mit den Dateien. Ein Abschnitt kann namenlos oder mit einem umgekehrten Schrägstrich (\) gekennzeichnet sein; Letzteres weist darauf hin, dass der Abschnitt die Namen der Dateien oder Unterordner enthält, die sich im Stammverzeichnis des Laufwerks befinden. kurzer_Name_x: Der Name der Datei oder des Unterordners innerhalb dieses Unterordners, der geändert werden soll. Dieser Name muss nicht in Anführungszeichen gesetzt werden. langer_Name_x : Der neue Name der Datei oder des Unterordners. Dieser Name muss in Anführungszeichen eingeschlossen werden, wenn er Leerzeichen oder Kommataenthält. Tipp Wird MS-DOS zum Starten der Installation verwendet und die MS-DOSTools können Ordner mit Pfadnamen, die mehr als 64 Zeichen enthalten, nicht kopieren, können Sie kurze Dateinamen für die Ordner verwenden und diese mit $$Rename.txt zu einem späteren Zeitpunkt umbenennen.
Überprüfen der Antwortdatei Bei der Antwortdatei handelt es sich um ein benutzerdefiniertes Skript, das Fragen des Installationsprogramms stellvertretend für den Benutzer beantwortet. Die CD zu Windows 2000 Professional enthält eine Beispielantwortdatei, die Siebearbeiten und verwenden können. Die Antwortdatei heißt normalerweise Unattend.txt, kann jedoch umbenannt werden. (Bei Comp1.txt, Install.txt und Setup.txt handelt es sich beispielsweise um gültige Namen für eine Antwortdatei, wenn sie beim SetupBefehl ordnungsgemäß angegeben wurden.) Durch Umbenennen der Antwortdatei können Sie mehrere Antwortdateien erstellen und verwenden, wenn Sie verschiedene Skriptinstallationen für unterschiedliche Bereiche Ihrer Organisation benötigen. Beachten Sie, dass Antwortdateien auch von anderen Programmen verwendet werden; Sysprep greift beispielsweise auf die optionale Datei Sysprep.inf zurück. Antwortdateien enthalten Anweisungen für Setup, wie mit den erstellten Distributionsordnern und Dateien verfahren werden soll. Im Abschnitt [Unattend] der Antwortdatei befindet sich z. B. der Eintrag „OEMPreinstall“, über den Setup angewiesen wird, die $OEM$-Unterordner aus den Distributionsordnern auf den Zielcomputer zu kopieren.
858
Teil VI
Windows 2000 Professional/Clienteinrichtung
Die Antwortdatei umfasst mehrere optionale Abschnitte, die Sie mit den auf Ihre Installationsanforderungen zugeschnittenen Informationen ergänzen können. Die Antwortdatei stellt die Antworten auf alle Fragen bereit, die Sie bei einer interaktiven Standardinstallation von Windows 2000 selbst beantworten müssen. Die Datei Unattend.doc enthält detaillierte Informationen zu den Schlüsseln und Werten von Antwortdateien. Weitere Informationen zu Abschnitten von Antwortdateien und den zugehörigen Parametern finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Windows 2000-CD. DieDatei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Um eine unbeaufsichtigte Installation von Windows 2000 Professional durchzuführen, müssen Sie eine Antwortdatei erstellen und diese beim Starten der Installation angeben; die Installation kann entweder über die Boot-CD oder durch Ausführen von Winnt.exe bzw. Winnt32.exe erfolgen. Das folgende Beispiel für den Setup-Befehl verwendet Winnt.exe: Winnt /S:Z:\I386 /U:Z:\unattend.txt
Beachten Sie die Verwendung der Befehlzeilenoption /U:, mit der die unbeaufsichtigteInstallation eingeleitet wird. Weitere Informationen zu Winnt.exe und Winnt32.exe finden Sie unter „Überprüfen der Setup-Befehle von Windows 2000“ an späterer Stelle in diesem Kapitel.
Erstellen der Antwortdatei Bei der Antwortdatei handelt es sich um ein benutzerdefiniertes Skript, das zum Ausführen einer unbeaufsichtigten Installation von Windows 2000 Professional verwendet werden kann. Es gibt zwei Möglichkeiten, eine Antwortdatei zu erstellen: Sie können den Installations-Manager verwenden oder die Datei manuell erstellen.
Erstellen der Antwortdatei mit Hilfe des Installations-Managers Der Installations-Manager, der Sie beim Erstellen und Bearbeiten der Antwortdatei unterstützt, befindet sich auf der Betriebssystem-CD zu Microsoft Windows 2000. Er ist Teil der Datei Deploy.cab im Ordner \Support\Tools. Mit Hilfe des Installations-Managers wird das Erstellen oder Aktualisieren der Antwortdatei konsistent. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Sie können den Installations-Manager zur Durchführung der folgenden Aufgaben verwenden; aus den Antworten werden dann die Parameter der Antwortdatei erzeugt:
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
859
? Festlegen der Plattform für die Antwortdatei (Microsoft® Windows® 2000
?
? ?
? ? ? ? ? ? ? ? ? ?
Professional, Windows 2000 Server, Remoteinstallation des Betriebssystems oder Sysprep). Festlegen der Automatisierungsstufe für den unbeaufsichtigten Installationsmodus. (Diese Stufen umfassen „Standardeinstellungen angeben“, „Vollautomatisiert“, „Seiten ausblenden“, „Schreibgeschützt“ und „GUIgesteuert“.) Festlegen der Standardbenutzerdaten. Festlegen der Optionen für Computernamen, u. a. Erstellen einer UDF-Datei (Uniqueness Database File) zum Zugriff auf eine Datei mit gültigen Computernamen. Konfigurieren der Netzwerkeinstellungen. Erstellen von Distributionsordnern. Hinzufügen eines benutzerdefinierten Logos und Hinzufügen von Hintergrunddateien. Hinzufügen von Dateien zu den Distributionsordnern. Hinzufügen von Befehlen zum Abschnitt [GuiRunOnce]. Erstellen der Cmdlines.txt-Dateien. Festlegen der Codepages. Festlegen der Ländereinstellungen. Festlegen einer Zeitzone. Festlegen der TAPI-Informationen.
Folgende Funktionen können über den Installations-Manager nicht ausgeführt werden. ? Festlegen von Systemkomponenten, z. B. Internet-Informationsdienste. ? Erstellen der Txtsetup.oem-Dateien. ? Erstellen von Unterordnern im Distributionsordner.
In Tabelle 25.3 werden einige der am häufigsten verwendeten Spezifikationen für Antwortdateien aufgeführt, die mit Hilfe des Installations-Managers erstellt werden. Tabelle 25.3 Spezifikationen für Antwortdateien, die mit Hilfe des InstallationsManagers erstellt werden Parameter
Zweck
Installationspfad
Gibt den gewünschten Pfad auf dem Zielcomputer an, in dem Windows 2000 Professional installiert werden soll. Gibt an, ob von Windows 95, Windows 98, Windows NT oder Windows 2000 aktualisiert werden soll. Gibt den Benutzernamen, den Organisationsnamen und den Computernamen für den Zielcomputer an. Gibt die Produktkennung an, die aus der
Aktualisierungsoption
Name des Zielcomputers
Product ID
860
Teil VI
Windows 2000 Professional/Clienteinrichtung Produktdokumentation ersichtlich ist. (Fortsetzung) Parameter
Zweck
Arbeitsgruppe oder Domäne
Gibt den Namen der Arbeitsgruppe oder Domäne an, welcher der Computer angehört.
Zeitzone Netzwerkkonfigurationsdaten
Gibt die Zeitzone für den Computer an. Gibt den Netzwerkkartentyp und die Konfiguration mit Netzwerkprotokollen an.
Manuelles Erstellen der Antwortdatei Sie können einen normalen Texteditor verwenden, um die Antwortdatei manuell zu erstellen. Im Allgemeinen besteht eine Antwortdatei aus Abschnittsnamen, Parametern sowie den Werten für diese Parameter. Die meisten Abschnittsnamen sind zwar vordefiniert, Sie können jedoch zusätzliche Abschnittsnamen festlegen. Beachten Sie, dass in der Antwortdatei nicht alle möglichen Parameter angegeben werden müssen, wenn sie für die Installation nicht benötigt werden. Über ungültige Parameterwerte werden Fehler oder nicht ordnungsgemäße Abläufe verursacht. Die Antwortdatei weist das folgende Format auf: [Abschnitt1] ; ; Der Abschnitt enthält Schlüssel und die entsprechenden ; Werte für diese Schlüssel/Parameter. ; Schlüssel und Werte werden durch das Zeichen ' = ' von einander getrennt. ; Werte mit Leerzeichen müssen in Anführungszeichen ; "" eingeschlossen werden. ; Schlüssel = Wert . . [Abschnitt2] Schlüssel = Wert . .
Verwenden der Antwortdatei zum Einrichten von Kennwörtern Für folgende Kennwortbefehle können die Parameter gesetzt werden, wenn die Antwortdatei bei der Installation verwendet wird: ? AdminPassword ? UserPassword ? DefaultPassword ? DomainAdminPassword ? AdministratorPassword ? Password
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
861
Informationen zur Definition dieser Befehle finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. Ferner finden Sie einige Beispiele zu Antwortdateien, bei denen diese Parameter verwendet werden, im Anhang „Beispielantwortdateien für dieunbeaufsichtigte Installation“ in diesem Buch. Hinweis Kennwörter sind auf 127 Zeichen beschränkt. Wird ein Kennwort mit mehr als 127 Zeichen angegeben, kann keine Anmeldung am System vorgenommen werden, da das Kennwort ungültig ist. Nach Abschluss der Installation verbleibt eine Antwortdatei mit allen zur Konfiguration verwendeten Einstellungen auf dem Computer; aus Sicherheitsgründen werden die Kennwortdaten aber aus der lokalen Kopie der Antwortdatei entfernt. Achtung Während des Installationsprozesses ist die Antwortdatei jedoch auf der Festplatte zugänglich. Bestehen Bedenken hinsichtlich der Sicherheit, fügen Sie der für die unbeaufsichtigte Installation erstellten Antwortdatei keine Kennwortdaten hinzu. Mit Hilfe der lokalen Antwortdatei können Sie dieoptionalen Komponenten automatisch einrichten, indem Sie Befehle mit den Parametern ausführen, die in der ursprünglichen, während der Installation verwendeten Antwortdatei bereits zur Verfügung gestellt wurden. Diese Komponenten können das Konfigurieren des Servers als Domänencontroller bzw. als Clusterserver oder das Aktivieren von Message Queuing umfassen.
Erweitern von Festplattenpartitionen Sie können eine Installation auf einer kleinen Partition (etwa 1 GB auf einer größeren Festplatte) beginnen und diese Partition während des Installationsprozesses von Windows 2000 erweitern, indem Sie den ExtendOEMPartition-Parameter in der Antwortdatei verwenden. Der ExtendOEMPartition-Parameter kann nur bei NTFS-Partitionen verwendet werden; er kann sowohl in normalen Antwortdateien als auch in Antwortdateien enthalten sein, die für eine Sysprepbasierte Installation eingesetzt werden. Weitere Informationen zu Sysprep und der Datei Sysprep.inf finden Sie unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ an späterer Stelle in diesem Kapitel. Hinweis ExtendOEMPartition kann nur auf der aktiven Systempartition verwendet werden. Dieser Parameter kann weder auf anderen Partitionen derselben Festplatte noch auf anderen Festplatten des Computers verwendet werden. Die Angabe ExtendOemPartition=1 bewirkt, dass der gesamte verbleibende Festplattenspeicherplatz in die Erweiterung einbezogen wird, wobei der letzte Zylinder jedoch leer bleibt. Dieses Verhalten ist beabsichtigt, damit Sie dynamische Datenträger aktivieren können.
862
Teil VI
Windows 2000 Professional/Clienteinrichtung
Wird ExtendOEMPartition während einer unbeaufsichtigten Installation auf einer FAT-Partition verwendet, müssen Sie im Abschnitt [Unattended] der Antwortdatei den Eintrag File System=ConvertNTFS angeben, um die Partition zuerst in NTFS zu konvertieren. Weitere Informationen zur Verwendung von ExtendOEMPartition bei einer Sysprep-basierten Installation finden Sie unter „Verwenden von Sysprep zum Erweitern von Festplattenpartitionen“ an späterer Stelle in diesem Kapitel. Weitere Informationen zur Verwendung von ExtendOemPartition finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen.
Überprüfen der Setup-Befehle für Windows 2000 Zum Installieren von Windows 2000 muss das entsprechende Windows 2000Setupprogramm, entweder Winnt.exe oder Winnt32.exe ausgeführt werden. In diesem Kapitel werden sowohl Winnt.exe als auch Winnt32.exe als „Setup“ bezeichnet. Zunächst müssen Sie feststellen, welcher Setup-Befehl ausgeführt werden muss: ? Führen Sie Winnt.exe über die MS-DOS-Befehlszeile aus, um eine Neuinstal-
lation auf einem Computer unter MS-DOS oder Microsoft® Windows® 3.x zu starten ? Führen Sie Winnt32.exe aus, wenn eine Neuinstallation oder eine Aktualisierung von Windows NT, Windows 95 oder Windows 98 durchgeführt werden soll.
Beachten Sie, dass ein interaktives Standardsetup direkt von der Bootdiskette durchgeführt werden kann, die im Lieferumfang der CD zu Windows 2000 Professional enthalten ist. Achtung Werden vor der Installation von Windows 2000 Anwendungen auf dem Computer aktualisiert, stellen Sie sicher, dass der Computer vor dem Ausführen von Setup neu gestartet wird. Weitere Informationen zu Installationsmethoden finden Sie unter „Automatisieren der Installation von Windows 2000 Professional“ an späterer Stelle in diesem Kapitel.
Winnt.exe Der Befehl Winnt.exe mit den Parametern, die auf automatisierte Installationen angewendet werden, lautet wie folgt: winnt [/S[:Quellpfad]][/T[:temporäresLaufwerk]]/U[ :Antwortdatei]][/udf:id[,UDF_Datei]] [/R[x]:Ordner][/E:Befehl]
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
863
Informationen zu den Parameterdefinitionen finden Sie im Anhang „Setup-Befehle“ in dieser Dokumentation. Bei Festplattenlaufwerken mit mehreren Partitionen wird Windows 2000 über die Winnt.exe-Version von Setup auf die aktive Partition installiert, wenn die Partition über genügend Speicherplatz verfügt. Andernfalls sucht Setup nach weiteren Partitionen, die über ausreichend Speicherplatz verfügen, und fordert Sie auf, die gewünschte Partition auszuwählen. Bei automatisierten Installationen können Sie die Eingabeaufforderung überspringen, indem Sie Setup mit dem Parameter /T ausführen und die gewünschte Partition angeben, z. B.: winnt [/unattend] [:\answer.txt] [/T[:d]]
Winnt32.exe Der Befehl Winnt32.exe mit den Parametern, die auf automatisierte Installationen angewendet werden, lautet wie folgt: winnt32 [/s:Quellpfad] [/tempdrive:Laufwerkbuchstabe] [/unattend[num][:Antwortdatei]] [/copydir:Ordnername] [/copysource:Ordnername] [/cmd:Befehlszeile] [/debug[Ebene][:Dateiname]] [/udf:id[,UDF-Datei]] [/syspart:Laufwerkbuchstabe] [/noreboot] [/makelocalsource] [/checkupgradeonly] [/cmdcons] [/m:Ordnername]
Weitere Informationen zur Parameterdefinition finden Sie im Anhang unter „SetupBefehle“ in diesem Buch. Bei Festplattenlaufwerken mit mehreren Partitionen wird Windows 2000 über den Setup-Befehl Winnt32.exe auf die aktive Partition installiert, wenn die Partition über genügend Speicherplatz verfügt. Andernfalls sucht Setup nach weiteren Partitionen, die über ausreichend Speicherplatz verfügen und fordert Sie auf, die gewünschte Partition auszuwählen. Bei automatisierten Installationen können Sie die Eingabeaufforderung überspringen, indem Sie Setup mit dem Parameter /tempdrive und die gewünschte Partition angeben, z. B.: winnt32 [/unattend] [:\answer.txt] [/tempdrive:d]
Windows 2000 verarbeitet bis zu acht /s-Optionen, die auf andere Verteilungsserver als Quellverzeichnisse für die Installation auf dem Zielcomputer zeigen. Hierdurch kann das Kopieren auf den Zielcomputer während des Setups beschleunigt werden, und die Verteilungsserver, über die Setup ausgeführt werden kann, erhalten zusätzliche Möglichkeiten zum Lastenausgleich. Dies kann beispielsweise folgendermaßen vorgenommen werden: \winnt32 [/unattend] [:\answer.txt] [/s:] [/s:] [/s:
In Tabelle 25.4 werden die Setup-Befehle und ihre Verwendung unter Windows 2000 aufgeführt.
864
Teil VI
Windows 2000 Professional/Clienteinrichtung Tabelle 25.4 Verwenden der Setup-Befehle Setup-Befehl
Windows 2000 Version
Aktualisierung
Neuinstallation
Winnt.exe Winnt32.exe
Server und Professional Server und Professional
Nein Ja
Ja Ja
Automatisieren der Installation von Clientanwendungen Nachdem die kritischen Planungsfragen geklärt sind, können Sie entscheiden, wie die automatisierte Installation von Clientanwendungen durchgeführt werden soll. In den meisten Fällen werden Sie die zur Anwendung gehörende Funktion für die unbeaufsichtigte Installation verwenden. Sie können eine der drei folgenden Methoden auswählen: ? Cmdlines.txt ? Ausführen des Installationsprogramms für die Anwendung oder der Batchdatei
aus dem Abschnitt [GuiRunOnce] der Antwortdatei. ? Windows-Installationsdienst
Verwenden von Cmdlines.txt Die Datei Cmdlines.txt enthält die Befehle, die über den GUI-Modus beim Installieren optionaler Komponenten ausgeführt werden, z. B. für Anwendungen, die unmittelbar nach der Installation von Windows 2000 Professional installiert werden müssen. Wenn Cmdlines.txt verwendet werden soll, muss diese Datei im Unterordner $OEM$ des Distributionsordners gespeichert werden. Speichern Sie Cmdlines.txt im Unterordner $OEM$\$1\Sysprep, wenn Sysprep verwendet werden soll. Verwenden Sie die Datei Cmdlines.txt, wenn die folgenden Voraussetzungen erfüllt sind: ? Die Installation wird aus dem Unterordner $OEM$ des Distributionsordners
durchgeführt. ? Die zu installierende Anwendung verfügt über folgende Eigenschaften: ? Sie wird nicht automatisch für mehrere Benutzer konfiguriert, z. B. Microsoft ® Office 95. oder ? Die Anwendung ist auf die Installation durch einen Benutzer und anschließende Replikation der benutzerspezifischen Daten zugeschnitten. Die Syntax für Cmdlines.txt lautet: [Commands] "" "" . . ""
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
865
Die Parameter werden folgendermaßen festgelegt: ? "", "", … "" bezieht sich auf die Befehle,
die ausgeführt werden sollen (und auf deren Reihenfolge), wenn über den GUIModus die Datei Cmdlines.txt aufgerufen wird. Beachten Sie, dass alle Befehle in Anführungszeichen gesetzt werden müssen. Bei Verwendung von Cmdlines.txt müssen Sie die folgenden Faktoren berücksichtigen: ? Werden während des Setups die Befehle in der Datei Cmdlines.txt ausgeführt,
gibt es keine angemeldeten Benutzer, und die Netzwerkverbindung ist nicht gewährleistet. Daher werden benutzerspezifische Daten in die Standardbenutzerregistrierung geschrieben, und allen anschließend erstellten Benutzern werden dieselben Informationen zugewiesen. ? Cmdlines.txt setzt voraus, dass die zur Ausführung einer Anwendung oder eines Programms erforderlichen Dateien in einem Verzeichnis gespeichert werden, auf das während des Setuprozesses zugegriffen werden kann, d. h., die Dateien müssen auf der Festplatte gespeichert sein.
Verwenden des Abschnitts [GuiRunOnce] der Antwortdatei Der Abschnitt [GuiRunOnce] der Antwortdatei enthält eine Liste der Befehle, die ausgeführt werden, wenn sich ein Benutzer nach der Ausführung von Setup zum ersten Mal an dem Computer anmeldet. Geben Sie im Abschnitt [GuiRunOnce] z. B. folgende Zeile ein, um das Installationsprogramm der Anwendung automatisch zu starten: [GuiRunOnce] "%systemdrive%\appfolder\appinstall -quiet"
Soll [GuiRunOnce] zum Starten einer Installation verwendet werden, müssen noch weitere Faktoren beachtet werden: Wird über die Anwendung ein Neustart ausgelöst, stellen Sie fest, ob es eine Möglichkeit gibt, den Neustart zu unterdrücken. Dies ist ein wichtiger Punkt, da bei jedem Neustart alle vorherigen Einträge im Abschnitt [GuiRunOnce] verloren gehen. Wird das System neu gestartet, bevor die vorhergehenden Einträge im Abschnitt [GuiRunOnce] abgeschlossen wurden, werden die verbleibenden Elemente nicht ausgeführt. Besteht in der Anwendung keine Möglichkeit, den Neustart zu unterdrücken, können Sie die Anwendung in einem Windows-Installationspaket neu packen. Produkte mit dieser Funktionalität stehen von Drittanbietern zur Verfügung. Im Lieferumfang von Windows 2000 ist WinINSTALL LE (Limited Edition) enthalten, ein Packprogramm für Windows Installer. Mit Hilfe von WinINSTALL LE können Sie ältere Anwendungen, die nicht für Windows Installer entwickelt wurden, in Pakete packen, die über Windows Installer verteilt werden können. Weitere Informationen zu WinINSTALL LE finden Sie im Ordner Valueadd\3rdparty\Mgmt\Winstle auf der Windows 2000-CD. Weitere Informationen zu Windows Installationspaketen finden Sie unter „Verwenden des Windows-Installationsdienstes“ an späterer Stelle in diesem Kapitel.
866
Teil VI
Windows 2000 Professional/Clienteinrichtung
Wichtig Wenn Sie eine Anwendung für mehrere lokalisierte Sprachversionen von Windows 2000 installieren, wird empfohlen, die neu gepackte Anwendung mit den lokalisierten Versionen zu testen, um sicherzustellen, dass die Dateien an die richtigen Speicherorte kopiert und die erforderlichen Registrierungseinträge korrekt vorgenommen werden. Wird fürdie Installation einer Anwendung eine Windows Explorer-Shell benötigt, kann der Abschnitt [GuiRunOnce] nicht verwendet werden, da die Shell nicht geladen wird, wenn die Run- und RunOnce-Befehle ausgeführt werden. Erkundigen Sie sich beim Hersteller der Anwendung, ob sich dieses Problem mit einer aktualisierten Version oder einem Patch beheben lässt. Ist dies nicht der Fall, können Sie die Anwendung als Windows Installationspaket neu packen oder eine andere Verteilungsmethode wählen. Anwendungen,diedasselbeInstallationsverfahrenverwenden,werdenmöglicherweise nicht ordnungsgemäß ausgeführt, wenn kein /wait-Befehl angegeben wird. Dieser Fall kann eintreten, wenn die ausgeführte Anwendungsinstallation einen anderen Prozess startet. Das Schließen des aktiven und Starten eines anderen Prozesses während der Ausführung der Setup-Routine kann dazu führen, dass die nächste Routine, die in den RunOnce-Registrierungseinträgen aufgeführt wird, initiiert wird. Da mehrere Instanzen des Installationsmechanismus ausgeführt werden, schlägt die zweite Anwendung in aller Regel fehl. Ein Beispiel zum Steuern dieses Vorgangs mit Hilfe einer Batchdatei finden Sie unter „Verwenden einer Batchdatei zum Steuern der Installationsweise bei mehreren Anwendungen“ an späterer Stelle in diesem Kapitel.
Verwenden von Anwendungsinstallationsprogrammen Die beste Methode zum Vorinstallieren einer Anwendung besteht darin, das im Lieferumfang der Anwendung enthaltene Installationsprogramm zu verwenden. Dies ist möglich, wenn die Installation der betreffenden Anwendung ohne Benutzereingriffe („quiet mode“) erfolgen kann, indem Sie eine /q- oder /s-Befehlszeilenoption verwenden. Eine Liste der unterstützten Befehlszeilenparameter finden Sie in der Onlinehilfe bzw. in der Dokumentation der jeweiligen Anwendung. Sie können beispielsweise die folgende Zeile im Abschnitt [GuiRunOnce] einfügen, um die unbeaufsichtigte Installation einer Anwendung mit Hilfe des eigenen Installationsprogramms zu starten. \Setup.exe /q
Die Setup-Parameter unterscheiden sich von Anwendung zu Anwendung. Der in einigen Anwendungen enthaltene /l-Parameter ist z. B. nützlich, wenn eine Protokolldatei zum Überwachen der Installation angelegt werden soll. Einige Anwendungen enthalten Befehle, die einen automatischen Neustart verhindern. Mit Hilfe dieser Befehle können Sie Anwendungsinstallationen kontrolliert ausführen und Neustarts auf das absolute Mindestmaß beschränken. Überzeugen Sie sich, dass alle notwendigen Informationen, Anweisungen, Tools und bewährten Methoden des Softwareanbieters beschafft wurden, bevor Sie mit der Installation der Anwendung beginnen.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
867
Wichtig Die Lizenzbestimmungen der Hersteller sind unabhängig vom gewählten Installationsverfahren zu beachten.
Verwenden einer Batchdatei zum Steuern der Installationsweise bei mehreren Anwendungen Soll die Installationsweise mehrerer Anwendungen gesteuert werden, können Sie eine Batchdatei erstellen, in der die einzelnen Installationsbefehle enthalten sind und der Befehl Start mit der Befehlszeilenoption /wait verwendet wird. Dieses Verfahren stellt sicher, dass die Anwendungen nacheinander installiert werden und dass die nächste Installationsroutine erst gestartet wird, nachdem eine Anwendung vollständig installiert wurde. Die Batchdatei wird dann aus dem Abschnitt [GuiRunOnce] ausgeführt. Die folgenden Anweisungen legen dar, wie Sie die Batchdatei erstellen, die Anwendung installieren und schließlich alle Verweise auf die Batchdateientfernen, nachdem die Installation abgeschlossen ist. ? So installieren Sie Anwendungen mit Hilfe einer Batchdatei 1. Erstellen Sie eine Batchdatei nach dem folgendem Muster: Start /wait \<Setup> Start /wait \<Setup> Exit
Dabeigilt Folgendes: ? ist der Pfad zu der ausführbaren Datei, über welche die Installation gestartet wird. Dieser Pfad muss während des Setups zur Verfügung stehen. ? Setup ist der Name der ausführbaren Datei, über welche die Installation gestartet wird. ? sind alle verfügbaren quiet-mode-Parameter, die für die zu installierende Anwendung geeignet sind. 2. Kopieren Sie die Batchdatei in den Distributionsordner oder an einen anderen Speicherort, auf den während des Setups zugegriffen werden kann. 3. Fügen Sie im Abschnitt [GuiRunOnce] der Antwortdatei einen Eintrag nach dem folgenden Muster ein. Dieser Befehl ruft die Batchdatei auf, wobei .bat durch den Namen der Batchdatei zu ersetzen ist. Bei diesem Beispiel wird davon ausgegangen, dass die Batchdatei in den Ordner Sysprep auf der lokalen Festplatte kopiert wurde, obwohl sie an einem beliebigen Ort gespeichert sein kann, auf den Setup während der Installation zugreifen kann. [GuiRunOnce] "%systemdrive%\sysprep\.bat"= "\Befehl-1.exe" "\.exe " "%systemdrive%\sysprep\sysprep.exe –quiet"
Dabeigilt Folgendes: Bei \ und \ handelt es sich um vollqualifizierte Pfade zu weiteren Anwendungen, Dienstprogramminstallationen oder Konfigurationsprogrammen. Dies kann auch ein Pfad zu einer an-
868
Teil VI
Windows 2000 Professional/Clienteinrichtung
deren Batchdatei sein. Diese Pfade müssen während des Setups zur Verfügung stehen.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
869
Verwenden des Windows-Installationsdienstes Der Windows-Installationsdienst, eine Komponente von Windows 2000, stellt standardisierte Verfahren zur Anwendungsinstallation auf mehreren Computern zur Verfügung. Wenn Sie Anwendungen ohne den Windows-Installationsdienst installieren, muss jeder Anwendung eine eigene ausführbare Datei oder ein ausführbares Skript beiliegen. Jede Anwendung ist selbst dafür zuständig, dass die Installationsvorschriften (z. B. für verschiedene Dateiversionen) korrekt eingehalten werden. Da die Anwendungsinstallation nicht in die Betriebssystementwicklung einbezogen war, liegen keine allgemein gültigen Installationsvorschriften vor. Der Windows-Installationsdienst implementiert alle angemessenen Setupregeln im Betriebssystem selbst. Anwendungen, die diese Regeln befolgen sollen, müssen in einem als Windows-Installationspaket bezeichneten Standardformat vorliegen. Die Datei, in der die Formatinformationen gespeichert sind, wird als Windows Installationspaketdatei bezeichnet und mit einer MSI-Erweiterung versehen. Der Windows-Installationsdienst greift auf diese Datei zurück, um die Anwendung zu installieren.
Windows Installer-Terminologie Beim Installationsprozess, der auf der Windows Installer-Technologie beruht, werden die folgenden Begriffe verwendet: Ressource: Eine Datei, ein Registrierungseintrag, eine Verknüpfung oder ein anderes Element, das ein Installationsprogramm normalerweise an einen Computer übergibt. Komponente: Eine Sammlung von Dateien, Registrierungseinträgen und anderen Ressourcen, die als geschlossene Einheit installiert oder deinstalliert werden. Wird eine bestimmte Komponente zur Installation bzw. Deinstallation ausgewählt, werden alle Ressourcen dieser Komponente installiert bzw. deinstalliert. Option: Die einzelnen Bestandteile einer Anwendung, die ein Benutzer zur Installation auswählen kann. Optionen stellen in der Regel die funktionalen Bestandteile der Anwendung dar. Produkt: Ein einzelnes Produkt, beispielsweise Microsoft® Office. Produkte enthalten eine oder mehrere Optionen.
Windows Installationspaketdatei Die Paketdatei liegt in einem Datenbankformat vor, das für Installationszwecke optimiert wurde. Allgemein gesagt, beschreibt diese Datei die Beziehungen zwischen Optionen, Komponenten und Ressourcen eines bestimmten Produkts. Die Paketdatei von Windows Installer befindet sich in der Regel zusammen mit den Produktdateien im Stammordner der Produkt-CD oder des Netzwerkabbilds. Die Produktdateien liegen als komprimierte Dateien im CAB-Format vor. Zu jedem Produkt gehört eine eigene Paketdatei. Bei der Installation öffnet der WindowsInstallationsdienst die Paketdatei des fraglichen Produkts und ermittelt anhand der im Windows-Installationspaket enthaltenen Informationen sämtliche Vorgänge, die bei der Installation dieses Produkts ausgeführt werden müssen.
870
Teil VI
Windows 2000 Professional/Clienteinrichtung
Automatisieren der Installation von Windows 2000 Professional In der Firmenumgebung ist es kostenintensiv, für jeden Computer die interaktive Standardinstallation von Windows 2000 zu verwenden. Sie können automatisierte Installationen von Windows 2000 Professional auf mehreren Computern durchführen und so die Gesamtbetriebskosten erheblich senken. Sie können die Installation der folgenden Komponenten automatisieren: ? Das Kernbetriebssystem von Windows 2000 Professional. ? Standardanwendungen wie Microsoft ® Office 2000 oder andere
Anwendungen, die nicht als Dienst implementiert werden. ? Zusätzliche Sprachenunterstützung für Windows 2000 Professional durch das Installieren verschiedener Sprachpakete. ? Service Packs für Windows 2000 Professional. Bei der automatisierten Installation von Windows 2000 Professional wird Setup mit einer Antwortdatei ausgeführt. Setup kann unbeaufsichtigt durchgeführt werden. Ein unbeaufsichtigtes Setup umfasst die folgenden Schritte: ? Erstellen einer Antwortdatei. ? Bestimmen und Implementieren eines Prozesses zum Konfigurieren
computerspezifischer Daten. ? Verwenden von Windows-Installationspaketen als vorbereitende Maßnahme für die Installation weiterer Dateien. ? Bestimmen und Implementieren eines Prozesses zum Automatisieren der ausgewählten Verteilungsmethode, z. B. Verwenden eines Netzwerkverteilungspunktes oder Duplizieren der Festplatte.
Neue Optionen für die automatisierte Installation Die Antwortdatei für die automatisierte Installation unter Windows 2000 stellt zahlreiche neue Optionen zur Verfügung, mit deren Hilfe der Installationsprozess in allen Einzelheiten gesteuert werden kann. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
871
FlexibleNetzwerke Unter Windows 2000 stehen für jeden Computer flexible Netzwerkkonfigurationen zur Verfügung, u. a. zusätzliche Unterstützung für Protokolle, Dienste und Clients. Die Option, die Bindungsreihenfolge festzulegen, erleichtert das Setzen von Standardeinstellungen und ermöglichtdengleichzeitigen Betrieb mehrerer Netzwerkkarten in einem System. Darüber hinaus kann Windows 2000 Netzwerkgerätetreiber automatisch installieren und konfigurieren. Standardmäßig installiert Windows 2000 für jede im System eingebaute Netzwerkkarte die Standardnetzwerkkomponenten, sofern in der Antwortdatei keine anderen Angaben festgelegt wurden. Zu den Standardnetzwerkkomponenten gehören: Client für Microsoft-Netzwerke, TCP/IP, Datei- und Druckerfreigabe für Microsoft-Netzwerke und die Aktivierung des DHCP-Protokolls. AutomatischeAnmeldung Sie können die Antwortdatei so anpassen, dass sich der Computer beim ersten Start von Windows 2000 bzw. nach einer festgelegten Anzahl von Neustarts nach Abschluss der Installation automatisch als Administrator anmeldet. Soll Windows 2000 eine bestimmte Anzahl von Anmeldungen automatisch durchführen, um Tasks in den RunOnce-Einträgen abzuarbeiten, müssen Sie in der Antwortdatei ein Administratorkennwort (AdminPassword) angeben, d. h. das Kennwort darf nicht leer sein. Mit AutoAdminLogonCount können Sie anschließend die Anzahl der automatischen Anmeldungen festlegen, die benötigt werden, um die erforderlichen Aufgaben durchzuführen. Wird ein leeres Kennwort verwendet, kann das System nur eine einzige automatische Anmeldung durchführen, sofern die Anmeldeinformationen bei allen folgenden Neustarts nicht auf andere Weise übermittelt werden. Hierdurch wird das Sicherheitsrisiko verringert. Beachten Sie, dass Anmeldeinformationen für Administratorkonten in einer Textdatei immer ein Sicherheitsrisiko darstellen, wenn ein Benutzer Zugriff auf diese Datei erhält. AutomatischeBefehlsausführung Der Abschnitt [GuiRunOnce] einer Antwortdatei enthält eine Liste von Befehlen, die nach Abschluss des grafischen Teils der Installation der Reihe nach abgearbeitet werden. Mit Hilfe von [GuiRunOnce] können Sie Listen mit zu installierenden Anwendungen, Dienstprogramme zum Konfigurieren des Systems oder andere Tools angeben, die bei der ersten Anmeldung eines Benutzers auf dem installierten Computer ausgeführt werden. VereinfachteZeitzonenfestlegung Die Festlegung der Zeitzone in der Antwortdatei ist problemloser und mit weniger Debuggingaufwand verbunden als bei Windows NT. Durch das Auflisten möglicher Zeitzonen werden potentielle Fehlerquellen vermieden, da nicht mehr die gesamte Zeichenkette für die Zeitzone eingegeben werden muss. ErweiterteSprach- undLändereinstellungen In der Antwortdatei können Sie die Gebietsschemata für Computer und Benutzer, die Tastatur- und Eingabemethode sowie die Sprachenunterstützung festlegen. Noch einfacher gestaltet sich dieser Teil der Installation mit dem Installations-Manager, indem Sie die GUI-Oberfläche des Assistenten zur Auswahl der gewünschten Einstellungen verwenden. VereinfachteGerätevorinstallation Mit der Einführung von Plug & Play, dem OemPnPDriversPath-Schlüssel und der neuen Struktur für Distributionsfreigaben ist die Geräteinstallation problemlos geworden: Kopieren Sie die neuen Treiber in einen Ordner der Distributionsfreigabe, und geben Sie diesen Pfad im OemPnPDriversPath-Schlüssel an.
872
Teil VI
Windows 2000 Professional/Clienteinrichtung
Methoden für automatisierte Installationen Sie können eine automatisierte Installation von Windows 2000 Professional über verschiedene Methoden ausführen. Die ausgewählte Methode hängt vom Ergebnis der weiter oben in diesem Kapitel behandelten kritischen Planung ab. Automatisierte Installationen auf Clientcomputern können mit den folgenden Methoden durchgeführt werden: ? Verwenden von Syspart auf Computern mit unterschiedlicher Hardware. ? Verwenden von Sysprep zum Duplizieren von Festplatten. ? Verwenden von SMS (Systems Management Server). ? Verwenden einer Boot-CD. ? Verwenden der Remoteinstallation des Betriebssystems.
Hinweis Bei der Remoteinstallation des Betriebssystems erfolgt die automatische Installation von Windows 2000 Professional und Anwendungen auf Clientcomputern von einem designierten RIS-Server (Remote Installation Service). RIS ist eine optionale Komponente, die in Windows 2000 Server integriert wurde. AusTabelle 25.5 ersehen Sie den jeweiligen Verwendungszweck der einzelnen Methoden der automatisierten Installation. Tabelle 25.5 Verwenden der Methoden für automatisierte Installationen Methode
Verwendung
Syspart
Für Neuinstallationen auf Computern mit unterschiedlicher Hardware. Master- und Zielcomputer sind mit identischer Hardware ausgestattet. Hierzu gehören HAL und Massenspeichergeräte.
Sysprep
SMS
Boot-CD Remoteinstallation des Betriebssystems
Mit SMS können Sie verwaltete Aktualisierungen von Windows 2000 Server auf mehreren Systemen ausführen. Hierzu gehören insbesondere Systeme, die sich an unterschiedlichen geographischen Standorten befinden. Computer, deren BIOS das Booten von CD-ROM ermöglicht. Remoteinstallation eines Abbilds von Windows 2000 Professional auf unterstützten Computern. Physische Anwesenheit zur Durchführung einer Installation ist nicht mehr erforderlich.
Verwenden von Syspart auf Computern mit unterschiedlicher Hardware Syspart wird über einen optionalen Parameter von Winnt32.exe ausgeführt. Verfügen der Mastercomputer und die Computer, auf denen Windows 2000 Professional installiert wird, nicht über die gleiche Hardware, kann
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
873
die Syspart-Methode verwendet werden. Diese Methode verkürzt auch die Einrichtungszeit, da bei dieser Installation keine Dateien kopiert werden. Für Syspart müssen zwei physische Festplatten verwendet werden, wobei auf der Zielfestplatte eine primäre Partition erforderlich ist. Syspart bietet sich für Hardwaretypen mit unterschiedlichen HALs oder Controllern für Massenspeichergeräte an, die ähnliche Installations- und Betriebssystemeinstellungen erfordern. Syspart erstellt Masterdateien mit den notwendigen Konfigurationsinformationen und der erforderlichen Treiberunterstützung, von denen dann Abbilder erzeugt werden können. Diese Abbilder können dann auf den unterschiedlichen Systemen verwendet werden, damit die Hardware ordnungsgemäß erkannt und das Betriebssystem konsistent konfiguriert wird. Umfasst eine Umgebung mehrere Typen hardwareabhängiger Systeme, können Sie Syspart verwenden, um für jeden Typ ein Mastersystem zu erstellen. Installieren Sie Windows 2000 auf je einem Computer eines Typs, und verwenden Sie dann Sysprep, um Abbilder zu erstellen, die für die restlichen Computer dieses Typs verwendet werden. Weitere Informationen zu Sysprep finden Sie unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ an späterer Stelle in diesem Kapitel. Wählen Sie zunächst einen Computer aus, der als Referenzcomputer verwendet werden soll. Auf dem Referenzcomputer muss entweder Windows NT oder Windows 2000 installiert sein. ? So installieren Sie Windows 2000 Professional mit Hilfe von Syspart 1. Starten Sie den Referenzcomputer, und stellen Sie eine Verbindung zum Distributionsordner her. 2. Starten Sie Setup. Klicken Sie zunächst auf Start, dann auf Ausführen, und geben Sie dann Folgendes ein: winnt32 /unattend:unattend.txt /s:Installationsquelle /syspart:zweites_Laufwerk /tempdrive:zweites_Laufwerk /noreboot
Wichtig Für eine erfolgreiche Syspart-Installation muss der Parameter /tempdrive verwendet werden. Wenn Sie die Option /tempdrive verwenden, stellen Sie sicher, dass auf der zweiten Partition genügend freier Speicherplatz zum Installieren von Windows 2000 Professional und den gewünschten Anwendungen zur Verfügung steht. Die Geometrie der Festplatte, die als Ziel für Syspart verwendet werden soll, muss der Geometrie der Festplatte auf dem Computer entsprechen, auf den dupliziert werden soll. Beachten Sie, dass die Optionen /syspart und /tempdrive auf dieselbe Partition einer sekundären Festplatte zeigen müssen. Die Installation von Windows 2000 Professional muss auf der primären Partition der sekundären Festplatte durchgeführt werden. Achtung Syspart kennzeichnet das Laufwerk automatisch als aktives Laufwerk und als Standardbootgerät. Aus diesem Grund müssen Sie das Laufwerk entfernen, bevor Sie den Computer erneut einschalten.
874
Teil VI
Windows 2000 Professional/Clienteinrichtung
Bei Syspart werden die folgenden Bezeichnungen verwendet: Unattend.txt: Die Antwortdatei, die für eine unbeaufsichtigte Installation verwendet wird. Sie enthält Antworten auf einige oder alle Fragen, die der Endbenutzer normalerweise bei der Installation beantwortet. Beim Erstellen des Masterabbilds ist die Verwendung einer Antwortdatei freigestellt. Installationsquelle: Der Speicherort der Dateien von Windows 2000 Professional. Geben Sie mehrere /s-Optionen an, wenn von mehreren Quellen gleichzeitig installiert werden soll. zweites_Laufwerk: Ein optionales zweites Laufwerk, auf dem Windows 2000 und Anwendungen vorinstalliert werden.
Verwenden von Sysprep zum Duplizieren von Festplatten Das Duplizieren von Festplatten bietet sich an, wenn auf mehreren Computern die gleiche Konfiguration installiert werden soll. Installieren Sie Windows 2000 und alle Anwendungen, die auf den Zielcomputern installiert werden sollen, auf einem Mastercomputer. Anschließend führen Sie Sysprep aus, um das Abbild auf die anderen Computer zu übertragen. Sysprep bereitet die Festplatte des Mastercomputers für die Duplizierung auf andere Computer vor und führt dann zur Erstellung des Abbilds ein Programm eines Drittanbieters aus. Im Vergleich zu Standardinstallationen oder Installationen mit Skripts wird bei dieser Methode die Einrichtungszeit erheblich verkürzt. Die Verwendung von Sysprep setzt voraus, dass der Master- und die Zielcomputer über die gleichen HALs, die gleiche ACPI-Unterstützung (Advanced Configuration and Power Interface) und die gleichen Controller für Massenspeichergeräte verfügen. Windows 2000 erkennt Plug & Play-Geräte automatisch; wird der Computer nach dem Ausführen von Sysprep wieder eingeschaltet, werden die Geräte im System erneut erkannt und aufgelistet. Dies bedeutet, dass auf dem Mastercomputer und den Zielcomputern verschiedene Plug & Play-Geräte, z. B. Netzwerkkarten, Modems, Grafikkarten und Soundkarten, verwendet werden können. Der Hauptvorteil einer Sysprep-Installation besteht in der Geschwindigkeit. Das Abbild kann gepackt und komprimiert werden, und nur die Dateien, die für bestimmte Konfigurationen erforderlich sind, werden als Teil des Abbilds erstellt. Zudem werden zusätzliche Plug & Play-Treiber erstellt, die möglicherweise für andere Systeme benötigt werden. Das Abbild kann auch auf eine CD kopiert und an Remotestandorte mit langsamen Verbindungen verteilt werden. Hinweis Da für die Master- und Zielcomputer die gleichen HALs, die gleiche ACPI-Unterstützung und die gleichen Controller für Massenspeichergeräte erforderlich sind, müssen Sie unter Umständen mehrere Abbilder für Ihre Umgebung verwalten. Wichtig Erkundigen Sie sich bei Ihrem Softwareanbieter, ob die Festplattenduplizierung mit den für die Software geltenden Lizenzbestimmungen vereinbar ist.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
875
Überblick über den Sysprep-Prozess In diesem Abschnitt wird der Einrichtungsprozess für den Quellcomputer beschrieben, der zum Duplizieren der Festplatte verwendet werden soll. 1. Installieren von Windows 2000: Installieren Sie Windows 2000 Professional auf einem Computer mit ähnlicher Hardware wie die Zielcomputer. Der Computer darf keiner Domäne angehören, und das Kennwort für das lokale Administratorkonto muss leer sein. 2. Konfigurieren des Computers: Melden Sie sich als Administrator an, und führen Sie die Installation und Anpassung von Windows 2000 Professional und den damit verbundenen Anwendungen durch. Dazu gehören Standardanwendungen wie Microsoft ® Office 2000, branchenspezifische Programme und sonstige Anwendungen oder Einstellungen, die in einer gemeinsamen Konfiguration für alle Clients enthalten sein sollen. 3. Validieren des Abbilds: Führen Sie auf der Grundlage der gesetzten Kriterien eine Überwachung durch, um sicherzustellen, dass die Abbildkonfiguration wunschgemäß vorgenommen wurde. Löschen Sie residuale Daten, u. a. alle Daten aus den Überwachungs- undEreignisprotokollen. 4. Vorbereiten des Abbilds für die Duplizierung: Nachdem sichergestellt ist, dass der Computer wunschgemäß konfiguriert wurde, können Sie das System für das Duplizieren vorbereiten. Führen Sie hierzu Sysprep mit der optionalen Datei Sysprep.inf aus, auf die an späterer Stelle in diesem Kapitel näher eingegangen wird. Nachdem Sysprep abgeschlossen ist, wird der Computer automatisch ausgeschaltet, oder es wird ein Hinweis angezeigt, dass der Computer nun ausgeschaltet werden kann. 5. Duplizieren: Zu diesem Zeitpunkt ist die Festplatte des Computers so vorbereitet, dass beim nächsten Systemstart die Plug & Play-Erkennung ausgeführt, neue Sicherheits-IDs (SID, Security Identifier) erstellt und der Assistent für die Miniinstallation ausgeführt werden können. Sie können das System nun mit Hilfe einer Hardware- oder Softwarelösung duplizieren oder abbilden. Beim nächsten Start von Windows 2000 von dieser Festplatte oder einer aus diesem Abbild erstellten duplizierten Festplatte werden die Plug & Play-Geräte vom System erkannt und neu aufgelistet, so dass die Installation und Konfiguration auf dem Zielcomputer abgeschlossen werden kann. Wichtig Komponenten, die von Active Directory abhängen, können nicht dupliziertwerden.
Sysprep-Dateien Um Sysprep zu verwenden, führen Sie die Datei Sysprep.exe manuell aus, oder konfigurieren Sie Setup mit Hilfe des Abschnitts [GuiRunOnce] der Antwortdatei für die automatische Ausführung von Sysprep.exe. Damit Sysprep ausgeführt werden kann, müssen sich die Dateien Sysprep.exe und Setupcl.exe in einem Sysprep-Ordner im Stammverzeichnis des Systemlaufwerks (%systemdrive%\Sysprep\) befinden. Bei einer automatisierten Installation müssen sich diese Dateien am ordnungsgemäßen Speicherort, in den Distributionsordnern des Unterordners $OEM$\$1\Sysprep\ befinden. Weitere Informationen zu diesem Unterordner finden Sie unter „Strukturieren des Distributionsordners“ weiter oben in diesem Kapitel.
876
Teil VI
Windows 2000 Professional/Clienteinrichtung
Diese Dateien bereiten das Betriebssystem auf das Duplizieren vor und starten den Assistenten für die Miniinstallation. Der Ordner Sysprep kann auch eine optionale Antwortdatei, Sysprep.inf, enthalten. Die Datei Sysprep.inf enthält Standardparameter, die verwendet werden können, um ggf. entsprechende Antworten zur Verfügung zu stellen. Hierdurch werden die erforderlichen Benutzereingaben und somit mögliche Fehler reduziert. Sie können die Datei Sysprep.inf auch auf einer Diskette speichern, die nach der Anzeige des Windows-Startbildschirms in das Diskettenlaufwerk eingelegt wird, um auf dem Zielcomputer weitere Anpassungen vorzunehmen. Das Diskettenlaufwerk wird gelesen, wenn die Meldung Bitte warten des Assistenten für die Miniinstallation angezeigt wird. Nachdem die Tasks des Assistenten für die Miniinstallation erfolgreich abgeschlossen wurden, wird das System ein letztes Mal neu gestartet, der Ordner Sysprep mit allen Inhalten wird gelöscht, und das System ist bereit für eine Benutzeranmeldung. Mit der Verwendung von Sysprep können Sie die Anzahl der für die Einrichtung von Windows 2000 notwendigen Abbilder reduzieren, wenn Sie die Einrichtung von Mehrprozessor- (MP) auf Einprozessorsystemen (UP) oder umgekehrt vornehmen. Diese Methode funktioniert allerdings nur bei APIC- oder ACPI APICComputern, die entsprechend kompatible HALs einsetzen. Hinweis ? Zum Zeitpunkt der Freigabe von Windows 2000 verwenden die meisten Einprozessorsysteme PIC-HALs (Processor Interrupt Controller), und nicht APIC-HALs. Unabhängig von der Anzahl der Prozessoren sind PIC-HALs nicht mit APIC-HALskompatibel ? ACPI-HALs und Nicht-ACPI-HALs sind ebenfalls nicht kompatibel ? Die Implementation von HALs wird von verschiedenen Herstellern unterschiedlich gehandhabt Es gibt zwei Methoden für die Erstellung von Abbildern, die Sie zwischen Ein- und Mehrprozessorsystemen austauschen können. Jede Methode hat Vor- und Nachteile, die in den folgenden Abschnitten beschrieben werden. Wählen Sie die Methode aus, die am Besten in Ihre Umgebung passt. Die folgende Tabelle stellt dieKompatibilität von Computern basierend auf ihren HALs dar. Für jede Kompatibilitätsgruppe ist ein Abbild erforderlich. Kompatibilität
ACPI ACPI PIC APIC UP
ACPI PIC ACPI APIC UP
X
ACPI APIC MP Nicht-ACPI APICUP Nicht-ACPI UP PIC Nicht-ACPI APIC MP
ACPI APIC MP
X
X
X
X
NichtACPI UP PIC
NichtACPI APIC UP
NichtACPI APIC MP
X
X
X
X
NichtACPI UP PIC
X
Nicht-ACPI UP PIC
Die Sysprep-Dateien werden in den folgenden Abschnitten beschrieben.
X
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
877
Sysprep.exe Sysprep.exe verfügt über drei optionale Parameter: ? quiet:führt Sysprep ohne Anzeige von Meldungen aus. ? nosidgen: Führt Sysprep aus, ohne SIDs, die sich bereits auf dem System
befinden, neu zu generieren. Diese Option bietet sich an, wenn der Computer, auf dem Sysprep ausgeführt wird, nicht dupliziert werden soll. ? reboot: führt einen automatischen Neustart durch, nachdem der Computer durch Sysprep heruntergefahren wurde. Mit dieser Option ersparen Sie sich das manuelle Einschalten des Computers.
Sysprep.inf Bei Sysprep.inf handelt es sich um eine Antwortdatei, die zum Automatisieren des Miniinstallationsprozesses verwendet wird. Syntax und Schlüsselnamen der INIDatei (für unterstützte Schlüssel) sind mit denen der Setup-Antwortdatei identisch. Die Datei Sysprep.inf muss im Ordner %systemdrive%\Sysprep oder auf einer Diskette gespeichert werden. Wenn Sie eine Diskette verwenden, können Sie die Diskette einlegen, nachdem der Windows-Startbildschirm angezeigt wird. Falls Sysprep.inf bei der Ausführung von Sysprep nicht einbezogen wird, zeigt der Assistent für die Miniinstallation alle vorhandenen Dialogfelder an, die an späterer Stelle in diesem Kapitel unter „Verwenden von Sysprep zum Duplizieren von Festplatten“ aufgeführt werden. Wenn beim Mastercomputer TAPI-Informationen enthalten sind, Sysprep ausgeführt wird und die verwendete Sysdprep.inf keine TAPI-Einstellungenenthält, werden die TAPI-Werte auf dem Mastercomputer gelöscht. Der Benutzer erhält bei der Verwendung von Sysprep.inf keine Eingabeaufforderung für TAPIEinstellungen. Hinweis Steht auf dem Mastercomputer eine Sysprep.inf-Datei zur Verfügung und soll diese Datei pro Computer angepasst werden, können Sie hierfür, wie zuvor beschrieben, Disketten verwenden. Beispiel für eine Sysprep.inf-Datei: [Unattended] ;Aufforderung an den Benutzer, dem Endbenutzerlizenzvertrag zuzustimmen. OemSkipEula=No ;Standardeinstellungen von Sysprep verwenden und die Auslagerungsdatei für das System neu ;erstellen, so dass mögliche Unterschiede des verfügbaren RAM berücksichtigt werden. KeepPageFile=0 ;Angeben des Speicherorts für weitere Sprachenunterstützungsdateien, die ;in einer weltweit vertretenen Organisation evtl. benötigt werden. InstallFilesPath=%systemdrive%\Sysprep\i386 [GuiUnattended] ;Empfohlen: Festlegen eines leeren Administratorkennworts. Alle in der Sysprep.inf oder während ;der Miniinstallation angegebenen Kennwörter sind nur dann gültig, wenn für die ursprüngliche ;Quelle des Abbilds (Mastercomputer) ein leeres Kennwort angegeben wurde. Andernfalls wird das ;auf dem Mastercomputer verwendete Kennwort auf diesem Computer verwendet. Dies kann nur ;geändert werden, indem eine Anmeldung als lokaler Administrator durchgeführt und das Kennwort manuell geändert wird.
878
Teil VI
Windows 2000 Professional/Clienteinrichtung AdminPassword=* ;Einrichten der Zeitzone TimeZone=20 ;Überspringen des Begrüßungsbildschirms beim Systemstart. OemSkipWelcome=1 ;Das Dialogfeld für die Ländereinstellungen wird nicht übersprungen, so dass der Benutzer ;die gewünschten Ländereinstellungen auswählen kann. OemSkipRegional=0 [UserData] ;Bereitstellen von Benutzerdaten für das System. FullName="Autorisierter Benutzer" OrgName="Organisationsname" ComputerName=XYZ_Computer1 [Identification] ;Hinzufügen des Computers zur Domäne ITDOMAIN JoinDomain=ITDOMAIN [Networking] ;Binden der Standardprotokolle und -dienste an die verwendeten Netzwerkkarten in diesem Computer. InstallDefaultComponents=Yes
Hinweis Sie können das administrative Kennwort nur dann mit Hilfe von Sysprep.inf ändern, wenn das bestehende administrative Kennwort leer ist. Dies trifft auch dann zu, wenn das Administratorkennwort über die Sysprep-Benutzeroberfläche geändert werden soll. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen.
Setupcl.exe Setupcl.exe führt die folgenden Aufgaben durch: ? Erstellen neuer Sicherheits-IDs für den Computer. ? Starten des Assistenten für die Miniinstallation.
Assistent für die Miniinstallation Der Assistent für die Miniinstallation wird gestartet, wenn der Computer zum ersten Mal von einer Festplatte gestartet wird, die über die Sysprep-Methode dupliziert wurde. Der Assistent stellt alle Informationen zusammen, die zum weiteren Anpassen des Zielcomputers benötigt werden. Wenn Sie die Datei Sysprep.inf nicht verwenden oder einige Abschnitte der Datei ohne Einträge lassen, zeigt der Assistent für die Miniinstallation die Dialogfelder an, für die in Sysprep.inf keine Antworten zur Verfügung gestellt werden. Dazu gehören die folgendenAnzeigen: ? Endbenutzerlizenzvertrag(EULA,End-User License Agreement)
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
879
? Ländereinstellungen ? Benutzername und Firma ? Computername und Administratorkennwort ? Netzwerkeinstellungen ? TAPI-Einstellungen (werden nur angezeigt, wenn auf dem Computer ein
Modem oder ein neues Modemgerät vorhanden ist) ? Serverlizenzierung (nur Server) ? Zeitzonenauswahl ? Fertig stellen/Neu starten
Sollen diese Anzeigen übersprungen werden, können Sie innerhalb von Sysprep.inf bestimmte Parameter festlegen. Diese Parameter sind in Tabelle 25.6 aufgelistet. Hinweis Da Setup die optimalen Einstellungen für Anzeigegeräte erkennt, wird der Bildschirm „Anzeigeeinstellungen“ nicht mehr angezeigt, wenn Setup bzw. der Assistent für die Miniinstallation ausgeführt wird. Sie können die Einstellungen im Abschnitt [Display] der Antwortdatei, die für den Mastercomputer verwendet wird, definieren oder in der Datei Sysprep.inf, die für den Zielcomputer gedacht ist. Befinden sich die [Display]-Einstellungen in der Antwortdatei, die für den Mastercomputer verwendet wird, behält Sysprep diese Einstellungen bei, sofern die Datei Sysprep.inf keine anderen Einstellungen enthält bzw. sofern kein Grafikadapter oder Bildschirm erkannt wird, bei dem Einstellungen benötigt werden, die von denen des Mastercomputers abweichen. Tabelle 25.6 Parameter in Sysprep.inf zum Überspringen des Assistenten für die Miniinstallation Parameter
Wert
Ländereinstellungen
Abschnitt [RegionalSettings] [GuiUnattended] OemSkipRegional=1 [UserData] FullName="Benutzername" OrgName="Organisationsname"
Benutzername und Firma
Computername und Administratorkennwort
[UserData] ComputerName=W2B32054 [GuiUnattended] AdminPassword=""
TAPI-Einstellungen
[TapiLocation] AreaCode=425 [Networking] InstallDefaultComponents=Yes [LicenseFilePrintData] AutoMode = PerServer AutoUsers = 5
Netzwerkeinstellungen Serverlizenzierung (nur Server)
Zeitzonenauswahl
Fertig stellen/Neu starten
[GuiUnattended] TimeZone= N/V
880
Teil VI
Windows 2000 Professional/Clienteinrichtung
Manuelles Ausführen von Sysprep Nach der Installation von Windows 2000 Professional können Sie Sysprep verwenden, um das System auf die Übertragung auf ähnlich konfigurierte Computer vorzubereiten. Damit Sysprep manuell ausgeführt werden kann, müssen Sie zunächst Windows 2000 Professional installieren, das System konfigurieren und die Anwendungen installieren. Führen Sie Sysprep dann ohne die rebootBefehlszeilenoption aus. Duplizieren Sie das Abbild des Laufwerks auf ähnlich konfigurierte Computer, nachdem das System heruntergefahren wurde. Wenn Benutzer ihre duplizierten Computer zum ersten Mal starten, wird die Sysprep-Miniinstallation ausgeführt, damit die Benutzer ihre Systeme selbst anpassen können. Sie können auch alle oder einige der Konfigurationsparameter von Sysprep in der Datei Sysprep.inf vordefinieren. Der Sysprep-Ordner (der die Dateien Sysprep.exe und Setupcl.exe) enthält, wird nach Abschluss der Miniinstallation automatisch gelöscht. ? So bereiten Sie eine Installation von Windows 2000 Professional zur Duplizierung vor 1. Klicken Sie im Menü Start zunächst auf Ausführen, und geben Sie den folgendenBefehlein: cmd
2. Wechseln Sie an der Eingabeaufforderung zum Stammordner von Laufwerk C:, und geben Sie diesen Befehl ein: md sysprep
3. Legen Sie die Windows 2000 Professional-CD in das geeignete Laufwerk ein. Öffnen Sie im Ordner \Support\Tools die Datei Deploy.cab. 4. Kopieren Sie die Dateien Sysprep.exe und Setupcl.exe in den Ordner Sysprep. Wenn Sie die Sysprep.inf verwenden, kopieren Sie diese Datei ebenfalls in den Ordner Sysprep. Beachten Sie, dass sich die Dateien Sysprep.exe, Setupcl.exe und Sysprep.inf im selben Ordner befinden müssen, damit Sysprep ordnungsgemäß ausgeführt werden kann. 5. Wechseln Sie an der Eingabeaufforderung zum Ordner Sysprep: cd sysprep
6. Geben Sie eine der folgenden Möglichkeiten ein: Sysprep Sysprep Sysprep Sysprep Sysprep Sysprep
–reboot / / -reboot /…/ /…/ -reboot
7. Wurde die –reboot-Befehlszeilenoption nicht angegeben, führen Sie folgende Schritte durch: Wird eine Meldung angezeigt mit der Aufforderung, den Computer nun herunterzufahren, klicken Sie im Menü Start auf Beenden. Sie können nun
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
881
das Dienstprogramm eines Drittanbieters für Festplattenabbildungen verwenden, um ein Abbild der Installation zu erstellen. 8. Wurde die –reboot-Befehlszeilenoption nur zum Überwachen angegeben, wird der Computer neu gestartet, und der Assistent für die Miniinstallation wird ausgeführt. Führen Sie die folgenden Schritte aus: ? Stellen Sie sicher, dass der Assistent für die Miniinstallation die gewünschten Eingabeaufforderungen anzeigt. Zu diesem Zeitpunkt können Sie auch das System und andere Anwendungen überwachen. Nachdem die Überwachung abgeschlossen wurde, führen Sie Sysprep ohne die rebootBefehlszeilenoption erneut aus. ? Wird eine Meldung angezeigt mit der Aufforderung, den Computer nun herunterzufahren, klicken Sie im Menü Start auf Beenden. Sie können nun das Dienstprogramm eines Drittanbieters für Festplattenabbildungen verwenden, um ein Abbild der Installation zu erstellen. Hinweis Sie können dem Ordner Sysprep eine Cmdlines.txt-Dateihinzufügen, die von Setup verarbeitet wird. Über diese Datei werden nach Abschluss der Installation weitere Befehle ausgeführt, z. B. notwendige Befehle zur Anwendungsinstallation.
Automatische Ausführung von Sysprep nach Abschluss von Setup Der Abschnitt [GuiRunOnce] der Antwortdatei enthält Befehle, die nach Abschluss der Installation ausgeführt werden sollen. Sie können den Abschnitt [GuiRunOnce] verwenden, um eine Installation zu erstellen, die das Setup abschließt, eine automatische Anmeldung auf dem Computer durchführt, Sysprep im quiet-Modus ausführt und den Computer dann herunterfährt. Gehen Sie hierzu folgendermaßen vor: 1. Speichern Sie die erforderlichen Sysprep-Dateien im Distributionsordner unter $OEM$\$1\Sysprep\, damit sie an den korrekten Speicherort auf dem Systemlaufwerk kopiert werden. 2. Geben Sie im Abschnitt [GuiRunOnce] der Antwortdatei an, dass folgender Befehl auf dem Computer zuletzt ausgeführt wird: %systemdrive%\Sysprep\Sysprep.exe –quiet
Sind mehrere Neustarts erforderlich, geben Sie an, dass dieser letzte Befehl ausgeführt wird, wenn der Abschnitt [GuiRunOnce] zum letzten Mal verwendet wird.
Verwenden von Sysprep zum Erweitern von Festplattenpartitionen In Windows 2000 können GUI-Setup und die Miniinstallation verwendet werden, um NTFS-Partitionen über Antwortdateien zu erweitern. Diese neue Funktionalität umfasst Folgendes: ? Die Möglichkeit, Abbilder zu erstellen, die auf größere Festplattenpartitionen
erweitert werden können, so dass Festplatten genutzt werden, die über mehr
882
Teil VI
Windows 2000 Professional/Clienteinrichtung
Festplattenspeicher verfügen als die ursprüngliche Festplatte des Mastercomputers. ? Die Möglichkeit, Abbilder auf kleineren Festplatten zu erstellen. Der beste Weg, diese Funktionalität in die eigene Umgebung einzubinden, besteht darin, die folgenden Schritte zu analysieren und die Methode auszuwählen, die sich für die zum Herstellen eines Betriebssystemabbilds verwendeten Tools am besten eignet. Achtung Kann das Abbild über das verwendete Tool bearbeitet werden, können Sie die Dateien Pagefile.sys, Setupapi.log und Hyberfil.sys (soweit vorhanden) löschen, da diese Dateien beim Ausführen des Assistenten für die Miniinstallation auf den Zielcomputern erneut erstellt werden. Auf aktiven Systemen dürfen diese Dateien nicht gelöscht werden, da das System dann möglicherweise nicht mehr einwandfrei arbeitet. Diese Dateien sollten nur im Abbild gelöscht werden. ? So erweitern Sie eine Festplattenpartition bei Verwendung eines Fremdprodukts oder eines Abbildungsgeräts, die das von Windows 2000 verwendete NTFS unterstützen 1. Konfigurieren Sie die Partition auf der Festplatte des Mastercomputers mit der erforderlichen Mindestgröße für die Installation von Windows 2000 mit allen Komponenten und Anwendungen, die vorinstalliert werden sollen. Hierdurch werden die Anforderungen an die Abbildgröße verringert. 2. Schließen Sie FileSystem=ConvertNTFS im Abschnitt [Unattended] der Antwortdatei ein, die zum Erstellen des Masterabbilds verwendet wird. Hier muss ExtendOemPartition nicht berücksichtigt werden, da die Mindestgröße des Abbilds verwaltet werden soll. Hinweis ConvertNTFS kann in der Datei Sysprep.inf nicht verwendet werden, da es sich um eine Funktion für den nichtgrafischen Modus handelt und Sysprep nicht über diesen Modus ausgeführt wird. 3. Nehmen Sie folgende Anweisung in den Abschnitt [Unattended] der Datei Sysprep.inf auf: ExtendOemPartition = 1
4. 5. 6. 7.
(oder die zusätzliche Größe in Megabyte, um die Partition zu erweitern) Installieren Sie Windows 2000 auf dem Mastercomputer. Sysprep fährt das System automatisch herunter. Stellen Sie ein Abbild des Laufwerks her. Platzieren Sie das Abbild auf dem Zielcomputer, wobei die Systempartitionen auf Ziel- und Mastercomputer die gleiche Größe haben müssen. Starten Sie den Zielcomputer neu. Der Assistent für die Miniinstallation wird gestartet, und die Partition wird sofort erweitert.
? So erweitern Sie eine Festplattenpartition, wenn das Abbildungsprogramm das von Windows 2000 verwendete NTFS-System nicht unterstützt 1. Konfigurieren Sie die Partition auf der Festplatte des Mastercomputers mit der erforderlichen Mindestgröße für die Installation von Windows 2000 mit allen
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
883
Komponenten und Anwendungen, die vorinstalliert werden sollen. Hierdurch werden die Anforderungen an die Abbildgröße verringert. 2. Konvertieren Sie das Dateisystem mit Hilfe des im Lieferumfang von Windows 2000 enthaltenen Tools Convert.exe in NTFS. 3. Legen Sie folgende Zeilen als die beiden letzten Elemente im Abschnitt [GuiRunOnce] der Antwortdatei fest, die zum Erstellen des Masterabbilds verwendet wird: [GuiRunOnce] Befehl1 = "Befehlszeile" Command2 = "command line" ... Befehln -1 = "Convert c:\ /fs:ntfs" Befehln = "%systemdrive%\sysprep\sysprep.exe -quiet"
Dabeigilt Folgendes: ? umfasst alle Befehle, die vor dem Herstellen eines Abbilds zum Installieren von Anwendungen oder Konfigurieren des Betriebssystems ausgeführt werden müssen. ? ist der vorletzte Befehl, der im Abschnitt [GuiRunOnce] der Antwortdatei ausgeführt werden muss. Hierdurch wird der Befehl convert ausgeführt. Da mit convert das aktive System nicht in NTFS umgewandelt werden kann, während das Betriebssystem ausgeführt wird, wird das Betriebssystem so eingestellt, dass der Befehl beim nächsten Neustart ausgeführt wird. Da Sysprep das nächste Element ist, das ausgeführt werden soll, findet während dieses Prozesses keine Umwandlung in NTFS statt. ? ist der letzte Befehl, der auf dem Computer ausgeführt wird. Dieser Befehl ist Sysprep.exe. Sysprep bereitet den Computer für die Abbildung vor und fährt ihn anschließend herunter. Hinweis Bei diesem Schritt können Sie ExtendOemPartition in der Masterantwortdatei nicht verwenden, da es sich bei der Partition, auf der das Abbild erstellt wird, nicht um eine NTFS-Partition handelt. Das Abbild soll auch so klein wie möglich gehalten werden. 4. Nehmen Sie folgende Anweisung in den Abschnitt [Unattended] der Datei Sysprep.inf auf: ExtendOemPartition = 1
(oder die zusätzliche Größe in Megabyte, um die Partition zu erweitern) 5. Installieren Sie Windows 2000 auf dem Mastercomputer. Sysprep fährt das System automatisch herunter. Wichtig Führen Sie keinen Neustart durch. 6. Stellen Sie ein Abbild des Laufwerks her. 7. Platzieren Sie das Abbild auf dem Zielcomputer, wobei die Systempartitionen auf Ziel- und Mastercomputer die gleiche Größe haben müssen. 8. Starten Sie den Zielcomputer neu.
884
Teil VI
Windows 2000 Professional/Clienteinrichtung
Der Computer startet im Konvertierungsmodus, um die Systempartition auf dem Zielcomputer in NTFS umzuwandeln. Der Computer wird automatisch neu gestartet. Der Assistent für die Miniinstallation wird gestartet, und die Partition wird sofort erweitert.
Verwenden von SMS (Systems Management Server) Mit SMS können Sie verwaltete Aktualisierungen von Windows 2000 Professional auf mehreren Systemen ausführen. Hierzu gehören insbesondere Systeme, die sich an unterschiedlichen geographischen Standorten befinden. Beachten Sie, dass SMS nur für Installationen auf Computern verwendet wird, die über ein zuvor installiertesBetriebssystem verfügen. Bevor Sie eine Aktualisierung mit Hilfe von SMS durchführen, muss die bestehende Netzwerkinfrastruktur, u. a. Bandbreite, Hardware und geographische Einschränkungen, analysiert werden. Der Hauptvorteil einer Aktualisierung mit Hilfe von SMS ist in der zentralisierten Ablaufsteuerung des Aktualisierungsprozesses zu sehen. Sie können z. B. steuern, wann der Aktualisierungsprozess durchgeführt wird (etwa während oder nach einem Training, nach der Hardwareüberprüfung und nach dem Sichern der Benutzerdaten), welche Computer aktualisiert werden und wie Netzwerkeinschränkungen berücksichtigt werden. Weitere Informationen über den Einsatz von SMS finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch.
Verwenden einer Boot-CD Sie verwenden eine Boot-CD, um Windows 2000 Professional auf einem Computer zu installieren, dessen BIOS das Booten von CD unterstützt. Diese Methode ist bei Computern sinnvoll, die sich an Remotestandorten ohne lokale IT-Abteilung befinden und nur über langsame Verbindungen verfügen. Über die Boot-CD wird die Datei Winnt32.exe ausgeführt, wodurch der Installationsvorgang beschleunigt wird. Hinweis Boot-CDs können nur für Neuinstallationen verwendet werden. Bei Aktualisierungen muss die Datei Winnt32.exe aus dem vorhandenen Betriebssystem ausgeführt werden. Sichern Sie sich maximale Flexibilität, indem Sie die Bootreihenfolge im BIOS wie folgt festlegen: ? Netzwerkkarte ? CD ? Festplatte ? Diskettenlaufwerk
Bei Verwendung einer Boot-CD gelten folgende Kriterien: ? Der Computer muss über Unterstützung für El Torito No Emulation für BootCDs verfügen. ? Die Antwortdatei muss einen Abschnitt [Data] mit den erforderlichen Schlüsseln enthalten.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
885
? Die Antwortdatei muss Winnt.sif heißen und auf einer Diskette gespeichert
sein. Weitere Informationen zu den Parametern und der Syntax bei Antwortdateien finden Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Betriebssystem-CD zu Microsoft Windows 2000. Die Datei Unattend.doc ist ein Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 den Windows-Explorer, um dieses Dokument zu extrahieren. Verwenden Sie unter Windows 95 und früher bzw. unter MS-DOS den Befehl Extract, um auf diese Datei zuzugreifen. ? So installieren Sie Windows 2000 mit einer Boot-CD 1. Starten Sie das System von der Windows 2000-CD. 2. Legen Sie die Diskette mit der Datei Winnt.sif in das Diskettenlaufwerk ein, wenn der blaue Bildschirm im nichtgrafischen Modus mit „Windows 2000 Setup“ angezeigt wird. 3. Nachdem die Diskette gelesen wurde, entfernen Sie die Diskette. Setup wird nun von der CD ausgeführt, wie es in der Datei Winnt.sif angegeben wurde. Hinweis Bei Verwendung einer Boot-CD müssen sich alle benötigten Dateien auf der CD befinden. Bei dieser Methode können keine UDF-Dateien (Uniqueness Database File) verwendet werden.
Remoteinstallation des Betriebssystems Die Remoteinstallation des Betriebssystems ist eine optionale Komponente von Windows 2000 Server und basiert auf der RIS-Technologie(Remoteinstallationsdienste – Remote Installation Services). Da RIS eine PXE-basierte (Pre-Boot eXecutionEnvironment) Remoteboottechnologie und serverbasierte Software verwendet, können Sie ein Abbild von Windows 2000 Professional auf unterstützten Computern von Remotestandorten installieren; physische Anwesenheit bei der Installation eines Computers ist damit nicht mehr erforderlich. Sie müssen sicherstellen, dass die betreffenden Computer hardwarekompatibel und mit bootfähigen Netzwerkkarten ausgestattet sind. Sie können RIS-Abbilder für mehrere, an bestimmte Computertypen angepasste Konfigurationen erstellen. Beim Setup wird eine Liste mit Installationsoptionen angeboten, die gemäß den für einen bestimmten Benutzer oder eine Gruppe gesetzten Richtlinien beschränkt werden kann. Die Anzahl der RIS-Abbilder, die Sie zu verwalten haben, entspricht unter Umständen der Anzahl der verschiedenen Sets von Gruppenrichtlinien. In diesem Fall wäre es von Vorteil, mit diesem Verfahren nur die Optionen zu installieren, die allen Konfigurationen gemeinsam sind. Weitere Informationen zur Remoteinstallation des Betriebssystems finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ in dieser Dokumentation sowie im Kapitel „Remoteinstallation von Betriebssystemen“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
RIS-Server und Auswirkungen der Netzwerklast Da ein RIS-Server zur Installation von Betriebssystemabbildern auf Clientcomputern verwendet wird, lässt sich der Netzwerkverkehr, den dieser Server erzeugt, mit dem anderer Distributionsserver durchaus vergleichen. Im Allgemeinen ist der
886
Teil VI
Windows 2000 Professional/Clienteinrichtung
durch RIS-Server verursachte Datenverkehr berechenbarer als der Verkehr durch allgemeineSoftwareinstallationspunkte, die Anwendungen und regelmäßige Aktualisierungen zur Verfügung stellen. Das durch RIS-Server generierte Verkehrsaufkommen ist höher, wenn viele Benutzer Abbilder laden, beispielsweise bei der Einführung eines neuen Betriebssystems oder bei der Erweiterung des Netzwerks mit einer Reihe neuer Computer. Nachdem die Systeme installiert sind, geht das tägliche Verkehrsaufkommen zurück.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
887
In der Regel sollten Sie den RIS-Server in der Nähe der Clientcomputer aufstellen, die er bedient, um den entstehenden Netzwerkverkehr lokal zu begrenzen und die Auswirkungen gering zu halten. Sind Verfahren, wie die im Folgenden beschriebenen, in Ihrer Umgebung üblich, müssen Sie sicherstellen, dass diese Prozesse optimiert werden können, ohne andere Anwendungen zu beeinträchtigen. ? Häufige Neuinstallation von Systemen, z. B. in Schulungsräumen. ? Regelmäßige Installation einer großen Anzahl von Systemen, beispielsweise
Vorinstallation aller neuen Systeme vor der Auslieferung an die Endbenutzer. Für das Schulungsraumbeispiel bieten sich die Unterteilung des physischen Netzwerks in mehrere Segmente und – je nach unterstützter Hardware – ein dedizierter RIS-Server pro Raum oder Raumgruppe an. Für das zweite Beispiel käme die Einrichtung von Installationsräumen mit Hochgeschwindigkeitsverbindungen und Highend-Systemen als RIS-Server zur Massenabfertigung in Betracht, um die Installationszeiten zu reduzieren.
Leistungsoptimierung Da bei der Remoteinstallation des Betriebssystems in erster Linie Kopierprozesse abgearbeitet werden, sind die entscheidenden Leistungsfaktoren von RIS-Servern mit denen anderer Ein-/Ausgabe-intensiver Server wie Webserver oder Datei- und Druckserver zu vergleichen. Zu diesen Faktoren gehören der Datenträgerdurchsatz der Server und die Netzwerkbandbreite. Berücksichtigen Sie diese Faktoren bei der Leistungsoptimierung der RIS-Server und achten Sie auf andere netzwerkbedingte Einschränkungen zwischen RIS-Servern und ihren Clients. Überlastung eines RISServers oder der zugehörigen Netzwerkverbindung macht sich zum einen in verlängerten Installationszeiten für Clients, zum anderen in TFTPZeitüberschreitungen während der anfänglichen Kopierphase bemerkbar.
DHCP und DHCP-Server Clients, die über die Remoteinstallation des Betriebssystems installiert werden (PXE-aktivierte Clients), verwenden den DHCP-Suchmechanismus, um eine Netzwerkadresse zu erhalten und RIS-Server zu ermitteln. Dieser Beziehung zwischen RIS und DHCP in Ihrer Organisation kommt eine Schlüsselrolle bei der Festlegung der Serverplatzierung zu. Die übliche Lösung in einfachen Umgebungen besteht darin, den Remoteinstallationsdienst auf allen vorhandenen DHCP-Servern zu implementieren. Wenn Sie diese Lösung mit kombinierten DHCP/RIS-Servern verwenden, wird die Anzahl der anfänglich zwischen RIS-Client und DHCP/RIS-Server ausgetauschten Netzwerkpakete reduziert, und die Serverreaktionszeit ist zunächst kürzer. Darüber hinaus werden bei einem kombinierten Windows 2000 DHCP/RIS-Server Clientanfragen an beide Dienste immer gemeinsam beantwortet. Auf diese Weise entsteht eine simple Form des Lastenausgleichs, der auf den vorhandenen Zuordnungsstrukturen von Clientcomputern und DHCP-Servern beruht; zudem werden die Problembehandlung und administrative Eingriffe vereinfacht.
888
Teil VI
Windows 2000 Professional/Clienteinrichtung
Während RIS-Server in der Nähe der Clientcomputer platziert werden müssen und aufgrund der hohen Netzwerkbelastung hohe Anforderungen an die Hardware stellen, gilt für DHCP-Server exakt das Gegenteil. DHCP-Server erzeugen weit weniger Datenverkehr, erfordern keine hochwertige Hardwareausstattung und werden mitunter eher an zentraler Position und weniger in unmittelbarer Nähe der Clientcomputer eingesetzt. Aus diesen Gründen erweist sich die Erweiterung der vorhandenenDHCP-Server mit RIS-Diensten oft als nicht durchführbar. In solchen Fällen können Sie die RIS-Dienste vorhandenen Softwareinstallationspunkten hinzufügen, für die ähnliche Planungs- und Platzierungsanforderungen gelten wie für RIS-Server, oder Sie entscheiden sich für unabhängige RIS-Server, die nicht mit anderen Diensten zusammenhängen. Wenn Sie von DHCP-Servern unabhängige RIS-Server oder keine Windows 2000 DHCP-Server einsetzen, ist die Frage, welcher RIS-Server bestimmte Clientanfragen beantwortet und wie Sie dieses Verhalten kontrollieren, von größter Bedeutung. Der PXE-basierte Remotebootprozess bietet keinerlei Möglichkeit, festzulegen, welcher Server Clientanfragen beantwortet. Informationen über Methoden zur Kontrolle dieses Prozesses finden Sie unter „Steuern der RISServerwahl und des Lastenausgleichs“ an späterer Stelle in diesem Kapitel. Unabhängig von der gewählten Lösung zur Kombination von DHCP- und RISDiensten muss jeder RIS-Server in Active Directory autorisiert werden, um zu verhindern, dass nicht autorisierte Server Clients im Netzwerk bedienen. Der Autorisierungsprozess für RIS- und Windows 2000 DHCP-Server wird über das DHCP-Snap-In der Microsoft Management Console (MMC) vorgenommen. Dieser Prozess hat keinen Einfluss auf eine Entscheidung für kombinierte oder getrennte RIS- und DHCP-Server oder den Einsatz von Windows 2000-DHCP. Das Windows 2000 DHCP-Snap-In dient hier lediglich als Authentifizierungsmechanismus und kann auch ohne installierten DHCP-Dienst auf jedem Windows 2000-Computer ausgeführt werden, auf dem die Verwaltungsprogramme installiert sind. Achtung Versuchen Sie nicht, Windows 2000 DHCP auf einem RIS-Server zu installieren, um Zugriff auf das Snap-In zu erhalten. Jeder kombinierte Windows 2000 DHCP- und RIS-Server, der RIS-Clients bedienen soll, muss eine vollständigeDHCP-Implementation einschließlich definierter und aktiver Bereiche aufweisen. Der Windows 2000 DHCP-Dienst auf einem kombinierten Server „weiß“, dass auch der RIS-Dienst installiert ist. Meldet ein Client in seiner DHCPSuchanfrage Bedarf an beiden Diensten – DHCP und Remoteboot – an, gibt der DHCP-Dienst eine einzige Antwort zurück, die sowohl die DHCP- als auch die Remoteboot-spezifischen Informationen enthält. Gibt der Windows 2000 DHCPDienst auf dem betreffenden Server keine korrekte Antwort zurück, erzeugt der Server keine Antwort, die sich auf den Remoteboot bezieht.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
889
Steuern der RIS-Serverwahl und des Lastenausgleichs Eine per Broadcastnachricht versendete Anfrage eines PXE-basierten Clients wird standardmäßig von allen Servern beantwortet, die seine Anfrage empfangen. Der Server, der zuerst antwortet, führt den Dienst aus; Antworten von kombinierten DHCP/RIS-Servern haben Vorrang vor Antworten von separaten Servern. Obwohl dieses Vorgehen primitive Lastenausgleichsfunktionen bietet, wenn mehrere Server für Clients verfügbar sind, empfiehlt es sich doch, die Zahl der für bestimmte Clients zuständigen Server zu beschränken. Auf diese Weise verhindern Sie, dass Clients die Dienste nicht geeigneter Server in Anspruch nehmen. Das könnte z. B. ein dem Client nahe gelegener Server sein, der zum Zeitpunkt der Clientanfrage beschäftigt oder abgeschaltet ist. Die erste Möglichkeit, die Serverwahl zu beeinflussen, besteht in der physischen Kontrolle der Netzwerkrouten; so stellen Sie sicher, dass DHCP-Anfragen nur bei Bedarf weitergeleitet werden. Antworten können zwangsläufig nur durch die DHCP/RIS-Server erfolgen, die Clientanfragen empfangen dürfen. Befinden Sich Ihre DHCP/RIS-Server in Relation zu den Clients im selben Netzwerkbereich, ist den Anforderungen damit unter Umständen schon Genüge getan. Um auch andere Situationen in den Griff zu bekommen, bietet die Remoteinstallation des Betriebssystems noch andere Funktionen zur Steuerung der Serverwahl. Sie können beispielsweise Clientcomputerkonten in Active Directory so konfigurieren, dass ein bestimmter RIS-Server verwendet werden muss. Dieser Prozess wird als „Prestaging“ bezeichnet. „Prestaging“ kann auf vorhandene Computerkonten ebenso angewendet werden wie auf Computerkonten, die neu erstellt werden, bevor das System einer Domäne zugeordnet wird. Wenn ein RIS-Server die Anforderung eines Clients beantwortet, überprüft der Server das Active Directory (die gesamte Struktur) auf das Vorhandensein eines Computerkontos mit einer GUID, die der in der Anforderung enthaltenen GUID entspricht. Wird ein übereinstimmendes Computerkonto gefunden, wird anschließend überprüft, ob für dieses Konto die Verwendung eines bestimmten RIS-Servers vorgesehen ist. Trifft dies zu, wird stets der beim Computerkonto angegebene RIS-Server in der Antwort an den Client genannt, auch wenn ein anderer Server die erste Anfrage des Clients beantwortet hat. Dieser Vorgang wird als Serverreferenz bezeichnet und stellt eine einfache Kontrollmöglichkeit dar: Er bestimmt, welcher RIS-Server letztendlich die Remoteinstallation des Betriebssystems für spezifische Clients durchführt, unabhängig davon, welcher RIS-Server die erste Anforderung des Clients beantwortet hat. Zusätzliche Flexibilität und Sicherheit lassen sich durch die Kombination von Prestaging und Serverreferenz mit RIS-Servereinstellungen erzielen, die kontrollieren, wie Server auf Clientanfragen reagieren. RIS-Server bieten zwei Einstellungen: „Auf Dienstanfragen von Clients antworten“ und „Unbekannten Clients nicht antworten“. Durch Prestaging aller Computerkonten und der selektiven Auswahl der RIS-Server, die auf Clientanfragen antworten, können Server so konfiguriert werden, dass sie ausschließlich auf Dienstanfragen der Clients antworten und die angeforderten Informationen zurückgeben, während andere Server ausschließlich für die Durchführung der Remoteinstallation des Betriebssystems zuständig sind. Abbildung 25.3 zeigt ein Beispiel der Beziehungen zwischen Clientcomputern und RIS-Servern.
890
Teil VI
Windows 2000 Professional/Clienteinrichtung
Abbildung 25.3 Beziehungen zwischen Clientcomputern und RIS-Servern
In Abbildung 25.3 werden Dienstanfragen von Clients lediglich von Server B beantwortet. Die Clientcomputer 1 und 3 sind durch die Prestaging-Konfiguration angewiesen, die Dienste eines bestimmten RIS-Servers in Anspruch zu nehmen; in der Antwort ist der vorgesehene Server (A oder C) angegeben. Bei Bedarf können Sie mehrere dedizierte Referenzserver (im Beispiel Server B) einrichten, die anhand der vorkonfigurierten Computerkonten in Active Directory feststellen, auf welchen Server verwiesen werden soll. Die Server A und C beantworten grundsätzlich keine Dienstanfragen von Clients, führen aber aufgrund der Referenzierung den angeforderten Dienst der Remoteinstallation des Betriebssystems für Clients durch. Zudem können Sie noch festlegen, ob Sie auf Referenzservern wie Server Bdie Einstellung „Unbekannten Clients nicht antworten“ aktivieren. Die aktivierte Option bewirkt Folgendes: ? Server B sendet Antworten nur an Clientcomputer mit Prestaging-Konfigu-
ration. ? Schreibt die Konfiguration bestimmter Clients vor, Dienste explizit von Server B anzufordern, wird Server B entweder zum dedizierten Referenzserver oder führt den Remoteinstallationsdienst auch tatsächlich durch. Wird die Option „Unbekannten Clients nicht antworten“ nicht aktiviert, antwortet Server B auch auf Dienstanforderungen nicht vorkonfigurierter Clients (im Beispiel Clientcomputer 2) und bietet sich selbst als Remotebootserver an.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
891
Mit oder ohne Verwendung von Referenzservern stellt die Option „Unbekannten Clients nicht antworten“ eine Sicherheitsmaßnahme dar, die Clients ohne Prestaging-Konfiguration daran hindert, Remoteinstallationen des Betriebssystems von RIS-Servern in Anspruch zu nehmen. Darüber hinaus stellen nicht alle Anbieter von Lösungen, die auf demselben Remotebootprotokoll basieren wie die Remoteinstallation des Betriebssystems, Optionen zur Steuerung der Clientanfragen und Serverantworten zur Verfügung. Indem Sie Prestaging einsetzen und auf allen RIS-Servern die Option „Unbekannten Clients nicht antworten“ aktivieren, können Sie die Remoteinstallation des Betriebssystems störungsfrei in einem Netzwerk implementieren, in dem auch andere Remotebootprodukte eingesetzt werden.
Arbeiten mit Routern Da Clientdienstanfragen auf dem DHCP-Suchprozess beruhen, gelten für die Netzwerkkonfiguration zur Unterstützung der Remoteinstallation des Betriebssystems über Router dieselben Anforderungen wie für die DHCP-Unterstützung über Router. Router, die für Weiterleitung von DHCP-Broadcasts konfiguriert sind, leiten auch Clientdienstanfragen automatisch weiter; Sie müssen jedoch sicherstellen, dass die Anfragen nicht nur an die DHCP-Server, sondern auch an die vorgesehenen RISServer weitergeleitet werden. Je nach eingesetztem Routermodell wird die betreffende Routerkonfiguration zur Weiterleitung von DHCP-Broadcasts entweder auf ein Subnetz (oder eine Routerschnittstelle) oder einen bestimmten Host angewendet. Falls Sie Windows 2000 DHCP verwenden, die RIS-Dienste aber auf eigenständigen Computern implementiert haben, bzw. nicht mit Windows 2000-DHCP arbeiten, müssen sie sicherstellen, dass die Router die DHCP-Broadcasts sowohl an die DHCP- als auch an die RIS-Server weiterleiten. Andernfalls erhält der Client keine Antwort auf die Remotebootanforderung. Denken Sie daran, dass die Remoteinstallation eines Betriebssystems ein hohes Verkehrsaufkommen für das Netzwerk bedeutet, und überlegen Sie genau, wo Sie die RIS-Server aufstellen und wie Sie Prestaging und Referenzserver einsetzen. Beziehen Sie das vorhandene Netzwerkdesign in Ihre Überlegungen ein, um die Auswirkungen von Clientinstallationen auf ein Minimum zu begrenzen.
Beispiele zu Installationskonfigurationen Die hier vorgestellten Beispiele zeigen Verfahrensweisen zur Installation von Windows 2000 Professional auf Computern mit bereits vorhandener Clientkonfiguration oder ohne vorhandene Konfiguration.
Vorhandene Clientcomputer Die Beispiele in diesem Abschnitt beziehen sich auf Computer mit bestehenden Clientkonfigurationen.
892
Teil VI
Windows 2000 Professional/Clienteinrichtung
Beispiel 1: Windows NT Workstation 4.0 mit Windows 2000kompatiblen Clientanwendungen Führen Sie eine Aktualisierung durch. Die folgenden Clientbetriebssysteme können aktualisiert werden: Windows 95, Windows 98, Windows NT Workstation 4.0 und Windows NT Workstation 3.51. Weitere Informationen zu Anwendungen, die mit Windows 2000 Professional kompatibel sind, finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Directory of Windows 2000 Applications“ klicken. ? So installieren Sie Windows 2000 Professional auf Computern mit kompatibler Hardware 1. Sichern Sie die Benutzereinstellungen. 2. Aktualisieren Sie das System über eine der folgenden Methoden: ? Starten Sie eine „Push“-Installation (vollständig automatisiert), indem Sie die folgenden Schritte durchführen: ? Verwenden Sie ein Systemverwaltungsprogramm wie z. B. Microsoft® Systems Management Server. oder ? Führen Sie eine Netzwerkinstallation durch. oder ? Führen Sie einen Remoteboot durch. Dies setzt konfigurierte Remoteinstallationsserver und mit bootfähigen Netzwerkkarten ausgestattete Systeme voraus. ? Starten Sie eine lokale Installation, indem Sie Winnt32.exe mit den gewünschten Parametern auf der Befehlszeile ausführen: ? Führen Sie eine manuelle Installation durch (ohne Antwortdatei). Beantworten Sie alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder halbautomatische Installation mit einer Antwortdatei durch. Bei einer vollautomatischen Installation enthält die Antwortdatei die benötigten Antworten auf alle Fragen. Sie können einehalbautomatische Installation durchführen, um begrenzte Benutzereingaben für die gewählten Anwendungen zu erlauben. ? So installieren Sie Windows 2000 Professional, wenn der Computer über inkompatible Hardware verfügt und die Festplatte nicht ersetzt werden muss 1. Ersetzen Sie bis auf die Festplatte alle notwendigen Hardwarekomponenten. 2. Stellen Sie sicher, dass die neue Hardware ordnungsgemäß funktioniert. 3. Sichern Sie die Benutzereinstellungen. 4. Aktualisieren Sie das System über eine der folgenden Methoden: ? Starten Sie eine „Push“-Installation (vollständig automatisiert), indem Sie die folgenden Schritte durchführen: ? Verwenden Sie ein Systemverwaltungsprogramm wie z. B. Microsoft® Systems Management Server.
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
893
oder ? Führen Sie eine Netzwerkinstallation durch. oder ? Führen Sie einen Remoteboot durch. Dies setzt konfigurierte Remoteinstallationsserver und mit bootfähigen Netzwerkkarten ausgestattete Systeme voraus. ? Starten Sie eine lokale Installation, indem Sie Winnt32.exe mit den gewünschten Parametern auf der Befehlszeile ausführen: ? Führen Sie eine manuelle Installation durch (ohne Antwortdatei). Beantworten Sie alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. ? So installieren Sie Windows 2000 Professional auf Computern mit inkompatibler Hardware, deren Festplatte ersetzt werden muss 1. Aktualisieren Sie mindestens eine der folgenden Komponenten: ? RAM ? Prozessor 2. Stellen Sie sicher, dass die neue Hardware ordnungsgemäß funktioniert. 3. Sichern Sie die Benutzereinstellungen. Hinweis Obwohl Sie den gesamten Inhalt einer Festplatte auf eine neue Festplatte überspielen können, bevor Sie den Computer aktualisieren, ist diese Methode für Clientcomputer im Allgemeinen nicht geeignet. 4. Ersetzen Sie die Festplatte. Kopieren Sie das gesicherte Abbild. 5. Führen Sie Winnt.exe mit den gewünschten Befehlszeilenparametern aus, indem Sie eine der folgenden Methoden verwenden: ? Führen Sie eine manuelle Installation (ohne Antwortdatei) durch, und beantworten Sie alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. Wählen Sie eine der folgenden Methoden aus: ? Setup über Boot-CD. ? Syspart. Diese Methode empfiehlt sich bei neu eingebauten Festplatten. ? Sysprep. Diese Methode wird bei Installationen auf identischen Computern verwendet (HALs und Controller für Massenspeichergeräte müssen übereinstimmen). ? Remote boot. Dies setzt konfigurierte Remoteinstallationsserver und mit bootfähigen Netzwerkkarten ausgestattete Systeme voraus. 6. Installieren Sie die Anwendungen, die mit Windows 2000 Professional kompatibelsind. 7. Überprüfen Sie die Funktionsfähigkeit des Systems.
894
Teil VI
Windows 2000 Professional/Clienteinrichtung
8. Importieren Sie die Benutzereinstellungen (z. B. Regedit/Regedt32, Anmeldeskripts, Richtlinien, servergespeicherte Profile).
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
895
Beispiel 2: Windows NT Workstation 3.5 oder früher und Clientcomputer ohne Microsoft-Betriebssystem Die folgenden Clientbetriebssysteme können nicht aktualisiert werden: MS-DOS, Windows 3.x, Windows NT Workstation 3.5 oder früher und OS/2. Zum Vorbereiten einer Neuinstallation erwerben Sie einen Clientcomputer von einem OEM oder Solution Provider. Um das Betriebssystem erstmalig auf neuen Computern oder auf vorhandenen Computern zu installieren, führen Sie die folgenden Schritte durch. Hinweis Weitere Informationen zu Anwendungen, die mit Windows 2000 Professional kompatibel sind, finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Directory of Windows 2000Applications“klicken. ? So installieren Sie Windows 2000 Professional auf Clients, die nicht aktualisiert werden können 1. Sichern Sie die Benutzereinstellungen. Achtung Wenn Sie Windows 2000 Professional auf Computern installieren, auf denen ein Betriebssystem ausgeführt wird, das nicht auf Windows 2000 aktualisiert werden kann, gehen alle Benutzereinstellungen verloren. 2. Führen Sie Winnt.exe mit den gewünschten Parametern bei der Eingabeaufforderung aus, indem Sie eine der folgenden Methoden verwenden: ? Führen Sie eine manuelle Installation (ohne Antwortdatei) durch, und antworten Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierteInstallation durch. Wählen Sie eine der folgenden Methoden aus: ? Setup über Boot-CD. ? Syspart. Diese Methode empfiehlt sich beim Einbau neuer Festplatten. ? Sysprep. Diese Methode wird für die Installation identischer Computer verwendet (HALs und Controller für Massenspeichergeräte müssen übereinstimmen). ? Remoteboot. Dies setzt konfigurierte Remoteinstallationsserver und mit bootfähigen Netzwerkkarten ausgestattete Systeme voraus. 3. Installieren Sie die Anwendungen, die mit Windows 2000 Professional kompatibelsind. 4. Überprüfen Sie die Funktionsfähigkeit des Systems. 5. Importieren Sie die Benutzereinstellungen (z. B. Regedit/Regedt32, Anmeldeskripts, Richtlinien, servergespeicherte Profile).
896
Teil VI
Windows 2000 Professional/Clienteinrichtung
Neue Clientcomputer BeiClientcomputern, auf denen noch kein Betriebssystem installiert ist, wird eine Neuinstallation von Windows 2000 Professional erforderlich. Zur Vorbereitung der Installation erwerben Sie einen Clientcomputer von einem OEM oder Solution Provider. ? So installieren Sie Windows 2000 Professonial auf einem Computer, auf dem noch kein Betriebssystem installiert ist ? Führen Sie eine manuelle Installation (ohne Antwortdatei) durch, und antworten Sie auf alle Eingabeaufforderungen. oder ? Führen Sie eine automatisierte oder teilweise automatisierte Installation durch. ? Setup über Boot-CD. ? Syspart. Diese Methode empfiehlt sich beim Einbau neuer Festplatten. ? Sysprep. Diese Methode wird für Installationen auf identischen Computern verwendet (HALs und Controller für Massenspeichergeräte müssen übereinstimmen). ? Bootdiskette und Ausführen von Setup mit einer Antwortdatei. ? Remote boot. Dies setzt konfigurierte Remoteinstallationsdienste und bootfähige Netzwerkkarten voraus.
Installationstaskliste Tabelle 25.7 fasst die Aufgaben zusammen, die bei der Installation von Windows 2000 Professional und den erforderlichen Anwendungen auf Clientcomputern durchzuführen sind. Tabelle 25.7 Zusammenfassung der Installationsaufgaben Aufgabe
Kapitelabschnitt
Klären kritischer Planungsfragen. Erstellen des Verteilungsordners.
Klären wichtiger Planungsfragen Vorbereiten der Installation
Überprüfen der Antwortdatei. Überprüfen der Setup-Befehle von Windows 2000. Auswählen einer Methode der Anwendungsinstallation auf der Grundlage kritischer Planung. Auswählen einer Methode der Betriebssysteminstallation auf der Grundlage kritischer Planung.
Überprüfen der Antwortdatei Vorbereiten der Installation Automatisieren der Installation von Clientanwendungen Automatisieren der Installation von Windows 2000 Professional
Kapitel 25 Automatisieren der Clientinstallation und -aktualisierung
897
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
T E I L
V I I
Anhänge
Für einen erfolgreichen Einsatz sollten Sie Zugriff auf zusätzliche Tools und Support-Informationen für Microsoft® Windows® 2000 haben. Die Anhänge beschreiben zusätzliche Tools, wie Planungsarbeitsblätter, Setupbefehle und Informationen für Personen mit Behinderungen, die den Einsatz erleichtern. Kapitel in Teil VII Beispiele für Planungsarbeitsblätter 897 Setupbefehle 941 Beispielantwortdateien für die unbeaufsichtigte Installation 947 Einrichtungstools 965 Eingabehilfen für Personen mit Behinderungen 977
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
897
A N H A N G
A
Beispiele für Planungsarbeitsblätter
Wenn Sie Microsoft® Windows® 2000 einsetzen, müssen Sie möglicherweise verschiedene Einrichtungsprojekte planen und koordinieren. Dieser Anhang enthält Planungsarbeitsblätter,die Sie verwenden können, um Windows 2000 in Ihrer Organisation optimal und kostensparend einzusetzen. Mit Hilfe der Planungsarbeitsblätter für die Einrichtung werden Sie mit den jeweiligen IT-Anforderungen Ihres Unternehmens und auch mit den Windows 2000Funktionen vertraut, die Ihnen dabei helfen, diesen Anforderungen gerecht zu werden. Lesen Sie nach Möglichkeit die entsprechenden Kapitel zu den Arbeitsblättern, bevor Sie diese ausfüllen. Die Kapitel erläutern neue Konzepte und bieten wichtige Informationen, mit deren Hilfe Sie die Planungsarbeitsblätter optimal bearbeiten können. In diesemAnhang Verwenden dieses Anhangs 897 Einführung in die Einsatzplanung von Windows 2000 899 Erstellen eines Testlabors für Windows 2000 908 Vorbereiten der Netzwerkinfrastruktur für Windows 2000 911 Bestimmen der Strategien für die Domänenmigration 912 Planen der verteilten Sicherheit 913 Automatisieren der Serverinstallation und der Aktualisierung 914 Aktualisieren und Installieren von Mitgliedsservern 915 Sicherstellen der Verfügbarkeit von Anwendungen und Diensten 921 Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst 926 Testen der Anwendungskompatibilität mit Windows 2000 930 Definieren von Standards für die Verwaltung und Konfiguration von Clients Anwenden der Änderungs- und Konfigurationsverwaltung 936 Automatisieren der Clientinstallation und der Aktualisierung 938
932
Verwenden dieses Anhangs Die Arbeitsblätter in diesem Anhang sind nach dem jeweils zugehörigen Kapitel angeordnet. Es haben jedoch nicht alle Kapitel ein Arbeitsblatt, für einige Kapitel stehen auch mehrere Arbeitsblätter zur Verfügung. Tabelle A.1 listet die Kapitel auf, die Arbeitsblätter haben. Ferner wird die Reihenfolge angegeben, in der die Arbeitsblätter in diesem Anhang erscheinen.
898
Teil VII
Anhänge Tabelle A.1
Arbeitsblätter in diesem Anhang
Kapitel und Arbeitsblatt
Kapitelnummer
Einführung in die Einsatzplanung von Windows 2000 Dienste zur Verwaltung der Infrastruktur Desktopverwaltungslösungen
Kapitel 1
Sicherheitsfunktionen Veröffentlichen und Freigeben von Informationen Komponentenanwendungsdienste Skalierbarkeit und Verfügbarkeit Netzwerk- und Kommunikationsfunktionen Speicherverwaltung Erstellen eines Testlabors für Windows 2000 Dokumentation des Anwendungsbereichs und der Unternehmensziele für jeden Test Erfassen der Testergebnisse Vorbereiten der Netzwerkinfrastruktur für Windows 2000 Bestimmen der Strategien für die Domänenmigration Dokumentieren der Migrationsziele
Kapitel 4
Kapitel 6 Kapitel 10
Erfassen der Fertigstellung von Tasks für die Domänenmigration Planen der verteilten Sicherheit Ermitteln potentieller Sicherheitsrisiken Automatisieren der Serverinstallation und der Aktualisierung
Kapitel 11 Kapitel 13
Ermitteln des Zeitpunkts und Orts für die Ausführung von Methoden zur automatisierten Installation Erfassen des Zeitpunkts der Fertigstellung von Installationstasks Aktualisieren und Installieren von Mitgliedsservern Planungsarbeitsblatt für Mitgliedsserver Plan für die Sicherung und Wiederherstellung von Serverdaten
Kapitel 15
Neue Hardwareanforderungen Erfassen von Serverspezifikationen Planen der Installationsart (Aktualisierung oder Neuinstallation Sicherstellen der Verfügbarkeit von Anwendungen und Diensten Ermitteln des Bedarfs an hoher Verfügbarkeit Planen des Netzwerklastenausgleichs Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst Erstellen von Verbindungsvereinbarungen Ermitteln der zuzuordnenden Verzeichnisobjekte Auflistung aller Attribute, die nicht zugeordnet werden Erstellen des Plans für die Verzeichnissynchronisierung Erfassen der Kontakte für die Verzeichnissynchronisierung
Kapitel 18
Kapitel 20
Anhang A Beispiele für Planungsarbeitsblätter
899
(Fortsetzung) Kapitel und Arbeitsblatt
Kapitelnummer
Testen der Kompatibilität von Anwendungen mit Windows 2000 Prioritäten für Anwendungen setzen Planen und Erfassen der Teststrategie
Kapitel 21
Definieren von Standards für die Verwaltung und Konfiguration von Clients
Kapitel 23
Ermitteln der Computeranforderungen für die Benutzer Definition der Fragen zum Clientsupport Zuordnung der Tasks für die Clientverwaltung und den Support Definition der Anforderungen für die Gruppenrichtlinie Anwenden der Änderungs- und Konfigurationsverwaltung Erfassen der Anwendungen und der zugehörigen Verwaltungsoptionen Definition der Konfigurationsverwaltungsstrategie für die Benutzer
Kapitel 24
Automatisieren der Clientinstallation und der Aktualisierung Erfassen der Methoden für die automatisierte Installation
Kapitel 25
Erfassen der Tasks für die Clientinstallation
Wichtig Sie finden diese Arbeitsblätter auch in der Datei DPGDocs.doc auf der CD, die im Lieferumfang der technischen Referenz von Microsoft ® Windows® 2000 Server enthalten ist. Die CD enthält eine Version der Arbeitsblätter, die Sie anpassen und für den Einsatz in Ihrem Unternehmen vervielfältigenkönnen.
Einführung in die Einsatzplanung von Windows 2000 Das Kapitel „Einführung in die Einsatzplanung von Windows 2000“ enthält eine umfassende Einführung in die Funktionen und Vorteile von Windows 2000. Die folgenden Arbeitsblätter führen die Schlüsselfunktionen von Microsoft® Windows® 2000 Server und Microsoft ® Windows® 2000 Professional auf. Während der Lektüre dieses Buchs können Sie diese Arbeitsblätter nutzen, um die Schlüsselfunktionen von Windows 2000 im Zusammenhang mit dem Bedarf Ihres Unternehmens besser zu verstehen. Wenn Sie die Funktionen näher betrachten, berücksichtigen Sie auch die kurz- und mittelfristigen Unternehmensziele. Die Tabellen sind so formatiert, dass Sie eigene Anregungen zur potentiellen Aufgabe dieser Funktionen in Ihrem Unternehmen angeben können. Mit diesen Arbeitsblättern können Sie eine Ihren Bedürfnissen angepasste Zusammenfassung der Windows 2000-Funktionen für Ihr Unternehmen zusammenstellen.
900
Teil VII
Anhänge
Hinweis Die folgenden Tabellen heben die grundsätzlichen Vorzüge von Windows 2000 Server und Windows 2000 Professional hervor. Sie enthalten keine vollständige Beschreibung aller Funktionen. Weitere Informationen zu einer bestimmten Funktion finden Sie in der Onlinehilfe des Produkts oder im jeweiligen Kapitel der entsprechenden technischen Referenz zu Microsoft® Windows® 2000.
Dienste zur Verwaltung der Infrastruktur Mit Hilfe der Dienste zur Verwaltung der Infrastruktur von Windows 2000 Server verfügen IT-Abteilungen über Tools zum Einrichten hochentwickelter Dienste, die entscheidend zur Senkung der Betriebskosten beitragen können. Tabelle A.2 beschreibt die Vorzüge der Dienste zur Verwaltung der Infrastruktur von Windows 2000 Server. Tabelle A.2 Dienste zur Verwaltung der Infrastruktur Funktion Verzeichnisdienste Microsoft® Active Directory™ speichert Daten zu allen Objekten im Netzwerk. Dadurch lassen sich diese Daten leicht ermitteln. Sie erhalten eine flexible Verzeichnishierarchie, eine granulare Sicherheitsdelegierung, effiziente Berechtigungsdelegierung, integriertes DNS, Programmierschnittstellen sowie einen erweiterbaren Objektspeicher. Verwaltungsdienste Die Microsoft ® Management Console (MMC) bietet Systemadministratoren eine gemeinsame Konsole für die Überwachung von Netzwerkfunktionen und die Verwendung von administrativen Tools. MMC kann vollständig auf die Tasks der einzelnen Mitarbeiter für den IT-Support und die Verwaltung zugeschnitten werden. Gruppenrichtlinie Mit Hilfe der Gruppenrichtlinie können Administratoren den Status bei Computern und Benutzern definieren und steuern. Die Gruppenrichtlinie kann auf jeder Ebene des Verzeichnisdiensts, einschließlich Standorte, Domänen und Organisationseinheiten, eingerichtet werden. Sie können die Gruppenrichtlinie außerdem anhand von Sicherheitsgruppenmitgliedschaften filtern. Instrumentationsdienste Mit Hilfe der Windows-Verwaltungsinstrumentation (WMI) können Administratoren Bezüge zu Daten und Ereignissen aus mehreren Quellen auf lokaler oder unternehmensweiter Basis herstellen.
Rolle dieser Funktion im Unternehmen
Anhang A Beispiele für Planungsarbeitsblätter
901
Skriptingdienste Windows Scripting Host (WSH) unterstützt die direkte Ausführung von Microsoft® Visual Basic Script, Java und anderen Skripts über die Benutzeroberfläche oder die Befehlszeile.
Weitere Informationen zum Entwerfen und Einrichten der Verzeichnisdienste und Gruppenrichtlinie von Windows 2000 finden Sie unter „Entwerfen der Active Directory-Struktur“ „Planen der verteilten Sicherheit“, „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch.
Desktopverwaltungslösungen Mit Hilfe der Funktionen für Desktopverwaltungslösungen werden die Gesamtbetriebskosten Ihres Unternehmens verringert, weil Sie Clientcomputer schneller installieren, konfigurieren und verwenden können. Tabelle A.3 erläutert, wie die Funktionen zur Desktopverwaltung von Windows 2000 Server und Windows 2000 Professional dazu beitragen, die Produktivität der Benutzer zu erhöhen. Tabelle A.3 Desktopverwaltungslösungen Funktion IntelliMirror Bei Microsoft® IntelliMirror ™ handelt es sich um eine Funktionsgruppe, mit deren Hilfe die Daten, Anwendungen und benutzerdefinierten Betriebssystemeinstellungen der Benutzer an verschiedenen Computern des Unternehmens genutzt werden können. Windows Installer Windows Installer steuert die Installation, Änderung, Reparatur und Deinstallation von Software. Diese Funktion enthält ein Modell zur Zusammenfassung von Installationsdaten und APIs, damit Anwendungen mit Windows Installer agieren können. Remoteinstallation Die DHCP-basierte Remotestarttechnologie installiert das Betriebssystem auf der Festplatte des Client von einer Remotequelle. Der Netzwerkstart kann von einer PXE-Umgebung, einer PXE-Netzwerkkarte, einer bestimmten Funktionstaste oder einer Remotebootdiskette (für Clients ohne PXE) erfolgen. Servergespeicherte Benutzerprofile Servergespeicherte Benutzerprofile kopieren Registrierungswerte und Dokumentinformationen auf einen Speicherort im Netzwerk, damit die Benutzereinstellungen von jedem Standort aus zur Verfügung stehen.
Rolle dieser Funktion im Unternehmen
902
Teil VII
Anhänge
Manager für optionale Komponenten Über das Installationsprogramm von Windows 2000 Server können Sie Windows-Komponenten während oder nach einer Systeminstallation über ein Installationsmodul packen und installieren. Datenträgerduplizierung Sie können eine Installation von Windows 2000 Server oder Windows 2000 Professional anpassen und für andere Computer duplizieren.
Hinweis Sie können mit Microsoft® Systems Management Server die Desktopverwaltungstechnologien von Windows 2000 erweitern. Weitere Informationen zum Einrichten der Verwaltungslösungen von Windows 2000 Server und Windows 2000 Professional finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch.
Sicherheitsfunktionen Die Sicherheit auf Unternehmensebene muss flexibel und robust sein, damit Administratoren Regeln für mögliche Sicherheitsprobleme konfigurieren können, ohne den Datenfluss zu beeinträchtigen. Tabelle A.4 erläutert die Sicherheitsfunktionen von Windows 2000. Tabelle A.4
Sicherheitsfunktionen
Funktion Sicherheitsvorlagen Administratoren können verschiedene globale und lokale Sicherheitseinstellungen, beispielsweise sensible Registrierungswerte, Zugangskontrollen für Dateien und die Registrierung, sowie Sicherheit bei Systemdiensten festlegen. Kerberos-Authentifizierung Das primäre Sicherheitsprotokoll für den Zugriff innerhalb oder außerhalb von Windows 2000 Domänen. Enthält beidseitige Authentifizierung von Clients und Servern und unterstützt die Delegierung und Berechtigung über Proxymechanismen. Infrastruktur für öffentliche Schlüssel (PKI) Sie können die integrierte PKI für erhöhte Sicherheit bei mehreren Unternehmens- und Internetdiensten von Windows 2000, beispielsweise für die extranetbasierte Kommunikation, verwenden.
Rolle dieser Funktion im Unternehmen
Anhang A Beispiele für Planungsarbeitsblätter Smartcardinfrastruktur Windows 2000 enthält ein Standardmodell zum Installieren von Smartcard-Lesern und Karten mit Computern und geräteunabhängigen APIs für Anwendungen, die Smartcards unterstützen. IPSec-Verwaltung IPSec unterstützt Authentifizierung, Datenintegrität und Verschlüsselung, um die Kommunikation im Intranet, Extranet und im Internet zu schützen. NTFS-Verschlüsselung Auf öffentlichen Schlüsseln basierendes NTFS kann auf Datei- oder Verzeichnisbasis aktiviert werden.
903
904
Teil VII
Anhänge
Weitere Informationen zum Einrichten der Sicherheitsdienste von Windows 2000 finden Sie unter „Planen der verteilten Sicherheit“ und „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation.
Veröffentlichen und Freigeben von Informationen Die Technologien zum Veröffentlichen und Freigeben von Informationen in Windows 2000 erleichtern die Datenfreigabe im Internet, Ihrem Intranet oder in einem Extranet. Tabelle A.5 erläutert die Funktionen zum Veröffentlichen und Freigeben von Informationen. Tabelle A.5 Veröffentlichen und Freigeben von Informationen Funktion
Rolle dieser Funktion im Unternehmen
Integrierte Webdienste Mit Hilfe der integrierten Webdienste von Windows 2000 Server können Sie verschiedene Webpublishingprotokolle verwenden. Indexdienste Mit Hilfe von integrierten Indexdiensten können Benutzer bei Dateien in unterschiedlichen Formaten und Sprachen eine Volltextsuche durchführen. Wechselmedien Dieser Dienst besteht aus Serverund Toolkomponenten für die Verteilung von Audio,- Videound illustrierten Audiodaten sowie anderen Multimediatypen in Netzwerken. Drucken Windows 2000 macht alle freigegebenen Drucker in Ihrer Domäne in Active Directory verfügbar.
Weitere Informationen zum Einrichten der Dienste zum Veröffentlichen und Freigeben von Informationen in Windows 2000 finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dieser Dokumentation und im Band Microsoft® Internet-Informationsdienste – Die technische Referenz.
Komponentenanwendungsdienste Die Entwicklungsplattform Windows 2000 bietet Unterstützung für Component Object Model (COM) und Distributed COM (DCOM). Dadurch haben Entwicklerteams die Möglichkeit, skalierbarere Anwendungen auf Komponentenbasis effizient zu erstellen. Tabelle A.6 erläutert die Funktionen der Komponentenanwendungsdienste.
Anhang A Beispiele für Planungsarbeitsblätter
905
Tabelle A.6 Komponentenanwendungsdienste Funktion
Rolle dieser Funktion im Unternehmen
Eingereihte Komponenten Entwickler und Administratoren können das geeignete Kommunikationsprotokoll (DCOM oder Asynchrones Protokoll) zum Zeitpunkt der Einrichtung auswählen. Verlegen und abonnieren COM Events enthalten einen einheitlichen Mechanismus zum „Verlegen und Abonnieren“ für alle Windows 2000 ServerAnwendungen. Transaktionsdienste Diese Dienste bieten Datenaktualisierungen durch Aufruf einer Anwendung auf einem Großrechner oder durch Senden und Empfangen von Nachrichten aus einer Nachrichtenwarteschlange. Message Queuing-Dienste Diese Dienste stellen sicher, dass Nachrichtentransaktionen entweder ausgeführt oder sicher in die Unternehmensumgebung zurückgeführt werden. Webanwendungsdienste Entwickler können mit Active Server Pages ein webbasiertes Frontend für vorhandene serverbasierte Anwendungen erstellen.
Weitere Informationen zum Einrichten der Komponentenanwendungsdienste von Windows 2000 und der Schnittstelle für Microsoft® Sicherheitsunterstützungs-Anbieter finden Sie unter „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in diesem Buch. Weitere Informationen für Entwickler finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „MSDN Platform SDK“ klicken. Hinweis Sie können diese Funktionen und ihren Wert für das Unternehmen mit den Mitarbeitern des Anwendungsentwicklungsteams besprechen. Deren Erfahrungen können Sie bei der Bestimmung der geeigneten Technologien für Ihr Unternehmen unterstützen.
906
Teil VII
Anhänge
Skalierbarkeit und Verfügbarkeit Schnellere CPUs und Netzwerkadapter waren früher die Maßstäbe für die Netzwerkleistung. In der Zukunft werden leistungsstärkere Funktionen zum Lesen/Schreiben, verbesserte Eingabe/Ausgabe (E/A) und schnellerer Zugriff auf Datenträger ebenfalls eine wichtige Rolle bei Netzwerkarchitekturen spielen. Umgebungen mit unternehmenskritischen Computern können jetzt die erweiterten Funktionen von Windows 2000 nutzen. Tabelle A.7 erläutert Windows 2000Funktionen, die Sie bei der Erhöhung der Skalierbarkeit und Verfügbarkeit des Netzwerks unterstützen. Tabelle A.7 Skalierbarkeit und Verfügbarkeit Funktion Speicherarchitektur des Unternehmens Mit Windows 2000Advanced Server können Sie auf bis zu 32 GB Prozessorspeicher zugreifen. Verbesserte SMP-Skalierbarkeit Windows 2000 Advanced Server unterstützt jetzt SMP-Server mit bis zu acht Prozessoren. Clusterdienst Es können mehrere Server als Einzelsystem verwendet werden. Unterstützung für intelligente Eingabe/Ausgabe (I2O) I2O entlastet den Host bei interruptintensiven E/A-Tasks, weil die Haupt-CPUs einen geringeren Verarbeitungsaufwand haben. Terminaldienste Durch Terminalemulation kann eine bestimmte Anwendungsgruppe auf unterschiedlicher Clienthardware ausgeführt werden. Hierzu gehören Thin Clients, ältere Computer oder Clients, auf denen Windows nicht ausgeführt wird. Diese Dienste können auch als Option für die Remoteverwaltung eingesetzt werden.
Rolle dieser Funktion im Unternehmen
Anhang A Beispiele für Planungsarbeitsblätter
907
Netzwerklastenausgleich Es können bis zu 32 Server unter Windows 2000 Advanced Server zu einem Lastenausgleichscluster zusammengeführt werden. Diese Funktion wird häufig zum Verteilen von eingehenden Webanforderungen über den Cluster der Internetserveranwendungen verwendet. IntelliMirror Mit Hilfe von IntelliMirror können Benutzer Daten, Anwendungen und Einstellungen nutzen, obwohl sie nicht mit dem Netzwerk verbunden sind.
Weitere Informationen zum Einrichten des Clusterdiensts von Windows 2000 finden Sie unter „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ in diesem Buch. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in diesem Buch.
Netzwerk- und Kommunikationsfunktionen Sie können mit Hilfe der in Tabelle A.8 genannten Windows 2000-Technologien Ihre Netzwerkumgebung optimieren. Sie erhalten eine bessere Bandbreitensteuerung, sicheren Remotenetzwerkzugriff und native Unterstützung einer neuen Generation von Kommunikationslösungen. Tabelle A.8 Netzwerk- und Kommunikationsfunktionen Funktion Protokoll für die dynamische DNS-Aktualisierung Die DNS-Datenbank braucht nicht mehr manuell bearbeitet und repliziert werden. Quality of Service (QoS) QoS-Protokolle und-Dienste bieten ein garantiertes System für die schnelle Abwicklung des IP-Verkehrs. Resource Reservation Protocol (RSVP) Mit diesem Signalisierungsprotokoll können der Absender und Empfänger einen für die Datenübertragung reservierten Pfad mit einem angegebenen QoS einrichten. Asynchronous Transfer Mode (ATM) Ein ATM-Netzwerk kann gleichzeitig unterschiedliche Datentypen übermitteln, beispielsweise Sprache, Daten, Bilder und Video. Streaming Media-Dienste Server- und Toolkomponenten für die Übertragung
Rolle dieser Funktion im Unternehmen
908
Teil VII
Anhänge
von Multimediadateien über ein Netzwerk. Fibre Channel Fibre Channel bewältigt ein Datenvolumen von einem Gigabit pro Sekunde. Die Übertragung erfolgt durch Zuordnen von allgemeinen Übertragungsprotokollen und Zusammenführen von NetzwerkE/A und Hochgeschwindigkeits-E/A bei einer einzigen Verbindung. IP-Telefonie TAPI 3.0 (TAPI = Telephony API) vereinigt IP und konventionelle Telefonie.
Anhang A Beispiele für Planungsarbeitsblätter
909
Weitere Informationen zu den Netzwerk- und Kommunikationsfunktionen von Windows 2000 finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ und „Bestimmen der Strategien für die Netzwerkverbindung“ in diesem Buch.
Speicherverwaltung Windows 2000 Server enthält Speicherdienste, die sowohl die Zuverlässigkeit als auch den Benutzerzugriff erhöhen. Tabelle A.9 erläutert diese Dienste. Tabelle A.9 Speicherverwaltung Funktion Remotespeicher Überwacht den verfügbaren Speicherplatz auf einer lokalen Festplatte. Wenn der Grenzwert für den freien Speicherplatz auf der primären Festplatte unterschritten wird, entfernt der Remotespeicher lokale Daten, die bereits auf den Remotespeicher kopiert wurden. Wechselmedien Administratoren können Wechseldatenträger und Funktionen verwalten. Administratoren können Medienpools erstellen, die von einer bestimmten Anwendung verwendet werden. NTFS-Optimierungen Es werden unter anderem folgende Leistungsoptimierungen unterstützt: Dateiverschlüsselung, die Möglichkeit, einem NTFS-Datenträger Speicherplatz ohne Neustart hinzuzufügen, Überwachung verteilter Verknüpfungen, Datenträgerkontingente auf Benutzerbasis, um die Auslastung von Speicherplatz zu überwachen und einzuschränken. Datenträgerkontingente Administratoren können die Auslastung von Datenträgern besser planen und implementieren. Backup Mit dieser Funktion können Benutzer Daten auf verschiedenen Speichermedien, beispielsweise auf Festplatten sowie magnetischen und optischen Medien, sichern. DFS-Unterstützung Administratoren können eine Verzeichnisstruktur erstellen, die mehrere Dateiserver und Dateifreigaben enthält und Interoperabilität zwischen Windows 2000-Clients und beliebigen Dateiservern ermöglicht, die ein übereinstimmendes
Rolle dieser Funktion im Unternehmen
910
Teil VII
Anhänge
Protokoll verwenden.
Anhang A Beispiele für Planungsarbeitsblätter
911
Weitere Informationen zum Einrichten der Speicherverwaltungstechnologien von Windows 2000 Server finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
Erstellen eines Testlabors für Windows 2000 Das Kapitel „Erstellen eines Testlabors für Windows 2000“ erläutert die Bedeutung der Testphase für Windows 2000 auf Grundlage von realistischen Szenarios. Dieses Kapitel enthält außerdem viele Richtlinien für die Einrichtung des Testlabors und die Ausführung eines umfassenden Testprogramms. Zu Beginn müssen folgende Vorgänge ausgeführt werden: ? Erstellen eines Testplans, der Ihren Anwendungsbereich, die
Unternehmensziele und die Methodik beschreibt. ? Entwerfen von Testfällen, die alle Testszenarios und Probleme beschreiben. ? Ausführen von Tests und Auswerten von Ergebnissen. ? Dokumentieren der Testergebnisse. ? Weiterleiten der Probleme an die geeigneten Ansprechpartner.
Ihr Labor muss die tatsächliche Arbeitsumgebung möglichst umfassend simulieren können. Folgende Komponenten sollten unbedingt in Ihrem Testplan dokumentiert werden: ? Der aktuelle Netzwerkentwurf (logisch und real). ? Der vorgeschlagene Windows 2000-Entwurf. ? Eine Liste der Funktionen, die bewertet und getestet werden müssen. ? Eine Bestandsaufnahme der vorhandenen Hardware (Server, Clientcomputer
und tragbare Computer). ? Eine Liste der für den Einsatz von Windows 2000 vorgeschlagenen Hardware. Diese Liste wird im Verlauf der Testphase erweitert, Sie benötigen jedoch eine Startliste für das Labor. ? Eine Liste der administrativen Tools (in Windows 2000, Produkte von
Fremdanbietern, sowie selbst programmierte Tools). ? Eine Liste der Aktualisierungen, beispielsweise Service Packs, Treiber und BIOS, die für die Installation von Windows 2000 erforderlich sind. Nehmen Sie in die Laborbeschreibung auch folgende Informationen auf: ? Domänenstruktur. Hierzu gehören: ? die Gesamtstruktur und die Strukturhierarchie. ? die Gruppenrichtlinienobjekte (die Einstellungen und deren Anwendung). ? der Zweck der jeweiligen Domäne. ? die Methode zum Bestücken der Daten für das Benutzerkonto. ? Vertrauensstellungen (transitiv und explizit).
912
Teil VII
Anhänge ? Domänencontroller. Hierzu gehören: ? Primäre Domänencontroller (PDCs) und Reservedomänencontroller
(BDCs), wenn Sie von Microsoft® Windows NT® 4.0 migrieren. ? Server, die als Domänencontroller fungieren sollen, wenn Sie von einem
anderen Betriebssystem migrieren. ? Mitgliedsserver, einschließlich der Dienste, die darauf ausgeführt werden sollen. ? Clientcomputer. Hierzu gehören: ? Baureihe und Modell des Computers. ? Speichergröße. ? Typ und Geschwindigkeit des Prozessors. ? Festplattenkapazität. ? Grafikkarten (Typ, Auflösung und Farbtiefe). ? Verwendung des Laborentwurfs für bestimmte Tests. Hierzu gehören: ? Tests im gemischten und im einheitlichen Modus („mixed/native mode“). ? DFÜ-Tests und weitere Remotetests. ? Interoperabilitätstests (UNIX, Großrechner und andere Systeme). ? Replizierungs- und Active Directory-Standorttests. ? Testen der WAN-Verbindungen.
Verwenden Sie Tabelle A.10, um den Anwendungsbereich und die Unternehmensziele für jeden Test zu dokumentieren. Füllen Sie für jeden Test ein eigenes Arbeitsblatt aus.
Anhang A Beispiele für Planungsarbeitsblätter
913
Tabelle A.10 Dokumentation des Anwendungsbereichs und der Unternehmensziele für jeden Test Testbezeichner:
Test am: Anwendungsbereich und Unternehmensziele:
Zweck
Spezielle Hardwareanforderungen Spezielle Softwareanforderungen Spezielle Konfigurationsanforderungen Verwendetes Testverfahren
Erwartete Ergebnisse oder Erfolgskriterien
Tabelle A.11 erläutert den Typ des Erfassungsblatts, das Sie gegebenenfalls für die Überwachung des Testverlaufs und zur Sicherstellung der Lösung von Nachfolgeproblemen verwenden können. Tabelle A.11 Erfassen der Testergebnisse Testbezeichner
Test am
Ergebnisse
Aktionselemente
914
Teil VII
Anhänge
Vorbereiten der Netzwerkinfrastruktur für Windows 2000 Das Kapitel „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ enthält Empfehlungen zum Dokumentieren der aktuellen Netzwerkinfrastruktur. Sie können anschließend die Bereiche der Netzwerkinfrastruktur identifizieren, die Sie gegebenenfalls vor der Einrichtung von Windows 2000 aktualisieren oder ändern müssen. Zu den Bereichen der Infrastruktur gehören beispielsweise Server, Router und Netzwerkdienste. Folgende Bereiche der aktuellen Netzwerkumgebung müssen als Vorbereitung für die Einrichtung von Windows 2000 dokumentiert werden: ? Hardware und Software ? Netzwerkinfrastruktur ? Datei-, Druck- und Webserver ? Unternehmensanwendungen ? Architektur der Verzeichnisdienste ? Sicherheit Folgende Hardwareposten sollten gründlich dokumentiert werden: ? Router ? Drucker ? Modems ? Andere Hardware, beispielsweise RAID- und RRAS-Serverhardware ? BIOS-Einstellungen ? Treiberversionen und weitere Software- und Firmwareinformationen Ihr Softwareinventar sollte folgende Elemente enthalten: ? Alle Anwendungen auf den Computern ? Versionsnummern (oder Zeitstempeldaten) von DLLs zu diesen Anwendungen ? Service Packs, die für das Betriebssystem oder für Anwendungen verwendet werden Dokumentieren Sie außerdem die Netzwerkkonfigurationen für Server und Clientcomputer. Zu diesen Informationen, die Sie über den Eintrag Netzwerk in der Systemsteuerung aufrufen können, gehören: ? Identifikation ? Dienste ? Protokolle ? Adapter ? Bindungen ? Internetprotokolladressen Folgende Aspekte müssen dokumentiert werden: ? Die logische Organisation Ihres Netzwerks ? Auflösungsmethoden für Namen und Adressen ? Konfiguration der verwendeten Dienste
Anhang A Beispiele für Planungsarbeitsblätter
915
? Der Standort des Netzwerks ? Die verfügbare Bandbreite zwischen den Standorten
Sie müssen außerdem möglichst viele Daten sammeln, um reale und logische Netzwerkdiagramme zu erstellen, die Sie vor und nach dem Erstellen von Netzwerkbildern mit Ihren Kollegen besprechen. Weitere Informationen zu wichtigen technischen Fragen finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ in diesem Buch.
Bestimmen der Strategien für die Domänenmigration Um die Migration Ihrer Domänenstruktur von Windows NT zu Windows 2000 zu planen, müssen Sie zuerst die Migrationsziele bestimmen. Diese Ziele betreffen gegebenenfalls Ihre Bedenken gegenüber der Einrichtung, beispielsweise potentielle Unterbrechungen der Produktionssysteme, Auswirkungen auf die Systemleistung sowie eine Erhöhung der durchschnittlichen Zeit zwischen dem Auftreten von Fehlern. Ihre Migrationsziele beeinflussen außerdem Ihre Testpläne und Akzeptanzkriterien. Lesen Sie zuerst das Kapitel „Bestimmen der Strategien für die Domänenmigration“, und beginnen Sie anschließend die Planung der Migrationsstrategie mit Hilfe der Arbeitsblätter. Verwenden Sie Tabelle A.12 als Ausgangsbasis für die Dokumentation der Migrationsziele Ihres Unternehmens. Die Tabelle enthält bereits Beispiele für Unternehmensziele, um Ihnen den schnellen Einstieg zu ermöglichen. Tabelle A.12
Dokumentieren der Migrationsziele
Ziel
Richtlinien zum Erreichen der Zielsetzung
Minimieren der Unterbrechungen in der Produktionsumgebung.
? Verwalten des Benutzerzugriffs auf Daten,
Verwalten der Systemleistung.
? Einrichten einer vertrauten Umgebung für Benutzer
Ressourcen und Anwendungen während und nach der Migration. während und nach der Migration. ? Verwalten des Benutzerzugriffs auf Daten,
Erhöhen der durchschnittlichen Zeit zwischen dem Auftreten von Fehlern.
?
Minimieren des Verwaltungsaufwands.
?
?
?
? ?
Ressourcen und Anwendungen während und nach der Migration. Einrichten einer vertrauten Umgebung für Benutzer während und nach der Migration. Verwalten des Benutzerzugriffs auf Daten, Ressourcen und Anwendungen während und nach der Migration. Einrichten einer vertrauten Umgebung für Benutzer während und nach der Migration. Ermöglichen einer nahtlosen Migration von Benutzerkonten. Benutzer müssen gegebenenfalls ihre Kennwörter beibehalten. Minimieren der Anzahl der Administratorbesuche zu Clientcomputern. Minimieren der Anzahl der neuen Berechtigungen für Ressourcen.
916
Teil VII
Anhänge Maximieren der ersten Erfolge.
? Richten Sie die Schlüsselfunktionen zuerst ein.
(Fortsetzung) Ziel
Richtlinien zum Erreichen der Zielsetzung
Verwalten der Systemsicherheit.
? Die Einrichtung muss so erfolgen, dass immer ein
sicheres System gewährleistet ist. ? Konzipieren einer Sicherheitsrichtlinie für die Einrichtung.
Verwenden Sie Tabelle A.13 für die Erfassung des Datums der Fertigstellung von Tasks. Tabelle A.13 Erfassen der Fertigstellung von Tasks für die Domänenmigration Task
Ausgeführt am
Bestimmen Ihres Migrationswegweisers. Bestimmen der unterstützten Aktualisierungspfade. Überprüfen der vorhandenen Domänenstruktur. Entwickeln eines Wiederherstellungsplans. Bestimmen der Strategie für die Aktualisierung von Domänencontroller. Bestimmen der Reihenfolge für die Aktualisierung von Domänen. Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus. Bestimmen der Gründe für die Umstrukturierung der Domänen. Bestimmen des Zeitpunkts für die Umstrukturierung der Domänen. Verschieben von Benutzern und Gruppen. Verschieben von Computern. Verschieben von Mitgliedsservern. Einrichten von Vertrauensstellungen. Duplizieren von Sicherheitsprincipals. Wechsel in den nativen Modus.
Planen der verteilten Sicherheit Um eine allgemein gültige Sicherheitsrichtlinie zu implementieren, müssen Sie zahlreiche Netzwerksicherheitsfunktionen koordinieren. Verwenden Sie Tabelle A.14, alle Sicherheitsaspekte zu dokumentieren, die sich auf Ihr Unternehmen beziehen. Beispiele für Sicherheitsrisiken finden Sie im Kapitel „Planen der verteilten Sicherheit“. Listen Sie keine allgemeinen, sondern nur bestimmte Sicherheitsrisiken für Ihr Unternehmen auf. Geben Sie unter Begrenzungsstrategie die Einzelheiten aus allen Kapiteln in dieser Dokumentation ein, die sich
Anhang A Beispiele für Planungsarbeitsblätter
917
auf die Sicherheit beziehen. Hierzu gehören insbesondere die Kapitel „Planen der Infrastruktur für öffentliche Schlüssel“ und „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“.
918
Teil VII
Tabelle A.14
Anhänge
Ermitteln potentieller Sicherheitsrisiken
Potentielles Risiko
Beschreibung
Begrenzungsstrategie (einschließlich Richtlinien, Windows 2000-Funktionen und anderen Technologielösungen)
Automatisieren der Serverinstallation und der Aktualisierung Bevor Sie die Installation von Windows 2000 Server automatisieren können, müssen Sie sich entscheiden, ob Sie Windows NT aktualisieren oder eine Neuinstallationdurchführen möchten. Das Kapitel „Automatisieren der Serverinstallation und der Aktualisierung“ unterstützt Sie bei dieser Entscheidung. Die folgenden Fragen sind ein Wegweiser für diese Entscheidung. 1. Verwendet Ihr Organisation derzeit eine verwaltete Installation von Windows NT? Ja ? Nein ? 2. Soll bereits vorhandene Hardware und Software verwendet werden? Ja ? Nein ? Wenn Sie die Fragen 1 und 2 mit „Ja“ beantwortet haben, empfiehlt sich in der Regel eine Aktualisierung. 3. Soll Windows 2000 auf einer neuen Hardware installiert werden? Ja ? Nein ?
4. Sollen neue Anwendungen installiert werden, die für eine Windows 2000Umgebung geschrieben wurden? Ja ? Nein ? Wenn Sie die Fragen 3 und 4 mit „Ja“ beantwortet haben, empfiehlt sich in der RegeleineNeuinstallation. Verwenden Sie Tabelle A.15, um die automatisierten Installationsmethoden und den Ort für den Einsatz in Ihrer Organisation zu bestimmen.
Anhang A Beispiele für Planungsarbeitsblätter
919
Tabelle A.15 Ermitteln des Zeitpunkts und Orts für die Ausführung von Methoden zur automatisierten Installation Methode
Anwendungsbereich
Syspart
Für Neuinstallationen auf Computern mit unterschiedlicher Hardware.
Sysprep
Wenn der Hauptcomputer und die Zielcomputer mit identischer Hardware ausgestattet sind. Hierzu gehören HAL und Massenspeichergeräte.
Systems Management Server (SMS)
Um verwaltete Aktualisierungen von Windows 2000 Server auf mehrere Systeme auszuführen. Hierzu gehören insbesondere Systeme, die sich an unterschiedlichen geographischen Standorten befinden.
Boot-CD
Diese CD kann von einem Computer mit einem geeigneten BIOS gestartet werden.
Methode verwenden?
Wann und Wo?
Verwenden Sie Tabelle A.16 als Checkliste für Tasks, die ausgeführt werden müssen. Geben Sie auch das Datum der Ausführung an. Tabelle A.16 Erfassen des Zeitpunkts der Fertigstellung von Installationstasks Task
Ausgeführt am
Lösen kritischer Planungsfragen. Erstellen des Verteilungsordners. Prüfen der Antwortdatei. Prüfen der Befehle für das Installationsprogramm von Windows 2000. Auswählen einer Methode für die Anwendungsinstallation auf der Grundlage einer kritischen Planung. Auswählen einer Methode für die Betriebssysteminstallation auf der Grundlage einer kritischen Planung.
Aktualisieren und Installieren von Mitgliedsservern Verwenden Sie die folgenden Arbeitsblätter zusammen mit dem Kapitel „Aktualisieren und Installieren von Mitgliedsservern“ zur Bestimmung der günstigsten und effizientesten Methode zum Aktualisieren und Installieren von Windows 2000Mitgliedsservern in Ihrem Unternehmen. Wenn Sie die Aktualisierung oder Neuinstallation von Windows 2000 Server planen, definieren Sie zuerst die Spezifikationen für jeden Mitgliedsserver. Sie benötigen ein aktuelles Diagramm für das vorhandene Netzwerk, bevor Sie die Aktualisierung oder Neuinstallation einleiten. Erstellen Sie gegebenenfalls dieses
920
Teil VII
Anhänge
Diagramm, und konzipieren Sie anschließend Pläne für die Neuinstallation oder Aktualisierung von Mitgliedsservern. Ermitteln Sie dann, ob Ihr Unternehmen entschieden hat, Windows 2000 Active Directory zu installieren und auszuführen. Active Directory muss ausgeführt werden, um verschiedene erweiterte Dienste innerhalb des Betriebssystem durchzuführen. Ermitteln Sie anschließend, wie viele Mitgliedsserver jedes Typs in Ihrem Unternehmen vorhanden sind: ? Dateiserver: ? Druckserver: ? Anwendungsserver: ? Webserver: ? Faxserver: ? Proxyserver: ? Routing- und RAS-Server: ? Datenbankserver:
Füllen Sie das für jeden Server der vorhandenen Umgebung das Planungsarbeitsblatt für Mitgliedsserver. Mit Hilfe dieses Arbeitsblatts können Sie den individuellen Aktualisierungspfad für jeden Server Ihres Unternehmens definieren. Nachdem Sie jedem Server eine Priorität verliehen haben, können Sie einen Plan für die Neuinstallation oder Aktualisierung erstellen.
Planungsarbeitsblatt für Mitgliedsserver Beschreiben Sie die Server in der vorhandenen Umgebung, indem Sie die folgenden optionalen Eigenschaften verwenden. Servertyp: Dateiserver ? Druckserver ? Webserver ? Proxyserver ? Faxserver ? Routing- und RAS-Server ? Datenbankserver ? Anwendungsserver ? Geben Sie die installierten Anwendungen an:
Name des Mitgliedsservers: Welches Datenvolumen ist auf dem Server gespeichert? Welches Datenvolumen ist über diesen Server übertragen worden? Derzeitige Anzahl der Benutzer: Bisherige Anzahl der Betriebsstunden: Serverspezifikationen:
Anhang A Beispiele für Planungsarbeitsblätter
921
Ist dieses Computersystem in der Microsoft Windows Hardware Compatibility List (HCL) eingetragen? Ja ? Nein ? Seriennummer: Wurden an der Hardware Änderungen vorgenommen? Ja ? Nein ? Wenn ja, welche?
Lieferant: Modell: Bauart: InstallierterHauptspeicher: Typ der installierten Netzwerkadapter: Ethernet ? Token Ring ? FDDI ? ATM ? Andere Sind die Netzwerkadapter in der HCL eingetragen? Ja ? Nein ? Typ des CD-ROM-Laufwerks: Integrierte Plug & Play-Geräte:
Typ der externen Datenträger, die mit dem Computer verbunden sind:
Festplattenpartitionierung und verfügbarer freier Speicherplatz:
Verwenden Sie RAID? Wenn ja, welches: Software RAID ? Hardware RAID ?
Welche RAID-Levels werden verwendet?
Welche der folgenden Softwaretypen sind auf diesem Server installiert? Netzwerkdienste v. Fremdanbietern ? Virenscanner ? Andere Clientsoftware ?
922
Teil VII
Anhänge
Weitere Informationen zu Problemen mit bestimmten Anwendungen finden Sie in der Datei mit den Versionshinweisen (relnotes.htm) auf der CD für Windows 2000 Server. Deinstallieren Sie alle Anwendungen, die in den Versionshinweisen genannt werden, bevor Sie die Aktualisierung oder Neuinstallation ausführen.
Anhang A Beispiele für Planungsarbeitsblätter
923
Plan für die Sicherung und Wiederherstellung von Serverdaten Sichern Sie folgende Dateien vor der Aktualisierung:
Maximale Toleranz für Ausfallzeiten: Ermittelbare Kosten der Ausfallzeit:
Neue Hardwareanforderungen Anzahl der zu aktualisierenden Mitgliedsserver: Anzahl der Mitgliedsserver, die vor der Aktualisierung oder Neuinstallation durch neue Hardware ersetzt werden sollen: Anzahl der Netzwerkadapter, die für die Aktualisierung erforderlich sind: Typ der Netzwerkadapter: Ethernet ? Token Ring ? FDDI ? ATM ? Andere Geplantes Datenvolumen: Geplante Anzahl der Benutzer: Geplante Anzahl der Betriebsstunden:
Erfassen von Serverspezifikationen Druckserver Wenn es sich um einen Druckserver handelt, bestimmen Sie folgendes: ? Anzahl der druckenden Benutzer und die erwartete Druckauslastung:
? Druckanforderungen (bestimmte Abteilungen können beispielsweise einen
Farbdrucker benötigen).
924
Teil VII
Anhänge ? Standort der Drucker. Benutzer sollten nach Möglichkeit schnell auf gedruckte
Dokumente zugreifen können. Verwenden Sie Tabelle A.17, um jeden Druckserver die Drucker zuzuweisen. Tabelle A.17 Zuordnen von Druckservern, Druckern und Standorten Druckserver
Druckername
Standort
Haben Sie alle erforderlichen Druckertreiber installiert? Ja ? Nein ? (Beziehen Sie die Druckertreiber entweder von der Windows 2000 Server -CD oder direkt vom Hersteller.) Führen Clients im Netzwerk Betriebssysteme von Fremdanbietern aus? Macintosh ? NetWare ? UNIX ? Andere ? Sie müssen zusätzliche Dienste auf Druckservern und die entsprechenden Druckertreiber auf Clients installieren, auf denen Betriebssysteme von Fremdanbietern laufen. Wenden Sie sich an die Hersteller der Drucker, um die geeigneten Druckertreiber zu beziehen.
Dateiserver Möchten Sie domänenbasiertes DFS ausführen? Ja ? Nein ? Hinweis Für domänenbasiertes DFS ist Active Directory erforderlich. Fassen Sie die Server in Gruppen zusammen, um die jeweiligen Netzwerkordner zu bestimmen: Gruppe __________________________ enthält folgende Dateiserver:
Anwendungsserver Welche Dienste soll dieser Anwendungsserver zur Verfügung stellen? Komponentendienste ? Terminaldienste ? Datenbank ? E-Mail ?
Anhang A Beispiele für Planungsarbeitsblätter
925
Wenn Sie Komponentendienste benötigen, wählen Sie die gewünschten Dienste aus: ? Anwendungslastenausgleich: Ja ? Nein ? ? Transaktionsdienste: Ja ? Nein ? ? Anwendungsverwaltung: Ja ? Nein ? ? Message Queuing: Ja ? Nein ? ? Andere:
Webserver Welche neuen oder zusätzlichen Komponenten sollen auf diesen Server installiert werden?
Planen der Installationsart (Aktualisierung oder Neuinstallation Der Pilotprozess ist iterativ. Sie richten bestimmte Computer in einer kontrollierten Umgebung ein, werten die Ergebnisse aus, beheben gegebenenfalls auftretende Probleme, und richten ein weiteres Pilotprojekt ein, bis Sie den Anwendungsbereich und das Volumen für eine vollständige Einrichtung erreicht haben.
Einrichtungsprioritäten für die jeweiligen Mitgliedsserver setzen Erstellen Sie ein Prioritätssystem für die Aktualisierung oder Installation, indem Sie Server nach Einrichtungsphasen gruppieren. Sie können beispielsweise Gruppennummern oder Namen für jedes Pilotprojekt vergeben. In diesem Fall können Sie später die Priorität der Aktualisierungs- oder Installationsserver ermitteln. Der Name oder die Nummer der Gruppe lautet: Wann soll die Aktualisierung oder Neuinstallation auf diesem Server stattfinden? Wählen Sie das gewünschte Element aus: Pilotphase 1 ? Pilotphase 2 ? Produktion ? Weitere Informationen ? zum Einrichten eines Testlabors finden Sie unter „Erstellen eines Testlabors für
Windows 2000“ in diesem Buch. ? zum Erstellen eines Pilotplans finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
926
Teil VII
Anhänge
Sicherstellen der Verfügbarkeit von Anwendungen und Diensten Wenn Ihre Anwendungen und Dienste hochverfügbar sein sollen, füllen Sie jeweils ein Planungsarbeitsblatt zur Clusteringeinrichtung für alle unternehmenskritischen hochverfügbaren Anwendungen oder Dienste aus. Bevor Sie das Arbeitsblatt ausfüllen, lesen Sie „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“. Dieses Kapitel erläutert die neuen Konzepte und bietet Richtlinien für die optimale Nutzung des Planungsarbeitsblatts.
Ermitteln des Bedarfs an hoher Verfügbarkeit Ihre Umgebung kann unter anderem folgende Typen für Anwendungen oder Dienste enthalten: ? Datenbank (beispielsweise Microsoft® SQL Server™ ) ? Groupware (beispielsweise Microsoft ® Exchange Server) ? Webdienst (beispielsweise Microsoft Internet-Informationsdienst) ? Windows Internet Name Service (WINS) ? Dynamic Host Configuration Protocol (DHCP) ? Intern entwickelte Unternehmensanwendungen ? Anwendungen von Fremdanbietern ? Netzwerkordner für Dateien und Drucker
Definieren Sie in den folgenden Unterabschnitten die Spezifikationen für alle unternehmenskritischen Anwendungen oder Dienste, die mit Windows 2000 Server eingerichtet werden sollen.
Anwendungs- und Dienstspezifikationen Name der Anwendung oder des Diensts:
Verfügbarkeitsanforderungen für die Anwendung oder den Dienst Welches Netzwerkprotokoll ist für die Anwendung oder den Dienst erforderlich? TCP/IP ? IPX/SPX ? Hinweis Microsoft bietet keine Hochverfügbarkeitslösungen an, die IPX/SPX unterstützen. Ist für Ihre Clusteringlösung folgendes erforderlich? Datensicherung ? Geschützter Datenzugriff ? Geschützte Daten ? Schutz vor Stromausfall ? Schutz vor Netzwerkausfall ? Verwaltung von Clusterobjekten und Konfigurationen ?
Anhang A Beispiele für Planungsarbeitsblätter
927
Koordination mit anderen Instanzen des Clusterdiensts im Cluster ? Ausführung von Failoveroperationen ? Handhabung der Ereignisbenachrichtigung ? Einfache Kommunikation mit anderen Softwarekomponenten ? Fragen zur Softwarekompatibilität: Haben Sie eine Ressourcen-DLL? Ja ? Nein ? Können Sie eine allgemeine Ressourcen-DLL verwenden? Ja ? Nein ? Unterstützt die Ressourcen-DLL: Zwei-Knoten-Cluster ? N-Knoten-Cluster ? Unterstützt die Anwendungsinstallation: Zwei-Knoten-Cluster ? N-Knoten-Cluster ? Wird die Anwendung unter Windows 2000 korrekt ausgeführt? Ja ? Nein ? Hat die Anwendung keinen Status oder verwaltet sie einen clientseitigen Status?
Spezielle Hardwareanforderungen: Ist das System für den Cluster in der HCL eingetragen? Ja ? Nein ? Unterstützt das System ein hohes Speichervolumen? Ja ? Nein ? Installieren Sie Microsoft ® Windows® 2000 Advanced Server auf Intel PAEbasierten Computersystemen mit mehr als 4 GB RAM? Ja ? Nein ? Wenn ja, müssen Sie die folgenden Schritte unternehmen: ? Stellen Sie über die HCL sicher, dass das System und die Komponenten für
ein hohes Speichervolumen unterstützt werden. ? Bringen Sie das System und die Komponenten in Einklang. ? Sichern Sie das System vollständig. ? Tragen Sie in die Datei boot.ini die PAE-Option ein. ? Testen Sie das System, um die korrekte Ausführung zu gewährleisten.
Verwendet das System: SCSI (zwei Knoten) ? SCSI-Switch (N-Knoten) ? Fiber Channel (NKnoten) ? Welche Netzwerkadapter verwenden Sie in Ihrer Umgebung? Ethernet ? Token Ring ? FDDI ? ATM ? Andere Sind die Netzwerkadapter in der HCL eingetragen? Ja ? Nein ? Datenvolumen: Anzahl der Benutzer: Betriebsstunden:
928
Teil VII
Anhänge
Erwartete Anforderungsänderungen bei der Größe und Leistungsstärke für die Anwendung oder den Dienst Saisonbedingte oder andere geplanten Spitzen:
Erwartete Steigerungsrate der Benutzer:
Erwartete Steigerungsrate der Daten:
Pläne zur Datensicherung und Wiederherstellung für die Anwendung oder den Dienst Maximale Toleranz für Ausfallzeiten:___________________________________
Auswirkungen bei Ausfallzeiten (Zutreffendes ankreuzen): Umsatzverlust ? Produktivitätsverlust ? UnzufriedenheitbeimKunden ? Nichterfüllung vertraglicher Verpflichtungen oder Schadenersatzforderungen ? Verlust der Wettbewerbsfähigkeit ? Kostensteigerung durch Ausgleichszeiten ? Andere:
Ermittelbare Kosten der Ausfallzeit (definieren Sie die Kosten pro Anwendung und die Kosten pro Dienstausfall, die die Toleranzgrenze überschreiten):
Standortausfälle Ist standortübergreifende Funktionalität erforderlich? Ja ? Nein ? Ermittlung von Fehlerpositionen: Netzwerkhub ? Netzwerkrouter ? Stromausfall ? Datenträger für die Serververbindung ? Andere Serverhardware, beispielsweise CPU oder Speicher ? Serversoftware ? WAN-Verbindungen, beispielsweise Router und Standleitungen ?
Anhang A Beispiele für Planungsarbeitsblätter
929
DFÜ-Verbindung ? Andere: Wie soll die Verfügbarkeit hergestellt werden, wenn eine Anwendung oder ein Dienst ausfällt?
Welche Wiederherstellungsoptionen stehen bei einem Dienst- oder Stromausfall zur Verfügung? RAID: Level 0 (Striping) ? Level 1 (Spiegeln) ? Level 5 (Striping mit Parität) ? Ersatzcontroller für SCSI oder Fibre Ja ? Nein ? Ersatzdatenträger Ja ? Nein ? Unterbrechungsfreie Stromversorgung (USV) für einzelne Benutzer Ja ? Nein ? USV-Schutz für das Netzwerk (einschließlich Hubs, Bridges, Router usw.) Ja ? Nein ? Checkliste zumKonzipieren einer Strategie zur Sicherung und Wiederherstellung von Clustern: Zuordnen von Registrierungsschlüsseln zu jeder Ressource. ? Erstellen eines Katalogs zur Dokumentation von jeder Sicherung. ? Ermitteln eines sicheren Speicherorts für Sicherungskopien. ? Erstellen einer Notfalldiskette über das Dienstprogramm Backup. ?
Planen des Netzwerklastenausgleichs Wird die Anwendung oder der Dienst auf allen Hosts im Cluster ausgeführt, oder verwaltet jeder Host die Anwendung oder den Dienst selbst? Die Anwendung oder der Dienst wird auf einem Host ausgeführt ? Alle Hosts nutzen die Anwendung oder den Dienst gemeinsam ? Verwendet die Anwendung einen TCP- oder UDP-Port? TCP ? UDP ? Anzahl der Hosts im Cluster (1-32): Hinweis Vergewissern Sie sich, dass ausreichend Zusatzkapazität auf den Servern zur Verfügung steht, damit bei einem Serverausfall die verbleibenden Server die erhöhte Belastung bewältigen können.
930
Teil VII
Anhänge
Wenn Sie einen Router verwenden, in welchem Modus wird dieser ausgeführt? Unicast ? Multicast ?
Treffen einer Auswahl für den Netzwerklastenausgleich Haben Sie folgendes über TCP/IP implementiert? Distributed Component Object Model (DCOM) ? Named Pipes ? Remoteprozeduraufruf ?
Auswahl der Serverrolle Welche Funktion sollen die Knoten im Cluster haben: Mitgliedsserver ? Domänencontroller ? GlobaleKataloge ? Hinweis Wenn Sie Domänencontroller wählen, müssen bestimmte Hardwareanforderungen erfüllt werden. Weitere Informationen hierzu finden Sie unter „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ in diesem Buch.
Auswahl des Clustermodells Was möchten Sie implementieren? Cluster mit einem Knoten (Failover ist nicht verfügbar) ? Cluster mit einem dedizierten sekundären Knoten ? Konfiguration für hohe Verfügbarkeit (Ressourcenverfügbarkeit mit virtuellen Servern): Clustering eines einzelnen Anwendungstyps ? Clustering von mehreren Anwendungen ? KomplexeHybridkonfiguration ?
Planen von Ressourcengruppen Welchen Ressourcentyp benötigt der Cluster? IP-Adresse ? Netzwerkname ? Realer Datenträger ? Allgemeine oder benutzerdefinierte Anwendungen oder Dienste ? Genaue Angaben Auflistung aller serverbasierten Anwendungen in jeder Ressourcengruppe:
Wie viele virtuelle Server sollen in Ihrer Umgebung ausgeführt werden?
Anhang A Beispiele für Planungsarbeitsblätter
931
Welche anderen Softwareprodukte sollen unabhängig von diesen Gruppen ausgeführt werden?
Welche Hardware, Verbindungen und Betriebssystemsoftware kann dieser Servercluster in Ihrer Netzwerkumgebung schützen? Auflistung aller anwendungsfremden Ressourcen.
Auflistung aller Abhängigkeiten pro Ressource (einschließlich aller Ressourcen, die die Kernressourcen unterstützen):
Welche Failoverrichtlinien sind für jede Ressource erforderlich?
Vereinfachen Sie den administrativen Aufwand, wenn Sie die Gruppierungen vornehmen.Beispiel: ? Fassen Sie Dateifreigabe- und Druckspoolingressourcen zu einer Gruppe
zusammen. ? Gruppieren Sie alle Anwendungen, die von einer bestimmten Ressource abhängen.
Synchronisieren des Active Directory mit dem Exchange Server-Verzeichnisdienst Das Kapitel „Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst“ enthält Konzepte und Prozesse zur Synchronisierung von Verzeichnissen, die Sie beim Bestimmen der günstigsten und leistungsstärksten Methode zur Integration von Active Directory und dem Verzeichnisdienst von Microsoft ® Exchange Server 5.5 unterstützen. Um den Plan für die Verbindungsvereinbarung zu erstellen, füllen Sie ein Planungsarbeitsblatt pro Verbindungsvereinbarung aus, die Ihr Unternehmen benötigt. Nachdem Sie die Verbindungsvereinbarungen in den Arbeitsblättern dokumentiert haben, können Sie diese in Windows 2000 konfigurieren. (Weitere Informationen hierzu finden Sie im nachfolgenden Abschnitt „Erstellen von Verbindungsvereinbarungen“.)
932
Teil VII
Anhänge
Erstellen von Verbindungsvereinbarungen Nummer oder Name der Verbindungsvereinbarung:
Zuständiger Administrator für diese Verbindungsvereinbarung:
Verzeichnisdienst, über den die Objekte verwaltet werden: Windows 2000 Active Directory ? Exchange Server 5.5-Verzeichnisdienst ? Richtung: Einfach ? Zweifach ?
Ermitteln der Quelle für die Verbindungsvereinbarung und der Zielserver Einfache Verbindungsvereinbarung: Wenn der Quellserver ein Exchange 5.5-Server ist: Bridgehead ? Anderer ? Name des Quellservers: __________________ Wenn der Zielserver ein Windows 2000-Server ist: GlobalerKatalog ? Domänencontroller ? Bridgehead ? Name des Zielservers: Zweifache Verbindungsvereinbarung: Wenn der erste Quellserver ein Exchange 5.5-Server ist: Bridgehead ? Anderer ? Name des Quellservers: Wenn der erste Zielserver ein Windows 2000-Server ist: GlobalerKatalog ? Domänencontroller ? Bridgehead ? Name des Zielservers: Wenn der zweite Zielserver ein Windows 2000-Server ist: GlobalerKatalog ? Domänencontroller ? Bridgehead ? Name des Quellservers: Wenn der zweite Quellserver ein Exchange 5.5-Server ist: Bridgehead ? Anderer ? Name des Zielservers: Verwenden Sie Tabelle A.18, um die zuzuordnenden Objekte zu ermitteln.
Anhang A Beispiele für Planungsarbeitsblätter
933
Tabelle A.18 Ermitteln der zuzuordnenden Directory-Objekte Exchange Server 5.5-Verzeichnis
Active Directory
Verwenden Sie Tabelle A.19, um alle Attribute aufzulisten, die nicht zugeordnet werden sollen. Tabelle A.19 Auflistung aller Attribute, die nicht zugeordnet werden Exchange Server 5.5-Verzeichnis
Active Directory
Ermitteln Sie die E-Mail-Synchronisierungsanforderungen für Fremdanbieter: ___ _________________________________________________________________
934
Teil VII
Anhänge
Erstellen des Plans für die Verzeichnissynchronisierung Um einen Synchronisierungsplan für Ihr Unternehmen zu erstellen, lesen Sie den Beispielplan für die Verzeichnissynchronisierung im Kapitel „Synchronisieren des Active Directory mit dem Exchange Server-Verzeichnisdienst“ in diesem Buch. Verwenden Sie Tabelle A.20 zum Erstellen Ihres Verzeichnissynchronisierungsplans. Tabelle A.20 Stunde 0–1 1–2 2–3 3–4 4–5 5–6 6–7 7–8 8–9 9–10 10–11 11–12 12–13 13–14 14–15 15–16 16–17 17–18 18–19 19–20 20–21 21–22 22–23 23–24
So
Fertigstellung der Matrix für die Verzeichnissynchronisierung Mo
Di
Mi
Do
Fr
Sa
Anhang A Beispiele für Planungsarbeitsblätter
935
Erfassen der Kontakte für die Verzeichnissynchronisierung Schemaadministratorengruppe Name und Telefonnummer des primären Kontakts:
Name und Telefonnummer des zweiten Kontakts:
Bearbeitungszeit für potentielle Schemaänderungen:
Windows 2000-Domänenverwaltung Zuständige Organisation für die Windows 2000-Domänen:
Name und Telefonnummer des primären Kontakts:
Name und Telefonnummer des zweiten Kontakts:
Exchange Server 5.5-Standortverwaltung Zuständige Organisation für die Exchange-Standorte:
Name und Telefonnummer des primären Kontakts:
Name und Telefonnummer des zweiten Kontakts:
Begründung für diese Verbindungsvereinbarung:
Testen der Anwendungskompatibilität mit Windows 2000 Zahlreiche große Unternehmen setzen teilweise mehrere Tausend Anwendungen ein. Wenn auch Ihr Unternehmen ein derartig umfangreiches Volumen verwaltet, ist das Kompilieren einer Anwendungsliste extrem zeitaufwendig. Sie können folgende Informationen zu jeder Anwendung zusammenstellen: ? Name und Version der Anwendung.
936
Teil VII
Anhänge ? Name des Anbieters. ? Aktueller Status (beispielsweise „in Produktion“, „in Entwicklung“, „nicht mehr
im Einsatz“). ? Die Anzahl der Benutzer und deren Unternehmenseinheiten. ? Priorität oder Bedeutung für das Unternehmen. ? Die Betriebssysteme, unter denen die Anwendung ausgeführt wird.
? ? ? ?
Geben Sie an, ob die Anwendung client- oder serverbasiert ist. Geben Sie auch an, welche Komponenten sich auf dem Client und auf dem Server befinden. Die URLs für Webanwendungen. Anforderungen für die Installation (beispielsweise die Sicherheitseinstellungen und die Installationsverzeichnisse). (Bei interner Entwicklung) Dienstprogramm oder Technologie für die Entwicklung. Namen und Telefonnummern der Kontakte (interne Kontakte und Anbieter).
Wenn Sie mehrere Kontakte pro Anbieter ermitteln, versuchen Sie diese nach Möglichkeit zusammenzuführen. Wenn Sie Anwendungen zusammenführen oder Testphasen besser planen möchten, verwenden Sie Tabelle A.21, um Prioritäten zu vergeben. Tabelle A.21 Prioritäten für Anwendungen setzen Anwendung
Bedeutung der Anwendung für das Unternehmen
Anzahl der Benutzer
Handelt es sich um die neueste Version?
Wird eine lokalisierte Version verwendetoder benötigt?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Tabelle A.22 enthält Tests, die Sie für den Planungsbeginn einer Teststrategie verwenden können. Erweitern Sie diese Liste um zusätzliche unternehmensspezifische Fragen. Um die Testergebnisse zu erfassen, geben sie in die Tabelle ein, ob der Test erfolgreich ausgeführt, fehlgeschlagen, in Ausführung oder unbekannt ist. Sie können auch den Namen der Person angeben, die für den Anwendungstest zuständig ist. Ferner können Sie das Datum angeben, an dem der Test fertiggestellt wurde bzw. beendet werden soll.
Anhang A Beispiele für Planungsarbeitsblätter
937
Tabelle A.22 Planen und Erfassen der Teststrategie Test
Testleiter
Test geplant am
Testergebnis
Ausgeführt am
Neuinstallation Aktualisierungen Deinstallation Installationsoptionen Grundfunktionen sowie allgemeine Tasks und Prozeduren Funktioniert mit mehreren geöffneten Anwendungen Funktioniert mit Add-OnHardware, z. B. Scannern Drucken Zugriff und Arbeit mit Serverdaten
Definieren von Standards für die Verwaltung und Konfiguration von Clients Das Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ beschreibt wichtige Planungsschritte, die ausgeführt werden müssen, um den Anforderungen der Benutzer gerecht zu werden bzw. um diese Anforderungen zu verwalten. Hierzu benötigen Sie einen Überblick über die jeweiligen Anforderungen der Benutzer. Außerdem müssen Sie die Probleme kennen, die die Clientsupportteams zu bewältigen haben, um diese Anforderungen zu erfüllen. Mit Hilfe von Tabelle A.23 können Sie die Anforderungen der unterschiedlichen Benutzertypen in Ihrem Unternehmen ermitteln. Gruppieren Sie anhand der Tabelle die Benutzer nach Anforderungstyp (beispielsweise mobil, stationär und taskbasiert) und Position im Unternehmen (Arbeitsplatz und Arbeitsgruppe), um allgemeine Standards für Anwendungen, Konfigurationen und Autonomie zu entwickeln. Unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ finden Sie eine mit der nachfolgend angezeigten Tabelle vergleichbare Beispieltabelle sowie Informationen zum Ausfüllen der Tabelle.
938
Teil VII
Anhänge
Tabelle A.23 Ermitteln der Computeranforderungen für die Benutzer Position 1
Position 2
Position 3
Kategorie Arbeitsgruppe Standort Anwendungsanforderungen Betriebssystemanforderungen Hardwareanforderungen Supportanforderungen Autonomie zulässig oder erforderlich
Mit Hilfe von Tabelle A.24 können Sie dringliche Fragen zum Clientsupport definieren und an einen zuständigen Mitarbeiter delegieren. Im weiteren Verlauf des Planungsprozesses können Sie anhand dieser Tabelle den Fortschritt bei der Lösung dieser Fragen aufzeichnen. Tabelle A.24 Definition der Fragen zum Clientsupport Frage oder Problem
Schweregrad/ Häufigkeit
Zuständigkeit
Lösung
Wenn Sie Tasks für den Clientsupport erneut delegieren möchten, verwenden Sie Tabelle A.25. Sie können in dieser Tabelle den Ort definieren, an dem diese Tasks ausgeführt werden bzw. ausgeführt werden sollen.
Anhang A Beispiele für Planungsarbeitsblätter
939
Tabelle A.25 Zuordnung der Tasks für die Clientverwaltung und den Support Supporttask
Derzeit zuständig
Vorgeschlagene Zuständigkeit
Definition der Anforderungen für die Gruppenrichtlinie Um Clientverwaltungsstandards zu implementieren, müssen Sie Gruppenrichtlinienobjekte erstellen, die Einstellungen in verschiedenen Bereichen enthalten: Sicherheit, Anwendungen, Computersysteme, Benutzerumgebung sowie anwendungsspezifische Einstellungen. Die Mehrzahl dieser Optionen wird im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ erläutert. Die Sicherheitsfragen werden im Kapitel „Planen der verteilten Sicherheit“ behandelt. (Sie müssen gegebenenfalls zusätzliche Einstellungen erstellen, wenn Sie die im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ erläuterten Funktionen implementieren möchten.) Um die Anforderungen für die Gruppenrichtlinie zu definieren, müssen Sie zuerst die erforderlichen Richtlinieneinstellungen ermitteln. Diese sind in der Regel in folgende Bereiche unterteilt: Sicherheitseinstellungen:
Einzurichtende Anwendungspakete:
Systemeinstellungen:
Einstellungen der Benutzerumgebung:
Anwendungsspezifische Einstellungen:
940
Teil VII
Anhänge
Verwenden Sie anschließend eine ähnliche Tabelle wie Tabelle A.26, um den Objekttyp im Verzeichnis (Benutzer, Computer usw.) zu bestimmen, in dem diese Einstellungen Anwendung finden: ? Domäne (Kennwort- oderKontorichtlinie) ? Clientcomputer ? Benutzer ? Domänencontroller ? Server (Anwendungs-, Datei- und Druckserver)
In diesem Planungsstadium sollte es sich bei dem Dokument um einen ersten Entwurf für die Struktur der Gruppenrichtlinie handeln. Sie können in der Regel davon ausgehen, dass viele Einstellungen für alle Clientcomputer, Benutzer, Server usw. Ihres Unternehmens gelten. Sie können diese allgemein gültigen Einstellungen für die Gruppenrichtlinie zu einem einzelnen Gruppenrichtlinienobjekt für Clients, Benutzer, Server usw. zusammenfassen. Tabelle A.26 Definition der Anforderungen für die Gruppenrichtlinie von Windows 2000
Sicherheit
Anwendungseinrichtung
Computereinstellungen (Hardwareeinstellungen) Benutzereinstellungen
Anwendungseinstellungen
Domäne
Clientcomputer
Benutzer
Domänencontroller
Server
Kennwort; Konto; KerberosRichtlinie; PK-Vertrauensliste
Benutzerrechte ; Datei- und RegistrierungsACLs; Überwachungs- und Ereignisprotokoll; lokale Einstellungen Obligatorische Kernanwendungen
EFS-Richtlinie
Benutzerrechte ; Datei- und RegistrierungsACLs; Überwachungs- und Ereignisprotokoll; lokale Einstellungen Verwaltung
Benutzerrechte ; Datei- und RegistrierungsACLs; Überwachungs- und Ereignisprotokoll; lokale Einstellungen Verwaltung
Datenträgerkon tingente
Drucker verschieben
Deaktivieren der Standardbenutzereinstellungen für den Desktop
Deaktivieren der Standardbenutzereinstellungen für den Desktop
Veröffentlichte optionale Anwendungen und Komponenten
Startskripts; Anmeldung; Datenträgerkon tingente; Offlinedateien Anmeldeskript s; Internet ExplorerEinstellungen; Remotezugriff; Ordnerumleitung; Desktopsperre; Netzwerk; System Office 2000; Eigene Anwendungen
Anhang A Beispiele für Planungsarbeitsblätter
941
942
Teil VII
Anhänge
Einige Einstellungen für Gruppenrichtlinien können nicht auf alle Objekte eines bestimmten Typs angewendet werden. Sie können zusätzliche Gruppenrichtlinienobjekte erstellen oder bestimmte Implementierungsoptionen für Gruppenrichtlinien verwenden, die im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ erläutert werden, um diesen Anforderungen gerecht zu werden. Beispiel: Sie benötigen ein eindeutiges Gruppenrichtlinienobjekt, um Computer für Benutzer zu konfigurieren, die auf das Netzwerk von Remotecomputern aus zugreifen. Bei Benutzern mit administrativen Zuständigkeiten empfiehlt es sich in der Regel nicht, dass deren Anwendungen installiert werden, wenn sie sich an einer Serverkonsole anmelden. Die Einrichtung einer Loopbackrichtlinie für die zu schützenden Systeme verhindert dies, indem die normalen Benutzereinstellungen ergänzt oder außer Kraft gesetzt werden. Das Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ erläutert die zahlreichen Optionen, die Ihnen zum Anpassen und Verwalten von Gruppenrichtlinien zur Verfügung stehen. Tabelle A.27 veranschaulicht, wie Sie den Anwendungsbereich und die Ausnahmen Ihrer Einstellungen für Gruppenrichtlinien dokumentieren können. Tabelle A.27 Definition des Anwendungsbereichs und der Ausnahmen für die Gruppenrichtlinie Einstellungen der Gruppenrichtlinie
Anwendungsbereich
Ausnahmen
Domäne (Sicherheit)
Arbeitsstation (Sicherheit, Anwendungen und System) Benutzer (Sicherheit, Anwendungen und System) Domänencontroller (Sicherheit, Anwendungen und System) Server (Sicherheit, Anwendungen und System)
Anwenden der Änderungs- und Konfigurationsverwaltung Im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ definieren Sie die Anforderungen der Computerkonfiguration und der Anwendungen für unterschiedliche Benutzertypen. Wenn Sie die Planungsschritte im Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ ausführen, können Sie Ihre neuen Verwaltungs- und Konfigurationsstandards mit Hilfe von Windows 2000 IntelliMirror und der Remoteinstallation des Betriebssystems implementieren.
Anhang A Beispiele für Planungsarbeitsblätter
943
Anwendungen, die über die Funktionen zur Softwareinstallation und Verwaltung von Windows 2000 eingerichtet wurden, können veröffentlicht oder Benutzern und Computern zugewiesen werden. Um die Bedeutung der jeweiligen Option zu erfassen und die Option auf die Anwendungen des Unternehmens zu übertragen, lesen Sie „Anwenden der Änderungs- und Konfigurationsverwaltung“ in dieser Dokumentation. Verwenden Sie Tabelle A.28, um die in Ihrem Unternehmen eingesetzten Anwendungen und deren Einrichtung zu erfassen. Tabelle A.28 Erfassen der Anwendungen und der zugehörigen Verwaltungsoptionen Anwendung
Dem Benutzer zugewiesen
Dem Computer zugewiesen
Veröffentlicht
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Ja ? Nein ?
Verwenden Sie Tabelle A.29, um die Funktionen des Änderungs- und Konfigurationsmanagements zu definieren, die für die jeweiligen Benutzertypen in Ihrem Unternehmen geeignet sind. Geben Sie in die linke Spalte die Benutzertypen ein, die Sie in Tabelle A.23 definiert haben. Das Kapitel „Anwenden der Änderungs- und Konfigurationsverwaltung“ enthält ein Beispiel für eine ausgefüllte Tabelle. Tabelle A.29 Benutzertyp
Definition der Konfigurationsverwaltungsstrategie für die Benutzer Verwaltung der Benutzerdaten
Verwaltung der Benutzereinstellungen
Installation und Wartung der Software
Remoteinstallation des Betriebssystems
944
Teil VII
Anhänge
Automatisieren der Clientinstallation und der Aktualisierung Bevor Sie die Installation von Windows 2000 Professional automatisieren, müssen Sie sich entscheiden, ob ein älteres Betriebssystem aktualisiert oder eine Neuinstallation durchgeführt werden soll. Die folgenden Fragen dienen als Entscheidungshilfe. 1. Verwendet Ihr Unternehmen derzeit eine verwaltete Installation von Windows NT? Ja ? Nein ? 2. Soll bereits vorhandene Hardware und Software verwendet werden? Ja ? Nein ? Wenn Sie die Fragen 1 und 2 mit „Ja“ beantwortet haben, empfiehlt sich in der Regel eine Aktualisierung. 3. Soll Windows 2000 auf einer neuen Hardware installiert werden? Ja ? Nein ? 4. Sollen neue Anwendungen installiert werden, die für eine Windows 2000Umgebung geschrieben wurden? Ja ? Nein ? Wenn Sie die Fragen 3 und 4 mit „Ja“ beantwortet haben, empfiehlt sich in der RegeleineNeuinstallation. Verwenden Sie Tabelle A.30, um die geeigneten Methoden für eine automatisierte Installation und deren Ausführungsort im Unternehmen zu erfassen. Tabelle A.30 Erfassen der Methoden für die automatisierte Installation Methode
Anwendungsbereich
Syspart
Für Neuinstallationen auf Computern mit unterschiedlicher Hardware.
Sysprep
Wenn der Hauptcomputer und die Zielcomputer mit identischer Hardware ausgestattet sind. Hierzu gehören HAL und Massenspeichergeräte.
Systems Management Server (SMS)
Mit SMS können Sie verwaltete Aktualisierungen von Windows 2000 Server auf mehrere Systeme auszuführen. Hierzu gehören insbesondere Systeme, die sich an unterschiedlichen geographischen Standorten befinden.
Boot-CD
Diese CD kann von einem Computer mit einem geeigneten BIOS gestartet werden.
Remoteinstall ation des Betriebssystems
Sie können ein Bild von Windows 2000 Professional auf unterstützten Computer von einem entfernten Standort aus installieren. Es ist nicht mehr erforderlich, jeden Computer einzeln aufzusuchen, um die Installation durchzuführen.
Methode verwenden?
Ort
Verwenden Sie Tabelle A.31 für die Erfassung des Datums der Fertigstellung von Tasks für die Clientinstallation.
Anhang A Beispiele für Planungsarbeitsblätter Tabelle A.31 Erfassen der Tasks für die Clientinstallation Task Lösen kritischer Planungsfragen. Erstellen des Verteilungsordners. Prüfen der Antwortdatei. Prüfen der Befehle für das Installationsprogramm von Windows 2000. Auswählen einer Methode für die Anwendungsinstallation auf der Grundlage einer kritischen Planung. Auswählen einer Methode für die Betriebssysteminstallation auf der Grundlage einer kritischen Planung.
Ausgeführt am
945
946
Teil VII
Anhänge
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
941
A N H A N G
B
Setup-Befehle
Sie können Microsoft® Windows® 2000 mit den Setup-Befehlen Winnt.exe bzw. Winnt32.exe installieren. In diesem Anhang erhalten Sie Informationen über die Befehlssyntax und Parameter für die einzelnen Programmdateien. In diesem Anhang Setup-Befehle zur Installation von Windows 2000
941
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 erhalten Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“. ? Weitere Informationen zu Antwortdateien erhalten Sie in diesem Buch in Anhang C, „Beispielantwortdateien für die unbeaufsichtigte Installation“.
Setup-Befehle zur Installation von Windows 2000 Verwenden Sie für die Installation von Windows 2000 den entsprechenden Windows 2000 Setup-Befehl: Winnt32.exe Für eine saubere Installation oder ein Update auf einem Computer, auf dem Microsoft® Windows NT®, Version 4.0, Microsoft® Windows® 95 oder Microsoft® Windows® 98 installiert ist. Winnt.exe Für eine saubere Installation oder ein Update auf einem Computer, auf dem Microsoft® MS-DOS® oder Microsoft® Windows® 3.x installiert ist (Updates auf diese Betriebssysteme werden nicht unterstützt). Die Optionen dieser beiden Befehle unterscheiden sich. In den folgenden Abschnitten finden Sie eine Beschreibung der verschiedenen Befehle. Achtung Wenn Sie gerade Anwendungen aktualisiert haben, denken Sie daran, Ihren Computer neu zu starten, bevor Sie ein Update auf das Betriebssystem Windows 2000 durchführen.
942
Teil VII Anhänge
Syntax des Befehls Winnt32.exe Winnt32 [/checkupgradeonly] [/cmd:Befehlszeile] [/cmdcons] [/copydir:Ordnername] [/copysource:Ordnername] [/debug[Stufe][:Dateiname]] [/m:Ordnername] [/makelocalsource] [/noreboot] [/s:Quellpfad] [/syspart:Laufwerkbuchstabe] [/tempdrive:Laufwerkbuchstabe] [/udf:ID[,UDB_Datei]] [/unattend] [/unattend[Sekunden][:Antwortdatei]] /checkupgradeonly Überprüft die Kompatibilität des aktuellen Betriebssystems zum Aktualisieren mit Windows 2000. Es handelt sich hierbei nur um eine Überprüfung. Windows 2000 wird nicht installiert. /cmd:Befehlszeile Gibt einen Befehl an, der ausgeführt wird, nachdem der interaktive Teil des SetupProgramms (der Teil mit der grafischen Benutzeroberfläche) abgeschlossen ist. Der Befehl wird ausgeführt, bevor die Installation abgeschlossen ist und nachdem der Computer neu gestartet und die erforderlichen Konfigurationsdaten gefunden wurden. Diese Option kann beispielsweise die Datei Cmdlines.txt ausführen, die angibt, welche Anwendungen direkt nach Beendigung von Setup installiert werden sollen. /cmdcons Fügt eine Option für eine Wiederherstellungskonsole zur Reparatur von fehlgeschlagenen Installationen hinzu. /copydir:Ordnername Erstellt im Ordner, der die Windows 2000-Dateien enthält, einen Unterordner. Wenn der Quellordner beispielsweise den Ordner Persönliche_Treiber mit Änderungen für Ihr System enthält, können Sie /copydir:persönliche_treiber eingeben, damit der Ordner in Ihren Windows 2000-Ordner kopiert wird. Sie können die Option /copydir beliebig oft anwenden. /copysource:Ordnername Erstellt im Ordner, der die Windows 2000-Dateien enthält, einen temporären Unterordner. Wenn der Quellordner beispielsweise den Ordner Persönliche_Treiber mit Änderungen für Ihr System enthält, können Sie /copysource:persönliche_treiber eingeben, damit der Ordner in Ihren Windows 2000-Ordner kopiert wird und seine Dateien während der Ausführung von Setup verwendet werden.
Anhang B Setup-Befehle
943
Im Gegensatz zur Option /copydir werden die Ordner, die mit /copysource erstellt wurden, nach erfolgreicher Ausführung von Setup wieder gelöscht. /debug[Stufe][:Dateiname] Erstellt auf der angegebenen Stufe ein Debugprotokoll. Wenn Sie die Standardeinstellung verwenden, erstellt das Programm eine Protokolldatei (%windir%\Winnt32.log) mit der Warnstufe 2. Die Warnstufen für die Protokolldatei sehen folgendermaßen aus: 0 = schwerwiegende Fehler, 1 = Fehler, 2 = Warnungen, 3 = Informationen und 4 = detaillierte Informationen zum Debuggen. Jede Stufe enthält auch die Stufen darunter. /m:Ordnername Weist Setup an, zu verschiebende Dateien von einem anderen Speicherort zu kopieren. Während der Ausführung von Setup wird zunächst der alternative Speicherort geprüft und, falls Dateien vorhanden, diese von dem alternativen Speicherort statt vom Standardspeicherort kopiert. /makelocalsource Weist Setup an, alle Installationsquelldateien auf die lokale Festplatte zu kopieren. Verwenden Sie /makelocalsource, um die Installationsdateien zu behalten, wenn Sie die Installation von CD-ROM ausführen und die CD-ROM möglicherweise nicht während der ganzen Installation zur Verfügung steht. /noreboot Weist Setup an, den Computer nach der Kopierphase von Winnt32 nicht neu zu starten, so dass Sie einen weiteren Befehl ausführen können. /s:Quellpfad Gibt den Quellpfad der Windows 2000-Dateien an. Vorgegeben ist der aktuelle Ordner. Um gleichzeitig Dateien von verschiedenen Servern zu kopieren, können Sie bis zu acht Quellpfade angeben. Zum Beispiel: winnt32 /s:server1 … /s:server8
Windows 2000 kann bis zu acht /s-Optionen verwenden, um für den Zielcomputer auf andere Distributionsserver als Quellspeicherorte für die Installation zu verweisen. Mit dieser Funktion wird die Phase von Setup zum Kopieren von Dateien auf den Zielcomputer beschleunigt und der Lastenausgleich für die Distributionsserver erhöht, von denen aus Setup ausgeführt werden kann. Zum Beispiel: Pfad zum Distributionsordner 1\winnt32 [/unattend] [:Pfad\answer.txt] [/s:Pfad zum Distributionsordner 2] [/s:Pfad zum Distributionsordner 3] [/s:Pfad zum Distributionsordner 4]
/syspart:Laufwerkbuchstabe Gibt an, dass Sie die Setup-Startdateien auf eine Festplatte kopieren, diese als aktiv markieren und die Festplatte in einem anderen Computer installieren können. Wenn Sie den Computer starten, beginnt Setup automatisch mit der nächsten Phase. Beachten Sie folgende Punkte, wenn Sie diese Option verwenden: ? Sie müssen die Option /syspart immer zusammen mit der Option /tempdrive
verwenden.
944
Teil VII Anhänge ? Die Optionen /syspart und /tempdrive müssen beide auf die gleiche Partition
der sekundären Festplatte verweisen. ? Sie müssen Windows 2000 auf der Primärpartition der sekundären Festplatte
installieren. ? Sie können die Option /syspart nur auf einem Computer mit Windows NT
3.51, Windows NT 4.0 oder Windows 2000 ausführen. Sie können die Option nicht unter den Betriebssystemen Windows 95 oder Windows 98 ausführen. /tempdrive:Laufwerkbuchstabe Weist Setup an, die temporären Dateien auf der angegebenen Partition zu speichern und auf dieser Partition Windows 2000 zu installieren. Beachten Sie folgende Punkte, wenn Sie diese Option verwenden: ? Sie müssen die Option /tempdrive immer zusammen mit der Option /syspart
verwenden. ? Die Optionen /syspart und /tempdrive müssen beide auf die gleiche Partition der sekundären Festplatte verweisen. ? Sie müssen Windows 2000 auf der Primärpartition der sekundären Festplatte installieren. /udf:ID[,UDB_Datei] Gibt den Bezeichner (ID) an, über den Setup festlegt, wie eine Datenbankdatei (UDB – Uniqueness Database File) eine Antwortdatei modifiziert (siehe Option /unattend weiter unten). Die UDB-Datei überschreibt Werte in der Antwortdatei, und der Bezeichner bestimmt, welche Werte in der UDB-Datei verwendet werden. So überschreibt beispielsweise /udf:Roaming_Benutzer,Unsere_Firma.udb Einstellungen für den Bezeichner Roaming_Benutzer in der Datei Unsere_Firma.udb. Wenn Sie keine UDB-Datei angeben, werden Sie vom Setup-Programm aufgefordert, eine Diskette mit der Datei $Unique$.udb einzufügen. /unattend Aktualisiert Ihre Version von Windows im unbeaufsichtigten Installationsmodus. Da alle Benutzereinstellungen aus der vorherigen Version verwendet werden, ist während der Installation kein Benutzereingriff erforderlich. Wichtig Wenn Sie die Option /unattend verwenden, um die Installation zu automatisieren, bestätigen Sie damit, dass Sie den Endbenutzer-Lizenzvertrag (EULA) für Windows 2000 gelesen und angenommen haben. Bevor Sie die Option zum Installieren von Windows 2000 für eine andere Organisation als Ihre eigene verwenden, müssen Sie bestätigen, dass der Endbenutzer (als natürliche oder juristische Person) die Bestimmungen dieses EULAs von Windows 2000 erhalten, gelesen und angenommen hat. Originalcomputerhersteller (OEM) dürfen diesen Schlüssel nicht auf Computern angeben, die an Endbenutzer verkauft werden. /unattend[Sekunden][:Antwortdatei] Installiert Windows 2000 ohne Verwendung von Eingabeaufforderungen, die eine Interaktion mit dem Benutzer erfordern. Das Setup-Programm erhält die erforderlichen Daten von einer Antwortdatei, die Sie zuvor vorbereiten. Weitere Informationen zu Antwortdateien erhalten Sie in diesem Buch in Anhang C, „Beispielantwortdateien für die unbeaufsichtigte Installation“.
Anhang B Setup-Befehle
945
Geben Sie Sekunden nur an, wenn Sie von Windows NT 4.0 aktualisieren. Sekunden gibt die Verzögerung in Sekunden an, mit der die Systeminstallation nach dem Kopieren der Dateien durch das Setup-Programm beginnt.
Syntax des Befehls Winnt.exe Winnt [/E:Befehl] [/R:Ordnername] [/Rx:Ordnername] [/S:Quellpfad] [/T[:Templaufwerk]] [/U[:Antwortdatei]] [/udf:ID[,UDB_Datei] [/A:] /E:Befehl Gibt einen Befehl an, der ausgeführt wird, nachdem der interaktive Teil des SetupProgramms (der Teil mit der grafischen Benutzeroberfläche) abgeschlossen ist. Diese Option kann beispielsweise die Datei Cmdlines.txt ausführen, die angibt, welche Anwendungen direkt nach Beendigung von Setup installiert werden sollen. /R:Ordnername Erstellt im Ordner, der die Windows 2000-Dateien enthält, einen Unterordner. Wenn der Quellordner beispielsweise den Ordner Persönliche_Treiber mit Änderungen für Ihr System enthält, können Sie /R:persönliche_treiber eingeben, damit der Ordner in Ihren Windows 2000-Ordner kopiert wird. Sie können die Option /R beliebig oft anwenden. /Rx:Ordnername Erstellt im Ordner, der die Windows 2000-Dateien enthält, einen temporären Unterordner. Wenn der Quellordner beispielsweise den Ordner Persönliche_Treiber mit Änderungen für Ihre Site enthält, können Sie /R:persönliche_treiber eingeben, damit der Ordner in Ihren Windows 2000-Ordner kopiert wird und seine Dateien während der Ausführung von Setup verwendet werden. Im Gegensatz zur Option /R werden die Ordner, die mit /Rx erstellt wurden, nach erfolgreicher Ausführung von Setup wieder gelöscht. /S:Quellpfad Gibt den Quellpfad der Windows 2000-Dateien an. Es muss sich hierbei um einen vollständigen Pfad handeln, z. B. Laufwerkbuchstabe:\Pfad oder \\Server\Freigabename\Pfad. Vorgegeben ist der aktuelle Ordner. /T:Templaufwerk Weist Setup an, die temporären Dateien auf dem angegebenen Laufwerk zu speichern und auf diesem Laufwerk Windows 2000 zu installieren. Wenn Sie keinen Pfad angeben, wird automatisch nach einem Laufwerk für Sie gesucht.
946
Teil VII Anhänge
/U:Antwortdatei Installiert Windows 2000 ohne Verwendung von Eingabeaufforderungen, die eine Interaktion mit dem Benutzer erfordern. Das Setup-Programm erhält die erforderlichen Daten von einer Antwortdatei, die Sie zuvor vorbereiten. Weitere Informationen zu Antwortdateien erhalten Sie in diesem Buch in Anhang C, „Beispielantwortdateien für die unbeaufsichtigte Installation“. /S ist erforderlich. /udf:ID[,UDB_Datei] Gibt den Bezeichner (ID) an, über den Setup festlegt, wie eine Datenbankdatei (UDB – Uniqueness Database File) eine Antwortdatei modifiziert. Die UDB-Datei überschreibt Werte in der Antwortdatei, und der Bezeichner bestimmt, welche Werte in der UDB-Datei verwendet werden. So überschreibt beispielsweise /udf:Roaming_Benutzer,Unsere_Firma.udb Einstellungen für den Bezeichner Roaming_Benutzer in der Datei Unsere_Firma.udb. Wenn Sie keine UDB-Datei angeben, werden Sie vom Setup-Programm aufgefordert, eine Diskette mit der Datei $Unique$.udb einzufügen. /A Aktiviert Eingabehilfen.
947
A N H A N G
C
Beispielantwortdateien für die unbeaufsichtigte Installation
Bei der unbeaufsichtigten Installation in Microsoft® Windows® 2000 werden die Daten, die normalerweise beim Ausführen des Setup-Assistenten interaktiv eingegeben werden, in einer ASCII-Textdatei bereitgestellt, der sogenannten Antwortdatei. Die Antwortdatei wird bei der unbeaufsichtigten Installation in der Befehlszeilevon Winnt.exe oder Winnt32.exe angegeben. (Informationen zur Verwendung der Befehlszeilen finden Sie im Anhang B, „Setup-Befehle“, in diesem Buch.) In diesem Anhang finden Sie Beispielantwortdateien, die für übliche Installationskonfigurationen geeignet sind. Sie können die in Windows 2000 vorgegebene Antwortdatei (Unattend.txt) anpassen oder anhand der Beispiele in diesem Anhang eine neue Antwortdatei schreiben. In diesem Anhang Format der Antwortdatei 947 Schlüssel und Werte in Antwortdateien Beispielantwortdateien 948
948
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu Setupbefehlen finden Sie im Anhang B, „SetupBefehle“, in diesem Buch.
Format der Antwortdatei Eine Antwortdatei besteht aus Abschnittskopfzeilen, Schlüsseln sowie den Werten für diese Schlüssel. Die meisten Abschnittskopfzeilen sind vordefiniert, einige können jedoch benutzerdefiniert sein. Sie müssen nicht alle möglichen Schlüssel in einer Antwortdatei festlegen, wenn diese für die Installation nicht benötigt werden. Ungültige Schlüsselwerte führen zu Fehlern oder können nach der Installation ein fehlerhaftes Verhalten verursachen. Das Format sieht folgendermaßen aus: [Abschnittname]
Abschnitte enthalten Schlüssel und die entsprechenden Schlüsselwerte. Schlüssel und Wert sind durch ein Leerzeichen, ein Gleichheitszeichen und ein weiteres Leerzeichen voneinander getrennt. Beispiel: Schlüssel = Wert
948
Teil VII Anhänge
Werte, die Leerzeichen enthalten, müssen mit zwei Anführungszeichen eingeschlossen werden. Beispiel: Schlüssel = “Wert mit Leerzeichen”
Einige Abschnitte enthalten keine Schlüssel, sondern lediglich eine Liste von Werten.Beispiel: [OEMBootFiles] Txtsetup.oem
Kommentarzeilen beginnen mit einem Semikolon. ; Das ist Beispiel für eine Kommentarzeile.
Schlüssel und Werte in Antwortdateien Jedem Schlüssel in einer Antwortdatei muss ein Wert zugewiesen sein. Einige Schlüssel sind allerdings optional, und einige Schlüssel haben Standardwerte, die verwendet werden, wenn der Schlüssel ausgelassen wird. Schlüsselwerte sind Zeichenfolgen mit Text, es sei denn, dass numerisch angegeben wurde. Wenn numerisch angegeben wurde, ist der Wert, wenn nicht anders festgelegt, ein Dezimalwert. Hinweis Groß-/Kleinschreibung wird bei Schlüsseln nicht beachtet. Sie können entsprechend mit Groß- oder Kleinbuchstaben geschrieben werden. Weitere Informationen zu Schlüsseln und Werten erhalten Sie unter „Microsoft Windows 2000 Guide to Unattended Setup“ (Unattend.doc) auf der Microsoft Windows 2000-CD-ROM. Die Datei Unattend.doc ist Teil der Datei Deploy.cab im Ordner \Support\Tools. Verwenden Sie unter Windows 98 oder Windows 2000 zum Extrahieren des Dokuments den Windows-Explorer. Unter früheren Windows-Versionen oder MS-DOS verwenden Sie den Befehl Extract, um auf die Datei zuzugreifen.
Beispielantwortdatei Die Beispielantwortdateien in diesem Abschnitt sind übliche Installationskonfigurationen der Schlüssel, die normalerweise in diesen Konfigurationen verwendet werden. Diese Dateien dienen nur als Beispieldateien. Sie können jederzeit an die Bedürfnisse Ihrer Organisiation angepasst werden. Hinweis In der folgenden Antwortdatei werden durch Kursivschrift die Stellen hervorgehoben, an denen der Benutzer die erforderlichen Informationen eingeben muss. Zur besseren Übersicht werden die Namen der Abschnitte in Fettschrift dargestellt. Sie müssen diese Formatierung in Ihrer Antwortdatei jedoch nicht übernehmen.
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation
Beispiel 1 – Standarddatei Unattend.txt. Die folgende Antwortdatei wird als Standarddatei Unattend.txt auf der Windows 2000-CD mitgeliefert. ; Microsoft Windows 2000 Professional, Server, Advanced Server ; © 1994–1999 Microsoft Corporation. All rights reserved. ; ; Sample Answer File for Unattended Setup ; ; This file contains information about how to automate the installation ; or upgrade of Windows 2000 Professional and Windows 2000 Server so ; that the Setup program runs without requiring user input. ; [Unattended] UnattendMode = FullUnattended OemPreinstall = No TargetPath = Winnt Filesystem = LeaveAlone [UserData] FullName = "Your user name" OrgName = "Your organization name" ; It is recommended that you avoid using spaces in the ComputerName ; value. ComputerName = "YourComputer_name" ; To ensure a fully unattended installation, you must provide a value ; for the ProductId key. ProductId = "Your product ID" [GuiUnattended] ; Sets the TimeZone. For example, to set the TimeZone for the ; Pacific Northwest, use a value of “004.” Be sure to use the ; numeric value that represents your own time zone. To look up ; a numeric value, see the Unattend.doc file on the Windows 2000 CD. TimeZone = "YourTimeZone" ; It is recommended that you change the administrator password ; before the computer is placed at its final destination. AdminPassword = AdminPassword ; Tells Unattended Setup to turn AutoLogon on and log on once. AutoLogon = Yes AutoLogonCount = 1 [LicenseFilePrintData] ; This section is used for server installs. AutoMode = "PerServer" AutoUsers = "5" [GuiRunOnce] ; List the programs that you want to start when you log on to the ; computer for the first time. [Display] BitsPerPel = 8 XResolution = 800 YResolution = 600
949
950
Teil VII Anhänge VRefresh = 70 [Networking] ; When you set the value of the InstallDefaultComponents key ; to Yes, Setup will install default networking components. ; The components to be set are TCP/IP, File and Print Sharing, ; and Client for Microsoft Networks. InstallDefaultComponents = Yes [Identification] ; Identifies your workgroup. It is recommended that you avoid ; using spaces in this value. JoinWorkgroup = “YourWorkgroup”
Beispiel 2 – Unbeaufsichtigte Installation von Windows 2000 Professional von CD-ROM Mit der folgenden Antwortdatei können Sie Microsoft ® Windows® 2000 Professional von CD-ROM installieren. Diese Antwortdatei kann nur dann ordnungsgemäß ausgeführt werden, wenn Sie sie unter dem Namen Winnt.sif auf Diskette speichern. ; Microsoft Windows 2000 Professional ; © 1994–1999 Microsoft Corporation. All rights reserved. ; ; Sample Answer File for Unattended Setup ; ; This file contains information about how to automate the installation ; or upgrade of Windows 2000 Professional so that the Setup program runs ; without requiring user input. ; [Data] ; This section is required when you perform an unattended installation ; by starting Setup directly from the Windows 2000 installation CD-ROM. Unattendedinstall = Yes ; If you are running Unattended Setup from the CD-ROM, you must set the ; Msdosinitiated key to 0. Msdosinitiated = "0" ; AutoPartition allows Windows 2000 Unattended Setup to choose a ; partition to install to. AutoPartition = 1 [Unattended] UnattendMode = FullUnattended ; The OemPreinstall key tells Unattended Setup that the installation is ; being performed from distribution shares if the value is set to Yes. OemPreinstall = Yes TargetPath = Winpro FileSystem = LeaveAlone ; If the OemSkipEula key is set to Yes, it informs Unattended Setup that ; the user should not be prompted to accept the End User License ; Agreement (EULA). A value of Yes signifies agreement to the EULA and ; should be used in conjunction with the terms of your license ; agreement. OemSkipEula = Yes
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation
951
952
Teil VII Anhänge [GuiUnattended] ; Sets the TimeZone. For example, to set the TimeZone for the ; Pacific Northwest, use a value of “004.” Be sure to use the ; numeric value that represents your own time zone. To look up ; a numeric value, see the Unattend.doc file on the Windows 2000 CD. TimeZone = "YourTimeZone" ; It is recommended that you change the administrator password ; before the computer is placed at its final destination. AdminPassword = AdminPassword ; Tells Unattended Setup to turn AutoLogon on and log on once. AutoLogon = Yes AutoLogonCount = 1 ; The OemSkipWelcome key specifies whether the welcome page in the ; wizard phase of Setup should be skipped. A value of 1 causes the page ; to be skipped. OemSkipWelcome = 1 ; The OemSkipRegional key allows Unattended Setup to skip ; RegionalSettings when the final location of the computer is unknown. OemSkipRegional = 1 [UserData] FullName = "Your user name" OrgName = "Your organization name" ; It is recommended that you avoid using spaces in the ; ComputerName value. ComputerName = "YourComputer_name" ; To ensure a fully unattended installation, you must provide a value ; for the ProductId key. ProductId = "Your product ID" [Display] BitsPerPel = 8 XResolution = 800 YResolution = 600 VRefresh = 60 [Networking] ; When you set the value of the InstallDefaultComponents key ; to Yes, Setup will install default networking components. ; The components to be set are TCP/IP, File and Print Sharing, ; and Client for Microsoft Networks. InstallDefaultComponents = Yes
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation
Beispiel 3 – Installation und Konfiguration von Windows 2000 und Konfiguration von Microsoft Internet Explorer mit Proxyeinstellungen Mit der folgenden Antwortdatei können Sie Microsoft® Internet Explorer installieren und konfigurieren und Proxyeinstellungen konfigurieren. ; Microsoft Windows 2000 Professional, Server, Advanced Server ; © 1994–1999 Microsoft Corporation. All rights reserved. ; ; Sample Answer File for Unattended Setup ; ; This file contains information about how to automate the installation ; or upgrade of Windows 2000 Professional and Windows 2000 Server so ; that the Setup program runs without requiring user input. ; [Unattended] UnattendMode = FullUnattended TargetPath = Windows FileSystem = LeaveAlone OemPreinstall = Yes OemSkipEula = Yes [GuiUnattended] ; Sets the TimeZone. For example, to set the TimeZone for the ; Pacific Northwest, use a value of “004.” Be sure to use the ; numeric value that represents your own time zone. To look up ; a numeric value, see the Unattend.doc file on the Windows 2000 CD. TimeZone = "YourTimeZone" ; It is recommended that you change the administrator password ; before the computer is placed at its final destination. AdminPassword = AdminPassword ; Tells Unattended Setup to turn AutoLogon on and log on once. AutoLogon = Yes AutoLogonCount = 1 OemSkipWelcome = 1 ; The OemSkipRegional key allows Unattended Setup to skip ; RegionalSettings when the final location of the computer is unknown. OemSkipRegional = 1 [UserData] FullName = "Your user name" OrgName = "Your organization name" ; It is recommended that you avoid using spaces in the ; ComputerName value. ComputerName = "YourComputername" ; To ensure a fully unattended installation, you must provide a value ; for the ProductId key. ProductId = "Your product ID" [LicenseFilePrintData] ; This section is used for server installs. AutoMode = "PerServer" AutoUsers = "50"
953
954
Teil VII Anhänge [Display] BitsPerPel = 8 XResolution = 800 YResolution = 600 VRefresh = 60 [Components] ; This section contains keys for installing the components of ; Windows 2000. A value of On installs the components, and a ; value of Off prevents the component from being installed. iis_common = On iis_inetmgr = Off iis_www = Off iis_ftp = Off iis_htmla = Off iis_doc = Off iis_pwmgr = Off iis_smtp = On iis_smtp_docs = Off Mts_core = On ; The Fp key installs Front Page Server Extensions. Fp = On Msmq = Off ; If you set the TSEnable key to On, Terminal Services is installed on ; Windows 2000 Server. TSEnable = On ; If you set the TSClients key to On, the files required to create ; Terminal Services client disks are installed. If you set this key ; to On, you must also set the TSEnable key to On. TSClients = On ; TSPrinterDrivers and TSKeyboardDrivers are optional keys. If enabled, ; they require additional disk space. TSPrinterDrivers = Off TSKeyboardDrivers = Off Netoc = On Reminst = On Certsrv = Off Rstorage = Off Indexsrv_system = On Certsrv_client = Off Certsrv_server = Off Certsrv_doc = Off Accessopt = On Calc = On Cdplayer = On Charmap = On Chat = Off Clipbook = On Deskpaper = On Dialer = On Freecell = Off Hypertrm = On Media_blindnoisy = On Media_blindquiet = On Media_clips = On Media_jungle = On
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation Media_musica = On
955
956
Teil VII Anhänge Media_robotz = On Media_utopia = On Minesweeper = Off Mousepoint = Off Mplay = On Mswordpad = On Objectpkg = On Paint = On Pinball = Off Rec = On Solitaire = Off Templates = On Vol = On [TapiLocation] CountryCode = "1" Dialing = Pulse ; Indicates the area code for your telephone. This value should ; be a 3-digit number. AreaCode = “Your telephone area code” LongDistanceAccess = 9 [Networking] ; When you set the value of the InstallDefaultComponents key ; to Yes, Setup will install default networking components. ; The components to be set are TCP/IP, File and Print Sharing, ; and Client for Microsoft Networks. InstallDefaultComponents = Yes [Identification] JoinDomain = YourCorpNet DomainAdmin = YourCorpAdmin DomainAdminPassword = YourAdminPassword [NetOptionalComponents] ; This section contains a list of the optional network ; components to install. Wins = Off Dns = Off Dhcpserver = Off ils = Off Snmp = Off Lpdsvc = Off Simptcp = Off Netmontools = On Dsmigrat = Off [Branding] ; This section brands Microsoft Internet Explorer with custom ; properties from the Unattended answer file. BrandIEUsingUnattended = Yes
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation [URL] ; This section contains custom URL settings for Microsoft ; Internet Explorer. If these settings are not present, the ; default settings are used. Specifies the URL for the ; browser’s default home page. For example, you might use the ; following: Home_Page = www.microsoft.com. Home_Page = YourHomePageURL ; Specifies the URL for the default search page. For example, you might ; use the following: Search Page = www.msn.com Search_Page = YourSearchPageURL ; Specifies a shortcut name in the link folder of Favorites. ; For example, you might use the following: Quick_Link_1_Name = ; "Microsoft Product Support Services” Quick_Link_1_Name = “Your Quick Link Name" ; Specifies a shortcut URL in the link folder of Favorites. For example, ; you might use this: Quick_Link_1 = http://support.microsoft.com/. Quick_Link_1 = YourQuickLinkURL [Proxy] ; This section contains custom proxy settings for Microsoft ; Internet Explorer. If these settings are not present, the default ; settings are used. If proxysrv:80 is not accurate for your ; configuration, be sure to replace the proxy server and port number ; with your own parameters. HTTP_Proxy_Server = proxysrv:80 Use_Same_Proxy = 1 Proxy_Enable = 1 Proxy_Override =
Beispiel 4 – Installation und Konfiguration von Windows 2000 Server mit zwei Netzwerkadaptern Mit der folgenden Antwortdatei können Sie Microsoft® Windows® 2000 Server mit zwei Netzwerkadaptern installieren. Ein Adapter verwendet Dynamic Host Configuration Protocol (DHCP), der andere statische Informationen. ; Microsoft Windows 2000 Server, Advanced Server ; © 1994–1999 Microsoft Corporation. All rights reserved. ; ; Sample Answer File for Unattended Setup ; ; This file contains information about how to automate the installation ; or upgrade of Windows 2000 Server or Windows 2000 Advanced Server so ; that the Setup program runs without requiring user input. ; [Unattended] UnattendMode = FullUnattended TargetPath = Winnt Filesystem = ConvertNTFS
957
958
Teil VII Anhänge [GuiUnattended] ; Sets the TimeZone. For example, to set the TimeZone for the ; Pacific Northwest, use a value of “004.” Be sure to use the ; numeric value that represents your own time zone. To look up ; a numeric value, see the Unattend.doc file on the Windows 2000 CD. TimeZone = "YourTimeZone" ; It is recommended that you change the administrator password ; before the computer is placed at its final destination. AdminPassword = AdminPassword ; Tells Unattended Setup to turn AutoLogon on and log on once. AutoLogon = Yes AutoLogonCount = 1 [LicenseFilePrintData] ; This section is used for server installs. AutoMode = "PerServer" AutoUsers = "50" [UserData] FullName = "Your user name" OrgName = "Your organization name" ; It is recommended that you avoid the use of spaces in the ; ComputerName value. ComputerName = "YourComputer_name" ; To ensure a fully unattended installation, you must provide a value ; for the ProductId key. ProductId = "Your product ID" [Display] BitsPerPel = 8 XResolution = 800 YResolution = 600 VRefresh = 70 [Networking] ; When you set the value of the InstallDefaultComponents key ; to Yes, Setup will install default networking components. ; The components to be set are TCP/IP, File and Print Sharing, ; and Client for Microsoft Networks. InstallDefaultComponents = Yes [Identification] JoinDomain = YourCorpNet DomainAdmin = YourCorpAdmin DomainAdminPassword = YourAdminPassword [NetAdapters] ; In this example, there are two network adapters, Adapter01 ; and Adapter02. Note that the adapter specified here as 01 is not ; always local area network (LAN) connection 1 in the user interface. Adapter01 = Params.Adapter01 Adapter02 = Params.Adapter02
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation [Params.Adapter01] ; Specifies which adapter is number one. Note that the InfID key ; must match a valid PNP ID in the system. For example, a valid ; PNP ID might look like the following: InfID = "pci\ven_0e11&dev_ae32” InfID = "Your_PNP_ID_for_Adapter01" [Params.Adapter02] ; Specifies which adapter is number two. Note that the InfID key must ; match a valid PNP ID in the system. For example, a valid PNP ID ; might look as follows: InfID = "pci\ven_8086&dev_1229&subsys_00018086" InfID = " Your_PNP_ID_for_Adapter02" [NetClients] ; Installs the Client for Microsoft Networks. MS_MSClient = params.MS_MSClient [Params.MS_MSClient] [NetProtocols] ; Installs only the TCP/IP protocol. MS_TCPIP = params.MS_TCPIP [params.MS_TCPIP] ; This section configures the TCP/IP properties. AdapterSections = Params.MS_TCPIP.Adapter01,params.MS_TCPIP.Adapter02 [Params.MS_TCPIP.Adapter01] ; Adapter01 uses DHCP server information. SpecificTo = Adapter01 DHCP = Yes Wins = Yes [Params.MS_TCPIP.Adapter02] ; Adapter02 uses static TCP/IP configuration. SpecificTo = Adapter02 IPAddress = 1.1.1.1 SubnetMask = 255.255.248.0 DefaultGateway = 2.2.2.2 DHCP = No Wins = No [NetServices] ; Install File and Print services. MS_Server = Params.MS_Server [Params.MS_Server]
959
960
Teil VII Anhänge
Beispiel 5 – Installation von Windows 2000 Advanced Server mit Netzwerklastenausgleich Mit der folgenden Antwortdatei können Sie Microsoft® Windows® 2000 Advanced Server mit Netzwerklastenausgleich installieren. ; Microsoft Windows 2000 Advanced Server ; © 1994–1999 Microsoft Corporation. All rights reserved. ; ; Sample Answer File for Unattended Setup ; ; This file contains information about how to automate the installation ; or upgrade of Windows 2000 Advanced Server so that the ; Setup program runs without requiring user input. ; [Unattended] UnattendMode = FullUnattended TargetPath = Windows FileSystem = ConvertNTFS [GuiUnattended] ; Sets the TimeZone. For example, to set the TimeZone for the ; Pacific Northwest, use a value of “004.” Be sure to use the ; numeric value that represents your own time zone. To look up ; a numeric value, see the Unattend.doc file on the Windows 2000 CD. TimeZone = "YourTimeZone” ; It is recommended that you change the administrator password ; before the computer is placed at its final destination. AdminPassword = AdminPassword ; Tells Unattended Setup to turn AutoLogon on and log on once. AutoLogon = Yes AutoLogonCount = 1 AdvServerType = Servernt [LicenseFilePrintData] ; This section is used for server installs. AutoMode = "PerServer" AutoUsers = "50" [UserData] FullName = "Your user name" OrgName = "Your organization name" ; It is recommended that you avoid the use of spaces in the ; ComputerName value. ComputerName = "YourComputer_name" ; To ensure a fully unattended installation, you must provide a value ; for the ProductId key. ProductId = "Your product ID" [Display] BitsPerPel = 8 XResolution = 800 YResolution = 600 VRefresh = 70
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation [Networking] ; When you set the value of the InstallDefaultComponents key ; to Yes, Setup will install default networking components. ; The components to be set are TCP/IP, File and Print Sharing, ; and Client for Microsoft Networks. InstallDefaultComponents=Yes [Identification] JoinDomain = YourCorpNet DomainAdmin = YourCorpAdmin DomainAdminPassword = Your AdminPassword [NetAdapters] ; In this example, there are two network adapters, Adapter01 ; and Adapter02. Note that the adapter specified here as 01 is not ; always local area network (LAN) connection 1 in the user interface. ; The network adapters in this example are not identical. Adapter01 = Params.Adapter01 Adapter02 = Params.Adapter02 [NetBindings] Enable = MS_WLBS, Adapter01 Enable = MS_TCPIP, Adapter02 [Params.Adapter01] ; Specifies which adapter is number one. PseudoAdapter = No PreUpgradeInstance = E100B1 ; Note that the InfID key must match a valid PNP ID in the ; system. For example, a valid PNP ID might look like the ; following: InfID = PCI\VEN_8086&DEV_1229. InfID = Your_PNP_ID_for_Adapter01 BusType = PCI ; The ConnectionName key specifies the name for the network connection ; associated with the network adapter that you are installing. ConnectionName = "Connection1" [Params.Adapter02] ; Specifies which adapter is number two. PseudoAdapter = No PreUpgradeInstance = El90x2 ; Note that the InfID key must match a valid PNP ID in the ; system. For example, a valid PNP ID might look like the ; following: InfID = PCI\VEN_10b7&DEV_9050 InfID = Your_PNP_ID_for_Adapter02 BusType = PCI ; The ConnectionName key specifies the name for the network connection ; associated with the network adapter that you are installing. ConnectionName = "Connection2" [NetProtocols] MS_TCPIP = Params.MS_TCPIP MS_NetMon = Params.MS_NetMon [Params.MS_TCPIP] AdapterSections = params.MS_TCPIP.Adapter01,params.MS_TCPIP.Adapter02
961
962
Teil VII Anhänge
[Params.MS_TCPIP.Adapter01] SpecificTo = Adapter01 DNSServerSearchOrder = 192.31.56.150 Wins = Yes WinsServerList = 192.31.56.150 NetBIOSOptions = 0 DHCP = No IPAddress = 192.31.56.90,192.31.56.91 SubnetMask = 255.255.255.0,255.255.255.0 DefaultGateway = 192.31.56.150 [Params.MS_TCPIP.Adapter02] SpecificTo = Adapter02 DNSServerSearchOrder = 192.31.56.150 Wins = Yes WinsServerList = 192.31.56.150 NetBIOSOptions = 0 DHCP = No IPAddress = 192.31.56.92 SubnetMask = 255.255.255.0 DefaultGateway = 192.31.56.150 [Params.MS_NetMon] [Params.MS_WLBS] ; This section contains keys specific to setting the properties of ; Network Load Balancing. HostPriority = 1 ClusterModeOnStart = 0 ClusterIPAddress = 192.31.56.91 ClusterNetworkMask = 255.255.255.0 DedicatedIPAddress = 192.31.56.90 DedicatedNetworkMask = 255.255.255.0 ClusterName = cluster.domain.com MulticastSupportEnable = 0 MaskSourceMAC = 1 RemoteControlCode = 0x00000000 RemoteControlUDPPort = 2504 RemoteControlEnabled = 1 Ports = 80,80,Both,Multiple,None,Equal,443,443,Both,Multiple,Single,Equal AliveMsgPeriod = 2000 AliveMsgTolerance = 10 NumActions = 50 NumPackets = 100 NumAliveMsgs = 10 DescriptorsPerAlloc = 512 MaxDescriptorAllocs = 512 ConnectionCleanupDelay = 300000 NBTSupportEnable = 1 [NetClients] MS_MSClient = Params.MS_Client [Params.MS_Client]
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation
963
[NetServices] MS_Server = Params.MS_Server MS_WLBS = Params.MS_WLBS [Params.MS_Server] Optimizations = Balance [NetOptionalComponents] Netmontools = 1
Beispiel 6 – Installation von Windows 2000 Advanced Server mit Windows Clustering Mit der folgenden Antwortdatei können Sie Windows 2000 Advanced Server mit Windows Clustering installieren. ; Microsoft Windows 2000 Advanced Server. ; © 1994–1999 Microsoft Corporation. All rights reserved. ; ; Sample Answer File for Unattended Setup ; ; This file contains information about how to automate the installation ; or upgrade of Windows 2000 Advanced Server so that the Setup program ; runs without requiring user input. ; [Unattended] UnattendMode = FullUnattended TargetPath = Advsrv FileSystem = ConvertNTFS OemPreinstall = Yes OemSkipEula = Yes [GuiUnattended] ; Sets the TimeZone. For example, to set the TimeZone for the ; Pacific Northwest, use a value of “004.” Be sure to use the ; numeric value that represents your own time zone. To look up ; a numeric value, see the Unattend.doc file on the Windows 2000 CD. TimeZone = "YourTimeZone" ; It is recommended that you change the administrator password ; before the computer is placed at its final destination. AdminPassword = AdminPassword ; Tells Unattended Setup to turn AutoLogon on and log on once. AutoLogon = Yes AutoLogonCount = 1 AdvServerType = Servernt OemSkipWelcome = 1 ; The OemSkipRegional key allows Unattended Setup to skip ; RegionalSettings when the final location of the computer is unknown. OemSkipRegional = 1 [LicenseFilePrintData] ; This section is used for server installs. AutoMode = "PerServer" AutoUsers = "50"
964
Teil VII Anhänge
[UserData] FullName = "Your user name" OrgName = "Your organization name" ; It is recommended that you avoid the use of spaces in the ; ComputerName value. ComputerName = "YourComputer_name" ; To ensure a fully unattended installation, you must provide a value ; for the ProductId key. ProductId = "Your product ID" [Display] BitsPerPel = 8 XResolution = 800 YResolution = 600 VRefresh = 70 [Networking] ; When you set the value of the InstallDefaultComponents key ; to Yes, Setup will install default networking components. ; The components to be set are TCP/IP, File and Print Sharing, ; and Client for Microsoft Networks. InstallDefaultComponents = Yes [Identification] JoinDomain = YourCorpNet DomainAdmin = YourCorpAdmin DomainAdminPassword = YourAdminPassword [NetAdapters] ; In this example there are three network adapters, Adapter 01, ; Adapter 02, and Adapter 03. The adapter specified here as 01 is not ; always LAN connection 1 in the user interface. The network adapters ; in this example are not identical. Adapter01 = Params.Adapter01 Adapter02 = Params.Adapter02 Adapter03 = Params.Adapter03 [Params.Adapter01] ; Specifies which adapter is number one. ; Note that the NetCardAddress key must match a valid address of the ; adapter in the system. For example, a valid address might look like ; the following: NetCardAddress = 0x00C04F778A5A NetCardAddress = YourNetCardAddress ; The ConnectionName key specifies the name for the network connection ; associated with the network adapter that you are installing. ConnectionName = CorpNet [Params.Adapter02] ; Specifies which adapter is number two. Note that the ; NetCardAddress key must match a valid address of the adapter ; in the system. For example, a valid address might look like the ; following: NetCardAddress = 0x00C04F778A5A NetCardAddress = YourNetCardAddress ; The ConnectionName key specifies the name for the network connection
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation ; associated with the network adapter that you are installing. ConnectionName = VendorNet
965
966
Teil VII Anhänge [Params.Adapter03] ; Specifies which adapter is number three. Note that the ; NetCardAddress key must match a valid address of the adapter ; in the system. For example, a valid address might look like the ; following: NetCardAddress = 0x00C04F778A5A NetCardAddress = YourNetCardAddress ; The ConnectionName key specifies the name for the network connection ; associated with the network adapter that you are installing. ConnectionName = PrivateNet [NetClients] ; Installs the Client for Microsoft Networks. MS_MSClient = Params.MS_MSClient [Params.MS_MSClient] [NetProtocols] ; Installs only the TCP/IP protocol. MS_TCPIP = Params.MS_TCPIP [Params.MS_TCPIP] ; This section configures TCP/IP properties. AdapterSections = Params.MS_TCPIP.Adapter01,params.MS_TCPIP.Adapter02,params.MS_TCPIP.Adapter03 [Params.MS_TCPIP.Adapter01] ; CorpNet on Adapter01 uses DHCP server information. SpecificTo = Adapter01 DHCP = Yes DNSServerSearchOrder = 172.31.240.226, 172.31.240.225 DNSSuffixSearchOrder = CorpNet, dns.domain.com DNSDomain = CorpNet [Params.MS_TCPIP.Adapter02] ; VendorNet on Adapter02 uses local DHCP information. SpecificTo = Adapter02 DHCP = Yes [Params.MS_TCPIP.Adapter03] ; PrivateNet on Adapter03 uses static information. SpecificTo = Adapter03 DHCP = No WINS = No IPAddress = 10.2.0.41 SubnetMask = 255.255.0.0 DefaultGateway = 2.2.2.2 DNSServerSearchOrder = 10.2.0.253, 10.2.0.254 [NetServices] ; Installs File and Print services. MS_Server = Params.MS_Server [Params.MS_Server]
Anhang C Beispielantwortdateien für die unbeaufsichtigte Installation [Components] ; Installs Windows Clustering and Administration components on ; Advanced Server when you set the value to On. Cluster = On [Cluster] Name = CorpCluster Action = Form Account = CorpAdmin Domain = CorpNet IPAddr = 172.31.240.227 Subnet = 255.255.248.0 Network = CorpNet,ALL Network = VendorNet,ALL [GuiRunOnce] ; You can automate the running of Cluscfg.exe by placing Cluscfg.exe ; in the [GuiRunOnce] section of the Unattended answer file. This ; executes Cluscfg.exe and configures clustering on the first startup ; after GUI mode Setup has completed. ; You must include the full path to the program between the quotes. “%Windir%\Cluster\Cluscfg.exe –unattend” [NetOptionalComponents] NETMONTOOLS = 1
967
965
A N H A N G
D
Einrichtungstools
In der gesamten Dokumentation finden Sie Verweise auf Tools, die Sie beim Einrichten von Microsoft® Windows® 2000 unterstützen. In Tabelle D.1 finden Sie eine Übersicht der Tools mit Namen und Kurzbeschreibung. Weitere Informationen über dieseTools Informationen über die in diesem Anhang erwähnten Tools: ? Informationen über Tools, die im Lieferumfang von Windows 2000 enthalten
sind, finden Sie in der Windows 2000-Hilfe. ? Informationen über die Installation und die Verwendung von Windows 2000Supporttools sowie der Supporttools-Hilfe finden Sie in der Datei Sreadme.doc im Ordner \Support\Tools der Windows 2000-CD. ? Informationen über Tools, die im vollen Lieferumfang von Microsoft® Windows® 2000 Server: Die technische Referenz enthalten sind, finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Link „Resources“ klicken. Hinweis Ein Sternchen (*) neben dem Namen des Tools zeigt an, daß dieses Tool im Lieferumfang der Windows 2000-CD enthalten ist. Nicht alle Tools werden standardmäßig bei der Installation des Betriebssystems installiert. Einige sind Bestandteil der Windows 2000-Supporttools.
966
Teil VII Anhänge
Tabelle D.1 Einrichtungstools Name des Tools
Dateiname
Kapitel in dieser Dokumentation
Beschreibung
* Active Directory Connector (ADC): MMC-Snap-Ins
Adcadmin.msc
Kapitel 20, „Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst“
Mit dem Snap-In der Microsoft® Management Console (MMC) können Sie die Kommunikation zwischen dem Active Directory™ und dem Verzeichnisdienst von Exchange Server Version 5.5 synchronisieren und verwalten.
* MMC-Snap-In für Active DirectoryBenutzer- und -Computer
Dsa.msc
Kapitel 9, „Entwerfen der Active DirectoryStruktur“ Kapitel 11, „Planen der verteilten Sicherheit“ Kapitel 20, „Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst“
Dieses MMC-Snap-In ist ein grafisches Verzeichnisverwaltungstool, mit dem Sie Benutzerkonten, Computerkonten, Sicherheits- und Verteilergruppen und veröffentlichte Ressourcen in dem Verzeichnis Ihres Unternehmens hinzufügen, ändern, löschen und verwalten können. Dieses Tool wird auf Computern installiert, die als Domänencontroller konfiguriert sind.
ApiMon
Apimon.exe
* ClonePrincipal
Clonepr.dll Clone-gg.vbs Clone-ggu.vbs Clone-lg.vbs Clone-pr.vbs Sidhist.vbs ADsSecurity.dll ADsError.dll
Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“ Kapitel 21, „Testen der Kompatibilität von Anwendungen mit Windows 2000“
Kapitel 9, „Entwerfen der Active DirectoryStruktur“ Kapitel 10 „Bestimmen der Strategien für die Domänenmigration“
Ein Überwachungstool, das APIAufrufe (Application Programming Interface) zählt und zeitlich abstimmt. Mit Hilfe des Überwachungstools können Sie die Zahl der API-Aufrufe und deren zeitliche Abstimmung aufzeichnen oder sie in der Reihenfolge ihres Auftretens protokollieren. Informationen über dieses Tool finden Sie in der Hilfe von Microsoft® Windows® 2000: Die technische Referenz. Ein Tool, das zur Domänenmigration verwendet wird. Mit diesem Tool können Sie Benutzer oder Gruppen von einer Quelldomäne unter Microsoft® Windows NT® Version 4.0 Windows 2000 auf eine Windows 2000-Domäne im einheitlichen Modus duplizieren, ohne das Quellkonto zu löschen. Die Sicherheits-ID (SID) des ursprünglichen Kontos wird zum Protokoll des neuen Kontos hinzugefügt, um den Zugriff auf Ressourcen beizubehalten.
Anhang D Einrichtungstools * Clustcfg
Clustcfg.exe
Kapitel 18,„Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“
Ein wichtiges Tool für die Konfiguration von Windows Clustering.
967
(Fortsetzung) Name des Tools
Dateiname
Kapitel in dieser Dokumentation
Beschreibung
* VerbindungsManager
Toolpaket
Kapitel 7, „Festlegen von Strategien für Netzwerkverbindung“
Ein grafisch basiertes Tool, mit dem Sie angepasste Verbindungspakete erstellen können, um die Clientkonfiguration zu erleichtern.
* Dependency Walker
Depends.exe
Kapitel 21, „Testen der Kompatibilität von Anwendungen mit Windows 2000“
* Datenträgerverwaltung
Windisk.exe
Kapitel 15, „Aktualisieren und Installieren von Mitgliedsservern“
Ein Tool, das alle abhängigen Module überprüft, die von einer Anwendung benötigt werden. Dieses Tool identifiziert Probleme wie fehlende oder ungültige Dateien. Mit Dependency Walker können Sie Anwendungen debuggen, die für Windows 2000 geschrieben oder in Windows 2000 konvertiert wurden. Eine grafisch basierte Datenträgerverwaltung ist im Lieferumfang von Microsoft® Windows NT® enthalten. Mit diesem Tool können Sie Informationen über die Datenträgerkonfiguration sichern und wiederherstellen.
* MMC-Snap-In zur Datenträgerbereinigung
Compmgmt.mmc
Kapitel 19,„Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“
Mit diesem MMC-Snap-In können Sie fragmentierte Dateien und Ordner suchen und Cluster auf Datenträgern neu organisieren. Durch das Neuorganisieren von Clustern können Sie Dateien, Verzeichnisse und freien Speicherplatz physikalisch fortlaufend gestalten.
* MMC-Snap-In zur Datenträgerverwaltung
Compmgmt.mmc
Kapitel 19,„Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“
Dieses MMC-Snap-In ist ein grafisches Tool zur Datenträgerverwaltung. Es unterstützt Partitionen, logische Laufwerke, neue dynamische Datenträger und Netzlaufwerkverwaltung.
968
Teil VII Anhänge
* MMC-Snap-In zur Verwaltung von Gruppenrichtlinien
Gpedit.msc
Kapitel 11, „Planen der verteilten Sicherheit“ Kapitel 12, „Planen der Infrastruktur für öffentliche Schlüssel“ Kapitel 23,„Definieren von Standards für die Verwaltung und Konfiguration von Clients“ Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“
Dieses MMC-Snap-In ist ein grafisches Tool zur Verwaltung von Gruppenrichtlinien. Systemadministratoren können es verwenden, um für bestimmte Benutzergruppen Desktopkonfigurationen zu erstellen. Mit den Einstellungen für die Gruppenrichtlinie werden die verschiedenen Komponenten des Desktop definiert, wie z B. Programme, die demBenutzer zur Verfügung stehen, Programme, die auf dem Desktop angezeigt werden, und Startmenüoptionen.
(Fortsetzung) Name des Tools
Dateiname
Kapitel in dieser Dokumentation
Beschreibung Mit diesem Tools können Sie Konfiguration und Einstellungen von Microsoft® Internet Explorer anpassen. Hinweis: IEAK ist nicht im Lieferumfang von Windows 2000 enthalten. Weitere Informationen über IEAK finden Sie unter „Zusätzliche Ressourcen“ am Ende dieses Kapitels. Ein zeichenbasiertes TCP/IP Konfigurations- und Diagnosetool Mit diesem Tool können Sie TCP/IPKonfigurationsparameter auf aktualisierten Windows 2000 Systemen überprüfen. Sie können beispielsweise die IP-Adresse, die Subnetzmaske und das Standardgateway überprüfen.
Internet Explorer Administration Kit (IEAK)
Toolpaket
Kapitel 23,„Definieren von Standards für die Verwaltung und Konfiguration von Clients“
* Ipconfig
Ipconfig.exe
Kapitel 6, „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ Kapitel 15, „Aktualisieren und Installieren von Mitgliedsservern“
* MMC-Snap-In für Internet Information Services
iis.msc
Kapitel 15, „Aktualisieren und Installieren von Mitgliedsservern“
* LDAP Data Interchange Format
Ldifde.exe
Kapitel 9, „Entwerfen der Active DirectoryStruktur“
Das MMC-Snap-In für Microsoft® Internet Information Services (IIS) ist ein leistungsstarkes Verwaltungstool für Websites, das Zugriff auf alle Servereinstellungen bietet. Mit dem IIS-Snap-In können Sie aufwendige Seiten auf Ihrem Intranet verwalten und Informationen im Internet veröffentlichen. Ein befehlszeilenorientiertes Tool, mit dem Import- und Exportoperationen von Active Directory-Daten durchgeführt werden können.
Anhang D Einrichtungstools * Microsoft License Server
Licmgr.exe
Kapitel 16,„Einrichten von Terminaldiensten“
Ein Tool, mit dem Clientzugriffslizenzen für Windows 2000Terminaldienste gespeichert und überprüft werden können.
Kapitel in dieser Dokumentation
Beschreibung
Kapitel 1, „Einführung in die Einsatzplanung von Windows 2000“ Kapitel 9, „Entwerfen der Active DirectoryStruktur“ Kapitel 10,„Bestimmen der Strategien für die Domänenmigration“ Kapitel 11, „Planen der verteilten Sicherheit“ Kapitel 12, „Planen der Infrastruktur für öffentliche Schlüssel“
Eine grafische Umgebung, die ein Verwaltungstool enthält. Mit MMCSnap-Ins können Sie Netzwerke, Computer, Benutzer, Dienste und andere Systemkomponenten verwalten.
(Fortsetzung) Name des Tools
Dateiname
* Microsoft Management Console (MMC)
Mmc.exe
Kapitel 15, „Aktualisieren und Installieren von Mitgliedsservern“ Kapitel 16,„Einrichten von Terminaldiensten“ Kapitel 19,„Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ Kapitel 20, „Synchronisieren des Active Directory mit dem Exchange ServerVerzeichnisdienst“ Kapitel 23,„Definieren von Standards für die Verwaltung und Konfiguration von Clients“ Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“
969
970
Teil VII Anhänge
* Microsoft Netzwerkmonitor
Netmon.exe
Kapitel 8, „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“
Ein grafisches Tool zum Erfassen und Analysieren von Daten über Ihr Netzwerk. Mit diesem Tool können Sie den Verkehrsverlauf nachverfolgen und Netzwerkprobleme auf LANs (Local Area Network) diagnostizieren.
Kapitel in dieser Dokumentation
Beschreibung
(Fortsetzung) Name des Tools
Dateiname
Muisetup
Muisetup.exe
Kapitel 23,„Definieren von Standards für die Verwaltung und Konfiguration von Clients“
Ein Tool zur Konfiguration der Sprachenunterstützung von Windows 2000. Sie können die Standardbenutzeroberfläche ändern oder Sprachen zur Benutzeroberfläche mit Muisetup.exe hinzufügen oder von dieser entfernen.
* Netdom
Netdom.exe
Kapitel 10„Bestimmen der Strategien für die Domänenmigration“
Ein Domänenverwaltungstool, mit dem Sie Windows 2000-Domänen und Vertrauensstellungen von einer Befehlszeile aus verwalten und Computer-Domänenmitgliedschaften steuern können.
* Ping
Ping.exe
Kapitel 15, „Aktualisieren und Installieren von Mitgliedsservern“
* Remote Installation Services (RIS)
Toolpaket mit: RISetup.exe RIPrep.exe RBFG.exe OSChooser.exe
Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“
Ein zeichenbasiertes TCP/IP-Konfigurations- und Diagnosetool. Mit diesem Tool können Sie die TCP/IPKonfiguration überprüfen und Verbindungsfehler diagnostizieren. Mit diesem Toolpaket können Sie benutzerdefinierte Abbilder unter Windows 2000 Professional erstellen, sie auf RIS-Servern (Remote Installation Services) einrichten und mit der Gruppenrichtlinie automatisch auf Clientcomputern installieren.
Anhang D Einrichtungstools Sicherungskopie der Registrierung
Regback.exe
Kapitel 15, „Aktualisieren und Installieren von Mitgliedsservern“
971
Dieses Tool ist im Lieferumfang der Begleit-CDs zu Microsoft® Windows NT® Server: Die technische Referenz und Microsoft® Windows® 2000 Server: Die technische Referenz enthalten. Mit diesem Tool werden Sicherungskopien der Registrierung von Dateien ohne Band erstellt, damit die ursprünglichen Registrierungseinstellungen bei Konfigurationsproblemen wiederhergestellt werden können. Ebenso wie bei anderen kritischen Daten müssen Sie oft eine Sicherungskopie der Registrierungsdaten erstellen. Dies ist vor allem bei der Installation und beim Testen von Anwendungen wichtig, deren Stabilität nicht bekannt ist. Die Registrierung kann mit Regrest.exe wiederhergestellt werden. Diese Datei befindet sich ebenfalls auf den oben erwähnten CDs.
* MMC-Snap-In für Routing und RAS
Rrasmgmt.mmc
Kapitel 7, „Festlegen von Strategien für Netzwerkverbindungen“
Dieses MMC-Snap-In ist ein grafisches Tool für die Verwaltung und Konfiguration von Routing und RAS unter Windows 2000.
Kapitel in dieser Dokumentation
Beschreibung
Kapitel 13,„Automatisieren der Serverinstallation und der Aktualisierung“ Kapitel 18,„Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ Kapitel 25, „Automatisieren der Serverinstallation und der Aktualisierung“ Kapitel 13,„Automatisieren der Serverinstallation und der Aktualisierung“ Kapitel 25, „Automatisieren der Serverinstallation und der Aktualisierung“
Ein Assistent, der Sie beim Erstellen von unbeaufsichtigten Skripts unterstützt. Der Installations-Manager erstellt zudem eine Netzwerkdistributionsfreigabe, die für unbeaufsichtigte Installationen und Systemvorbereitungsinstallationen benötigt wird.
(Fortsetzung) Name des Tools
Dateiname
* InstallationsManager
Setupmgr.exe
* Setupcl
Setupcl.exe
Sie können dieses befehlszeilenorientierte Tool in Verbindung mit der Systemvorbereitung verwenden, um die Festplatte auf dem Hauptcomputer so vorzubereiten, dass ein Dienstprogramm das Abbild der Festplatte auf andere Computer übertragen kann. Dieses Tool erstellt neue Sicherheits-IDs (SIDs).
972
Teil VII Anhänge Ein SMS-Tool (Microsoft ® Systems Management Server), das Anwendungen für die Softwareverteilung vorbereitet. SMS Installer kann beaufsichtigte und unbeaufsichtigte Installationsskripts erstellen, die Sie komplett anpassen können. Mit diesem Datenextrahierungstool für SMS können Sie SMS-Abfragen in Microsoft® Access oder Microsoft® Excel verwenden.
SMS Installer
Toolpaket
Kapitel 14, „Verwenden von Systems Management Server zum Einrichten von Windows 2000“
SMS Query Extract
SMSExtract.mdb für Microsoft Access SMSextract.xls für Microsoft Excel
Kapitel 8, „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur “
Name des Tools
Dateiname
Kapitel in dieser Dokumentation
Beschreibung
* Sysprep
Sysprep.exe
Kapitel 2, „Erstellen eines Einsatzwegweisers“
Ein Installationstool zur Datenträgerduplizierung. Mit Sysprep können Sie ein System mit Windows 2000Anwendungen installieren und anschließend auf andere Systeme duplizieren.
(Fortsetzung)
Kapitel 13, „Automatisieren der Serverinstallation und der Aktualisierung“ Kapitel 18,„Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ Kapitel 23, „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“ Kapitel 25, „Automatisieren der Serverinstallation und der Aktualisierung“
Anhang D Einrichtungstools
973
* Terminaldienstclient erstellen
Tsclient.exe
Kapitel 16,„Einrichten von Terminaldiensten“
Ein grafisches Tool, das Disketten für Terminaldienstclientsoftware unter folgenden Betriebssystemen erstellt: Microsoft ® Windows® für Workgroups, Microsoft ® Windows® 95, Microsoft ® Windows® 98 und Microsoft ® Windows NT® Server. Mit diesem MMC-Snap-In können Sie Ihre Terminaldienstkonfiguration verwalten. Die mit diesem Tool geänderten Optionen sind global, es sei denn, Sie übernehmen die Informationen der gleichen Optionen in der benutzerspezifischen Konfiguration. Mit diesem grafischen Tool können Sie alle Windows 2000-Server verwalten, die Terminaldienste ausführen. Es ermöglicht Administratoren einen Überblick über aktuelle Benutzer, Server und Prozessoren. Außerdem können Sie Nachrichten an bestimmte Benutzer senden und die Remoteüberwachungsfunktion und Terminalprozesse verwenden.
* MMC-Snap-In zur Terminaldienstkonfiguration
Tscc.msc
Kapitel 16,„Einrichten von Terminaldiensten“
* Terminaldienstverwaltung
Tsadmin.exe
Kapitel 16,„Einrichten von Terminaldiensten“
Name des Tools
Dateiname
Kapitel in dieser Dokumentation
Beschreibung
* HilfsprogrammManager
Utilman.exe
Anhang E,„Eingabehilfen für Personen mit Behinderungen “
Windows DNA Performance Kit
Toolpaket
Kapitel 18, „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“
Mit diesem Tool kann ein Administrator bestimmen, welche Computer automatisch Eingabehilfen öffnen, wenn Windows 2000 startet. Mit diesen Tools können Sie die Leistung Ihrer Anwendungen testen und optimieren. Das Kit enthält Informationen zur Leistung von Komponentendiensten und IIS sowie Simulationsprogrammen, die die Belastung durch viele Benutzerzugriffe auf IIS- oder KomponentendienstAnwendungen verdeutlichen. Weitere Informationen über diese Tools finden Sie im Abschnitt „Zusätzliche Ressourcen" am Ende dieses Kapitels.
(Fortsetzung)
974
Teil VII Anhänge
* Windows Installer
Integrierter Dienst
Kapitel 1, „Einführung in die Einsatzplanung von Windows 2000“ Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“
Ein leistungsstarker neuer Installationsdienst unter Windows 2000, der die Installation von Anwendungen auf mehreren Computern standardisiert. Mit Windows Installer werden Anwendungen mit Paketdateien mit einer .MSI-Erweiterung installiert.
Kapitel 25, „Automatisieren der Serverinstallation und der Aktualisierung“
* Windows Management Instrumentation (WMI)
Integrierter Dienst
Anhang A, „Beispiele für Planungsarbeitsblätter“ Kapitel 1, „Einführung in die Einsatzplanung von Windows 2000“ Anhang A, „Beispiele für Planungsarbeitsblätte“
Mit dieser Verwaltung der Infrastruktur unter Windows 2000wird die Überwachung und Steuerung von Systemressourcen durch Schnittstellen unterstützt und ein logisch aufgebautes, einheitliches Modell zu Betrieb, Konfiguration und Status von Windows angeboten. Mit Hilfe der WindowsVerwaltungsinstrumentation (WMI) können Administratoren Bezüge zu Daten und Ereignissen aus mehreren Quellen auf lokaler oder unternehmensweiter Basis herstellen. Mit WMI können Sie benutzerdefinierte Anwendungen und Erweiterungen durch Zugriff auf Windows 2000-Objekte erstellen.
(Fortsetzung) Name des Tools
Dateiname
Kapitel in dieser Dokumentation
Beschreibung
* Windows Script Host (WSH)
Cscript.exe Wscipt.exe
Kapitel 1, „Einführung in die Einsatzplanung von Windows 2000“ Anhang A, „Beispiele für Planungsarbeitsblätter“
Windows Scripting Host (WSH) unterstützt die direkte Ausführung von Microsoft® Visual Basic Script, Java und anderen Skripts über die Benutzeroberfläche oder die Befehlszeile.
* WinInstall LE
Toolpaket
Kapitel 24, „Anwenden der Änderungs- und Konfigurationsverwaltung“
WinInstall LE ist ein grafisches Verpackungstool von Veritas Software für Windows Installer. Mit diesem Tool können Sie ältere Anwendungen, die noch nicht mit Windows Installer erstellt wurden, auf schnelle und einfache Weise in Pakete packen, die über Windows Installer verteilt werden können.
Anhang D Einrichtungstools * Winnt
Winnt.exe
Kapitel 13,„Automatisieren der Serverinstallation und der Aktualisierung“ Kapitel 25,„Automatisieren der Serverinstallation und der Aktualisierung“
975
Mit diesem Setupbefehl ist eine saubere Installation von Microsoft® Windows® 2000 Server oder Microsoft ® Windows® 2000 Professional auf einem Computer mit Microsoft® MS-DOS® oder Microsoft® Windows® 3 möglich.
Anhang B, „Setupbefehle“
* Winnt32
Winnt32.exe
Anhang C, „Beispielantwortdateien für die unbeaufsichtigte Installation“ Kapitel 13, „Automatisieren der Serverinstallation und der Aktualisierung“ Kapitel 25, „Automatisieren der Serverinstallation und der Aktualisierung“ Anhang B, „SetupBefehle“ Anhang C, „Beispielantwortdateien für die unbeaufsichtigte Installation“
Mit diesem Setupbefehl ist eine saubere Installation oder Aktualisierung auf Windows 2000Server oder Windows 2000Professional auf einem Computer mit Windows NT 4.0, Windows 95 oder Windows 98 möglich.
Zusätzliche Informationen ? Weitere Informationen zu Technet finden Sie auf der Seite für Webressourcen
(http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Technet“ klicken. ? Weitere Informationen zum WinDNA Performance Kit finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „WinDNA Performance Kit“ klicken.
976
Teil VII Anhänge
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
977
A N H A N G
E
Eingabehilfen für Personen mit Behinderungen
Microsoft hat es sich zur Aufgabe gemacht, die Handhabung der Produkte und Dienste für jeden möglichst einfach zu gestalten. Microsoft® Windows® 2000 enthält neue und erweiterte Eingabehilfen, von denen alle Benutzer profitieren. Mit diesen Funktionen können die Computer angepasst werden, und der Zugriff auf Anwendungen und Programme wird Personen mit Behinderungen erleichtert. In diesemAnhang Überblick über die Eingabehilfen unter Windows 2000 978 Einrichtung von Eingabehilfen unter Windows 2000 981 Anpassen des Computers an Eingabehilfen 982 Konfigurieren der Eingabehilfen unter Windows 2000 986 Einrichten der Eingabehilfen nach Art der Behinderung 988 Zusätzliche Informationen 997 Zielsetzungen dieses Anhangs Mit Hilfe dieses Anhangs werden Sie in der Lage sein, Folgendes zu entwickeln: ? Einen Plan zur Unterstützung von vordefinierten Funktionen des
Betriebssystems und Add-On-Geräten von Drittanbietern für Benutzer mit Behinderungen. ? Eine nach Prioritäten geordnete Liste der Komponenten und Funktionen für eine eventuelle Aktualisierung von Windows 2000. WeiterführendeInformationen in der technischen Referenz ? Weitere Informationen zu Microsoft® Windows® Clustering finden Sie unter „Windows Clustering“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme. ? Weitere Informationen zu Gruppenrichtlinien finden Sie unter „Gruppenrichtlinien“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
978
Teil VII
Anhänge
Überblick über die Eingabehilfen unter Windows 2000 Über Eingabehilfen haben alle Personen den gleichen Zugriff auf Computersoftware. Diese Funktionen sind hilfreich für Personen mit kognitiven Störungen, Hörstörungen, Körperbehinderungen oder Sehstörungen. Personen mit kognitiven Störungen leiden beispielsweise unter Lernstörungen, Down-Syndrom, Dyslexie oder Sprachstörungen, wie z. B. Analphabetismus. Zu den Benutzern mit Hörstörungen zählen Gehörlose oder Hörgeschädigte. Körperbehinderungen umfassen unter anderem Zerebralparese, Tremore, Epilepsie, fehlende Gliedmaßen und Lähmungserscheinungen. Zu den Sehstörungen zählen Blindheit und verschiedene Arten von Fehlsichtigkeit, wie z. B. Farbenblindheit und Tunnelsicht. Mit den Eingabehilfen unter Windows 2000 wird der Zugriff auf Computer durch flexiblere, anpassbare Benutzeroberflächen, alternative E/A-Möglichkeiten und verbesserte Sichtbarkeit der Bildschirmelemente erleichtert.
Vorteile der Eingabehilfen unter Windows 2000 Die Zahl der Personen mit Behinderungen, die einen Computer benutzen, ist gestiegen und mit ihr der Anspruch an die Arbeitgeber, diese Personen mit entsprechenden Technologien zu unterstützen. Arbeitnehmer mit Behinderungen müssen die gleichen Zugriffsmöglichkeiten auf Computer haben wie Arbeitnehmer ohne Behinderungen. Mit Hilfe mehrerer integrierter Technologien kann Windows 2000 an die individuellen Bedürfnisse angepasst und dadurch der Zugriff auf den Computer erleichtert werden. Die Funktionalität vieler dieser Funktionen geht über die von Microsoft® Windows® 98 und Microsoft® Windows NT ® hinaus. Die neuen und bestehenden Funktionen werden in diesem Anhang beschrieben. Zu den neuen und erweiterten Funktionen und Tools in Windows 2000 zählen Microsoft® Active Accessibility®, Eingabehilfen-Assistent, Bildschirmlupe, Sprecher, Bildschirmtastatur, Hilfsprogramm-Manager, gut sichtbare Mauszeiger, Synchronized Accessible Media Interchange (SAMI) und kontrastreiche Farbschemas. Mit Windows 2000 können Benutzer und Administratoren die folgenden Funktionen ausführen: Standards für angepasste Einstellungen mit mehreren Benutzern überschreiben Administratoren können mit der Systemsteuerung, dem Eingabehilfen-Assistenten und dem Hilfsprogramm-Manager eine Vielzahl von Eingabehilfen und anderen Optionen für Benutzergruppen einrichten. Schneller und einfacher durch Windows navigieren Bestimmte Funktionen, wie Tastaturbefehle und Active Desktop™ erleichtern den Zugriff auf DesktopObjekte, Windows Explorer, andere Server im Netzwerk und Internet Explorer; sie ermöglichen zudem einen schnelleren Zugriff auf Windows und unterstützen die Benutzer beim Öffnen von Ordnern und Erstellen von benutzerdefinierten Einstellungen. Eine breitere Paletteunterstützender Technologien verwenden Mit Hilfe von Microsoft Active Accessibility können Anwendungen effektiver in Verbindung mit Eingabehilfen von Drittanbietern und anderen Add-On-Eingabehilfen, wie z. B. Spracherkennungssystemen und alternativen Eingabehilfen ausgeführt werden.
Anhang E Eingabehilfen für Personen mit Behinderungen
979
Active Accessibility ist eine Aktualisierung und Erweiterung zu Microsoft Windows. Dieser Vorgang ist für die Benutzer nicht sichtbar. Eingabemethodenanpassen Die Benutzeroberfläche kann mit erweiterten Tastaturkonfigurationen (auch Bildschirmtastatur), speziellen Einstellungen für die Maus und anderen Optionen angepasst werden. Optionen durch einen einzigen Einstiegspunkt konfigurieren Der EingabehilfenAssistent im Menü Start ermöglicht es Administratoren und Benutzern, ihre Computer mit den am häufigsten verwendeten Funktionen einzurichten und diese Funktionen für jeden Benutzer anzupassen. EinenBildschirmbereichvergrößertdarstellen Mit Hilfe einiger abgekürzter Funktionen, wie der Bildschirmlupe, haben die Benutzer die Möglichkeit, nicht direkt am Gerät arbeiten zu müssen. Innerhalb von Windows navigieren Tastenkombinationen und benutzerdefinierte Tastaturoptionen unterstützen Benutzer, die in Programmen oder Anwendungen arbeiten. Akustikoptionen an individuelle Hörbedürfnisse anpassen Zusätzlich zu den anpassbaren Funktionen, wie Lautstärkeregelung und Multimediaoptionen, stehen Personen mit Hörstörungen mit den Funktionen Sounddarstellung und Darstellungsoptionen weitere Eingabehilfen zur Verfügung. Optionen für Benutzer mit Sehstörungen einrichten Die Funktionen für Benutzer mit Sehstörungen beinhalten den Sprecher, ein Text-Sprach-Modul, der in das Betriebssystem integriert ist, und die Statusanzeige. Über die Statusanzeige werden Audiosignale abgegeben, sobald ein Benutzer bestimmte Sperrtasten drückt, sowie Ereignissignale, die Sie in der Systemsteuerung unter Akustische Signale und Multimedia einstellen können. Tastaturfilter zum Anpassen vonTasten für verschiedene kognitive, Hör-, Beweglichkeits-, und Sehbedürfnisse verwenden Die Anschlagverzögerung passt die Reaktionszeit der Tastatur an und berücksichtigt auf diese Weise unbeabsichtigtes Drücken von Tasten. Kontrast, Farbe, Zeitsteuerung und Größe für Bildschirmelemente zuweisen Die erweiterten Bildschirmelemente, wie gut sichtbare Mauszeiger, kontrastreiche Farbschemas und der Eingabehilfen-Assistent, sind Optionen, die den individuellen Ansprüchen gerecht werden. Auf diese Weise können Animationen ausgeschaltet und die Einfügemarke (Caret) besser sichtbar gemacht werden. Bessere Steuerung des PCs mit Geräten von Drittanbietern Externe Eingabehilfen sind für Personen konzipiert, die Standardbenutzeroberflächen nicht verwenden können und auf die Hilfe alternativer Geräte angewiesen sind. Mit dieser Funktion können alternative Eingabegeräte an die serielle Schnittstelle des Computers angeschlossen werden.
980
Teil VII
Anhänge
Überlegungen vor der Aktualisierung auf Windows 2000 Microsoft und andere Software- und Hardwareentwickler sind ständig bemüht, die Optionen für Benutzer mit Behinderungen zu verbessern. Aus diesem Grund können sich einige Eingabehilfen noch im Entwicklungs- oder Teststadium befinden, wenn die neuen Software-Versionen freigegeben werden. Es kann vorkommen, dass neue Funktionen erst Bestandteil der nächsten Version sind. Einige Technologien, die mit Windows 2000 kompatibel sind oder eingebaut werden können, müssen erst noch entwickelt werden. Vor der Bereitstellung an Unternehmen, die Eingabehilfen benötigen, müssen die Informationstechnologie-Experten daher erst das Für und Wider abwägen. Alle Eingabehilfen müssen im Zuge der Bereitstellungsplanung und -prüfung auf Kompabilität mit Windows 2000 getestet werden Vielleicht möchten Sie nur einzelne Funktionen und Programme auf Ihrem Computer aktualisieren und nicht eine komplette Neuinstallation von Windows 2000 durchführen. Der Aktualisierungsvorgang kann automatisch durchgeführt werden. Mit dem Verzeichnisdienst Active Directory™ kann die Objektverwaltung der Gruppenrichtlinien innerhalb einer Organisationseinheit, Domäne oder Site verwaltet werden. Bei einer Neuinstallation ist zwar eine Partitionierung, jedoch keine Migration der Einstellungen aus früheren Versionen möglich. Benutzerdefinierte Einstellungen und Anwendungen gehen daher verloren. Hinweis Neuinstallationen und Aktualisierungen sollten mit einem aktualisierten BIOS (Basic Input/Output System) durchgeführt werden, das mit Windows 2000 kompatibel ist. Mit Hilfe von zugewiesenen Anwendungen der Gruppenrichtlinie können Administratoren Objekte ankündigen. Sobald die Benutzer diese Objekte im Menü Start auswählen, werden sie automatisch installiert. Administratoren können Anwendungen, die auf diese Weise zugewiesen wurden, auch löschen. Im Gegensatz zur Ankündigung bleibt es den Benutzern bei einer Veröffentlichung der Anwendung selbst überlassen, diese über Software in der Systemsteuerung zu installieren. Active Accessibility ist eine Kernkomponente in Windows, die auf Component Object Model (COM) basiert und definiert, wie Anwendungen Daten zu Elementen der Benutzeroberfläche austauschen können. Durch diese Technologie wird zwar die Inkompabilität mit einigen Eingabehilfen reduziert, vollständige Kompabilität kann jedoch nicht erreicht werden. Weitere Informationen zu aktuellen Technologien finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken. Weitere Informationen zur Software-Installation finden Sie unter „ Installation und Wartung der Software “ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Anhang E Eingabehilfen für Personen mit Behinderungen
981
Einrichtung von Eingabehilfen unter Windows 2000 Die in Windows 2000 enthaltenen Eingabehilfen sollen allen Personen mit Behinderungen ein Mindestmaß an Hilfsfunktionen bieten. Viele Benutzer mit Benhinderungen benötigen für den täglichen Gebrauch allerdings meist besondere Dienstprogramme mit einem erweiterten Funktionsumfang. Mit Hardware und Software von unabhängigen Herstellern können Benutzer mit Behinderungen Windows erweitern. Diese zusätzlichen Eingabehilfen müssen auf ihre Kompabilität mit Windows getestet werden, um sicherzustellen, dass die Treiber kompatibel mit Windows 2000 sind.
Microsoft Active Accessibility Active Accessibility API (Application Programming Interface) ist in das Betriebssystem integriert. Basierend auf OLE und COM können Eingabehilfen in Kombination mit Elementen der Benutzeroberfläche eingesetzt werden. Active Accessibility ist für die Benutzer nicht sichtbar und ermöglicht die Kompabilität mit anderen Eingabehilfen.
Produkte und Services von Drittanbietern Microsoft arbeitet mit unabhängigen Herstellern zusammen, um kompatible Software und Hardware für Benutzer mit Behinderungen zu erstellen. Active Accessibility stellt unter anderem die Infrastruktur zur Verfügung, die die Kompabilität zwischen Betriebssystem und Anwendung bei diesen wichtigen Geräten unterstützt. Mit dem Hilfsprogramm-Manager, einer neuen Funktion vonWindows 2000, können Hersteller ihre Produkte zur Eingabehilfe problemlos hinzufügen. Unabhängige Hersteller, wie kleine Unternehmen, die spezialisierte Eingabehilfen herstellen, unterstützen Personen mit Behinderungen in der Anwendung von Windows. Die folgende unvollständige Liste informiert Sie über die Gerätetypen und -funktionalitäten, die von unabhängigen Herstellern produziert werden: ? Hardware und Softwaretools, die das Verhalten von Maus und Tastatur ändern. ? Bildschirmtastatur ? Programme, die es den Benutzern ermöglichen, Text mit der Maus oder über ? ? ?
? ?
Spracherkennung einzugeben. Software, die Wörter oder Sätze voraussieht, damit die Benutzer schneller und mit weniger Tastenanschlägen tippen können. Programme mit Untertitelung Alternative Eingabegeräte, wie kopfgesteuerte Geräte, Eingabegeräte mit einem Schalter, über die Blickrichtung gesteuerte Zeigegeräte, mundgesteuerte Eingabehilfen oder Spracherkennungsgeräte. Programme, die die Informationen auf dem Bildschirm vergrößern oder deren Farbe verändern. Synthetisierte Sprachprogramme, die die Informationen auf dem Bildschirm in Braille-Schrift drucken.
982
Teil VII
Anhänge
„Zertifiziert für Windows“-Logo Hardware- und Softwarehersteller der ganzen Branche arbeiten gemeinsam an der Entwicklung von Eingabehilfen für alle Benutzer. Microsoft entwickelte das Zertifizierungsprogramm für Windows 2000. Dieses Programm unterstützt benutzerfreundliches Design und beinhaltet eine Reihe von Anforderungen sowie eine Checkliste für Anwendungsentwickler. Eines der Hauptziele dieses Programms ist die Qualitäts- und Konsistenzsicherung von Produkten für Windows 2000. Eine Anwendung qualifiziert sich nur dann für das „Zertifiziert für Windows“-Logo, wenn es die Kompabilitätsprüfung unter VeriTest mit den Anwendungsspezifikationen für Windows 2000 bestanden hat. Die Spezifikation befasst sich mit Themen wie Untertitelung als Erweiterung der Audio-Informationsübertragung, besserer Sichtbarkeit der Einfügemarke (Caret) und der Möglichkeit, das Verhalten von Maus und Tastatur zu steuern oder Animationen auszuschalten. Eines der Ziele in diesem gemeinsamen Bemühen ist die Qualitäts- und Konsistenzsicherung der Eingabehilfen für Benutzer mit Behinderungen. Weitere Informationen über das Zertifizierungsprogramm für Windows und Anwendungsspezifikationen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Application Specification Download“ klicken. Wichtig Die meisten Eingabehilfen von Drittanbietern sind kompatibel mit bestimmten Versionen eines Betriebssystems. Einige Add-On-Programme können intrusiv sein, da sie von Dateiformaten und Programmierschnittstellen abhängen, um Daten korrekt an die Benutzer weiterzuleiten. Solche Abhängigkeiten ändern sich mit jedem neuen Betriebssystem. Daher sollten Sie, bevor Sie eine Aktualisierung in Erwägung ziehen, eine Inventur durchführen und prüfen, ob die geplanten Anwendungen mit dem neuen Betriebssystem kompatibel sind. Weitere Informationen zu neuen Technologien und Kompabilität finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken.
Externe Eingabehilfen für Add-On-Hardware und -Software Mit externen Eingabehilfen können Eingabehilfen von Drittanbietern an die serielle Schnittstelle des Computers angeschlossen werden. Zu diesen zählen z. B. alternative Tastaturen oder Kommunikationsgeräte. Externe Eingabehilfen sind für Personen konzipiert, die Standardbenutzeroberflächen nicht verwenden können. Dennoch können alternative Geräte an die Tastatur und Maus angeschlossen werden.
Anpassen des Computers an Eingabehilfen Eingabehilfen werden in Windows 2000 automatisch installiert. Benutzer können die Eingabehilfen nach der Installation nicht mehr löschen. Hierzu zählen auch die Optionen im Eingabehilfen-Assistenten oder in der Systemsteuerung. Zusätzlich zu den neuen Funktionen behält das Setupprogramm alle Funktionen bei, die standardmäßig bei der Aktualisierung von früheren Windows-Versionen installiert werden. Eingabehilfen können auch auf gemeinsam genutzten Computern, wie öffentlichen oder Arbeitsgruppenservern, installiert werden.
Anhang E Eingabehilfen für Personen mit Behinderungen
983
Remoteinstallation und unbeaufsichtigte Installation von CD Mit dem Clientinstallations-Assistenten kann eine Remoteinstallation von Clientcomputern durchgeführt werden, falls diese vom Computer unterstützt wird. Mit der Gruppenrichtlinie können Sie die Installationsoptionen für die Benutzer steuern. Es gibt vier Installationsoptionen: Automatische Installation, Benutzerdefinierte Installation, Installationsversuch erneut starten und Wartung und Problembehandlung. AutomatischerSetup Bei der automatische Installation verwendet die Standardoption Windows 2000 Remoteinstallationsdienste Vorlagen für die unbeaufsichtigte Installation, damit Optionen in den Kategorien der Betriebssystemabbilder erstellt werden können. Mit einer Antwortdatei für die unbeaufsichtigte Installation können Sie verschiedene Installationsoptionen erstellen, einzelne Elemente installieren und bestimmte Optionen für Clientcomputer konfigurieren. BenutzerdefinierteInstallation Bei der benutzerdefinierten Installation können Sie den Namen des Computers und den Active Directory-Container bestimmen, in dem Sie das Computerkontoobjekt erstellen möchten. Mit Hilfe dieser Option können Computer für einzelne Benutzer innerhalb einer Gruppe und ein Clientcomputerkonto in Active Directory eingerichtet werden, bevor der Computer an die Benutzer geliefert wird. Installationsversucherneutstarten Mit dieser Option können Sie einen fehlgeschlagenen Setupversuch erneut starten. Wenn die Installation des Betriebssystemabbildes gestartet und die Verbindung zum Server für die Remoteinstallationsdienste unterbrochen wird, kann die Installation folgendermaßen wiederaufgenommen werden: Starten Sie den Clientcomputer neu, und drücken Sie F12, wenn Sie zum Start der Netzwerkdienste aufgefordert werden. Klicken Sie abschließend auf die Option, um den Installationsversuch erneut zu starten. Wartung und Problembehandlung Die Funktion Wartung und Problembehandlung ermöglicht Administratoren den Zugriff auf Diagnose- und andere Wartungsprogramme, die sie zur Wartung und Problembehandlung von Clientcomputern benötigen.
Windows Installer Windows Installer installiert, wartet und entfernt Software auf Clientcomputern mit der automatischen Fehlerbehandlung. Wird eine Datei gelöscht, stellt Windows Installer die fehlende Datei wieder her, sobald die Benutzer versuchen, sie erneut zu öffnen. Weitere Informationen über Windows Installer finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „The Windows Platform Software Development Kit (SDK)“ klicken.
984
Teil VII
Anhänge
Gruppenrichtlinie Gruppenrichtlinie ist das Hauptprogramm des Netzwerkadministrators zur Verwaltung von Benutzergruppen und Computern. Der Administrator kann das Gruppenrichtlinien-Snap-In der Microsoft® Management Console (MMC) verwenden, um Verwaltungs- und Sicherheitsoptionen für den Desktop für Computer- und Benutzergruppen zu bestimmen. Microsoft® Windows® 2000 Server beinhaltet mehr als 200 Standardeinstellungen für die Gruppenrichtlinie. Mit dem Clientinstallations-Assistenten können Sie Installationsoptionen für Benutzer bestimmen und den Zugriff auf bestimmte Bereiche gewähren oder verweigern. Unternehmen, die Angestellte mit Behinderungen beschäftigen, können mit der Gruppenrichtlinie Einstellungen für Benutzergruppen anpassen, die die gleichen Bedürfnisse haben. Mehrere Benutzer eines Computers können mit ihren Anmeldungs- und Kennwortinformationen den Desktop benutzergerecht mit den für sie angepassten Eingabehilfen einrichten. Weitere Informationen zu Gruppenrichtlinien finden Sie unter „Gruppenrichtlinie“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Einrichten mehrerer Benutzerprofile Mit dem Eingabehilfen-Assistenten können Sie mehrere Benutzerprofile einrichten. Der nächste Benutzer, der sich an Windows anmeldet, kann die Einstellungen ändern, ohne die vorherigen Einstellungen zu löschen. Benutzerdefinierte Einstellungen werden beim nächsten Anmeldevorgang wiederhergestellt. Mit dem Eingabehilfen-Assistent können Benutzer oder Administratoren benutzerdefinierte Einstellungen einrichten. Windows definiert automatisch Funktionen als Standard für andere Benutzer. Ausgeschaltete Eingabehilfen sind für Benutzer, die diese nicht benötigen, nicht sichtbar. Daher können Personen mit und Personen ohne Behinderungen den Computer benutzen. Mehrere Benutzer eines Computers können mit ihren Anmeldungs- und Kennwortinformationen den Desktop benutzergerecht mit den für sie angepassten Eingabehilfen einrichten.
Verwaltungsoptionen Mit Hilfe des Eingabehilfen-Assistenten oder der Systemsteuerung können Sie Verwaltungsoptionen für mehrere Funktionen einrichten. In beiden können automatische Zeitlimits festgelegt, Einstellungen automatisch zurückgesetzt und Standardeinstellungen für die Eingabehilfe vorgenommen werden. Die Einstellungen können jedoch nur mit dem Eingabehilfen-Assistenten in einer Datei gespeichert werden, um sie so auf einem anderen Computer zu nutzen.
Zurücksetzen der Eingabehilfe (Zeitlimit) Eine weitere nützliche Funktion für Computer mit mehreren Benutzern ist das Zurücksetzen der Eingabehilfe (Zeitlimit). Dieser Bestandteil des EingabehilfenAssistenten und der Systemsteuerung schaltet die Eingabehilfe aus, wenn der Computer über einen bestimmten Zeitraum hinweg nicht genutzt worden ist. Danach wird wieder die Standardkonfiguration des Betriebssystems übernommen. Hinweis Das automatische Zurücksetzen (Zeitlimit) schaltet die Eingabehilfenfunktion nicht aus.
Anhang E Eingabehilfen für Personen mit Behinderungen
985
Active Desktop Mit Active Desktop kann nahezu jedes Element des Desktops – zusätzlich zur Anzeige von Intranet- und Internetinhalten – benutzerdefiniert eingerichtet werden. Mit Windows 2000 Explorer können Benutzer durch Desktopelemente, wie Symbole in der Taskleiste, Verknüpfungssymbole und andere Netzwerkobjekte, navigieren. Diese Funktion ermöglicht eine konsistente Schnittstelle aller Objektkategorien; einige Benutzer empfinden das Navigieren auf dem Desktop ohne Maus zudem leichter.
Anpassen des Desktops Anpassen des Desktops mit Active Desktop: ? Webseiten mit aktiven Inhalten auf den Desktop ziehen. ? Symbolleisten benutzerdefiniert auf dem Desktop oder einer Taskleiste
verschieben. ? Häufig geöffnete Dateien und Programme für schnellen Zugriff neu anordnen. ? Eine Adressleiste zur Taskleiste auf dem Desktop hinzufügen. Mit dieser Erweiterung können Benutzer eine Internetadresse eingeben, ohne vorher die Suchmaschine zu öffnen.
Desktop-Symbolleisten Benutzer können ihre eigenen Desktop-Symbolleisten mit häufig verwendeten Befehlen erstellen. Für Benutzer, die die Maus der Tastatur vorziehen, ist diese Funktion sehr nützlich. Benutzer, die die Tastatur bevorzugen, können Befehle im Menü Start hinzufügen.
Systemstatussymbole Eine neue Funktion in Windows 2000 ist die Möglichkeit, mit der TAB-TASTE zwischen den Statussymbolen des Systemstatusbereichs (Taskleiste) zu navigieren. Wenn ein Benutzer Statussymbole für häufig verwendete Eingabehilfen aktiviert, erscheinen sie im Systemstatusbereich. Wenn ein Benutzer eine Tastenkombination drückt, wird das Symbol in das entsprechende Rechteck platziert, um darzustellen, welche Taste aktiviert wurde. Diese Statussymbole ersetzen die Statusanzeige früherer Windows-Versionen.
Hilfsprogramm-Manager Der Hilfsprogramm-Manager in Windows 2000 erspart den Anwendern kostbare Zeit. Ein Administrator kann festlegen, auf welchen Computern automatisch Eingabehilfen beim Start von Windows 2000 geöffnet werden. Die Benutzer können die Programme dann anhalten oder erneut starten. Für einige Benutzer ist auch der unmittelbare Zugriff auf Funktionen wie den Sprecher, Bildschirmlupe, oder Bildschirmtastatur wichtig. Benutzer und Administratoren können mit dem Hilfsprogramm-Manager die meisten Eingabehilfen auf dem Computer anpassen. Administratoren können in Windows 2000 über Dialogfelder die installierten Eingabehilfen und deren Status anzeigen lassen. Zudem können Sie zusätzliche Anwendungen oder, mit speziellen Programmen, Add-On-Geräte installieren. Der Hilfsprogramm-Manager kann entweder über das Menü Start oder mit der Tastenkombination WINDOWS LOGO+U geöffnet werden.
986
Teil VII
Anhänge
Hinweis Die integrierten Programme, die über den Hilfsprogramm-Manager geöffnet werden, sind Bildschirmlupe, Sprecher und Bildschirmtastatur. Zusätzlich zu den von Microsoft in das Betriebssystem integrierten Anwendungen können Drittanbieter ihre Anwendungen zum Hilfsprogramm-Manager hinzufügen. Weitere Informationen zum Hinzufügen alternativer Geräte zum HilfsprogrammManager finden Sie in den Dokumentationen der Geräte der jeweiligen Hersteller.
Konfigurieren der Eingabehilfen unter Windows 2000 Mittels benutzerdefinierter Schnittstellen können Benutzer mit Behinderungen den Computer an ihre täglichen Bedürfnisse anpassen. Je nach Bedürfnissen kann Windows für die einzelnen Benutzer verschiedene Herausforderungen darstellen. Obwohl die Eingabehilfen in Windows 2000 automatisch installiert werden, müssen bei einer Neuinstallation bereits konfigurierte Optionen und Einstellungen neu konfiguriert und benutzerdefinierte Optionen an die einzelnen Benutzer neu angepasst werden. In Tabelle E.1 finden Sie einige der Eingabehilfen, die in Windows 2000 eingebaut sind. Da Funktionen bei mehreren Behinderungen anwendbar sind, sind sie nach Schwierigkeitsgrad und nicht nach Kategorie oder Art der Behinderung aufgelistet. Eine Beschreibung der Funktionen nach Art der Behinderung finden Sie unter „Einrichten der Eingabehilfen nach Art der Behinderung“ an späterer Stelle in diesem Kapitel. Tabelle E.1
Häufige Benutzerprobleme und ihre mögliche Lösung
Benutzerproblem …
Lösung (Windows 2000)
Einstellungen können in einem Netzwerk mit mehreren Benutzern nicht angepasst werden. Die folgenden Aufgaben können nicht bewältigt werden: ? Windows oder Anwendungen öffnen. ? Durch Desktop-Elemente und Windows navigieren. ? Tastatureinstellungen anpassen.
Eingabehilfen-Assistent, Verwaltungsoptionen, Eingabehilfe in der Systemsteuerung Tastaturbefehle, Hilfsprogramm-Manager, Sprecher, Bildschirmtastatur, Active Desktop, Tastenkombinationen, Systemstatussymbole
? Anzeigeeinstellungen anpassen.
Es ist unklar, welche Eingabehilfen aktiviert sind. Eine benötigte Funktion kann nicht gefunden werden.
Eingabehilfe in der Systemsteuerung
Die Bedeutung der Tastaturnavigationsanzeige ist unklar.
Eingabehilfen und deren Anzeige in der Systemsteuerung, EingabehilfenAssistent Automatische Rechtschreibprüfung, Automatische Vervollständigung, AutoKorrektur, Tastenkombinationen
Das Buchstabieren von Wörtern bereitet Schwierigkeiten.
Eingabehilfen-Assistent mit Auflistung nach Behinderung
Anhang E Eingabehilfen für Personen mit Behinderungen
987
(Fortsetzung) Benutzerproblem …
Lösung (Windows 2000)
Eingeschränktes Hörvermögen bei: ? Hören akustischer Aufforderungen. ? Unterscheiden verschiedener Töne.
Sounddarstellung, Darstellungsoptionen, benutzerdefinierte Audioschemas
? Hören akustischer Ratgeber. ? Arbeiten mit großer Geräuschkulisse.
Standardkonfigurationen für die Tastatur können nicht verwendet werden. Die Tastatur kann wegen verminderter Reaktionsfähigkeit nicht genutzt werden. Die Tastatur kann wegen motorischer Einschränkungen nicht genutzt werden.
Dvorak-Tastaturen, Bildschirmtastaturen, Tastaturmaus Wiederholgeschwindigkeit und Tastaturoptionen Anschlaggeschwindigkeit, Anschlagverzögerung, Wiederholgeschwindigkeit und Statusanzeige
Zwei Tasten können nicht gleichzeitig gedrückt werden.
Einrastfunktion
Das Verwenden von Standardbenutzeroberflächen, wie Maus und Tastatur, bereitet Schwierigkeiten. Die Maus kann nicht bedient werden. Aufblinkende Ereignisse und andere Schemas können Anfälle auslösen.
Spracherkennungsgeräte von Drittanbietern, Sprecher, Bildschirmtastatur Tastaturmaus Der Eingabehilfen-Assistent und Eingabehilfen in der Systemsteuerung, mit denen die Zeitsteuerung, Audioschemas, Farbe und Kontrast geändert werden können Mausoptionen im EingabehilfenAssistent oder der Systemsteuerung
Der Mauszeiger kann nicht richtig gesehen oder verfolgt werden. Statusanzeigen können nicht richtig gesehen werden.
Statusanzeige
Bildschirmelemente können nicht richtig erkannt werden.
Sprecher, Bildschirmlupe, Systemsteuerung und Schemas für Größe, Farbe und Kontrast im EingabehilfenAssistent
Die eingebauten Eingabehilfen reichen nicht aus (Benutzer benötigt Add-OnGeräte). Informationen zu Eingabehilfen von Drittanbietern.
Active Accessibility, externe Eingabehilfen für Geräte von Drittanbietern Microsoft Accessibility Webseite (siehe „Zusätzliche Ressourcen“ in diesem Anhang)
Benutzer und Administratoren können mit den Eingabehilfen in der Systemsteuerung viele Funktionen der Eingabehilfe in Windows 2000 anpassen. Sie können aber auch häufig verwendete Eingabehilfen mit Hilfe des EingabehilfenAssistenten konfigurieren. So können z. B. die Anzeige, Tastatur, Maus und Klang mit der Systemsteuerung oder dem Eingabehilfen-Assistent angepasst werden. Die Konfigurationsoptionen werden in den nächsten Abschnitten beschrieben.
988
Teil VII
Anhänge
Konfigurieren der Eingabehilfen mit dem EingabehilfenAssistenten Mit dem Eingabehilfen-Assistenten können Benutzer in Windows 2000 noch einfacher Eingabehilfen benutzergerecht einrichten, ohne numerische Werte oder die Einstellungen der Systemsteuerung ändern zu müssen. Der EingabehilfenAssistent im Menü Start dient als einziger Einstiegspunkt für häufig verwendete Funktionen. Die Einstellungen können auch in eine Datei gespeichert werden, um andere Computer zu konfigurieren. Mit dem Eingabehilfen-Assistent können einige Klang- und Bildschirmoptionen, wie Lautstärke und Schriftgrad, sowie mehrere Tastaturoptionen, wie Tastaturfilter und Tastaturmaus, gesteuert und Verwaltungsoptionen festgelegt werden.
Konfigurieren von Eingabehilfen mit der Systemsteuerung Über das Symbol Eingabehilfen in der Systemsteuerung lassen sich Eigenschaften zur Steuerung der Eingabehilfen in Windows 2000 leicht anpassen. So können Benutzer die Tastatur, Klang oder Mausaktionen auf ihre Bedürfnisse einstellen. Mit Eingabehilfen haben Benutzer Zugriff auf folgende Funktionen: Einrastfunktion, Anschlagverzögerung, Statusanzeige, Darstellungsoptionen, Sounddarstellung, Tastaturmaus und externe Eingabehilfen. Zusätzlich zu den Optionen für Benutzer mit Behinderungen in Eingabehilfen können Einstellungen in einem Clientcomputer auch über die Systemsteuerung geändert werden. Unter anderem können die Einstellungen für Bildschirm, Tastatur, Maus, Klang und Multimedia geändert werden. In den folgenden Abschnitten werden neben anderen auch die Funktionen beschrieben, die für Benutzer mit Behinderungen entwickelt wurden.
Einrichten der Eingabehilfen nach Art der Behinderung Mit benutzerdefinierten Schnittstellen können Benutzer mit Behinderungen ihre Computer-Umgebung so einrichten, dass sie erfolgreich arbeiten können. Um den Navigationsaufwand zu reduzieren, muss die Benutzeroberfläche vereinfacht werden. Die folgenden Funktionen und Techniken können von Administratoren und Benutzern auf ihre spezifischen Bedürfnisse angepasst werden. Diese Optionen sind zwar bei mehreren Behinderungsarten nützlich, sie werden jedoch aus Organisationsgründen nach Behinderungskategorien geordnet.
Optionen für Benutzer mit kognitiven Störungen Zu kognitiven Störungen zählen Entwicklungsstörungen, z. B. das Down-Syndrom, Lernstörungen, z. B. Dyslexie, Spracherkennungsstörungen, Analphabetismus, Aufmerksamkeitsdefizitsyndrom und Gedächtnisschwund sowie Wahrnehmungsstörungen, wie verminderte Reaktionsfähigkeit. Zusätzlich zu Eingabehilfen von Drittanbietern (z. B. Spracherkennungsgeräten) sind einige integrierte Funktionen von Windows besonders hilfreich für Benutzer mit kognitiven Störungen. Ein Beispiel hierfür sind die IntelliSense®-Funktionen, wie AutoKorrektur, Automatische Vervollständigung und Automatische Rechtschreibprüfung.
Anhang E Eingabehilfen für Personen mit Behinderungen
989
Die Automatische Vervollständigung kann so angepasst werden, dass nur die von den Benutzern benötigten Informationen beinhaltet werden. Dies kann eine beträchtliche Arbeitserleichterung bedeuten. Benutzer mit kognitiven Störungen sollten einige Funktionen jedoch besser ausschalten. Dies gilt vor allem für Funktionen wie Automatische Vervollständigung oder einige Audioschemas, da diese Funktionen die Benutzer vor allem bei Verwendung von Text-SprachModulen ablenken können. Auch andere Eingabehilfen im Eingabehilfen-Assistent oder in der Systemsteuerung in Windows 2000 sind auf die Bedürfnisse von Benutzern mit kognitiven Störungen abgestimmt. Bestimmte Tastaturfilter sind im Vergleich zu Windows NT Version 4.0 oder früher neu angeordnet worden. Mit dem Eingabehilfen-Assistent und der Systemsteuerung kann nun die Reaktionszeit der Tastatur angepasst und auf diese Weise das unbeabsichtigte Drücken von Tasten verhindert und eine verminderte Reaktionsfähigkeit ausgeglichen werden. Zu den Tastaturoptionen zählen Tastaturbefehle und andere Tastenkombinationen. Neben diesen Funktionen stellen der Sprecher, Active Desktop, Systemstatussymbole, die die aktiven Funktionen anzeigen, und Klangoptionen im Eingabehilfen-Assistenten und in der Systemsteuerung eine Erleichterung dar. Audioschemas geben zusätzliche Hilfestellung und Feedback während der Durchführung von Tasks.
Synchronized Accessible Media Interchange Für Benutzer mit Spracherkennungsstörungen erleichtert Microsoft Synchronized Accessible Media Interchange (SAMI) das Sprachverständnis durch Einfügen von Untertiteln. Weitere Informationen zu dieser Funktion finden Sie im nächsten Abschnitt, „Optionen für Benutzer mit Hörstörungen“.
Optionen für Benutzer mit Hörstörungen Die folgenden Optionen sind für Gehörlose oder Hörgeschädigte geeignet. Mit diesen Funktionen können Audioschemas angepasst oder visuelle Medien als Tonersatz verwendet werden.
Benutzerdefinierte Audioschemas Hörgeschädigte Benutzer oder Benutzer, die in einer starken Geräuschkulisse arbeiten, können sowohl die Tonhöhe und -qualität als auch die Lautstärke mehrerer Bildschirmereignisse anpassen, um sie leichter voneinander unterscheiden zu können. Dies ist entweder über den Eingabehilfen-Assistenten oder die Systemsteuerung möglich. Unter Windows können die Benutzer aus mehreren akustischen Signalen für verschiedene Ereignisse wählen, die Windows oder einzelne Programme erzeugen. Benutzer, die Schwierigkeiten beim Unterscheiden der akustischen Standardsignale (z. B. Signalton für nicht verfügbare Tastenanschläge) haben, können ein neues Audioschema wählen oder ihr eigenes definieren. Unter Windows 2000 kann der Standard-Download von Audiodateien ausgeschaltet werden.
990
Teil VII
Anhänge
Einstellen der Lautstärke Wenn der Computer über eine Soundkarte verfügt, können alle akustischen Signale in Windows über die Symbole Akustische Signale und Multimedia eingestellt werden. Die Lautstärke kann mit dem Symbol Sprecher in der Taskleiste geregelt werden. Einige Benutzer benötigen visuelle Signale statt akustischer. Gehörlose oder hörgeschädigte Benutzer verwenden Gehörlosensprache eventuell als erste und Deutsch als zweite Sprache. Benutzerdefinierte Schriftarten, die von typographischen Konventionen abweichen, da sie Groß- und Kleinbuchstaben vermischen und animierte Textformatierungen verwenden, haben deswegen eventuell Schwierigkeiten beim Lesen. In solchen Fällen könnte die Verwendung von benutzerdefinierten akustischen Signalen und Untertitelung von Nutzen sein. Die folgenden Funktionen von Windows 2000 sind für gehörlose oder hörgeschädigte Benutzer geeignet.
Sounddarstellung Anwendungen, die mit Untertitelung arbeiten, um ein visuelles Feedback in Form von Untertiteln zu geben, werden über Sounddarstellung, eine Funktion in der Systemsteuerung, gesteuert. In Windows 2000 bleibt es den Benutzern überlassen, Untertitel anzuzeigen oder nicht.
Darstellungsoptionen Die Funktion Darstellungsoptionen in Windows 2000 unterstützt nur die akustischen Signale, die der integrierte Lautsprecher erzeugt. Akustische Signale von einer Multimediasoundkarte werden nicht erkannt. Sollte der Computer über eine Multimediasoundkarte verfügen, muss diese vom Benutzer oder Administrator eventuell deaktiviert werden, damit der integrierte Lautsprecher die akustischen Signale abspielen kann. Starten Sie Windows neu, damit diese Änderung wirksam wird.
Synchronized Accessible Media Interchange Verwenden Sie Microsoft Synchronized Accessible Media Interchange (SAMI)/Direct Show für Untertitelung. Mit SAMI können bei der Entwicklung, Erstellung von Bildungsmaterial und Contenterstellung Untertitel und akustische Beschreibungen in einem einzigen Dokument erstellt werden. SAMI basiert auf HTML, einem gängigen und lesbaren Format. Mit SAMI können Sie untertitelte Multimediaprodukte erstellen. Windows Media Player synchronisiert die Untertitelinformationen auf dem Desktop. Die Benutzer können die Untertitel dann ihren individuellen Bedürfnissen anpassen. Weitere Informationen zu SAMI finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken.
Anhang E Eingabehilfen für Personen mit Behinderungen
991
Optionen für körperbehinderte Benutzer Einige Benutzer können manuelle Tasks nicht durchführen. Sie können z. B. die Maus nicht benutzen oder zwei Tasten nicht gleichzeitig anschlagen. Andere wiederum neigen dazu, mehrere Tasten anzuschlagen oder die Tasten nicht richtig zu treffen. Körperbehinderungen oder Bewegungseinschränkungen umfassen Paralyse, Zerebralparese, überlastungsbedingte schmerzhafte Bewegungseinschränkungen, Flattertremor, Tetraplegie sowie fehlende Gliedmaße oder Finger. Viele Benutzer müssen Tastatur- und Mausfunktionen auf ihre individuellen Bedürfnisse anpassen oder sich vollständig auf alternative Eingabegeräte verlassen. Spracherkennungsgeräte zur Steuerung des Computers mit Stimmsignalen und Tastaturfilter, Bildschirmtastaturen, kleinere oder größere Tastaturen, über die Blickrichtung gesteuerte Zeigegeräte und mundgesteuerte Eingabehilfen, die mit Hilfe der Atmung kontrolliert werden, gehören heute zu der Vielzahl an Eingabegeräten, die den Benutzern zur Verfügung stehen. Weitere Informationen zu Eingabehilfen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken.
Tastaturoptionen Benutzer mit eingeschränktem Bewegungsvermögen der Hände können Schwierigkeiten bei der Verwendung von Standardtastaturen haben. Sie können Windows 2000 jedoch so konfigurieren, dass die Arbeitsumgebung bequemer gestaltet wird und die Auswirkungen von Flattertremoren und verminderter Reaktionsfähigkeit minimiert werden. Zu den Tastaturfiltern zählen zudem automatische Wörtervorschläge, Abkürzungserweiterungsprogramme und AddOn-Rechtschreibeprüfungen. Im folgenden Abschnitt werden Eingabegeräte und Funktionen beschrieben, die von der Standardtastatur abweichen. Diese Funktionen passen das Verhalten bestimmter Tasten an bestimmte Bedürfnisse an. Hinweis In den meisten Fällen können Änderungen des Tastaturverhaltens nicht auf Zeigegeräte, wie die Maus, übertragen werden. Deswegen können Benutzer mit eingeschränktem Bewegungsvermögen der Hände nur die Tastatur verwenden.
Bildschirmtastatur Einigen Benutzern bereitet sowohl der Umgang mit der Maus als auch mit der Tastatur Schwierigkeiten. Sie können jedoch auf andere Möglichkeiten zurückgreifen, wie z. B. eine Bildschirmtastatur mit alternativen Eingabemethoden, wie einem Zeigegerät, einen an der seriellen Schnittstelle angeschlossenen Joystick oder eine als Schaltgerät funktionierende Leertaste. Mit Hilfe der Bildschirmtastatur können Benutzer Tasten über alternative Eingabegeräte auswählen. Benutzer, die zeigen, aber nicht anklicken können, können Zeigegeräte, Schalter oder auf Morsezeichen basierende Eingabegeräte verwenden. Hinweis Für den Schaltermodus benötigen Sie angepasste Patch-Kabel.
992
Teil VII
Anhänge
Die Bildschirmtastatur kann in Windows 2000 über das Menü Start eingerichtet und angepasst werden. Mit der Bildschirmtastatur stehen Benutzern mit leichten Bewegungseinschränkungen die Grundfunktionalitäten zur Verfügung. Viele körperbehinderte Benutzer benötigen für den täglichen Gebrauch allerdings meist besondere Dienstprogramme mit einem erweiterten Funktionsumfang. Weitere Informationen zu auf Windows basierenden Bildschirmtastaturen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken. Hinweis Die Bildschirmtastatur ist nur als vorübergehende Lösung gedacht. Sie ersetzt nicht alternative Bildschirmtastaturen von Drittanbietern für den täglichen Gebrauch.
Dvorak-Tastatur Mit Hilfe der Dvorak-Tastatur werden die am häufigsten eingegebenen Tastaturzeichen für Personen zugänglich, denen die Benutzung einer Standard-QUERTZTastatur Probleme bereitet. Es gibt drei verschiedene Dvorak-Tastaturen: eine für Benutzer, die die Tastatur mit zwei Händen, eine für Benutzer, die die Tastatur nur mit der linken Hand, und eine für Benutzer, die die Tastatur nur mit der rechten Hand bedienen können. Bei Dvorak-Tastaturen ist nur ein Minimum an Bewegungsaufwand zur Texteingabe erforderlich. Auf diese Weise können einige überlastungsbedingte schmerzhafte Bewegungseinschränkungen verhindert werden, die mit tippender Tätigkeit in Verbindung stehen. Die Dvorak-Tastatur kann entweder mit dem Setup-Programm oder später hinzugefügt werden. Dvorak-Tastaturen können über das Symbol Tastatur in der Systemsteuerung konfiguriert werden.
Tastenkombinationen Tastenkombinationen sind für Benutzer mit Behinderungen äußerst wichtig. Bei nahezu allen Behinderungen stellen sie eine unwahrscheinliche Erleichterung dar. Benutzer können mit Befehlen in Kombination mit der ALT- und der STRGTASTE leichter durch Windows 2000 navigieren. Auch wenn keine Eingabehilfen konfiguriert wurden, können Benutzer mit der TAB-TASTE den Fokus in Dialogfeldern bewegen und mit den Pfeiltasten Elemente einer Liste auswählen. Bei Eigenschaftenfenstern mit mehreren Registerkarten kann von links nach rechts zwischen diesen Registerkarten gewechselt werden. Bei Active Desktop können die Benutzer zum Menü Start Tastenkombinationen hinzufügen. Weitere Informationen zu Tastenkombinationen finden Sie in der Windows 2000Hilfe. Weitere Informationen zu Tastenkombinationen und Tastenkombinationen für Eingabehilfen finden Sie unter „Anhang H – Eingabehilfen“ in Microsoft Windows 98 – Die technische Referenz. Weitere Informationen zu reinen Tastenkombinationen, Tastenkombinationen für Eingabehilfen und das Microsoft® Natural® Keyboard finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken.
Anhang E Eingabehilfen für Personen mit Behinderungen
993
Tastaturbefehle für Eingabehilfen Tastaturbefehle für Eingabehilfen bieten Personen, die den Computer nicht ohne vorherige Aktivierung benutzen können, direkten Zugriff auf Eingabehilfen. Mit Tastaturbefehlen können bestimmte Funktionen vorübergehend aktiviert werden. Nachdem eine Funktion aktiviert wurde, kann sie mit dem Eingabehilfen-Assistenten oder über das Symbol Eingabehilfen in der Systemsteuerung angepasst oder dauerhaft aktiviert werden. Mit demselben Tastaturbefehl können ungewünschte Funktionen ausgeschaltet werden. Tastaturbefehle sind definierte Tastenkombinationen, die nicht in Konflikt mit Programmtasten stehen sollten. Sollte dies der Fall sein, können die Tastaturbefehle ausgeschaltet werden, ohne die Funktion zu beeinträchtigen. Bei der Standardinstallation von Windows 2000 sind die Tastaturbefehle für die Eingabehilfe ausgeschaltet, damit sie nicht mit anderen Programmen in Konflikt geraten.
Einrastfunktion zur Eingabe mit einem Finger oder Mundstück Bei vielen Softwareprogrammen müssen zwei oder drei Tasten gleichzeitig gedrückt werden. Dies ist nicht möglich für Benutzer, die mit einem Finger oder einem Mundstück tippen. Mit der Einrastfunktion können Benutzer unter Windows eine Taste stellvertretend für mehrere drücken. Bei gemeinsam genutzten Computern können andere Benutzer über eine optionale Funktion erkennen, ob die Einrastfunktion aktiviert ist. Bei der Option Beim gleichzeitigen Drücken zweier Tasten deaktivieren erkennt die Einrastfunktion, ob zwei Tasten gleichzeitig gedrückt werden, und schaltet sich automatisch aus. Für einige Benutzer sind akustische Signale für die Tastatur eher hinderlich, wohingegen andere sie als nützlich empfinden. Akustische Feedback-Signale können in den Eigenschaften der Einrastfunktion über die Option Drücken der Zusatztaste akustisch signalisieren aktiviert werden.
Anschlagverzögerung für Benutzer mit eingeschränktem Bewegungsvermögen der Hände In Windows 2000 kann die Eingabe durch Tastaturfilter erleichtert werden, die einzeln oder kombiniert verwendet werden. Dies gilt besonders für Benutzer, die Schwierigkeiten wegen ihrer verminderten Reaktionsfähigkeit, Flattertremoren oder ihrer Tendenz, Tasten unbeabsichtigt zu drücken haben. Mit der Anschlagverzögerung kann die Reaktionszeit der Tastatur angepasst werden.
Statusanzeige für Benutzer, die unbeabsichtigt die Feststelltasten drücken Über die Statusanzeige ertönt unter Windows ein hoher oder tiefer Signalton, wenn die NUM-, die ROLLEN- oder die FESTSTELLTASTE gedrückt werden.
Mausoptionen Für Benutzer mit eingeschränktem Bewegungsradius stehen mehrere Optionen für Größen-, Farb- und Animationsschemas zur Verfügung. Mit den Einstellungen für die Maus in der Systemsteuerung kann die Sichtbarkeit des Zeigers verbessert werden. Diese anpassbare Funktion wurde zwar nicht speziell für Benutzer mit Behinderungen entwickelt, dennoch können Personen mit Sehstörungen davon profitieren.
994
Teil VII
Anhänge
Mauseigenschaften anpassen In der Systemsteuerung kann die Maus so eingestellt werden, dass sich der Mauszeiger automatisch auf Standardschaltflächen, wie OK oder Übernehmen, oder in die Mitte des Dialogfelds bewegt. Außerdem kann die rechte Maustaste als Haupttaste definiert werden. Die Geschwindigkeit und Beschleunigung des Zeigers, Tastenauswahl, Größe, Farbe und Form des Cursors, Klicksparfunktion und Animation lassen sich ebenfalls einstellen. Benutzer können Ich bin blind oder kann den Text auf dem Bildschirm nicht gut erkennen und Ich habe Schwierigkeiten bei der Verwendung der Tastatur oder Maus wählen und so mehrere Eingabehilfen für die Maus im Eingabehilfen-Assistenten einstellen.
Tastaturmaus für Eingabe über die Tastatur In Windows 2000 können zwar alle Aktionen ohne Maus durchgeführt werden, dennoch wird sie bei einigen Programmen benötigt. Die Tastaturmaus ist äußert nützlich für Grafiker und andere Benutzer, die eine punktgenaue Platzierung der Maus erzielen wollen. Eine Maus ist hierbei nicht unbedingt erforderlich. Die Tastaturmaus ermöglicht die Steuerung des Mauszeigers mit einem Finger, über mund- oder kopfgesteuerte Eingabegeräte oder Zehnertastaturen. Hiermit können Objekte angeklickt, doppelgeklickt oder bewegt werden. Wenn die akustischen Signale eingeschaltet sind, gibt die Tastaturmaus einen ansteigenden Ton ab.
Optionen für anfallsgefährdete Benutzer Benutzer mit anfallsartigen Störungen, wie Epilepsie, können Bildschirmelemente, wie Zeitsteuerung, Farbe, Kontrast und akustische Signale über den EingabehilfenAssistenten oder die Systemsteuerung benutzergerecht einstellen. Die Auswahlmöglichkeiten vieler dieser Funktionen sind in Windows 2000 erweitert worden. Es können eine oder mehrere bevorzugte Schriftarten definiert werden. Anfallsgefährdete Benutzer können die folgenden Eingabehilfen benutzergerecht anpassen.
Zeiteinstellungen Die Zeiteinstellungen werden von mehreren Benutzern unterschiedlich verwendet. Anfallsgefährdete Benutzer können äußerst sensibel auf Aktualisierungszeiten des Bildschirms und blinkende Bilder reagieren. Über Einstellungen in der Systemsteuerung kann das standardmäßige Laden von Animationen und Videos verhindert werden. Die Blinkrate kann auf eine Frequenz eingestellt werden, bei der aller Wahrscheinlichkeit nach weniger Anfälle ausgelöst werden. Benutzer und Administratoren können die Blinkrate der Einfügemarke (Caret) ändern und mit anderen blinkenden Ereignissen, wie der Aktualisierungsrate des Bildschirms, verknüpfen. Blinkende Bilder können aber auch ausgeschaltet werden.
Audioschemas Ebenso wie bei Hörgeschädigten können bestimmte Töne auch bei anfallsgefährdeten Benutzern Reaktionen auslösen. Über Einstellungen in der Systemsteuerung kann das standardmäßige Laden von Animationen, Videos und akustischen Signalen verhindert werden. Jedem Ereignis kann über die Systemsteuerung ein akustisches Signal zugeordnet werden. Das Anpassen von Audioschemas wird für Benutzer immer wichtiger. Mit vielen Funktionen, wie beispielsweise dem Ein- und Ausschalten von akustischen Signalen oder der Lautstärkeregulierung, werden Personen mit verschiedenen Arten von Behinderungen und Bedürfnissen unterstützt.
Anhang E Eingabehilfen für Personen mit Behinderungen
995
Farb- und Kontrasteinstellungen Die Eingabehilfen in der Systemsteuerung und die Bildschirmlupe geben den Benutzern die Möglichkeit, Farb- und Kontrasteinstellungen zu ändern. In Windows 2000 steht ein erweitertes Spektrum an Farbschemas zur benutzerdefinierten Einstellung zur Verfügung. Weitere Informationen finden Sie im nächsten Abschnitt.
Optionen für Benutzer mit Sehstörungen Mit den folgenden Eingabehilfen werden Benutzer unterstützt, deren Sehkraft stark eingeschränkt oder nicht mehr vorhanden ist, die an Farbenblindheit, Tunnelsicht oder anderen Sehstörungen leiden: Text-Sprachmodule, z. B. der Sprecher, Tastenkombinationen, Bildschirmlupe und anpassbare Funktionen, z. B. der Mauszeiger, Farb- und Kontrastschemas und andere Elemente der Benutzeroberfläche.
Microsoft Sprecher Der Sprecher ist ein Text-Sprach-Programm mit minimaler Funktionalität, der in der US-Version von Windows 2000 enthalten ist. Über Active Accessibility stellt er Bildschirmobjekte, ihre Eigenschaften und ihre räumliche Aufteilung sprachlich dar. Der Sprecher verfügt über mehrere Optionen, um ein Gerät die Bildschirmobjekte vorlesen zu lassen. Über die Stimmenoption werden Geschwindigkeit, Lautstärke und Tonhöhe der Stimme eingestellt. Über die Lesefunktion werden die eingegebenen Zeichen gewählt, die das Gerät vorlesen soll. Hierzu zählen unter anderem Löschen, Eingabe, Sonderzeichen oder Modifikationszeichen. Über Mauszeiger wird der Mauszeiger so eingestellt, dass er dem aktiven Element auf dem Bildschirm folgt. Über Ereignisse auf dem Bildschirm ankündigen kündigt das Gerät neue Fenster, Menüs oder Kontextmenüs an. Für Benutzer mit leichten Sehstörungen bietet der Sprecher minimale Funktionalitäten. Viele Benutzer mit Sehstörungen benötigen für den täglichen Gebrauch allerdings meist besondere Dienstprogramme mit einem erweiterten Funktionsumfang. Weitere Informationen zu auf Windows basierenden Bildschirmtastaturen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken. Hinweis Der Sprecher ist ein temporäres Hilfsprogramm und kann keineswegs Text-Sprach-Module anderer Hersteller mit weitaus höherer Funktionalität ersetzen.
Audiosignale für die Tastatur Die Statusanzeige gibt sofort akustische Signale ab, sobald ein Benutzer versehentlich statt der TAB- die FESTSTELLTASTE gedrückt hat. Die Statusanzeige kann auch bei Tastaturen eingesetzt werden, die nicht über Anzeigelichter der Tastatur für die NUM-, die ROLLEN- und die FESTSTELLTASTE verfügen.
996
Teil VII
Anhänge
Microsoft Bildschirmlupe Mit der Bildschirmlupe können Teilbereiche des Bildschirms vergrößert dargestellt werden. Diese Grundfunktionalität der Bildschirmlupe erleichtert Benutzern mit leichten Sehstörungen oder Benutzern, die Grafiken bearbeiten müssen, die Arbeit am Bildschirm. Der vergrößerte Bildschirmbereich wird in einem eigenen Fenster angezeigt. Der angezeigte Bereich kann nicht bearbeitet werden. Mit der Bildschirmlupe stehen Benutzern mit leichten Sehstörungen die Grundfunktionalitäten zur Verfügung. Viele Benutzer mit eingeschränkter Shekraft benötigen für den täglichen Gebrauch jedoch ein Hilfsprogramm mit höherer Funktionalität. Weitere Informationen zu auf Windows basierenden Bildschirmlupen finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Accessibility“ klicken. Hinweis Die Bildschirmlupe kann Vergrößerungsprogramme anderer Hersteller mit weitaus höherer Funktionalität nicht ersetzen.
Schriftarten Schriftarten werden über das Symbol Schriftarten in der Systemsteuerung entfernt. Wenn alle anpassbaren TrueType-Schriftarten entfernt werden, können die Benutzer mit den verbleibenden Rasterschriftarten auch die Schriftgrößen einschränken. TrueType-Schriftarten sind systemunabhängig und werden als skalierbare Konturschriftarten gespeichert, mit denen Zeichen in verschiedenen Größen erstellt werden. Rasterschriftarten werden mit einer Druckersprache erstellt, die auf Bitmapgrafiken basiert. Entfernte Schriftarten können später wieder einfach von der Festplatte neu installiert werden. Hinweis Eine Beschränkung der Schriftarten in der Systemsteuerung wirkt sich auch auf die in Anwendungen verfügbaren Schriftarten aus. Bei der Entfernung von Schriftarten sollten Sie bedenken, dass fehlende Schriftarten die Anzeige und den Druck beeinträchtigen.
Schemas für Größe und Farbe Die Größe und Farbe der meisten Bildschirmelemente, wie Fenstertext, Menüs, Einfügemarke (Caret), Mauscursor, Schriftarten und Titelleisten, können über den Eingabehilfen-Assistenten und die Systemsteuerung eingestellt werden. Auf diese Weise wird das System benutzerfreundlicher gestaltet und die Belastung für die Augen reduziert. Im Eingabehilfen-Assistenten können auch die Größe von Symbolen, Mauszeiger und Text geändert werden. Eine Änderung der Breite des Fensterrahmens ist in der Systemsteuerung möglich. Die Textgröße in WindowsMeldungen und in Eingabeaufforderungsfenstern kann durch Doppelklicken des Symbols Anzeige und anschließendes Wählen des gewünschten Schemas auf der Registerkarte Darstellung geändert werden. Anstelle der Maus kann die Fenstergröße auch mit der Tastatur oder im Eingabehilfen-Assistenten mit Ich bin blind oder kann den Text auf dem Bildschirm nicht gut erkennen geändert werden. Ebenfalls über den Eingabehilfen-Assistenten kann die Schriftgröße in Windows-Nachrichten geändert werden.
Anhang E Eingabehilfen für Personen mit Behinderungen
997
Bevor Sie die Farbeinstellungen ändern, sollten Sie Folgendes beachten: ? Für die Anzeige mehrfarbiger Einstellungen werden vermehrt
Prozessorressourcen benötigt. ? High Color verwendet über 65.000 Farben. True Color verwendet über 16 Millionen Farben. ? Die Grafikkarte bestimmt die maximale Anzahl der angezeigten Farben. ? Einstellungen eines anderen Bildschirms können in einem System mit mehreren
Bildschirmen vom Administrator geändert werden, indem sie auf WindowsDesktop auf diesen Bildschirm erweitern klicken. Auf diese Weise können die Farbeinstellungen für jeden installierten Bildschirm geändert werden.
Kontrastreiche Farbschemas Durch das Anpassen von Kontrast- und Farbschemas können Bildschirmobjekte leichter erkannt und die Belastung für die Augen reduziert werden. Die Kontrastfunktion wird allerdings nicht mehr über die Systemsteuerung aktiviert. Benutzer mit eingeschränkter Sehkraft können mit dieser integrierten und erweiterten Bibliothek den Kontrast zwischen Vorder- und Hintergrundobjekten leichter erkennen. Diese Funktion ist beispielsweise für Benutzer von Vorteil, die schwarzen Text auf grauem Hintergrund oder Text, der über ein Bild gelegt wurde, nicht erkennen können. Sobald der Kontrastmodus aktiviert wird, wird das bevorzugte Farbschema gewählt. Über das Dialogfeld Bildschirmlupe können Benutzer die Farben des vergrößerten Fensters umkehren oder den Kontrastmodus des Bildschirms aktivieren. Es kann eine Weile dauern, bis der Kontrastmodus wirksam wird.
Neue Mauszeiger Über den Eingabehilfen-Assistenten oder die Systemsteuerung können die Benutzer die neuen Mauszeiger an ihre individuellen Sehbedürfnisse anpassen. Die Sichtbarkeit der Mauszeiger kann über Eigenschaften, wie Größe, Farbe, Animation und Mausspuren, verbessert werden. Die Mauszeiger sind in den Größen Groß, Extragroß und Standard verfügbar. Die Zeigeroptionen beinhalten weiße, schwarze und invertierte Darstellung, die auf Bildschirmfarben reagiert. (Die Farbe des invertierten Zeigers wird im Kontrast zur Hintergrundfarbe geändert.)
Zusätzliche Informationen ? Weitere Informationen zu Eingabehilfen finden Sie auf der Seite für
Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „ Microsoft Accessibility“ klicken. ? Weitere Informationen zu Tastenkombinationen und Tastenkombinationen für Eingabehilfen finden Sie unter „Anhang H – Eingabehilfen“ in Microsoft Windows 98 – Die technische Referenz, Microsoft Corporation, 1998, Unterschleißheim: Microsoft Press.
998
Teil VII
Anhänge
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
999
Glossar A Abhängigkeit Der Status, in dem eine Ressource online sein muss, bevor eine zweite Ressource online geschaltet werden kann. Abhängigkeitsstruktur Eine diskrete Gruppe von Ressourcen, die über Abhängigkeitsbeziehungen miteinander verbunden sind. Alle Ressourcen einer Abhängigkeitsstruktur müssen Mitglieder einer Gruppe sein. Siehe auch: Abhängigkeit, Ressource. Abkürzungstasten EineEingabehilfevon Windows 2000. Mit dieser Funktion können Sie Befehle durch gleichzeitiges Drücken von Tastenkombinationen schnell ausführen. Abmelden Benutzer melden sich ab, wenn sie ein Netzwerk nicht mehr verwenden möchten. Nach der Abmeldung wird der Benutzername aus dem aktiven System entfernt und erst nach einer erneuten Anmeldung wieder aufgenommen. ABR (Area Border Router) Ein Router, der mit mehreren Bereichen verbunden ist. ABR-Router verwalten separate Verbindungsstatusdatenbanken für jeden Bereich. Siehe auch: LSDB. Absender Eine Threadkomponente von Systems Management Server, die ein vorhandenes Konnektivitätssystem für die Kommunikation zwischen den Standorten verwendet. Ein Absender verwaltet die Verbindung, stellt die Integrität der übertragenen Daten sicher, behebt Fehler und schließt die Verbindungen. ACE (Access Control Entry = Eintrag für die Zugriffssteuerung) Ein ACL-Eintrag mit einer Sicherheitskennung (SID) und zugewiesenen Zugriffsrechten. Einem Prozess mit einer übereinstimmenden Sicherheitskennung werden entweder Zugriffsrechte erteilt bzw. verweigert oder Überwachungsrechte erteilt. ACL (Access Control List = Zugriffssteuerungsliste) Der Teil einer Sicherheitsbeschreibung, der die Schutzmaßnahmen für ein Objekt auflistet. Der
Objekteigentümer hat eine Zugriffssteuerung auf das Objekt und kann in der ACL festlegen, ob andere auf das Objekt zugreifen können. ACLs bestehen aus Einträgen für die Zugriffssteuerung (ACE = Access Control Entry). Jede Sicherheitsbeschreibung für ein Objekt in Windows NT oder Windows 2000 enthält vier Sicherheitskomponenten. Der Ersteller (Besitzer) ist die Gruppe für die POSIX-Kompatibilität und wird der „primären Gruppe“ zugeordnet, die in den jeweiligen Benutzerobjekten im Benutzer-Manager festgelegt werden. Die freigegebene Zugriffssteuerungsliste (kurz DACL oder ACL genannt) bestimmt die Berechtigungen für das Objekt. Die Zugriffssteuerungsliste für das System (SACL) bestimmt die Überwachung. Siehe auch: Freigegebene Zugriffssteuerungsliste (DACL = Discretionary Access Control List). ACPI (Advanced Configuration and Power Interface) Eine offene Branchenspezifikation, die die Energieverwaltung für ein breites Spektrum mobiler, Desktop- und Servercomputer und Peripheriegeräte definiert. ACPI ist die Stiftung für die OnNow-Initiative, die Systemherstellern ermöglicht, Computer zu liefern, die direkt über die Tastatur eingeschaltet werden können. Dank des ACPI-Designs kann die Energieverwaltung und Plug & Play unter Windows 2000vollständig genutzt werden. Informationen zur ACPI-Kompatibilität finden Sie in der Herstellerdokumentation Ihres Computers. Siehe auch: Plug & Play. ActiveDirectory Der Verzeichnisdienst von Windows 2000 Server. Dieser Dienst speichert Informationen zu Objekten auf einem Netzwerk und stellt diese Daten Benutzern und Netzwerkadministratoren zur Verfügung. Active Directory erteilt Netzwerkbenutzern über einen einzigen Anmeldeprozess Zugriff auf alle zulässigen Ressourcen. Netzwerkadministratoren erhalten eine intuitive hierarchische Ansicht des Netzwerks und einen Administrationspunkt für alle Netzwerkobjekte. Siehe auch: Verzeichnis, Verzeichnisdienst. ActiveDirectory-Replikation Replikation, die über den Directory Replicator Service erfolgt und
1000
ActiveX
MultimasterreplikationvonVerzeichnispartitionen zwischen Domänencontrollern unterstützt. „Multimaster“ bedeutet, dass die Replikate der VerzeichnispartitionaufjedemDomänencontroller beschrieben werden können. Der Replikationsdienst kopiert die Änderungen aus einem angegebenen Replikat einer Verzeichnispartition auf alle anderen Domänencontroller, die das gleiche ReplikatderVerzeichnispartition enthalten. Siehe auch: Verzeichnispartition, Dateireplikationsdienst. ActiveX Technologien, die es Softwarekomponenten ermöglichen, miteinander in einer Netzwerkumgebung ohne Rücksicht auf die Sprache interagieren zu können, in der die Komponenten erstellt wurden. ADC (ActiveDirectory Connector) Ein Synchronisierungsagent in Windows 2000 Server, Windows 2000 Advanced Server und Windows 2000 Enterprise Server, der eine automatisierte Möglichkeit bietet, die Verzeichnisinformationen zwischen den beiden Verzeichnissen konsistent zu halten. Ohne die ADC-Softwarekomponente müssen neue Daten und Änderungen manuell in beiden Verzeichnisdiensteneingegebenwerden. ADM Eine Dateierweiterung für administrative Vorlagen. Administrative Vorlagen(ADM-Dateien) Eine ASCII-Datei, die als ADM-Datei von der Gruppenrichtlinie als Quelle zum Generieren der Einstellungen für die Benutzeroberfläche verwendet wird, die ein Administrator festlegen kann. Adresse In Systems Management Server werden Adressen verwendet, um Verbindungen zu Standorten und Standortsystemen herzustellen. Absender verwenden Adressen, um anderen Standorten Anweisungen und Daten zu senden. Adresspool Eine Gruppe von IP-Adressen in einem Bereich. Diese Adressen können anschließend von einem DHCP-Server zu DHCPClients zugeordnet werden. ADSI (Active Directory ServiceInterfaces) Ein Verzeichnisdienstmodell und COM-Schnittstellen. ADSI ermöglicht den Anwendungen unter Windows 95, Windows 98, Windows NT und Windows 2000, auf verschiedene Netzwerkverzeichnisdienste, beispielsweise Active Directory,
zuzugreifen. Dieses Modell wird als SDK (Software Development Kit) zur Verfügung gestellt. Agent Eine Anwendung, die auf einem von SNMP verwalteten Gerät ausgeführt wird. Die Agentanwendung ist das Objekt der Verwaltungsaktivitäten. Ein Computer mit SNMP-Agentsoftware wird auch als Agent bezeichnet. Aktiv/Aktiv Die Clusterkonfiguration einer Anwendung, in der die Anwendung auf allen Knotengleichzeitig ausgeführt wird. Siehe auch: Aktiv/Passiv. Aktiv/Passiv DieClusterkonfigurationeiner Anwendung, in der die Anwendung nur auf jeweils einem Knoten ausgeführt wird. Siehe auch: Aktiv/Aktiv. Aktive Partition Die Partition, von der aus der Computer gestartet wird. Die aktive Partition muss eine primäre Partition auf einer Basisfestplatte sein. Wenn Sie ausschließlich Windows 2000 verwenden, kann die aktive Partition mit der Systempartition identisch sein. Wenn Sie Windows 2000 und Windows 98 oder frühere Versionen bzw. MS-DOS verwenden, muss die aktive Partition die Autostartdateien für beide Betriebssystemeenthalten. Aktivieren Das Einschalten der Funktionsfähigkeit eines Geräts. Wenn ein Gerät in Ihrer Hardwarekonfiguration aktiviert ist, steht das Gerät zur Verfügung, falls Ihr Computer diese Hardwarekonfiguration verwendet. Aktualisieren Bei diesem Vorgang werden die am Bildschirm angezeigten Daten durch aktuelle Daten ersetzt. Aktualisierungsintervall In DNS handelt es sich bei einem Aktualisierungsintervall um ein 32-BitZeitintervall, das verstreichen muss, bevor die Zonendaten aktualisiert werden. Wenn das Aktualisierungsintervall verstrichen ist, prüft der sekundäre Server mit einem Masterserver, ob die Zonendaten weiterhin aktuell sind oder mittels Zonenübertragung aktualisiert werden müssen. Dieses Intervall wird im SOA-Ressourceneintrag für jede Zone festgelegt. Siehe auch: Ressourceneintrag, sekundärer Server, SOARessourceneintrag, Zone, Zonenübertragung. Aktualisierungsrate Die Frequenz, mit der der
Anzahl der Abschnitte
1001
Bildschirminhalt neu gezeichnet wird, um ein konstantes und flimmerfreies Bild zu gewährleisten. Der Bildbereich der meisten Bildschirme wird ungefähr 60-mal pro Sekunde wiederholt.
Windows 2000. Durch die Anschlagverzögerung werden kurze und wiederholte Anschläge ignoriert, die durch falsche Fingerbewegungen ausgelöst werden. Siehe auch: Wiederholgeschwindigkeit,Anschlaggeschwindigkeit.
Algorithmus Eine Regel oder Prozedur zum Lösen von Problemen. Die IP-Sicherheit verwendet Kryptographiealgorithmen zum Verschlüsseln von Daten.
Anschluss Beim Geräte-Manager bezieht sich ein Anschluss auf einen Verbindungspunkt in einem Computer, zu dem eine Verbindung mit Geräten hergestellt werden kann, die Daten von und zu dem Computer weiterleiten. Ein Drucker wird beispielsweise in der Regel an einen parallelen Anschluss (auch LPT-Anschluss genannt), ein Modem an einen seriellen Anschluss (auch COMAnschluss genannt) angeschlossen.
AlternativeEingabegeräte Eingabegeräte für Benutzer, die keine Standardeingabegeräte, beispielsweise keine Maus oder keine Tastatur, verwenden können. Änderungsprotokoll Siehe: Quorumprotokoll. Angehalten Der Status eines Knotens, der zwar ein aktives Mitglied des Serverclusters ist, jedoch keine Gruppen enthalten kann. In diesem Status kann ein Administrator die Verwaltung ausführen. Siehe auch: Failback, Failover, Knoten, offline. Ankündigen Bei Systems Management Server die Ankündigung der Verfügbarkeit eines Programms für Elemente einer Auflistung(Gruppe). Ankündigung Eine Benachrichtigung bei Systems Management Server, die vom Standortserver an die CAPs gesendet wird und angibt, dass ein Softwareverteilungsprogramm für Clients zur Verfügung steht. Anmelden Benutzer melden sich bei einem Netzwerk an, indem sie den Benutzernamen und das Kennwort eingeben, das sie als zugelassenen Netzwerkanwenderidentifiziert. Anrufverwaltung Eine Softwarekomponente, die eine Verbindung zwischen zwei Computern erstellt, verwaltet und beendet. Anschlaggeschwindigkeit Eine WindowsFunktion, die den Computer anweist, Anschläge zu ignorieren, die nicht einen festgelegten Zeitraum gedrückt gehalten wurden. Dadurch wird verhindert, dass versehentlich ausgeführte Tastenanschläge durchgeführt werden. Siehe auch: Anschlagverzögerung.
Anschlagverzögerung Eine Eingabehilfe von
Antwortdatei Eine Textdatei, die Sie zur automatisierten Eingabe für die unbeaufsichtigte Installation von Windows 2000 verwenden können. Diese Eingabe enthält Parameter zum Beantworten von Fragen, die vom Installationsprogramm für bestimmte Installationen benötigt werden. In einigen Fällen können Sie diese Textdatei verwenden, um Eingaben in Assistenten, beispielsweise in den Assistent zum Installieren von Active Directory, einzugeben. Mit diesem Assistenten kann Active Directory in Windows 2000 Server vom Installationsprogramm integriert werden. Die Standardantwortdatei für das Installationsprogramm heißt UNATTEND.TXT. Antwortzeit Der Zeitaufwand, der vom Anfang bis zum Ende erforderlich ist. In einer Client/Server-Umgebung wird die Antwortzeit in der Regel vom Client gemessen. Anwendungszuweisung Ein Prozess, der die Softwareinstallation (eine Erweiterung der Gruppenrichtlinie) verwendet, um Benutzergruppen Programme zuzuordnen. Die Programme werden auf dem Desktop der Benutzer angezeigt, wenn sie sich anmelden. Anzahl der Abschnitte Im Feld für die Transportsteuerung wird die Anzahl der IPX-Router angegeben, die das IPX-Paket verarbeitet haben.
1002
APIPA (Automatic Private IP Addressing)
APIPA(AutomaticPrivateIP Addressing) Eine Funktion von Windows 2000 TCP/IP, die eine eindeutige IP-Adresse aus dem Bereich von 169.254.0.1 bis 169.254.255.254 mit der Subnetzmaske 255.255.0.0 automatisch konfiguriert, wenn das TCP/IP-Protokoll für die dynamische Adressierung und eine dynamische Hostkonfiguration eingerichtet ist. AppleTalk Die Netzwerkarchitektur und die Netzwerkprotokolle von Apple Computer. Ein Netzwerk mit Macintosh-Clients und ein Computer unter Windows 2000 Server mit Services für Macintosh stellen ein AppleTalkNetzwerk dar. AppleTalk-Protokoll Netzwerkprotokolle, auf denen die AppleTalk-Netzwerkarchitektur basiert. Der AppleTalk-Protokollstapel muss auf einem Computer unter Windows 2000 Server installiert werden, damit die Macintosh-Clients eine Verbindung erhalten können. Siehe auch: AppleTalk. ARP (Address Resolution Protocol) Ein Protokoll von TCP/IP, das eingeschränkten Broadcast zum lokalen Netzwerk verwendet, um eine logisch zugeordnete IP-Adresse aufzulösen. Die IP-Adresse wird in der Software für jedes IPNetzwerkhostgerät an die jeweilige physikalische Hardware- oder MAC-Adresse übertragen. Es gibt zwei Möglichkeiten, das ARP-Protokoll über ATM zu verwenden. Für CLIP wird ARP zur Auflösung von Adressen auf ATM-Hardwareadressen verwendet. Mit ATM LAN-Emulation wird ARP verwendet, um Ethernet/802.3- oder Token Ring-Adressen auf ATM-Hardwareadressen aufzulösen. Siehe auch: MAC, TCP/IP. ARP-Cache Eine Tabelle mit IP-Adressen und den entsprechenden MAC-Adressen. Es gibt einen eigenenARP-Cache für jede Schnittstelle. AS (Autonomous System= Autonomes System) Eine Routergruppe, die Routinginformationen über ein gemeinsames Routingprotokoll austauscht. Assistent fürdie Miniinstallation Dieser Assistent wird ausgeführt, wenn ein Computer erstmals von einer duplizierten Festplatte gestartet wird. Der Assistent erfasst alle Daten, die für die neu duplizierte Festplatte benötigt werden. Assistent zumErstellen neuer Delegierungen
Ein Assistent zum Verteilen von genauen Elementen der Administratorarbeitsauslastung auf andere. Assistent zum Installieren von Active Directory Ein Tool von Windows 2000 Server, das während der Ausführung des Installationsprogramms Folgendes ermöglicht: Installation von Active Directory, Erstellen von Strukturen in einer Gesamtstruktur, Replizieren einer vorhandenen Domäne, Installation von Kerberos-Authentifizierungssoftware und Heraufstufen von Servern zu Domänencontrollern. Assistent zur Vorbereitung der Remoteinstallation (RIPREP.EXE) Eine RIS-Komponente zum Erstellen von Betriebssystembildern für die Installation auf dem RIS-Server. ATM (Asynchronous Transfer Mode = asynchroner Übertragungsmodus) Ein schnelles, verbindungsorientiertes Protokoll zum Übertragen unterschiedlicher Netzwerkverkehrstypen. Attribut (Objekt) Ein Attribut ist bei Active Directory eine einzelne Objekteigenschaft. Ein Objekt wird über die Attributwerte beschrieben. Das Schema definiert für jede Objektklasse die erforderlichen Attribute einer Instanz sowie die optionalenzusätzlichenAttribute. Attribute (Datei) Informationen, die angeben, ob eine Datei schreibgeschützt, ausgeblendet, archivierbar, komprimiert oder verschlüsselt ist, und ob der Dateiinhalt für die schnelle Dateisuche indiziert werden soll. Auf öffentlichemSchlüssel basierendes Zertifikat Ein digitaler Zugang, der als Identitätsnachweis gilt. Diese Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt. Siehe auch: CA, Kerberos. Auflistung Ressourcen eines Standorts in Systems Management Server, der von Regeln für die Mitgliedschaft definiert wird. Auflistungen werden zum Verteilen von Software, zum Anzeigen von Inventar auf Clients und für den Zugriff auf Clients für Remotetoolsitzungen verwendet.
AXFR
Auflösungsdienst DNS-Client-Anwendungsprogramme, die DNS-Namensinformationen ermitteln. Auflösungsdienste sind entweder ein kleiner Stub (eine begrenzte Gruppe mit Programmierungsroutinen für grundlegende Abfragefunktionen) oder größere Programme mit zusätzlichen Suchfunktionen für DNS-Clients, beispielsweise mit Caching. Siehe auch: Zwischenspeichern, Cacheauflösung. Auslagerung Bei diesem Prozess wird virtueller Speicher zwischen dem physikalischen Speicher und der Festplatte ausgetauscht. Auslagerung wird vorgenommen, wenn der physikalische Speicher erschöpft ist. Es werden nur Daten ausgelagert, die noch nicht durch Speicherplatz „gedeckt“ sind. Dateidaten werden beispielsweise nicht ausgelagert, weil diesen bereits im Dateisystem ein Speicherplatz zugewiesen wurde. Siehe auch: virtuellerSpeicher. Auslagerungsdatei Eine verborgene Datei auf der Festplatte, die Windows 2000 verwendet, um Teile von Programmen und Daten aufzunehmen, die nicht in den Speicher aufgenommen werden können. Die Auslagerungsdatei und der physikalische Speicher, oder auch RAM, bilden den virtuellen Speicher. Windows 2000 verschiebt Daten aus der Auslagerungsdatei bei Bedarf in den Speicher. Analog hierzu werden Daten aus dem Speicher in die Auslagerungsdatei eingefügt, um Platz für neue Daten zu schaffen. Siehe auch: RAM, virtueller Speicher. Authentifizierung Beim Netzwerkzugriff handelt es sich um den Prozess, über den das System die Anmeldedaten des Benutzers prüft. Der Benutzername und das Kennwort werden mit den Einträgen in einer autorisierten Liste verglichen. Wenn das System eine Übereinstimmung ermittelt, wird der Zugriff im Rahmen der Berechtigungen für den Benutzer erteilt. Wenn sich ein Benutzer bei einem Konto auf einem Computer unter Windows 2000 Professional anmeldet, wird die Authentifizierung vom Client ausgeführt. Wenn sich der Benutzer bei einem Konto auf einer Windows 2000 Server-Domäne anmeldet, kann die Authentifizierung von jedem Server der Domäne ausgeführt werden. Siehe auch: Server, Vertrauensstellung. Authentifizierung(IPSec) Dieser IPSec-Prozess prüft den Ursprung und die Integrität von
1003
Nachrichten, indem die Identität des jeweiligen Computers sichergestellt wird. Ohne Authentifizierung werden unbekannte Computer und deren Daten als nicht vertrauenswürdig eingestuft. IPSec enthält mehrere Authentifizierungsmethoden, um die Kompatibilität mit älteren oder nicht auf Windows basierenden Systemen und gemeinsam genutzten Computern sicherzustellen. AutomatisierteInstallation Das Ausführen einer unbeaufsichtigten Installation mit Hilfe verschiedener Methoden: Hierzu gehören Remoteinstallationsdienste,Boot-CD und Sysprep. Autorisiert Die Verwendung von Zonen durch DNS-Server, die einen DNS-Domänennamen anhand von Zonen registrieren und auflösen. Wenn ein DNS-Server für eine Zone konfiguriert wird, ist der Server für die Namen innerhalb der Zone autorisiert. DNS-Server werden anhand der Informationen der Zone ermächtigt. Siehe auch: Zone. AutorisierteWiederherstellung Bei Microsoft Windows Backup eine Wiederherstellungsoperation auf einem Windows 2000-Domänencontroller. Die Objekte im wiederhergestellten Verzeichnis werden als autorisierte Objekte behandelt, die (durch Replikation) alle vorhandenen Kopien ersetzen. Die autorisierte Wiederherstellung ist nur bei replizierten Systemstatusdaten, beispielsweise bei Active Directory-Daten und Daten des Dateireplikationsdienstes, anwendbar. Das Dienstprogramm NTDSUTIL.EXE führt die autorisierte Wiederherstellungaus. Siehe auch: nicht autorisierende Wiederherstellung, Systemstatus. Autorisierung BeiRAS-Verbindungenoder Verbindungen bei Routing für Wählen bei Bedarf handelt es sich um die Überprüfung, ob der Verbindungsaufbau zulässig ist. Die Autorisierung erfolgt nach der erfolgreichen Authentifizierung. AXFR Ein von allen DNS-Servern unterstützter Standardabfragetyp. Dieser Typ wird bei Zonenänderungen verwendet, um die Zonendaten zu aktualisieren und zu synchronisieren. Bei DNSAbfragen mit AXFR wird die gesamte Zone als Antwort übertragen. Siehe auch: IXFR, Zone, Zonenübertragung.
1004
Backbone
B Backbone Ein allen OSPF-Bereichen gemeinsamer Bereich, der als Transitbereich für den bereichsinternen Verkehr und für das Verteilen von Routinginformationen zwischen Bereichen verwendet wird. Ein Backbone muss fortlaufend sein. Siehe auch: OSPF. Bandbreite InderKommunikationsterminologie der Unterschied zwischen den höchsten und niedrigsten Frequenzen eines Bereichs. Eine Telefonleitung verfügt beispielsweise über eine Bandbreite von 3000 Hz, die sich aus der Differenz der niedrigsten (300 Hz) und höchsten (3300 Hz) Frequenz ergibt. Bei Computernetzwerken zeugt eine hohe Bandbreite von schnellerer Datenübertragung und wird in Bit pro Sekunde (bps) ausgedrückt. BAP (Bandwidth Allocation Protocol) Ein PPP-Steuerungsprotokoll, das bei einer Multiprocessingverbindung verwendet wird, um Verbindungen dynamisch hinzufügen und entfernen zu können. Basisdatenträger Ein Datenträger auf einer Basisfestplatte. Hierzu gehören primäre Partitionen und logische Laufwerke innerhalb der erweiterten Partitionen sowie Datenträger, Stripesets, Spiegel oder RAID-5-Gruppen, die unter Windows NT bisVersion 4.0 erstellt wurden. Es können nur Basisfestplatten Basisdatenträger enthalten. Basisdatenträger und dynamische Datenträger können nicht auf dem gleichen Datenträger vorhanden sein. Basisfestplatte Ein physikalischer Datenträger mit primären oder erweiterten Partitionen und logischen Laufwerken, die von Windows 2000 und allen Versionen von Windows NT verwendet werden. Basisfestplatten können außerdem Datenträger, Stripesets, Spiegel oder RAID-5Gruppen enthalten, die unter Windows NT bis Version 4.0 erstellt wurden. Wenn ein kompatibles Dateiformat verwendet wird, kann auf Basisfestplatten unter MS-DOS, Windows 95, Windows 98 und allen Versionen von Windows NT zugegriffen werden.
BedarfsgesteuerteInstallation Über diese Installationsoption kann Windows 2000kompatible Software neue Funktionen installieren, wenn diese vom Benutzer benötigt werden. Es ist in diesem Fall nicht erforderlich, alle Funktionen bei der ersten Installation einzurichten. BehindertenfreundlicheEingabehilfen Add-On-Software und -Hardware, die behinderte Benutzer bei der Arbeit am Computer unterstützt. Beispiele sind Lesehilfen für den Bildschirm. Bei BedarfherzustellendeVerbindungen Eine leitungsvermittelte Verbindung in einem Weitbereichsnetzwerk, die in der Regel eine WAN-Verbindung verwendet. Diese Verbindung wird eingeleitet, wenn Daten weitergeleitet werden müssen. Bei Bedarf herzustellende Wählverbindungen sind in der Regel beendet, wenn kein Verkehr vorliegt. BeidseitigeVertrauensstellung EineVerknüpfung zwischen Domänen, bei der jede Domäne den Benutzerkonten der anderen Domäne vertraut, um deren Ressourcen zu nutzen. Die Benutzer können sich auf den Computern beider Domänen bei der Domäne anmelden, die ihr Konto enthält. Siehe auch: Vertrauensstellung. Benutzer Eine Personengruppe, die alle Benutzer umfasst, die für den Zugriff auf einen Server berechtigt sind. Wenn ein Macintosh-Benutzer Berechtigungen an alle vergibt, werden diese Berechtigungen den Gästen und den Benutzern der Gruppe erteilt. Siehe auch: Gast, Kategorie „Jeder“. BenutzerdefinierteSubnetzmaske Eine Subnetzmaske, die nicht auf den Internetadressklassen basiert. Bei der Einrichtung von Subnetzen werden in der Regel benutzerdefinierte Subnetzmasken verwendet. Benutzerkennwort Ein Kennwort, das im jeweiligen Benutzerkonto gespeichert ist. Jeder Benutzer verfügt über ein eindeutiges Kennwort, das bei der Anmeldung oder bei Serverzugriff eingegeben werden muss. Benutzerkontenobjekte Objekte zum Kennzeichnen eines bestimmten Benutzerkontos unter Windows NT Server 4.0 oder Windows 2000 Server.
Boot-CD
Benutzername Ein eindeutiger Namen für ein Benutzerkonto von Windows 2000. Der Benutzername eines Kontos muss im Hinblick auf die anderen Gruppen- und Benutzernamen innerhalb der eigenen Domäne oder Arbeitsgruppeeindeutig sein. Benutzerprofil Eine Datei mit Konfigurationsinformationen für einen bestimmten Benutzer. Hierzu gehören Desktopeinstellungen, dauerhafte Netzwerkverbindungen und Anwendungseinstellungen. Die Einstellungen eines Benutzers werdenineinemindividuellenBenutzerprofil gespeichert, das von Windows NT und Windows 2000 für die Konfiguration des Desktops bei der Anmeldung verwendet wird. Benutzerrechte Anmeldeinformationen, die vom Key Distribution Center (KDC) an den Benutzer während der Anmeldung ausgegeben werden. Der Benutzer muss dem KDC das TGT („ticketgranting ticket“) zur Verfügung stellen, wenn Diensttickets für eine Sitzung angefordert werden. Da ein TGT in der Regel für die Dauer einer Sitzung des Benutzers gültig ist, wird auch von einem Benutzerticket gesprochen. Siehe auch: Dienstticket, KDC, Kerberos. Benutzerticket SieheBenutzerrechte. Berechtigung Eine einem Objekt zugewiesene Regel, die festlegt, welche Benutzer auf welche Art und Weise auf das Objekt zugreifen können. In Windows 2000 können Objekte beispielsweise Dateien, Ordner, Freigaben, Drucker und Active Directory-Objekte sein. Services für Macintosh konvertiert Berechtigungen und MacintoshZugriffsprivilegien, so dass in einem Ordner festgelegte Berechtigungen für Macintosh-Benutzer und die von Macintosh-Benutzern festgelegten Zugriffsprivilegien für PC-Benutzerunter Windows 2000 Server gelten. Siehe auch: Objekt. Bereich Eine Gruppe angrenzender Netzwerke innerhalb eines autonomen OSPF-Systems. OSPF-Bereiche verringern die Größe der Verbindungsstatusdatenbank und ermöglichen das Zusammenfassen von Routen. Siehe auch: AS, LSDB. Bereitstellungspunkte Neue Systemobjekte im internen Namespace von Windows 2000, die Speichermedien dauerhaft und stabil darstellen.
1005
Beweglichkeitseinschränkung Personen, deren Beweglichkeit eingeschränkt ist, können bestimmte manuelle Tasks, beispielsweise das Bedienen einer Maus oder das gleichzeitige Drücken von zwei Tasten, nicht ausführen. Binär Ein Zahlensystem zur Basis 2, in dem Werte als Kombinationen der beiden Ziffern 0 und 1 ausgedrückt werden. Bindery Eine Datenbank in Novell NetWare 2.x und 3.x, die organisatorische Daten und Sicherheitsinformationen zu Benutzern und Gruppen enthält. Bindung Ein Prozess, bei dem Softwarekomponenten und Schichten miteinander verknüpft werden. Bei der Installation einer Netzwerkkomponente werden die Bindungen und Abhängigkeiten für die Komponenten eingerichtet. Durch die Bindung können die Komponenten miteinanderkommunizieren. Bit Die kleinste Dateneinheit, die von einem Computer verarbeitet werden kann. Ein Bit nimmt im Binärsystem entweder den Wert 1 oder 0 ein, bei logischen Operationen einen der Werte „wahr“ oder „falsch“. Erst durch die Zusammenfassung mehrerer Bit zu einem Byte, wobei 8 Bit ein Byte bilden, können vielfältige Arten von Informationen übermittelt werden. Ein Bit wird auch binäre Ziffer genannt. Bit pro Sekunde (bps = Bits Per Second) Ein Maß für die Geschwindigkeit, mit der ein Gerät – beispielsweiseein Modem – Daten übertragen kann. Ein Zeichen besteht aus 8 Bit. Bei der asynchronen Kommunikation wird jedem Zeichen ein Startbit vorangestellt und ein Stoppbit nachgestellt. Demzufolge werden für jedes Zeichen 10 Bit übertragen. Wenn ein Modem mit einer Geschwindigkeit von 2400 bps kommuniziert, werden pro Sekunde 240 Zeichen gesendet. Boot-CD Eine automatisierte Installationsmethode, die das Installationsprogramm von einer CD-ROM ausführt. Dieses Verfahren eignet sich speziell für Computer an entfernten Standorten ohne ausgebildetes IT-Personal. Siehe auch: automatisierteInstallation.
1006
Bootdiskette für die Remoteinstallation (RBFG.EXE)
Bootdiskettefür die Remoteinstallation (RBFG.EXE) Eine RIS-Komponente zum Erstellen einer Bootdiskette für die Installation RIS-basierter Betriebssysteme auf bestimmten Clientcomputern. Booten Das Starten oder Herunterfahren eines Computers. Nach dem ersten Starten oder Herunterfahren des Computers wird die Software ausgeführt, die das Betriebssystem lädt und startet. BOOTP (Bootstrap Protocol) Regeln oder Standards für die gegenseitige Computerkommunikation, die hauptsächlich auf TCP/IP-Netzwerken zum Konfigurieren von Arbeitsstationen ohne Datenträger ausgeführt werden. Die RFCDokumente 951 und 1542 definieren dieses Protokoll. DHCP ist ein Startkonfigurationsprotokoll, das dieses Protokoll verwendet. Bridgeheadserver Bridgeheadserverempfangen und leiten E-Mail-Verkehr an die beiden Partner eines Verbindungsabkommens weiter. Die Funktionen eines Bridgeheadservers sind mit denjenigen eines Gateway vergleichbar. Broadcast Eine Adresse für alle Hosts auf einem Netzwerk. Siehe auch: Broadcast-Netzwerk. Broadcast-Netzwerk Ein Netzwerk, das mehrere zugehörige Router unterstützt und eine einzelne physikalische Meldung an alle zugehörigen Router adressieren (senden) kann. Ethernet ist ein Beispiel für ein Broadcast-Netzwerk. Browser Ein Clienttool für die Navigation und den Zugriff auf Informationen im Internet oder Intranet. Bei Windows-Netzwerken kann „Browser“ auch den Browserdienst für Computer bezeichnen. Dieser Dienst verwaltet eine aktuelle Liste der Computer auf einem Netzwerk oder Bestandteil eines Netzwerks und zeigt anderen Anwendungen die Auflistung auf Anforderung an. Wenn ein Benutzer versucht, eine Verbindung zu einer Ressource einer Domäne herzustellen, wird beim Browser der Domäne eine Liste der verfügbaren Ressourcen angefordert. Bus Eine Kommunikationsleitung für die Datenübertragung zwischen den Komponenten eines Computersystems. Ein Bus ist in erster Linie eine Datenautobahn, über die verschiedene Bestandteile des Systems Daten gemeinsam nutzen können.
BUS (Broadcastand Unknown Server) Ein Multicastdienst auf einem emulierten lokalen Netzwerk (ELAN), das Broadcast-, Multicastund ersten Unicastdatenverkehr weiterleitet, der von einem LAN-Emulationsclient gesendet wurde. Siehe auch: ELAN.
C CA (Certification Authority = Zertifizierungsstelle) Eine für die Einrichtung und die Belegung der Authentizität von öffentlichen Schlüsseln für Benutzer (Endentitäten) oder andere Zertifizierungsstellen verantwortliche Entität. Zu den AktivitäteneinerZertifizierungsstellegehören beispielsweise das Binden von öffentlichen Schlüsseln an Unterscheidungsnamen mittels signierter Zertifikate, das Verwalten der Seriennummern für Zertifikate sowie das Sperren vonZertifikaten. Siehe auch: Zertifikat, öffentlicher Schlüssel. Cache Bei DNS und WINS ein lokaler Datenspeicher für Ressourceneinträge der zuletzt aufgelösten Namen von Remotehosts. Der Cache wird in der Regel dynamisch aufgebaut, während der Computer Namen abfragt und auflöst. Mit Hilfe des Cache wird der Zeitaufwand zum Auflösen von abgefragten Namen optimiert. Siehe auch: Cachedatei, Namensdienst, Ressourceneintrag. Cacheauflösung EinclientseitigerDNS-Namensauflösungsdienst, der das Zwischenspeichern der letzten DNS-Domänennamensdaten ausführt. Der Cacheauflösungsdienst bietet systemweiten Zugriff auf DNS-unterstützende Programme für Ressourceneinträge, die von DNS-Servern während einer Verarbeitung von Namensabfragen eingegangen sind. Die im Cache abgelegten Daten stehen für einen beschränkten Zeitraum im Rahmen der aktiven Gültigkeitsdauer (TTL) zur Verfügung. Sie können den TTL-Wert entweder individuellfür jeden Ressourceneintrag setzen. Andernfalls wird die minimale Gültigkeitsdauer des SOA-Ressourceneintrags für die Zone als Standard verwendet. Siehe auch: Auflösungsdienst, Cache, Gültigkeitsdauer, Gültigkeitsintervall,minimaleGültigkeitsdauer, Ressourceneintrag, Zwischenspeichern.
Clientzugriffspunkt
Cachedatei Eine Datei, die von einem DNSServer verwendet wird, um den Namenscache zu laden, bevor der Dienst gestartet wird. Diese Datei enthält Hinweise auf das Stammverzeichnis, weil die Ressourceneinträge dieser Datei vom DNS-Dienst verwendet werden, um Stammserver zu ermitteln, die Empfehlungen zu Remotenamen für autorisierte Server enthalten. Bei Windows DNS-Servern befindet sich die Datei Cache.dns imVerzeichnis %Systemroot%\System32\Dns. Siehe auch: autorisiert, Cache, SystemRoot. CAPI (CryptoAPI) Eine Schnittstelle für die Anwendungsprogrammierung (API) von Windows 2000. Die CryptoAPI enthält Funktionen, die Anwendungen durch den Schutz privater Schlüssel ermöglicht, Daten flexibel zu verschlüsseln oder digital zu signieren. Die eigentlichen kryptographischenOperationen werden von unabhängigen Modulen, den Kryptographiedienstanbietern (CSPs), ausgeführt. Siehe auch: CSP, privater Schlüssel. CGI (Common Gateway Interface) Eine serverseitige Schnittstelle für die Einleitung von Softwarediensten. Eine Schnittstellengruppe, die beschreibt, wie ein Webserver mit der Software auf dem gleichen Computer kommuniziert. Jede Software kann ein CGI-Programm sein, wenn Eingabe und Ausgabe nach dem CGI-Standard ausführt werden. CHAP (Challenge Handshake Authentication Protocol) Ein Authentifizierungsprotokoll auf AbfrageAntwortbasis für PPP-Verbindungen, die in RFC 1994 dokumentiert werden. CHAP verwendet das einseitige MD5-Verschlüsselungsschema, um die Antwort über einen Hashwert zu berechnen. Chiffrieren Eine Methode zum Bilden einer verborgenen Nachricht. Chiffrieren wird verwendet, um einen lesbaren Klartext in kryptischen bzw. verborgenen chiffrierten Text umzuwandeln. Der chiffrierte Text kann nur von jemandem in den ursprünglichen Klartext umgewandelt werden, der den entsprechenden Schlüssel besitzt. Siehe auch: chiffrierter Text, Klartext, Kryptographie. Chiffrierter Text Text, der mit einem Verschlüsselungsschlüssel verschlüsselt wurde. Chiffrierter Text ergibt keinerlei Sinn, wenn kein
1007
entsprechender Schlüssel zum dechiffrieren vorhanden ist. Siehe auch: Entschlüsselung, Klartext, Verschlüsselung, Verschlüsselungsschlüssel. CIDR(Classless Interdomain Routing) Eine Methode für die Zuweisung öffentlicher IPAdressen, die nicht auf den ursprünglichen Internetadressklassen basiert. CIDR wurde entwickelt, damit nicht zu viele öffentliche IPAdressen vergeben werden müssen und um die Größe von Internetroutingtabellen zu minimieren. CIFS (Common Internet File System) Ein Protokoll und eine entsprechende API, die von Anwendungsprogrammen für die Anforderung höherer Anwendungsdienste verwendet werden. CIFS war früher unter dem Namen SMB (Server Message Block) bekannt. Client Computer oder Programme die eine Verbindung zu anderen Computern oder Programmen herstellen bzw. auf anderen Computern oder Programmen Abfragen ausführen. Siehe auch: Server. Client Service für NetWare Ein Dienst von Windows 2000 Professional, über den Clientcomputer Direktverbindungenzu Ressourcen auf Computern unter der Serversoftware NetWare 2.x, 3.x, 4.x oder 5.x herstellenkönnen. Clientanforderung Eine Dienstanforderung von einem Clientcomputer an einen Servercomputer oder, beim Netzwerklastenausgleich, an einen Computercluster. Der Netzwerklastenausgleich leitet jede Clientanforderung an einen bestimmten Host innerhalb des Clusters entsprechend der Richtlinie für den Lastenausgleich des Systemadministrators. Siehe auch: Client, Cluster, Host, Server. ClientseitigeErweiterungen Gruppenrichtlinienko mponenten, die in bestimmten Situationen für die Implementierung der Gruppenrichtlinie auf dem Clientcomputer verantwortlich sind. Clientzugriffspunkt Ein Standortsystem Systems Management Server, das freigegebene Verzeichnisse und Dateien enthält, die einen gemeinsamen Kommunikationspunkt zwischen dem Standortserver und Clientcomputern erstellen.
1008
ClonePrincipal
ClonePrincipal Ein Tool für die inkrementelle Migration von Benutzern auf eine Windows 2000Umgebung, bei der die vorhandene Windows NTProduktionsumgebung nicht beeinträchtigt wird. Cluster Eine Gruppe von Computern, die zusammen einen Dienst zur Verfügung stellen. Der Einsatz eines Clusters erhöht die Verfügbarkeit des Diensts und die Skalierbarkeit des Betriebssystems, das den Dienst zur Verfügung stellt. Der Netzwerklastenausgleich enthält eine Softwarelösung für das Clustern mehrerer Computer unter Windows 2000 Advanced Server, bei der die Netzwerkdienste über das Internet und über private Intranets zur Verfügung gestellt werden. Siehe auch: Verfügbarkeit, Skalierbarkeit. CLUSTER.EXE Eine Anwendung, die anstelle der Clusterverwaltung über die Eingabeaufforderung von Windows 2000 verwendet werden kann. CLUSTER.EXE kann von Befehlsskripts ausgeführt werden, um zahlreiche Tasks für die Clusterverwaltung zu automatisieren. Siehe auch: Clusterverwaltung. Clusteraktiv Die Klassifizierung von Anwendungen oder Diensten, die auf einem Serverclusterknoten ausgeführt und als Clusterressource verwaltet werden und für die Interaktion mit der Umgebung des Serverclusters konzipiert sind. ClusteraktiveAnwendung Anwendungen oder Dienste, die auf einem Serverclusterknoten ausgeführt und als Clusterressource verwaltet werden. Clusteraktive Anwendungen verwenden die Cluster-API, um Statusangaben und Benachrichtigungen vom Servercluster zu empfangen. Siehe auch: Cluster-API, clusterinaktive Anwendung, Knoten. Cluster-API Eine Auflistung von Funktionen, die von der Clustersoftware implementiert und von einer clusteraktiven Client- oder Serveranwendung, einer Anwendung für die Clusterverwaltung oder einer Ressourcen-DLL verwendet werden. Die Cluster-API verwaltet den Cluster, die Clusterobjekte und die Clusterdatenbank. Siehe auch: Cluster, clusteraktive Anwendung, DLL, Knoten, Ressource, Ressourcen-DLL. Clusterdienst CLUSSVC.EXE, die primäre
ausführbare Datei der Windows ClusteringKomponente zum Erstellen eines Serverclusters, steuert alle Aspekte der Operation und verwaltet die Clusterdatenbank. Jeder Knoten eines Serverclusters startet eine Instanz des Clusterdiensts. ClusterinaktiveAnwendung Eine Anwendung in einem Servercluster, die auf einem Knoten ausgeführt und als Clusterressource verwaltet werden kann. Diese Anwendung unterstützt nicht die Cluster-API und verfügt daher über keine Kenntnisse von ihrer Umgebung. Clusterinaktive Anwendungen funktionieren immer gleich. Es spielt keine Rolle, ob diese Anwendungen auf einem Knoten in einem Servercluster oder auf einem nicht geclusterten System ausgeführt werden. Siehe auch: clusteraktive Anwendung, Knoten. Clusterverwaltung EineAnwendung (CLUADMIN.EXE) zum Konfigurieren eines Clusters und der zugehörigen Knoten, Gruppen und Ressourcen. Die Clusterverwaltung kann auf jedem Mitglied der vertrauenswürdigen Domäne ausgeführt werden, und zwar auch dann, wenn der Computer kein Clusterknoten ist. Siehe auch: Cluster, Erweiterungs-DLL für die Clusterverwaltung, CLUSTER.EXE, Knoten, Ressource. Codesignatur Das digitale Signieren von Softwarecode, um die Integrität und den Ursprungsicherzustellen. COM (Component Object Model) Ein objektbasiertes Programmierungsmodell, das die Softwareinteroperabilität fördert. COM ermöglicht, dass mehrere Anwendungen oder Komponenten auch dann miteinander kooperieren können, wenn sie von verschiedenen Anbietern, in unterschiedlichen Entwicklungsperioden und in anderen Programmiersprachen geschrieben wurden, bzw. wenn sie auf Computern unter verschiedenen Betriebssystemen ausgeführt werden. Die COMTechnologie ist das Grundgerüst, auf dem weiterführende Technologien aufbauen. Microsoft Object Linking & Embedding (OLE) und ActiveX basieren auf COM. Computerkontenobjekte Objekte für die Identifikation eines bestimmten Computerkontos unter Windows NT Server 4.0 oder Windows 2000 Server.
DCOM (Distributed Component Object Model)
Computername Ein eindeutiger Name, der aus bis zu 15 Großbuchstaben besteht und einen Computer im Netzwerk bezeichnet. Der Name kann nicht mit einem anderen Computer- oder Domänennamen im Netzwerk identisch sein. Containerobjekt Ein Objekt, das andere Objekte logisch enthalten kann. Ein Ordner ist beispielsweise ein Containerobjekt. Siehe auch: NichtContainerobjekt,Objekt. CRL (Certificate Revocation List = Zertifikatssperrliste) Ein Dokument, das von einer Zertifizierungsstelle verwaltet und veröffentlicht wird. Dieses Dokument enthält Zertifikate, die gesperrt wurden. Die CRL wird mit dem privaten Schlüssel der CA signiert, um die Integrität zu gewährleisten. Siehe auch: Zertifikat, CA. Crypto-Beschleunigerboard Ein Hardwaregerät, das kryptographische Operationen beschleunigt, indem diese einem speziellen Prozessor auf der Platine zugewiesen werden. CSP (Cryptographic Service Provider= Kryptographiedienstanbieter) Ein unabhängiges Softwaremodul, das Kryptographieoperationen ausführt, beispielsweise das Austauschen geheimer Schlüssel, die digitale Datensignatur und die Authentifizierung von öffentlichen Schlüsseln. Alle Dienste oder Anwendungen unter Windows 2000 können Kryptographieoperationen von einem CSP anfordern. Siehe auch: CAPI. CTL (Certificate Trust List = Zertifikatsvertrauensliste) Eine signierte Liste der Stammzertifizierungsstellen-Zertifikate, die für den Administrator für bestimmte Zwecke, beispielsweise für die Clientauthentifizierung oder die sichere E-Mail-Übertragung, von Bedeutung sind. Siehe auch: Zertifikat, CA, Stammzertifikat, Stammzertifizierungsstelle.
D Darstellungsoptionen EineWindows-Funktion, die anstelle von akustischen Signalen optische Signale, beispielsweise ein Blinken der Titelleiste, ausgibt.
1009
Datagramm Ein unbestätigtes Datenpaket, das an ein anderes Netzwerkziel gesendet wird. Bei dem Ziel kann es sich um ein anderes Gerät, das auf dem lokalen Netzwerk (LAN) direkt verfügbar ist, oder um ein Remoteziel handeln, das über ein Paketaustauschnetzwerk zugestellt wird. Dateireplikationsdienst Ein Dienst, der von DFS zum Synchronisieren von Daten zwischen zugeordneten Replikaten sowie von Active DirectoryStandorten und -Diensten zum Replizieren von topologischen und globalen Katalogdaten der Domänencontroller verwendet wird. Dateiserver Ein Server für den unternehmensweiten Zugriff auf Dateien, Programme und Anwendungen. Dateisystem Bei einem Betriebssystem handelt es sich um die Gesamtstruktur, in der Dateien benannt, gespeichert und organisiert werden. Beispiele für Dateisysteme sind NTFS, FAT und FAT32. Datenträger 1. Ein physikalischer Datenspeicher, der an einen Computer angeschlossen ist. Siehe auch: Basisfestplatte, dynamische Festplatte. 2. Der Bestandteil einer physikalischen Festplatte sein, der als separater physikalischer Datenträger fungiert. Im Dialogfeld Arbeitsplatz und im Windows-Explorer werden Datenträger als lokale Datenträger durch Laufwerksbuchstaben, beispielsweise C: oder D:, gekennzeichnet. Datenträgerkontingent Der Speicherplatz, der einem Benutzer maximal zur Verfügung steht. Datenträgersatz Eine Kombination aus Partitionen auf einem physikalischen Datenträger, die als ein logisches Laufwerk dargestellt wird. Siehe auch: Fehlertoleranz, Stripeset. DCOM (Distributed Component Object Model) Diese COM-Spezifikationdefiniert, wie Komponenten über Windows-basierte Netzwerke miteinander kommunizieren. Mit dem DCOM-Konfigurationstool können Sie Client/Server-Anwendungen in mehrere Computer integrieren. DCOM kann außerdem verwendet werden, um stabile Webbrowseranwendungen zu integrieren. Siehe auch: DCOM-Konfigurationstool.
1010
DCOM-Konfigurationstool
DCOM-Konfigurationstool Ein Tool von Windows NT Server, mit dem 32-Bit-Anwendungen für die DCOM-Kommunikation über das Netzwerk konfiguriert werden können. Siehe auch: DCOM. Deaktivieren Die Ausschaltung der Funktionsfähigkeit eines Geräts. Wenn beispielsweise ein Gerät im Hardwareprofil deaktiviert wird, kann das Gerät nicht verwendet werden. Die Ressourcen des Geräts sind dann von ihren Aufgaben entbunden. Defragmentierung Bei diesem Prozess werden die Bestandteile einer Datei auf fortlaufenden Sektoren der Festplatte neu geschrieben, um die Zugriffsgeschwindigkeit zu erhöhen. Wenn Dateien aktualisiert werden, speichert der Computer diese Aktualisierungen in der Regel auf den größten fortlaufenden Speicherplatzder Festplatte. Dieser befindet sich häufig auf einem anderen Sektor als die weiteren Bestandteile der Datei. Wenn Dateien auf diese Weise fragmentiert werden, muss der Computer beim Öffnen der Datei die Festplatte jedes Malnach den einzelnen Bestandteilen der Datei durchsuchen, wodurch die Antwortzeit beeinträchtigt wird. In Active Directory ordnet die Defragmentierung an, wie die Daten in die Datei der Verzeichnisdatenbank geschrieben werden müssen, um die Datei zu komprimieren. Siehe auch: Fragmentierung. Delegierung Die Fähigkeit, die Zuständigkeit der Verwaltung und Administration eines Namespacebereichs anderen Benutzern, Gruppen oder Organisationen zu übertragen. Bei DNS ein Namensdienstdatensatz der übergeordneten Zone, in dem der Namensserver für die delegierte Zone eingetragen ist. Siehe auch: Vererbung, Überordnen. Desktop Der Bildschirmbereich, auf dem Fenster, Symbole, Menüs und Dialogfelder angezeigt werden. DFS (Distributed File System) Ein Dienst von Windows 2000, der aus Software auf Netzwerkserver und Clients besteht, die freigegebene Ordner auf verschiedenen Dateiservern zu einem Namespace transparent verknüpft, um den Lastenausgleich und die Datenverfügbarkeit zu optimieren. DFS-Stamm EinSMB-Verzeichnis im obersten
Bereich der DFS-Topologie, das als Ausgangsbasis für die Verknüpfungen und freigegebenen Dateien des DFS-Namespace verwendet wird. Ein DFS-Stamm kann für domänenbasierte Operationen auf Domänenebene bzw. für eigenständige Operationen auf Serverebene definiert werden. Domänenbasiertes DFS kann mehrere Stämme in der Domäne, jedoch nur einen Stamm pro Server haben. DFS-Topologie Die logische Gesamthierarchie eines verteilten Dateisystems mit Elementen, die in der administrativen DFS-Konsoleangezeigt werden. Beispiele sind Stämme, Verknüpfungen, freigegebene Ordner und Replikatgruppen. Dieser Begriff ist nicht mit dem DFS-Namespace zu verwechseln, bei dem es sich um die logische Ansicht der dem Benutzer angezeigten freigegebenen Ressourcen handelt. DHCP (Dynamic Host Configuration Protocol) Ein Netzwerkprotokoll für die sichere, zuverlässige und einfache TCP/IP-Netzwerkkonfiguration, das eine dynamische Konfiguration von IPAdressen für Computer bietet. DHCP stellt sicher, dass keine Adressenkonflikte auftreten und sorgt dafür, dass IP-Adressen über die zentralisierte Verwaltung der Adressenzuteilung weiterhin verwendet werden können. DHCP-Dienst Mit Hilfe dieses Diensts können Computer als DHCP-Server fungieren und DHCPkompatible Clientcomputer auf einem Netzwerk konfigurieren. DHCP wird auf einem Servercomputer ausgeführt und ermöglicht die automatische, zentralisierte Verwaltung von IP-Adressen und anderen TCP/IP-Konfigurationseinstellungen für die Clientcomputer eines Netzwerks. DHCP-Manager Das primäre Tool zum Verwalten von DHCP-Servern. Der DHCP-Manager ist ein Tool der Microsoft Management Console (MMC), das nach der Installation des DHCP-Diensts in das Menü Verwaltung aufgenommen wird. Dialogfeld Ein Fenster, das Informationen enthält, die vom Benutzer geändert werden können oder bestätigt werden müssen. Viele Dialogfelder haben Auswahloptionen, die festgelegt werden müssen, bevor Windows NT einen Befehl ausführen kann. Dienstname Der Name, unter dem ein Anschluss bekannt ist.
Domänenname
Dienstticket Anmeldeinformationen,dieein Client einem Dienst im Kerberos-Authentifizierungsprotokoll zur Verfügung stellt. Siehe auch: Kerberos, KDC. DigitalesZertifikat Siehe: Zertifikat. Distributionsordner Der Ordner auf dem Windows 2000-Verteilungsserver, in den die Installationsdateienabgelegtwerden. DLL(Dynamic-LinkLibrary) Eine Funktion der Betriebssysteme von Microsoft Windows und OS/2. Durch DLLs können ausführbare Routinen, die allgemein eine bestimmte Funktion oder Funktionsgruppe ausführen, als eigene Dateien mit der Erweiterung DLL gespeichert und geladen werden, wenn das Programm die jeweiligen Funktionen aufruft. DNS(DomainNameSystem) Ein hierarchisches Namenssystem für die Ermittlung von Domänen namen im Internet und bei privaten TCP/IP-Netzwerken. DNS enthält einen Dienst zum Zuordnen von DNS-Domänennamen zu IP-Adressen (und umgekehrt). Auf diese Weise können Benutzer, Computer und Anwendungen DNS nach Remotesystemen über die Angabe von vollqualifizierten Domänennamen statt über IP-Adressen abfragen. Siehe auch: Domäne, Ping. DNS-Server Ein Computer, der DNS-Serverprogramme ausführt, die unter anderem Namezu-IP-Adresse-Zuordnungen, IP-Adresse-zuName-Zuordnungen und Informationen zur Domänenstruktur enthalten. DNS-Server versuchen außerdem, Clientabfragen aufzulösen. DNS-Suffix Ein optionaler Name für übergeordnete Domänen, der an das Ende eines relativen Domänennamens für eine Namensabfrage oder einen Hostlookup gesetzt werden kann. Das DNSSuffix kann für einen alternativen vollqualifizierten DNS-Domänennamen für den zweiten Versuch einer Suche verwendet werden. Domäne Eine Gruppe von Netzwerkcomputern unter Windows NT und Windows 2000, die eine gemeinsame SAM-Datenbank verwenden. Ein Benutzer mit einem Konto in einer bestimmten Domäne kann sich von einem Computer in der Domäne bei seinem Konto anmelden. Eine Domäne ist eine Sicherheitsumgrenzung eines Windows NT-Computernetzwerks. Eine Domäne
1011
bezieht sich bei DNS auf eine Teilstruktur unter einem Knoten der DNS-Struktur. Domänenaktualisierung Das Ersetzen eines älteren Betriebssystems auf dem Computer einer Domäne durch eine aktuelle Version. DomänenbasiertesDFS Eine DFS-Implementierung, die die Konfigurationsinformationen in Active Directory speichert. Da diese Informationen auf jedem Domänencontroller der Domäne zur Verfügung stehen, bietet domänenbasiertes DFS eine hohe Verfügbarkeit für die verteilten Dateisysteme der Domäne. Ein domänenbasierter DFS-Stamm hat folgende Eigenschaften: Der Stamm muss sich auf einem Mitgliedsserver der Domäne befinden, und die Topologie muss automatisch dem Active Directory zugänglich gemacht werden. Außerdem kann der Stamm freigegebene Ordner auf der Stammebene besitzen und muss Stamm- und Dateireplikation über FRS unterstützen. Domänencontroller Der Server unter Windows NT Server oder in einer Windows 2000 Server-Domäne, der die Domänenanmeldungen authentifiziert und die Sicherheitsrichtlinie und die Masterdatenbank für eine Domäne verwaltet. Server und Domänencontroller können die Benutzeranmeldungprüfen.Kennwortänderungen können jedoch nur über den Domänencontroller vorgenommen werden. Domänenkonsolidierung Das Zusammenführen mehrerer Domänen zu einer größeren Domäne. Domänenmigration Das Verschieben von Konten, Ressourcen und den zugewiesenen Sicherheitsobjekten von einer Domänenstruktur zu einer anderen. Domänenname In Windows 2000 und Active Directory der Name, der von einem Administrator für eine Auflistung der vernetzten Computer vergeben wird, die ein gemeinsames Verzeichnis verwenden. Bei DNS sind Domänennamen bestimmte Knotennamen in der DNS-Namespacestruktur. DNS-Domänennamen verwenden Knotennamen, so genannte „Spezifikationen“, die durch Punkte getrennt werden, die die jeweilige Knotenebene im Namespace angeben. Siehe auch: DNS, Namespace.
1012
Domänennamespace
Domänennamespace Die Datenbankstruktur von DNS (Domain Name System). Siehe auch: DNS. Domänenspezifikation Jeder Bestandteil eines vollständigenDNS-Domänennamens, der einen Knoten in der Domänennamespacestruktur bildet. Domänennamen bestehen aus mehreren Spezifikationen, beispielsweise „noam“, „reskit“ und „com“, die den DNS-Domänennamen,hier: „noam.reskit.com“, ergeben. Jede Domäne innerhalb eines DNS-Namens kann aus maximal 63 Zeichen bestehen. Domänenstruktur In DNS die umgekehrte hierarchische Struktur für die Indizierung von Domänennamen. Domänenstrukturen sind in Sinn und Zweck mit den Verzeichnisstrukturen vergleichbar, die von Dateiablagesystemen für die Datenspeicherung verwendet werden. Siehe auch: Domänenname, Namespace. Domänenumstrukturierung Das Reorganisieren einer Domänenstruktur in eine andere. Dieser Prozess führt in der Regel dazu, dass Konten, Gruppen und Vertrauensstellungen geändert werden. Drain Ein Programm für den Netzwerklastenausgleich, das neue Verkehrsabwicklung für diejenige Regel deaktiviert, deren Anschlussbereich den angegebenen Anschluss enthält. Davon sind alle Anschlüsse der Portregel betroffen. Wenn für den Anschluss „All“ angegeben ist, wird dieser Befehl bei allen Anschlüssen angewendet, die in allen Portregeln enthalten sind. Neue Verbindungen zu angegebenen Hosts sind nicht zulässig, es werden jedoch alle aktiven Verbindungen beibehalten. Um aktive Verbindungen zu deaktivieren, verwenden Sie den Befehl disable. Dieser Befehl zeigt keine Wirkung, wenn die angegebenen Hosts keine Clusteroperationen gestartet haben. Siehe auch: Drainstop, Portregel. Drainstop Ein Tool für den Netzwerklastenausgleich, das die gesamte Abwicklung von neuem Verkehr bei angegebenen Hosts deaktiviert. Die Hosts übernehmen anschließend den Ausgleichsmodus, um vorhandene Verbindungen fertig zu stellen. Während des Ausgleichs verbleiben die Hosts im Cluster und beenden die Clusteroperationen, wenn keine weiteren aktiven Verbindungen mehr vorhanden sind. Sie können den Ausgleichsmodus beenden, indem Sie den
Clustermodus explizit mit dem Befehl stop anhalten oder indem Sie die Abwicklung von neuem Verkehr über den Befehl start neu starten. Um die Verkehrsabwicklung der Verbindungen eines bestimmten Anschlusses zu deaktivieren, verwenden Sie den Befehl drain. Siehe auch: Drain. Druckberechtigungen Berechtigungen, die die Art des Zugriffs auf einen Drucker für Benutzer oder Gruppen angeben. Die Druckberechtigungen lauten Drucken, Drucker verwalten und Dokumente verwalten. Druckerfreigabe Die Fähigkeit eines Computers unter Windows NT Workstation oder Windows NT Server, einen Drucker in dem Netzwerk freizugeben. Doppelklicken Sie hierzu in der Systemsteuerung auf Drucker, oder geben Sie den Befehl für die Freigabe in die Eingabeaufforderungein. Druckerordner Ein Ordner in der Systemsteuerung, der den DruckerinstallationsAssistenten und die Symbole für alle Drucker enthält, die auf Ihrem Computer installiert sind. Druckertreiber Ein Programm, das anderen Programmen ermöglicht, mit einem bestimmten Drucker zu arbeiten, ohne die Eigenschaften der Druckerhardware und der internen Sprache zu kennen. Mithilfe der Druckertreiber können Programme problemlos mit verschiedenen Druckernkommunizieren. Siehe auch: PCL, PostScript. Druckgerät Ein Hardwaregerät zum Drucken von Dokumenten, das allgemein als Drucker bezeichnet wird. Siehe auch: logischer Drucker. Druckserver Ein Computer, der in erster Linie die Drucker eines Netzwerk verwaltet. Der Druckserver kann ein beliebiger Computer in dem Netzwerk sein. Druckspooler Software, die ein Dokument empfängt, das von einem Benutzer an einen Drucker gesendet wurde, und das Dokument anschließend so lange auf einen Datenträger oder im Speicher ablegt, bis der Drucker das Dokument verarbeiten kann. Diese DLL-Auflistung empfängt, verarbeitet, plant und verteilt zu druckende Dokumente. Der Begriff Spool ist ein Akronym für „Simulta-
Einheitlicher Modus
neous Print Operations On Line“. Siehe auch: Spooling. Durchsatz Die Übertragungskapazität von Datenträgern auf dem Datenträgersystem. Dvorak-Tastatur Von August Dvorak und William L. Dealey im Jahre 1936 als Alternative zu der fast ausschließlich verwendeten QWERTYTastatur entwickeltes Tastaturlayout. Die DvorakTastatur soll zur Erhöhung der Schreibgeschwindigkeit beitragen, indem die Tasten für die am häufigsten eingegebenen Buchstaben möglichst leicht zugänglichplatziert sind. Zusätzlich wurden die Tasten für oft vorkommende Buchstabenpaare so auseinander gelegt, dass ein Handwechsel möglich ist. DynamischeAktualisierung Eineaktualisierte Spezifikation des DNS-Standards, die zulässt, dass Hosts, deren Namensinformationen in DNS gespeichert werden, ihre Datensätze in Zonen dynamisch registrieren und aktualisieren können. Diese Zonen werden von DNS-Servern verwaltet, diedynamischeAktualisierungsnachrichten bestätigen und verarbeiten können. DynamischeFestplatte Einphysikalischer Datenträger, der von der Datenträgerverwaltung verwaltet wird. Dynamische Festplatten können nur dynamische Datenträger enthalten (die von der Datenträgerverwaltung erstellt wurden). Dynamische Festplatten können keine Partitionen oder logische Laufwerke enthalten und auch nicht unter MS-DOS aufgerufen werden. Siehe auch: dynamischer Datenträger, Partition. DynamischerDatenträger Ein logischer Datenträger, der von der Datenträgerverwaltung erstellt wurde. Zu dynamischen Datenträgern gehören einfache, übergreifende, als Stripeset konfigurierte und gespiegelte Datenträger sowie RAID-5Datenträger. Dynamische Datenträger müssen auf dynamischen Festplatten erstellt werden. Siehe auch: Datenträger, dynamische Festplatte. DynamischesRouting Die Verwendung von Routingprotokollen zum Aktualisieren von Routingtabellen. Dynamisches Routing reagiert auf Änderungen der Netzwerktopologie.
E EAP (Extensible Authentication Protocol)
1013
Eine PPP-Erweiterung, über die beliebige Authentifizierungsmechanismenfürdie Gültigkeitsprüfung einer PPP-Verbindung verwendet werden können. EigenständigeZertifizierungsstelle EineWindows 2000-Zertifizierungsstelle,die nicht in Active Directory integriert ist. Siehe auch: CA, Unternehmenszertifizierungsstelle. Einfügemarke Die Stelle, an der eingegebener Text eingefügt wird. Die Einfügemarke wird in der Regel im Anwendungsfenster oder in einem Dialogfeld als blinkende vertikale Leiste dargestellt. Eingabehilfen Hardware oder Software, die Eingabehilfen unterstützt, kann behindertengerecht angepasst werden. Hierzu gehören anpassbareBenutzeroberflächen,alternative Eingabe- und Ausgabeverfahren und eine vergrößerte Darstellung von Bildschirmelementen, damit beispielsweise Benutzer mit eingeschränktem Hör- oder Sehvermögen Computer besser bedienen können. Eingabehilfen-Assistent Ein interaktives Tool, das die Einrichtung allgemeinerEingabehilfen durch Optionen unterstützt. Es brauchen keine numerischen Werte geändert, sondern nur die Art der Einschränkung angegeben werden. EingebettetesObjekt Informationen aus einer anderen Anwendung, die in ein Dokument eingefügt werden. Wenn die Informationen eingebettet sind, können Sie diese im neuen Dokument mit den Symbolleisten und Menüs aus dem ursprünglichen Programm bearbeiten. Wenn Sie auf das eingebettete Symbol doppelklicken, werden die Symbolleisten und Menüs des Programms angezeigt, in dem die Informationen erstellt wurden. Eingebettete Informationen sind nicht mit der ursprünglichen Datei verknüpft. Wenn Sie die Informationen in einem Dokument ändern, wird das andere Dokument nicht aktualisiert. Siehe auch: verknüpftes Objekt. EinheitlicherModus Der Zustand, in dem alle Domänencontroller innerhalb einer Domäne Windows 2000-Domänencontroller sind und in dem ein Administrator die Operation im einheitlichen Modus (über Active DirectoryBenutzerund -Computer) aktiviert hat. Siehe auch: gemischter Modus.
1014
Einrastfunktionen
Einrastfunktionen EineEingabehilfevon Windows, bei der die Tasten UMSCHALT, STRG und ALT solange aktiv bleiben, bis die nächste Taste gedrückt wird. Diese Hilfe wurde für Benutzer konzipiert, die aufgrund physiologischer Einschränkungen nicht in der Lage sind, Tastenkombinationen auszuführen. Einrichtung des Subnetzes (Subnetting) Das Aufteilen des Adressbereichs einer TCP/IPNetzwerkkennung in kleinere Netzwerksegmente mit einer eigenen Subnetzwerkkennung. Eintrag Einträge sind das niedrigste Element der Registrierung. Sie werden im rechten Fensterausschnitt des Registrierungs-Editors angezeigt. Jeder Eintrag besteht aus einem Eintragsnamen sowie dem zugehörigen Datentyp und dessen Wert. Einträge speichern die tatsächlichen Konfigurationsdaten für das Betriebssystem und die Programme, die im System ausgeführt werden. Einträge unterscheiden sich von den Schlüsseln und Unterschlüsseln, die Container sind. Einträge werden vom Pfad und Namen der Registrierung referenziert. Das in einem Eintrag gespeicherte Datenvolumen und die Daten werden vom Datentyp des Eintrags bestimmt. Einzelpunktversagen Eine Komponente in Ihrer Umgebung, die im Falle eines Versagens Daten oder Anwendungen sperrt. ELAN (Emulated Local Area Network) Ein logisches Netzwerk, das über die für die LAN-Emulation definierten Mechanismen aktiviert wird. Hierzu gehören ATM und zuvor verbundene Endstationen. EmulatordesprimärenDomänencontrollers Der Windows 2000-Domänencontroller, der zuerst in einer Domäne erstellt wird. Der Emulator des primären Domänencontrollers repliziert nicht nur die Domänendaten auf die anderen Windows 2000-Domänencontroller, sondern verhält sich auch wie ein primärer Windows NT-Domänencontroller, weil er die Aufgaben eines primären Domänencontrollers ausführt. Hierzu gehört die Replikation von
Domänendaten auf alle Reservedomänencontroller innerhalb der Domäne. Wenn der Emulator des primären Domänencontrollers offline geschaltet wird, kann ein anderer Windows 2000Domänencontroller in der Domäne die Rolle des Emulators übernehmen. Siehe auch: Emulator des primären Domänencontrollers, Reservedomänencontroller. Endpunktverschlüsselung Datenverschlüsselung zwischen der Clientanwendung und dem Server für die Ressourcen oder Dienste, auf die von der Clientanwendung zugegriffen wird. Engpass Eine Situation, die in der Regel eine Hardwareressource betrifft, die das gesamte System beeinträchtigt. Entschlüsselung Bei diesem Prozess werden verschlüsselte Daten wieder lesbar gemacht, indem der chiffrierte Text in Klartext umgewandelt wird. Siehe auch: chiffrierter Text, Verschlüsselung,Klartext. Ereignis Jedes bedeutende Geschehnis im System oder in einer Anwendung, auf das Benutzer aufmerksam gemacht werden. Die Einträge eines Protokolls werden auch als Ereignis bezeichnet. Ereignisprotokoll Die Datei mit den Einträgen der Ereignisse. Ereignisprotokollierung Bei diesem Prozess wird unter Windows 2000 der Überwachungseintrag in der Überwachungsliste erfasst, wenn bestimmte Ereignisse auftreten, beispielsweise das Starten und Beenden von Diensten und die An- oder Abmeldung eines Benutzers. Sie können mit der Ereignisanzeige die Ereignisse von Services für Macintosh und Windows 2000 anzeigen. Ereignistypen Fehler, grundlegende Aktionen mit Zeitstempeln oder Geräteprobleme. Ermittlung Bei diesem Prozess versucht der Netzwerkanmeldungsdienst von Windows 2000, einen Domänencontroller unter Windows 2000 Server in der vertrauenswürdigen Domäne zu ermitteln. Nachdem einDomänencontroller ermittelt wurde, wird dieser später für die Authentifizierung des Benutzerkontos verwendet. Bei SNMP ist die dynamische Ermittlung die Erkennung von Geräten zu einem SNMPNetzwerk.
Fehlertoleranz
1015
ExterneRouten Routen, die sich nicht innerhalb eines autonomen OSPF-Systems befinden. ErweitertePartition Ein Bestandteil einer Basisfestplatte, der logische Laufwerke enthalten kann. Wenn Sie mehr als vier Partitionen auf Ihrer Basisfestplatte verwenden möchten, benötigen Sie eine erweiterte Partition. Es kann nur eine der vier zulässigen Partitionen pro physikalischem Datenträger als erweiterte Partition fungieren. Es muss keine primäre Partition vorhanden sein, um eine erweiterte Partition erstellen zu können. Sie können erweiterte Partitionen nur auf Basisfestplatten erstellen. Siehe auch: Basisfestplatte, logisches Laufwerk, Partition, primäre Partition, nicht zugeordneter Speicher. Erweiterungs-DLL für die Clusterverwaltung Eine DLL, über die die Clusterverwaltung einen benutzerdefinierten Ressourcentyp verwalten kann. Eine Erweiterung der Clusterverwaltung verwendet die Erweiterungs-API für die Clusterverwaltung. Siehe auch: Cluster, Clusterverwaltung, Ressource. ExpliziteVertrauensstellung Eine Vertrauensstellung von Windows NT, bei der eine explizite Verknüpfung in nur eine Richtung erstellt wird. Explizite Vertrauensstellungen können auch zwischen Windows NT-Domänen und Windows 2000-Domänen sowie zwischen Gesamtstrukturen bestehen. Export Wenn bei NFS ein Dateisystem einem Client von einem Server zur Verfügung gestellt wird. ExterneEingabehilfen EineWindows-Funktion, die ermöglicht, dass die Tastenanschläge und die Maus über den seriellen Anschluss eines Computers erkannt werden. ExterneNetzwerknummer EinehexadezimaleZahl (4 Byte), die für die Adressierung und Weiterleitung verwendet wird. Die externe Netzwerknummer wird physikalischen Netzwerkadaptern und Netzwerken zugewiesen. Um miteinander kommunizieren zu können, müssen alle Computer auf dem gleichen Netzwerk, die einen bestimmten Frametyp verwenden, die gleiche externe Netzwerknummer haben. Die Nummer muss im IPX-Netzwerk eindeutig sein. Siehe auch: interne Netzwerknummer, IPX.
Extranet Eine begrenzte Untermenge von Computern oder Benutzern eines öffentlichen Netzwerks, in der Regel des Internets, die auf das interne Netzwerk einer Organisation zugreifen können. Üblicherweise handelt es sich hierbei um die Computer oder Benutzer, die Partnerorganisationen angehören.
F Failback In einem Servercluster das Verschieben einer fehlgeschlagenen Gruppe zum nächsten Knoten in der Liste der bevorzugten Besitzer für die Gruppe. Siehe auch: Failover, Knoten, Ressource. Failover In einem Servercluster ein Mittel zum Ermöglichen einer hohen Verfügbarkeit. Bei einem Fehlschlag einer Ressource in einer Gruppe oder eines Knotens, auf dem die Gruppe online ist, deaktiviert der Cluster die Gruppe auf dem entsprechenden Knoten und aktiviert sie wieder auf einem anderen Knoten. Siehe auch: Knoten, Ressource. FAT (File Allocation Table) Ein Dateisystem, das auf der Dateizuordnungstabelle basiert, die von einigen Betriebssystemen, beispielsweise von Windows NT und Windows 2000, verwaltet wird, um den Status der verschiedenen Segmente des Speicherplatzes für den Dateispeicher zu überwachen. FAT32 Ein Derivat des FAT-Systems. FAT32 unterstützt kleinere Clustervolumen als FAT. Dies führt zu einer besseren Speicherreservierung auf FAT32-Laufwerken. Siehe auch: FAT, NTFS. FDDI (Fiber Distributed Data Interface) Ein Netzwerkmedientyp, der bei Glasfaserverkabelungen eingesetzt wird. Siehe auch: LocalTalk, Token Ring. Fehlererkennung Eine Technik, mit der ermittelt werden kann, wenn Daten während einer Übertragung verloren gehen. Dank dieser Technik kann Software verlorene Daten wiederherstellen, indem der übertragende Computer angewiesen wird, die Daten erneut zu senden. Fehlertoleranz Die Gewährleistung der Daten-
1016
Filter
integrität beieinem Hardwareausfall. Unter Windows NT und Windows 2000 wird die Fehlertoleranz von dem Treiber FTDISK.SYS zur Verfügung gestellt. Filter 1. Eine Regel in IPSec, mit der eine sichere Kommunikation basierend auf der Quelle, dem Ziel und dem IP-Verkehrstyp initialisiert und gesteuert werden kann. 2. Definitionen bei der Paketfilterung von IP und IPX, die dem Router den zulässigen und unzulässigen Verkehrstyp für die jeweiligen Schnittstellenangeben. Filtermodus Eine Methode beim Netzwerklastenausgleich, mit der Netzwerkverkehr an einen Cluster von den Hosts des Clusters abgewickelt wird. Der Verkehr kann entweder von einem Server abgewickelt, auf die Hosts des Clusters aufgeteilt oder vollständig deaktiviert werden. Siehe auch: Server. Firewall Eine Kombination aus Hardware und Software, die das Sicherheitssystem zur Verfügung stellt, um in der Regel den unberechtigten Zugriff auf ein internes Netzwerk oder Intranet von außen zu verhindern. Eine Firewall verhindert die direkte Kommunikation zwischen dem Netzwerk und den externen Computern, indem die Kommunikation über einen Proxyserver umgeleitet wird, der sich außerhalb des Netzwerks befindet. Der Proxyserver bestimmt, ob eine Datei an das Netzwerk übergeben werden darf. FORTEZZA Eine Gruppe von Sicherheitsprodukten. Hierzu gehören PCMCIA-Karten, kompatible Geräte für den seriellen Anschluss, Kombinationskarten(beispielsweise FORTEZZA/Modem und FORTEZZA/Ethernet) und Serverplatinen. FORTEZZA ist eine eingetragene Marke der National Security Agency. FQDN (Fully Qualified Domain Name = vollqualifizierterDomänenname) Ein DNS-Domänenname, der den genauen Standort in der Namespacestruktur für Domänen angibt.Beispiel: client1.reskit.com. FQDN wird auch vollständigerComputername genannt. Fractional-T1 Eine T1-Leitung, die aus 23 BKanälen und einem D-Kanal besteht. Der D-Kanal wird für Taktzwecke verwendet.
Fragmentierung Die Zerstückelung ein und derselben Datei über verschiedene Bereiche des Datenträgers. Die Fragmentierung ergibt sich auf einem Datenträger aus dem Löschen und Hinzufügen von Dateien. Eine derartige Fragmentierung verlangsamt den Datenträgerzugriff und verschlechtert – wenn auch nicht dramatisch – die Gesamtleistung von Datenträgeroperationen. Siehe auch: Defragmentierung. Frame In der synchronen Kommunikation handelt es sich bei einem Frame um ein Datenpaket, das als Gesamteinheit von einem Gerät an ein anderes Gerät gesendet wird. Der Begriff Frame wird häufig bei Ethernet-Netzwerken verwendet. Ein Frame ist mit den Paketen vergleichbar, die bei anderen Netzwerken verwendet werden. Siehe auch: Paket. FreierSpeicherplatz Speicherplatz, der zum Erstellen von logischen Laufwerken innerhalb einer erweiterten Partition zur Verfügung steht. Siehe auch: erweiterte Partition, logisches Laufwerk, nicht zugeordneter Speicher. Freigegebene Zugriffssteuerungsliste (DACL = Discretionary Access Control List) Der Teil der Sicherheitsbeschreibung eines Objekts, der bestimmten Benutzern und Gruppen die Berechtigung für den Objektzugriff erteilt oder verweigert. Der Objektzugriff obliegt dem jeweiligen Besitzer eines Objekts, weil nur dieser die Einstellungen für die Berechtigungen in DACL ändern kann. Siehe auch: ACE, Objekt, SACL, Sicherheitsbeschreibung. FreigegebenerDrucker Ein Drucker, der die Eingabe von mehreren Computern erhält. Ein an einen Netzwerkcomputer angeschlossener Drucker kann beispielsweise von mehreren Benutzern gemeinsam genutzt werden. Dieser Drucker wird auch Netzwerkdrucker genannt. FTP(File Transfer Protocol) Dieses Protokoll definiert, wie Dateien von einem Computer zum nächsten über das Internet und einer Client/Server-Anwendung übertragen werden, die Dateien mit diesem Protokoll verschiebt.
G Gast Ein Dienst für Macintosh-Benutzer, die kein Benutzerkonto oder Kennwort haben. Wenn ein
Geschachtelte Gruppen
Macintosh-Benutzer Berechtigungen an alle vergibt, werden diese Berechtigungen den Gästen und den Benutzern der Gruppe erteilt. Gastkonto Ein integriertes Konto für die Anmeldung bei einem Computer unter Windows 2000, wenn der Benutzer kein Konto auf dem Computer oder in der Domäne bzw. in den Domänen hat, die von der Computerdomäne als vertrauenswürdig eingestuft sind. Gateway Ein mit mehreren physikalischen TCP/IP-Netzwerken verbundenes Gerät, das zwischen diesen Netzwerken IP-Paketeverteilen und zustellen kann. Ein Gateway konvertiert verschiedene Übertragungsprotokolle oder Datenformate (beispielsweise IPX und IP) und wird in erster Linie wegen dieser Eigenschaft verwendet. Siehe auch: IP-Adresse, IP-Router. Gateway Service für NetWare Dieser Dienst erstellt ein Gateway, in dem Microsoft-Clients auf NetWare-Kernprotokollnetzwerke,beispielsweise auf Datei- und Druckdienste von NetWare, über einen Windows 2000-Server zugreifen können. GegenseitigeAuthentifizierung Ein Prozess, bei dem der anrufende Router sich selbst gegenüber dem antwortenden Router authentifiziert und umgekehrt. Beide Enden der Verbindung überprüfen gegenseitig die Identität des anderen Endes. MS-CHAP v2 und EAP-TLS verwenden diegegenseitigeAuthentifizierung. GeheimerSchlüssel EinVerschlüsselungsschlüssel, der ausschließlich von zwei Parteien genutzt wird. Siehe auch: Verschlüsselungmit symmetrischem Schlüssel. GemischteDomänen Ein Gruppe vernetzter Computer, auf denen mehrere Betriebssysteme, beispielsweiseWindows NT und Windows 2000, ausgeführt werden. GemischterModus Der Standardmodus zum Festlegen von Domänen auf Domänencontrollern von Windows 2000. Im gemischten Modus können Domänencontroller von Windows 2000 sowie Windows NT Backup-Domänencontroller in einer Domäne nebeneinander existieren. Der gemischte Modus unterstützt nicht die Optimierungen von Windows 2000 für universale und geschachtelte Gruppen. Sie können den einheit-
1017
lichen Modus von Windows 2000 festlegen, nachdem Sie alle Windows NT-Domänencontroller aus der Domäne entfernt oder für Windows 2000 aktualisiert haben. Siehe auch: einheitlicherModus. Generic QoS Ein Verfahren, über das ein TCP/IPNetzwerk QoS für Multimediaanwendungen gewährleisten kann. Generic QoS teilt jeder Verbindung verschiedene Bandbreiten nach dem jeweiligen Bedarf zu. Gerät Eine Hardware, die an ein Netzwerk oder an einen Computer angeschlossen werden kann. Beispiele sind PCs, Drucker, Joysticks, Grafikoder Modemkarten und andere Peripheriegeräte. Geräte benötigen in der Regel Gerätetreiber, damit sie in Windows 2000 ausgeführt werden können. Siehe auch: Gerätetreiber. Gerätetreiber Ein Programm, das einem bestimmten Gerät, beispielsweise einem Modem, einem Netzwerkadapter oder einem Drucker, ermöglicht, mit Windows 2000 zu kommunizieren. Ein auf dem System installiertes Gerät kann unter Windows 2000 erst dann eingesetzt werden, wenn der geeignete Treiber installiert und konfiguriert wurde. Wenn ein Gerät in der Hardwarekompatibilitätsliste (HCL) enthalten ist, wird in der Regel von Windows 2000 der entsprechende Treiber zur Verfügung gestellt. Gerätetreiber werden (für alle aktivierten Geräte) beim Startvorgang des Computers geladen und danach transparent ausgeführt. Siehe auch: HCL. Gesamtstruktur Eine Auflistung von Windows 2000 Active Directory-Strukturen, die als Peers organisiert sind und über eine beidseitige transitive Vertrauensstellung zwischen den Stammdomänen der jeweiligen Strukturen verbunden werden. Alle Strukturen der Gesamtstruktur verwenden ein Schema, eine Konfiguration und einen globalen Katalog gemeinsam. Wenn eine Gesamtstruktur mehrere Strukturen enthält, bilden die Strukturen keinen fortlaufenden Namespace. GeschachtelteGruppen Eine nur im einheitlichen Modus verfügbare Funktion von Windows 2000 zum Erstellen von Gruppen innerhalb von Gruppen. Siehe auch: Gesamtstruktur, globale Gruppe, lokale Domänengruppe, universale
1018
Gespiegelter Datenträger
Gruppe, vertrauenswürdige Gesamtstruktur.
GespiegelterDatenträger Einfehlertoleranter Datenträger, der Daten auf zwei physikalische Festplatten dupliziert. Die gespiegelten Daten befinden sich immer auf einer anderen Festplatte. Bei einem Festplattenfehler sind die Daten nicht mehr verfügbar. Das System verwendet dann die gespiegelten Daten auf der unbeschädigten Festplatte. Ein gespiegelter Datenträger ist bei Leseoperationen langsamer, bei Schreiboperationen jedoch schneller als ein RAID-5-Datenträger. Gespiegelte Datenträger können nur auf dynamischen Festplatten erstellt werden. Bei Windows NT 4.0 wird der gespiegelte Datenträger als Spiegelsatz bezeichnet. Siehe auch: Datenträger, dynamische Festplatte, dynamischer Datenträger, Fehlertoleranz, RAID. GigabitEthernet Ein Ethernet-Standard, der Daten mit einer Geschwindigkeit von mehr als einer Milliarde Bit pro Sekunde überträgt. GlobaleGruppe Eine Gruppe bei Windows 2000 Server, die in ihrer eigenen Domäne, in Mitgliedsservern und Arbeitsstationen der Domäne sowie in vertrauenden Domänen eingesetzt werden kann. Einer globalen Gruppe können an den jeweiligen Standorten Rechte und Berechtigungen erteilt werden. Außerdem kann die Gruppe Mitglied von lokalen Gruppen werden. Eine globale Gruppe kann jedoch nur Benutzerkonten aus der eigenen Domäne enthalten. Siehe auch: Gruppe, lokale Gruppe. GlobalerKatalog Ein Active Directory-Dienst, der Verzeichnisdaten von allen Quelldomänen auf einen Speicherort der Installationsstruktur ablegt. Die Benutzer können Abfragen zu Objekten an den globalen Katalog richten, wobei der logische oder physikalische Speicherort des Objekts nicht von Bedeutung ist. Der globale Katalog wurde für die leistungsstarke Auflösung von Abfragen konzipiert. Grafikkarte Eine Erweiterungskarte für die Grafikdarstellung, die in einen PC eingesteckt wird. Die Anzeigefunktionen eines Computers hängen von den logischen Schaltkreisen (der Videokarte) und dem Bildschirm ab. Jede Karte enthält verschiedene Videomodi. Die beiden
Grundkategorien sind der Textmodus und der Grafikmodus. Einige Bildschirme bieten in diesen Modi eine Auswahl für die Auflösung. Bei einer geringeren Auflösung kann der Bildschirm mehr Farben anzeigen. Moderne Karten enthalten eigenen Speicher, so dass der RAM des Computers durch die Anzeige nicht belastet wird. Außerdem haben die meisten Karten einen eigenen Coprozessor für die Ausführung von Grafikberechnungen. Diese Karten werden häufig als Grafikbeschleunigung bezeichnet. Siehe auch: Netzwerkadapter. Gruppe Eine Auflistung von Benutzern, Computern, Kontakten und anderen Gruppen. Gruppen können als Sicherheit oder für die E-Mail-Verteilung verwendet werden. Verteilergruppen werden nur für E-Mail eingesetzt. Sicherheitsgruppen werden für die Erteilung von Zugriffsberechtigungen und für die E-Mail-Verteilung verwendet. In einem Servercluster handelt es sich bei einer Gruppe um eine Auflistung von Ressourcen und um die Grundeinheit für das Failover. Siehe auch: lokale Domänengruppe, globale Gruppe, einheitlicher Modus, universale Gruppe. Gruppenmitgliedschaften Die Gruppen, denen ein Benutzerkonto gehört. Berechtigungen und Rechte, die dieser Gruppe erteilt wurden, gelten für alle Mitglieder. In den meisten Fällen werden die unter Windows 2000 durchführbaren Benutzeraktionen von den jeweiligen Gruppenmitgliedschaften des Benutzerkontos bestimmt, bei dem sich der Benutzer angemeldet hat. Siehe auch: Gruppe. Gruppenrichtlinie Ein Administratortool zum Definieren und Steuern der Funktionsweise von Programmen, Netzwerkressourcen und dem Betriebssystem in einer Organisation. In einer Active Directory-Umgebung wird die Gruppenrichtlinie Benutzern oder Computern entsprechend ihrer Zugehörigkeit zu Standorten, Domänen oder Organisationseinheitenzugewiesen. Gruppenrichtlinienobjekt Eine Auflistung von Einstellungen für Gruppenrichtlinien. Bei Gruppenrichtlinienobjekten handelt es sich um die vomGruppenrichtlinien-Snap-In erstellten Dokumente. Diese Objekte werden auf der Domänenebene gespeichert und gelten für Benutzer und Computer in Standorten, Domänen und Organisationseinheiten. Auf jedem Computer unter
Hilfsprogramm-Manager
Windows 2000 wird genau eine Einstellungsgruppe lokal gespeichert. Diese Gruppe heißt lokalesGruppenrichtlinienobjekt. GUID (Globally Unique Identifier= global eindeutige Kennung) Ein 16-Byte-Wert, der aus der eindeutigen Kennung auf einem Gerät, dem Datum und der Uhrzeit sowie einer Sequenznummer generiert wird. Eine GUID bezeichnet ein bestimmtes Gerät oder eine bestimmte Komponente. GUI (Graphical UserInterface = grafische Benutzeroberfläche) Ein Anzeigeformat, wie das von Windows, das die Programmfunktionen grafisch, beispielsweise als Schaltflächen und Symbole, darstellt. Über die grafische Benutzeroberfläche können Benutzer Operationen ausführen und Optionen durch Zeigen und Klicken festlegen. GUI-Modus Der Bestandteil des Installationsprogramms, der eine grafische Benutzeroberfläche (GUI) verwendet.
1019
verborgen. Dadurch sind Windows NT und Windows 2000 von einer Hardwareplattform zur nächsten portierbar. HAL enthält außerdem Routinen, durch die ein Gerätetreiber das gleiche Gerät auf allen Plattformen unterstützen kann. Die HAL arbeitet eng mit dem Kernel zusammen. Handle Eine Schnittstelle der Benutzeroberfläche, die einem Objekt hinzugefügt wird, um das Objekt unter anderem besser verschieben oder umformen zu können. Bei der Programmierung ein Zeiger auf einen Zeiger, d. h. ein Token, über das ein Programm auf eine identifizierte Ressource zugreifen kann. Hardwarefehler Der Ausfall einer physikalischen Komponente, beispielsweise ein Fehler auf dem Plattenkopf oder ein Speicherfehler. Hardwareinventar Ein von Systems Management Server verwendeter automatisierter Prozess, der detaillierte Informationen zu Hardware erfasst, die auf Clientcomputern an einem Systems Management Server-Standort im Einsatz ist.
Gültigkeitsdauer (TTL = Time-to-Live) Ein Timerwert in Paketen, die über TCP/IPbasierte Netzwerke gesendet werden. Dieser Wert teilt den Empfängern mit, wie lange das Paket bzw. die darin enthaltenen Daten einbehalten oder verwendet werden können, bevor das Paket oder die Daten gelöscht werden. Bei DNS werden TTL-Werte in Ressourceneinträgen innerhalb der Zone verwendet. Diese Werte bestimmen, wie lange anfragende Clients diese Informationen zwischenspeichern und verwenden sollen, wenn sie in einer Abfrageantwort von einem DNSServer für die Zone erscheinen.
Hardwarerouter Ein Router, der das Routing als dedizierte Funktion ausführt und mit einer bestimmten Hardware ausgestattet ist, die speziell für das Routing konzipiert und optimiert ist.
Gültigkeitsintervall Die Anzahl der Sekunden, die DNS-Server als sekundäre Masterserver für eine Zone benötigen, um zu bestimmen, ob Zonendaten verfallen, wenn die Zone nicht aktualisiert und erneuert wird. Siehe auch: Zone.
HerstelleneinerVPN-Verbindung Das Konfigurieren und Erstellen einer VPNVerbindung.
H HAL (Hardware Abstraction Layer = Hardwareabstraktionsschicht) Eine dünne Softwareschicht vom Hardwarehersteller, die Hardwareunterschiede anderer, höherer Schichten des Betriebssystems verbirgt. Durch den HAL-Filter bleibenunterschiedliche Hardwaretypen dem Rest des Betriebssystems
Hardwaretyp Eine Klassifizierung für vergleichbare Geräte. Imaginggerät istbeispielsweiseein Hardwaretyp für digitale Kameras und Scanner. HCL (Hardware Compatibility List = Hardwarekompatibilitätsliste) Eine Liste der Geräte, die von Windows 2000 unterstützt werden.
Hexadezimal Ein Zahlensystem zur Basis 16, dessen Zahlen durch die Ziffern 0 bis 9 und die Buchstaben A (der Dezimalentsprechung für 10) bis F (der Dezimalentsprechung für 15) dargestellt werden. Hilfsprogramm-Manager Eine Funktion von Windows 2000, die es Administratoren ermöglicht den Status von Anwendungen und Tools abzufragen und Funktionen leichter anzupassen.
1020
Hohe Verfügbarkeit
HoheVerfügbarkeit Die Fähigkeit, eine Anwendung oder einen Dienst durch Clients möglichst fortlaufend in einem betriebsbereiten Zustand zu halten. Host Ein Windows 2000-Computer, der ein Serverprogramm oder einen Dienst ausführt, der von Netzwerk- oder Remoteclients verwendet wird. Bei Netzwerklastenausgleich besteht ein Cluster aus mehreren Hosts, die über ein lokales Netzwerk miteinander verbunden sind. Hostkennung Eine Nummer, die für Schnittstellen vergeben wird, die sich auf einem von Routern begrenzten physikalischen Netzwerk befinden. Die Hostkennung muss für das Netzwerk eindeutig sein. Hostname Der Name eines Computers auf einem Netzwerk. In der technischen Referenz zu Windows 2000 Server bezieht sich der Hostname auf den ersten Namen eines vollqualifizierten Domänennamens. Siehe auch: HOSTS-Datei. Hostpriorität Die vom Host festgelegte Rangfolge für die Regelung des Standardnetzwerkverkehrs an TCP- und UDP-Ports beim Netzwerklastenausgleich. Dieser Wert wird verwendet, wenn ein Host im Cluster nicht mehr online ist. Die Priorität bestimmt, welcher Host im Cluster für den Verkehr zuständig wird, der zuvor vom Offlinehost abgewickelt wurde. Siehe auch: UDP. HOSTS Eine Datei mit Listen bekannter IPAdressen. Diese Datei wird von TCP/IP verwendet, um Computer in einem Netzwerk oder im Internet zu ermitteln. HOSTS-Datei Eine lokale Textdatei im 4.3 BSDFormat der Datei UNIX/etc/hosts. Diese Datei ordnet Hostnamen IP-Adressen zu. Unter Windows 2000 wird diese Datei im Ordner \%Systemroot%\System32\Drivers\Etc gespeichert. Siehe auch: SystemRoot. HSM (Hierarchical Storage Management = hierarchischeSpeicherverwaltung) Eine Technologie, die Speicherverwaltung automatisiert und Kosten senkt, weil Dateien, auf die selten zugegriffen wird, automatisch vom lokalen Speicher zum Remotespeicher verschoben und auf Anforderung dem Benutzer verfügbar gemacht werden.
HTML (Hypertext Markup Language) Auszeichnungssprache, die für Hypertextdokumente verwendet wird, die von Plattform zu Plattform portierbar sind. Bei HTML-Dateien handelt es sich um einfache ASCII-Textdateien mit eingebettetem Code (der durch Marken gekennzeichnet wird) für Formatierungen und Hypertextlinks. HTML wird für die Formatierung von Dokumenten im Web verwendet. HTTP(HyperTextTransferProtocol) Ein Protokoll für die Übertragung von Informationen im Web. Eine HTTP-Adresse (ein URLTyp) hat folgendes Format: http://www.microsoft.com Hub Ein Gerät, das Kommunikationsleitungen an einer zentralen Stelle verbindet und eine Verbindung zu allen Geräten in dem Netzwerk herstellt.
I IANA (Internet Assigned Numbers Authority) Eine Organisation (beispielsweise die InterNIC), die IP-Adressen und deren Zuteilung an Organisationendelegiert. ICMP (Internet Control Message Protocol) Ein erforderliches Verwaltungsprotokoll in der TCP/IP-Gruppe, das Fehler meldet und eine einfache Anschlussmöglichkeit bietet. ICMP wird vom Pingtool zur TCP/IP-Problembehandlung eingesetzt. Identitätstoken Ein Zugriffstoken, das die SicherheitsinformationeneinesClientprozesses erfasst, so dass der Dienst die „Identität“ des ClientprozessesbeiSicherheitsoperationen übernehmen kann. Siehe auch: Zugriffstoken, primäres Token. Identitätswechsel Ein Identitätswechsel tritt ein, wenn Windows 2000 Server einem Prozess gestattet, die Sicherheitsattribute eines anderen Prozesses zu übernehmen.
IntelliMirror
IETF (Internet Engineering TaskForce) Eine offene Gemeinschaft aus Netzwerkentwicklern, Operatoren, Herstellern und Forschern, die sich mit der Weiterentwicklung der Internetarchitektur und der schnellen Abwicklung im Internet beschäftigt. Der technische Teil wird von Arbeitsgruppen ausgeführt, die innerhalb themenorientierter Abteilungen (beispielsweise Routing, Übertragung und Sicherheit) und über Verteilerlisten zusammenarbeiten. Internetstandards werden in RFC-Dokumenten der IETF entwickelt. Diese Dokumente enthalten Anmerkungen, die zahlreiche Aspekte der Computerkommunikation erläutern und im Schwerpunkt auf Netzwerkprotokolle, Programme und Konzepte ausgerichtet sind. IGMP (Internet Group Management Protocol) Ein Protokoll von TCP/IP, das für die Verwaltung der IP-Multicastgruppenmitgliedschaftzuständig ist. IIS (Internet Information Services) Softwaredienste, die unter anderem das Erstellen sowie die Konfiguration und Verwaltung von Websites unterstützen. Zu diesen Diensten gehören NNTP (Network News Transfer Protocol), FTP (File Transfer Protocol) und SMTP (Simple Mail Transfer Protocol). Siehe auch: FTP, NNTP, SMTP. IKE (Internet Key Exchange = Internetschlüsselaustausch) Ein Protokoll, das die Sicherheitszuordnung und die von zwei Parteien gemeinsam genutzten Schlüssel einrichtet, damit mit der IP-Sicherheit kommuniziert werden kann. Infrarot (IR) Elektromagnetische Strahlung, die im elektromagnetischen Spektrum den Frequenzbereich direkt unterhalb des sichtbaren roten Lichts belegt. Infrarottransmitter können Infrarotsignale senden und empfangen. Siehe auch: IrDA, Infrarotgerät, Infrarot-Port. Infrarotanschluss Ein optischer Anschluss an einem Computer, der für die kabellose Kommunikation mit anderen Computern oder Geräten über Infrarotlicht verwendet wird. Infrarotanschlüsse werden häufig bei tragbaren Computern sowie bei Druckern und Kameras verwendet. Ein Infrarotanschluss kann auch einem Computer mit einem IR-Dongle
1021
hinzugefügt werden, der an eine PCI-Karte, einen seriellen oder parallelen Anschluss (für Drucker) oder direkt an die Hauptplatine angeschlossen wird. Siehe auch: Infrarotgerät, Infrarotanschluss. Infrarotgerät Ein Computer oder Peripheriegerät, beispielsweise ein Drucker, der mit Infrarotlicht kommunizieren kann. Siehe auch: infrarot. Infrastruktur für öffentliche Schlüssel (PKI = Public KeyInfrastructure) Die Gesetze, Richtlinien, Standards und Software zum Steuern oder Ändern von Zertifikaten sowie von öffentlichen und privaten Schlüsseln. In der Praxis handelt es sich um ein System digitaler Zertifikate, Zertifizierungsstellen und anderen Registrierungsstellen, die die Gültigkeit der Parteien einer elektronischen Transaktion prüft und authentifiziert. Die Standards für PKI werden weiter entwickelt, sind jedoch bereits weitgehend als erforderliches Mitglied beim E-Commerce implementiert. Installieren In Bezug auf Software das Hinzufügen von Programmdateien und Ordnern auf der Festplatte und das Eintragen der zugehörigen Daten in die Registrierung, damit die Software korrekt ausgeführt werden kann. Das „Installieren“ steht im Kontrast zum „Aktualisieren“, bei dem vorhandene Programmdateien, Ordner und Registrierungseinträge für eine neuere Version aufgerüstet werden. In Bezug auf Hardware das Anschließen des Geräts an Ihren Computer, das Laden von Gerätetreibern und das Konfigurieren der Eigenschaften und Einstellungen für das Gerät. Siehe auch: Gerätetreiber,Registrierung. Integrität Eine Eigenschaft für die IP-Sicherheit, die Daten vor Änderungen während der Übertragung schützt. Die Integrität stellt sicher, dass die Daten genau so empfangen werden, wie sie gesendet wurden. Hashfunktionen signieren jedes Paket mit einer kryptographischen Prüfsumme. Der Empfangscomputer überprüft die Prüfsumme vor dem Öffnen des Pakets. Wurde das Paket, und somit auch die Signatur, geändert, wird das Paket gelöscht. IntelliMirror Windows 2000-Funktionen für Desktopänderungen und die Konfigurationsverwaltung. Wenn IntelliMirror beim Server und beim Client verwendet wird, werden die Daten, Anwen-
1022
Interne Netzwerknummer
dungen und Einstellungen eines Benutzers auf verschiedenen Computern dargestellt. Administratoren können mit IntelliMirror die Remoteinstallation von Windows 2000 ausführen.
IP(Internetprotokoll) Ein routbares Protokoll von TCP/IP, das für die IP-Adressierung, das Routing sowie für die Fragmentierung und Reassemblierung von IP-Paketen verantwortlich ist.
InterneNetzwerknummer Einehexadezimale Nummer (4 Byte), die für die Adressierung und Weiterleitung verwendet wird. Die interne Netzwerknummer bezeichnet ein virtuelles Netzwerk in einem Computer. Die Nummer muss im IPXNetzwerk eindeutig sein. Die interne Netzwerknummer wird auch virtuelle Netzwerknummer genannt. Siehe auch: externe Netzwerknummer, IPX.
IP-Adresse Eine 32-Bit-Adresse, die einen Knoten auf einem IP-Netzwerk bezeichnet. Jedem Knoten auf dem IP-Netzwerk muss eine eindeutige IPAdresse zugeordnet sein, die aus der Netzwerkkennung und einer eindeutigen Hostkennung besteht. Diese Adresse wird in der Regel durch den Dezimalwert der Oktette dargestellt, die durch Punkte voneinander getrennt sind (beispielsweise 192.168.7.27). Die IP-Adresse kann unter Windows 2000 manuell oder dynamisch über DHCP konfiguriert werden. Siehe auch: DHCP, Knoten.
InternerNamespace Ein privater Namespace, der nur von Benutzern innerhalb der Organisation verwendet wird. Internet 1. Das öffentliche Internet besteht aus sehr vielen Netzwerken, die über die ganze Welt verteilt sind. Durch das Internet werden Forschungsinstitute,Universitäten,Bibliotheken und private Unternehmen miteinander verbunden. 2. Mehrere Netzwerksegmente, die über Router miteinander verbunden sind. Ein anderer Begriff für Netzwerk. Für den Macintosh kann ein Internet durch Verbinden von mehreren AppleTalk-Netzwerken mit einem Computer unter Windows 2000 Server erstellt werden. Mit TCP/IP kann ein Internet durch Verbinden von mehreren IP-Netzwerken mit einem mehrfach vernetzten Computer unter Windows 2000 Server oder Windows 2000 Professional erstellt werden. Die IP-Weiterleitung muss für die zugehörigen IPNetzwerksegmente aktiviert sein. Internetzwerk Mindestens zwei Netzwerksegmente, die über Router miteinander verbunden sind. Intranet Ein Netzwerk innerhalb einer Organisation, das die Technologien und Protokolle des Internets verwendet und nur einem bestimmten Benutzerkreis, beispielsweise den Mitarbeitern einer Firma, zugänglich ist. Ein Intranet wird auch als privates Netzwerk bezeichnet. Inventar Bestandsdaten, die von den Inventarclientagenten von Systems Management Server für jeden Client eines Standorts erfasst werden. Das Inventar enthält beispielsweise Hardwareund Softwaredaten und erfasste Dateien. Der Inhalt des Inventars wird vom Administrator definiert.
IP-Adresse der Klasse A EineUnicast-IP-Adresse im Bereich von 1.0.0.1 bis 126.255.255.254. Das erste Oktett gibt das Netzwerk an. Die letzten drei Oktette bezeichnen den Host auf dem Netzwerk. Siehe auch: IP-Adresse der Klasse B, IP-Adresse der Klasse C, IP-Adresse. IP-Adresseder Klasse B EineUnicast-IP-Adresse im Bereich von 128.0.0.1 bis 191.255.255.254. Die ersten beiden Oktette geben das Netzwerk, die letzten beiden Oktette den Host auf dem Netzwerk an. Siehe auch: IP-Adresse der Klasse A, IP-Adresse der Klasse C, IP-Adresse. IP-Adresse der Klasse C EineUnicast-IP-Adresse im Bereich von 192.0.0.1 bis 223.255.255.254. Die ersten drei Oktette geben das Netzwerk an. Das letzte Oktett bezeichnet die Hosts auf dem Netzwerk. Der Netzwerklastenausgleich enthält (zusätzlich zur Unterstützung für einzelne IPAdressen) optionale Sitzungsunterstützung der IPAdressen der Klasse C für Clients, die mehrere Proxyserver am Clientstandort verwenden. Siehe auch: IP-Adresse der Klasse A, IP-Adresse der Klasse B, IP-Adresse. IP-Adresseder Klasse D Die Internetadressklasse für IP-Multicastadressen. Der Wert des ersten Oktetts für IP-Adressen und Netzwerke der Klasse D liegt im Bereich von 224 bis 239. IP-Router Ein mit mehreren physikalischen TCP/IP-Netzwerken verbundenes System, das zwischen diesen Netzwerken IP-Pakete verteilen und zustellen kann. Siehe auch: Paket, Router, Routing, TCP/IP.
Knoten
IPSec (IP Security) Dienste und Protokolle zum Verschlüsseln von Daten mit Industriestandard. IPSec schützt alle Protokolle im TCP/IPProtokollstapel sowie Internetgemeinschaften mit L2TP. Siehe auch: L2TP. IPSec-Treiber Ein IP-Sicherheitsmechanismus, der aktiviert wird, wenn die IP-Sicherheit für einen Computer konfiguriert wird, der Pakete nach Übereinstimmungen mit einem IP-Filter in der aktiven IP-Sicherheitsrichtlinie durchsucht. Der IPSec-Treiber führt außerdem die Verschlüsselung und Entschlüsselung der Daten durch. Der IPSec-Treiber, der die IP-Filterliste aus der aktiven IPSec-Richtlinie verwendet, erkennt ausgehende IP-Pakete, die gesichert werden müssen, sowie eingehende IP-Pakete, die überprüft und entschlüsselt werden müssen. Siehe auch: IPSec. IPX (Internetwork Packet Exchange) Ein Netzwerkprotokoll von NetWare, das die Adressierung und Weiterleitung von Paketen in und zwischen LANs steuert. IPX kann nicht gewährleisten, dass eine Nachricht vollständig (ohne Paketverlust) eingeht. Siehe auch: IPX/SPX. IrDA (Infrared Data Association) EinNetzwerkprotokoll, das zur Übertragung von Daten verwendet wird, die von einem Infrarotgerät erstellt wurden. Infrared Data Association ist auch die Bezeichnung der Industrieorganisation für Anbieter von Computern, Komponenten und Telekommunikation, die Standards für die Infrarotkommunikation zwischen Computern und Peripheriegeräten, beispielsweise Druckern, entwerfen. Siehe auch: infrarot, Infrarotgerät, Infrarotanschluss. ISP (Internet Service Provider = Internetdienstanbieter) Eine Unternehmen, das Privatpersonen oder Firmen den Zugang zum Internet und dem World Wide Web ermöglicht. Ein ISP stellt eine Telefonnummer, einen Benutzername, ein Kennwort und weitere Verbindungsdaten zur Verfügung. Diese Daten sind erforderlich, damit Benutzer mit ihren Computern eine Verbindung zum Computer des ISP herstellen können. Ein ISP berechnet in der Regel Gebühren auf Monatsoder Stundenbasis.
1023
IXFR(Incremental ZoneTransfer = inkrementelle Zonenübertragung) Ein Abfragetyp, der von einigen DNS-Servern verwendet werden kann, um Zonendaten zu aktualisieren und zu synchronisieren, wenn eine Zone geändert wird. Wenn IXFR zwischen DNSServern unterstützt wird, können die Server nur die Änderungen inkrementeller Ressourceneinträge zwischen der jeweiligen Version der Zone überwachen und übertragen. Siehe auch: AXFR, Zone, Zonenübertragung.
K Kabelmodem Ein Modem mit einem BreitbandInternetzugang im Bereich von 10 bis 30 Mbps. Kategorie„Jeder“ EineBenutzerkategorieder Macintosh-Umgebung, der Berechtigungen für einen Ordner erteilt werden. Diese Berechtigungen gelten für alle Benutzer, die den Server verwenden, einschließlich der Gäste. KDC (Key Distribution Center = Schlüsselverteilungscenter) Ein Netzwerkdienst, der Diensttickets und temporäre Sitzungsschlüssel liefert, die vom KerberosAuthentifizierungsprotokollverwendetwerden. Unter Windows 2000 wird KDC als privilegierter Prozess auf allen Domänencontrollern ausgeführt. Das KDC verwendet Active Directory zum Verwalten von vertraulichen Kontendaten,beispielsweise von Kennwörtern für Benutzerkonten. Siehe auch: Kerberos, Dienstticket. Kerberos(Authentifizierungsprotokoll) Ein Authentifizierungsmechanismus zur Prüfung der Benutzer- oder Hostidentität. Das Protokoll Kerberos v5 ist der Standardauthentifizierungsdienst für Windows 2000. IPSec und der QoSZugangssteuerungsdienst verwenden das Kerberos-Protokoll für die Authentifizierung. Siehe auch: QoS-Zugangssteuerungsdienst, IPSec. Klartext Daten, die nicht verschlüsselt sind. Siehe auch: chiffrierter Text, Verschlüsselung, Entschlüsselung. Knoten In einer Struktur handelt es sich bei einem Knoten um einen Standort in der Struktur, der Verbindungen mit weiteren untergeordneten Elementen haben kann. In der LAN-Terminologie handelt es sich um ein Gerät, das mit dem
1024
Kognitive Behinderung
Netzwerk verbunden ist und mit anderen Netzwerkgeräten kommunizieren kann. Bei Serverclustern handelt es sich um einen Server mit installierter Clusterdienstsoftware, der Element eines Clusters ist. Siehe auch: LAN. KognitiveBehinderung Behinderung, die sich aus Problemen bei der Wahrnehmung, Gedächtnisverlust sowie Lern- undEntwicklungsproblemen ergibt. Beispiele sind Legasthenie und das DownSyndrom. Komponentenserver Ein Server, der eine Plattform zum Ausführen von Komponentendiensten, beispielsweise von Application Load Balancing, Transaktionsdiensten und der Anwendungsverwaltung, verwendet wird. Konsolen Ein Gerüst für administrative Tools der Microsoft Management Console (MMC). Eine Konsole wird durch die Elemente der Konsolenstruktur definiert, zu denen Ordner oder andere Container, Webseiten sowie weitere administrative Elemente zählen. Eine Konsole hat Fenster mit Ansichten der Konsolenstruktur sowie der administrativen Eigenschaften, Dienste und Ereignisse, die von den Elementen der Konsolenstruktur ausgeführt werden. Konsolenstruktur Die Strukturansicht einer Microsoft Management Console (MMC), die den hierarchischen Namespace darstellt. Standardmäßig handelt es sich um den linken Fensterausschnitt der Konsole, der jedoch ausgeblendet werden kann. Die Elemente der Konsolenstruktur (beispielsweise Webseiten, Ordner und Steuerelemente) und deren hierarchische Organisation bestimmen die Verwaltungsfähigkeit einer Konsole. Siehe auch: MMC, Namespace. Kontendomäne Eine Windows NT-Domäne, die die Daten für die Benutzerkonten enthält. Diese Domäne wird auch Masterdomäne genannt. Kontosperre Eine Sicherheitsfunktion von Windows 2000, die ein Benutzerkonto auf Grundlage der entsprechenden Einstellungen der Sicherheitsrichtlinie sperrt, nachdem innerhalb eines festgelegten Zeitraums eine bestimmte Anzahl an Fehlversuchen bei der Anmeldung unternommen wurden. (Gesperrte Konten können sich nicht mehr anmelden.)
Konvergenz Der Prozess zur Stabilisierung eines Systems nachdem im Netzwerk Änderungen vorgenommen wurden. Wenn beim Routing eine Route nicht verfügbar ist, senden Router Aktualisierungsmeldungen über das Internetzwerk, die die neuen Informationen zu bevorzugten Routen enthalten. Ein Prozess beim Netzwerklastenausgleich, über den Hosts Nachrichten austauschen, um einen neuen, konsistenten Status des Clusters zu bestimmen und den Host mit der höchsten Hostpriorität, den Standardhost, auszuwählen. Während einer Konvergenz wird eine neue Lastenaufteilung für Hosts bestimmt, die den Netzwerkverkehr für bestimmte TCP- oder UDPPorts abwickeln. Siehe auch: Cluster, Host, Standardhost, UDP. Kosten Eine Metrik ohne Einheit, die auf OSPFRoutern konfiguriert wird und die Bevorzugung einer bestimmten Verbindung angibt. Kryptographie Die Wissenschaft der Informa tionssicherheit. Kryptographie enthält vier grundlegende Sicherheitsfunktionen für Informationen: Vertraulichkeit, Integrität, AuthentifizierungundZulassung. Siehe auch: Authentifizierung, Integrität, Vertraulichkeit, Zulassung. Kryptographie mit öffentlichen Schlüsseln Ein Kryptographieverfahren, bei dem zwei verschiedene Schlüssel verwendet werden: Ein öffentlicher Schlüssel zum Verschlüsseln von Daten und ein privater Schlüssel für die Entschlüsselung. Kryptographie mit öffentlichen Schlüsseln wird auch asymmetrische Kryptographie genannt.
L L2TP(Layer 2 Tunneling Protocol) EinTunneling-Protokoll, das PPP-Frames kapselt, die über IP, X.25-, Frame Relay- oder ATMNetzwerke gesendet werden. L2TP ist eine Kombination aus PPTP und L2F, einer Technologie, die von der Cisco Systems, Inc. vorgestellt wurde. LAN (Local Area Network = lokales Netzwerk) Ein Kommunikationsnetzwerk, das Gruppen von Computern, Druckern und anderen Geräten, miteinander verbindet, die sich in einem relativ begrenzten Gebiet (beispielsweise in einem Firmengebäude) befinden. Über ein LAN kann
Logischer Drucker
jedes verbundene Gerät mit anderen Geräten im Netzwerk agieren. Siehe auch: WAN. LANE (LAN Emulation) Protokolle, die es vorhandenen Ethernet- und Token Ring LAN-Diensten ermöglichen, ein ATM-Netzwerk zu belegen. LANE bietet die Anschlussmöglichkeit zwischen LAN- und ATM-Stationen. Siehe auch: ATM. LAN-Manager-Replikation DerDateireplikationsdienst unter Windows NT. Siehe: Dateireplikationsdienst. Lastenausgleich Das Skalieren der Leistung eines serverbasierten Programms (beispielsweise eines Webservers), indem die Clientanforderungen durch Windows Clustering über mehrere Server innerhalb des Clusters verteilt werden. Jeder Host kann den Prozentwert der zu übernehmenden Last angeben. Die Last kann auch auf alle Hosts gleichmäßig verteilt werden. Wenn ein Host ausfällt, teilt Windows Clustering die Last dynamisch auf die verbleibenden Hosts auf. Siehe auch: Clientanforderung, Cluster, Host, Skalierbarkeit, Server. LDAP (Lightweight Directory Access Protocol) Ein Verzeichnisdienstprotokoll, das direkt über TCP/IP und dem primären Zugriffsprotokoll für Active Directory ausgeführt wird. LDAP Version 3 wird im RFC-Dokument 2251 definiert. Siehe auch: LDAP API. LDAP API (Lightweight Directory Access Protocol AccessProgrammingInterface) Eine Gruppe von einfachen APIs zum LDAPProtokoll, die in der Programmiersprache C geschrieben sind. LEC (LAN Emulation Client) Der Client auf einem emulierten lokalen Netzwerk (ELAN), der unter anderem die Datenweiterleitung und die Adressauflösung ausführt. LEC befindet sich an den Endstationen eines ELAN. Siehe auch: ATM, ELAN, LANE. Leistungsindikator Ein Datenelement im System Monitor, das einem Leistungsobjekt zugeordnet wird. System Monitor weist jedem ausgewählten Indikator einen Wert zu, der einem bestimmten für das Leistungsobjekt definierten Leistungsaspekt entspricht. Siehe auch: Leistungsobjekt. Leistungsobjekt Eine logische Auflistung der
1025
Datenquellen des Systemmonitors, die Ressourcen oder Diensten angehören, die überwacht werden können. Siehe auch: Leistungsindikator. LES (LAN Emulation Server) Der zentrale Kontrollpunkt für ein ELAN. LES ermöglicht LANE-Clients, dem ELAN beizutreten, und löst LAN-Adressen auf ATM-Adressen auf. Siehe auch: ATM, ELAN, LANE. LIS (Logical IP Subnet = logisches IP-Subnetz) Eine Gruppe mit IP-Hosts/Mitgliedern, die dem gleichen IP-Subnetz angehören und deren HostATMARP-Server-ATM-Adresse identisch ist. Lizenzdienst Ein Server der Terminaldienste, der alle Clientlizenzen speichert, die für einen Terminalserver geladen wurden, und die Lizenzen überwacht, die an Clientcomputern oder -terminals ausgestellt wurden. LocalTalk Eine Netzwerkhardware von Apple, die in jeden Macintosh-Computer integriert wird. LocalTalk enthält die Kabel- und Verbindungsfelder zum Verbinden von Komponenten und Netzwerkgeräten, die Bestandteil des AppleTalkNetzwerksystems sind. LocalTalk war früher unter der Bezeichnung AppleTalk Personal Network bekannt. Locator(fürDomänencontroller) Ein Algorithmus, der im Kontext des Netlogon-Diensts ausgeführt wird und Domänencontroller in einem Windows 2000-Netzwerk ermittelt. Der Locator ermittelt Domänencontroller über DNS-Namen (für IP/DNS-kompatible Computer) oder NetBIOS-Namen (für Computer unter Windows 3.x, Windows für Workgroups, Windows NT ab Version 3.5, Windows 95 oder Windows 98). Der Locator kann auch an Stellen im Netzwerk eingesetzt werden, an denen keine IPÜbertragung verfügbar ist. LogischerDrucker Hierbei handelt es sich unter Windows 2000 um die Softwareschnittstelle zwischen dem Betriebssystem und dem Drucker. Der Drucker ist das Gerät, das den eigentlichen Druckvorgang ausführt. Ein logischer Drucker ist die Softwareschnittstelle auf dem Druckserver. Diese Softwareschnittstelle bestimmt, wie ein Druckauftrag verarbeitet und an das Ziel (beispielsweise an einen lokalen oder Netzwerkanschluss, an eine Datei oder an eine Druckfrei-
1026
Logisches Laufwerk
gabe) weitergeleitet wird. Beim Drucken wird das Dokument in dem logischen Drucker gespeichert, bevor es an den eigentlichen Drucker gesendet wird. Siehe auch: Spooling.
LogischesLaufwerk Ein Datenträger, der innerhalb der erweiterten Partition auf einer Basisfestplatte erstellt wurde. Sie können dem logischen Laufwerk einen Laufwerkbuchstaben zuordnen. Es können nur Basisfestplatten logische Laufwerke enthalten. Ein logisches Laufwerk kann nicht auf mehrere Datenträger übergreifen. Siehe auch: Basisdatenträger,Basisfestplatte, erweiterte Partition. LokaleDomänengruppe Ein Windows 2000Gruppe, die nur bei Domänen in einheitlichem Modus verfügbar ist. Diese Gruppe kann Mitglieder aus der Gesamtstruktur, aus vertrauenswürdigen Gesamtstrukturen oder aus einer vertrauenswürdigen Domäne enthalten, die von einer Vorgängerversion von Windows 2000 stammt. Lokale Domänengruppen können nur Berechtigungen an Ressourcen innerhalb der Domäne erteilen, in der sie sich befinden. Lokale Domänengruppen werden in der Regel für die Zusammenfassung von Sicherheitsprincipals aus der Gesamtstruktur verwendet, um den Zugriff auf Ressourcen innerhalb der Domäne zu steuern. LokaleGruppe Bei Computern mit Windows 2000 Professionalund den Mitgliedsservern: eine Gruppe, die nur auf solche Ressourcen auf ihrem eigenen Computer Zugriffsrechte erhält, an denen sie arbeitet. Siehe auch: globale Gruppe. LokalerComputer Der Computer, bei dem ein Benutzer derzeit angemeldet ist. Im engeren Sinn handelt es sich um einen Computer, auf den direkt ohne eine Kommunikationsverbindung bzw. ohne ein Kommunikationsgerät, beispielsweiseein Netzwerkadapter oder ein Modem, zugegriffen werden kann. Analog hierzu wird ein lokales Programm nicht von einem Server, sondern von Ihrem Computer direkt ausgeführt. LokalerDrucker Ein Drucker, der direkt mit einem Anschluss Ihres Computers verbunden ist.
LokalerSpeicher NTFS-Datenträger unter Windows 2000 Server, die in erster Linie als Datenspeicher verwendet werden. Diese Datenträger können vom Remotespeicher verwaltet werden, indem selten verwendete Dateien auf einen Remotespeicher bzw. sekundären Speicher kopiert werden. Siehe auch: Remotespeicher. Loopbackoption Über diese Option können Administratoren die Einstellungen für Gruppenrichtlinien auf der Basis des Computers zuweisen, bei dem sich der Benutzer anmeldet. Dieser Vorgang kann auch dann ausgeführt, wenn die Benutzereinstellungen bereits verarbeitet wurden. LPD (Line Printer Daemon) Ein Dienst auf dem Druckserver, der Dokumente (Druckaufträge) von LPR-Tools empfängt, die auf Clientsystemen ausgeführt werden. Siehe auch: LPR. LPR(Line Printer Remote) Ein Konnektivitätsdienstprogramm, das auf Clientsystemen ausgeführt und zum Drucken von Dateien über einen Computer mit einem LPDServer verwendet wird. Siehe auch: LPD. LSDB (Link State Database = Verbindungsstatusdatenbank) Eine Zuordnung des Bereichs, der von OSPFRoutern verwaltet wird. Diese Datenbank wird nach jeder Änderung der Netzwerktopologie aktualisiert. Die Verbindungsstatusdatenbank wird zum Ermitteln von IP-Routen verwendet, die nach jeder Änderung der Topologie neu berechnet werden müssen. Siehe auch: OSPF.
M MAC (Media Access Control) Eine Schicht der Netzwerkarchitektur von Windows NT und Windows 2000, die den Netzwerkzugriff abwickelt und Konflikte erkennt. MAC-Adresse Eine Adresse, die für die Kommunikation zwischen Netzwerkadaptern in dem gleichen Subnetz verwendet wird. Jeder Netzwerkadapter hat eine zugewiesene MAC-Adresse. Massenverschlüsselung Ein Prozess, bei dem hohe Datenvolumina, beispielsweise Dateien, E-Mail-Nachrichten oder Onlinekommunikationssitzungen verschlüsselt werden. Dieser Vorgang wird in der Regel mit einem symmetrischen Schlüsselalgorithmus ausgeführt. Siehe auch:
Mitgliedsserver
1027
Verschlüsselung, Verschlüsselung mit symmetrischem Schlüssel.
Verbindung zu anderen Server und die Transaktionsintegritätverwaltet.
Masterdomäne EineWindows NT-Domäne, die die Daten für die Benutzerkonten enthält. Diese Domäne wird auch Kontendomäne genannt.
Migration Das Kopieren eines Objekts von einem lokalen Speicherort auf einen entfernten Speicherort.
Masterreplikat Ein Replikat mit Schreib-LeseZugriff einer Verzeichnispartition, das alle Attribute der Objekte in der Partition enthält. Siehe auch: Teilreplikat
Migrieren Das Umwandeln von Dateien oder Programmen eines älteren Dateiformats oder Protokolls in ein neueres Format oder Protokoll. WINS-Datenbankeinträgekönnenbeispielsweise von statischen WINS-Datenbankeinträgenin dynamisch registrierte DHCP-Einträgekonvertiert werden.
Masterserver Der Masterserver fungiert bei einer DNS-Zonenübertragung als Quelle der Zone. Masterserver können primäre oder sekundäre Server sein. Dies hängt davon ab, wie der Server die Daten der Zone erhält. Siehe auch: primärer Server, sekundärer Server, Zone, Zonenübertragung. MaximalesKennwortalter Der Zeitraum, in dem ein Kennwort verwendet werden kann. Nach Ablauf dieses Zeitraums muss der Benutzer das Kennwort ändern. MDHCP (Multicast DHCP) Eine Erweiterung des DHCP-Protokollstandards, die die dynamische Zuordnung und Konfiguration von IP-Multicastadressen für TCP/IP-basierteNetzwerke unterstützt. Mehrfachvernetzt Ein Computer mit mehreren Netzwerkadaptern. MehrsprachigeAPIs Schnittstellen für die Anwendungsprogrammierung (API), die unter Windows 2000 mehrere Sprachen unterstützen. Metrik Ein Wert, der die Kosten einer Route in der IP-Routingtabelle angibt, so dass unter den verfügbaren Routen zu einem Ziel die beste Route ausgewählt werden kann. Microsoft Component Services Ein Programm, das im Internet oder auf einem anderen Server ausgeführt werden kann und das die Transaktionsanforderungen von Anwendungen und Datenbanken für einen Benutzerclient verwaltet. Die Komponentendienste ermöglichen, dass Benutzer und Clientcomputer keine unbekanntenDatenbanken anfordern müssen. Die Dienste leiten Anforderungen an Datenbankserver weiter. Außerdem werden die Sicherheit, die
MIME(Multipurpose Internet Mail Extensions) Eine häufig verwendete Methode für die Übertragung von Nicht-Textdaten über E-Mail im Internet. MIME codiert Nicht-Textdaten als ASCII-Text und decodiert die Daten an der Empfängerpostion wieder in das ursprüngliche Format. Die Datei erhält einen MIME-Header, der den Datentyp und die Codierungsmethode angibt. Siehe auch: S/MIME. MinimaleGültigkeitsdauer Ein TTL-Standardwert (in Sekunden), der für alle Ressourceneinträge einer Zone gilt. Dieses Intervall wird im SOARessourceneintrag für jede Zone festgelegt. Standardmäßig gibt der DNS-Server diesem Wert in Abfrageantworten an, um den Empfänger darüber zu informieren, wie lange die Ressourceneinträge der Abfrageantwort gespeichert und verwendet werden können, bevor die Daten verfallen. Wenn TTL-Werte für einzelne Ressourceneinträge festgelegt werden, wird die minimale Gültigkeitsdauer außer Kraft gesetzt. Siehe auch: Gültigkeitsdauer. MinimaleKennwortlänge Die Mindestanzahl der Zeichen, aus der ein Kennwort bestehen muss. Miniporttreiber Ein Treiber, der mit einem Zwischentreiber und einem Hardwaregerät verbunden ist. Mitgliedsserver Ein Computer unter Windows 2000 Server, der kein Domänencontroller einer Windows 2000-Domäne ist. Mitgliedsserver nehmen an einer Domäne teil, speichern jedoch keine Kopie der Verzeichnisdatenbank. Es können für die Ressourcen eines Mitgliedsservers Benutzern Berechtigungen zum
1028
MMC (Microsoft Management Console)
Herstellen einer Verbindung zum Server erteilt werden, um die Ressourcen zu nutzen. Ressourcenberechtigungen können für globale Domänengruppen und Benutzer sowie für lokale Gruppen und Benutzer erteilt werden. Siehe auch: Domänencontroller, globale Gruppe; lokale Gruppe. MMC (Microsoft Management Console) Ein Gerüst für administrative Konsolen. Ein Konsole wird durch die Elemente der Konsolenstruktur definiert, zu denen Ordner oder andere Container, Webseiten sowie weitere administrative Elemente zählen. Eine Konsole hat Fenster mit Ansichten der Konsolenstruktur sowie der administrativen Eigenschaften, Dienste und Ereignisse, die von den Elementen der Konsolenstruktur ausgeführt werden. Das MMC-Hauptfenster enthält Befehle und Tools zum Erstellen von Konsolen. Die Erstellfunktionen von MMC und die Konsolenstruktur sind im Benutzermodus gegebenenfallsausgeblendet. Siehe auch: Konsolenstruktur. MMC-Snap-In Ein Verwaltungstool, das Sie der Struktur einer Konsole hinzufügen können, die von Microsoft Management Console (MMC) unterstützt wird. Ein Beispiel hierzu ist der Geräte-Manager. Ein Snap-In ist entweder eigenständig oder ein Erweiterungs-Snap-In. Ein Erweiterungs-Snap-In kann im Gegensatz zu einem eigenständigem Snap-In nur als Erweiterung hinzugefügt werden. Siehe auch: MMC. MobilerBenutzer Ein Benutzer, der außerhalb der Firma am Computer arbeitet. Beispiele für mobile Benutzer sind Handelsvertreter oder Techniker im Außendienst. Modul Eine Komponente von Windows 2000, die ausschließlich für ihre Funktionen zuständig ist. Der Benutzermodus einer Anwendung wird in einem anderen Modul ausgeführt als in dem, von dem Systemdienste angefordert werden. Die Anwendungsprozesse werden im (geschützten Kernelmodus, in dem der Dienst zur Verfügung gestellt wird, auf andere Module übertragen. Mouthstick Ein alternatives Eingabegerät für Benutzer mit physischen Behinderungen. MS-DOS-basierteAnwendung EineAnwendung,
die für MS-DOS konzipiert wurde und deshalb unter Umständen nicht alle Windows 2000Funktionen unterstützt. MSI EineDateierweiterung für Paketdateien von Windows Installer.
Multicast Netzwerkverkehr mit einer Gruppe von Hosts, die einer Multicastgruppe angehören. Siehe auch: Multicastgruppe. Multicastbackbone Das IP-Multicastnetzwerk des Internets. Multicastbereich IP-Multicastadressen im Bereich von 239.0.0.0 bis 239.254.255.255. Multicastadressen in diesem Bereich können durch bereichsbasierte Multicastgrenzen daran gehindert werden, Daten zu senden oder zu empfangen. Multicastgruppe Eine Gruppe mit TCP/IP-Hosts, die Datagramme überwachen und empfangen, die an eine angegebene Ziel-IP-Adresse gesendet wurden. Die Zieladresse der Gruppe ist eine gemeinsam genutzte IP-Adresse im Adressbereich der Klasse D (224.0.0.0 bis 2239.255.255.255). Siehe auch: Datagramm. Multicast-Weiterleitungstabelle Eine Tabelle die von IP zum Weiterleiten von IP-Multicastverkehr verwendet wird. Ein Eintrag der IP-MulticastWeiterleitungstabelle besteht aus der Adresse der Multicastgruppe, der Quell-IP-Adresse, einer Liste mit Schnittstellen, an die der Verkehr weitergeleitet wird (Schnittstellen für den nächsten Abschnitt), und der Schnittstelle, bei der der Verkehr eingehen muss, um weitergeleitet werden zu können (die Schnittstelle des vorherigen Abschnitts). Multimaster-Replikation 1. Ein Replikationsmodell, in dem Domänencontroller Verzeichnisänderungen bestätigen und auf einen anderen Domänencontroller replizieren. In anderen ReplikationsmodellenwirddieVerzeichniskopie von einem Computer gespeichert, wobei die anderen Computer nur über eine Sicherungskopie verfügen, die nicht geändert werden kann. Siehe auch: Domänencontroller,Replikation.
NetBIOS (Network Basic Input/Output System)
2. Der Prozess, bei dem Windows 2000DomänencontrollerDomänendatenreplizieren. Der Emulator des primären Domänencontrollers repliziert die Domänendaten auf die anderen Domänencontroller. Siehe auch: Emulator des primärenDomänencontrollers.
N NamedPipe Der Teil eines Speichers, der von einem Prozess zum Übermitteln von Informationen an einen anderen Prozess verwendet wird, so dass die Ausgabe des einen Prozesses die Eingabe des anderen Prozesses ist. Der zweite Prozess kann lokal (auf dem gleichen Computer wie der erste) oder remote (auf einem Netzwerkcomputer) sein. Namensauflösung Bei diesem Prozess werden benutzerfreundliche Namen in numerische IPAdressen für die TCP/IP-Kommunikation umgewandelt. Die Namensauflösung kann von Softwarekomponenten, beispielsweise DNS oder WINS, durchgeführt werden. Beim Verzeichnisdienst ist die Namensauflösung die Phase der LDAP-Verzeichnisverarbeitung, in der ein Domänencontroller gesucht wird, der den Zieleintrag für die Operation enthält. Siehe auch: DNS, TCP/IP, WINS. Namensauflösungsdienst Dieser Dienst wird von TCP/IP-Netzwerken benötigt, um Computernamen in IP-Adressen (und umgekehrt) umzuwandeln. (Benutzer verwenden „normale“ Namen und Programme IP-Adressen, um eine Verbindung zu Computern herzustellen.) Siehe auch: Netzwerk, IP-Adresse, TCP/IP. Namensdienst Ein Dienst, beispielsweise von WINS oder DNS, der normale Namen für Adressen oder andere speziell definierte Ressourcendaten zum Ermitteln von verschiedenen Netzwerkressourcen auflöst. Namensserver Ein Namensserver ist in einem DNS-Client/Server-Modell der Server, der für einen Bestandteil der DNS-Datenbankautorisiert ist. Der Server erstellt die Computernamen und andere Clientauflösungsdiensten zur Verfügung gestellten Informationen, die Abfragen zu Namensauflösungen im Internet oder einem Intranet ausführen. Siehe auch: DNS.
1029
Namespace Eindeutige Namen für Ressourcen oder Elemente in einer gemeinsam genutzten Computerumgebung. Die Namen im Namespace können auf die Objekte aufgelöst werde, die sie darstellen. Bei MMC wird der Namespace durch die Konsolenstruktur dargestellt, die alle Snap-Ins und Ressourcen anzeigt, die einer Konsole zur Verfügung stehen. Bei DNS ist der Namespace die vertikale oder hierarchische Struktur der Domänennamenstruktur. Jede Domänen spezifikation, beispielsweise „host1“ oder „example“,einesvollqualifiziertenDomänennamens, beispielsweise „host1.example.microsoft.com“, gibt eine Teilstruktur der Domänennamespacestruktur an. Bei Active Directory entspricht der Namespace dem DNS-Namespace in der Struktur, er löst jedoch nur Objektnamen von Active Directory auf. NCP (NetWare Core Protocol) Ein Dateifreigabeprotokoll, das die Kommunikation über Ressourcen- (beispielsweise Datenträger und Drucker),Bindery- und NDS-Operationen zwischen Server- und Clientcomputern auf einem NovellNetWare-Netzwerk regelt. Anforderungen von Clientcomputern werden mit dem IPXProtokoll übertragen. Die Server reagieren entsprechend der NCP-Richtlinien. Siehe auch: Bindery, IPX, NDS. NDS (Novell Directory Services) Eineverteilte Datenbank bei Netzwerken unter Novell NetWare 4.x und NetWare 5.x, die Informationen zu jeder Ressource im Netzwerk verwaltet und den Zugriff auf diese Ressourcen ermöglicht. NetBEUI (NetBIOS Enhanced User Interface) Ein Netzwerkprotokoll zu Microsoft Networking, das in der Regel bei lokalen Netzwerken mit bis zu 200 Clients verwendet wird. NetBEUI verwendet das Source-Routing von Token Ring als einzige Routingmethode. NetBEUI ist die MicrosoftImplementierung des NetBIOS-Standards. NetBIOS (Network Basic Input/Output System) Eine Schnittstelle für die Anwendungsprogrammierung (API), die von Anwendungen auf einem lokalen Netzwerk bzw. auf Computern unter MS-DOS, OS/2 oder einem UNIX-System verwendet werden können. NetBIOS enthält Befehle zum Abfragen von allgemeinen Netzwerkdiensten.
1030
NetBIOS-Name
NetBIOS-Name Ein von WINS erkannter Name, der einer IP-Adresse zugeordnet wird. NetBIOS-Namensauflösung Das Auflösen eines NetBIOS-Namens in die entsprechende IPAdresse. NetBT (NetBIOS über TCP/IP) Eine Funktion, die die NetBIOS-Programmierschnittstelleüber TCP/IP zur Verfügung stellt. NetBT überwacht verteilte Server, die die NetBIOSNamensauflösung verwenden. Netdom Ein Tool, mit dem die Verwaltung von Windows 2000-Domänen und Vertrauensstellungen über die Befehlszeile ausgeführt werden kann. NetWare Das Netzwerkbetriebssystem von Novell. Netzwerkadapter Eine Software- oder HardwareSteckplatine, die einen Knoten oder Host mit einem lokalen Netzwerk verbindet. Wenn der Knoten Mitglied eines Serverclusters ist, handelt es sich bei dem Netzwerkadapter um ein Serverclusterobjekt (das Netzwerkschnittstellenobjekt). Netzwerkadministrator EinNetzwerkadministrator ist für das Einrichten und Verwalten von Domänencontrollern oder lokalen Computern und den zugehörigen Benutzer- und Gruppenkonten zuständig. Außerdem weist der Administrator Kennwörter und Berechtigungen zu und unterstützt Benutzer bei der Problembehandlung. Administratoren sind Mitglieder der Administratorgruppe und haben vollständige Kontrolle über die Domäne bzw. über die Computer. Netzwerkadresse Siehe: Netzwerkkennung. Netzwerkadressübersetzung(NAT) Ein Protokoll, mit dem ein Netzwerk mit privaten Adressen auf Informationen im Internet über einen IP-Übersetzungsprozess zugreifen kann. Netzwerkgateway Ein Gerät, das Netzwerke mit verschiedenenKommunikationsprotokollen verbindet, so dass die Informationen entsprechend übergeben werden können. Ein Gateway überträgt Informationen und konvertiert diese in ein Format, das mit den Protokollen des Empfängernetzwerks kompatibel ist.
Netzwerkkennung Eine Nummer zum Bezeichnen von Systemen, die sich auf dem gleichen physikalischen Netzwerk befinden, das von Routern verwendet wird. Die Netzwerkkennung muss im Netzwerk eindeutig sein. Netzwerklastenausgleich EineWindows Clustering-Komponente, dieeingehende Webanforderungen auf die Cluster von IISServern verteilt. Netzwerklastenausgleichscluster Zwischen 2 und 32 IIS-Server, von denen der Netzwerklastenausgleich den Webclients eine IPAdresse zur Verfügung stellt, und zwischen denen derNetzwerklastenausgleicheingehende Webanforderungenverteilt. Netzwerkmedien Protokolle zum Übertragen und Empfangen von Frames. Beispiele: Ethernet, FDDI und Token Ring. Netzwerkmonitor Ein Tool für die Erfassung und Analyse von Paketen, das für die Darstellung des Netzwerkverkehrs verwendet wird. Diese Funktion ist im Lieferumfang von Windows 2000 Server enthalten. Systems Management Server enthält eine erweiterte Version. Netzwerkname Der Name in Serverclustern, über den Clients auf Serverclusterressourcen zugreifen können. Ein Netzwerkname ist mit einem Computernamen vergleichbar. Wenn ein Netzwerkname in einer Ressourcengruppe mit einer IP-Adresse kombiniert wird und die Anwendungsclients darauf zugreifen, stellt der Name für die Clients einen virtuellen Server dar. Netzwerkpräfix Die Anzahl der Bits der IPNetzwerkkennung ab dem höchstwertigen Bit. Das Netzwerkpräfix ist eine alternative Darstellung einer Subnetzmaske. Netzwerkpräfixnotation Einealternative Darstellung für die punktierte DezimalschreibweiseeinerSubnetzmaske. Netzwerkschicht Eine Schicht, die Nachrichten adressiert und logische Adressen und Namen in physikalische Adressen umwandelt. Diese Schicht bestimmt außerdem die Route vom Quell- zum Zielcomputer, und verwaltet Verkehrsprobleme, indem beispielsweise Pakete in einem Netzwerk-
Objekt
stau umgeleitet, verteilt und gesteuert werden.
Neu packen Das Umwandeln einer älteren Anwendung, damit diese Anwendung die zahlreichen Funktionen von Windows Installer nutzen kann. Hierzu gehören die Fähigkeit, die Anwendung Benutzern anzukündigen, die Möglichkeitder Softwarewiederherstellung, wenn wichtige Dateien gelöscht oder beschädigt wurden, sowie die Fähigkeit, dass Benutzer die Anwendung mit höherenPrivilegieninstallierenkönnen. Neuinstallation Der Prozess der Installation eines Betriebssystems auf einer leeren Partition der Computerfestplatte. Nicht autorisierendeWiederherstellung Das Wiederherstellen der Sicherungskopie eines Windows 2000-Domänencontrollers. In diesem Fall werden die Objekte im wiederhergestellten Verzeichnis nicht wie autorisierte Objekte behandelt. Die wiederhergestellten Objekte werden entsprechend der Änderungen in anderen Replikaten der wiederhergestellten Domäne aktualisiert. Siehe auch: autorisierteWiederherstellung. NichtzugeordneterSpeicher Verfügbarer Speicherplatz, der keinen Partitionen, logischen Laufwerken oder Datenträgern zugeordnet ist. Der auf einem nicht zugeordneten Speicher erstellte Objekttyp hängt vom Typ des Datenträgers (Basisfestplatte oder dynamischer Datenträger) ab. Bei Basisfestplatten kann der nicht zugeordnete Speicher außerhalb der Partitionen zum Erstellen von primären oder erweiterten Partitionen verwendet werden. Der freie Speicherplatz einer erweiterten Partition kann zum Erstellen eines logischen Laufwerks verwendet werden. Bei dynamischen Festplatten kann der nicht zugeordnete Speicher zum Erstellen von dynamischen Datenträgern verwendet werden. Im Gegensatz zu Basisfestplatten wird der genaue Plattenbereich nicht ausgewählt. Siehe auch: Basisfestplatte, Datenträger, dynamische Festplatte, erweiterte Partition, Laufwerk, logische Partition, primäre Partition.
1031
Nicht-Containerobjekt Ein Objekt, das keine anderen Objekte logisch enthalten kann. Eine Datei ist ein Nicht-Containerobjekt. Siehe auch: Containerobjekt,Objekt. NNTP(Network News Transfer Protocol) Ein Mitglied der TCP/IP-Protokollfamilie, das Network Newsbeiträge an NNTP-Server und -Clients, oder Newsreader, im Internet verteilt. NNTP speichert Newsbeiträge auf einen Server einer zentralen Datenbank, so dass Benutzer bestimmte Artikel auswählen können. Siehe auch: TCP/IP. Notfalldiskette Eine Diskette, die von Microsoft Windows Backup erstellt wird und Informationen zu den aktuellen Systemeinstellungen enthält. Sie können diese Diskette einlegen, wenn der Computer nicht startet oder Ihre Systemdateien beschädigt bzw. gelöscht wurden. NTFS Ein wiederherstellbares Dateisystem für Windows NT und Windows 2000. NTFS verwendet Datenbank-, Transaktionsverarbeitungs-, und Objektparadigmen, um unter anderem die Datensicherheit und die Zuverlässigkeit des Dateisystems zu gewährleisten. NTFS unterstützt Dateisystemwiederherstellung, große Speichermedien und verschiedene Funktionen für das POSIX-Teilsystem. Des Weiteren unterstützt NTFS objektorientierte Anwendungen, indem alle Dateien als Objekte mit benutzerdefinierten und systemdefinierten Attributen behandelt werden. NWLink Eine Implementierung von IPX-, SPXund NetBIOS-Protokollen in Novell-Netzwerken. NWLink ist ein Standardnetzwerkprotokoll, das Routing und gegebenenfalls NetWareClient/Server-Anwendungen unterstützt, wenn NetWare-Sockets-Anwendungen mit IPX/SPX Sockets-Anwendungenkommunizieren. Siehe auch: IPX, NetBIOS.
O Objekt Eine Entität, beispielsweise ein Datei-, ein Ordner-, ein Freigabeordner-, ein Drucker- oder ein Active Directory-Objekt, die von einer eigenen, benannten Attributgruppe beschrieben wird. Die Attribute eines Dateiobjekts enthalten den Namen, den Speicherort und die Größe. Die Attribute eines Active Directory-Benutzerobjekts können den Vornamen, Nachnamen und die E-
1032
Objektklasse
Mail-Adresse des Benutzers enthalten. Bei OLE und ActiveX kann ein Objekt auch eine beliebige Information sein, die mit einem anderen Objekt verknüpft bzw. in ein anderes Objekt eingebettet sein kann. Siehe auch: Attribut,Containerobjekt, Nicht-Containerobjekt,übergeordnetesObjekt, untergeordnetes Objekt. Objektklasse Die Objektklasse ist die formelle Definition eines bestimmten Objekttyps, die im Verzeichnis gespeichert werden kann. Eine Objektklasse ist eine eigene, benannte Gruppe mit Attributen, die beispielsweise einen Benutzer, einen Drucker oder eine Anwendung darstellen. Die Attribute enthalten Daten für das Element, das vom Verzeichnisobjekt definiert wird. Die Attribute eines Benutzers können den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers enthalten. Die Begriffe „Objektklasse“ und „Klasse“ sind synonym. Die Attribute für die Beschreibung eines Objekts werden von den Regeln für den Inhalt bestimmt. ODBC (Open Database Connectivity) Eine Schnittstelle für die Anwendungsprogrammierung (API), die Datenbankanwendungen den Zugriff auf Daten aus verschiedenen vorhandenen Datenquellenermöglicht. OEM (Original Equipment Manufacturer) Der Hersteller des Bestandteils einer Ausstattung. Die Hersteller der Originalausstattung erwerben in der Regel Komponenten von anderen Herstellern für Originalausstattung, die sie anschließend in die eigenen Produkte integrieren. ÖffentlicheAdressen IP-Adressen, die vom InterNIC (Internet Network Information Center) zugewiesen werden, die garantiert globaleindeutig und im Internet erreichbar sind. ÖffentlicherSchlüssel Die nicht geheime Hälfte eines kryptographischen Schlüsselpaars, das mit einem Algorithmus für öffentliche Schlüssel verwendet wird. Öffentliche Schlüssel werden in der Regel für die Prüfung der digitalen Datensignatur und zum Entschlüsseln von Daten verwendet, die mit dem entsprechenden privaten Schlüssel verschlüsselt wurden. Siehe auch: privater Schlüssel.
Öffentliches/privatesSchlüsselpaar Kryptographische Schlüssel, die für die Kryptographie mit öffentlichen Schlüsseln verwendet werden. Ein Schlüssel ist für die Verschlüsselung, der andere für die Entschlüsselung zuständig. Siehe auch: öffentlicher Schlüssel, privater Schlüssel.
Offlinebetrieb Der Status einer Ressource, einer Gruppe oder eines Knotens in einem Servercluster, wenn das Element dem Cluster nicht zur Verfügung steht. Ressourcen und Gruppen haben auch einen Offlinestatus. Siehe auch: angehalten, Gruppe, Knoten, online, Ressource. OLE (Object Linking And Embedding) Ein Verfahren zur Freigabe von Informationen zwischen Anwendungen. Durch Objektverknüpfungen, beispielsweise Verknüpfungen von Grafiken, in zwei Dokumenten wird ein Verweis auf das Objekt in das zweite Dokument eingefügt. Wenn Sie das Objekt im ersten Dokument ändern, werden die Änderungen im zweiten Dokument übernommen. Wenn Sie ein Objekt einbetten, wird eine Kopie des Objekts aus einem Dokument in ein anderes Dokument abgelegt. Objektänderungen im ersten Dokument werden nur dann im zweiten Dokument übernommen, wenn das eingebettete Objekt explizit aktualisiert wird. Siehe auch: ActiveX. Online Der Status einer Ressource, einer Gruppe oder eines Knotens in einem Servercluster, wenn das Element dem Cluster zur Verfügung steht. Siehe auch: angehalten, Knoten, offline, Ressource, Takt. Ordnerumleitung EineGruppenrichtlinienoption, die Ihnen ermöglicht, angegebene Ordner an das Netzwerkweiterzuleiten. Organisationseinheiten Ein Active DirectoryContainerobjekt, das in Domänen verwendet wird. Organisationseinheiten sind logische Container, in die Benutzer, Gruppen, Computer und andere Organisationseinheiten eingefügt werden. Diese Einheiten können nur Objekte aus der übergeordneten Domäne enthalten. Eine Organisationseinheit ist der kleinste Bereich, der einer Gruppenrichtlinie oder einer Delegierungsstellezugewiesen werden kann.
Pfad
OSPF (Open Shortest Path First) Ein Routingprotokoll, das in mittelgroßen und großen Netzwerken verwendet wird. Dieses Protokoll ist zwar komplexer als RIP, kann jedoch besser gesteuert werden und Routinginformationen schneller weiterleiten.
P Paket 1. Ein Symbol, das eingebettete oder verknüpfte Informationen darstellt. Diese Informationen können aus einer vollständigen Datei, beispielsweise aus einer Bitmap, oder aus einem Teil einer Datei, beispielsweise aus der Zelle einer Tabelle, bestehen. Nach der Auswahl eines Pakets spielt die Anwendung, mit der das Objekt erstellt wurde, dieses ab (wenn es sich beispielsweise um eine Audiodatei handelt) oder öffnet das Objekt und zeigt es an. Wenn die ursprünglichen Daten geändert wurden, werden die verknüpften Informationenanschließendaktualisiert. Eingebettete Informationen müssen jedoch manuell aktualisiert werden. Ein Paket ist in Systems Management Server ein Objekt, das die Dateien und Anweisungen für das Verteilen der Software an einen Verteilungspunkt enthält. Siehe auch: eingebettetes Objekt, OLE, verknüpftes Objekt. 2. Eine Übertragungseinheit mit fester maximaler Größe, die aus Binärdaten besteht. Diese Informationen stellen Daten und einen Header mit einer Kennung, einer Quell- und Zieladresse sowie Daten für die Fehlersteuerung dar. Paketfilterung Verhindert, dass bestimmte Netzwerkpakettypen gesendet oder empfangen werden können. Dieser Mechanismus kann zur Erhöhung der Sicherheit (um den Zugriff unbefugter Benutzer zu verhindern) oder zur Steigerung der Leistung eingesetzt werden, indem er verhindert, dass unnötige Pakete langsame Verbindungen durchqueren. Siehe auch: Paket. Paketverteilung In Systems Management Server ein Prozess, in dem ein dekomprimiertes Paketbild auf Verteilungspunkte platziert wird, das Bild freigegeben und den Clients zur Verfügung gestellt wird. Dieser Prozess wird ausgeführt, wenn Sie Verteilungspunkte für ein Paket angeben. PAP (Password AuthenticationProtocol)
1033
Ein einfaches, auf Text basierendes Authentifizierungsschema für PPP-Verbindungen. Der Benutzername und das Kennwort werden vom RAS-Server angefordert und vom RAS-Clientals Klartext zurückgegeben. Papierformat GibtdiePapiergröße(beispielsweise A4 oder A5) an, die einem Druckerschacht zugewiesen ist. Das Format definiert physikalischeEigenschaften,beispielsweise die Papiergröße und die Ränder des Druckbereichs bei Papier oder anderen Druckmedien. Partition Eine logische Aufteilung einer Festplatte. Partitionen vereinfachen das Organisieren von Informationen. Jede Partition kann für ein unterschiedliches Dateisystem formatiert werden. Eine Partition muss vollständig auf einem physikalischen Datenträger enthalten sein, und die Partitionstabelle im MBR (Master Boot Record) für einen physikalischen Datenträger kann bis zu vier Einträge für Partitionen enthalten. Partitionstabelle Ein Bereich des MBR (Master Boot Record), über den der Computer den Zugriff auf den Datenträger bestimmt. Die Partitionstabelle kann bis zu vier Partitionen für jeden physikalischen Datenträgerenthalten. PCI (Peripheral Component Interconnect) Eine Spezifikation der Intel Corporation, die ein lokales Bussystem definiert. Dieses System unterstützt bis zu 10 PCI-kompatible Erweiterungskarten auf einem Computer. PC-Karte Ein austauschbares Gerät von der Größe einer Kreditkarte, das in einen PCMCIASteckplatz eines tragbaren Computers eingesteckt werden kann. PCMCIA-Geräte können Modems, Netzwerkadapter und Festplattenlaufwerke sein. PCL (Printer Control Language) Die PDL-Sprache, die für die Laser- und Tintenstrahldrucker von Hewlett Packard entwickelt wurde. Da Laserdrucker weit verbreitet sind, hat sich diese Befehlssprache bei vielen Druckern zum Standard entwickelt. Siehe auch: PDL, PostScript. PDL(Page-DescriptionLanguage)_ Eine Computersprache, die die Anordnung von Text und Grafiken auf einer Druckseite beschreibt. Siehe auch: PCL, PostScript. Pfad Eine Sequenz von Verzeichnisnamen, die
1034
PIN (Personal Identification Number)
den Standort von Verzeichnissen, Dateien oder Ordnern innerhalb der Windows-Verzeichnisstruktur angibt. Jedem Verzeichnis- und Dateinamen im Pfad muss ein umgekehrter Schrägstrich (\) vorangestellt sein. Um beispielsweise den Pfad der Datei README.DOC im Windows-Verzeichnis auf Laufwerk C anzugeben, geben Sie C:\Windows\Readme.doc ein. PIN (Personal Identification Number) Ein Geheimcode, der Smartcards vor Missbrauch schützt. Die PIN ist mit einem Kennwort vergleichbar und nur dem Karteneigentümer bekannt. Smartcards können nur von Personen verwendet werden, denen die PIN bekannt ist. Siehe auch: Smartcard. Ping Ein Tool, das die Verbindungen zu Remotehosts überprüft. Der Pingbefehl verwendet die ICMP-Pakete für Echoanforderung und die Echoantwort, um die Funktionalität eines bestimmten IP-Systems auf einem Netzwerk zu bestimmen. Ping wird für die Diagnose von Fehlern bei IP-Netzwerken oder Routern verwendet. Siehe auch: ICMP. Plug & Play Intel-Spezifikationen,dieeinem Computer ermöglichen, ein Gerät automatisch zu ermitteln und zu konfigurieren und die geeigneten Gerätetreiber zu installieren. Port In der TCP/IP-Protokollfamilieein Programmmechanismus, der mehrere Sitzungen von TCP/IP-Anwendungengleichzeitig ermöglicht. Ein Port wird oft als zusätzliche Angabe bei einer IP-Adresse verwendet. Portregel BeimNetzwerklastenausgleicheine Gruppe mit Konfigurationsparametern zur Bestimmung des Filtermodus für die Anschlüsse. Siehe auch: Filtermodus. PostScript Eine PDL von Adobe Systems, die für Laserdrucker entwickelt wurde. PostScript handhabt Schriftarten flexibel und erzeugt Grafiken von hoher Qualität. PostScript wird als DTPStandard verwendet, weil diese Sprache von Imagesettern, den qualitativ hochwertigen Druckern der Druckindustrie, unterstützt wird. Siehe auch: PCL, PDL. PPP (Point-to-Point-Protokoll) EineProtokollfamilie
mit Industriestandard für PPP-Verbindungenzur Übertragung von Multiprotokolldatagrammen. PPP wird in RFC 1661 definiert. PPTP(Point-to-Point-Tunneling-Protokoll) EinTunneling-Protokoll, das PPP-Frames in IPDatagramme für die Übertragung über ein IPNetzwerk, beispielsweise über das Internet oder ein privates Intranet, kapselt. PrimärePartition Ein Datenträger, der mit dem nicht zugeordneten Speicher auf einer Basisfestplatte erstellt wurde. Windows 2000 und andere Betriebssysteme können von einer primären Partition aus gestartet werden. Es können auf einer Basisfestplatte bis zu vier primäre Partitionen bzw. bis zu drei primäre Partitionen und eine erweiterte Partition erstellt werden. Primäre Partitionen können nur auf Basisfestplatten erstellt und nicht mehr in weitere Partitionen unterteilt werden. Siehe auch: Basisfestplatte, dynamischer Datenträger, erweiterte Partition, Partition. PrimärerDomänencontroller Ein Domänencontroller von Windows NT 4.0 und 3.51, der als erster in der Domäne erstellt wird und den primären Speicherort für Domänendaten enthält. Innerhalb der Domäne repliziert der primäre Domänencontroller periodisch seine Daten auf die anderen Domänencontroller, die auch als Reservedomänencontrollerbezeichnetwerden. Siehe auch: Reservedomänencontroller. PrimärerServer Ein autorisierter DNS-Server für eine Zone, der als Aktualisierungspunkt für die Zone verwendet werden kann. Es können nur primäre Masterserver direkt aktualisiert werden, um Zonenaktualisierungen zu verarbeiten. Hierzu gehören das Hinzufügen, Entfernen und Ändern von Ressourceneinträgen, die als Zonendaten gespeichert sind. Primäre Server werden auch als erste Quelle für die Replikation der Zone auf andere DNS-Server verwendet. PrimäresToken Das einem Prozess zugeordnete Zugriffstoken, das die Standardsicherheitsinformationen für den Prozess darstellt. Diese Token wird bei Sicherheitsoperationen von einem Thread verwendet, der nicht aufgrund des Clients, sondern wegen des Prozesses ausgeführt wird. Siehe auch: Zugriffstoken, Identitätstoken, Prozess. Priorität Eine Rangordnung, die die Reihenfolge
RAID (Redundant Array of Independent Disks)
bestimmt, in der die Threads eines Prozesses für den Prozessor geplant werden. PrivateAdressen IP-Adressen innerhalb des privaten Adressbereichs, die von Organisationen für die private Intranetadressierung verwendet werden. Eine private IP-Adresse befindet sich in einem der folgenden Adressblöcke: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. PrivaterSchlüssel Der geheime Teileines kryptographischen Schlüsselpaars, das mit einem Algorithmus für öffentliche Schlüssel verwendet wird. Private Schlüssel werden in der Regel für die digitale Datensignatur und zum Entschlüsseln von Daten verwendet, die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurden. Siehe auch: öffentlicher Schlüssel. Privileg Ein Benutzerrecht zum Ausführen einer bestimmten Task, die sich in der Regel nicht nur auf ein bestimmtes Objekt, sondern auf das gesamte Computersystem bezieht. Privilegien werden einzelnen Benutzern oder Benutzergruppen als Teil der Sicherheitseinstellungen für die Computer von Administratoren erteilt. Siehe auch: Benutzerrechte, Berechtigung, Zugriffstoken. Protokoll Regeln und Konventionen für zwei Computer, die sich Nachrichten über ein Netzwerk übergeben. Die Netzwerksoftware implementiert in der Regel mehrere gestapelte Protokollebenen.Windows NT und Windows 2000 enthalten NetBEUI, TCP/IP und IPX/SPX-kompatibleProtokolle. Protokolldatei Eine Datei, die Nachrichten speichert, die von einer Anwendung, einem Dienst oder einem Betriebssystem generiert wurden. Diese Nachrichten dienen der Erfassung des Operationsverlaufs. Webserver verwalten beispielsweise Protokolldateien, in denen jede Anforderung an den Server verzeichnet wird. Protokolldateien sind in der Regel ASCII-Dateien und haben oft die Erweiterung LOG. Bei der Bandsicherung enthält die Protokolldatei einen Datensatz mit dem Datum, an dem die Bänder erstellt wurden, sowie den Namen der Dateien und Verzeichnisse, die erfolgreich gesichert und wiederhergestellt wurden. Der Dienst Leistungsprotokolle und Warnungen erstellt auchProtokolldateien.
1035
Prozess Ein Betriebssystemobjekt, das aus einem ausführbaren Programm, virtuellen Speicheradressen und Threads besteht. Wenn ein Programm startet, wird ein Windows 2000Prozess erstellt. Siehe auch: Thread. Puffer Ein Speicherbereich für das Zwischenspeichern von Daten, bis diese verwendet werden können. Pull-Partner Ein WINS-Dienst, der Replikate vom Push-Partner durch Anforderung und Eingangsbestätigung beziehen kann. Siehe auch: Push-Partner. Push-Partner EinWINS-Dienst, der Replikate an den Pull-Partner sendet, nachdem eine entsprechende Anforderung eingegangen ist. Siehe auch: Pull-Partner. PVC (Permanent Virtual Circuit) Ein Virtual Circuit, der einer vorkonfigurierten statischen Route zugewiesen ist.
Q QoS-Zugangssteuerungsdienst Ein Softwaredienst, der die Bandbreite und die Netzwerkressourcen auf dem Subnetz steuert, das dem Dienst zugeordnet ist. Wichtigen Anwendungen kann eine höhere, weniger wichtigen Anwendungen eine niedrigere Bandbreitezugewiesen werden. Der QoS-Zugangssteuerungsdienst kann auf jedem Netzwerkcomputer unter Windows 2000 installiert werden. Quality of Service (QoS) Eine Gruppe mit Standards für die Qualitätssicherung sowie Mechanismen für die Datenübertragung, die unter Windows 2000 implementiert werden. Quorumprotokoll Ein Datensatz auf dem Quorumdatenträger, der die Änderungen am Clusterhive der Registrierung enthält, die seit dem letzten Hiveprüfpunkt vorgenommen wurden. Wird auch Wiederherstellungsprotokoll oder Änderungsprotokoll genannt.
R RAID (Redundant Array of Independent Disks) Eine Methode zum Standardisieren und Kategorisieren fehlertoleranter Datenträgersysteme. Die Leistung, Zuverlässigkeit und die Kosten werden
1036
RAID-5-Datenträger
auf sechs Ebenen gemessen. Windows 2000 enthält drei dieser RAID-Ebenen: Ebene 0 (Striping), Ebene 1 (Spiegeln) und Ebene 5 (Striping mit Parität). Siehe auch: Fehlertoleranz, gespiegelter Datenträger, RAID-5-Datenträger, Stripesetdatenträger.
gesteuert werden. Jede Regel enthält eine Liste mit IP-Filtern und eine Zusammenstellung von Sicherheitsaktionen, die beieiner Übereinstimmung mit der entsprechenden Filterliste ausgeführt werden.
RAID-5-Datenträger Ein fehlertoleranter Datenträger mit Daten und Parität, die fortlaufend auf drei oder mehr physikalischen Datenträgern als Stripeset verteilt wurden. Die Parität ist ein berechneter Wert, der zum Wiederherstellen der Daten nach einem Ausfall benötigt wird. Wenn ein Bestandteil eines physikalischen Datenträgers ausfällt, können Sie die Daten dieses Bestandteils über die verbleibenden Daten und die Parität wiederherstellen.
Registrierung Eine Datenbank unter Windows 2000, Windows NT und Windows 98, die Informationen zur Konfiguration des Computers enthält. Die Registrierung ist hierarchisch aufgebaut und besteht aus Unterstrukturen mit Schlüsseln, Hives, und Einträgen.
RAS (Remote Access Service) Ein Windows NT 4.0-Dienst, der ein Remotenetzwerk für Telecommuter, mobile Benutzer und Systemadministratoren zur Verfügung stellt, die Server auf mehreren Zweigstellen des Unternehmens überwachen und verwalten. RAS-Richtlinie Eine Gruppe mit Bedingungen und Verbindungsparametern, die die Eigenschaften der eingehendenVerbindungbeschreiben, und die zugehörigen Integritätsregeln. RAS-Richtlinien bestimmen, ob ein bestimmter Verbindungsversuch angenommen werden darf. RAS-Server Ein Computer unter Windows 2000 Server, auf dem der RAS-Dienst ausgeführt wird, der für den Remotezugriff konfiguriert wurde. Rasterschriftart Als Bitmap gespeicherte Schriftart, die auch als Bitmapschriftart bezeichnet wird. Die Rasterschriftart wurde für einen Schriftgrad und eine Auflösung eines bestimmten Druckers konzipiert und kann nicht skaliert oder gedreht werden. Wenn ein Drucker keine Rasterschriftart unterstützt, kann er sie nicht drucken. Redirector Siehe: Windows 2000-Redirector. Regeln Ein IPSec-Richtlinienmechanismus,der bestimmt, wie und wann eine IPSec-Richtliniedie Kommunikation schützt. Mit einer Regel kann eine sichere Kommunikation basierend auf der Quelle, dem Ziel und dem IP-Verkehrstypinitialisiertund
Registrierungsschlüssel Eine Kennung für einen Datensatz oder eine Datensatzgruppe in der Registrierung. Remotecomputer Ein Computer, auf den nur über eineKommunikationsverbindungoderein Kommunikationsgerät,beispielsweiseübereinen Netzwerkadapter oder ein Modem, zugegriffen werden kann. Remotespeicher Unter Windows 2000 Server handelt es sich beim Remotespeicher um auswechselbare Bänder einer Bibliothek für die sekundäre Datenspeicherung. Die Bänder für die sekundäre Datenspeicherung werden vom Remotespeicher verwaltet und enthalten Daten, die von einem lokalen Speicher entfernt wurden. Siehe auch: lokaler Speicher. Replikat Hierbei handelt es sich bei der Active Directory-Replikation um eine Kopie einer logischen Active Directory-Partition, die über die Replikation zwischen Domänencontrollern mit Kopien dergleichenVerzeichnispartition synchronisiert wurden. Der Begriff Replikat kann sich auch auf die Gruppe der Verzeichnispartitionen beziehen, die auf jedem Domänencontroller gespeichert ist. Replikation Das Kopieren von Daten aus einem Datenspeicher oder Dateisystem auf mehrere Computer, die die gleichen Daten enthalten, um die Daten zu synchronisieren. Unter Windows 2000 findet die Replikation von Active Directory über den Verzeichnisreplikationsdienst statt. Die Replikation des Dateisystems erfolgt durch DFS-Replikation.
RID (Relative Identifier = relativer Bezeichner)
1037
Replikationstopologie In der Active DirectoryReplikation eine Verbindungsgruppe, die von Domänencontrollern verwendet wird, um untereinander Informationen sowohl innerhalb von Standorten als auch zwischen Standorten zu replizieren. Siehe auch: Domänencontroller, Active Directory-Replikation.
Ressourcen-DLL Eine DLL, die die Standardeigenschaften und das Verhalten für einen bestimmten Ressourcentyp definiert. Die Ressourcen-DLLenthält eine Implementierung der Ressourcen-API für einen bestimmten Ressourcentyp und wird in den Adressbereich des zugehörigenRessourcenmonitors geladen. Siehe auch: DLL, Ressourcenmonitor.
Replikationswartezeit Bei der Active DirectoryReplikation ist diese Wartezeit die Verzögerung zwischen dem Zeitpunkt, zu dem ein Replikat einer Verzeichnispartition aktualisiert wird, und dem Zeitpunkt zu dem es einem anderen Replikat der gleichen Verzeichnispartition zugeordnet wird. Die Replikationswartezeit wird auch als Verteilungsverzögerung bezeichnet. Siehe auch: Multimaster-Replikation.
Ressourcendomäne Eine Windows NT-Domäne mit Kontendaten für Arbeitsstationen und Ressourcencomputer (beispielsweise Datei- und Druckserver) die zu einem Konto oder einer Masterdomäne gehören. Siehe auch: Kontendomäne, Masterdomäne.
Reservedomänencontroller Ein Computer unter Windows NT Server bis Version 4.0, der Windows NT Server ausführt und eine Kopie der Verzeichnisdatenbank der Domäne erhält (die alle Konten- undSicherheitsrichtlinieninformationen für die Domäne enthält). Die Kopie wird periodisch mit der Hauptkopie auf dem primären Domänencontroller synchronisiert. Ein Reservedomänencontroller authentifiziert auch die Anmeldedaten von Benutzern und kann bei Bedarf zum primären Domänencontroller heraufgestuft werden. Eine Domäne kann mehrere Reservedomänencontroller enthalten. Die Reservedomänencontroller von Windows NT 3.51 und 4.0 können an einer Windows 2000Domäneteilnehmen, wenn die Domäne im gemischten Modus konfiguriert ist. Siehe auch: gemischter Modus, primärer Domänencontroller. Ressource Jeder Bestandteil eines Computersystems oder Netzwerks, beispielsweise ein Laufwerk, ein Drucker oder Speicher, der einem Programm oder einem Prozess während der Ausführung zugewiesen werden kann. Beim Geräte-Manager handelt es sich um die Systemkomponenten, die steuern, wie die Geräte auf einem Computer eingesetzt werden. Bei diesen vier Systemressourcen handelt es sich um: IRQVerbindungen, DMA-Kanäle,E/A-Anschlüsse und Speicheradressen. In einem Servercluster ist eine Ressource die Instanz eines Ressourcentyps. Der Clusterdienst verwaltet verschiedene physikalische oder logische Elemente als Ressourcen.
Ressourceneintrag Informationen in der DNSDatenbank, die für die Verarbeitung von Clientabfragen verwendet werden. Jeder DNS-Server enthält die Ressourceneinträge zur Beantwortung der Abfragen für den Bestandteil des DNSNamespace, für den der Server autorisiert ist. Ressourcenmonitor Eine Serverclusterkomponente, die die Kommunikation zwischen dem Clusterdienst eines Knotens und den Ressourcen verwaltet. Siehe auch: Knoten, Ressource. Reverse-Lookup Eine Abfrage, in der die IPAdresse zur Bestimmung des DNS-Namens für den Computer verwendet wird. Reverse-Lookupzone Eine Zone mit Informationen, die zum Ausführen von Reverse-Lookups benötigt werden. Siehe auch: Reverse-Lookup. RFC (Request for Comments) Ein Dokument, das einen TCP/IP-Standard definiert. RFCDokumente werden von der Internet Engineering Task Force (IETF) veröffentlicht. Richtlinienvererbungblockieren Eine Option, die verhindert, dass Gruppenrichtlinienobjekte, die in übergeordneten Active Directory-Containern erstellt wurden, einem Computer oder Benutzer zugewiesen werden können. RID (Relative Identifier = relativer Bezeichner) Der Bestandteil der SID, der ein Konto oder eine Gruppe bezeichnet. RIDs sind relativ zu der Domäne eindeutig, in der die Konten oder Gruppen erstellt wurden. Siehe auch: SID.
1038
RIS (Remote Installation Services = Remoteinstallationsdienste)
RIS (Remote Installation Services = Remoteinstallationsdienste) Eine optionale Windows 2000-Komponente, die Windows 2000 Professional von einem entfernten Standort aus installiert. Das Betriebssystem wird auf Remotebootfähigen Clientcomputern installiert, indem der Computer mit dem Netzwerk verbunden, der Clientcomputer gestartet und eine Anmeldung mit einem gültigen Benutzerkonto ausgeführt wird. RIS-Setup (RISETUP.EXE) Eine RIS-Komponente für die Einrichtung des RIS-Servers. ROM (Read-OnlyMemory) EinHalbleiterschaltkreis mit schreibgeschützten Informationen. Round-Robin Ein einfacher Mechanismus von DNS-Servern zur Freigabe und Verteilung von Lasten für Netzwerkressourcen. Round-Robin kehrt die Reihenfolge der Ressourceneinträge in einer Abfrageantwort um, wenn mehrere Einträge des gleichen Typs für einen abgefragten DNSDomänennamen vorhanden sind. Routenzusammenfassung Das Zusammenfassen mehrerer Netzwerkkennungen zu einer einzelnen Route in der Routingtabelle. Bei richtigerPlanung können hierarchische Routinginfrastrukturen Routenzusammenfassung verwenden. Router Ein Netzwerkserver, der LANs und WANs bei der Interoperabilität und Konnektivität unterstützt, und der LANs mit unterschiedlichen Netzwerktopologien, beispielsweise Ethernet und Token Ring, miteinander verknüpfen kann. Router-to-Router-VPN-Verbindung bei Bedarf Diese Verbindung wird über einen anrufenden Router mit eine DFÜ-Verbindung zum Internet hergestellt. Routing Der Prozess zum Weiterleiten eines Pakets auf Grundlage der Ziel-IP-Adresse. Routinginfrastruktur Die Struktur und Topologie des Netzwerks. Routingprotokoll Eine Reihe periodischer oder bedarfsgesteuerter Nachrichten mit Routinginformationen, die beim Datenaustausch zwischen Routern und für die Gewährleistung der Fehlertoleranz ausgetauscht werden. Mit Ausnahme der Anfangskonfiguration benötigen dynamische Router einen verhältnismäßig geringen
Verwaltungsaufwand und können deshalb auf größeren Netzwerken eingesetzt werden. Routingtabelle Eine Routendatenbank mit Informationen zu Netzwerkkennungen, Weiterleitungsadressen und Metriken für erreichbare Netzwerksegmente in einem Netzwerk. RPC (Remote Procedure Call = Remoteprozeduraufruf) Eine Funktion zur Nachrichtenübergabe über die eine verteilte Anwendung Dienste aufrufen kann, die auf verschiedenen Computern im Netzwerk zur Verfügung stehen. Diese Funktion wird während der Remoteverwaltung von Computern verwendet.
S S/MIME (Secure/Multipurpose Internet Mail Extensions) Eine MIME-Erweiterung zur Unterstützung der sicheren E-Mail-Übertragung. Absender von EMail-Nachrichten können die Nachrichten digital signieren, um den Nachweis des Nachrichtenursprungs und der Datenintegrität zu erbringen. S/MIME ermöglicht auch das Senden von verschlüsselten Nachrichten. Siehe auch: MIME. SA (Security Association = Sicherheitszuordnung) Parameter, die die Dienste und Mechanismen zum Schutz der IP-Sicherheitskommunikation definieren. Siehe auch: IPSec. SACL (System Access Control List = Zugriffssteuerungsliste für das System) SACL stellt den Bestandteil der Sicherheitsbeschreibung eines Objekts dar, der angibt, welche Ereignisse pro Benutzer oder Gruppe überwacht werden sollen. Beispiele für Überwachungsereignisse sind der Dateizugriff, Anmeldevorgänge und das Herunterfahren des Systems. Siehe auch: ACE, DACL, Objekt, Sicherheitsbeschreibung. SAMI (Synchronized Accessible Media Interchange) Ein optimiertes Format zum Erstellen von Beschriftungen und Audiobeschreibungen in einem Dokument. Schema Eine Beschreibung der Objektklassen und Attribute in Active Directory. Für jede Objektklasse definiert das Schema, welche Attribute eine Objektklasse benötigt, welche zusätzlichen Attri-
Sekundärer Speicher
bute vorhanden sein können und welche Objektklasse dessen übergeordnetes Element sein kann. Das Active Directory-Schema kann dynamisch aktualisiert werden. Eine Anwendung kann beispielsweise das Schema um neue Attribute und Klassen erweitern und die Erweiterungen sofort verwenden. Schemaaktualisierungen werden durch Erstellen oder Ändern der Schemaobjekte vorgenommen, die in Active Directory gespeichert sind. Schemaobjekte haben wie alle Active Directory-Objekteeine Zugriffssteuerungsliste, so dass nur berechtigte Benutzer das Schema ändern können. Schlüssel Beieinem Schlüssel handelt es sich um den geheimen Code, der zum Lesen, Ändern oder Verifizieren von gesicherten Daten erforderlich ist. Schlüssel werden zusammen mit Algorithmen zum Sichern von Daten verwendet. Windows 2000 verarbeitet die Schlüsselgenerierung automatisch. Ein Schlüssel kann auch ein Eintrag in der Registrierung sein, der in Unterschlüssel und Haupteinträge unterteilt ist. In der Registrierungsstruktur entsprechen Schlüssel den Ordnern; die Einträge sind mit Dateien vergleichbar. Im Registrierungs-Editor werden die Schlüssel im linken Fensterausschnitt als Dateiordner angezeigt. In einer Antwortdatei sind Schlüssel Zeichenfolgen, die die Parameter angeben, über die das Installationsprogramm die erforderlichen Daten für eine unbeaufsichtigte Installation des Betriebssystems bezieht. Schlüsselaustausch Der vertrauliche Onlineaustausch von geheimen Schlüsseln. Dieser Vorgang wird meist über Kryptographie mit öffentlichen Schlüsseln ausgeführt. Siehe auch: Kryptographie mit öffentlichen Schlüsseln. Schlüsselpaar Ein privater Schlüssel und der zugehörige öffentliche Schlüssel. Siehe auch: öffentlich/privates Schlüsselpaar. Schlüsselverwaltung Die sichere Verwaltung von privaten Schlüsseln für die Kryptographie mit öffentlichen Schlüsseln. Windows 2000 verwaltet private Schlüssel, die von der CryptoAPI und von CSPs vertraulich behandelt werden. Siehe auch: CSPs, CryptoAPI, privater Schlüssel. Schnittstelle In Bezug auf Netzwerke ein logisches Gerät, über das Pakete gesendet und empfangen werden können. In Bezug auf den
1039
Routing und RAS-Dienst ist eine Schnittstelle eine visuelle Darstellung des Netzwerksegments, das über LAN- oder WAN-Adapter erreicht werden kann. Jede Schnittstelle hat einen eindeutigen Namen. Siehe auch: LAN, Netzwerkadapter, Routing, WAN. Schnittstelle für dieAnwendungsprogrammierung (API = Application Programming Interface) Routinen, die von einer Anwendung für die Anforderung und Ausführung geringwertiger Betriebssystemdienste verwendet werden. Diese Routinen führen in der Regel Verwaltungstasks, beispielsweise das Verwalten von Dateien und Anzeigen von Informationen, aus. Schnittstelle für Wählen bei Bedarf Eine logische Schnittstelle, die eine bei Bedarf herzustellende Verbindung (eine PPP-Verbindung) darstellt, die auf dem anrufenden Router konfiguriert wird. Diese Schnittstelle enthält Konfigurationsinformationen,beispielsweiseden zu verwendenden Anschluss, die Adressierung zum Erstellen der Verbindung (zum Beispiel eine Telefonnummer),Authentifizierungs- und Verschlüsselungsmethoden und Authentifizierungsanmeldeinformationen. SCSI (Small Computer SystemInterface) EineparalleleHochgeschwindigkeits-Standardschnittstelle die vom ANSII-Komitee X3T9.2 definiert wurde Eine SCSI-Schnittstelle wird für den Anschluss von Mikrocomputern an Peripheriegeräte, beispielsweise Festplatten und Drucker, an andere Computer und an lokale Netzwerke verwendet. Seitenfehler Dieser Fehler tritt auf, wenn der angeforderte Code oder die angeforderten Daten nicht auf dem physikalischen Speicher ermittelt werden können, der dem Abfrageprozess zur Verfügung stehen. SekundärerServer Ein für eine Zone autorisierter DNS-Server, die als Quelle für die Replikation der Zone auf anderen Servern verwendet wird. Sekundäre Masterserver aktualisieren ihre Zonendaten nur dadurch, dass die Zonendaten von anderen DNS-Servern übertragen werden. Sekundäre Masterserver können keine Zonenaktualisierungen durchführen. Siehe auch: Masterserver, Zonenübertragung. SekundärerSpeicher Ein Speichergerät zum
1040
Server
Speichern von Daten, die von verwalteten Datenträgern migriert wurden. Der sekundäre Speicher enthält den Bestandteil der Festplatte, der für den Stagingbereich einer Migration verwendet wird. Server Ein Computer, der Netzwerkbenutzern den Zugriff auf freigegebene Ressourcen ermöglicht.
Servercluster Ein Cluster, der vom Clusterdienst und der zugehörigen Software (EXE- und DLLDateien) erstellt und verwaltet wird. Der Clusterdienst stellt den Anwendungen zwischen den jeweiligen KnotenFailoverunterstützungzur Verfügung, die auf den Servern ausgeführt werden. Der Servercluster enthält die Hardwareund Clusterkonfiguration sowie den Clusterdienst. Siehe auch: Cluster, Knoten. ServergespeichertesBenutzerprofil Ein serverbasiertes Benutzerprofil, das auf den lokalen Computer geladen wird, wenn sich ein Benutzer anmeldet. Dieses Profil wird sowohl lokal als auch auf dem Server aktualisiert, wenn sich der Benutzer wieder abmeldet. Ein servergespeichertes Benutzerprofil wird vom Server zur Verfügung gestellt, wenn sich der Benutzer auf einem Computer unter Windows 2000 Professional oder Windows 2000 Server anmeldet. Der Benutzer kann bei der Anmeldung das lokale Benutzerprofil verwenden, wenn dieses aktueller als die Kopie auf dem Server ist. ServergespeichertesProfil Benutzerdefinierte Einstellungen an einem Speicherort eines Servers, damit Benutzer an verschiedenen Computern mit dem gleichen Profil arbeiten können. Shell Ein Befehlsinterpreter, der Befehle an das Betriebssystem übergibt. SicheredynamischeAktualisierung Der Prozess, bei dem ein Client für die sichere dynamischeAktualisierung eine entsprechende Anforderung an den DNS-Server übergibt. Der Server unternimmt die Aktualisierung nur dann, wenn der Client seine Identität nachweisen kann und die korrekten Anmeldeinformationen zur Verfügung stellt. Siehe auch: dynamische Aktualisierung.
Sicherheitsadministrator Ein Benutzer, der über Rechte zur Verwaltung des Überwachungs- und des Sicherheitsprotokolls verfügt. Standardmäßig wird dieses Benutzerrecht der Administratorgruppe erteilt. Siehe auch: Überwachung, SACL, Benutzerrechte. Sicherheitsbeschreibung Einem Objekt zugehörige Informationen, die die Berechtigungen für Benutzer und Gruppen sowie die zu überwachenden Sicherheitsereignisseangeben. Siehe auch: (DACL), Objekt, SACL. Sicherheitsgruppen Gruppen, die zur Verwaltung von Berechtigungen für Benutzer und anderen Domänenobjekte verwendet werden. Sicherheitskontext Die derzeit gültigen Sicherheitsattributeoder -regeln. Regeln, die beispielsweise die Aktionen bestimmen, die von Benutzern an einem geschützten Objekt vorgenommen werden können, werden von den Sicherheitsinformationen im Zugriffstoken des Benutzers und in der Sicherheitsbeschreibung des Objekts festgelegt. Das Zugriffstoken und die Sicherheitsbeschreibung bilden zusammen den Sicherheitskontext für die Benutzeraktionen bei einem Objekt. Siehe auch: Zugriffstoken, Sicherheitsbeschreibung. Sicherheitsmethode Ein Prozess, der die IPSicherheitsdienste, die Schlüsseleinstellungen und die Algorithmen für den Datenschutz während einerKommunikationbestimmt. Sicherheitsprincipal Eine Windows 2000-Entität, der automatisch eine Sicherheitskennung für den Zugriff auf Ressourcen zugeordnet wird. Ein Sicherheitsprincipal kann ein Benutzer, eine Gruppe oder ein Computer sein. Windows 2000 verwendet Active Directory für die Kontenverwaltung von Benutzern und Sicherheitsprincipals. Siehe auch: Sicherheitsprincipalname. Sicherheitsprincipalname Ein Name, der einen Benutzer, eine Gruppe oder einen Computer innerhalb einer Domäne eindeutig bezeichnet. Es wird nicht gewährleistet, dass dieser Name für alle Domänen eindeutig ist. Siehe auch: Sicherheitsprincipal. Sicherungsoperator Der Typ einer lokalen oder globalen Gruppe, die die Benutzerrechte zum Sichern und Wiederherstellen von Dateien und
SMTP (Simple Mail Transport Protocol)
Ordnern enthält. Die Mitglieder der Gruppe für die Sicherungsoperatoren können Dateien und Ordner ohne Rücksicht auf die Einstellungen für Besitz, Zugriffsberechtigungen, Verschlüsselung oder Überwachung sichern und wiederherstellen. Siehe auch: Überwachung, globale Gruppe, lokale Gruppe, Benutzerrechte. Sicherungssatz Eine Auflistung von Dateien, Ordnern und anderen Daten, die als Datei oder auf Band gesichert wurden. SID (Security Identifier = Sicherheitsbezeichner) Ein eindeutiger Name für einen Benutzer, der bei einem Sicherheitssystem unter Windows NT oder Windows 2000 angemeldet ist. Ein Sicherheitsbezeichnerkanneinenindividuellen Benutzer, eine Benutzergruppe oder einen Computer darstellen. Sitzungen Mehrere Pakete, die mit Bestätigungen zwischen zwei Endpunkten gesendet werden. Sitzungsschlüssel Ein Schlüssel, der in erster Linie für die Verschlüsselung und Entschlüsselung verwendet wird. Sitzungsschlüssel werden mit symmetrischenVerschlüsselungsalgorithmen verwendet. Bei diesen Algorithmen wird der gleiche Schlüssel für Verschlüsselung und Entschlüsselung verwendet. Aus diesem Grund beziehen sich Sitzungsschlüssel und symmetrische Tasten in der Regel auf den gleichen Schlüsseltyp. Siehe auch: Verschlüsselungmit symmetrischem Schlüssel. Skalierbarkeit Eine Größe zur Ermittlung der Erweiterbarkeit für erhöhte Ansprüche an die Leistungsstärke. Dieser Begriff wird in diesem Zusammenhang für Computer, Dienste und Anwendungen verwendet. In Bezug auf Servercluster bezeichnet der Begriff „Skalierbarkeit“ die Fähigkeit, einem Cluster Systeme inkrementell hinzufügen zu können, wenn die Gesamtlast des Clusters die Kapazität überschreitet.
1041
Dienstprogramm aus. Außerdem enthält ein Skript einfache Steuerungsstrukturen, beispielsweise Schleifen und IF/THEN-Ausdrücke. In der Windows-Terminologie wird für „Skript“ auch der Begriff „Batchprogramm“ verwendet. SLA (Service Level Agreement) EineVereinbarung zwischen Ihrer IT-Gruppe und Benutzern, die die zulässigen Leistungsbereiche für Dienste, beispielsweise Austausch von Computeranlagen und Netzwerkausfallzeiten,angeben. Smartcard Ein Gerät von der Größe einer Kreditkarte, das über eine PIN-Nummer die zertifikatsbasierteAuthentifizierungund Anmeldung bei einem Unternehmen ermöglicht. Auf Smartcards können Zertifikate, öffentliche und private Schlüssel, Kennwörter und andere persönliche Informationen sicher gespeichert werden. Die Smartcard kann von einem Smartcard-Leser erkannt werden. Siehe auch: Authentifizierung. Smartcard-Leser Ein auf einem Computer installiertes Gerät, das die Verwendung von Smartcards für erweiterte Sicherheitsfunktionen ermöglicht. Siehe auch: Smartcard. SMB (Server Message Block) EinDateifreigabeprotokoll, das Netzwerkcomputern den transparenten Zugriff auf Dateien ermöglicht, die sich auf Remotesystemen mehrerer Netzwerke befinden. Das SMB-Protokoll, das gemeinsam von Microsoft, Intel und IBM entwickelt wurde, definiert eine Reihe von Befehlen, die Informationen zwischen Computern weiterleiten. SMB verwendet vier Nachrichtentypen: „Session Control“, „File“, „Printer“ und „Message“.
Skalieren Das Hinzufügen von Prozessoren zu einem System, um einen höheren Durchsatz zu erzielen.
SMP(SymmetricMultiprocessing) Eine Computerarchitektur, in der mehrere Prozessoren den gleichen Speicher verwenden, der jeweils eine Kopie des Betriebssystems, der verwendeten Anwendungen und der Daten enthält. Da das Betriebssystem die Arbeitsauslastung in Tasks unterteilt und an die jeweils verfügbaren Prozessoren vergibt, verringert SMP den Transaktionsaufwand.
Skript Ein Programmtyp, der Anleitungen für eine Anwendung oder ein Dienstprogramm enthält. Ein Skript drückt Anleitungen in der Regel in der Syntax für die Anwendung oder das
SMTP(Simple Mail Transport Protocol) Ein Protokoll, das im Internet für die zuverlässige und effiziente E-Mail-Übertragung eingesetzt wird. SMTP ist von bestimmten Übertragungs-
1042
Sniffer
systemen unabhängig und benötigt nur einen zuverlässigen, angeordneten Datenstromkanal. Sniffer Hierbei handelt es sich um Anwendungen oder Geräte, die den Datenaustausch über das Netzwerk lesen, überwachen und erfassen sowie Netzwerkpakete lesen können. Wenn die Pakete nicht verschlüsselt sind, können die Daten im Paket mit einem Sniffer vollständig angezeigt werden. SNMP (Simple Network ManagementProtocol) Ein Netzwerkverwaltungsprotokoll, das mit TCP/IP installiert wird und auf TCP/IP- und IPXNetzwerken verbreitet ist. SNMP übermittelt Verwaltungsdaten und Befehle zwischen dem Verwaltungsprogramm eines Administrators und dem Netzwerkverwaltungsagenten, der auf einem Host ausgeführt wird. Der SNMP-Agent sendet Statusinformationen an die Hosts, wenn der Host diese anfordert bzw. wenn ein wichtiges Ereignis eintritt. SOA-Ressourceneintrag Ein Datensatz, der den Autoritätsursprung für Informationen angibt, die in einer Zone gespeichert sind. Der SOARessourceneintrag ist der beim Hinzufügen einer neuen Zone zuerst erstellte Datensatz. Der Eintrag enthält außerdem verschiedene Parameter, die bestimmen, wie lange andere DNS-Server die Informationen für die Zone verwenden und wie oft Aktualisierungen erforderlich sind. Siehe auch: autorisiert, sekundärer Server, Zone. Softwareinventar Ein automatisierter Prozess in Systems Management Server, der von SMS zum Erfassen von Informationen zur Software auf Clientcomputern verwendet wird. Softwareüberwachung Ein Prozess in Systems Management Server, über den SMS den Einsatz von Softwareanwendungen überwacht und verwaltet, um die Kompatibilität mit Softwarelizenzen zu gewährleisten bzw. um den Einsatz der Software zu erfassen. SOHO (Small Office/Home Office) Ein Unternehmen mit einer geringen Anzahl von Computern, das als kleines oder mittelständisches Unternehmen oder als Bestandteil eines größeren Netzwerks bezeichnet werden kann. Sounddarstellung Ein globales Flag, das
Programme anweist, akustische Sprach- und Systemsignale schriftlich darzustellen, damit Menschen mit eingeschränktem Hörvermögen oder Benutzer, die in einer lauten Umgebung arbeiten, auf das akustische Signal aufmerksam gemacht werden. Speicherabbilddatei Eine Datei, die bei einem Ausfall zum Ablegen von Daten im Speicher verwendet wird. Sperren Eine Datei vor Zugriff schützen. Wenn mehrere Benutzer eine Datei bearbeiten können, wird durch Sperren gewährleistet, dass die Datei von nur einem Benutzer gleichzeitig bearbeitet werden kann. Spezifikation Siehe: Domänenspezifikation. Spiegelsatz Eine vollständig redundante Kopie der Daten. Spiegelsätze enthalten eine identische Kopie eines ausgewählten Datenträgers. Alle Daten des primären Datenträgers werden auch auf dem gespiegelten Datenträger gespeichert. Dadurch erhalten Sie sofortigen Zugriff auf den anderen Datenträger mit der Kopie. Spiegelsätze enthaltenFehlertoleranz. Siehe auch: Datenträgersatz, Stripeset mit Parität. Spoolen Ein Serverprozess, der Druckdokumente so lange auf einem Datenträger speichert, bis der Drucker den Druckvorgang ausführen kann. Ein Spooler nimmt die Dokumente von den Clients entgegen, speichert sie und sendet sie anschließend an den Drucker, sobald dieser bereit ist. Spracheingabeprogramme Ein Spracherkennungsprogramm für Benutzer, die physiologisch nicht in der Lage sind, eine Maus oder Tastatur zu bedienen. Sprachsynthesizer Ein Hilfsmittel, das gesprochene Wörter erzeugt. Dies geschieht entweder durch Zusammenführen bereits aufgenommener Wörter oder durch die Erzeugung von Lauten, die gesprochene Wörter bilden. SQL (Structured QueryLanguage) Eine weit verbreitete Standardteilsprache für Datenbanken, die zum Abfragen, Aktualisieren und Verwalten von relationalenDatenbanken eingesetzt wird.
Standort
SSL (Secure Sockets Layer) Ein vorgeschlagener offener Standard von Netscape Communications zum Einrichten eines sicheren Kommunikationskanals, um den Datenschutz kritischer Informationen, beispielsweise für Kreditkartennummern, zu erhöhen. In erster Linie werden sichere elektronische Finanztransaktionen im World Wide Web aktiviert. Der Standard kann jedoch auch auf andere Internetdienste angewendet werden.
Stamm Die höchste Ebene in einer hierarchisch organisierten Informationsgruppe. Der Stamm ist die Ausgangsbasis, von der Untermengen in einer logischen Abfolge verzweigt werden, die von einem allgemeinen Bezugspunkt immer weiter eingegrenzt werden kann. Stammdomäne Der Anfang des DNS-Namespace. In Active Directory handelt es sich hierbei um die erste Domäne einer Active Directory-Struktur. Die Stammdomäne ist außerdem die erste Domäne der Gesamtstruktur. Stammzertifikat Ein selbstsigniertesZertifizierungsstellen-Zertifikat. Der Begriff Stammzertifikat leitet sich daraus ab, weil es sich um das Zertifikat für die Stammzertifizierungsstelle handelt. Die Stammzertifizierungsstelle muss ihr eigenes Zertifikat signieren, weil es in der Zertifizierungshierarchiekeineübergeordnete Zertifizierungsstellegibt. Siehe auch: Zertifikat, CA,Stammzertifizierungsstelle. Stammzertifizierungsstelle Die vertrauenswürdigste Zertifizierungsstelle (CA) an oberster Stelle einer Zertifizierungshierarchie. Das Zertifikat der Stammzertifizierungsstelleistselbstsigniert. Siehe auch: CA, Stammzertifikat, Zertifizierungspfad. Standardgateway In der TCP/IP-Konfiguration eines Netzwerkclients die IP-Adresse eines direkt zugänglichen IP-Routers. Durch die Konfiguration eines Standardgateways wird in der IPRoutingtabelle eine Standardroute erstellt. Standardhost Der Host mit der höchsten Hostpriorität, für den der Befehl drainstop gerade nicht ausgeführt wird. Nach der Konvergenz wickelt der Standardhost den gesamten Netzwerkverkehr für TCP- und UDP-Ports ab, die andernfalls nicht durch Portregeln abgedeckt
1043
sind. Siehe auch: Konvergenz, Drainstop, Hostpriorität, Portregel, UDP. Standardnetzwerk Das physikalische Netzwerk einerMacintosh-Umgebung, auf dem sich die Serverprozesse als Knoten befinden und auf dem der Server den Benutzern angezeigt wird. Das Standardnetzwerk des Servers muss das Netzwerk sein, mit dem der Server verbunden ist. Nur Server auf Netzwerken von AppleTalk Phase 2 verfügen über Standardnetzwerke. Standardroute Die Standardroute wird verwendet, wenn keine anderen Routen für das Ziel in der Routingtabelle ermittelt werden konnten. Wenn beispielsweise Router oder Endsysteme keine Netzwerk- oder Hostroute für das Ziel ermitteln können, wird die Standardroute verwendet. Die Standardroute vereinfacht die Konfiguration von Endsystemen oder Routern. In IP-Routingtabellen handelt es sich bei der Standardroute um die Route mit dem Netzwerkziel 0.0.0.0 und der Netzmaske 0.0.0.0. Standardsubnetzmaske Eine Subnetzmaske, die auf den Internetadressklassen basiert. Die Subnetzmaske für Klasse A-Netzwerke lautet 255.0.0.0. Die Subnetzmaske für Klasse BNetzwerke lautet 255.255.0.0. Die Subnetzmaske für Klasse C-Netzwerke lautet 255.255.255.0. Standort Eine Netzwerkposition, die Active Directory-Server enthält. Ein Standort wird durch gut miteinander verbundene TCP/IP-Subnetze definiert. („gut miteinander verbunden“ bedeutet, dass die Netzwerkkonnektivität sehr zuverlässig und schnell ist.) Da Computer am gleichen Standort aus der Sicht des Netzwerks benachbart sind, ist die Kommunikation zwischen diesen Computern zuverlässig, schnell und effizient. Wenn ein Standort als Subnetzgruppe definiert wird, können Administratoren Active DirectoryZugriff und die Replikationstopologie konfigurieren, um das physikalische Netzwerk zu nutzen. Wenn sich die Benutzer beim Netzwerk anmelden, ermitteln die Active Directory-Clients die Active Directory-Server, die sich am gleichen Standort wie der Client befinden. Bei Systems Management Server werden Standortserver und Clientcomputer durch eine Subnetzgruppe, beispielsweise als IP-Subnetz oder als IPXNetzwerknummer, definiert. Siehe auch: Locator
1044
Standortserver
(für Domänencontroller), Replikationstopologie, Subnetz. Standortserver Ein Computer unter Windows NT Server, auf dem das SMS-Setup ausgeführt wurde. Wenn SMS auf einem Computer installiert ist, erhält der Computer die Standortserverrolle. Der Standortserver, der SMS-Komponentenzum Überwachen und Verwalten eines SMS-Standorts enthält, übernimmt in der Regel verschiedene zusätzliche Rollen des SMS, beispielsweise die des Komponentenservers, des Clientzugriffspunkts und des Verteilungspunkts. StatischesRouting Routing, das auf feste Routingtabellen (im Gegensatz zu dynamisch aktualisierten Routingtabellen) begrenzt ist. Siehe auch: dynamisches Routing, Routing, Routingtabelle. Statusanzeige Eine Windows-Funktion, die einen Signalton erklingen lässt, wenn die FESTSTELLTASTE, die NUM-Taste oder ROLLEN-Taste aktiviert bzw. deaktiviert wird. Statusbereich Der rechte Bereich auf der Taskleiste neben den Taskleistenschaltflächen. Im Statusbereich werden die Uhrzeit und gegebenenfalls Symbole angezeigt, die schnellen Zugriff auf Programme ermöglichen. Beispiele sind die Lautstärkeregelung und die Energieoptionen. Es werden gegebenenfalls weitere Symbole mit Statusangaben zu Aktivitäten temporär angezeigt. Das Druckersymbol wird beispielsweise eingeblendet, bis das Dokument vollständig gedruckt wurde. Statusfrei In Bezug auf die Serverterminologie bezieht „statusfrei“ die Aktualisierung einer serverseitigenDatenbank auf Basis einer Clientanforderung nicht mit ein. In Bezug auf die Handhabung von Dateien wird der Inhalt der Datei nicht geändert oder bemerkt. Bei Webservern gibt eine statusfreie Clientanforderung, die von den MitgliederneinesNetzwerklastenausgleichsclusters verarbeitet werden kann, eine statische Webseite an den Client zurück. Sterntopologie Eine WINS-Serverkonfiguration, die einen zentralen Hub als Kontaktpunkt für viele außerhalb befindliche WINS-Server verwendet, um die Konvergenzzeit zu verbessern. Streaming Media-Server Software (beispielsweise
Microsoft Media Technologies) mit Multimediaunterstützung. Mithilfe dieser Software können Sie Daten im Advanced Streaming Format in einem Intranet oder im Internet übertragen. Stripeset Datenspeicherung auf identischen Partitionen verschiedener Laufwerke. Ein Stripeset enthält keine Fehlertoleranz. Diese wird nur von Stripesets mit Parität gewährleistet. Siehe auch: Fehlertoleranz, Partition, Stripeset mit Parität, Datenträgersatz. Stripeset mit Parität Ein Datenschutzverfahren, in dem Daten als Stripeset in großen Blöcken auf alle Datenträger eines Arrays verwendet werden. Die Datenredundanz wird durch die Paritätsinformation gewährleistet. Diese Methode ist fehlertolerant. Siehe auch: Fehlertoleranz, Stripeset. Stripesetdatenträger Ein Datenträger, der Daten als Stripeset auf mehreren physikalischen Datenträgern speichert. Aufeinander folgende logische Datenblöcke werden auf die zugehörigen Datenträger im Round-Robin-Verfahren nach dem Interleavingprinzip eines Speichersystems mit mehreren Speicherbänken verteilt. Jeder „Datenstripe“ besteht aus einem Datenblock von Datenträger (einschließlich der redundanten Daten). Stubbereich Ein OSPF-Bereich, der keine individuellen externen Netzwerke ankündigt. Das Routing auf alle externen Netzwerke im Stubbereich erfolgt über eine Standardroute (Ziel 0.0.0.0 mit der Netzwerkmaske 0.0.0.0). Subjekt Eine Entität, die Aktionen bei einem Objekt ausführt. Wenn beispielsweise ein Ausführungsthread eine Datei öffnet, ist der Thread ein Subjekt und die Datei das Objekt der Aktion. Siehe auch: Objekt, Thread. Subnetz Eine Untereinheit eines IP-Netzwerks. Jedes Subnetz hat eine eigene eindeutige Subnetzwerkkennung. Subnetzmaske Ein 32-Bit-Wert mit vier Dezimalstellen im Bereich von 0 bis 255, der einen Punkt als Trennzeichen verwendet (beispielsweise 255.255.0.0.). Anhand dieses Werts kann TCP/IP bei einer IP-Adresse den Bestandteil für die Netzwerkkennung vom Bestandteil für die Hostkennungunterscheiden. Die Hostkennung bezeichnet einzelne Computer in dem Netzwerk.
SystemRoot
TCP/IP-Hosts bestimmen über die Subnetzmaske, ob sich ein Zielhost in einem lokalen Netzwerk oder einem Remotenetzwerk befindet. Suchliste Eine Liste, deren Elemente durchsucht werden können. Beispiele sind Listen mit Servern auf einem Netzwerk oder mit Druckern, die im Druckerinstallations-Assistentenangezeigt werden. Suchzeit Die erforderliche Zeit für die Bewegung des Schreib-/Lesekopfes eines Laufwerks auf die rechte Spur des Datenträgers, um die angeforderten Daten abzufragen. SVC (Switched Virtual Circuit) EineVerbindung, die durch Signaltöne zwischen Geräten in einem ATM-Netzwerk dynamisch hergestellt wird. Switch Ein Computer oder ein anderes netzwerkfähiges Gerät, das die Weiterleitung und Operation eines Signalpfads steuert. Beim Clustering wird ein Switch verwendet, um die Clusterhosts mit einem Router oder einer anderen Quelle für eingehende Netzwerkverbindungen zu verbinden. Siehe auch: Routing. SymmetrischerSchlüssel Ein Schlüssel, der mit symmetrischen Verschlüsselungsalgorithmen für die Verschlüsselung und die Entschlüsselung eingesetzt wird. Siehe auch: Massenverschlüsselung, Verschlüsselung, Entschlüsselung, Sitzungsschlüssel. SynchroneVerarbeitung Der Standardverarbeitungsmodus für Gruppenrichtlinien unter Windows 2000. In diesem Standardmodus können sich Benutzer erst dann anmelden, nachdemalleComputergruppenrichtlinienobjekte verarbeitet wurden. Die Benutzer können erst dann mit der Arbeit beginnen, nachdem alle Gruppenrichtlinienobjekteverarbeitetwurden. Synchronisationsverwaltung Ein Tool von Windows 2000, das sicherstellt, dass eine Datei oder ein Verzeichnis auf einem Clientcomputer die gleiche Daten wie eine übereinstimmende Datei oder ein übereinstimmendes Verzeichnis auf einem Server enthält. Syspart Ein Prozess, der über einen optionalen Parameter von WINNT32.EXE ausgeführt wird. Für Neuinstallationen auf Computern mit unterschiedlicher Hardware. Diese automatisierte
1045
Installationsmethode verringert den Zeitaufwand für die Einrichtung, indem die Installationsphase für das Kopieren von Dateien nicht ausgeführt wird. Siehe: automatisierteInstallation. Sysprep Ein Tool, das die Festplatte auf einem Quellcomputer auf die Duplizierung zu Zielcomputern vorbereitet und anschließend den Datenträgerimagingprozess eines Fremdanbieters ausführt. Dieses automatisierte Installationsverfahren wird verwendet, wenn die Festplatte auf dem Mastercomputer mit den Festplatten auf den Zielcomputern identisch ist. Siehe: automatisierte Installation.
Systemdateien Diese Dateien werden von Windows zum Laden, Konfigurieren und Ausführen des Betriebssystems benötigt. Allgemein gilt, dass Systemdateien niemals gelöscht oder verschoben werden dürfen. Systemrichtlinie Bei der Netzwerkverwaltung ist die Systemrichtlinie der Teil der Gruppenrichtlinie, der die Einstellungen für den aktuellen Benutzer und den lokalen Computer angibt. Die Systemrichtlinie, die in der Terminologie von Windows 2000 auch Softwarerichtlinie genannt wird, ist einer von vielen Diensten des MMCSnap-Ins „Gruppenrichtlinie“. Der Systemrichtlinien-Editor von Windows NT 4.0, POLEDIT.EXE, ist im Lieferumfang von Windows 2000 enthalten, um die Abwärtskompatibilität zu gewährleisten. Dieser Editor wird von Administratoren benötigt, die die Systemrichtlinie unter Windows NT 4.0 und Windows 95 festlegen. Siehe auch: Microsoft Management Console (MMC), Registrierung. SystemRoot Der Pfad und der Ordnername, in dem die Systemdateien von Windows 2000 gespeichert sind. In der Regel lautet der Pfad C:\Winnt. Es kann während der Installation von Windows 2000 jedoch auch ein anderes Laufwerk bzw. ein anderer Ordner angegeben werden. Der Wert %systemroot% kann den tatsächlichen Speicherort des Ordners ersetzen, der die Systemdateien von Windows 2000 enthält. Um Ihren SystemRoot-Ordner zu ermitteln, klicken Sie in der Taskleiste auf Start und anschließend auf Ausführen und geben %systemroot% ein.
1046
Systems Management Server
SystemsManagementServer Ein Bestandteil der Produktfamilie von Windows BackOffice. SMS enthält eine Inventarauflistung sowie Tools für die Einrichtung und Diagnose. SMS kann den Automatisierungsprozess für Softwareaktualisierungen durchRemoteproblembehandlung,Bestandsinformationen,Softwarelizenzverwaltungund Überwachung von Computern und Netzwerken erheblich optimieren.
Taskleiste Diese Leiste wird standardmäßig unten auf dem Desktop angezeigt. Die Taskleiste enthält die Schaltfläche Start. Sie können über die Schaltflächen auf der Taskleiste die einzelnen Programme aktivieren, die ausgeführt werden. Sie können die Taskleiste unter anderem ausblenden oder an den linken bzw. rechten Bildschirmrand platzieren. Siehe auch: Desktop, Taskleistenschaltfläche, Statusbereich. Taskleistenschaltfläche Eine Schaltfläche für ein aktives Programm, die auf der Taskleiste angezeigt wird. Siehe auch: Taskleiste. Tastaturfilter Geräte, die fehlerhafte Eingaben und langsameReaktionszeitenkompensieren.
Systemstatus Eine Auflistung in Microsoft Windows Backup mit systemspezifischen Daten, die gesichert und wiederhergestellt werden können. Die Systemstatusdaten enthalten bei allen Betriebssystemen von Windows 2000 die Registrierung, die Klassenregistrierungsdatenbank und die Startdateien für das System. Bei den Serverbetriebssystemen Windows 2000 ist auch die Datenbank für die Zertifikatsdienste enthalten (wenn der Server als Zertifikatsserver ausgeführt wird). Wenn der Server als Domänencontroller ausgeführt wird, enthalten die Systemstatusdaten außerdem die Verzeichnisse für Active Directory und Sysvol. Siehe auch: Active Directory, Domänencontroller, Sysvol. Sysvol Ein freigegebenes Verzeichnis, in dem sich die Serverkopie für die öffentlichen Dateien der Domäne befindet, die auf allen Domänencontrollern in der Domäne repliziert werden. Siehe auch: Domäne, Domänencontroller.
T T1 Ein Weitbereichsnetz, das Daten mit einer Rate von 1.544 Mbps überträgt. T3 Ein Weitbereichsnetz, das Daten mit einer Rate von 44.736 Mbps im gleichen Format wie DS3 überträgt. Takt In einem Servercluster oder Netzwerklastenausgleichscluster ist der Takt eine periodische Nachricht, die zwischen Knoten versendet wird, um Systemfehler auf Knoten zu ermitteln.
Tastaturmaus Eine Funktion in Microsoft Windows, bei der die Zehnertastatur für Mausbewegungen eingesetzt werden kann. TCP/IP(TransmissionControlProtocol/Internet Protocol) Eine Gruppe von im Internet weit verbreiteten Softwarenetzwerkprotokollen für die Kommunikation zwischen miteinander verbundenen Computernetzwerkenmitunterschiedlichen Hardwarearchitekturen und Betriebssystemen. TCP/IP enthält Standards zum Kommunikationsverhalten von Computern sowie zum Verbinden von Netzwerken und Verteilen von Daten. TCP-Verbindung DielogischeVerbindung zwischen zwei Prozessen, die TCP für den Datenaustausch verwenden. Teilreplikat Ein schreibgeschütztes Replikat einer Verzeichnispartition, das eine Untermenge der Attribute aller Objekte in der Partition enthält. Die Summe der Teilreplikate einer Gesamtstruktur ist der globale Katalog. Die Attribute eines Teilreplikats werden im Schema definiert, während bei attributeSchema-Objekten das Attribut isMemberOfPartialAttributeSet auf TRUE gesetzt wird. Siehe auch: Masterreplikat,globaler Katalog. Telnet Ein Terminalemulationsprotokoll für die Anmeldung bei Netzwerkcomputern, das im Internet weit verbreitet ist. Telnet bezieht sich auch auf die Anwendung, die das Telnet-Protokoll für Benutzer verwendet, die sich von einem Remotestandort aus anmelden.
Überordnen
Terminal Ein Gerät, das aus einem Bildschirm und einer Tastatur besteht und für die Kommunikation mit einem Computer eingesetzt wird. Textmodus Der Bestandteil der Installation, der eine textbasierte Oberfläche verwendet. Thin Client Ein Netzwerkcomputer ohne Festplatte. Thread Ein Objekttyp in einem Prozess, der Programmanweisungen ausführt. Durch den Einsatz mehrerer Threads können parallele Operationen innerhalb eines Prozess durchgeführt werden. Außerdem kann ein Prozess verschiedene Bestandteile seines Programm auf mehreren Prozessorengleichzeitigausführen. Ein Thread hat eine eigene Registergruppe, einen eigenen Kernelstapel, einen Block für die Threadumgebung und einen Benutzerstapel im Adressbereich des Prozesses.
1047
einer Gesamtstruktur oder zwischen Gesamtstrukturen vorhanden ist. Wenn eine Domäne einer vorhandenen Gesamt-oder Domänenstruktur beitritt, wird dietransitive Vertrauensstellungautomatisch hergestellt. Transitive Vertrauensstellungen sind immer zweiseitigeBeziehungen. Siehe auch: Domänenstruktur, Gesamtstruktur. Trivial File Transfer Protocol (TFTP) Ein Protokoll, das der IntelliMirror-Server zum Downloaden der Dateien verwendet, die für den Start- oder Installationsprozess benötigt werden. Tunnel Der logische Pfad, über den gekapselte Pakete das Netzwerk durchqueren. Tunneling Eine Methode für die Verwendung der Netzwerkinfrastruktur eines Protokoll zum Übertragen einer Nutzlast (der Frames oder Pakete) eines anderen Protokolls.
TLS (Transport Layer Security) Ein Standardprotokoll, das die sichere Webkommunikation im Internet oder in Intranets gewährleistet. Clients können Server authentifizieren. Optional können Server Clients authentifizieren. Das Protokoll enthält einen sicheren Kanal, in dem die Kommunikation verschlüsselt wird.
Tunneling-Protokoll EinKommunikationsstandard zum Verwalten von Tunneln und Kapseln von privaten Daten. Tunneldaten müssen für eine VPN-Verbindung verschlüsselt werden. Windows 2000 enthält das PPTP-Protokoll (Point-to-Point Tunneling Protocol) und das L2TP-Protokoll (Layer Two Tunneling Protocol).
Token Ring Ein Netzwerkmedium, das Clients in einem geschlossenen Ring verbindet und den Clients mittels Übergabe von Token ermöglicht, das Netzwerk zu nutzen. Siehe auch: FDDI, LocalTalk.
U
Topologie Bei Windows-Betriebssystemendie Beziehungen zwischen einer Gruppe aus Netzwerkkomponenten. In Bezug auf Active Directory-Replikation bezieht sich die Topologie auf die Verbindungen, die Domänencontroller zum Replizieren von Informationen untereinander benötigen. Siehe auch: Domänencontroller, Replikation.
ÜbergeordneteDomäne Domänen bei DNS und Active Directory, die sich in der Namespacestruktur direkt über anderen (untergeordneten) Domänennamenbefinden. reskit.com ist beispielsweise die übergeordnete Domäne von eu.reskit.com. Siehe auch: untergeordnete Domäne, Domäne, Verzeichnispartition.
ÜbergeordnetesObjekt Das Objekt, in dem sich ein anderes Objekt befindet. Ein übergeordnetes Objekt drückt eine Beziehung aus. Ein Ordner ist beispielsweise ein übergeordnetes Objekt, in dem sich Dateien, so genannte untergeordnete Objekte, Transformation Ein benutzerdefiniertes Skript zum befinden. Ein Objekt kann sowohl übergeordnet Anpassen des Verhaltens einer Installation, indem als auch untergeordnet sein. Siehe auch: Objekt, das Installationsskript direkt und ohne erneutes untergeordnetesObjekt. Verpacken der Anwendung geändert wird. Überordnen Das Verwalten der Zunahme und der TransitiveVertrauensstellung Eine VertrauensDelegierung einer übergeordneten Domäne in stellung, die zwischen Windows 2000-Domänen weitere untergeordnete Domänen, die vom in einer Domänenstruktur oder einer übergeordneten Namen abgeleitet und delegiert Gesamtstruktur bzw. zwischen den Strukturen
1048
Übersetzer für Netzwerkadressen
werden. Siehe auch: übergeordnete Domäne, untergeordnete Domäne. ÜbersetzerfürNetzwerkadressen Ein im RFCDokument 1631 definierter IP-Router, der IPAdressen und TCP/UDP-Portnummern von Paketen übersetzen kann, während sie weitergeleitetwerden. Übertragungsprotokoll Dieses Protokoll definiert, wie die Daten der nächsten empfangenden Schicht im Netzwerkmodell von Windows NT und Windows 2000 dargestellt werden sollen, und formatiert diese Daten entsprechend. Das Übertragungsprotokoll leitet Daten an den Treiber für den Netzwerkadapter über die NDIS-Schnittstelle und an den Redirector über TDI weiter. Überwachen Das Verfolgen der Benutzeraktivitäten, indem ausgewählte Ereignistypen im Sicherheitsprotokoll eines Servers oder einer Arbeitsstation gespeichert werden. UDP (User DatagramProtocol) Eine TCPKomponente, die einen verbindungslosen Datagrammdienst enthält. Dieser Dienst kann weder die Zustellung noch die korrekte Sequenzierung der zugestellten Pakete garantieren. Umgebungsvariable EineZeichenfolgemit Umgebungsdaten, beispielsweise ein Laufwerk, ein Pfad oder ein Dateiname, die unter Windows NT und Windows 2000 mit einem symbolischen Namen verwendet werden. Umgebungsvariablen werden über die Option System der Systemsteuerung oder über den Befehl set in der Eingabeaufforderung definiert. Umleitung In der UNIX-Terminologie wird bei einer Umleitung die Standardausgabe nicht an ein Terminal geleitet bzw. von einem Terminal entnommen, sondern an eine Datei gesendet und von einer Datei entnommen. UnbeaufsichtigteInstallation Ein automatisiertes Verfahren zum Installieren von Windows 2000. Bei der unbeaufsichtigten Installation liefert eine Antwortdatei die erforderlichen Daten, so dass die Antworten nicht vom Administrator interaktiv zur Verfügung gestellt werden müssen. UNC-Name Ein vollständiger Windows 2000Name für eine Netzwerkressource. Der Name ist im Einklang mit der Syntax \\servername\share-
name, bei der „servername“ der Name des Servers und „sharename“ der Name der freigegebenen Ressource ist. UNC-Namen von Verzeichnissen oder Dateien können auch den Verzeichnispfad unter dem Namen für die freigegebene Ressource mit folgender Syntax enthalten: \\servername\sharename\directory\filename. UNC ist ein Akronym für Universal Naming Convention (universaleNamenskonvention). Unicast Eine Adresse, die einen bestimmten, global eindeutigen Host bezeichnet. Unicode Ein Zeichensatzstandard aus 16-BitZeichen mit fester Breite, der für die Darstellung von Briefen und Zeichen für fast alle Schriftsprachen verwendet wird. Unicode wurde vom Unicode Consortium entwickelt. UniversaleGruppe Eine Windows 2000-Gruppe, die nur im einheitlichen Modus für die Gesamtstruktur verfügbar ist. Eine universale Gruppe erscheint im globalen Katalog, enthält jedoch in erster Linie globale Gruppen aus den Domänen der Gesamtstruktur. Hierbei handelt es sich um die einfachste Form einer Gruppe, die weitere universale Gruppen, globale Gruppen und Benutzer aus der Gesamtstruktur enthalten kann. Siehe auch: globaler Katalog, lokale Domänengruppe, Gesamtstruktur. UNIX Eine leistungsstarkes Multitaskingbetriebssystem für mehrere Benutzer, das ursprünglich von den AT&T Bell Laboratories im Jahr 1969 für Minicomputer entwickelt wurde. UNIX gilt als äußerst portables, das heißt nicht sehr computerspezifisches, Betriebssystem, weil es in der Programmiersprache C geschrieben wurde. Neuere UNIX-Versionen wurden an der University of California in Berkeley und von AT&T entwickelt. UntergeordneteDomäne Bei DNS und Active Directory eine Domäne in der Namespacestruktur direkt unter einem anderen Domänennamen (der übergeordneten Domäne). „example.reskit.com“ ist beispielsweise eine untergeordnete Domäne der Domäne „reskit.com“. Siehe auch: übergeordnete Domäne, Domäne, Verzeichnispartition. UntergeordnetesObjekt Ein Objekt, das sich in einem anderen Objekt befindet. Ein untergeordnetes Objekt impliziert eine Beziehung. Eine Datei ist beispielsweise ein untergeordnetes Objekt in
Verschlüsseltes Kennwort
einem Ordner, der der Datei übergeordnet ist. Siehe auch: Objekt, übergeordnetes Objekt. Unternehmenszertifizierungsstelle Eine Windows 2000-Zertifizierungsstelle,die vollständig in Active Directory integriert ist. Siehe auch: CA,eigenständigeZertifizierungsstelle. UnterstützunggroßerEmpfangsfenster Das höchste Datenvolumen einer TCP-Kommunikation, das ohne Bestätigung übertragen werden kann. Das Fenster hat eine feste Größe. Diese Unterstützung berechnet die Fenstergröße dynamisch neu und ermöglicht, dass größere Datenmengen gleichzeitig mit einem höheren Durchsatz übertragen werden. Untertitelung Alternative (in der Regel textliche) Darstellung von Audio- oder Grafikmedien, die nur auf einem speziell ausgestatteten Empfänger gesehen werden. USB (Universal Serial Bus) Einebidirektionale, isochrone, dynamisch anschließbare serielle Schnittstelle zum Anschließen von Peripheriegeräten wie Gamecontrollern, seriellenund parallelen Anschlüssen sowie Eingabegeräten an einen Bus. USV(UnterbrechungsfreieStromversorgung) Ein Gerät, das zwischen einer Stromquelle und einem Computer angeschlossen ist. Dieses Gerät stellt sicher, dass der Stromfluss nicht unterbrochen wird. USV-Geräte enthalten Batterien, durch die die Energieversorgung des Computers im Falle eines Stromausfalls für einen begrenzten Zeitraum gewährleistet wird. Diese Geräte bieten in der Regel auch einen Schutz vor Spannungsschwankungen und Kabelbränden.
1049
Verbindungsvereinbarung Ein Abschnitt in der ADC UI, der beispielsweise folgende Daten enthält: die Namen der bei der Synchronisation zu kontaktierenden Server, die zu synchronisierenden Objektklassen, die Zielcontainer sowie den Synchronisationszeitplan. Siehe auch: ADC. Vererbung Die Fähigkeit, neue Objektklassen aus vorhandenen Objektklassen zu erstellen. Das neue Objekt wird als Teilklasse des ursprünglichen Objekts definiert. Das ursprüngliche Objekt wird die übergeordnete Klasse des neuen Objekts. Eine Teilklasse erbt die Attribute der übergeordneten Klasse,einschließlich der Regeln für die Struktur und den Inhalt. Verfügbarkeit Eine Größe der Fehlertoleranz eines Computers und der zugehörigen Programme. Ein hochverfügbarer Computer wird 24 Stunden am Tag ausgeführt. Siehe auch: Fehlertoleranz. Verknüpftes Objekt Ein Objekt, das in ein Dokument eingefügt wurde und in der Quelldatei weiterhin vorhanden ist. Wenn die Informationen verknüpft sind, wird das neue Dokument automatisch aktualisiert, falls die Informationen im ursprünglichen Dokument geändert werden. Siehe auch: eingebettetes Objekt.
V
VerkürzteVertrauensstellung Einebeidseitige Vertrauensstellung, dieexplizit zwischen zwei Windows 2000-Domänen in unterschiedlichen Domänenstrukturen innerhalb der Gesamtstruktur erstellt wird. Dadurch wird der domäneninterne Authentifizierungsprozess optimiert. Diese Vertrauensstellung kann nur zwischen Windows 2000-Domänen erstellt werden, die der gleichen Gesamtstruktur angehören. Alle verkürzten Vertrauensstellungen sind transitiv. Siehe auch: Domänenstruktur, Gesamtstruktur, transitiveVertrauensstellung.
VerarbeitunglangsamerVerknüpfungen Ein konfigurierbarer Verarbeitungsmodus für Gruppenrichtlinien.Administratorenkönnen festlegen, welche Einstellungen für Gruppenrichtlinien bei langsamen Netzwerkverbindungen nicht verarbeitet werden sollen.
VeröffentlichteAnwendungen Anwendungen,die Benutzern zur Verfügung gestellt und von einem Gruppenrichtlinienobjekt verwaltet werden. Jeder Benutzer kann die veröffentlichte Anwendung über den Befehl Software in der Systemsteuerung installieren.
Verbindungsorientiert Ein Netzwerkprotokolltyp, der eine virtuelle Endpunktverbindung zwischen dem Absender und dem Empfänger herstellt, bevor die Kommunikation im Netzwerk stattfindet.
VerschlüsseltesKennwort Ein Kennwort, das nicht entziffert werden kann. Verschlüsselte Kennwörter sind sicherer als Kennwörter im Klartext, weil diese von Sniffern erkannt werden können.
1050
Verschlüsselung
Verschlüsselung Das Chiffrieren von Nachrichten oder Daten, so dass deren Inhalt nicht entziffert werden kann. VerschlüsselungmitsymmetrischemSchlüssel Ein Verschlüsselungsalgorithmus, der den gleichen geheimen Schlüssel für die Verschlüsselung und die Entschlüsselung verwendet. Dieser Algorithmus wird auch Verschlüsselung mit geheimen Schlüsseln genannt. Aufgrund der Geschwindigkeit wird die symmetrische Verschlüsselung der Verschlüsselung mit öffentlichem Schlüssel vorgezogen, wenn ein Nachrichtenabsender ein hohes Datenvolumen verschlüsseln möchte. Siehe auch: Verschlüsselung mit öffentlichem Schlüssel. Verschlüsselungsschlüssel Ein Wert, der von einem Algorithmus zum Codieren oder Decodieren von Nachrichten verwendet wird. Verteiltes DHCP Ein DHCP-Szenario, in dem IPAdressen über die Grenzen eines Standorts hinaus verteilt werden. Verteilungspunkt Ein Standortsystem in Systems Management Server mit einer Verteilungspunktaufgabe, die Paketdateien speichert, die aus einem Standortserver empfangen werden. Systems Management Server-Clients kontaktieren Verteilungspunkte, um Programme und Dateien zu erhalten, nachdem sie ermittelt haben, dass eine angekündigte Anwendung von einem Clientzugriffspunkt zur Verfügung steht. Verteilungspunktgruppe Verteilungspunktein Systems Management Server, die als einzelne Entität verwaltet werden können. Vertrauensstellung Eine logische Beziehung zwischen Domänen, die Pass-Through-Authentifizierungen ermöglichen. Bei dieser Authentifizierungsmethodeakzeptierteine vertrauende Domäne die Anmeldungsauthentifizierungen einer vertrauenswürdigen Domäne. Die in einer vertrauenswürdigen Domäne definierten Benutzerkonten und globalen Gruppen können die Rechte und Berechtigungen in einer vertrauenden Domäne auch dann erhalten, wenn die Benutzerkonten oder Gruppen im Verzeichnis der vertrauenden Domäne nicht vorhanden sind. Siehe auch: Authentifizierung, beidseitige Vertrauensstellung, Domäne.
VertrauenswürdigeGesamtstruktur Eine Gesamtstruktur, die mit einer anderen Gesamtstruktur durch eine explizite oder transitive Vertrauensstellung verbunden ist. Siehe auch: explizite Vertrauensstellung, Gesamtstruktur, transitiveVertrauensstellung. Vertraulichkeit Ein IP-Sicherheitsdienst, der durch Datenverschlüsselung sicherstellt, dass der Inhalt einer Nachricht nur den beabsichtigten Empfängern zur Verfügung steht. Verzeichnis EineInformationsquelle (beispielsweiseeinTelefonverzeichnis), die Informationen zu Personen, Computerdateien oder anderen Objekten enthält. In einem Dateisystem werden in Verzeichnisse Informationen zu Dateien gespeichert. In einer verteilten Umgebung (beispielsweise in einer Windows 2000-Domäne) enthält ein Verzeichnis Informationen zu Objekten wie Drucker, Anwendungen, Datenbanken sowie zu anderen Benutzern. Verzeichnisdienst Die Quelle der Verzeichnisinformationen und die Dienste, die diese Informationen zur Verfügung stellen. Ein Verzeichnisdienst ermöglicht Benutzern, Objekte über Attribute zu ermitteln. Siehe auch: Active Directory, Verzeichnis. Verzeichnispartition Eine fortlaufende Unterstruktur von Active Directory, die als Einheit auf andere Domänencontroller der Gesamtstruktur repliziert werden, die ein Replikat der gleichen Unterstruktur enthalten. In Active Directory enthält ein Server mindestens drei Verzeichnispartitionen: das Schema, die Klassen- und Attributdefinitionen für das Verzeichnis; die Konfiguration,dieReplikationstopologie und zugehörige Metadaten; die Domäne und eine Unterstruktur, die die Domänenobjekte für eine Domäne enthält. Die Verzeichnispartitionen für das Schema und die Konfiguration werden auf jeden Domänencontroller einer Gesamtstruktur repliziert.EineDomänenverzeichnispartitionwird nur auf die Domänencontroller für diese Domäne repliziert. Der Server eines globalen Katalogs enthält außer eines vollständigen, beschreibbaren Replikats der eigenen Domänenverzeichnispartition auch schreibgeschützte Teilreplikate aller anderenDomänenverzeichnispartitionender
Warteschlange
Gesamtstruktur. Siehe auch: Masterreplikat, globalerKatalog,Teilreplikat. Verzeichnisspeicher Der physikalische Speicherort für Replikate von Active DirectoryVerzeichnispartitionen auf einem Domänencontroller. Der Speicher wird mit dem erweiterbaren Speichermodulimplementiert. Verzeichnisstruktur Eine Hierarchie von Objekten und Containern eines Verzeichnisses, die grafisch als Struktur angezeigt werden können. Das Stammobjekt wird an erster Stelle der Struktur angezeigt. Die Endpunkte der Struktur sind in der Regel einzelne Objekte. Die Knoten der Struktur sind Containerobjekte. Eine Struktur zeigt an, wie Objekte in Bezug auf den Pfad miteinander verbunden sind. Eine einfache Struktur ist ein Container mit Objekten. Eine fortlaufende Unterstruktur ist ein nicht unterbrochener Pfad in der Struktur, der alle Mitglieder des Containers im Pfad enthält.
1051
Servern und Routern vorhanden ist und keinem physikalischen Adapter zugeordnet wurde. Das virtuelle Netzwerk erweckt beim Benutzer den Eindruck eines separaten Netzwerks. Unter Windows 2000 Server kündigen Programme ihren Speicherort nicht auf einem physikalischen Netzwerk, sondern auf einem virtuellen Netzwerk an. Die interne Netzwerknummer bezeichnet ein virtuelles Netzwerk auf einem Computer. Siehe auch: externe Netzwerknummer, interne Netzwerknummer. VPN (Virtual Private Network) Die Erweiterung eines privaten Netzwerks, das Verbindungen zu gemeinsam genutzten oder öffentlichen Netzwerken, beispielsweise zum Internet, enthält.
Virtual Circuit (VC) Eine Punkt-zu-Punkt-Verbindung für die Datenübertragung. Hierbei können Anrufattribute wie beispielsweise Bandbreite, Wartezeit, Verzögerungsvarianz und Sequenzierung besser gesteuert werden.
VPN-Client Ein Computer, der eine VPN-Verbindung zu einem VPN-Server einleitet. Bei einem VPN-Client kann es sich um einen individuellen Computer handeln, der eine RAS-VPN-Verbindung herstellt, oder um einen Router, der eine Router-zu-Router-VPN-Verbindungerhält.
VirtuelleVerbindung Eine logische Verbindung zwischen einem Grenzrouter eines Backbones und einem ABR, der nicht mit dem Backbone verbunden ist.
VPN-Server Ein Computer, der VPN-Verbindungen von VPN-Clients empfängt. Ein VPNServer kann eine RAS-VPN-Verbindung oder eine Router-zu-Router-VPN-Verbindungherstellen.
VirtuellerServer Eine Ressourcengruppe in einem Servercluster. Hierzu gehören Ressourcen für Netzwerknamen und IP-Adressen. Für Clients stellt der virtuelle Server ein System dar, das unter Windows NT Server oder Windows 2000 Server ausgeführt wird.
VPN-Verbindung 1. Eine Netzwerkverbindung, in der private Daten gekapselt und verschlüsselt sind.
VirtuellerSpeicher Der Speicherplatz auf der Festplatte, der von Windows 2000 als Speicher verwendet wird. Dank des virtuellen Speichers kann das Speichervolumen aus der Sicht eines Prozesses viel größer als der tatsächliche physikalische Speicher im Computer sein. Das Betriebssystem führt dies transparent aus, indem Daten vom Datenträger zu gegebener Zeit ausgelagert werden, wenn die Kapazität des physikalischen Speichers erschöpft ist.
W
VirtuellesNetzwerk Ein logisches Netzwerk, das auf Novell NetWare- und NetWare-kompatiblen
2. Der Bestandteil einer Verbindung, bei der Ihre Daten verschlüsselt werden.
WAN (Wide Area Network) EinKommunikationsnetzwerk, das Verbindungen zu Computern, Druckern und anderen Geräten herstellt, die sich an verschiedenen Standorten befinden. Über ein WAN kann jedes verbundene Gerät mit anderen Geräten im Netzwerk agieren. Siehe auch: LAN. Warteschlange Programme oder Tasks, die auf die Ausführung warten. In der Druckerterminologie von Windows 2000 bezieht sich eine Warteschlange auf eine Dokumentgruppe, die das
1052
Wartezeit
Druckerereignis erwartet. In Umgebungen von NetWare und OS/2 handelt es sich bei einer Warteschlange um die primäre Softwareschnittstelle zwischen der Anwendung und dem Drucker. Benutzer leiten die Dokumente in eine Warteschlange. Unter Windows 2000 stellt jedoch der Drucker die Schnittstelle dar. Das Dokument wird nicht an eine Warteschlange, sondern an den Drucker gesendet. Wartezeit Siehe: Replikationswartezeit. Webserver Ein Server, der die Entwicklung COM-basierter Anwendungen und das Erstellen von großen Sites für das Internet sowie für Intranets von Unternehmen ermöglicht.
Weiterleitung In DFS handelt es sich um Informationen, die einen DNS-Namen im logischen Namespace der Entsprechung des UNC-Namens einer physikalischen Freigabe zuordnen. Wenn ein DFS-Client Zugriff auf einen freigegebenen Ordner im DFS-Namespace erhält, gibt der DFS-Stammserver eine Weiterleitung zurück, die der Client für die Ermittlung des freigegebenen Ordners verwenden kann. In DNS handelt es sich um einen Zeiger auf einen DNSServer, der für eine niedrigere Ebene des Domänennamespace autorisiert ist. Wiederherstellung Ein Prozess, bei dem eine Datenbank nach einem Systemausfall mittels einer Protokolldatei wieder einen konsistenten Status und über eine Sicherungskopie den letzten in der Protokolldatei verzeichneten Zustand erhält. Siehe auch: AutorisierteWiederherstellung. Wiederholgeschwindigkeit Dank dieser Funktion können Benutzer mit physiologischen Einschränkungen die Wiederholrate der Tastatur anpassen oder deaktivieren. WindowsInstaller Eine Komponente von Windows 2000, die die Installation von Anwendungen auf mehreren Computern standardisiert, weil jede Anwendung eine eigene Installationsdatei bzw. ein eigenes Skript verwendet.
Windows 2000 MultiLanguage Version Eine Version von Windows 2000, die die Unterstützung der Muttersprache in Windows 2000 erweitert, indem die Sprache der Benutzeroberfläche je nach Benutzer geändert werden kann. Diese Version minimiert auch die Anzahl der Sprachversionen, die im Netzwerk installiert werden müssen. Windows 2000 Setup Das Installationsprogramm für Windows 2000. Wird auch Setup, WINNT32.EXE und WINNT.EXE genannt. Windows-basiertesTerminal Ein Terminal, das das Betriebssystem Windows verwendet. WinInstallLE Ein Tool zum Neupacken von Anwendungen, das im Lieferumfang von Windows 2000 Server enthalten ist. WINS (Windows Internet Name Service) Ein Softwaredienst, der IP-Adressen dynamisch Computernamen(NetBIOS-Namen) zuordnet. Dadurch können Benutzer auf Ressourcen über den Namen zugreifen und brauchen keine kompliziertenIP-Adressen zu verwenden. WINS-Server unterstützen Clients unter Windows NT 4.0 und früheren Versionen von Windows-Betriebssystemen. Siehe auch: DNS. WINS-Datenbank Die Datenbank für die Registrierung und Auflösung von Computernamen auf IPAdressen in Windows-basierten Netzwerken. Der Inhalt dieser Datenbank wird in regelmäßigen Intervalle auf das Netzwerk repliziert. Siehe auch: Pull-Partner, Push-Partner, Replikation. Winsock (Windows Sockets) Eine API nach Industriestandard, die in dem Betriebssystem Microsoft Windows eingesetzt wird und einen bidirektionalen,zuverlässigen,sequenziertenund nicht duplizierten Datenfluss ermöglicht. WINS-Proxy Ein Computer, der Namensabfragebroadcasts überwacht und auf die Namen reagiert, die nicht in dem lokalen Subnetz vorhanden sind. Der Proxy kommuniziert mit dem Namensserver, um Namen aufzulösen und diese für einen bestimmten Zeitraum im Cache abzulegen. Siehe auch: WINS.
Zertifikatsvorlage
WMI (Windows Management Instrumentation= Windows-Verwaltungsinstrumentation) Microsoft-Technologie zum Erweitern der DMTF WBEM-Initiative durch die konsistente und einheitliche Darstellung physikalischer und logischer Objekte in Windows-Verwaltungsumgebungen. WMI vereinfacht die Entwicklung integrierter Verwaltungsanwendungen und ermöglicht Anbietern, sehr effiziente, skalierbare Verwaltungslösungen für Unternehmensumgebungenbereitzustellen.
X X.509 Version 3 Version 3 der ITU-T-Empfehlung X.509 für Syntax und Format. Dies ist das Standardzertifikatformat, das von Windows 2000Zertifikatprozessen verwendet wird. Das X.509Zertifikat enthält den öffentlichen Schlüssel sowie Informationen zur Person oder Entität, auf die das Zertifikat ausgestellt ist. Des Weiteren sind Informationen zum Zertifikat sowie optionale Informationen zur Zertifizierungsstelle (CA) enthalten. Siehe auch: Zertifikat, öffentlicher Schlüssel.
Z ZAP-Datei ZAP ist ein Akronym für Zero AdministrationWindows-Anwendungspaketdatei. Eine (mit einer INI-Dateivergleichbaren) Textdatei, die angibt, wie (über welche Befehlszeile) eine Anwendung installiert werden soll. Außerdem werden die Eigenschaften der Anwendung (Name, Version und Sprache) und die Einsprungstellen für eine automatische Installation (für Dateierweiterung, CLSID und ProgID) angegeben. Eine ZAP-Datei wird allgemein im gleichen Netzwerkverzeichnis wie das zugehörige Installationsprogramm gespeichert. ZeigegerätmitAugensteuerung Ein Eingabegerät, das über Augenkontakt einen Bildschirmcursor steuert. Das Gerät ermöglicht dem Benutzer, über die Bewegung der Iris Schaltflächen in Dialogfeldern zu betätigen und Menüelemente sowie Zellen oder Text auszuwählen. Zeitdienst Eine Serverclusterressource, die eine konsistente Zeitangabe an allen Knoten gewährleistet. ZentralerStandort Der primäre Standort der
1053
Systems Management Server-Hierarchie, dem alle anderen Standorte des Systems Management Server-Systems das Inventar und Ereignisse melden. Zertifikat Eine Datei für die Authentifizierung und den sicheren Datenaustausch auf nicht gesicherten Netzwerken, beispielsweise im Internet. Ein Zertifikat bindet einen öffentlichen Verschlüsselungsschlüssel sicher an die Entität, die den entsprechenden privaten Verschlüsselungsschlüssel besitzt. Zertifikate werden von der ausstellendenZertifizierungsstelle digital signiert und können für Benutzer, Computer oder Dienste verwaltet werden. Zertifikatsdienste Ein Windows 2000-Dienst, der Zertifikate für eine bestimmte CAausstellt. Der Dienst enthält definierbare Dienste für das Ausstellen und Verwalten von Zertifikaten für das Unternehmen. Siehe auch: Zertifikat, CA. Zertifikatspeicher Windows 2000 speichert öffentlicheSchlüsselobjekte,beispielsweise Zertifikate und Zertifikatssperrlisten auf logischen und physikalischen Speichern. Die logischen Speicher gruppieren öffentliche Schlüsselobjekte für Benutzer, Computer und Dienste. Physikalische Speicher befinden sich dort, wo die öffentlichen Schlüsselobjekte in der Registrierung von lokalen Computern (bzw. bei einigen Benutzerzertifikaten im Active Directory) gespeichert sind. Logische Speicher enthalten Zeiger auf öffent liche Schlüsselobjekte in den physikalischen Speichern. Benutzer, Computer und Dienste nutzen viele öffentliche Schlüsselobjekte gemeinsam. Daher ermöglichen logische Speicher die Freigabe von öffentlichen Schlüsselobjekten, ohne dass das Speichern von Duplikaten der Objekte für jeden Benutzer, Computer oder Dienst erforderlich wird. Zertifikatsvorlage Ein Konstrukt von Windows 2000, das Profile für Zertifikate (durch Festlegen des Formats und des Inhalts) auf Grundlage des Verwendungszwecks erstellt. Wenn ein Zertifikat von einer Windows 2000Zertifizierungsstelle (CA) angefordert wird, kann der Antragsteller in Abhängigkeit des Zugriffsrechts bestimmte Zertifikatstypen auswählen, die auf Zertifikatsvorlagen, beispielsweise auf „Benutzer“ oder „Codesignatur“, basieren. Siehe auch: Zertifikat, CA.
1054
Zertifizierungshierarchie
Zertifizierungshierarchie Ein Modellder Vertrauensstellung für Zertifikate, in dem die Zertifizierungspfade über hierarchische Beziehungen zwischen Zertifizierungsstellen erstellt werden. Siehe auch: CA, Zertifizierungspfad. Zertifizierungspfad Eine Kette der Vertrauensstellungen von einem Zertifikat zur Stammzertifizierungsstelle in einer Zertifizierungshierarchie. Siehe auch: Zertifizierungshierarchie,Zertifikat.
sich der Benutzer anmeldet und jeder Prozess eine Kopie des Token hat, der auf Anforderung des Benutzers ausgeführt wird. Das Token bezeichnet den Benutzer, die Gruppen des Benutzers sowie die Benutzerprivilegien. Das System verwendet das Token, um den Zugriff auf sicherbare Objekte und die Berechtigungen des Benutzers zum
Zone In einer DNS-Datenbank ist eine Zone der fortlaufende Bestandteilder DNS-Struktur, der als separate Entität von einem DNS-Server verwaltet wird. Die Zone enthält Ressourceneinträge für alle Namen innerhalb der Zone. In der MacintoshUmgebung handelt es sich um eine logische Gruppierung, die im Netzwerk die Suche nach Ressourcen, beispielsweise nach Servern und Druckern, erleichtert. Zonen sind mit Domänen in Windows 2000 Server-Netzwerken vergleichbar. Siehe auch: DNS, DNS-Server, Domäne.
Zonenübertragung Ein Prozess, in dem DNSServer interagieren, um autorisierte Namensdaten zu verwalten und zu synchronisieren. Wenn ein DNS-Server als sekundärer Server für eine Zone konfiguriert wird, fragt dieser Server regelmäßig den DNS-Masterserver ab, der als Quelle für die Zone konfiguriert ist. Wenn die Version der vom Master verwalteten Zone sich von der Version auf dem sekundären Server unterscheidet, entnimmt der sekundäre Server die Zonendaten von seinem DNS-Masterserver, um diese zu aktualisieren. Siehe auch: AXFR, IXFR, sekundärer Server, Zone.
Ausführen von verschiedenen Systemoperationen auf dem lokalen Computer zu steuern. Es gibt zwei Arten von Zugriffstoken: das primäre Token und das Identitätstoken. Siehe auch: Identitätstoken, Privileg, primäres Token, Prozess, SID.
Zugangssteuerung Der Dienst für die administrative Steuerung von Netzwerkressourcen auf freigegebenenNetzwerksegmenten.
Zulassung EineBasissicherheitsfunktionder Kryptographie. Durch die Zulassung wird sichergestellt, dass ein Kommunikationsteilnehmer nicht fälschlicherweise abstreiten kann, dass ein Bestandteil der Kommunikation stattgefunden hat. Ohne Zulassung besteht die Möglichkeit, dass ein Teilnehmer später die Kommunikation leugnen kann oder behaupten kann, dass die Kommunikation zu einem anderen Zeitpunkt stattgefunden hat. Siehe auch: Authentifizierung, Integrität, Kryptographie, Vertraulichkeit.
Zugriffssteuerung Dieser Sicherheitsmechanismus unter Windows NT und Windows 2000 bestimmt, welche Objekte von einem Sicherheitsprincipal wie verwendet werden können. Siehe auch: Autorisierung,Sicherheitsprincipal.
Zuordnen In der Terminologie von Systems Management Server bezieht sich der Begriff „Zuordnen“ auf das Bereitstellen eines Programms für die Mitglieder einer Auflistung (Gruppe), wobei das Programm akzeptiert werden muss.
Zugriffstoken Ein Objekt, das die Sicherheitsinformationen für eine Anmeldesitzung enthält. Windows 2000 erstellt ein Zugriffstoken, wenn
Zwischenspeichern(Caching) Ein DNS-Begriff, der die serverseitige Fähigkeit von DNS-Servern bezeichnet, Informationen zum Domänenname-
Zwischenspeichern (Caching)
space zu speichern, die während der Verarbeitung und Auflösung von Namensabfragen ausgegeben werden. Unter Windows 2000 steht die Cachingfunktion über den DNS-Auflösungsdienst DNSClients zur Verfügung, um einen Cache mit Namensdaten aus aktuellen Abfragen zu verwalten. Siehe auch: Cacheauflösung.
1055
1055
Stichwortverzeichnis 386-Distributionsordner 439, 851
A Abmeldung Gruppenrichtlinienoptionen 789 ACEs Siehe Zugriffskontrolleinträge ACLs Siehe Zugriffskontrolllisten Active Accessibility 799, 980–981 Active Desktop 985 Active Directory Druckerobjekte 527 erforderlicher Speicherplatz 299 Funktionsübersicht 229 –232 Installieren auf dem aktualisierten PDC 308 Reihenfolge 230 nicht für Windows 2000 vorbereitete Clientsoftware 742 Strukturplanung Beispielszenario 39 –42 Dokumentieren der aktuellen Architektur 152 – 153 Domänen Siehe Active Directory-Domänenstruktur Gesamtstrukturen Siehe Active DirectoryGesamtstruktur OUs Siehe Active Directory-Organisationseinheiten Planungsprinzipien 234 Planungsprozess 233– 234 Standorttopologie Siehe Active DirectoryStandorttopologie Strukturkomponenten 235 Technologieabhängigkeiten 55 Active Directory Connector (ADC) Abbrechen des Synchronisationsvorgangs 706– 707 ADC-Richtlinie 688 ADC-Verbindungsabkommensplan 703 Administration aus einer Quelle 680 Aktualisierung auf Objektebene 679 Anhalten des Synchronisationsvorgangs 706 –707 Auffinden von Netzwerkbenutzern 681 Benutzerobjekte Attributzuordnung 689 – 692 Festlegen für die Synchronisation 694– 696 gelöschte 693 Synchronisation auf Objektebene 679 Verwalten von Berechtigungen 680– 681 Verwaltung über das Active Directory 692– 694 Verwaltung über Exchange 692– 694 Zuordnen von Containern zu Organisationseinheiten 694– 696 bidirektionale Synchronisation ADC-Funktionen 679 Beispiele 697 –703 E-Mail-Verzeichnisse von Fremdanbietern 681 Verwalten von Objekten 694 Bridgeheadserver 685– 687 Datensicherung und -wiederherstellung Auffüllen von Attributen 707 Aufnehmen neuer Objekte in das Active Directory 707
autorisierte Wiederherstellung 707 planen 706 Sicherungsvorgänge 707 Delegierungsfunktionen 680 –681 Einrichtungsempfehlungen 687 E-Mail-Verzeichnisse von Fremdanbietern 678– 681 Exchange Server-Integration 55 – 56 Exchange-Standorte Angeben der Topologie 684 Auffüllen eines neuen Active Directory 680 E-Mail-Verzeichnisse von Fremdanbietern 678, 681 Festlegen von Active Directory-Objekten 684 in mehreren Gesamtstrukturen 697 Synchronisieren des gesamten Standorts 687 unterstützte Versionen 682 Verwalten von Benutzerberechtigungen 680 – 681 Zuordnen von Containern zu Organisationseinheiten 694 – 696 Festlegen der aktuellen Netzwerkstruktur 684 Funktionen zur direkten Verwaltung 680 – 681 installieren 684, 687 –688 Netzwerke mit Sternkonfiguration 687 Netzwerke mit Sterntopologie 685 Schemaänderungen 689, 708 selektive Attributauswahl 679 Suchläufe im globalen Katalog 688 Synchronisationszeitplan 705– 706 Systemanforderungen 685 – 686 Überblick Administration aus einer Quelle 680 Aufgabenliste zur Planung 708 Funktionen 679 – 681 Netzwerkbenutzerverzeichnisse 681 Planungsverfahren 683 – 684 Synchronisationsverfahren 678 –679 unidirektionale Synchronisation Verwaltung über das Active Directory 693 Verwaltung über Exchange 693 Unterbrechen des Synchronisationsvorgangs 706 –707 Verbindungsabkommen Anhalten des Synchronisationsvorgangs 706 –707 Beschreibung 682 Beschreibung, mehrerer 682 erstellen 696 – 697 Mindestanzahl 696 planen 705– 706 Suchläufe im globalen Katalog 688 testen 704 –705 Verwalten von Objekten 693– 694 Zuordnen von Containern zu Organisationseinheiten 695 – 696 Verbindungsmodelle einzelne Windows-Domäne 697– 700 Erstellung von Verbindungsabkommen 696– 697 mehrere Windows-Domänen 700– 703 Active Directory Connector (ADC) (Fortsetzung) Verbindungsvereinbarungen Planungsarbeitsblätter 926 – 930
1056
Stichwortverzeichnis
Verwaltungstools 679 Vorbereiten des Netzwerks für die Einrichtung 685 –689 Active Directory Connector Management Snap-In 697 Active Directory-Benutzer- und -Computer-Snap-In Aktivieren von Remotezugriff 361 Anzeigen der Sicherheitseinstellungen von Gruppenrichtlinien 381 Anzeigen von Zugriffskontrolllisten einer Organisationseinheit 364 Erstellen von Benutzerkonten 355 Hinzufügen von Benutzern zu Sicherheitsgruppen 367 Sicherheitseinstellungen, integrierte Gruppen 394 Active Directory-Benutzer- und -Gruppen-Snap-In 271 Active Directory-Client Auffinden von Netzwerkbenutzern 681 installieren 742 Verzeichniseinträge des Domänencontrollers 309 Active Directory-Domänen und -VertrauensstellungenSnap-in Einrichten expliziter Vertrauensstellungen zwischen Gesamtstrukturen 372 Umschalten in den einheitlichen Modus 318 Active Directory-Domänenstruktur Beispielbereitstellungsszenario 39–42 DNS-Domänennamen Beispielbereitstellungsszenario 39, 40 Benennungsrichtlinien 258– 260 Computernamen 260 DNS-Servereinrichtung 261– 264 doppelte Namen 258 Festlegen der Strukturanzahl 259 Internet-Standardzeichen 258 NetBIOS-Überlegungen 255, 259 Struktur-Stammdomäne 256 Umgebungen mit einer Struktur 256 Umgebungen mit mehreren Strukturen 256– 257 verwendet zur Ermittlung von Domänencontrollern 243, 255 Erstellen von Domänencontrollern 448, 450 Gesamtstrukturen Authentifizierung zwischen 358 eindeutiger Namespace 302–303 Gesamtstrukturdatenbank 242 partitionieren 250 –253 Planungsprozess 233– 234, 237 Richtlinie für die Revisionskontrolle 241– 242 Richtlinie für die Schemarevision 241 Schemacontainer 243 Schemaentwurf 236 Stammdomäne 254 –255, 303 Überlegungen zur Migration 303 Übersicht 235– 237 Umgebungen mit einer Gesamtstruktur 238 Umgebungen mit mehreren Gesamtstrukturen 238 –241 umstrukturieren 242 Verschieben von Domänen zwischen 242 zusammenführen 242 Partitionieren von Domänen Diagramm der Netzwerktopologie 247 – 248 Optimieren des Replikationsverkehrs 246 Partitionierungsprozess 247 Platzierung von Domänencontrollern in Standorten 248 – 250 Strategien 251 – 252
Zuweisen von Domänencontrollern 250 – 253 Planungsprozess 233 –234, 244 Sicherheitsrichtlinie für Domänenbenutzer 243, 246 Standorttopologie Siehe Active DirectoryStandorttopologie Übersicht 242– 243 Umbenennen von Domänen 266 Umgebungen mit einer Gesamtstruktur 244 Umgebungen mit mehreren Domänen Einsatzempfehlung 245 Gesamtstruktur-Stammdomäne 254 getrennte Domänenadministration 246 getrennte Sicherheitsrichtlinien 246 Kostenüberlegungen 253– 254 Optimieren des Replikationsverkehrs 246 Verschieben von Domänen zwischen Gesamtstrukturen 242 Windows NT-Domänen 244 – 245 umstrukturieren 242, 265 – 266 Vertrauensstellungen Siehe Vertrauensstellungen Active Directory-Konsistenzprüfung 278 Active Directory-Organisationseinheiten Delegieren von Administrationsaufgaben Aktualisieren von Ressourcendomänen 304 – 305, 329 Delegierungsmodelle 245, 270 Gruppenrichtlinienobjekte Siehe Gruppenrichtlinie, Delegieren der Clientadministration integrierte Delegierungsberechtigungen 394 OU-Struktur 271 –272 Steuerung pro Objektklasse 274– 275 Überlegungen zur Sicherheit 393– 394 Vollzugriff 272 – 274 von Computern und Benutzern 394 von Standorten und Diensten 394 Zugriffssteuerungslisten 270– 271 zweischichtige Delegierung 272 Domänen im gemischten Modus 306 Konsoldieren von Ressourcendomänen 340– 342 Speicherplatzanforderungen 270 Strukturplanung 233 –234, 269 Überlegungen zu Gruppenrichtlinien 276 Übersicht 267– 269 umstrukturieren 277 Verbergen von Objekten 276 zugehörige Zugriffskontrolllisten 363, 364 Active Directory-Standorttopologie Clientverbindungen 278, 281 Definieren 280 DNS-Clientkonfiguration 286 Konfigurationscontainer Siehe Konfigurationscontainer Kontoreplikation Änderungen an 279 Erstellen von Replikationsverbindungen 278 Konsistenzprüfung (KCC) 278 Kosten der Standortverknüpfung 277, 282–283 Lookup der Locatoreinträge 286 Active Directory-Standorttopologie Kontoreplikation (Fortsetzung) Optimieren des Verkehrs 246 Planung 278–283 Replikationsintervall 278, 282–283 Replizieren oder Aufteilen von Domänen 251– 252
Stichwortverzeichnis standortübergreifende und standortinterne Verbindungen 278 Transport 278, 282–283 Partitionieren von Domänen Siehe Active DirectoryDomänenstruktur Planungsprozess 233– 234, 279 Planungstaskliste 287 Server DNS-Server 285 – 286 globale Katalogserver 284 Hinzufügen von Domänencontrollern 284 Position 284 Standorte benennen 280 Definition 277 erstellen 280 –281 Namen, Beispiel 283 ohne Domänencontroller 280 Parameter für Standortverknüpfungen 277 Teilnetze 280 verbinden 281– 283 Verknüpfungen zeichnen 247 – 248 Übersicht 277– 279 Umstrukturieren nach der Einrichtung 286 ADC Siehe Active Directory Connector ADC-Verwaltungs-Snap-In 696 Ad-hoc-Labore 93, 95 Administratorengruppe Standardberechtigungen für Terminaldienste 560 ADSI (Active Directory Service Interfaces) 232 ADSL (unsymmetrische digitale Teilnehmerleitung) 203 Aktualisieren von Domänen Active Directory, erforderlicher Speicherplatz 299 Active Directory-Namespace 289 Aktualisierungspfade 290, 300 Aktualisierungsprozess 299 – 300 Anwendungskompatibilität 297 –298 Benutzerkonto, Kennwörter beibehalten 300 Betriebssysteme von Drittanbietern 298 Definition 293, 299 durchschnittliche Zeit zwischen dem Auftreten von Fehlern 292–293 einheitlicher Modus Ausführen von Anwendungen 297 Definition 307 Gründe für das Umschalten in den 318 irreversible Umschaltung 308, 317 Netlogon-Synchronisation deaktivert 307 PDC-Emulation aktiviert 307 Reservedomänencontroller 293, 307 Sicherheitsgruppen 319– 322 Übergang vom gemischten Modus 307 Umschalten zu 307 –308, 318 Vertrauensstellungen in untergeordneten Domänen 313– 314 wann umschalten in den 293, 296 Windows 2000-Funktionen im 306– 307 Entwerfen von Windows 2000-Domänen Siehe Active Directory-Domänenstruktur FRS Siehe Dateireplikationsdienst (FRS) Interoperabilität mit Windows NT 300 Interoperabilität, Definieren der Anforderungen 298– 299 Kerberos Siehe Kerberos-Authentifizierung Kontendomänen 312– 313
1057
LAN Manager Siehe LAN Manager-Replikationsdienst mehrere Masterdomänen Domänenmodell 301 einheitlicher Modus 307 explizite Vertrauensstellungen 302, 304 gemischter Modus 306 Konfliktbeseitigung 310 PDC-Emulation 309 Migrationsziele 292 – 293 NetBIOS 322 –323 Netlogon-Synchronisation 307 oder Umstrukturieren 295 – 296 PDC-Emulation Eigenschaften 309 Konfliktbeseitigung 310 Schalter des einheitlichen Modus 307 Übersicht 309 Phasen 290– 291 primärer Domänencontroller Active Directory-Installation 308 aktualisieren 308 Emulieren Siehe PDC-Emulation Reihenfolge der Aktualisierung 295 Reihenfolge der Aktualisierung Clients und Mitgliedsserver 294 –300 Domänen 296 Domänencontroller 160, 295 Kontendomänen 312 Ressourcendomänen 312 RRAS-Server 298, 327 Reservedomänencontroller aktualisieren 160 Anwendungsserver 317 einheitlicher Modus 293, 307 gemischter Modus 318 inkompatible Anwendungen auf 297 PDC-Emulation, Replikation der 309 physische Sicherheit 317 Ressourcendomänen 303– 305, 312, 313 RRAS-Server 298, 327– 328 SAM-Datenbankgröße 304, 312, 329 Sicherheitsgruppen Aktualisieren von Windows NT 319 – 322 Dienstprogramm ClonePrincipal 343 – 344 Windows 2000 318 Tasklisten 300, 345 Überprüfen der vorhandenen Struktur 301 –302 Vertrauensstellungen aktualisierte untergeordnete Domänen 313– 314 Dienstprogramm Netdom 338, 344 Festlegung expliziter 302 Kerberos-Authentifizierung 306 Masterdomänen 304 mehrere Masterdomänen 301, 304 NTLM-Authentifizierung 315 primäre Domänencontroller 308 Aktualisieren von Domänen (Fortsetzung) Wiederherstellungsplan 302 –303 Windows NT-Suchdienst 309 Zugriffskontrollkomponenten 310 –311 Aktualisierung contra Neuinstallation Beispielbereitstellungsszenario 42 Windows 2000 Professional Festlegen der besten Methode 846 – 848 Möglichkeiten der Installationsmethoden 848
1058
Stichwortverzeichnis
Optionen der Installationsmethoden 864 Windows 2000 Server Festlegen der besten Methode 434– 436 Möglichkeiten der Installationsmethoden 436, 452 Analysieren der Netzwerkstruktur Siehe Systems Management Server Änderungsmanagementlabore contra Ad-hoc-Labore 95 Investitionsrentabilität 94 – 95 Rolle des Labors 124 – 125 Testen nach der Einrichtung 124 Anivirenprogramme 726 Ankündigen von Anwendungen MMC-Snap-In Siehe Softwareinstallations-Snap-In SMS Siehe SMS-Softwareverteilung Anmeldung Anzahl fehlgeschlagener Anmeldeversuche, erlaubte 383 Authentifizierung Siehe Authentifizierung, RASAuthentifizierung Benutzeroberflächenoptionen 789 Kennwörter Siehe Kennwörter PDC-Emulation als Anmeldeserver 310 Sicherheitsoptionen 384 Terminaldienste Anmeldeskripts 561 automatische Anmeldung 560–561 Benutzerrechte 559 UPNs (User Principal Names) 237, 240 Antivirenprogramme 163, 164 Antwortdateien [GuiRunOnce]-Abschnitt Installieren von Clientanwendungen 865 –867 Abschnitt [GuiRunOnce] Ausführen von Sysprep 462, 467, 874, 880 Erstellen von Domänencontrollern 448, 450 Installieren von Serveranwendungen 454– 456 Beispiele auf CD 445, 857 Installation des Netzwerklastenausgleichs 958 – 961 Installation von Internet Explorer 952 –955 Installation von Professional von CD 950 – 952 Installation von Windows Clustering 961– 964 Installation von zwei Netzwerkadaptern 955– 958 Sysprep.inf 463 – 464, 876–877 Unattend.txt 949 – 950 Clientinstallation Antwortdatei für Boot-CD 883 Benennen von Antwortdateien 857 Einrichten von Kennwörtern 860– 861 Erstellen von Antwortdateien 858– 860 ExtendOEMPartition-Parameter 861– 862 Installations-Manager 858 Installieren der HALs 852, 855 Installieren der Massenspeichergeräte 852, 854 Installieren der Plug & Play-Geräte 855, 856 Installieren von Anwendungen 865– 867 Installieren von HALs 855 Installieren von NTFS 862 mehrere Antwortdateien 849 OEMFILESPATH-Schlüssel 852 Parameter OemPnPDriversPath 853 Sysprep.inf Siehe Sysprep-Clientinstallation Überblick 857 Unattend.doc 852 Unattend.txt 857
Verbesserungen unter Windows 2000 869– 870 Dateiformat 947 Datenbankdatei (UDB), angeben 944, 946 Festlegen im Setup-Befehl 446, 858 Formate für Schlüssel und Werte 947 – 948 lokale Kopie 861 Serverinstallation Antwortdatei der Boot-CD 471 Benennen von Antwortdateien 445 Einrichten von Kennwörtern 448 – 449 Erstellen von Antwortdateien 446– 448 Erstellen von Domänencontrollern 448, 450 Installations-Manager 446 Installieren der HALs 440, 443 Installieren der Massenspeichergeräte 440, 442 Installieren der Plug & Play-Geräte 443–444 Installieren von Anwendungen 454– 456 Installieren von HALs 443 installieren von NTFS 450 lokale Kopie 449 mehrere Antwortdateien 437 OEMFILESPATH-Schlüssel 440 Parameter ExtendOEMPartition 449 Parameter OemPnPDriversPath 441 Sysprep.inf Siehe Sysprep -Serverinstallation Übersicht 445– 446 Unattend.doc 440 Unattend.txt 445 Verbesserungen unter Windows 2000 457– 458 SMS-Softwareverteilung Aktivieren des unbeaufsichtigten Modus 487 Auslassen des Namens im Setup-Befehl 487 Benutzereingaben 486 – 487 Domäneneinstellungen für Windows 95- oder Windows 98-Aktualisierungen 489 –490 Festlegen der zu verwendenden Antwortdatei 485 mehrere Antwortdateien 486 Sicherheit 490 Windows NT-Aktualisierungen 490 Standard 947 –950 Anwendungen Antivirenprogramme, Kompatibilität 163–164 Clientkonfigurationsstandards definieren 69, 764– 765 festlegen 826– 829 Planungstaskliste 844 SMS-Tools 807 –809 Supportstandards 767 – 768, 770, 802 Technologien der Konfigurationsverwaltung 802 – 803 Überblick 836– 838 Anwendungen (Fortsetzung) Debugging ApiMon (Tool) 730 Dependency Walker (Tool) 730 digitale Zertifikate Kryptographie mit öffentlichen Schlüsseln Siehe auch Infrastruktur für öffentliche Schlüssel Authenticode 389– 390 Einrichtungsplanungstipps 57, 59 Einrichtungstests 727– 728 entfernen 727, 829 Kompatibilitätstest Eingabehilfen 982
Stichwortverzeichnis Planungsarbeitsblätter 930 –932 Szenarios 121– 122 Testplan 119 –121 zertifiziert 11 Lebenszyklus 826– 828 Migrations-DLLs 727 nicht autorisiert 718 redundant 718 Reservedomänencontroller inkompatible Anwendungen auf 297 Vermeiden von Pass-Through-Authentifizierung 317 Serverkonfigurationsstandards 69 Service Packs und Patches 828 sichere Authenticode 389 – 390 Microsoft-Standards zur Sicherheitszertifizierung 388 Überlegungen zur Sicherheit 388 – 389 Zugriffsberechtigungen für das Ausführen 387– 388 Standards für die Clientkonfiguration Planungsarbeitsblätter 936 –937 Standortlizenz, verwalten 718 Testen der Kompatibilität Antivirenprogramme 163–164, 726 Anwendungen, Definition 714 Aspekte der Domänenmigration 297– 298 Beheben von Kompatibilitätsproblemen 734– 736 benutzerdefinierte Anwendungen 726 Bestandsaufnahme Siehe Softwarebestand Bewertungskriterien 724 Einrichten des Modus Nur auf Aktualisierung prüfen 726 Einrichtungstests 727– 728 Ergebnisse, aufzeichnen 733– 734 Ergebnisse, protokollieren 731– 734 kommerzielle Anwendungen 726 Kompatibilitätsaspekte in Windows 163–164, 730 Kompatibilitätszertifizierung 724 –725 Labor Siehe Testlabore Liste kompatibler Anwendungen 725 Microsoft-Spezifikation Siehe Anwendungsspezifikation für Windows 2000 Migrations-DLLs 727 Ordnen von Anwendungen nach Priorität 716, 719– 720 SMS-Produktkompatibilitätsdatenbank 218 – 221 Szenarios 727– 730 Testplan 720 –724 Testtools 726, 730 Testverfahren 714, 736 Übersicht 713– 715 Verwalten von Tests 713 – 715 Windows 2000 Compatibility Guide 730 Windows-Kompatibilitätsaspekte 731 Windows-Kompatibilitätsfragen 519 Unternehmensanwendungen dokumentieren 152 unternehmensspezifische Terminaldienste 543– 544 Versionskontrolle 224, 731 verzeichnisfähige 232, 236 Vorgaben zur Clientkonfiguration Erzwingen 224– 225 Versionskontrolle 224 Windows Logozertifizierung für Anwendungen
1059
Anbietertests 725 Windows 2000 Application Specification (Spezifikation) 726 Desktop- und verteilte Anwendungen 725 Zertifizierung für kompatible Anwendungen 725 Anwendungen mit Standortlizenz, verwalten 718 Anwendungsserver Siehe auch Mitgliedsserver Installieren von Windows 2000 528– 529 Anwendungsspezifikation für Windows 2000 Desktop- und verteilte Anwendungen 725 Microsoft-Testplan 726 Standards für Eingabehilfen 982 Verzeichnis kompatibler Anwendungen 725 Website 726 Windows 2000 Compatibility Guide 730 Zertifizierung für kompatible Anwendungen 11, 725 APIPA (Automatic Private IP Addressing) 174, 753 APIs, unter Verwendung von ApiMon überwachen 730 AppleTalk-Protokoll laden 524 Routingstruktur 194 Services for Macintosh 740 Windows-Server in AppleTalk-Zonen 746 Arbeitsblatt für das Veröffentlichen und Freigeben von Informationen 903 Arbeitsspeicher Speicherunterstützung von Advanced Server 605, 610 ARP-Server 203, 205 ASP (Active Server Pages)-Sicherheit 392 Asymmetric DSL (ADSL) 203 Asynchronous Transfer Mode (ATM) Anruf-Manager 201 Clientkonnektivität 747 – 748 Infrared Data Association-Protokoll 747 IP über ATM-Dienste 202, 205, 747 Komponenten 204 LAN-Emulation Beispiel 202 Clientkonnektivität 747 ELAN 202 Konfigurieren von Verbindungen 739 Standard-ELAN 204 Vorbereiten von Clients zur Aktualisierung 204 MARS (Multicast and Address Resolution Service) 203, 205 NDIS ATM-Netzwerkadapterunterstützung 202 PPP-über-ATM 203 Asynchronous Transfer Mode (ATM) (Fortsetzung) Treiber 159 Vorteile von 201 Aufgabenbasierte Benutzer 763, 842 Auflisten von Vertrauensstellungen 338 Ausführbare Dateien, Inventar erstellen 215 Authenticode 389 –390 Authentifizierung Active Directory-Domänendatenbank 243 Benutzerkonten 355 bestmögliche Verfahren 356 –357 Computer 355 Definition 352 Delegieren von Netzwerkverbindungen 356 Dienste 355 doppelte 352, 356 Funktion einmali ges Anmelden 352, 355, 357
1060
Stichwortverzeichnis
gegenseitige 355 IAS Siehe Internetauthentifizierungsdienst Kerberos Siehe Kerberos-Authentifizierung NTLM Siehe NTLM-Authentifizierung Optimieren mit verknüpften Vertrauensstellungen 264 Remoteclient Siehe RAS-Authentifizierung Sicherheit einer Website 392 Smartcards Siehe Smartcards Übersicht 355 – 356 Vermeiden von Pass-Through 317 Windows 2000-Sicherheitsmodell 350 Autoexec.nt 519 Automatic Private IP Addressing (APIPA) 174, 753 Automatisierte Clientinstallation Aktualisierung contra Neuinstallation Festlegen der besten Methode 846– 848 Möglichkeiten der Installationsmethoden 848 Optionen der Installationsmethoden 864 Beispiele 889– 893 Installationskomponenten 869 Installieren von Anwendungen mit Windows Installer Siehe Windows Installer verfügbare Methoden 864 Verwenden von Antwortdateien 865 – 867 Verwenden von Cmdlines.txt\\€ DGGB_AUT.doc1154 Siehe Cmdlines.txt Installieren von Windows 2000 Professional Remoteinstallation Siehe Remoteinstallation des Betriebssystems Syspart 871 –873 Verwenden einer Boot-CD Siehe Boot-CD Verwenden von SMS Siehe Softwareverteilung mit Systems Management Server Verwenden von Sysprep Siehe SysprepClientinstallation Planungsarbeitsblätter 938– 939 Prozess 848 – 849, 869 Taskliste 893 Technologien 864, 871 Vorzüge und Optionen 869– 870 Automatisierte Serverinstallation Aktualisierung contra Neuinstallation Festlegen der besten Methode 434– 436 Möglichkeiten der Installationsmethoden 436, 452 Beispiele 471– 475 Features für die automatisierte Installation 456 – 458 Installationskomponenten 457 Installieren von Anwendungen Technologien 452 verfügbare Methoden 452 Verwenden der Antwortdateien 454 – 456 Verwenden von Cmdlines.txt Siehe Cmdlines.txt Verwenden von Windows Installer Siehe Windows Installer Installieren von Windows 2000 Server Syspart 459–461 Verwenden einer Boot-CD Siehe Boot-CD Verwenden von SMS Siehe Softwareverteilung von Systems Management Server Verwenden von Sysprep Siehe SysprepServerinstallation Planungsarbeitsblätter 914– 915 Prozess 436 – 437, 457 Taskliste 475 Technologien 458 – 459
Automatisiertes Einrichten des Servers Siehe Automatisierte Serverinstallation Autonome Systeme, OSPF-Netzwerke 190– 191
B Bandbreitensteuerung, QoS 205 Bandlaufwerke, Wechselmediensystem 657 Basispeicher 654 Bedarfsgesteuerte Anwendungsinstallation 820 Bei Bedarf herzustellende Verbindungen, VPN 181 Beispiel für Einsatzplanungsunterlagen Siehe Planungsunterlagen Beispielarbeitsblätter Siehe Planungsarbeitsblätter Beispielbereitstellungsszenarios 39 – 54 Active Directory-Entwurf 39– 42 Aktualisierung contra Migration 42 Bewerten von Windows 2000-Funktionen 42 – 43 Clienteinrichtungsprozess 52– 54 Computer duplizieren 41 DNS-Stammname 39–40 Domänenentwurf 39 –42 Einsatzplanungsteams 39 Pilotprojekt 43 – 44 Servereinrichtungsprozess 45– 52 servergespeicherte Benutzerprofile 44 Testlabor 43 –44 Windows 2000-Infrastrukturentwurf 47 – 49 Benutzerdatenverwaltung Siehe IntelliMirror-Verwaltung von Benutzerdaten Benutzerdefinierte Richtlinienmodule, Erstellen mithilfe von CryptoAPI 421 Benutzerdefinierte Teilnetzmasken 176 Benutzerkonten Siehe auch Sicherheitsprincipals Aktivieren von Remotezugriff 361 Authentifizierung Siehe Authentifizierung Autorisierung, Definition 350, 353 erstellen 367 globales Adressbuch 355 hinzufügen 355 Kennwörter Siehe Kennwörter Kennwortrichtlinie 243 Prozess der Zugriffskontrolle 362 –363 Rechte auf lokalen Computern 383 Benutzerkonten (Fortsetzung) Richtlinie für Kerberos-Ticket 243 Richtlinie für Kontosperre 243, 383 SAM-Datenbankgröße 304 Sicherheitsrichtlinie für Domänenbenutzer 243, 246 Standardverzeichnis 355 Überwachen von Siehe Überwachung verhindern delegierter Verbindungen 357 verschieben zur Umstrukturierung von Domänen 335 Benutzeroberfläche Konfigurationsmanagement Siehe IntelliMirror, Verwaltung der Einstellungen Benutzerprofile DFÜ-Profile erstellen 755 und RAS-Richtlinie 179 VPN-Verbindungen 182, 593, 844 Eingabehilfen 984 servergespeicherte Benutzerprofile Definition 830
Stichwortverzeichnis implementieren 831 –832 Terminaldienste 555– 556, 558 Terminaldienste 555– 556, 558, 844 umstrukturierte Domänen 335 –336 Vorrang der Gruppenrichtlinie 788 Benutzerschulung 75 Benutzertypen aufgabenbasierte Benutzer 763, 842 definieren 762– 764, 932 mobile Benutzer Anforderungen an die Clientkonfiguration 840 – 841 Definition 762 servergespeicherte Benutzerprofile 555–558, 830–832 reisende Benutzer Anforderungen an die Clientkonfiguration 841 – 842 Aspekte der Softwareverteilung 826 Definition 762 Remotebenutzer 762, 792 Standardberechtigungen in Terminaldienste 559 Strategien für die Konfigurationsverwaltung 836 – 844 Szenarios für die Clientkonfiguration 838– 842 Wissensarbeiter 763 Benutzerumgebungsdatei UsrLogon.cmd 561 Berechtigungen Siehe auch Sicherheitsgruppen, Zugriffskontrolllisten Berechtigungen für das Dateisystem 363 Berechtigungen für Netzwerkfreigaben 363 einrichten 363 Ressourcen außerhalb einer Gesamtstruktur 239 Standard 366 Verbergen von Objekten 276 verwalten 362–363 Zuweisen von Siehe Sicherheitsgruppen Bessere Geräteunterstützung 7 Bestand Software Siehe Softwarebestand Bidirektionale transitive Vertrauensstellungen, Definition 371 BIND-Dienst 150 Boot-CD Clientinstallation Anforderungen an Antwortdatei 883 Antwortdateien Siehe Antwortdateien BIOS-Bootreihenfolge 883 Distributionsordner Siehe Distributionsordner El Torito No Emulation 883 erweiterte automatisierte Installation 869– 870 Installationsprozess 848– 849, 884 Methoden der automatisierten Installation 871 UDF-Dateien 884 Verwenden 883 Serverinstallation Anforderungen an die Antwortdatei 471 Antwortdateien Siehe Antwortdateien BIOS-Bootreihenfolge 471 Datenbankdateien (UDB, Uniqueness Database File) 471 Distributionsordner Siehe Distributionsordner El Torito No Emulation 471 Installationsprozess 436– 437, 471 Methoden für die automatisierte Installation 458– 459 Verbesserungen der automatisierten Installation 457–458
1061
Verwenden 470 BOOTP (Bootstrap protocol) 199
C CD-ROM-Laufwerke, Wechselmediensystem 657 CGI (Common Gateway Interface) 392 Challenge Handshake Authentication Protocol (CHAP) 178, 591 CIDR (Classless Interdomain Routing) benutzerdefinierte Teilvernetzung 176 RIP-für-IP-Netzwerke 189, 190 CIFS-Protokoll (Common Internet File System) 744–746 Classless Interdomain Routing (CIDR) Benutzerdefinierte Teilvernetzung 176 RIP-für-IP-Netzwerke 189 – 190 Client Service für NetWare 742–743 Clientinstallations-Assistent 983–984 Clientkonfigurationsplan Anwendungen Siehe Anwendungen, Clientkonfigurationsstandards Benutzeroberfläche Definieren von Standards 787–789 Eingabehilfen 797– 799 mehrsprachig 792– 796 Benutzertypen definieren 764 Bereitstellungsszenario 54 Clientverwaltungsplan 774 – 775 Definieren von Benutzertypen 762 Einrichtungsszenario 52 Hardwarekonfiguration Siehe Hardware Konfigurationsverwaltungsplan 836 –838 Konfigurationswiederherstellung 804 Planungsarbeitsblätter 901–902, 932– 937 Planungsaufgaben 800, 844 Strategien für verschiedene Benutzer 838 – 844 Supportplan aktuelle Supportaspekte 802 aktuelle Supportprobleme 767 – 768 IT -Verwaltungsmodell 768 – 769 nicht verwaltete Umgebungen 770 verwaltete Umgebungen 770 Übersicht 759 –803 Clientverbindung Siehe Netzwerkverbindung Cluster, Definition 606 Clusterdienst Anforderungen an Serverkapazität 638– 639 Anwendungen auf Serverclustern 623– 624 Beschränkungen 640 Datensicherungs- und Wiederherstellungsstrategie Notfalldiskette 644 Einrichtung 640– 641 Einschränkungen 639 IPX-Protokoll 624 NetBEUI-Protokoll 624 Planen der Verfügbarkeit Ausfallkosten 603– 604 Bedarfsanalyse 608– 609 Hardwarekompatibilität 610 Identifizieren von Netzwerkrisiken 609– 610, 625 Planungstasks 605– 606 Planungsteam 607– 608 Planungstasks für die Einrichtung 623, 645– 646 RAID-Aspekte 625, 640 Ressourcengruppen
1062
Stichwortverzeichnis
Abhängigkeitsstruktur 637 –638 Anordnen in Gruppen 635 –638 Failback-Richtlinien 626 Failover-Richtlinien 626 Servercluster, Definition 622 Serverclustermodelle dedizierter Sekundärknoten 628 – 630 Hochverfügbarkeitskonfiguration 630 – 634 Servercluster mit einem Knoten 627– 628 Serverrollen 626– 627 Sicherungs- und Wiederherstellungsstrategie Clustersicherung und Wiederherstellung 644– 645 Neuzuordnung von Clustern 643 Sicherungsserver 623 Terminaldienste 640 Testen der Serverkapazität 643– 644 Wechselmedien 639 Clustering, Windows Siehe Windows Clustering Clusterserver, NetBIOS 322 Cmdlines.txt Clientanwendungen 864– 865, 879 Serveranwendungen 453, 467 Codesignatur Kryptographie für öffentliche Schlüssel Siehe Infrastruktur für öffentliche Schlüssel Common Gateway Interface (CGI) 392 Common Internet File System-Protokoll (CIFS) 744, 746 Computerinterne Gruppen 366 Computerkonten Siehe auch Sicherheitsprincipals Authentifizierung 355 verschieben zur Umstrukturierung von Domänen 336 – 337 vertraut für Delegierungszwecke 356 Verwalten mit Netdom 338, 344 Computernamen 260 Computerverwaltungs-Snap-In Anzeigen des migrierten Macintosh-Datenträgers 524 RAS-Richtlinien 361 Config.nt 519 Container für vertraute Stammzertifizierungsstellen 406, 413, 428 CryptoAPI 421
D Datei- und Druckdienste für NetWare 743, 744 Dateiberechtigungen, Gruppenrichtlinie 786 Dateifilter, Kompatibilitätsaspekte Windows 95 und Windows 98 164 Dateifilter, Kompatibilitätsprobleme Windows NT 163 Dateifilterkompatibilität Windows NT 726 Dateireplikationsdienst (FRS) Brücke zur LAN Manager-Replikation 325 – 327 Replikationsprozess 324– 325 Übergang vom LAN Manager-Replikationsdienst 323 – 327 Dateiserver Siehe auch Mitgliedsserver aktualisieren 523–525 Berechtigungen für computerinterne Gruppen 366 Macintosh-Zugriff 740
Zugreifen auf NetWare 742 –745 Dateisuche mit Indexdienst 667 –669 Dateisysteme EFS Siehe EFS (Encrypting File System) in Windows 2000 unterstützte 662 NTFS Siehe NTFS-Dateisystem verteiltes Dateisystem (DFS) 523–524, 665–667 Datenbank zur Jahr-2000-Produktkompatibilität 218 Datenbankanwendungsserver 529 Datenintegrität Definition 353 IPSec (Internet Protocol security) 377 sichere E-Mail 391 Signieren von Datenpaketen Siehe Infrastruktur für öffentliche Schlüssel Smartcards 359 Datenpakete, signieren Siehe Infrastruktur für öffentliche Schlüssel Datenschutztechnologien 373 Datensicherung und -wiederherstellung Active Directory-/Exchange Server-Synchronisation Anhalten des Synchronisationsvorgangs 706 –707 Auffüllen von Attributen 707 Aufnehmen neuer Objekte in das Active Directory 707 autorisierte Wiederherstellung 707 planen 706 Sicherungsvorgänge 707 Cluster Fehlertoleranz 642 Hardware-RAID 642 Neuzuordnung von Clustern 643 Notfalldiskette 644 Sicherung und Wiederherstellung 644 –645 Transaktionsprotokollierung und Wiederherstellung 643 Datenschutzstrategien 672 Fehler der Zertifizierungsstelle 419– 421 Datensicherung und -wiederherstellung (Fortsetzung) Planung der Notfallwiederherstellung Absichern gegen Systemausfälle 672 – 673 Bedarfsanalyse 674 – 675 Dokumentieren von Wiederherstellungsverfahren 676 Richtlinien zur Aufbewahrung außerhalb des Standorts 674 Sicherungsrichtlinien 673– 674 Testen 675– 676 Sichern der Server vor dem Aktualisieren 521 Sichern und Wiederherstellen von Lizenzservern 552 Sicherungsprogramm 671 Sicherungsrichtlinien 673 – 674 Wiederherstellung von mit EFS verschlüsselten Dateien 375 Wiederherstellung der Clientkonfiguration 804 Wiederherstellungsplan für die Domänenmigration 302 – 303 Datenträger fehlertolerante Siehe Fehlertolerante Systeme verwalten mit Datenträgerverwaltung Siehe Datenträgerverwaltungs-Snap-In Verwalten mit Remotespeicher 658– 660 Datenträgerkontingente Dateibesitz 663
Stichwortverzeichnis Datenträgerverwaltungs-Snap-In 664 definieren 663– 664 NTFS-Dateisystem 664 Richtlinien für die Einrichtung 835 Standard 663 Datenträgerverwaltung Siehe auch Speicherverwaltung Fehlertoleranz Siehe Fehlertolerante Systeme Kontingentverwaltung Siehe Datenträgerkontingent MMC-Snap-In Siehe Datenträgerverwaltungs-Snap-In Remotespeichersystem 658, 660 Wechselmediensystem 657 – 660 Windows-Funktionen 648, 652 Datenträgerverwaltungs-Snap-In Basisspeicher 654 Bereitstellungspunkte 656 Datenträgerkontingente 664 Datenträgerverwaltung 655 Defragmentierungsprogramm 657 dynamischer Speicher 654, 657 Festplatteninitialisierung 654 Logischer Datenträger-Manager 655 Online-Datenträgerverwaltung 653 Remote-Datenträgerverwaltung 653 Überblick 653 Volumenverwaltung 656 Verwaltung von Basis- und dynamischen Festplatten 654 Datenverwaltung Benutzerdaten Siehe IntelliMirror-Verwaltung von Benutzerdaten Indexdienst 667 –669 Speicher Siehe Speicherverwaltung Debuggen von Anwendungen ApiMon (Tool) 730 Dependency Walker (Tool) 730 Defragmentieren von Festplatten 657 Defragmentierungsprogramm 657 Deinstallieren von Anwendungen zum Einrichten von Windows 727 Delegieren von Administrationsaufgaben Aktualisieren von Ressourcendomänen 304 – 305 Berechtigungen für die Delegierung an integrierte Gruppen 394 Delegierungsmodelle 245, 270 OE-Struktur 271 –272 Prinzip des geringsten Privilegs 393 Sicherheitsgruppen 394 Steuerung pro Objektklasse 274– 275 Überlegungen zur Sicherheit 393– 394 Vollzugriff 272 – 274 von Computern und Benutzern 394 von Standorten und Diensten 394 Zugriffssteuerungslisten 270 zweischichtige Delegierung 272 Delegieren von Netzwerkverbindungen 356 Delegieren von Verwaltungsaufgaben Gruppenrichtlinienobjekte Delegieren von Verwaltungsaufgaben der Gruppenrichtlinie 775– 777 Entwurf des Active Directory-Namespace 774 – 775 Microsoft Management Console 777 Verknüpfungen mit Active DirectoryContainern 775 Verzeichnisdienststeuerung 775 zugeordnete Active Directory-Container 774
1063
Zugriffsberechtigungen für Objekte 776 Demilitarized Zone (DMZ) Beispiel 184 – 185 entwerfen 171, 585 – 586 Dependency Walker 730 DFS (verteiltes Dateisystem) 523– 524, 665 – 6 6 7 DFÜ-Verbindungen Beispiel für Router-to-Router-VPN bei Bedarf 183 Benutzerauthentifizierung Siehe RAS-Authentifizierung DFÜ-Profile erstellen 755 und RAS-Richtlinie 179 VPN-Verbindungen 182, 844 direkte Verbindungen zu RAS-Servern 749, 755 Netzwerk- und DFÜ-Verbindungen (Ordner) 739 Netzwerkverbindungs-Assistent 748– 749, 754 Sicherheitsrisiken 591 Softwareinstallation und -wartung 826 Terminaldienst Überlegungen zur Bandbreite 563 Terminaldienste Druckaufträge 570 Überlegungen zur Bandbreite 547 Windows-basierte Terminals 565 Verarbeitungsoptionen für langsame Verbindungen 780 Virtuelle private Netzwerke 749, 755 DFÜ-Verbindungsprofile VPN-Verbindungen 593 DHCP (Dynamic Host Configuration Protocol) BOOTP (Bootstrap protocol)-Unterstützung 199 Clientkonnektivität 740 – 742 DHCP-Manager 197, 199 DNS-Integration 159, 160, 198 dynamische Zuweisung von IP-Adressen 197 Erkennung nicht autorisierter Server 198 Multicastadresszuweisung 197– 198 DHCP (Dynamic Host Configuration Protocol) (Fortsetzung) neue Funktionen 197 –199 Remoteinstallationsserver 885 – 887, 889 Serverplatzierung 159 verteilter Entwurf 199– 200 Vorteile von 197 WINS (Windows Internet Name Service) 177 zentralisierter Entwurf 199 – 200 Diagramme physikalische und logische Netzwerke 148 –150, 168 – 169 Diagrammerstellung Testlabor 110 –112 Dienstkonten Authentifizierung 355 Richtlinien für Systemdienste 384 Startmodus des Dienstes 384 vertraut für Delegierungszwecke 356 Dienstprogramm ClonePrincipal 338, 343 – 344 Dienstprogramm Netdom 338, 344 Dienstprogramme, Weitergabe 965 Digitale Teilnehmeranschlüsse, PPP-über-ATM 203 Digitale Zertifikate Kryptographie mit öffentlichen Schlüsseln Siehe Infrastruktur für öffentliche Schlüssel Signieren von Software mit Authenticode 389– 390 Distanzvektor -Routingprotokoll 189 Distributionsordner Clientinstallation
1064
Stichwortverzeichnis
Erstellen 849– 850 Struktur 851 Verteilungsserver, mehrere 850 Clientinstallationen $OEM$-Unterordner 853 Benennen des Stammordners 850 Dateinamen, erforderliche kurze Dateinamen 853 i386-Ordner 850, 851 Installieren der Hardwareabstraktionsschicht (HAL, Hardware Abstraction Layer 852 Installieren der Hardwareabstraktionsschicht 855 lange Dateinamen, konvertieren 853, 856 – 857 Massenspeichergeräte 852, 853 – 855 OEM$ extmode-Unterordner. extmodeUnterordner. extmode-Unterordner OEM$-Unterordner 851–64 Plug & Play-Geräte 853, 856 Speicherort von Cmdlines.txt 864 Stammverzeichnis der Distributionsfreigabe 851, 852 Struktur 853 Txtsetup.oem 852–855 Unattend.doc 852 Unterordner OEM$_Buchstabe 853 Variable %systemdrive% 853 Variable %systemroot% 852 Variable %windir% 852 Verteilungsserver, Pfadangaben 863 Serverinstallationen Benennen des Stammordners 438 Dateinamen, erforderliche kurze Dateinamen 441 erstellen 437– 438 i386-Ordner 438, 439 Installieren der Hardwareabstraktionschicht (HAL, Hardware Abstraction Layer) 440 Installieren der Hardwareabstraktionsschichten 443 lange Dateinamen, konvertieren 441, 444 – 445 Massenspeichergeräte 440, 441 – 443 OEM$-Unterordner 439 Plug & Play-Geräte 441, 444 Speicherort von Cmdlines.txt 453 Stammverzeichnis der Distributionsfreigabe 439, 440 Struktur 439 –441 Txtsetup.oem 440–443 Unattend.doc 440 Unterordner OEM$$ 440 Unterordner OEM$_letter 441 Unterordner OEM$1 441, 444 Unterordner OEM$1npdrvrs 441 Unterordner OEM$1ysprep 453 Variable %systemdrive% 441 Variable %systemroot% 440 Variable %windir% 440 Verteilungsserver, Angeben des Pfads 452 Verteilungsserver, mehrere 438 SMS-Pakete 484 DLLs (Dynamic-Link Libraries) Inventar erstellen 215 Migrations-DLLs 727 DMZ (Demilitarized Zone) Beispiel 184– 185 entwerfen 171, 586 DNS (Domain Name System) autorisierte Server für Domänennamen entsprechende Locatoreinträge 262 Kennzeichnen 261 –262
Serveranforderungen 262– 264 Benennen von Domänen See Active DirectoryDomänenstruktur, DNS-Domänennamen Benennen von Standorten 280 Clientkonfiguration 286 Clientkonnektivität 740– 741 Delegierungspunkte 261 DHCP-Integration 198 DNS-Datenbank 261 dynamische Registrierung, Unterstützung 150 dynamische Synchronisation mit DHCP 159 Exchange Server -Integration 55 Gesamtstruktur-Namespace 302, 303 Locatoreinträge 262, 285 Mehrfachvernetzung 187 Ressourceneintrag Dienstidentifizierung (SRV), Unterstützung 150 Ressourceneinträge 261 Reverse-Lookupzonen 262 Round Robin-DNS 619 – 620 Server, Standorttopologie 285 – 286 Technologieabhängigkeiten 55 Terminaldienste Lastenausgleich 554 WINS-Integration 177 Zonen 261, 286 Domain Name System (DNS) Siehe DNS Domänen im einheitlichen Modus Siehe Aktualisieren von Domänen, einheitlicher Modus Domänenadministratoren Übersicht 243 Domänenadministratorkonto, Sicherheit 393 Domänenaktualisierung Aktualisieren von Mitgliedsservern Siehe Mitgliedsserver Domänencontroller 160 gemischter Modus Siehe Gemischter Modus Planungsarbeitsblätter 912 –913 Reihenfolge der Aktualisierung Active Directory 230 Vertrauensstellungen mehrere Masterdomänen 236 Ressourcendomäne in einer neuen Struktur 305 Domänencontroller aktualisieren 160 als globale Katalogserver bestimmen 285 Dokumentieren der aktuellen Struktur logisches Netzwerkdiagramm 150 physikalisches Netzwerkdiagramm 148– 149 Verwaltungsmodell 152 –153 Domänen konsolidieren Siehe Umstrukturieren von Domänen Domänendatenbank 243 Heraufstufen von Servern 448, 450 Konfigurationscontainer auf Domänencontrollern 243 autonome Domänenadministration 246 Definition 236 repliziert an Domänencontroller 279 verzeichnisfähige Anwendungen 236 PDC-Emulation Eigenschaften 309 Übersicht 309 physische Sicherheit 249 Platzieren in Domänen 284 Platzieren in Standorten 248– 250
Stichwortverzeichnis Schemacontainer 243 Standorte ohne Domänencontroller 248, 280 Standorttopologie Siehe Active DirectoryStandorttopologie Vorbereiten für die Aktualisierung 159 –160 Zuweisen von Domänen zu 250–253 Domänenhauptsuchdienst 309 Domäneninterne lokale Gruppen Domänenmigration 319 Eigenschaften 321 gemischter Modus 365 Gruppenerweiterung 321 verschachtelte Sicherheitsgruppen 321 Verwenden 365 Windows NT 3.51 297 Doppelte Authentifizierung 352, 356 Druckserver Siehe auch Mitgliedsserver Active Directory 527 aktualisieren 525, 527 Druckaufträge für Terminaldienste 570 Konfigurieren der Netzwerkumgebung 526 Terminaldienst Druckaufträge 569 Testen der Druckerfreigaben 527 Windows 2000-Systemanforderungen 526 Zugreifen auf NetWare 742– 745 Dual-Boot-Systeme 663 Duplizieren von Computern Definition 41 RIS-Abbilder Siehe Remoteinstallation des Betriebssystems Sysprep Siehe Sysprep-Clientinstallation, SysprepServerinstallation DVD-ROM-Laufwerke, Wechselmediensystem 657 Dynamic Host Configuration Protocol Siehe DHCP Dynamic-Link Libraries (DLLs) Inventar erstellen 215 Migrations-DLLs 490, 727 Dynamische Datenträger, Clusterdienst 639 Dynamischer Speicher 654, 657
E EAP (Extensible Authentication Protocol) Erweiterungen für PPP 362 L2TP-Benutzerauthentifizierung 185 Verhindern des Abfangens von Benutzernamen 591 EAP-TLS-Authentifizierung 362, 591 EFS Siehe Verschlüsselndes Dateisystem Eingabehilfen Active Accessibility 980–981 Active Desktop 985 Anpassen an die Bedürfnisse Schwierigkeiten 987 Anschlagverzögerung 993 Audioschemas 989, 994 Bildschirmlupe 996 Darstellungsoptionen 990 Definition 978 Einrastfunktion 993 Einstellen der Lautstärke 990 Hilfsprogramm-Manager 985 Installation 980, 982 Konfigurationsmethoden
1065
Benutzerprofile 984 Eingabehilfen-Assistent 984, 988 Gruppenrichtlinie 983, 984 Remoteinstallation 983 Systemsteuerung 984, 988 unbeaufsichtigte Installation 983 Windows Installer 983 konstrastreiche Farbschemas 997 Maus 994 Mausoptionen 993 Mauszeiger 997 Microsoft Accessibility-Webseite 982 neue Funktionen 978 –979 Produkte von Drittanbietern 981 – 982 Sounddarstellung 990 Sprecher 995 Statusanzeige 993, 995 Synchronized Accessible Media Interchange 990 Tastaturbefehle 993 Tastenkombinationen 992 Test 980 Zuordnen von Funktionen nach Bedarf anfallsgefährdete Benutzer 994 –995 Hörstörungen 989– 990 kognitive Störungen 988 Körperbehinderungen 991– 994 Schwierigkeiten 986 Eingabehilfen Zuordnen von Funktionen nach Bedarf (Fortsetzung) Sehstörungen 995–997 Wahrnehmungsstörungen 989 Zurücksetzen der Eingabehilfe 984 Eingabehilfen für die Benutzeroberfläche Siehe Eingabehilfenoptionen Eingabehilfenoptionen Active Accessibility 799 Fremdanbieterprodukte 799 Konfigurationsmethoden Gruppenrichtlinie 799 Übersicht 797 Einheitentests 117 Einmaliges Anmelden 352, 355, 357 Einrichtungsprojektplan Active Directory-Entwurf Beispielbereitstellungsszenario 39 – 42 Exchange Server-Integration 55– 56 Technologieabhängigkeiten 55 Unternehmensstruktur 56 Benutzerschulung 75 Bereitstellungsszenarios 54 Active Directory-Entwurf 39 – 42 Aktualisierung contra Migration 42 Bewerten von Windows 2000-Funktionen 42 –43 Clienteinrichtungsprozess 52 – 54 Domänenentwurf 39 – 42 Fallstudien für den Funktionsentwurf 12– 20 Pilotprojekt 43 – 44 Servereinrichtungsprozess 45 – 52 Testlabor 43 – 44 Windows 2000-Infrastrukturentwurf 47– 49 bestmögliche Einrichtungsverfahren 56 – 59 Dokumentieren der aktuellen Umgebung 67– 69 Einrichtungsphasen 33– 34, 57 Einrichtungsszenarios 39–44
1066
Stichwortverzeichnis
Computer duplizieren 41 DNS-Stammname 39, 40 Einrichtungsteams 39 – 40 servergespeicherte Benutzerprofile 44 Einrichtungsteams Beispielszenarios 39– 40, 63 – 64 Clientteamszenario 45, 52 –54 Kommunikationsstrategien 74 – 75 Organisieren 63 – 67 Serverteamszenario 45 – 52 Verwaltungsrollen 65–67 Einrichtungszeitplan 80– 81 Einsatzplanungstasks 60, 82 erste Schritte 3 –6 Funktionsentwurf Beispiele für Fallstudien 12– 20 benutzerdefinierte Zuordnung von Windows 2000Funktionen 20–29 Planungsprozess 6 Zuordnen von Funktionen nach Bedarf 10 – 12 Funktionsentwurfsphase Funktionsbeschreibung 36 –37, 74 Technologieabhängigkeiten 55 – 56 internationale Installationen 58
Richtlinie für Systemdienste 385 Ereignisprotokollierung 395– 397 Anzeigen der Protokolldatei 396 Ereignisse in Dateien und Ordnern 385, 396 Ereignisse, die die Registrierung betreffen 385 fehlgeschlagene und erfolgreiche Ereignisse 385 implementieren 395 Prozess 395 Richtlinien für Ereignisprotokolle 384 Speicherplatz 396 Übersicht 354 Überwachungsrichtlinie 383 zu überwachende Ereignisse 397 Exchange Server Integration 55– 56 Synchronisation Siehe Active Directory Connector Explizite Vertrauensstellungen Siehe Vertrauensstellungen Extensible Authentication Protocol (EAP) Erweiterungen für PPP 362 L2TP-Benutzerauthentifizierung 185 Verhindern des Abfangens von Benutzernamen 591 Extranet, Definition 599
F Kapazitätsplanung 76 – 77 Konfigurationsstandards und -richtlinien 69 Lückenanalyse 69 Migrationsplan, Beispielszenarios 44 –54 Pilotphase 37–71 Siehe Pilotprojekt Planungsarbeitsblätter Arbeitsblatt für die Verwaltung der Infrastruktur 900 –901 Desktopverwaltungslösungen 901 –902 Komponentenanwendungsdienste 903 – 904 Netzwerk- und Kommunikationsfunktionen 906– 907 Sicherheitsfunktionen 902–903 Skalierbarkeit und Verfügbarkeit 905– 906 Speicherverwaltung 907 – 908 Veröffentlichen und Freigeben von Informationen 903 Planungsunterlagen, Arten 71 –74 Produktionseinführungsphase 38, 81 –82 Projektmanagementprozess 33– 34 Projektumfang 62 Risikomanagementplanung 77 –81 Tasks zum Erstellen 29, 32 Testplan 70 – 71 Übersicht 32 – 34 Zielsetzungsphase 35 – 36, 62 Einrichtungstools 965 E-Mail-Sicherheit kryptographische öffentliche Schlüssel Siehe Infrastruktur für öffentliche Schlüssel Planungsüberlegungen 391 S/MIME (Secure/Multipurpose Internet Mail Extensions) -Standard 391 Sicherheitsrisiken 390 Entwerfen von Laboren Siehe Testlabore, entwerfen Ereignisanzeige Anzeigen der Protokolldatei 396 Überschreiben von alten Protokolleinträgen 396 Ereignisprotokollierung
Failover Beschreibung 661 clusterinsensitive Anwendungen 624 clustersensitive Anwendungen 624 Definition 606 Failback-Richtlinien 626 Failover-Richtlinien 626 Speicherort der Anwendungsdaten 624 FAT-Dateisysteme Defragmentierung von Festplatten 657 in Windows 2000 unterstützte 662 Konvertieren in NTFS 663 Fehlertolerante Systeme Entwerfen 672 Fehlerkorrektur 643 Hardware-RAID 642 RAID-Konfigurationen 670 –671 Transaktionsprotokollierung und Wiederherstellung 643 Überblick 670 Festplattenabbildung RIS-Abbilder Siehe Remoteinstallation des Betriebssystems Sysprep Siehe Sysprep-Clientinstallation, SysprepServerinstallation Festplattenkapazität Anforderungen des Clusterdienstes 639 Festplattenkontingente Speicherverwaltungsfunktionen 664 Festplattenlaufwerke mit hoher Kapazität 657 Festplattenspeicher Anforderungen an Terminaldiensteclients 566 Benutzerkontendatenbank 518 Druckserver 526 mehrsprachige Version 844 Netzwerklastenausgleich-Komponente 621 Serveranforderungen, bewerten 518 Verwalten mit Remotespeicher 658– 660 Zertifikatsdatenbanken 423
Stichwortverzeichnis Fibre Channel 28, 658 File und Print Services für NetWare 525 Firewalls entmilitarisierte Zone 585 Microsoft Proxy Server 586 Stellung des IAS-Servers 597 Terminaldienste Server 563 Terminaldiensteserver 546, 553 Überwachen der Serveraktivität 396 virtuelle private Netzwerke 594– 595 FORTEZZA-Cryptocards 417 Freigegebene Systemdateien, schützen 730 FRS Siehe Dateireplikationsdienst
G Gateway Service für NetWare 193, 742– 743, 745 Gemeinsame Nutzung der Internetverbindung (ICS) 178, 751 Gemischter Modus Authentifizierung 160 Definieren der Anforderungen an die Interoperabilität 298 –299 Definition 305 Gründe für die Verwendung 317 –318 Interoperabilitätsfunktionen 299 Kontoreplikation 160 NTFS-Dateisystem 160 NTLM-Authentifizierung 314 PDC-Emulation Eigenschaften 309 Konfliktbeseitigung 310 Schalter des einheitlichen Modus 307 Übersicht 309 Reservedomänencontroller 318 RRAS-Server 327– 328 Sicherheitsgruppen 319 –322 Übergang zum einheitlichen Modus 307 verfügbare Windows 2000-Funktionen im 306– 307 Vertrauensstellungen in untergeordneten Domänen 313 – 314 Vertrauensstellungen in untergeordneten Domänen 315 Generischer QoS 202 Gerätetreiber, inkompatible 164 Gesamtbetriebskosten 7 Gesamtstrukturen Siehe Active Directory-Domänenstruktur Gespiegelte Datenträger 521, 654, 670 Globale Gruppen Siehe auch Sicherheitsprincipals Eigenschaften 321 Gruppenerweiterung 321 Mitglieder von universellen Gruppen 366 Richtlinie für eingeschränkte Gruppen 384 verschachtelte Sicherheitsgruppen 321 verschieben 335 verwenden 365 Windows NT 319 Globaler Katalog Active Directory-Objekte in 236 Aktivierungen universeller Gruppen 368 Bestätigen von UPNs 237 Platzierung von globalen Katalogservern 284 Suchbereich 237 Suchoberfläche 237
1067
Umgebungen mit einer Gesamtstruktur 238 Umgebungen mit mehreren Gesamtstrukturen 238–239 universelle Gruppen, aufgelistet in 320 Globales Adressbuch 355 Grafikkarten SMS-Hardwareinventar 214 Windows-Kompatibilität 214 Gruppe „Administratoren“ 366 Standardberechtigungen 367 Standardrechte in Sicherheitsvorlagen 387 –388 Gruppe „Authentifizierte Benutzer“ 362, 363 Gruppe „Benutzer“ 366 Berechtigungen für das Dateisystem 363 Recht auf das Ausführen von Anwendungen 387 Standardberechtigungen 366 Standardrechte in Sicherheitsvorlagen 387 –388 Gruppe „Domänenadministratoren“ autonome Domänenadministration 246 Berechtigungen für Gruppenrichtlinienobjekte 775 dedizierte Domänen 255 Kontrolle über Objekte in einer Domäne 272 Mitglied einer lokalen Administratorengruppe 368 Gruppe „Domänenadministratoren“ (Fortsetzung) Überwachen der Zugehörigkeit 253 Gruppe „Druckoperatoren“ 367 Gruppe „Hauptbenutzer“ 366 Recht auf das Ausführen von Anwendungen 387 Standardrechte in Sicherheitsvorlagen 387 –388 Gruppe „Jeder“ 366 Einschränken von Zugriff auf Netzwerkfreigaben 363 Standardberechtigungen 366 Gruppe „Kontenoperatoren“ 367 Gruppe „Organisationsadministratoren“ Berechtigungen für Gruppenrichtlinienobjekte 776 Gruppe „Schemaadministratoren“ Berechtigungen 236 Gesamtstruktur-Stammdomäne 254 Richtlinie für die Schemarevision 241 Sicherheitsüberlegungen 393 Gruppe „Serveroperatoren“ 367 Gruppe „Unternehmensadministratoren“ Gesamtstruktur-Stammdomäne 254 Konfigurationscontainer 236 Richtlinie für die Konfigurationsrevision 242 Sicherheitsüberlegungen 393 Gruppenrichtlinie Active Directory Entwurf des Namespace 381 mehrere Domänen 243 Namespaceentwurf 774 –775 Umstrukturieren von Organisationseinheiten 277 verbundene Container 379 zugeordnete Container 774 Delegieren der Clientadministration Siehe auch Delegieren von Administrationsaufgaben Entwurf des Active Directory-Namespace 774– 775 implementieren 775 – 777 MMC-Konsolen 777 Verknüpfungen mit Active DirectoryContainern 775 Verzeichnisdienststeuerung 775 Zugriffsberechtigungen für Gruppenrichtlinienobjekte 776 Filtern durch Sicherheitsgruppen implementieren 777 – 779
1068
Stichwortverzeichnis
Richtlinien der lokalen Gruppe 785 schnelleres Verarbeiten der Gruppenrichtlinie 771 implementieren 381 Kioskumgebungen 785 Konfiguration der Benutzeroberfläche Benutzeränderungen 791 benutzerdefinierte An- und Abmeldung 789 Benutzerprofile 788 Deaktivieren der Systemsteuerung 790 Deaktivieren des Registrierungs-Editors 790 Eingabehilfen 983, 984 Eingabehilfenoptionen 797– 799 Einschränken der Änderungen durch Benutzer 790 MultiLanguage-Richtlinie 797 Optimieren des Desktops 790– 791 planen 761–762, 770, 787– 789 Remotecomputer 792 Startmenü 791 lokal 783 –785 Objekte, Definition 771 Optionen für die Remoteinstallation des Betriebssystems 817 Ordnerumleitung Aktivieren von IntelliMirror 830 Datenträgerkontingente 830, 835 implementieren 832– 833 Überblick 830 Planungsarbeitsblätter 934, 936 Richtlinien für öffentliche Schlüssel automatische Zertifikatseinschreibung 428 domänenweiter Anwendungsbereich 382 EFS-Wiederherstellungs-Agenten 428 einstellen 406 Stammzertifikatsvertrauen 428 Zertifikatsvertrauenslisten 428 Zuweisen von Vertrauenslisten an Objekte 414 –415 Sicherheitsrichtlinien Aktivieren von Remotezugriff 361 ändern 381 anwenden 379– 380 Anwendungsbereich 382 anzeigen 381 Authentifizieren von Computern und Diensten 355 basiert auf Domänenbenutzerkonten 355 Computerrichtlinie 355 Delegieren von Netzwerkverbindungen 356 einmaliges Anmelden innerhalb der Gesamtstruktur 355 Erstellen von Benutzerkonten 355 IP-Richtlinien 378 IPSec 386 Kennwortrichtlinie 383 Kerberos-Authentifizierung 357, 383 Kontorichtlinien 382–383 Protokollierung 383, 395 –397 Registrierungsrichtlinien 385 Remotezugriff Siehe RAS-Richtlinien Richtlinie für die automatische Zertifikatseinschreibung 185 Richtlinie für eingeschränkte Gruppen 384 Richtlinie für Kontosperre 383 Richtlinien für Dateisysteme 385, 786 Richtlinien für Ereignisprotokolle 384 Richtlinien für Internet Explorer 390 Richtlinien für lokale Computer 383
Richtlinien für Systemdienste 384 Sicherheitsvorlagen 386– 388 Überlegungen zur Planung 381 Verzeichnisdatenbank 351 Wiederherstellungsrichtlinie 375 Windows 2000-Sicherheitskomponenten 351 Softwareverteilungsoptionen freigegebene Computer 825 IntelliMirror-Technologie 804 –805, 809–810 mobile Benutzer 825 reisende Benutzer 826 Veröffentlichen von Anwendungen 823 – 825 Verteilungsphase 822 Zuweisen von Anwendungen 823 – 825 Terminaldienste Benutzersprache 569 Einrichtung von Anwendungen 567 Installieren von Anwendungen 557 Gruppenrichtlinie Terminaldienste (Fortsetzung) Remoteanwendungsinstallation 537 widersprüchliche Richtlinien 557 Zugriff auf Anwendungen 557 Übersicht 771 Umgebungen mit mehreren Domänen 254 Verarbeitungsoptionen asynchrone Verarbeitung 781 clientseitige Erweiterungen 781– 782 Hintergrundprozesse 782 Keine Außerkraftsetzung (Option) 779 langsame Verbindungen 780, 782, 792 Loopbackoptionen 779 Netzwerkleistung 777 Optionen der Richtlinienvererbung 779 periodische Aktualisierung 780, 782 synchrone Verarbeitung 781 Vererbung 380, 382 Verknüpfen von Objekten mit Containern 380, 775 Verwaltung von Offlinedateien 835 Windows NT-Systemrichtlinien übertragen 772 – 773 Vergleich mit Gruppenrichtlinie 770 – 771 Gruppenrichtlinie für lokale Computer 384
H HALs (Hardware Abstraction Layers) Siehe Hardwareabstraktionsschichten Hardware Clientkonfiguration Dateisystem 786 Definieren von Standards 765 –767 Hardwareprofile 786– 787 Supportstandards 767 – 768, 770 Definieren von Konfigurationsstandards 69 Hinzufügen zur SMSProduktkompatibilitätsdatenbank 218 – 219 Windows 2000-Kompatibilität Druckserveranforderungen 525 Hardwarekomponenten, zu prüfen 213 Mitgliedsserveranforderungen 517– 518 physikalische Netzwerkinfrastruktur 158– 159 Schätzen der Hardwareanforderungen 214 Überprüfen mit Setup 105
Stichwortverzeichnis Windows 2000Hardwarekompatibilitätsliste (HCL) 213, 519 Hardwareabstraktionsschichten (HALs) Clientdistributionsordner 852 eindeutig 816 Installieren auf Clients 855 Installieren auf Servern 443 Serverdistributionsordner 440 Hardwarebestand Mitgliedsserver 517 Hardwareinventar Ausführen des SMS-Inventars 213 – 214 Auswählen von Computern für die Aktualisierung 482 Extrahieren von SMS-Inventardaten 218, 221 physikalisches Netzwerkdiagramm 148– 149 SMS Version 1.2, Überlegungen 211 SMS-Berichte 216– 218 Windows NT-Netzwerkdaten 147 Hardwareinventur Auswählen von Computern für die Aktualisierung 500 – 501 Hardwarekompatibilitätsliste (HCL) 519 Heterogene Umgebungen 164, 298 –299 Siehe auch Gemischter Modus Hilfsprogramm-Manager 985 Hochsichere Sicherheitsvorlage 388 HTTP (Hypertext Transfer Protocol) 392 Hyberfil.sys 468, 881
I I2O Siehe Intelligente Eingabe/Ausgabe (I2O) I386-Distributionsordner 438, 850 IANA Siehe Internet Assigned Numbers Authority (IANA) IAS Siehe Internetauthentifizierungsdienst ICS (Gemeinsame Nutzung der Internetverbindung) 178, 751 IEEE 1394 658 IGMP Siehe Internet Group Management Protocol (IGMP) IIS (Internet Information Services) Internet-Informationsdienst (Snap-In) 530 Netzwerklastenausgleich 616 Sicherheitsfunktionen 392 Indexdienst 667– 669 Infrared Data Association-Protokoll (IrDA) 747 Infrastruktur für öffentliche Schlüssel Anforderungen 408 – 411 Anzeigen von Zertifikaten 405 Ausstellen von Zertifikaten 429 automatische Einschreibung 428 Codesignatur für Software 403 Definition 401–402 EFS-Zertifikate 375 Erneuern von Zertifikaten automatisch 428 Festlegen des Erneuerungsprozesses 418 Konfigurieren vor dem Einrichten 429 Schlüsselpaar 418 Sicherheit 418 webbasiert 418, 421 Erstellen benutzerdefinierter Anwendungen 421 Gruppenrichtlinienobjekte automatische Zertifikatseinschreibung 428 EFS-Wiederherstellungs-Agenten 428 Stammzertifikatsvertrauen 428
1069
Zertifikatsvertrauenslisten 428 Zuweisen von Vertrauenslisten 414– 415 häufig zertifizierte Anwendungen 403 Implementieren in Stufen 162 Implementierungsprozess 404– 405 IPSec-Zertifikate Authentifizierungsvorgang 182 automatische Einschreibung 185 Beispielkonfiguration 185– 186 Clients ohne Kerberos-Authentifizierung 407 L2TP-Vertrauensstellungen 185 Sicherheit 416 Standardeinstellungen 185 Vorbereiten von Zertifikaten 404 Zertifikatsvorlagen 410 Kapazitätsplanung 422– 423 Infrastruktur für öffentliche Schlüssel (Fortsetzung) Kryptographiedienstanbieter (Cryptographic Service Provider, CSP) 404 lokal erstellen 405 Notfallwiederherstellung 419– 421 Objekte für Gruppenrichtlinien Einstellen der Richtlinien für öffentliche Schlüssel 406 öffentliche Verschlüsselungsschlüssel 402 Planen der Einrichtung 423 –424 Planungsprozess 407 –408 Planungstasks 430 private Verschlüsselungsschlüssel 402 Produktionseinführungsprozess 423 Schlüsselaustausch 403 sichere E-Mail lokale Zertifizierungsstelle 405 Produktionseinführung 424 Verschlüsseln von Nachrichten 403 Zertifikatsvorlagen 410 sichere Websites lokale Zertifizierungsstelle 405 Sicherheitsmethoden 403 Zertifikatstypen 426 Zertifikatsvorlagen 410 Sicherheitsanforderungen an Zertifikate 409 Signieren von Softwarecode 410 Smartcards Anmeldeprozess für lokalen und RAS-Zugriff 403 Anmeldezertifikate 426 Benutzerschulungen 429 Benutzerzertifikate 426 FORTEZZA-Cryptocards 417 Kryptographiedienstanbieter (Cryptographic Service Provider, CSP 404 lokale Zertifizierungsstelle 405 Produktionseinführung 424 Sicherheitsstandards 417 SmartCard-Registrierungsstelle 418, 429 Speichern öffentlicher oder privater Schlüssel 417 Zertifikatsvorlagen 410 Sperren von Zertifikaten Gefährdete Sicherheit bei Zertifizierungsstellen 420 Konfigurieren von Sperrlisten 427 Sperrrichtlinien 419 Veröffentlichen von Sperrlisten 419 unterstützende Systeme und Anwendungen 425– 426 Zertifikatseinschreibung
1070
Stichwortverzeichnis
Assistent für die automatische Zertifikatsanforderung 418 automatisch 418, 428 Festlegen des Einschreibungsprozesses 418 Konfigurieren vor dem Einrichten 429 Microsoft Enrollment Control 418 Vorlagen 410 webbasiert 406, 418, 421 Zertifikats-Snap-In 406 Zugriffssteuerung 426 – 427 Zertifikat-Snap-In 406 Zertifikatsrichtlinien 411 Zertifikatsvorlagen 409– 411, 426 – 427 Zertifizierungsprozess 402 Zertifizierungsstellen Fehler 420 Festlegen auszustellender Zertifikatstypen 426 gefährdete Sicherheit 420 –421 installieren 425 Methoden der Zertifizierungsstellen 412 Modell für die Vertrauenshierarchie 412 –414 Sicherheitsanforderungen 415 Strategien für die Vertrauenshierarchie 415 Vertrauenshierarchien, wiederherstellen 421 Vertrauenslisten 412, 414 –415 Wartungstasks 419 Wiederherstellungs-Assistent 420 Wiederherstellungspläne 419 – 421 Zertifizierungsstellen-Snap-In 405 Zertifizierungstellenmethoden 411 Zyklus bei Zertifikaten 416– 418 Installations-Manager 446–448, 858–859 Installer Siehe Windows Installer Installieren von Anwendungen bestmögliche Verfahren 57, 59 mit Cmdlines.txt Siehe Cmdlines.txt mit Hilfe der Remoteinstallation des Betriebssystems Siehe Remoteinstallation des Betriebssystems mit Hilfe von IntelliMirror Siehe IntelliMirrorSoftwareverwaltung mit Hilfe von SMS Siehe SMS-Softwareverteilung mit Windows Installer Siehe Windows Installer verfügbare Methoden 452, 864 verfügbare Technologien 802, 805–810 Verwenden der Softwareinstallation Siehe Softwareinstallations-Snap-In Verwenden von Antwortdateien Siehe auch Antwortdateien Clientanwendungen 865 – 867 Serveranwendungen 454 – 456 Verwenden von Software (Systemsteuerung) Siehe Software (Systemsteuerung) ZAP-Konfigurationsdateien 821 Installieren von Windows 2000 Professional Aktualisierung contra Neuinstallation Festlegen der besten Methode 848 Möglichkeiten der Installationsmethoden 848 Optionen der Installationsmethoden 864 Aktualisierungspfade 163, 300 Beispielkonfigurationen 889 CD-Installation Siehe Boot-CD Einrichtungsplan Siehe Einrichtungsprojektplan Konfigurationsbeispiele für die Installation 893 Optionen der automatisierten Installation 869–870
Remoteinstallation Siehe Remoteinstallation Schätzen der Hardwareanforderungen 214 Sysprep-Installation Siehe Sysprep-Clientinstallation verfügbare Methoden 871 Verwenden von SMS Siehe Systems Management Server, Softwareverteilung Verwenden von Syspart Siehe Syspart Installieren von Windows 2000 Server 300 Aktualisierung contra Neuinstallation Festlegen der besten Methode 434– 436 Möglichkeiten der Installationsmethoden 436, 452 aktuellste Anmerkungen zu der Version 520 Einrichtungsplan Siehe Einrichtungsprojektplan Installieren von Windows 2000 Server (Fortsetzung) Features für die automatisierte Installation 456 – 458 Hardwareanforderungen, bewerten 214, 517–518 Installationsdiskette 522 Konfigurationsbeispiele für die Installation 471 – 475 Mitgliedsserver Siehe Mitgliedsserver verfügbare Methoden 458 – 459 Verwenden der CD Siehe Boot-CD Verwenden von SMS Siehe Systems Management Server, Softwareverteilung Verwenden von Syspart Siehe Syspart Verwenden von Sysprep Siehe Sysprep-Serverinstallation Instrumentationsdienste 22 Integrated Device Electronics-Schnittstellen (IDE) 658 Integrationstests 118 Intelligente Eingabe/Ausgabe (I2O) 26, 658 IntelliMirror-Softwareverteilung Aktualisieren der Software 828–829 Clients mit Terminaldiensten 805 Entfernen von Software 821, 823, 829 freigegebene Computer 825 Komponenten der IntelliMirror-Technologie 802– 806 Lebenszyklus der Software 826– 828 mobile Benutzer 825 Planung der Konfigurationsverwaltung Aufgabenliste 844 Planung der Softwareeinrichtung 809 –810 Planungsarbeitsblätter 932 – 937 Strategien für verschiedene Benutzer 836– 843 Verfahren 817 – 819 reisende Benutzer 826, 841 Service Packs und Patches 828 SMS-Tools für die Konfigurationsverwaltung 807– 809 Software (Systemsteuerung) Entfernen von Anwendungen 825, 829 mit Hilfe von ZAP-Dateien installierte Anwendungen 821 veröffentlichte Anwendungen 824 Veröffentlichen von Anwendungen 823 – 825 Verteilungsphase 822 Vorbereiten von Anwendungen 819 – 822 Siehe auch Windows Installer erneut packen 820 – 821 Installationsprogramme 819, 821 Transformationspakete 821 ZAP-Dateien 821 Wiederherstellung der Clientkonfiguration 804 zielgerichtete Software 822 Zuweisen von Anwendungen 823 – 825 IntelliMirror-Verwaltung von Benutzerdaten aktivieren 829–831 Komponenten der IntelliMirror-Technologie 802– 806
Stichwortverzeichnis Konfigurationsplan Siehe Planung der Clientkonfiguration Offlinedateien Datenträgerkontingente 830, 835 Gruppenrichtlinienoptionen 835 Synchronisationsverwaltung 833 – 834 Überblick 830 Offlineordner Konfigurieren von Ordnern für die Offlineverwendung 834 Ordnerumleitung Datenträgerkontingente 830, 835 implementieren 832 –833 Überblick 830 servergespeicherte Benutzerprofile 831– 832 SMS-Tools für die Datenverwaltung 807 – 809 Speicherkontingente für Netzwerkdaten 830, 835 Wiederherstellung der Clientkonfiguration 804 IntelliMirror-Verwaltung von Benutzereinstellungen aktivieren 829 – 831 Komponenten der IntelliMirror-Technologie 802 – 806 Konfigurationsplan Siehe Planung der Clientkonfiguration Planungstaskliste 844 servergespeicherte Benutzerprofile 830, 831 –832 SMS-Tools für die Konfigurationsverwaltung 807– 809 Strategien für verschiedene Benutzer 844 Verwaltungsstrategien für verschiedene Benutzer 836 Wiederherstellung der Clientkonfiguration 804 Internet Assigned Numbers Authority (IANA) 175 Internet Explorer Aktivieren von Authenticode 390 Anzeigen von Zertifikaten 405 Einstellungen für die Gruppenrichtlinie 390 Gruppenrichtlinieneinstellungen 771 Internet Group Management Protocol (IGMP) 194 – 195 Internet Protocol Security Siehe IPSec Internetauthentifizierungsdienst (IAS) Beispielkonfiguration 590 Funktionen 186 –187 installieren 597 Kontoautorisierung 597 Protokollunterstützung 186 RADIUS-Protokoll 597 RAS-Richtlinien auf IAS-Servern 187 Routing und RAS-Konfiguration 590 Stellung des IAS-Servers 597 Umleiten von Routing- und RAS-Anforderungen 597 Internet-Informationsdienst (Snap-In) 530 Internet-Informationsdienste (IIS) Sicherheitsfunktionen 392 Internetwork Packet Exchange Siehe IPX-Routing Inventar Hardware Siehe Systems Management Server SMS-Tools Siehe Systems Management Server, Inventar IP-Adressierung DHCP Siehe DHCP IP-über-ATM 203 IPX-Netzwerkkennung 193 MARS (Multicast and Address Resolution Service) 203 Mehrfachvernetzung 187 Netzwerkadressübersetzung 196, 752 OSPF-Netzwerke 192 RAS-Clients
1071
DHCP 180 IPX-Netzwerkkennung 180 statischer IP-Adresspool 180 RIP-für-IP-Netzwerke 189 TCP/IP Siehe TCP/IP-Protokoll Terminaldienste Clientanwendungen 844 Clusterdienst 537 Firewalls 563 IP -Adressierung Terminaldienste (Fortsetzung) Netzwerklastenausgleich 553 Round-Robin-DNS 554 Vorbereiten des Netzwerks 546 WINS (Windows Internet Name Service) 177, 323, 740 IPCONFIG-Diagnosetool 531 IP -Routinginfrastruktur AppleTalk -Routing 194 IPX-Routing Clusterdienst 624 Interoperabilität mit NetWare-Servern 193 IPX-Netzwerkkennung 193 Netzwerkentwurf 194 RIP-für-IPX-Unterstützung 193 SAP-für-IPX-Unterstützung 193, 194 Terminaldienste 546 Konfigurationen 187 Multicastunterstützung 194 –195 Netzwerkadressübersetzung 196, 752 OSPF-Netzwerke autonome Systeme 190 –191 Bereichsentwurf 191 – 192 Funktionen 190 IP -Adressierung 192 Netzwerkgröße 190 Verbindungsstatus-Routingprotokoll 190 RIP-für-IP-Protokoll 189 – 190 statisch geroutete Netzwerke 188 IPSec (Internet Protocol Security) Auswirkungen auf die Netzwerkleistung 378 Authentifizieren von Clients mithilfe von Zertifikaten 426 Beschleunigungskarten, Sicherheit 378 Computerzertifikate Siehe Infrastruktur für öffentliche Schlüssel implementieren 377 –379 in der DMZ-Zone (Demilitarized Zone) einrichten 844 Internetschlüsselaustausch (IKE) -Protokoll 377 Kommunikationsprozess 376– 377 Optionen für Sicherheitsrichtlinien 378 RAS-Sicherheitsrichtlinie 379 Sicherheitsrichtlinien 378, 386 Ausnahmen 594 Filter 594 Regeln 594 Überlegungen zum Datenschutz 373 VPNs Siehe auch VPNs mit L2TP-über-IPSec IP -Sicherheitsrichtlinienverwaltungs-Snap-In 378 IP -Telefonie 28 IP -über-ATM-Dienste 202, 205, 747 IPX-Routing Clusterdienst 624 Interoperabilität mit NetWare-Servern 193 IPX-Netzwerkkennung 193 Netzwerkentwurf 193 –194
1072
Stichwortverzeichnis
Netzwerkkennung von RAS-Clients 180 RIP-für-IPX-Unterstützung 193 SAP-für-IPX-Unterstützung 193, 194 Terminaldienste 546
IPX-Routinginfrastruktur IPX-Routing Netzwerkentwurf 193 IrDA-Protokoll (Infrared Data Association) 747
K Kapazitätsplanung 76– 77 KCC Siehe Konsistenzprüfung Kennwörter Angeben in Antwortdatei 860 –861 Authentifizieren von Benutzern Siehe Authentifizierung Delegieren von Netzwerkverbindungen 356 einmaliges Anmelden 352, 355, 357 Einrichten in Antwortdateien 448– 449 Erzeugen von sicheren Kennwörtern 383 Gruppenrichtlinien Kennwortrichtlinie 383 nach der Aktualisierung beibehalten 300 sichere 356 Sicherheitsrichtlinie für Domänen 243 verwalten mit Hilfe der PDC-Emulation 309 Kerberos-Authentifizierung Authentifizierungsprozess 315 –317, 357 einmaliges Anmelden 352, 355, 357 Erweiterung der Sicherheitsgruppenmitgliedschaft 321 gemischter Modus 306 Gruppenrichtlinie Sicherheitseinstellungen 357–383 implementieren 357 Interoperabilität 298, 358 mehrere Gesamtstrukturen 358 MIT Kerberos v5-Bereiche 370, 372 Optimieren von domänenübergreifenden Referenzen 358 Richtlinie für Kerberos-Ticket 243 Schlüsselverteilungscenter (KDC) 315 Standard-Authentifizierungsprotokoll 315 Systemzeit 358 Vertrauensstellungen 358 Klassenlose Interdomänen-Notation 176 Kompatibilitätsaspekte bei benutzerdefinierten Anwendungen 726 Kompatibilitätsaspekte bei Dateifiltern Windows 2000-E/A 731 Kompatible Sicherheitsvorlage 387 Komponentendienste hinzufügen 528 Planungsarbeitsblatt 903– 904 Konfiguration des Startmenüs 791 Konfigurationscontainer auf Domänencontrollern 243 autonome Domänenadministration 246 Definition 236 Gruppe der Unternehmensadministratoren 236 repliziert an Domänencontroller 279 Vertrauensstellungen 372 verzeichnisfähige Anwendungen 236
Konfliktlösung Multimaster-Replikation 310 Sicherheitsgruppen- und Kontoreplikation 369 Konnektivität von IPX-Netzwerkclients 742 –745 Konsistenzprüfung (KCC) 278 Konsolidieren von Domänen Siehe Umstrukturieren von Domänen Kontendomänen Aktualisieren nach den Ressourcendomänen 312 mehrere Masterdomänen, Beispiel 301 Richtlinien für das Aktualisieren von 312 –313 SAM-Datenbankgröße 304, 312, 329 Kontingentverwaltung, Festplattenspeicher Siehe Datenträgerkontingente
L L2TP in IPSec-VPNs Verbindungs-Manager 596 Vergleich mit PPTP -Protokoll 593 Labore Siehe Testlabore LAN Manager-Replikationsdienst Domänen in einer gemischten Umgebung 325– 327 nicht unterstützt in Windows 2000 323 Replikationsprozess 324 Skript L-bridge.cmd 325–326 Übergang zum Dateireplikationsdienst 323 Ländereinstellungen, Sprachenunterstützung in Windows Siehe MultiLanguage-Version LAN-Emulation Clientkonnektivität 747 Konfigurieren von Verbindungen 739 Standard-ELAN 204 Übersicht 202 Vorbereiten von Clients zur Aktualisierung 204 Langsame Verbindungen Gruppenrichtlinienoptionen 780, 782, 792 Softwareinstallation mit Boot-CD 470, 883 Sysprep-Softwareinstallation 461, 873 Langsame Verknüpfungen Definition 247 Lastenausgleich Definition 606 Round-Robin-DNS bei Terminaldiensten 554 Windows 2000 Siehe Netzwerklastenausgleich Layer-2-Tunneling Protocol Siehe VPNs mit L2TP-überIPSec LDAP Siehe Lightweight Directory Access Protocol LDM Siehe Logischer Datenträger-Manager Lightweight Directory Access Protocol (LDAP) 679 Liste der Schriftarten 731 Locatoreinträge, DNS 262, 285 Logische Diagramme von Testlaboren 110– 111 Logischer Datenträger-Manager 655 Logisches Netzwerkdiagramm 148, 150 Logokompatible Anwendungen Anbietertests 725, 982 Kompatibilitätsfragen 519 Microsoft Logo (Programm) Web site 11 Verzeichnis kompatibler Anwendungen 725 Lokale Gruppen Siehe auch Sicherheitsprincipals Aktualisieren von Windwos NT 319 Domänen im einheitlichen Modus 319
Stichwortverzeichnis Domänen im gemischten Modus 319 Eigenschaften 321 Richtlinie für eingeschränkte Gruppen 384 verschachtelte Sicherheitsgruppen 321 Windows NT 3.51 297 Lokalisierte Version von Windows 2000 Siehe MultiLanguage-Version
M Macintosh Aktualisieren von Macintosh-Datenträgern 524 – 525 AppleTalk-Routing 194 Dienste für Macintosh 524, 526 Druckdienste 526 Multiprotokoll-Remotezugriff 173 Services for Macintosh 740 Windows-Server in AppleTalk-Zonen 746 Zugriff auf Dateiserver 740 Magneto-optische Laufwerke 658 MARS Siehe Multicast and Address Resolution Service Massenspeichergeräte automatisierte Clientinstallation 852, 853– 855 automatisierte Serverinstallation 440 –443 Medienpools, erstellen 658 Mehrere Masterdomänen Domänenmodell 301 einheitlicher Modus 307 gemischter Modus 306 Konfliktbeseitigung 310 PDC-Emulation 309 Vertrauensstellungen explizite 302, 304 verglichen mit Active DirectoryVertrauensstellungen 236 Mehrfachvernetzung 187 Messen von Software 211, 216, 224 MetaFrame-Terminaldienste-Add-On 540 Microsoft Client Service für NetWare 193 Microsoft CryptoAPI 421 Microsoft Management Console (MMC) Active Directory-Benutzer- und -Gruppen-Snap-In 271 Active Directory-Domänen und VertrauensstellungenSnap-In 318, 372 ADC-Administrator-Snap-In 688, 696–697 Benutzer und Computer Siehe Active DirectoryBenutzer und -Computer-Snap-In Clusterverwaltungs-Snap-In 661 Computerverwaltungs-Snap-In 361, 524 Datenträgerverwaltung Siehe DatenträgerverwaltungsSnap-In Delegieren von Verwaltungsaufgaben 777 Gruppenrichtlinien-Snap-In Siehe Gruppenrichtlinie Internet-Informationsdienst (Snap-In) 530 IP-Sicherheitsrichtlinienverwaltungs-Snap-In 378 Remotespeicherverwaltungs-Snap-In 658 – 660 Sicherheitskonfiguration und -analyse-Snap-In 351, 386 Snap-In für Active Directory-Standorte und Dienste 394 Softwareinstallation Siehe Softwarenstallations-Snap-In Systemmonitor (Snap-In) 532 Systemverwaltungstools 533 Zertifikat-Snap-In 406 Zertifizierungsstelle Siehe Zertifizierungsstellen -Snap-In
1073
Microsoft Official Curriculum (MOC) 75 Microsoft Proxy Server Siehe auch Proxyserver aktualisieren 530, 586 Microsoft Proxy Server (Fortsetzung) Clientkonfiguration 587 Hyperlink zum Microsoft Security Advisor 587 Sicherheitsprotokolle 587 Microsoft-Zertifikatsdienste Authenticode-Zertifikate 389 benutzerdefinierte Anwendungen 411 EFS-Zertifikate 376 Entwerfen von Infrastrukturen für öffentliche Schlüssel 408 Erstellen von Zertifizierungsstellen 411 installieren 425 Sicherheitseinstellungen für Zertifikate 409 Webseiten für die Einschreibung und Erneuerung 421 Zertifikatseinschreibung und -erneuerung 418 Microsoft-basierter Kryptographieanbieter 404 Migrations-DLLs 490, 727 MIME-Standard 391 MIT Kerberos v5-Bereiche 372 Mitgliedsserver Aktualisierungs- und Installationsplan Planungsprozess 514 Richtlinien für das Erstellen 515 Zeitplan 516 – 517 Definition 514 Dokumentieren der aktuellen 151 Domänenmigration Reihenfolge der Aktualisierung 294, 296, 300 Verschieben von Servern 337 Vorteile der Aktualisierung 294 –295 Einstellen der Leistung 532 Heraufstufen zu Domänencontrollern 448, 450 Installieren von Windows 2000 Aktualisierungsprozedur 522 Anwendungsserver 528 – 529 Dateiserver 523 – 525 Druckserver 525 –527 in kleinen Schritten 516, 517 Installationsprozedur 522 Microsoft Proxy Server 530 Planungstaskliste 533 Webserver 529 – 530 Plan für die Aktualisierung und Installation Planungsarbeitsblätter 915 – 920 Systemverwaltungstools 533 Testen nach der Installation Dateifreigaben 525 Druckerfreigaben 527 Netzwerkverbindung 531 Vorbereiten für Windows 2000 Checkliste für Aktionen vor der Aktualisierung 520, 522 Ereignisprotokollfehler 520 Hardwareanforderungen 161, 517–525 Hardwarebestand 517 Hardwarekompatibilitätsliste (HCL) 519 Sicherungen 521 Softwarekompatibilität 520 – 521 Softwarekompatibilität, Drittanbieter 519 USV-Geräte 521 Zugreifen auf NetWare 742 –745
1074
Stichwortverzeichnis
MMC Siehe Microsoft Management Console Mobile Benutzer Clientkonfigurationsplan 840 –841 Definition 762 Planen der Clientkonfiguration 806, 825 MOC Siehe Microsoft Official Curriculum 75 Multicast and Address Resolution Service (MARS) 205 Multicastdatenverkehr DHCP-IP -Adressierung 197 – 198 IGMP 178, 194 –195 MARS-Server 203, 205 Netzwerklastenausgleich 622 MultiLanguage-Version Aktualisierungspfad 794– 795 Einschränken der Verwendung der Gruppenrichtlinie 797 Festplattenspeicher 796 Funktionen 794 Installation 795 –797 mehrere Sprachen 792–793 Sprachgruppen 795 – 796 Terminaldienste 568 Musterbereitstellungsszenarios Siehe Beispielbereitstellungsszenarios
N NAT Siehe Netzwerkadressübersetzung NDIS ATM-Netzwerkadapterunterstützung 202 NetBEUI-Protokoll Clusterdienst 624 virtuelle private Netzwerke 593 NetBIOS Active Directory-Domänennamen 255, 259 Clients, Unterstützung 160 Einstellen 323 Namensauflösung 177 NetBIOS-über-IPX-Broadcasts 194 Überlegungen zur Domänenmigration 322 – 323 Windows NT-Domänenlocator 255 Netlogon-Synchronisation, einheitlicher Modus 307 NetMeeting 11 NetWare CIFS-Protokoll (Common Internet File System) 744 Client Service für NetWare 742–743 Datei- und Druckdienste für NetWare 743–744 Gateway Service für NetWare 193, 742 – 743, 745 IPX-Routing 193– 194 Microsoft Client Service für NetWare 193 Microsoft File und Print Services für NetWare 525 NetWare-Kernprotokoll 744 NWLink 193, 740 Verteilte Novell Druck-Services 745 Zugreifen auf NetWare-Ressourcen 742 – 745 Network Basic Input/Output System Siehe NetBIOS Netzwerk- und DFÜ-Verbindungen (Ordner) Erstellen eines DFÜ -Profils 755 Konfigurieren mehrerer LAN-Adapter 740 Konfigurieren von Netzwerkkomponenten 739 LAN-Verbindungen 739 Netzwerkadressierung Siehe IP-Adressierung Netzwerkadressübersetzung (NAT) 196, 752 Netzwerkdatenpakete, signieren Siehe Infrastruktur für öffentliche Schlüssel
Netzwerkdiagramme, physikalische und logische Netzwerke 148, 150, 168 – 169 Netzwerke mit einem Subnetz 174 Siehe auch SOHO-Netzwerke Netzwerke mit statischen Adressen 742 Netzwerkinfrastruktur analysieren Siehe Systems Management Server dokumentieren Beispieldokumente 911 –912 dokumentieren der aktuellen ATM-Konfigurationen 151 Bandbreitennutzung 151 BIND-Dienst 150 DHCP-Server 151 Diagnosetools 146–147 DNS-Namespace 153 Domänenstruktur 152 – 153 dynamische Registrierung 150 Hardwareinventar Siehe Hardwareinventar IP -Adressiermethoden 151 logisches Netzwerkdiagramm 148, 150 Mitgliedsserver 151 Namensauflösungsdienste 150 physikalisches Netzwerkdiagramm 148– 149 Protokolle 147 RAS-Konfigurationen 151 Sicherheit 154 – 155 SMS Siehe Systems Management Server, Analysieren der Netzwerkinfrastruktur Softwareinventar Siehe Softwareinventar Übersicht 146 Unternehmensanwendungen 152 Vertrauensstellungen 152–153 Verzeichnisdienste 152 Windows NT-Netzwerkeinstellungen 147 Routinginfrastruktur Siehe IP-Routinginfrastruktur Verbindung Siehe Netzwerkverbindung Vorbereiten für Windows 2000 Clients 163– 164 Domänencontroller 160- 161 heterogene Umgebungen 164 Infrastrukturserver 159 –160 Labore Siehe Testlabore Mitgliedsserver 161 physikalische Infrastruktur 158– 159 Protokolle 157, 164 Sicherheitsinfrastruktur 161– 162 Stabilisieren des Netzwerks 157 Taskliste 165 Tasks zur Vorbereitung 155–156 Netzwerkkonnektivität Clientkonnektivität Active Directory, nicht für Windows 2000 vorbereitete Clientsoftware 742 Anzeigen des Verbindungsstatus 739 ATM (Asynchronous Transfer Mode) 747 – 748 auf die Netzwerkgröße abgestimmte Technologien 756 Beispiel für ein mittleres bis großes Netzwerk 756 – 758 DFÜ-Verbindungen 739, 748, 754–755 DHCP 740– 742 DNS (Domain Name Service) 740– 741 externe Clients, Definition 738 Infrared Data Association-Protokoll 747
Stichwortverzeichnis Installieren von Netzwerkgeräten 739 Installieren von Protokollen 740 interne Clients, Definition 738 IP über ATM-Dienste 747 Konfigurieren von Netzwerkkomponenten 739 –740 LAN-Adapter, konfigurieren 740 LAN-Verbindungen 739– 740 Netzwerkverbindungs-Assistent 748– 749, 754 Planungstaskliste 758 Protokolle 740 – 742 statische Adressen 742 Strategieplanung 738 UNIX-Clients 745 – 746 VPN-Verbindungen 749, 755 Windows-Server in AppleTalk-Zonen 746 Zugreifen auf NetWare-Ressourcen 742 – 745 SOHO-Netzwerke Siehe SOHO-Netzwerke Netzwerklastenausgleich Cluster, Definition 606 Clusterdienst auf demselben Server 640 Clusteroptimierung 641 –642 Einsetzen mit Terminaldiensten 615 – 616 Hostausfall 612 IIS-Server 616– 617 Kapazitätsplanung Clustergröße 618– 619 Hinzufügen von Clustern 619 – 620 Serverkapazität 620–621 Komponentendienste-Anwendungsserver 616– 617 Lastenausgleich, Definition 606 lastgerecht verteilte Anwendungen Anforderungen 621 Anwendungsfehler 612 Datensynchronisation 614 Lizenzen 614 Multicastmodus 622 Notfallwiederherstellung Clustersicherung und Wiederherstellung 644 – 645 Fehlerkorrektur 643 Hardware-RAID 642 Neuzuordnung von Clustern 643 Notfalldiskette 644 Planung der Fehlertoleranz 642 Transaktionsprotokollierung und Wiederherstellung 643 Optimieren von Clustern 620 Planen der Verfügbarkeit Ausfallkosten 603 – 604 Bedarfsanalyse 608 –609 Hardwarekompatibilität 610 Identifizieren von Netzwerkrisiken 609 – 610, 617 –618 Planungstasks 605 – 606 Planungsteam 607 – 608 Übersicht 611– 612 Planungsarbeitsblätter für die Einrichtung 921– 926 Planungsprozess für Implementation 612 Planungstaskliste für die Einrichtung 645 Portregeln 613 Round Robin-DNS 619 – 620 Router 622 Switches 620 Terminaldiensteserver 553 Netzwerklastenausgleich (Fortsetzung) Testen der Serverkapazität 643– 644
1075
Unicastmodus 621–622 VPN-Server 614 Windows Media Server 614 Netzwerkmonitor SMS 222 – 223 Windows 223 Netzwerksicherheitsplan Siehe Sicherheitsstrategien Netzwerkstillstandszeit, Reduzieren während der Aktualisierung 516, 517 Netzwerkverbindung Asynchronous Transfer Mode Siehe Asynchronous Transfer Mode Clientverbindung Siehe auch Remoteclientverbindung Überlegungen zu Remoteclients 172 Diagramm des aktuellen Netzwerks 168– 169 DMZ (Demilitarized Zone) Beispiel 184–185 entwerfen 171 Dynamic Host Configuration Protocol Siehe DHCP Planungsarbeitsblätter 906–907, 911–912 Planungstaskliste 206 Planungsvorgang 169 –170 Quality of Service (QoS) 202, 205 Remote Access Siehe Routing und RAS Routinginfrastruktur Siehe IP-Routinginfrastruktur sichere Netzwerkverbindungen Siehe Sicherheitsstrategien Standorttopologie Siehe Active DirectoryStandorttopologie Standortverbindungsmedien 172 TCP/IP Siehe TCP/IP-Protokoll Testen nach der Serveraktualisierung 531 Überlegungen zu Remoteclients 173 VPNs Siehe Virtual Private Networks Netzwerkverbindungs-Assistent 748– 749, 754 Neuinstallation contra Aktualisierung Entscheidung Beispielbereitsstellungsszenario 42 Windows 2000 Professional Festlegen der besten Methode 846 – 848 Möglichkeiten der Installationsmethoden 848 Optionen der Installationsmethoden 864 Windows 2000 Server Festlegen der besten Methode 434 – 436 Möglichkeiten der Installationsmethoden 436, 452 Nicht autorisierte Anwendungen 718 Nicht-transitive Vertrauensstellungen, Definition 372 Notfalldiskette 644 Notfallwiederherstellung Cluster Fehlertoleranz 642 Hardware-RAID 642 Neuzuordnung von Clustern 643 Notfalldiskette 644 Sicherung und Wiederherstellung 644 – 645 Datenschutzstrategien 672 Fehler der Zertifizierungsstelle 419 –421 Planung Absichern gegen Systemausfälle 672 – 673 Bedarfsanalyse 674– 675 Dokumentieren von Wiederherstellungsverfahren 676 Richtlinien zur Aufbewahrung außerhalb des Standorts 674
1076
Stichwortverzeichnis
Sicherungsrichtlinien 673 –674 Testen 675 –676 Wiederherstellungsplan für die Domänenmigration 302 –303 Sichern der Daten Siehe Datensicherung und Wiederherstellung Sicherungsprogramm 671 Wiederherstellung der Clientkonfiguration 804 Novell Cient Service für NetWare 742 CIFS-Protokoll (Common Internet File System) 744 Client Service für NetWare 743 Datei- und Druckdienste für NetWare 743, 744 Gateway Service für NetWare 193, 742 – 743, 745 IPX-Routing 193– 194 Microsoft Client Service für NetWare 193 Microsoft File und Print Services für NetWare 525 NetWare-Kernprotokoll 744 NWLink 193, 740 Verteilte Novell Druck-Services 745 Zugreifen auf NetWare-Ressourcen 742 – 745 NTFS-Dateisystem Bereitstellungspunkte 656 Clusterdienst 639 Dateisicherheitsoptionen der Gruppenrichtlinie 786 Defragmentieren von Festplatten 657 Dual-Boot-Systeme 663 gemischter Modus 160 in Windows 2000 unterstützte Dateisysteme 662 Konvertieren von FAT-Datenträgern 663 Terminaldiensteserver 559 Transaktionsprotokollierung und Wiederherstellung 643 unbeaufsichtigte Installation 450, 862 Unterstützung von Datenträgerkontingenten 663, 830, 835 Vergleich mit FAT-System 663 NTLM-Authentifizierung Abwärtskompatibilität 358 gemischter Modus 314 RRAS-Server 327– 328 Vertrauensstellungen 370 Zugrifftokens 311 zwischen Gesamtstrukturen 358 NULL-Sitzung, RRAS-Server 327 NWLink 193, 740
O Offlinedateien Aktivieren der IntelliMirror-Verwaltung von Benutzerdaten 830 Datenträgerkontingente 830, 835 Gruppenrichtlinienoptionen 835 Konfigurieren von Ordnern für die Offlineverwendung 834 Synchronisationsverwaltung 833 – 834 Überblick 830 Open Shortest Path First Siehe OSPF-Netzwerke Ordnen der zu testenden Anwendungen nach Priorität 716, 719 –720 Ordnerumleitung Aktivieren der IntelliMirror-Verwaltung von Benutzerdaten 830 Datenträgerkontingente 830, 835
implementieren 832 –833 Überblick 830 Organisationseinheiten Siehe Active DirectoryOrganisationseinheiten OSPF-Netzwerke autonome Systeme 190 – 191 Bereichsentwurf 191 –192 Funktionen 190 große Netzwerke 190 IP-Adressierung 192 Verbindungsstatus-Routingprotokoll 190
P Pagefile.sys 468, 881 Partitionstabelle, sichern 521 Pass-Through-Authentifizierung 317 PDC-Emulation Eigenschaften 309 Konfliktbeseitigung 310 Übersicht 309 Permanent Virtual Circuits 201 Permanente Labore Siehe Änderungsmanagementlabore Physikalisches Netzwerkdiagramm 148– 149 Physisches Diagramm für Testlabor 111– 112 Pilotprojekt Beispielbereitsstellungsszenario 43 –44 Benutzer auswählen 134 – 135 Kommunikationsprozess 136, 138 Schulung 135, 139 Support 135 bewerten 140 einrichten 140 Einrichtungsprojektphasen 37 – 38 Phasen IT -Pilotprojekt 131 Produktionspilotprojekt 132 Risikomanagement 130 Trockentest 140 Pilotprojektplan 132 Planungstaskliste 142 Prozess für die Durchführung 130 Rollbackprozedur 136 Rolloutprozeduren 139 Rückmeldungen 130, 141 Standortvorbereitung 138 Übersicht 70 –71, 129– 130 überwachen 140 Umfang 133 Validieren von Sicherungen 140 Zeitplan 137 Zielsetzungen 130, 133 PING-Diagnosetool 531 PKI Siehe Infrastruktur für öffentliche Schlüssel Planen der verteilten Sicherheit Siehe Sicherheitsstrategien Planungsarbeitsblätter Aktualisieren und Installieren von Mitgliedsservern 915 – 920 Änderungs- und Konfigurationsmanagement 936 –937 Arbeitsblatt für die Verwaltung der Infrastruktur 900–901 automatisiert Clientinstallation 938– 939 automatisierte Serverinstallation 914 – 915
Stichwortverzeichnis Desktopverwaltungslösungen 901 – 902 Domänenmigrationsstrategien 912– 913 Komponentenanwendungsdienste 903 –904 Netzwerk- und Kommunikationsfunktionen 906– 907 Netzwerkinfrastruktur 911 – 912 Sicherheitsfunktionen 902 – 903 Skalierbarkeit und Verfügbarkeit 905 – 906 Speicherverwaltung 907 –908 Standards für die Clientverwaltung und Konfiguration 932–936 Testen der Anwendungskompatibilität 930 – 932 Testlabordokumente 908– 910 Verfügbarkeit 905– 906 Verfügbarkeit der Anwendungen und Dienste 921–926 Veröffentlichen und Freigeben von Informationen 903 verteilte Sicherheit 913 –914 Verwaltung der Infrastruktur 900– 901 Verzeichnisdienstsynchronisation 926 –930 Plug & Play-Geräte automatisierte Clientinstallation 853, 856 automatisierte Serverinstallation 441, 444 Fremdanbieter 164 Point-to-Point Protocol (PPP) 178, 203, 362 Point-to-Point Tunneling Protocol (PPTP) 157, 180–181, 593 Point-to-Point-Verschlüsselung 591 PPP-über-ATM-Netzwerke 203 Präfixnotation, IP -Adressierung 176 Primärer Domänencontroller Domänen aktualisieren Siehe Aktualisieren von Domänen PDC-Emulation Eigenschaften 309 Konfliktbeseitigung 310 Übersicht 309 Produktkompatibilitätsdatenbank (SMS) 218– 221 Profile, Hardware 786– 787 Protokollieren von Sicherheitsereignissen aktualisieren 530 Anzeigen der Protokolldatei 396 entmilitarisierte Zone im Netzwerk 585 Ereignisse in Dateien und Ordnern 385, 396 Ereignisse, die die Registrierung betreffen 385 fehlgeschlagene und erfolgreiche Ereignisse 385 implementieren 395 mehrere 587 Microsoft Proxy Server aktualisieren 586 Clientkonfiguration 587 Microsoft Security Advisor-Webseite 587 Sicherheitsprotokolle 587 Prozess 395 Proxyserver Siehe auch Mitgliedsserver Richtlinie für Systemdienste 385 Richtlinien für Ereignisprotokolle 384 Sicherheitsaspekte in öffentlichen Netzwerken 585–586 Protokollieren von Sicherheitsereignissen (Fortsetzung) Speicherplatz 396 testen 587–588 Überblick 354, 587 Überwachen der Netzwerksicherheit 587 Überwachungsrichtlinie 383 verfügbare Technologien 587 zu überwachende Ereignisse 397
1077
Q Quality of Service (QoS) 202, 205
R RADIUS Siehe Remote Authentication Dial-In User Service RADIUS-Protokoll 186, 597 RAID-Datenträger Basis- oder dynamischer Speicher auf RAID-5 654 Cluster Aspekte beim Clusterdienst 625 Clusterdienst 640 Hardware-RAID 642 Entwerfen fehlertoleranter Systeme 672 Fehlertoleranzfunktionen 670 Implementierungsstrategien 671 unterstützte Stufen 670 RAS-Authentifizierung Internetauthentifizierungsdienst Protokolle 186 Umleiten von Routing- und RAS-Anforderungen 597 Routing- und RAS Aktivieren von Remotezugriff für Benutzer 361 Authentifizierungsprozess 360 EAP-Protokoll (Extensible Authentication Protocol) 597, 362 EAP-Transport Layer Security 362 Point-to-Point Protocol 362 Protokolle 361–362 RAS-Richtlinien Siehe RAS-Richtlinien Sicherheitsstrategien 362 Routing- und RAS-Dienst EAP Transport Layer Security 591 gegenseitige Authentifizierung 591 Sicherheitsstrategien 590–591 Routing- und RAS-Zugriff Challenge Handshake Authentication Protocol 591 Extensible Authentication Protocol 591 virtuelle private Netzwerke 592–593 VPNs mit L2TP-über-IPSec Beispielkonfiguration 185– 186 VPN-Server 181–182 zertifikatsbasierte Authentifizierung 185 RAS-Richtlinien Aktivieren von Remotezugriff 361 Benutzer ohne RAS-Profile 361 definieren 361 DFÜ-Benutzerprofile 179 Einstellungen 179, 596 IAS-Server 187 Routing- und RAS-Protokolle 361 – 362 Verringern der Anzahl 596 RDP Siehe Remote Desktop Protocol Read1st.txt 520 Redundant Arrays of Independent Disks Siehe RAIDDatenträger Redundante Anwendungen 718 Registrierung Anwendungen, die direkt in die Registrierung schreiben 731 Deaktivieren des Registrierungs-Editors 790 Registrierungsschlüssel für Schriftarten 731
1078
Stichwortverzeichnis
Sicherheitseinstellungen der Gruppenrichtlinie 385 sichern 521 Überwachen von Ereignissen 385 Zuordnen von Schlüsseln unter Verwendung von Migrations-DLLs 490, 727 Reisende Benutzer Clientkonfigurationsplan 762 Daten- und Einstellungenverwaltung 841– 842 Softwareverteilungsmethoden 826, 841 – 842 Relnotes.txt 520 Remote access Siehe Routing und RAS Remote Authentication Dial-In User Service (RADIUS) 597 Remote Desktop Protocol (RDP) Client/Server-Verbindungen 547 Druckerumleitung 569 Firewalls 546 Installationsverzeichnis 566 RAS-Verbindungen 563 Terminaldienstekonfiguration 575 Remotebenutzertyp 762, 792 Remoteclientkonnektivität Siehe auch Netzwerkkonnektivität Authentifizierung Siehe RAS-Authentifizierung auf die Netzwerkgröße abgestimmte Technologien 756 DFÜ-Verbindungen Siehe DFÜ-Verbindungen direkte Verbindungen zu RAS-Servern 749 Installieren von Protokollen 740 Netzwerk- und DFÜ -Verbindungen (Ordner) Erstellen eines DFÜ-Profils 755 Konfigurieren mehrerer LAN-Adapter 740 Konfigurieren von Netzwerkkomponenten 739 LAN-Verbindungen 739 Netzwerkbeispiel 756 – 758 Netzwerkgröße 749 Netzwerkverbindungs-Assistent 748 – 749, 754 Planungstaskliste 758 SOHO-Netzwerke Siehe SOHO-Netzwerke Terminaldienste Siehe Terminaldienste, Remotezugriff VPNs Siehe Virtuelle private Netzwerke Remoteclientverbindung Multiprotokoll-Remotezugriff 173 RAS Siehe Routing und RAS Übersicht 173 Remoteinstallation des Betriebssystem ACPI (Advanced Configuration Power Interface) 816 Administrationsmodul für Remoteinstallationsdienste 812 Assistent zur Vorbereitung der Remoteinstallation 812, 816 Betriebssystemabbild benutzerdefinierte Installationen 816 Clientauswahl 812 Clientinstallations-Assistent 812 Remoteinstallation des Betriebssystem Betriebssystemabbild (Fortsetzung) Hinzufügen zum Server 815 Typen 816 vorbereiten 812, 816 – 817 Clients Konfigurationswiederherstellung 804 konfigurieren 814 – 816 Prestaging 887–888 PXE-Umgebung (Preboot Execution Environment) 805, 812, 884 Remotebootmedien 812
Systemanforderungen 884 vorkonfigurieren 814 Clients mit Terminaldiensten 805 Einsatzplanung Einrichtungsstrategien 809– 810 Kapazitätsplanung 805 –806 Konfigurationsverwaltungsplan 836 – 838 Strategien für verschiedene Benutzer 838– 844 erforderliche Windows-Komponenten 810– 811 erweiterte automatisierte Installation 869 –870 Gruppenrichtlinie 817 HAL 816 Installationsoptionen für Benutzer 816 – 817 Komponenten der Remoteinstallation 812 konfigurieren 811– 812 Neustarten der Installation 817 Planungsvorgang 803 Remoteboot-ROM 805 Remoteinstallationsserver DHCP-Dienst 885–889 konfigurieren 813– 816 Leistungsoptimierung 885 Netzwerklast 885 Router 889 Serverwahl 887 889 Setupdatei 812 RIS-Abbildung 884 Überblick 810 Verwenden 805, 811, 871 Remoteserververwaltung, MMC-Tools 533 Remotespeichersystem 658 – 660 Remotezugriffsauthentifizierung Internetauthentifizierungsdienst RADIUS-Protokoll 597 Rename.txt Konvertieren langer Dateinamen 444–445, 856–857 kurze Dateinamen, erforderlich in Distributionsordnern 853 Replikation FRS See Dateireplikationsdienst Konfliktbeseitigung 310, 369 PDC-Emulation in Netzwerken im gemischten Modus 309 Reservedomänencontroller aktualisieren 160 Anwendungsserver 317 gemischter Modus 318 PDC-Emulation, Replikation der 309 physische Sicherheit 317 Windows 2000-Domänen im einheitlichen Modus 293, 307 Windows 2000-inkompatible Anwendungen 297 Ressourcendomänen Aktualisieren 303– 305, 312–313 mehrere Masterdomänen 301 SAM-Datenbankgröße 304, 312, 329 Umstrukturieren in Organisationseinheiten Siehe auch Delegieren von Administrationsaufgaben Administratorkonten 305 Delegierungsmodelle 245 Umstrukturieren in Organisationseinheiten 275, 313, 340 –342 Reverse-Lookupzonen 262, 285 Richtlinie für eingeschränkte Gruppen 384 Richtlinie für Kontosperre 243, 383
Stichwortverzeichnis Richtlinien für Dateisysteme 385 Richtlinien für Systemdienste 384 Richtlinien zur Aufbewahrung außerhalb des Standorts 674 RID (Relative Identifier) 311 RIP-für-IP-Protokoll 189 – 190 RIP-für-IPX-Protokoll 193 RIS (Remoteinstallationsdienst) Siehe Remoteinstallation des Betriebssystems Risikomanagementplanung 77 – 81 Robuste Heap-Überprüfung 731 Round Robin-DNS 619– 620 Routing und RAS Aktivieren von Remotezugriff für Benutzer 361 Bandwidth Allocation Protocol 178 Benutzer ohne RAS-Profile 361 Challenge Handshake Authentication-Protokoll 178 Extensible Authentication Protocol 178 gemeinsame Nutzung der Internetverbindung (ICS) 178, 751 Konfiguration des Internetauthentifizierungsdienstes 590 Multicastunterstützung 194– 195 Netzwerkadressübersetzung 196, 752 Netzwerkbeispiel 756– 758 Netzwerk-Routingkonzepte 177 Netzwerkverbindungs-Assistent 748 – 749, 754 neue Funktionen 178 RAS-Authentifizierung Authentifizierungsprozess 360 EAP (Extensible Authentication Protocol) 362 EAP-TLS-Authentifizierung 362, 591 gegenseitige Authentifizierung 591 IAS Siehe Internetauthentifizierungsdienst Point-to-Point Protokoll 362 Protokolle 591 Umleiten von Anforderungen an IAS 597 RAS-Richtlinien Benutzer ohne RAS-Profile 361 definieren 361 Einstellungen 179 Remoteclient-Adressierung DHCP 180 IPX-Netzwerkkennung 180 statischer IP-Adresspool 180 Remoteclient-Verbindungsfunktionen 173 Router in der DMZ 171 Sicherheitsstrategien 362 Überlegungen zur Aktualisierung von RRASServern 298, 327 – 328 Routing- und RAS -Dienst RAS-Authentifizierung Challenge Handshake Authentication Protocol 591 RAS-Richtlinien Einstellungen 596 Verringern der Anzahl 596 Sicherheitsstrategien 590– 591 Routinginfrastruktur Siehe IP-Routinginfrastruktur RRAS Siehe Routing und RAS RTT (Umlaufzeit), TCP/IP-Protokoll 174
S S/MIME (Secure/Multipurpose Internet Mail Extensions)Standard 391
1079
SAM-Datenbank kopiert in das Active Directory 308 Überlegungen zur Größe 304, 312, 329 SAMI (Synchronized Accessible Media Interchange) 990 SAP-für-IPX 193–194 Schemacontainer 243 Schlankes Clientprogramm Definition 536 Windows 2000 Siehe Terminaldienste SCSI-Treiber automatisierte Clientinstallation 852, 854 automatisierte Serverinstallation 440, 442 SCSI-Adapter 658 Selektive Bestätigung, TCP/IP-Protokoll 174 Server Gated Cryptography (SGC) 392 Servergespeicherte Benutzer Windows 2000-Funktionen 12 Servergespeicherte Benutzerprofile Definition 830 Einplanen, bestmögliche Verfahren 58 implementieren 831 –832 Migrationszeitplan 44 Terminaldienste 555 –556, 558 Serversynchronisation Siehe Active Directory Connector Servertestlabore Siehe auch Testlabore dokumentieren Laborbeschreibung 109 – 110 logische Diagramme 110 –111 physische Diagramme 111 – 112 Domänen Benutzerkonten 101 Domänenauthentifizierung 106 entwerfen 108– 109 entwerfen 100 –104 Testprozesse, Überlegungen 107 Serververwaltungstools, MMC 533 Service Advertising Protocol (SAP) für IPX 193, 194 Services für Macintosh 740, 746 Setup (Windows 2000 Professional) Ausführen von Boot-CD 883 Clientinstallations-Assistent 983 Installieren mit Startdisketten 862 Modus Nur auf Aktualisierung prüfen 105, 726 unbeaufsichtigt Siehe auch Automatisierte Clientinstallation Antwortdatei Unattend.txt 857 Antwortdateien Siehe Antwortdateien Erweitern von Festplattenpartitionen 861–862, 880–882 Festlegen der Antwortdatei 858 Installationskomponenten 869 Option für unbeaufsichtigte Installationen 858, 862–863 Prozess 869 Unattend.doc 858 Winnt.exe Aktualisierung contra Neuinstallation 864 Befehlssyntax 945– 946 Parameter für automatisierte Installation 862 Verwenden 862 Winnt32.exe Aktualisierung contra Neuinstallation 864 Befehlssyntax 942– 944 Parameter für automatisierte Installation 858, 863
1080
Stichwortverzeichnis
syspart-Option 871– 873 Verwenden 862 Setup (Windows 2000 Server) Ausführen von der Installationsdiskette 451, 522 Ausführen von einer Boot-CD 470 unbeaufsichtigt Siehe auch Automatisierte Serverinstallation Antwortdatei Unattend.txt 445 Antwortdateien Siehe Antwortdateien Befehle in der SMS-Paketdefinition 487 Erstellen von Domänencontrollern 448, 450 Erweitern von Festplattenpartitionen 449 Festlegen der Antwortdatei 446 Installationskomponenten 457 Option für unbeaufsichtigte Installationen 446, 451 Prozess 457 Unattend.doc 446 Winnt.exe Aktualisierung contra Neuinstallation 452 Befehlssyntax 945 –946 Festlegen der Antwortdatei 446 Parameter für automatisierte Installation 446, 451 Verwenden 450 Winnt32.exe Aktualisierung contra Neuinstallation 452 Befehlssyntax 942 –944 Festlegen der Antwortdatei 446 Parameter für automatisierte Installation 446, 451 syspart-Option 459– 461 Verwenden 450 Setupapi.log 468, 881 SGC (Server Gated Cryptography) 392 Sichere Anwendungen aus dem Internet heruntergeladene Software 389– 390 E-Mail Kryptographie mit öffentlichen Schlüsseln Siehe Infrastruktur für öffentliche Schlüssel Planungsüberlegungen 391 S/MIME (Secure/Multipurpose Internet Mail Extensions) -Standard 391 Sicherheitsrisiken 390 Microsoft-Standards zur Sicherheitszertifizierung 388 Mindestanforderungen an die Sicherheit 388 –389 Sichere Websites 392
Sicherheitsgruppen Active Directory Connector 688 Autorisierung, Definition 350, 353 Definieren von Berechtigungen 362 – 363 Dienstprogramm ClonePrincipal 343 –344 gemischter Modus 306, 319 – 322 Gruppenerweiterung 321 Hinzufügen von Benutzern 367 maximale Größe 321 Prozess der Zugriffskontrolle 362– 363 Rechte auf lokalen Computern 383 Replikationskonflikte 369 Richtlinie für eingeschränkte Gruppen 384 SAM-Datenbankgröße 304 Standardberechtigungen 366 Terminaldienste 559 – 560 Typen von 365 Überlegungen zum Entwurf 367– 369 Übersicht 364 – 369
verschachteln 321, 368–369 verschieben Siehe Sicherheitsprincipals Verteilergruppen 365 Sicherheits-IDs (SIDs) Benutzerprofile 335 –336 Definition 310 RID (Relative Identifier) 311 verschobene Sicherheitsprincipals 331– 334 Zugriffskontrollliste, Komponenten der 311 Zugrifftokens 311 Sicherheitskonfiguration und -analyse-Snap-In analysieren von Sicherheit 351 Arbeiten mit Sicherheitsvorlagen 386 Sicherheitsprincipals Active Directory-Domänendatenbank 243 Erstellen mit der PDC-Emulation 310 SAM-Datenbankgröße 304, 312, 329 Umgebungen mit mehreren Domänen 254 Verschieben zur Umstrukturierung von Domänen Auswirkung auf SIDs 331– 334 Benutzerkonten 335 Benutzerprofile 335– 336 Computerkonten 336 – 337 Duplizieren von Sicherheitsprincipals 338, 343– 344 globale Gruppen 335 Hinzufügen neuer SIDs zu ACLs 332 Mitgliedsserver 337 schrittweises Migrieren von Benutzern 338 SID-Verlauf 333 –334 Verschieben zwischen Gesamtstrukturen 240 Sicherheitsrisiken, Netzwerk 349– 350, 581 Sicherheitsstrategien Dokumentieren aktueller Standards 154 – 155 Entwickeln von Richtlinien und Verfahren 583 Identifizieren von Sicherheitsrisiken 349 –350, 581 Infrastrukturplanung 161 – 162 Microsoft Security Advisor-Webseite 587 Netzwerksicherheitsplan 347– 349, 579 – 580 Planen sicherer Netzwerkverbindungen Einsatzplan 583 Firewalls Siehe Firewalls Proxyserver Siehe Proxyserver Strategien für Benutzer 583– 584, 588– 599 Strategien für Partner 584, 599– 600 Wechselbeziehungen zwischen Technologien 588 Planungsarbeitsblätter 902–903, 913–914 Planungsprozess 581 –582 Planungstaskliste 397– 399, 601 Schulung der Mitarbeiter 583 Überwachen der Netzwerksicherheit 587 verteilte Sicherheit 354 Windows 2000-Sicherheitsmodell 350– 354 Zugriffe auf öffentliche Netzwerke 586 Sicherheitsvorlagen für die Gruppenrichtlinie 386– 388 Sicherungen Siehe Datensicherung und Wiederherstellung Sicherungsprogramm 671 SIDs Siehe Sicherheits-IDs (SIDs, Security Identifiers) SID-Verlauf Dienstprogramm ClonePrincipal 343 – 344 verschobene Sicherheitsprincipals 333– 334 Windows NT 3.51 297, 334 Signieren von Software Authenticode 389– 390
Stichwortverzeichnis Öffentliche Schlüssel Siehe Infrastruktur für öffentliche Schlüssel Signieren von Softwarecode Authenticode 389–390 Authentifizieren von Softwarecode, der aus dem Internet heruntergeladen wurde 353 Skriptingdienste 22 Smartcards Authentifizierungsprozess 359 doppelte Authentifizierung 352 Firmenzertifizierungsstelle erforderlich 359 Hardwareanforderungen 359 Kryptographie mit öffentlichen Schlüsseln Siehe Infrastruktur für öffentliche Schlüssel Sicherheitsvorteile 359 Terminaldienste 562 Treiber 359 Überlegungen zur Planung 359 –360 Umgebungen mit mehreren Gesamtstrukturen 240 unterstützte Hardware 359 SMP (Symmetric Multiprocessing) achtfach (Advanced Server) 9 Skalierbarkeit 26 vierfach 8 SMS Siehe Systems Management Server Snap-In für Active Directory-Benutzer und -Computer Konfigurieren der Remoteinstallation 814 Snap-In für Active Directory-Standorte und -Dienste Bearbeiten von Zertifikats-ACLs 427 Delegieren der Steuerung von Computern und Benutzern 394 Delegieren der Steuerung von Standorten und Diensten 394 Software Anwendungen in Terminaldienste 567 Komponentendienste 528 Software (Systemsteuerung) Entfernen von Anwendungen 825, 829 mit Hilfe von ZAP-Dateien installierte Anwendungen 821 veröffentlichte Anwendungen 824 Softwareanwendungen Siehe Anwendungen Softwarebestand Anwendungstestverfahren 714 Vorüberlegungen 716– 719 Softwareinstallations-Snap-In deklarierte Aktualisierungsbeziehungen 828 Entfernen von Software 829 Skripts für die Anwendungsankündigung 823 Zuweisen und Veröffentlichen von Software 825 Softwareinventar SMS-Tools Ausführen des SMS-Inventars 215 –216 Extrahieren von SMS-Inventardaten 218, 221 Produktkompatibilitätsdatenbank 218– 221 SMS Version 1.2, Überlegungen 211 SMS-Berichte 216 Windows Management Instrumentation (WMI) 147 Windows NT-Netzwerkdaten 147 Softwaremessung Daten, erfasste 216 SMS 1.2 211 Softwareversionskontrolle 224 Softwareverteilung
1081
Automatisieren für den Server Siehe Automatisierte Serverinstallation Automatisieren bei Clients Siehe Automatisierte Clientinstallation mit Hilfe der Remoteinstallation des Betriebssystems Siehe Remoteinstallation des Betriebssystems mit Hilfe von IntelliMirror Siehe IntelliMirrorSoftwareverteilung Verwenden der Softwareinstallation Siehe Softwareinstallations-Snap-In Verwenden von SMS Siehe Softwareverteilung bei Systems Management Server Verwenden von Software (Systemsteuerung) Siehe Software (Systemsteuerung) Softwareverteilung mit SMS (Systems Management Server) Ankündigungen ausführen 503– 504 Clientanmeldeprozess bei Windows 95 oder Windows 98 502 erstellen 502 – 503 planen 502, 503 Sicherheit der Verteilungspunkte 503 Startkennwörter für Clients 501 Überblick 480, 500 Vorbereiten der Clients 501 Antwortdateien Siehe auch Antwortdateien Aktivieren des unbeaufsichtigten Modus 487 Auslassen des Namens im Setup-Befehl 487 Domäneneinstellungen für Windows 95 oder Windows 98 489– 490 Festlegen der zu verwendenden Antwortdatei 485 mehrere 486 Sicherheit 490 Windows NT-Aktualisierungen 490 Auswählen von Computern für die Aktualisierung 500 – 501 Auswählen von Computern für die Aktualisierung 482
Betriebssystemrechte SMS Version 1.2\\€DGGF_SMS.doc1,2 510 Überblick 483 Verteilungspunkte 503 Windows 2000 Server-Aktualisierung 488 Windows 95- oder Windows 98Aktualisierungen 489 –490 Distributionsordner Siehe Distributionsordner erweiterte automatisierte Installation 869–870 Features für die Domänenmigration 509 – 510 Sender Courier Sender 495– 496 Sendersteuerungen 492 Überblick 482 SMS-Programme 480 Überwachen der Ankündigungen Statusdateien 504 Überblick 505 Überwachen der Paketverteilung Anzeigen der Statusinformationen 496 –498 Fehlermeldungen bei unbeaufsichtigten Installationen 488 Problembehandlung bei der Verteilung 483, 499 Statusberichte 499
1082
Stichwortverzeichnis
Systemstatus Untersystem 496 Überblick 483, 496 Verfügbarkeit von Statusinformationen 496 Überwachen von Ankündigungen Anzeigen der Statusinformationen 505 – 507 Problembehandlung 502, 508 Statusberichte 507 –508 Systemstatus-Subsystem 505 unbeaufsichtigt Siehe auch Setup /unattend-Option 487 Antwortdateien Siehe Antwortdateien Benutzereingaben 486– 487 Fehlermeldungen 488 SMS Installer-Skripts 479 Unterschiede bei Version 1.2 510 Verbesserungen der automatisierten Installation 457– 458 Verteilen von Paketen an Verteilungsstandorte erste Verteilung 494 planen 481 Sender 482, 495– 496 Softwareverteilungsprozess (Diagramm) 481 testen 481, 494–495 Teststandort 493 – 494 Überblick 491 Verteilen von Paketen 494– 495 Verteilungsprozess Phasen 481 physisches Diagramm 481 Tasks 478 – 479, 511 verwenden 458 –459, 470, 871, 883 Vorbereiten der Verteilungsstandorte Anzahl der Verteilungspunkte 492 Distributionsordner Siehe Distributionsordner Fan-Out der Verteilung 493 Festplattenspeicher 481, 491 Sendersteuerungen 492 Teststandort 493 – 494 Überblick 480 Verteilungspunktgruppen 492 Softwareverteilung mit SMS (Systems Management Server) (Fortsetzung) Vorbereiten von Paketen Distributionsordner Siehe Distributionsordner Paketquelldateien 479 SMS-Programme 479, 484 Überblick 479– 480 vordefiniert 483 Windows 2000 Advanced Server 489 Windows 2000 Professional 483, 488 – 490 Windows 2000 Server 483 –488 SOHO-Netzwerke (Small Office/Home Office) Siehe auch VPNs mit L2TP über IPSec Automatic Private IP Addressing 174, 753 Beispielkonfigurationen 753 – 754 gemeinsame Nutzung der Internetverbindung (ICS) 178, 751 Komponenten 750 Netzwerk mit einem Subnetz 750 Netzwerkadressübersetzung 196, 752 Überblick 750 VPNs mit L2TP über IPSec 181 Speicher Robuste Heap-Überprüfung unter Windows 731 Speicherplatz
Active Directory-Objekte 270, 299 Ereignisprotokoll 396 gemeinsame Datenträgerkontingente Siehe Datenträgerkontingente Serveranforderungen, Schätzen 161, 214 Speicherverwaltung Clustering Siehe Windows Clustering Dateisysteme Siehe Dateisysteme Datenträgerkontingente Siehe Datenträgerkontingente Datenträgerverwaltung Siehe auch Datenträgerverwaltungs-Snap-In Remotespeichersystem 658– 660 Wechselmediensystem 657– 660 Fehlertoleranz Siehe Fehlertolerante Systeme Herunterladen und Synchronisieren von Dateien Siehe Synchronisieren von Offlinedateien Indexdienst 667 – 669 Planung Bedarfsermittlung 649 – 651 Beispielarbeitsblatt 907 –908 Budget 651 Datenschutzrichtlinien 672 Notfallwiederherstellung Siehe Notfallwiederherstellung Planungsprozess 648 Speichersysteme 652 Taskliste 676 Überblick 647– 648 Windows-Funktionen 648, 660 Sicherungsprogramm Datenschutzstrategien 672 Sicherungsrichtlinien 673– 674 verwenden 671 Spezifikation für Desktopanwendungen 725 Spezifikation für verteilte Anwendungen 725 Sprachenunterstützung Einsatzplanung 58 Sprachoptionen Siehe MultiLanguage-Version Sprecher 995 SSL (Secure Sockets Layer) -Protokoll 392 Standardbasierte Protokollunterstützung 231 Standardsicherheitsvorlage 387 Standardteilnetzmasken 281 Standorttopologie Siehe Active Directory-Standorttopologie Standortverbindungsmedien 172 Startinitialisierung, Netzwerkleistung 58 Statisch geroutete Netzwerke 188 Stripesetdatenträger 654, 670 Suche mit Indexdienst 667– 669 Switched Virtual Circuits 201 Symmetric Multiprocessing (SMP) achtfach (Advanced Server) 9 Skalierbarkeit 26 vierfach 8 Synchronisationsverwaltung 833– 834 Synchronisieren von Offlinedateien Aktivieren der IntelliMirror-Verwaltung von Benutzerdaten 830 Datenträgerkontingente 830, 835 Gruppenrichtlinienoptionen 835 Konfigurieren von Ordnern für die Offlineverwendung 834 Synchronisationsverwaltung 833 – 834 Überblick 830
Stichwortverzeichnis Synchronisieren von Verzeichnissen Siehe Active Directory Connector Synchronized Accessible Media Interchange 990 Syspart Clientinstallation Einrichten von Clientcomputern Installieren von Windows Professional 848–849 Einrichtung von Clientcomputern Antwortdatei Siehe Antwortdateien Distributionsordner Siehe Distributionsordner erweiterte automatisierte Installation 869– 870 Installieren von Windows Professional 871 – 873 Verwenden von Syspart 871 Server Setup Installieren von Windows Server 436 – 437, 459 – 461 Serverinstallation Antwortdatei Siehe Antwortdateien Distributionsordner Siehe Distributionsordner Verbesserungen der automatisierten Installation 457 –458 Verwenden von Syspart 458– 459, 871 Sysprep-Clientinstallation Abbildungsprozess 874 administratives Kennwort 877 Antwortdatei Sysprep.inf administratives Kennwort 877 Assistent für die Miniinstallation 877–879 Ausführen von Sysprep.exe automatisch nach Setup 880 manuell 879 –880 Parameter 876 Reboot-Option 876, 879 Speicherort der ausführbaren Dateien 874 stiller Modus 876, 880 Cmdlines.txt 880 Distributionsordner Siehe Distributionsordner Erweitern von Festplattenpartitionen 861–862, 880– 882 Sysprep-Clientinstallation (Fortsetzung) Hyberfil.sys 881 Installationsprozess 848 –849 Installieren der Active Directory-Komponenten 874 Pagefile.sys 881 Setupapi.log 881 Setupcl.exe 874, 877 Sysprep.inf-Antwortdatei Siehe auch Anwortdateien Beispiel 876–877 ConvertNTFS 881 Dateiablage 876 Parameter für die unbeaufsichtigte Installation 878 Überblick 876 Systemanforderungen 873 verwenden 871–873 Sysprep-Server Cmdlines.txt 467 Sysprep-Serverinstallation Abbildungsprozess 436 – 437, 462 Administratorkennwort 464 Antwortdatei Sysprep.inf Administratorkennwort 464 Beispiel 463–464 ConvertNTFS 468
1083
Parameter für die unbeaufsichtigte Installation 465– 466 Assistent für die Miniinstallation 465 – 466 Ausführen von Sysprep.exe automatisch nach Setup 467 manuell 466– 467 Parameter 463 Reboot-Option 463, 466 Speicherort der ausführbaren Dateien 462 stiller Modus 463, 467 Distributionsordner Siehe Distributionsordner Erweitern von Festplattenpartitionen 449–450, 468– 470 Hyberfil.sys 468 Installieren der Active Directory-Komponenten 462 Pagefile.sys 468 Setupapi.log 468 Setupcl.exe 462, 465 Sysprep.inf-Antwortdatei Siehe auch Anwortdateien Dateipfad 463 Übersicht 463 Verzeichnispfad 463 Systemanforderungen 461 Übersicht 460 Verbesserungen der automatisierten Installation 457– 458 verwenden 458– 459 Systemmonitor (Snap-In) 532 Systemrichtlinien (Windows NT) übertragen 772– 773 Vergleich mit Gruppenrichtlinie 770– 771 Systems Management Server Analysieren der Netzwerkinfrastruktur definierte Netzwerkinfrastruktur 208 Einsatzplanung 210 – 211 Prozess 208– 209, 225 SMS 1.2 211 – 212 Berichte Inventar 216 – 218 Produktkompatibilität 220 – 221 Einsetzen 207 Inventar Ausführen der Inventarkomponente 213 – 216 Auswählen von Computern für die Aktualisierung 482 Extrahieren von Inventardaten 218, 221 Inventarberichte 216– 218 potentielle Hardwareinkompatibilität 212–213 Produktkompatibilitätsdatenbank 218 –221 Schätzen der Hardwareanforderungen 214 SMS Version 1.2 211 Softwarevorspanndaten 215 Windows 2000 Hardware-Kompatibilitätsliste (HCL) 213 Inventur Auswählen von Computern für die Aktualisierung 500– 501 Messen von Software Daten, erfasste 216 Netzwerkmonitor 222– 223 Softwaremessung SMS 1.2 211 Softwareüberwachung Softwareversionskontrolle 224
1084
Stichwortverzeichnis
Softwareverteilung Siehe Systems Management Server, Softwareverteilung Version 1.2 211 –212 Verwaltungstools für die Clientkonfiguration 807 – 809 Windows Management Instrumentation (WMI) 807
T Task-Manager Leistungsindikatoren des Systemmonitors 572 – 573 Leistungsindikatoren für das Netzwerksegment 574 Physischer Arbeitsspeicher 573 TCP/IP-Protokoll Clientkonnektivität 740– 742 Dynamic Host Configuration Protocol Siehe DHCP Installation auf einem Client 740 Internet Protocol Security Siehe IPSec IP-Adressierung Automatic Private IP Addressing 174, 753 IP-Adressierungsplanung 175 IP-Adressklassen 175 – 176 Mehrfachvernetzung 187 Notation 176 private Adressen 175 Teilnetzmasken 174–176 Windows Internet Name Service 177 IP-über ATM-Dienste 202, 205 Netzwerk-Routingkonzepte 177 neue Funktionen 173 – 174 RAS Siehe Routing und RAS selektive Bestätigung 174 Teilnetze 177 Teilnetzmasken 280 Testen der Konfiguration 531 Umlaufzeit 174 Unterstützung großer Empfangsfenster 174 VPNs Siehe Virtual Private Networks Teilnetzmasken 174, 281, 176 Teilnetzplanung, Standorttopologie 280 Terminaldienste Active Directory-Infrastruktur 555 aktuelle Systemumgebung, dokumentieren 546 Anwendungsservermodus Benutzerverbindungen zu Anwendungen 567 Clusterdienst 537 Standardbenutzerrechte 559 Überblick 537 Windows Installer 557 automatische Ausführung von Anwendungen 560 – 561 Beispielszenarios Remoteverwaltung 541– 542 Remotezugriff 542 –543 Unternehmensanwendungen 543 –544 Voraussetzungen für den Einsatz 545 zentraler Desktopeinsatz 544– 545 Benutzereinstellungen Anmeldung 559, 560 Basisverzeichnisse 558– 559 Benutzerprofile 555– 558 bewährte Methoden 571 Datei UsrLogon.cmd 561 Gruppenrichtlinien 556– 557 Ordnerumleitung 559
Profile für Terminaldienste 560 Reihenfolge von Richtlinien 557 Sprache 569 Systemrichtlinien 557 Zugriff auf Anwendungen 557, 560–561 Clientgeräte Anforderungen 566 Datensichtgeräte 547 Dokumentieren der vorhandenen 547 Terminalemulation 536 UNIX-Terminals 547 Windows CE-basierte Terminals 565 –566 Windows-basierte Terminals 536 Clientverbindungs-Manager 560 Clusterdienst 640 Domänenstruktur 554 Drucken 569 –570 Einrichtung Aufgaben 576 bestmögliche Verfahren 58 Einrichten der Terminaldienste 566 Upgradepfad 566– 567 Einsatz Planungsteam 541 Prozess 540 – 541 Erweiterungen des Benutzer-Managers 560 externe Datenspeicherung 554 Gruppenrichtlinien Benutzersprache 569 Einrichtung von Anwendungen 567 Installieren von Anwendungen 557 Remoteanwendungsinstallation 537 widersprüchliche Richtlinien 557 Zugriff auf Anwendungen 557 Installieren von Anwendungen Ausführungsskripts 548, 558, 561 Client IP-Adressen 553 Installationsmodus 567 Multimediaanwendungen 548 potentielle Probleme 548, 553 Remoteinstallation 537 Remotesitzung 568 Setup 567 Sicherheitsrechte 560 Skripts 561 Software 567 Transformationsdateien 557, 568 von Domänencontrollern 568 Windows Installer 548, 557, 567 IntelliMirror-Softwareverteilung 805 Internet Protocol (IP) 546 Internetwork Packet Exchange (IPX) 546 IP-Adressvergabe Clientanwendungen 553 Firewalls 563 Netzwerklastenausgleich 553 Round-Robin-DNS 554 Vorbereiten des Netzwerks 546 Lastenausgleich 553 Leistungsanalyse Arbeitsspeicher 573 Netzwerkleistung 574 Prozessorleistung 572 – 573 Lizenzen
Stichwortverzeichnis Clientlizenzen, Definition of 538 Clientlizenzschlüsselpakete 538 Clientzugriffslizenz für Windows 2000 Server 539 erforderliche 539 erhalten 551 Lizenz für Windows 2000 Terminaldienste– Internet Connector 539, 551 Lizenzierungsverfahren 537– 539 optionale 539– 540 Schlüsselpakete für die Clientlizenz 552 temporäre 551, 552 Windows 2000 Clientzugriffslizenz für Terminaldienste 539, 551 Windows 2000 Server-Lizenz 539 Windows 2000-Lizenz 539 Work at Home Clientzugriffslizenz für Windows 2000 Terminaldienste 540 Lizenzserver Abfragen 549 aktivieren 550– 551, 552 Aktivieren des Lizenzdienstes 549–550 Ausstellen von Clientlizenzen 551–552 Auswählen eines Servers 546–550 Domänencontroller 546, 550 Domänenlizenzserver 549 Installieren von Clientlizenzen 551–552 Lizenzierungs-Assistent 538, 550 –551 Lizenzierungsverfahren 537– 539 Lizenzserverkennung 551 Lizenzverwaltungsprogramm 552 Microsoft Clearing House 538, 549–550 sichern 552 Überblick 538, 549 Unternehmenslizenzserver 549 MetaFrame-Add-On 540, 566
Terminaldienste (Fortsetzung) Microsoft Clearing House Lizenzierungsverfahren 538 Lizenzserverregistrierung 549 Serverinternetverbindung 550 Überblick 538 MultiLanguage-Version 568 Netzwerklastenausgleich 615 – 616 Novell Server 566 Remote Desktop Protocol (RDP) Client/Server-Verbindungen 547 Druckerumleitung 569 Firewalls 546 Installationsverzeichnis 566 RAS-Verbindungen 563 Terminaldienstekonfiguration 575 Remoteinstallation des Betriebssystems 805 Remotesteuerung 574 Remoteverwaltungsmodus gleichzeitige Verbindungen 537 Lizenzierung 537 Standardbenutzerrechte 559 Überblick 537 Remotezugriff Siehe auch Remote Desktop Protocol Beispielszenario 542– 543 Firewalls 563 Sicherheit 562
1085
Systemleistung 563 via Internet 546 –547, 563 Windows-basierte Terminals 565 Round-Robin-DNS 554 SAM-Datenbank 555 schlankes Clientprogramm, Definition 536 Sicherheit Administratorrechte 560 anonymous FTP 562 automatische Anmeldung 560 – 561 Benutzerrechte 559 Dateisystem 559 Datenverschlüsselung 561 OS/2-Anwendungen 562 POSIX-Anwendungen 562 RAS-Verbindungen 562 Smartcards 562 Zugriff auf Dateisystem 560 Skripting 548 Terminaldienste-Clientinstallation 575 Terminaldienstekonfiguration 560, 575 Terminaldienstemanager 560, 575 Terminalserver Abfragen der Lizenzserver 549 Arbeitsspeicher 564 Auslagerungsdateien 564 Definition 538 Domänencontroller 560 Domänenstruktur 554 Lizenzierungsverfahren 538 Prozessoren 564 Registrierungsgröße 564 Richtlinien zum Kauf 563 Speicherabbilddateien 564 Testlaborumgebung 571 Überblick 535 –537 Überwachen der Systemleistung Erstellen der Basislinie 572 Verwaltungsprogramme 574 –575 Vorbereiten der Netzwerkverbindungen Client/Server-Verbindungen 547, 553, 566 Internetzugriff 546 WANs 546 WinFrame 566 Zeitzonen 569 Testen von Anwendungen Siehe Anwendungen, Testen der Kompatibilität Testfälle 121– 122 Testlabore ADC-Verbindungstests 704 – 705 ad hoc 93, 95 Änderungsmanagement contra ad hoc 95 Investitionsrentabilität 94– 95 Rolle des Labors 124– 125 Testen nach der Einrichtung 124 Aufbauphase 88 Ausführen von Tests Dokumentieren von Ergebnissen 123 Durchführen von Tests 122– 123 Einheitentests 117 Entwerfen von Testfällen 117, 121– 122 Integrationstests 118 Liste der Tasks 89, 127
1086
Stichwortverzeichnis
Testpläne 119 – 121 Testprozesse, Überlegungen 107 Weiterleitungspläne 118 Beispielbereitsstellungsszenario 43 – 44 Definition 86 dokumentieren Änderungen im Labor 113 Laborbeschreibung 109– 110 logische Diagramme 110 – 111 physische Diagramme 111 –112 entwerfen Clientlabore 104– 107 Domänen 101, 106, 108 – 109 Entwurfsphase 87, 88 Entwurfsvoraussetzungen 99 – 100 Serverlabore 100 – 104 Testfälle, Überlegungen 100 Übersicht 85– 87 Entwicklungsphasen 87–88, 126–127 Erstellungsphase 113 – 115 Investitionsrentabilität Änderungsmanagement 94 –95 Überlegungen 91 Verwendungsmöglichkeiten für Labore 91– 93 Laborvorbereitung, Taskliste 126– 127 Planungsarbeitsblätter 908– 910 Risikomanagement 87 Serverlabore Domänenentwurf 101, 106, 108 –109 entwerfen 100 – 104 Simulieren vieler Anwender 644
Testlabore (Fortsetzung) Strategiephase Investitionsrentabilität 91 –93 Laborentwicklungsphasen 87–88 Labormodelle 93 – 96 Laborstandort 96 – 99 langfristige Überlegungen 90 Testen der Terminaldienste 571 verwalten 115 – 117 Verwendungsmöglichkeiten 91 –93 vorläufige 89 Windows DNA Performance Kit 644 Testläufe Proxyserver 587, 588 Testpilotprojekt Siehe Pilotprojekt Testpläne 70–71, 119–121, 720–724 Testverfahren Änderungsmanagementtests 124 – 125 Dokumentieren von Ergebnissen 123 Einheitentests 117 Entwerfen von Testfällen 117, 121–123 Integrationstests 118 Labor, Überlegungen Siehe auch Testlabore Domänenentwurf 108 Laborentwurf 100 Wiederherstellung nach Tests 107 Liste der Tasks 89, 127 Planungsarbeitsblätter 908– 910 Risikomanagement 117 Testen der Druckerfreigaben 527 Testen von ADC-Verbindungen 704 –705
Testen von Anwendungen Siehe Anwendungen, Testen der Kompatibilität Testen von Clusterservern 643– 644 Testpläne 119– 121, 720 – 724 Weiterleitungspläne 118 TGT (Ticket Granting Ticket) 315 Tools, Einrichtung 965 Topologieplan Siehe Active Directory-Standorttopologie Transaktionsprotokollierung und Wiederherstellung 643 Transitive Vertrauensstellungen, Definition 371 Txtsetup.oem Clientinstallation Auflisten in der Antwortdatei 852 Distributionsordner 852 Installieren von Massenspeichergeräten 855 Installieren von SCSI-Geräten 854 Serverinstallation Auflisten in der Antwortdatei 440 Distributionsordner 440 Installieren von Massenspeichergeräten 443 Installieren von SCSI-Geräten 442
U Übergreifende Datenträger 654 Überwachen Anzeigen der Protokolldatei 396 APIs 730 Ereignisse in Dateien und Ordnern 385, 396 Ereignisse, die die Registrierung betreffen 385 fehlgeschlagene und erfolgreiche Ereignisse 385 implementieren 395 Netzwerke (SMS-Netzwerkmonitor) 222 –223 Prozess 395 Richtlinie für Systemdienste 385 Speicherplatz 396 Softwareverwendung (SMS) 216 Übersicht 354 Überwachungsprotokolle 395– 397 Überwachungsrichtlinie 383 zu überwachende Ereignisse 397 Uhreinstellung, Kerberos-Authentifizierung 358 Umlaufzeit (RTT), TCP/IP-Protokoll 174 Umleiten von Ordnern Siehe auch IntelliMirror-Verwaltung von Benutzerdaten Aktivieren der IntelliMirror-Verwaltung von Benutzerdaten 830 Datenträgerkontingente 830, 835 implementieren 832 –833 Überblick 830 Umstrukturieren von Domänen Beispielszenarios 338– 342 Definition 293 Dienstprogramme zur Domänenmigration 328 Gründe für das 296, 328– 329 Konsoldieren von Ressourcendomänen 340–342 Migration in zwei Phasen 296 Migrationsziele 292 –293 Phasen der Migrationsplanung 290 –291 Planungstaskliste 345 schrittweise Migration 338 –340 untergeordnete Domänen, falsch verknüpft 303 Verschieben von Benutzern und Gruppen 330– 336
Stichwortverzeichnis Verschieben von Computern 336 – 337 Verschieben von Domänencontrollern 330 Verschieben von Mitgliedsservern 337 Zeitpunkt für das 297, 300, 329– 330 Unattend.doc 446, 858 Unattend.txt 445, 949– 950 Unbeaufsichtigte Installation Siehe Installation, unbeaufsichtigte Unidirektionale Vertrauensstellungen Definition 371 Universelle ADSL 203 Universelle Gruppen Domänen im gemischten Modus 319 Domänenmigration 319 –321 Eigenschaften 321 Globaler Katalog 320 Gruppenerweiterung 321 Prüfen der Zugehörigkeit beim Anmelden 284 Überlegungen zur Netzwerkleistung 368 verschachtelte Sicherheitsgruppen 321, 368 Verwenden 366 UNIX BIND-Dienst 150 Clientkonnektivität 745– 746 Multiprotokoll-Remotezugriff 173 Untergeordnete Domänen Aktualisieren 313–314 falsch verknüpft 303 Umgebungen mit einer Struktur 256 Umgebungen mit mehreren Strukturen 256 – 257, 264 Unternehmensanwendungen dokumentieren 152 Terminaldienste 543– 544 Unterstützung für intelligente Eingabe/Ausgabe (I2O) 26 Unterstützung offener Standards 231 UPNs (User Principal Names) 237, 240
V Variable Length Subnet Masking (VLSM) benutzerdefinierte Teilvernetzung 176 RIP-für-IP -Netzwerke 189, 190 Verbindung Siehe Netzwerkverbindung Verbindungs-Manager 182 Verbindungsstatus-Routingprotokoll 190 Verfügbarkeit Siehe Windows Clustering Veröffentlichen von Anwendungen mit Hilfe von IntelliMirror Siehe IntelliMirrorSoftwareverteilung mit Hilfe von SMS Siehe SMS-Softwareverteilung Verwenden der Softwareinstallation Siehe auch Softwareinstallations-Snap-In Verschlüsselndes Dateisystem (EFS) Festlegen von Wiederherstellungskonten 428 freigegebene Server 375 implementieren 375 Kryptographie mit öffentlichen Schlüsseln Siehe auch Infrastruktur für öffentliche Schlüssel Übersicht 374 Verschlüsselungsschlüssel 374 Wiederherstellungsagenten 374–375 Wiederherstellungsrichtlinie 375 Wiederherstellungsstrategien 376
1087
Verschlüsselung mit symmetrischen Schlüsseln 351 Versionsüberprüfung, verursachte Probleme 731 Verteilergruppen 365 Verteilerlisten 365 Verteiltes Dateisystem (DFS) 523– 524, 665 – 667 Vertrauen für Delegierungszwecke 356 Vertrauensstellungen Active Directory-Domänen und -VertrauensstellungenSnap-In 372 Arten 371–372 Auswirkung der Aktualisierung mehrere Masterdomänen 302 primäre Domänencontroller 308 Ressourcendomänen 304 –305 untergeordnete Domänen 313 – 314 bidirektionale transitive, Definition 371 Dokumentieren der aktuellen 150–153 Dokumentieren der aktuellen Domäne mit einer Struktur verbinden 370 gemischter Modus Aktualisieren von untergeordneten Domänen 313–314 implementieren 372 nicht-transitive Vertrauensstellungen 372 NTLM-Authentifizierung 315 unidirektionale Vertrauensstellungen 371 Vertrauensstellungen für KerberosAuthentifizierung 306 implementieren 372 Kerberos 358 Konfigurationscontainer 372 Masterdomänen 304 mehrere Masterdomänen administratives Modell 304 Beispiel 301 SAM-Datenbankgröße, Grenzen der 304 verglichen mit vollständigem Vertrauen 236 nicht-transitive, Definition 372 Planen expliziter aktualisierte primäre Domänencontroller 308 aktualisierte untergeordnete Domänen 314 externe Vertrauensstellungen 153 nicht-transitive Vertrauensstellungen 372 Optimieren des Vertrauenspfades 371 Plan zur verteilten Sicherheit 370 Umstrukturieren von Domänen 329 vorhandene Windows NT-Vertrauensstellungen 302 Standardtyp zwischen Domänen 236, 257 transitive, Definition 371 Umgebungen mit einer Gesamtstruktur 238 Umgebungen mit mehreren Gesamtstrukturen Einschränken des Vertrauensbereichs 239 Erstellen expliziter Vertrauensstellungen 239– 240, 372 Plan zur verteilten Sicherheit 370 Umgebungen mit nur einer Domäne 370 unidirektionale, Definition 371 unterstützte Protokolle 351, 370 verknüpfte Vertrauensstellungen 264 vertrauenswürdige Domäne, Definition 371 Verwalten mit Netdom 338, 344 vollständiges Vertrauensmodell 236 VPNs mit L2TP-über-IPSec 185 zwischen Strukturen 257, 264, 305
1088
Stichwortverzeichnis
Vertraulichkeit von Daten Definition 353 IPSec (Internet Protocol security) 377 Smartcards 359 verschlüsselndes Dateisystem (EFS) 374 Verwaltete Datenträger 658 Verzeichnisfähige Anwendungen 232, 236, 725 Verzeichnissynchronisation, Exchange Server Siehe Active Directory Connector Virtual Circuits 201 Virtuelle Gerätetreiber, Kompatibilität 164 Virtuelle private Netzwerke (VPNs) Beispielkonfiguration 592 Clientkonnektivität 749, 755 DFÜ-Verbindungen 749, 754 – 756 Einsatzplanung 593 Firewalls 594– 595 IPSec-Protokoll Siehe IPSec (Internet Protocol Security) Netzwerkinfrastruktur, Planung 158 Netzwerklastenausgleich 614 Point-to-Point Tunneling Protocol 181, 593 Serverkapazität 597 Serverplatzierung 582 Serverstellung 594 – 595 Sicherheitsprotokolle 180 Überblick 592 – 593 Verbindungs-Manager 596 Vorteile von 180– 181 VLSM (Variable Length Subnet Masking) benutzerdefinierte Teilvernetzung 176 RIP-für-IP-Netzwerke 189–190 Volltextindizierung Siehe Indexdienst VPN Siehe Virtuelle private Netzwerke VPNs mit L2TP-über-IPSec Autorisierung von Benutzern 181–182 bei Bedarf herzustellende Verbindungen 181 Computerzertifikate Authentifizierungsvorgang 182 Beispielkonfiguration 185 –186 Standardeinstellungen 185 Vertrauensstellungen 185 Computerzertifikate Siehe auch Infrastruktur für öffentliche Schlüssel Einsetzen von IPSec 184 – 186 Paketfilterung 185 permanente Verbindung über Router-to-Router 182 Richtlinie für sicheren Tunnelverkehr 181 Router-to-Router-Verbindung bei Bedarf 183 UDP (User Datagram Protocol) 185 Verbindungs-Manager 182 Vertrauensstellungen 185 Übersicht 181 VxD-Kompatibilität 164
W WAN-Verbindungsmedien 172 WBEM Siehe WMI Webserver, aktualisieren 529– 530 Siehe auch Mitgliedsserver Wechselmediensystem 657 –660 Weiterleitungspläne 118 Wiederherstellen der Clientkonfiguration 805
Wiederherstellen von Daten Siehe auch Datensicherung und -wiederherstellung Wiederherstellen von mit EFS verschlüsselten Dateien 375 Wiederherstellung Fehlertoleranz Siehe Fehlertolerante Systeme Risikomanagementplanung 77 – 81 WinDNA Performance Kit 644 Windows 2000 Anwendungsspezifikationen Standards für Eingabehilfen 982 Zertifizierung für kompatible Anwendungen 11 Windows 2000 Clustering Siehe Windows Clustering Windows 2000 Compatibility Guide 730 Windows 2000 Logozertifizierungsprogramm Anbietertests 725 Verzeichnis kompatibler Anwendungen 725 Windows 2000 MultiLanguage-Version Siehe MultiLanguage-Version Windows 2000 Professional Aktualisierung contra Neuinstallation Festlegen der besten Methode 846– 848 Möglichkeiten der Installationsmethoden 848 Optionen der Installationsmethoden 864 Aktualisierungspfade 163 Funktionen bessere Geräteunterstützung 7 Desktopverwaltungslösungen 22– 23 Übersicht 6– 8 Gesamtbetriebskosten 7, 869 Installieren Siehe Installieren von Windows 2000 Professional Windows 2000 Server Aktualisierung contra Neuinstallation Festlegen der besten Methode 434– 436 Möglichkeiten der Installationsmethoden 436, 452 Einrichtungsfallstudien 13 – 20 Funktionen Active Directory 8, 10 Advanced Server 9 Änderungs- und Konfigurationsmanagement 11 Anwendungszertifizierungsprogramn 11 Asynchronous Transfer Mode (ATM) 28 auswerten 20 – 21 Backupoptimierungen 28 Clusterdienst 26 Datenträgerduplizierung 22 Datenträgerkontingente 28 Desktopverwaltungslösungen 22 Dienste zur Verwaltung der Infrastruktur 21 –22 Distributed File System (DFS) 28 dynamischer Lastenausgleich 25 eingereihte Komponenten 25 Fibre Channel 28 Gruppenrichtlinie 10, 22 Indexdienste 24 Infrastruktur für öffentliche Schlüssel 23 Instrumentationsdienste 22 integrierte Webdienste 24 IntelliMirror 10, 22, 27, 22, 27 Internet Protocol Security (IPSec) 23 IP -Telefonie 28 Kerberos-Authentifizierung 23 Kommunikation 27 – 28 Komponentenanwendungsdienste 25 Manager für optionale Komponenten 22
Stichwortverzeichnis Mediendienste 24 Message Queuing-Dienste 25 NetMeeting 11 Netzwerk 27 –28 Netzwerklastenausgleich 27 NTFS-Optimierungen 28 NTFS-Verschlüsselung 23 Protokoll für die dynamische DNS-Aktualisierung 27 Quality of Service (QoS) 11, 27 Remoteinstallationstechnologien 10, 22 Remotespeicher 28 Resource Reservation Protocol (RSVP) 28 servergespeicherte Benutzerprofile 12, 22 Sicherheitsfunktionen 23 – 24 Sicherheitsvorlagen 23 Skalierbarkeit 26 – 27 Skriptingdienste 22 Smartcards 23 Speicherarchitektur des Unternehmens 26 Speicherverwaltung 28 Standard Edition 8 – 9 Streaming Media-Dienste 28 Symmetric Multiprocessing 8, 9, 26 Synchronisationsverwaltung 12 Terminaldienste 9, 26, Transaktionsdienste 25 Windows 2000 Server Funktionen (Fortsetzung) Unterstützung für intelligente Eingabe/Ausgabe (I2O) 26 Verfügbarkeit 26 – 27 verlegen und abonnieren 25 Veröffentlichen und Freigeben von Informationen 24 Verwaltungsdienste 22 Verzeichnisdienste 22 Webanwendungsdienste 25 Wechselmedien 28 Windows 2000-Produktfamilie 6 Windows Installer 22 Gesamtbetriebskosten 456 installieren Siehe Installieren von Windows 2000 Server Windows 2000-Domänen Active Directory Siehe Active DirectoryDomänenstruktur Aktualisieren von Domänen Siehe Aktualisieren von Domänen Konsolidieren von Domänen Siehe Umstrukturieren von Domänen Windows 2000-Einrichtungsprojektplan Siehe Einrichtungsprojektplan Windows 2000-Hardwarekompatibilitätsliste (HCL) 519 Windows 2000-Logozertifizierungsprogramm Kompatibilitätsfragen 519 Windows Clustering Advanced Server-Funktionen 604– 605 availability planning worksheets 926 Cluster, Definition 606 Clusterdienst Siehe Clusterdienst Clusterverwaltungs-Snap-In 661 Einrichtung eines Zweiknotenclusters 661 Failover 661–662 Hardwarekonfigurationen 662 Lastenausgleich 606, 661 NetBIOS, für Clusterserver erforderlich 322
1089
Netzwerklastenausgleich Siehe Netzwerklastenausgleich Planen der Clusterumgebung 662 Planen der Verfügbarkeit Ausfallkosten 603– 604 Bedarfsanalyse 608– 609 Fehlerquellen 609 –610 Hardwarekompatibilität 610 Planungstasks 605– 606 Planungsteam 607– 608 Planungsarbeitsblätter für die Verfügbarkeit 921 Übersicht 606 –607, 661 Windows DNA Performance Kit 644 Windows Installer Aktualisieren der Software 828 bedarfsgesteuerte Installation 820 Beispiel für Windows-Bereitstellungsszenario 42 benutzerdefinierte Installationsoptionen 821 deklarierte Aktualisierungsbeziehung 828 erneut gepackte Anwendungen 820 –821 im gemischten Modus 306 Neuinstallation beschädigter Dateien 820
Paketdatei 868 Service Packs und Patches 828 Terminaldienste 548, 557, 567 Terminalserver 557 Terminologie 868 Transformationspakete 821 Überblick 819 –820, 868 von Grund auf neu geschriebene Anwendungen 820 Windows-Bereitstellung, bestmögliche Verfahren 56–58 Windows Internet Name Service (WINS) 177, 323, 740 Windows Management Instrumentation (WMI) Anwendungsskripting-Unterstützung 59 SMS-Inventar 147, 807 Windows Messaging-Dienst 731 Windows NT 4.0-Systemrichtlinien 770 – 773 Windows NT-Domänen, aktualisieren Siehe Aktualisieren von Domänen Windows NT-Sicherheitsmodell Authentifizierung 311 Datenbank des Sicherheitskonten-Managers (SAM, Security Account Manager) Größe 304, 312, 329 Erstellen von Sicherheitsprincipals mit der PDCEmulation 310 SAM-Datenbank kopiert in das Active Directory 308 Windows NT-Suchdienst 309 Windows Scripting Host (WSH) 22 Windows 2000 Application Specification (Spezifikation) Desktop- und verteilte Anwendungen 725 Microsoft-Testplan 726 Verzeichnis kompatibler Anwendungen 725 Website 726 Windows 2000 Compatibility Guide 730 Zertifizierung für kompatible Anwendungen 725 Windows 2000 Hardware-Kompatibilitätsliste (HCL) 213 Windows NT-Sicherheitsmodell NTLM-Authentifizierung 314 Ressourcendomänen 303– 305 RRAS-Server 298, 327– 328
1090
Stichwortverzeichnis
Sicherheitsbeschreibungen 311 Sicherheitsgruppenmigration 318 – 322 Sicherheits-IDs (SIDs) Definition 310 Zugriffskontrollliste, Komponenten der 311 Zugrifftokens 311 Zugriffskontrollliste (ACL) 311 Zugrifftokens 311 Windows-basiertes Terminal (WBT), Definition 536 Windows-Registrierung Anwendungen, die direkt in die Registrierung schreiben 731 Deaktivieren des Registrierungs-Editors 790 Registrierungsschlüssel für Schriftarten 731 Sicherheitseinstellungen der Gruppenrichtlinie 385 sichern 521 Überwachen von Ereignissen 385 Zuordnen von Schlüsseln unter Verwendung von Migrations-DLLs 490, 727 Windows-Systemdateischutz 730 WinInstall LE 820
Winnt.exe Befehlssyntax 945 – 946 Windows 2000 Professional Siehe auch Setup (Windows 2000 Professional) Aktualisierung contra Neuinstallation 864 Parameter für automatisierte Installation 858, 862 Verwenden 862 Windows 2000 Server Siehe auch Setup (Windows 2000 Server) Aktualisierung contra Neuinstallation 452 Parameter für automatisierte Installation 446, 451 Verwenden 450 Winnt.sif Beispielantwortdatei 950– 952 Winnt32.exe Befehlssyntax 942 – 944 Windows 2000 Professional Siehe auch Setup (Windows Professional) Aktualisierung contra Neuinstallation 864 Festlegen der Antwortdatei 858 Parameter für automatisierte Installation 858, 863 syspart-Option 871– 873 Verwenden 862 Windows 2000 Server Siehe auch Setup (Windows Server) Aktualisierung contra Neuinstallation 452 Festlegen der Antwortdatei 446 Parameter für automatisierte Installation 446, 451 syspart-Option 459– 461 Verwenden 450 WINS (Windows Internet Name Service) 177, 323, 740 WMI (Windows Management Instrumentation) Anwendungsskripting-Unterstützung 59 SMS-Inventar 147, 807 WSH (Windows Scripting Host) 22
X xDSL 203
Z ZAP-Dateisetup 821 Zeiteinstellung, Kerberos-Authentifizierung 358 Zertifikat-Snap-In 406 Zertifiziert für Windows 2000 Anbietertests 725 Kompatibilitätsfragen 519 Verzeichnis kompatibler Anwendungen 725 Website 11
Stichwortverzeichnis Zertifizierte Anwendungen Authenticode-Zertifikate 389 – 390 Kryptographie mit öffentlichen Schlüsseln Siehe Infrastruktur für öffentliche Schlüssel Microsoft-Standards zur Sicherheitszertifizierung 388 Signieren von Software 389– 390 Zertifizierungsprogramm für das Windows 2000-Logo Anforderungen für Eingabehilfen 982 Website 11 Zertifizierungsstellen Siehe Infrastruktur für öffentliche Schlüssel Zertifizierungsstellen-Snap-In Festlegen von Zertifikatstypen 426 Importieren von Zertifikatsanforderungen 425 Konfigurieren von Sperrlisten 427 Verwalten lokaler Zertifizierungsstellen 405 Zugriffskontrolle Prozess 362– 363 Windows 2000-Sicherheitsmodell 350 Zugriffskontrolleinträge (ACEs) Komponenten 311 Zugriffskontrolllisten (ACLs) anzeigen 364 Ausmaß der Zugriffskontrolle 363 Einrichten von Ressourcenberechtigungen 363 Erlauben von Zugriff auf Ressourcen 363 implementieren 363– 364 Komponenten 311 Prozess der Zugriffskontrolle 362– 363 Sicherheitsgruppe Jeder 363 Standard-Ressourcenberechtigungen 363 verschobene Sicherheitsprincipals Computerkonten 336– 337 geänderte SIDs 331 –332 Hinzufügen neuer SIDs zu ACLs 332 Mitgliedsserver 337 Windows 2000-Sicherheitsmodell 350, 353 zugehörige Objekte 363 Zugriffssteuerungseinträge (ACEs) Vererbung 271, 277 verschobene Objekte 277 Zugriffssteuerungslisten (ACLs) Delegieren von Administrationsaufgaben 270 –271 Zugriff auf Zertifikatsvorlagen 426– 427 Zugrifftokens 311, 315 Zulassung Definition 353 IPSec (Internet Protocol security) 377 Smartcards 359
1091
