This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Vorwort Der neue Name für Windows XP – eXPerience – steht für Erfahrung. Die zügige Bereitstellung eines professionellen Buches zu XP ist vor allem das Ergebnis unserer Erfahrung mit der Herstellung von Fachbüchern für gehobene Ansprüche von Technikern und Administratoren. All dies hinterlässt sicher einen nüchternen Eindruck, es ist eben ein Geschäft, eine Aufgabe, nichts besonderes eben. Da erscheint ein neues Betriebsystem und das passende Buch lässt nicht lange auf sich warten. Zu der Erfahrung kam bei der Arbeit – zuerst mit der Beta und schließlich mit der FinalVersion – ein neues Wort hinzu – Enthusiasmus. Die Arbeit mit XP macht Spaß – eine bislang kaum verwendete Eigenschaft für ein Betriebssystem. Allenfalls die Jünger der Open Source-Welt vermittelten bislang dieses Gefühl, wenn sie mit ihren Produkten spielten. Da hat XP nun doch etwas mehr zu bieten, als zu erwarten war. Neben der gelungenen Oberfläche und den vielen Assistenten ist der Umgang mit dem System angenehm flüssig und ausgesprochen stabil. Verzichten muss der von Windows 2000 schon etwas verwöhnte Anwender bei XP Professional auf nichts. Die Oberfläche erscheint auf den ersten Blick mit der blauen Taskleiste und den runden Schaltflächen etwas verpielt, gibt sich aber durch die Wahl der Farben erstaunlich funktional. Ebenso wichtig wie der aufgeräumte Desktop ist die Hardwareerkennung. Fast alle Geräte, die irgendwo an den Computer zu stecken sind, werden automatisch erkannt und stehen ohne zusätzliche Software bereit. Eigentlich könnte man sich nun zufrieden zurücklehnen und Windows XP einfach verwenden. Schließlich ist es nur eine Basis, um irgendwelche kreativen Dinge zu tun. Aber da fehlt noch etwas. Neu ist auch die Produktaktivierung, die den Start nur während der ersten 30 Tage zulässt. Danach muss Windows XP aktiviert werden. Die Diskussion darum und die Tatsache, dass man Software aktivieren muss, ist indes schon verwunderlich. Microsoft ist sicher in dieser Hinsicht nicht zurückhaltend, was pauschale Vorwürfe an Raubkopierer betrifft. Aber ein ehrlicher Blick in die computerbegeisterte Verwandschaft offenbahrt doch die Motivation: Kaum ein PC, auf dem nicht das eine oder andere Programm läuft, dass nicht von einer Original-CD stammt. Nur zu Testzwecken? Kein Problem, Die Aktivierung ist ja nicht gleich erforderlich. In der Praxis – das heißt bei der Arbeit zu diesem Buch – wurde XP viele Male neu installiert, auf verschiedener Hardware, mit Änderungen der Peripherie und mit verschiedenen Versionen. Die Aktivierung war dabei nie ein technisches Problem, bestenfalls ein Psychologisches. Aber wie man es auch immer dreht, wer einfach im Geschäft ein XP kauft, installiert und damit glücklich werden will, der kann damit kein Problem haben. Wer die CD vom Kumpel kopiert und nicht erneut aktivieren kann, der sollte damit ein Problem haben. Insofern rückt Microsoft nur in die lan-
6 _________________________________________________ Vorwort zur ersten Auflage ge Liste der Hersteller auf, die mit Aktivierung, Hardwareschutz und Codes von der Website arbeiten. Auch eine Erfahrung, die man erst machen muss. Ein anderer Aspekt bei einem Betriebssystem sind die Produktzyklen. Hier wird deutlich, dass viele Administratoren zwischen technischem Interesse, Anforderungen der Anwender und Budgets der Firma hin- und hergerissen sind. Die Einführung wird also nur langsam vorangehen. Das ist auch kein Problem, denn Windows 2000 ist und bleibt ein hervorragendes, stabiles und in der Praxis mit XP optimal interagierendes System. Neuanschaffungen mit XP fügen sich ebenso locker in die bestehende IT-Landschaft ein. Hier sollte man weniger Hemmungen haben und ruhig die ersten Systeme damit ausstatten, auch wenn .Net-Server in weiter Ferne sind und an der einen oder anderen Stelle noch Windows 98 werkelt. Bleibt am Ende also eine kurze Zusammenfassung des Eindrucks: Technisch solide, klare Mehrwerte für den Nutzer, sicher auch eine weitere Stabilisierung der Führungsrolle von Microsoft im Betriebssystemmarkt. Letzteres nicht wegen der monopolartigen Position, sondern wegen des technischen Unterbaus und der Präsentation der Benutzerschnittstelle. Diese Symbiose fehlt den Wettbewerbern nämlich völlig; und ohne das Mitziehen der Anwender bleibt auch der engagierteste Sysadmin auf der Strecke. XP hat das Zeug, Benutzers Liebling zu werden und damit die Arbeit der IT-Abteilung zu erleichtern. Vielleicht ist das der größte Fortschritt gegenüber den Vorgängern. Falls Sie außer der Mithilfe begeisterter Anwender noch ein paar Funktionen genauer kennenlernen wollen, studieren Sie dieses Buch. Wir hoffen, dass unsere »eXPerience« dazu beigetragen hat, dass Sie die Struktur und Systematik verwendbar und schnell die gesuchten Informationen finden und dass ein wenig von unserer Begeisterung spürbar wird.
2 Die Windows-Betriebssysteme ........................................................................ 37 2.1 2.1.1
Überblick über die Funktionen..................................................................................39 Active Directory .............................................................................................................. 39
2.1.2
Neue Sicherheitsmechanismen...................................................................................... 40
Das Volume Management ......................................................................................... 83
3.1.1
Aufbau des Volume Managements............................................................................... 83
3.1.2
Übersicht über die Datenträger-Funktionen................................................................ 86
3.2 3.2.1
Basisfestplatten und Partitionen ............................................................................... 88 Partitionen und Partitionstypen .................................................................................... 88
3.2.2
Aufbau einer Basisfestplatte im Detail ......................................................................... 89
3.2.3
MBR und Partitionstabelle im Detail ............................................................................ 91
3.2.4
Erweiterte Partitionstabelle und logische Laufwerke ................................................ 94
3.2.5
Die Datei BOOT.INI ........................................................................................................... 95
3.3 3.3.1
Dynamische Festplatten........................................................................................... 100 Erstellung und Aufbau dynamischer Festplatten ..................................................... 101
3.3.2
Einschränkungen für dynamische Festplatten .......................................................... 106
3.3.3
Einfache Datenträger und ihre Erweiterung ............................................................. 109
Datenträger formatieren ...........................................................................................515 Übersicht über die Format-Werkzeuge ...................................................................... 515
9.5.2
Formatieren mit grafischem Dienstprogramm.......................................................... 516
9.5.3
Das Kommandozeilen-Programm FORMAT.COM ....................................................... 521
9.6
Umwandeln von FAT/FAT32 in NTFS..................................................................522
9.6.1
Generelle Hinweise zur Konvertierung ..................................................................... 522
9.6.2
Das Tool CONVERT.EXE .................................................................................................. 523
Konfiguration mit festen IP-Adressen........................................................................ 625
10.2.3
Konfiguration mit dynamischen IP-Adressen........................................................... 626
10.3
Kommandozeilen-Tools für TCP/IP ......................................................................631
10.3.1
Übersicht über die erläuterten Befehle ....................................................................... 631
10.3.2
Die Netzwerkbefehle im Detail ................................................................................... 632
10.4 10.4.1
10.5
WAN-Verbindungen.................................................................................................644 Konfiguration von WAN-Verbindungen................................................................... 644
Features des Windows Media Players...................................................................... 1072
19.4
Spiele und Spielesteuerungen ............................................................................... 1074
Inhaltsverzeichnis _________________________________________________________ 23 20 XP im mobilen Einsatz................................................................................... 1075 20.1
Offline-Ordner und der Synchronisationsmanager................................................ 1080
20.2.2
Der Aktenkoffer........................................................................................................... 1095
20.3 20.3.1
20.4
Energiemanagement für mobile Geräte ...............................................................1100 Verbessertes Energiemanagement ............................................................................ 1100
B Abkürzungsverzeichnis................................................................................. 1131 C Index .................................................................................................................. 1139 C.1
Erläuterungen zum Index......................................................................... 1139
1 1 Einführung Es gibt viele Bücher über Windows. Mit Windows XP werden es wieder mehr und die Auswahl für den Leser noch schwieriger. Ebenso unterschiedlich wie diese Bücher in Aufmachung, Inhalt und Stil erscheinen, unterscheiden sich auch die Ansprüche der Leser. Wir geben deshalb in diesem Kapitel eine möglichst präzise Definition der Zielgruppe und der Überlegungen, die hinter dem Buch standen.
Über das Buch ....................................................................................... 29 Danksagung........................................................................................... 35
1.1 Über das Buch ________________________________________________________ 29
1.1 Über das Buch Dieses Buch ist der Nachfolger unseres erfolgreichen Werks Windows 2000 im professionellen Einsatz. Der Erfolg dieses Buches und der anderen Bände der Buchreihe zu Windows 2000 hat uns motiviert, den Reihengedanken auch für Windows XP fortzusetzen. Damit steht eine in sich stimmige und in Stil und Ausstattung einheitliche Bibliothek zu Windows zur Verfügung, die laufend aktualisiert wird. Dabei haben wir intern den Bänden eine Nummer vergeben. Diese erscheinen zwar nicht auf dem Cover, erleichtern aber die Zuordnung innerhalb der Reihe. Das ist insofern von Bedeutung, als das Windows 2000 mit dem Erscheinen von XP und den .Net-Servern nicht völlig verschwinden wird. Viele Administratoren sind gerade mit der Ablösung von NT 4.0 beschäftigt und werden nicht gleich umsteigen wollen oder können. Deshalb werden auch die Bücher zu Windows 2000 weiter gepflegt und überarbeitet.
1.1.1
Die Buchreihe zu Windows
Dieser Abschnitt zeigt alle aktuellen und in Kürze erscheinenden Bücher der Windows-Reihe bei Carl Hanser. Damit wird der Anspruch verwirklicht, die vollständigste, umfassendste und professionellste Reihe zu Windows-Betriebssystemen im deutschsprachigen Markt zu bieten.
Windows 2000 – drei Bücher kompaktes Profiwissen Die drei Bücher widmen sich bestimmten Einsatzgebieten von Win- Drei Bücher zu Windows 2000 dows 2000: • »Windows 2000 im professionellen Einsatz« behandelt Windows 2000 Professional – alleinstehend und im kleinen Netzwerk • »Windows 2000 im Netzwerk. Konfiguration, Administration und Integration in Unternehmensnetze« widmet sich dem Einsatz von Windows 2000 Server in typischen Umgebungen. • »Internet Information Server 5. Windows Advanced Server als Internet Plattform« behandelt die Internetdienste mit Schwerpunkt auf dem Internet Information Server 5.
30 ______________________________________________________________1 Einführung Windows XP – 2 Bücher für anspruchsvolle User und Admins Die beiden Bücher für Windows XP setzen praktisch die Tradition von Windows 2000 im professionellen Einsatz fort. Durch die Aufteilung der Produktreihe bei Microsoft ist es notwendig geworden, beide Systeme getrennt zu behandeln. Bislang lag der Fokus der Reihe auf der Vermittlung von Inhalten für professionelle Anwender, die bereits über einige Erfahrung verfügten. Mit Windows XP Home steht nun erstmals ein professionelles Betriebsystem auch für den Heimanwender zur Verfügung. Es ist anzunehmen, dass viele Unternehmen XP Home als preiswertes und stabiles Clientsystem verwenden. Es ist auch anzunehmen, dass viele erfahrene Computerfreaks, die sich die frustrierende Desktopentwicklung von Linux nicht länger antun möchten, mit XP Home auseinandersetzen. Grund genug, auch dieses System auf hohem Niveau zu behandeln. Daraus entstanden folgende Bände, von denen der erste vor Ihnen liegt: Zwei Bücher zu Windows XP
• »Windows XP Professional. Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk«. • »Windows XP Home. Internet, Multimedia und Netzwerk für professionelle Anwender«. Damit werden gezielt »Power-User« adressiert.
Windows .Net-Server – die Fortsetzung der Profireihe 2002 werden die .Net-Server – Nachfolger der Windows 2000 Server erscheinen. Pünktlich zum Start werden dazu auch die passenden Nachfolgewerke erhältlich sein: Zwei Bücher zu Windows .Net
• »Windows .Net-Server. Konfiguration, Administration und Intergration in Unternehmensnetze«. Schwerpunkte dieser Ausgabe werden der Einsatz von Active Directory und Sicherheitsfragen sein. • »Internet Information Server 6« setzt die umfassende Behandlung des Einsatzes als Webserver fort. Hier gibt es mit .Net wesentliche Neuerungen, die detailliert behandelt werden. Beide Bücher erscheinen unmittelbar nach der Veröffentlichung der .Net-Server, selbstverständlich basierend auf der deutschen FinalVersion – voraussichtlich Sommer 2002.
1.1.2 Zum Vorgängerbuch von NT 4
Die Herausforderung
Die Buchreihe entstand auch unter der Maßgabe, ein ebenbürtiger Nachfolger für die erfolgreiche zweibändige Ausgabe »Windows NT 4.0 im professionellen Einsatz« zu sein. Die Autoren hatten damals
1.1 Über das Buch ________________________________________________________ 31 versucht, auch hinter die Kulissen der Oberfläche zu schauen und die vielen komplexen Vorgänge von Windows NT 4 transparent werden zu lassen. Mangels technischer Referenz ist dabei vieles im »Selbstversuch« und mit hohem persönlichen Aufwand getestet und beschrieben worden. Eine solche persönliche Erfahrung trägt wesentlich zum Erfolg eines Fachbuches bei, denn der künftige Anwender der Software wird zwangsläufig in ähnliche Fallen stolpern und dankbar die Informationen aus dem Buch aufnehmen. Da die Autoren des Vorgängerwerkes aus beruflichen Gründen nicht Der Auftrag länger zur Verfügung standen, haben wir den Auftrag mit Freude übernommen – wohl wissend, welche enorme Aufgabe vor uns lag. Zwar stand inzwischen zu Windows 2000 die technische Referenz zur Verfügung, die viele tiefergehende Fragen beantwortet, aber auch dies ist eben ein Handbuch – und kein Fachbuch. Mit dieser Herausforderung entstand der erste Band zu Windows 2000 Professional. Aus den zahlreichen Reaktionen der Leser und der hinzugewonnenen Erfahrung bei der praktischen Arbeit wurde nun das Buch zu Windows XP Professional entwickelt – inzwischen nicht nur mit der Maßgabe, einen ebenbürtigen Nachfolger einer älteren Reihe zu liefern – sondern eines der besten Bücher für Administratoren und professionelle Anwender auf dem deutschsprachigen Buchmarkt.
1.1.3
Der Anspruch: Eines der besten Bücher am Markt zu liefern.
Die Konzeption
Wir haben uns deshalb das neuartige Konzept für dieses Buch weiter- Ein neues Konzept entwickelt. Zum einen sind theoretische Grundlagen enthalten. Ad- nun noch besser ministratoren und Anwendern fällt der Umgang mit dem Gesamtsystem erfahrungsgemäß deutlich leichter, wenn die Hintergründe und Motivationen erkennbar werden, die hinter den Funktionen stecken. Wir haben auch versucht, dies kritisch zu sehen und nicht nur die Argumentation von Microsoft zu übernehmen. Offensichtlich sind einige »Erfindungen« nicht nur technisch motiviert. Andere sehr spannende Entwicklungen sind nur wenig bekannt und werden entsprechend auch nur selten verwendet – mit der bekannten Flut von alten und neuen Funktionen war das Marketing von Microsoft sichtlich überfordert. Die theoretischen Ausführungen sind dennoch nicht bis zum Exzess Theorie muss getrieben worden. Sie sind allgemeinverständlich und soweit verein- sein... facht dargestellt, dass die grundlegende Überlegung, die dahinter steckt, sichtbar wird. Darin unterscheidet sich die Darstellung wesentlich von der technischer Handbücher und geht zugleich weit über die bekannten »Oberflächenbeschreibungen« hinaus. Wir hoffen, dass technisch interessierte Leser dies durchaus auch als spannend empfinden.
32 ______________________________________________________________1 Einführung ...wenn sie von praktischen Ausführungen ergänzt wird
Einen mindestens äquivalenten Anteil nehmen die technische Handlungsanleitungen ein. Hier geht es um die konkrete Lösung von Aufgaben. Je nach Grad der Komplexität erfolgt die Darstellung in längeren, streng gegliederten Abschnitten oder in einfachen nummerierten Schrittfolgen. Dabei wurde auch nicht mit Bildmaterial gespart – auch Fachbücher werden nicht immer direkt vor dem Bildschirm gelesen. Das Lesen sollte natürlich auch nicht zu kurz kommen. Das Thema ist sicher ernst, aber dennoch (hoffentlich) so dargestellt, dass ein flüssiges Lesen möglich ist. Sie können dann auch abschnittsweise lesen oder sich gezielt einzelne Kapitel herausziehen. Damit das funktioniert, wurden intensiv Querverweise gesetzt.
Für Experten: Hohes Niveau
Erwähnenswert ist auch, dass die Form der Darstellungen stark strukturiert ist. So beginnen wir nach einer kompakten Einführung im ersten Teil mit den theoretischen Grundlagen (Teil II). In Teil III folgt die Administration, sehr viel praktischer und anschaulicher dargestellt – auch ein Zugriff auf die Registrierung wird dabei nicht ausgelassen. Teil IV zeigt schließlich den praktischen Umgang mit dem laufenden System. Hier wird vor allem Ordnung in die Funktionsvielfalt gebracht. Anfänger sollten sich Windows XP Professional genau in dieser Reihenfolge nähern. Sie werden »mehr herausholen«, wenn Sie zuvor die administrativen Hausaufgaben gemacht haben.
Auf das Wesentliche kommt es an
Windows XP Professional hat ein breites Einsatzspektrum. Wir konzentrieren uns auf die häufigsten Einsatzfälle und typische Probleme. Sie erhalten vor allem für die alltägliche Arbeit weitreichende Unterstützung.
In deutscher Sprache
Zur Konzeption gehört nicht zuletzt auch eine klare Ausrichtung auf die deutsche Sprache, die neue Rechtsschreibung in der verlagsüblichen Form und die Vermeidung englischer Worte, wo es sinnvoll und möglich ist. Manches Wort hat sich inzwischen aber unseres Erachtens fest etabliert und sollte nicht krampfhaft übersetzt werden. Diese Inkonsequenz ist also gewollt und soll auch nicht diskutiert werden. Wenn es dagegen um die Bezeichnung von Dialogfeldern, Schaltflächen und Systemnamen ging, war unser Leitfaden ganz klar die offizielle Notation von Microsoft. Auch wenn die eine oder andere Übersetzung eher unglücklich erscheint, diese Vorgehensweise erleichtert Ihnen das Auffinden weiterer Informationen in der Dokumentation.
Website zum Buch Eine Site zum Buch bieten wir Ihnen unter der folgenden Adresse an: http://www.winxp.comzept.de
Sie können auf dieser Seite Zusatzinformationen, exklusive Beiträge für registrierte Leser, Foren und Kontaktmöglichkeiten zu den Autoren finden.
1.1 Über das Buch ________________________________________________________ 33 Im Unterschied zu anderen Büchern werden wir auf unseren Seiten Mehr im Web! administrative Themen gezielt ergänzen und professionell aufbereitetes, druckfähiges Material anbieten, das im Buch keinen Platz mehr fand.
1.1.4
Zielgruppe
Es wurde bereits kurz erwähnt, dass dieses Buch im Bücherregal des Wer es lesen sollte Administrators gut aufgehoben ist. Es wendet sich aber an ein größeres Publikum, abhängig von der Motivation: • Administratoren, die mehr über die Hintergründe der Technologie von Windows XP Professional erfahren möchten um schneller und sicherer installieren und administrieren zu können • Techniker, die Windows XP Professional-Computer installieren und nicht nur als Diskjockey arbeiten möchten • IT-Leiter, die den Einsatz von Windows XP Professional planen und sich über mögliche technische Probleme und auch die Vorteile anhand praktischer Darstellungen informieren möchten • Anwender, die einen technische Hintergrund haben und einfach aus »ihrem« Windows XP Professional mehr herausholen möchten Es wird also ein breit gefächertes Publikum angesprochen. Sicher führt das bei dem einen oder anderen Leser dazu, dass er Teile für nicht relevant ansieht oder vom Niveau über- oder unterfordert ist. Vielleicht entschädigt ihn dafür der Umfang. Man mag über dicke Bücher geteilter Meinung sein – für die tägliche Arbeit ist fehlende Information allemal lästiger als eine gewisse Breite der Darstellung.
1.1.5
Struktur und Aufbau des Buches
Das Buch ist in fünf Teile gegliedert: • Teil I – Einführung Hier werden überblicksartig die einzelnen Produkte der Windows 2000 und XP-Familie dargestellt. • Teil II – Grundlagen Theoretische Grundlagen der wichtigsten Windows-Funktionen werden erläutert, ebenso die Hintergründe der meisten verwendeten Standards. • Teil III – Installation und Administration
34 ______________________________________________________________1 Einführung In diesem Teil geht es um Vorbereitung und Ausführung der Installation und Administration aller Windows XP-Funktionen. Besonders umfangreich werden die Massenspeicher- und Netzwerkfunktionen behandelt. • Teil IV – Praktische Anwendung Hier geht es um die praktische Nutzung, die Modifikation der Oberfläche und die Nutzung der vielen kleinen Hilfsprogramme in Windows XP. Es kommen auch erfahrene Anwender auf ihre Kosten, die sich von der üblichen Windows »Was ist eine Maus«Literatur unterfordert fühlen. • Teil V – Anhänge Im letzten Teil finden Sie die üblichen Anhänge, Befehlsbeschreibungen der Kommandozeilenbefehle und weitere Navigationshilfen wie Glossar und Index.
1.1.6
Verwendete Symbole und Schreibweisen
Hinweise kennzeichnen Stellen, die den betrachteten Kontext etwas verlassen oder besonders wichtig sind. Diese Absätze sind zusätzlich grau hinterlegt.
Tipps vermitteln Ihnen die eine oder andere Information für eine bessere oder schnellere praktische Handhabung einer bestimmten Administrationsaufgabe.
Schreibweise Hinweise zum Satz
Im Buch werden folgende Schreibweisen verwendet, um Befehle und Anweisungen, Bezeichnungen von Dialogen und selbst gewählte Ersatznamen unterscheiden zu können.
Dialogfelder und Schaltflächen
Dialogfelder und Schaltflächen werden, wie bei HINZUFÜGEN, in Kapitälchen gesetzt.
Befehle und Befehlszeilen
Befehle, wie net use, werden in nicht proportionaler Schrift gesetzt. Befehlszeilen, die eingegeben werden können, stehen allein auf einer Zeile und sind grau hinterlegt: c:>ftp
Ebenso werden auch Ausschnitte aus Konfigurationsdateien und Listings dargestellt.
1.2 Danksagung __________________________________________________________ 35 Selbstgewählte Namen, wie winxp, werden kursiv gesetzt. In den Selbstgewählte meisten Fällen sind es nur Beispiele, die sie zwar übernehmen, aber Namen auch eigene Namen einsetzen können.
1.1.7
Entstehung des Buches
Den einen oder anderen Leser mag es interessieren, wie dieses Buch entstanden ist. Es ist zugegeben schon faszinierend festzustellen, dass große Bücher über bekannte Textverarbeitungsprogramme unter Windows auf Macintosh-Computern gesetzt werden. Auf der anderen Seite schreiben viele Autoren ihre Linux-Bücher auf Windows. In der Praxis hat es sich als hilfreich erwiesen auf dem Computer zu schreiben, der auch als Informationsquelle und Testumgebung dient. Deshalb entstand dieses Buch auf Windows XP Professional, teilweise sogar auf der Beta-Version. Als Schreib- und Satzprogramm kam Microsoft Word 2000 zum Einsatz. Lediglich das Aufbereiten der Druckdaten übernahm der Adobe Destiller – die Druckerei wurde direkt mit PDF-Dateien beliefert. Gegenüber vielen anderen Varianten erwies sich dies als relativ produktiv – auch im Hinblick auf die Zusammenarbeit der Autoren auf dem Weg zum gemeinsamen Dokument. Auch mit guter Kenntnis anderer Programme, egal ob von Adobe oder Corel, oder anderer Betriebssystem wie Linux oder Solaris, kann diese Plattform als praxistauglich empfohlen werden.
1.2 Danksagung Unser Dank gilt in erster Linie den Mitarbeitern des Carl Hanser Verlages, die das zügige Erscheinen dieses Buch kurz nach der Vorstellung von Windows XP ermöglichten, nicht zuletzt durch ein hohes Maß an Vertrauen, das die weitgehend selbstständige Umsetzung erlaubte. Danken möchten wir auch unseren Familien für die Geduld und Unterstützung während der Arbeit am Buch. Auch wenn wir als Profiautoren arbeiten und Bücher keine einmalige Aktion darstellen, ist dies nicht unbedingt selbstverständlich. Last but not least wie immer an dieser Stelle einen herzlichen Dank für die schnelle und präzise Arbeit an unseren Editor Hans-Gerd Werlich aus Berlin.
2 2 Die Windows-Betriebssysteme Windows ist inzwischen kein einzelnes System, sondern eine ganze Produktfamilie. Windows XP gehört dabei zu Reihe mit dem Codekern »NT – New Technology«. Was Windows XP Neues zu bieten hat und wie es sich in die Windows-Familie einordnet, finden Sie in diesem Kapitel.
38 ____________________________________________ 2 Die Windows-Betriebssysteme
Überblick über die Funktionen........................................................... 39 Die Neuerungen der Benutzeroberfläche.......................................... 50 Windows XP und das Internet............................................................ 54 Vereinfachungen für die Administration.......................................... 57 Die Windows-Produktpalette ............................................................. 64 Zur Geschichte von Windows XP ...................................................... 72
2.1 Überblick über die Funktionen ___________________________________________ 39
2.1 Überblick über die Funktionen Windows XP Professional tritt die Nachfolge des erfolgreichen Windows 2000 Professional an. Dieses hat sich als stabiles Betriebssystem für Workstations und Server etabliert. Diese grundsätzlich positive Sicht können Anwender von Windows 98 oder Me nicht unbedingt nachvollziehen. Mit der Aufgabe der alten Produktlinie werden nun auch semiprofessionelle und Heimanwender in den Genuss eines stabilen Betriebssystems kommen. Zugleich sind die Ansprüche an den täglichen Arbeitsort gestiegen – Multimedia hat in Form von MP3 und Videoverarbeitung einen festen Stellenwert und die Verzahnung von Internet und Desktop schafft neue Produktivitätsschübe. Zugleich steigen damit die Ansprüche an Hardwareunterstützung und Systemsicherheit. In beiden Bereichen liegen die eigentlichen Neuerungen von Windows XP, auch wenn die neue Oberfläche augenfälliger ist.
Windows XP und Windows 2000 Mit der Integration von XP in ein Windows 2000-Netzwerk entsteht eine neue, leistungsfähige Kombination. Wenn Sie bisher noch mit NT- oder Novell-Servern operiert haben, zeigen Ihnen die folgenden Abschnitt die Neuheiten. Der Weg zu Windows XP mit Hilfe des Upgradepfades geht entweder über NT 4.0, Windows 98/Me oder Windows 2000. Entsprechend sind viele Funktionen in Windows XP zwar schon mit Windows 2000 eingeführt worden, dennoch nicht jedem Anwender und Admin geläufig. Dieser Abschnitt zeigt einen Überblick der wichtigsten Neuerungen seite Windows 98.
2.1.1
Active Directory
Zentraler Bestandteil der Netzwerkunterstützung von Windows 2000 Server ist das Active Directory. Das alte Domänen-Konzept von Windows NT wird nur Gründen der Kompatibilität in einem bestimmten Umfang weiterhin unterstützt. Windows XP Professional liefert einen ausgereiften Client für Active Directory. Mit einem Verzeichnisdienst kann die logische Organisationsstruktur Abbildung der eines Unternehmens oder einer Einrichtung abgebildet werden. Die OrganisationsObjekte dieser Struktur, das können Benutzer genauso wie Hardware- struktur oder Softwareressourcen sein, werden dabei hierarchisch in einer Baumstruktur organisiert. Benutzer können zu Gruppen zusammengefasst werden, die wiederum bestimmten Abteilungen angegliedert
40 ____________________________________________ 2 Die Windows-Betriebssysteme werden. Zu jedem der Objekte sind wiederum Attribute deklarierbar, die dieses näher beschreiben. Ein Benutzer hat dabei neben einem eindeutigen Namen im Verzeichnis noch Attribute. Diese beschreiben seine Rechte und Funktionen, sowie die Kommunikationsmöglichkeiten zu ihm (Telefon, FAX, E-Mail oder vielleicht auch Wege zum direkten Datentransfer). Einem Druckerobjekt dagegen können andere Attribute zugeordnet werden. Leistungsfähige Verzeichnissysteme müssen, um die vorgegebene logische Organisationsstruktur abbilden zu können, sehr flexibel sein und im Bedarfsfall mit bis zu mehreren Millionen Einträgen umgehen können. Abbildung größerer Zur Abbildung einer größeren Struktur können mehrere Server für die Strukturen Verwaltung des Verzeichnisses eingesetzt werden. Mit dem Active
Directory gibt es aber keinen primären Domänencontroller mehr wie noch unter Windows NT, sondern alle Domänencontroller sind prinzipiell gleichberechtigt. Die Replikationsmechanismen des Active Directory sorgen dabei dafür, dass die Informationen auf allen Servern identisch sind. Für die Administration von Objekten kann dann jeder Domänencontroller benutzt werden statt wie bisher nur der primäre Domänencontroller unter NT, von dem dann wiederum die Daten auf die Sicherungs-Domänencontroller repliziert wurden. Flexiblere Administration
Die Administration des Active Directory kann jetzt sehr viel flexibler organisiert werden, als das mit dem alten Domänenkonzept möglich war. Nun können Administratoren auch Teilbereiche des Active Directory zur Verwaltung zugewiesen werden (und nicht gleich die ganze Domäne) bzw. können sie für den Vertretungsfall ganz bestimmte Rechte weitergeben (vererben). Für den Einsatz von Windows XP Professional ist das Active Directory aus clientseitiger Sicht wichtig. Das Active Directory selbst kann nur durch einen Windows 2000 Server bereitgestellt werden. Für mehr Informationen zum Aufbau und Verwaltung des Active Directory verweisen wir auf das Buch Windows 2000 im Netzwerkeinsatz unserer Windows 2000–Reihe.
2.1.2
Neue Sicherheitsmechanismen
Die Umsetzung eines umfassenden Verzeichnisdienstes erfordert natürlich auch eine hohe erreichbare Sicherheit. Das beginnt mit der sicheren Authentifizierung des Benutzers und endet mit einer »abhörsicheren« Übertragung der Daten im Netzwerk (denken Sie dabei nur mal an die mögliche »Abhörung« von Datenflüssen über ein Übertragungsmedium wie Kabel, Lichtwellenleiter oder Funkwellen – das Auslesen von Bildschirminhalten oder Tastaturanschlägen ist ein anderes Thema).
2.1 Überblick über die Funktionen ___________________________________________ 41 Dazu kommen die sichere Authentifizierung von Sendungen (E-Mails oder andere Dokumente) und natürlich auch der Schutz von Daten auf der Festplatte. Mit Windows XP Professional wartet das Betriebssystem mit zahlrei- Neue Sicherheitsfunktionen chen neuen Sicherheits-Funktionen auf. Zu den wichtigsten zählen: • die Verschlüsselung von Dateien und Ordnern auch für mehrere Benutzer • Analysefunktionen für Angriffe, Firewallfunktionen • automatische Konfiguration sicherheitsrelevanter Einstellungen Die Sicherheit der eigenen IT-Ressourcen ist besonders im Intranet Angriffsszenarien und bei über das Internet kommunizierenden Unternehmen von großer Bedeutung. Der bloße Einsatz von Firewalls reicht hierzu bei weitem nicht aus: Es ist wichtig, Maßnahmen zu ergreifen, um zum Beispiel die auf Datenspeichern abgelegten Dateien vor Unbefugten zu schützen. Das gilt auch für die vielen mit Notebooks ausgestatteten Mitarbeiter, die oft sensible Daten mit sich führen. Anwendern, denen ihr Notebook einmal während einer Geschäftsreise oder mitsamt dem in der Tiefgarage abgestellten Auto gestohlen worden ist, wird meist erst zu spät bewusst, welche Informationen dem Dieb in die Hände gefallen sind. Ähnlich verhält es sich bei Unternehmen, die von einem ungebetenen Gast heimgesucht wurden, der bei seinem Einbruch aus dem Büro nicht nur Wertsachen, sondern auch gleich die dortigen Computer oder gar einen Server mitgenommen hat. Die Verwendung eines schützenden BIOS-Kennworts, das beim Einschalten einzugeben ist, bietet höchstens Prävention bei einem kurzfristig unbeaufsichtigten Computer, nicht aber beim Diebstahl: Es ist ein Leichtes, die Festplatte aus dem gestohlenen Gerät aus- und in einen anderen Rechner einzubauen, um die Daten dort in Ruhe auszulesen. Die einzig wirksame Maßnahme gegen die unrechtmäßige Weiterverwertung der auf einem Speichermedium wie einer Festplatte oder einer Wechselplatte enthaltenen Daten, stellt die Verschlüsselung einzelner Dateien oder ganzer Ordner dar.
Sichere Authentifizierung – Kerberos Die sichere Authentifizierung des Benutzers wird in Windows XP Professional durch die Unterstützung des Kerberos-Protokolls möglich. Kerberos ist als zentraler Sicherheitsstandard in Windows 2000/XP und das Active Directory implementiert. Bei der Anmeldung eines Benutzers wird zunächst nur dessen Benutzername an den Server gesendet. Das Passwort bleibt lokal gespeichert. Der Benutzername wird in einem speziellen Verfahren auf dem Server mit Hilfe des dort abgelegten Passworts verschlüsselt und wieder zurück gesendet.
42 ____________________________________________ 2 Die Windows-Betriebssysteme Vor Ort kann dann dieses Datenpaket (das sogenannte Ticket Granting Ticket – TGT) nur verwendet werden, wenn es durch das Passwort korrekt entschlüsselt wurde. Mit diesem gültigen Ticket können dann wiederum andere Dienste oder der Zugriff auf andere Ressourcen im Netzwerk angefordert werden. Durch Kerberos wird die Sicherheit bei der Authentifizierung erhöht und gleichzeitig effizienter gestaltet. Ein weiterer Vorteil ist die weite Verbreitung von Kerberos als Standard, beispielsweise in professionellen UNIX-Umgebungen. Mit Windows XP kann eine sichere Integration in heterogene Umgebungen erreicht werden.
Sicherer Datentransfer – IPSec Was nützt die sicherste Authentifizierung, wenn nachher die Datenströme im Netzwerk abgefangen und gelesen werden können? Insbesondere wenn sie über das Internet geschickt werden, sind diese Ströme anfällig für Abhörangriffe. Hier hilft nur eine wirksame Verschlüsselung der Daten. Mit IPSec (IP Security) ist in Windows XP eine Technologie implementiert, die dies leisten kann. Dabei werden die Daten auf IP-Ebene verschlüsselt, d.h. für die Applikationen bleibt dieser Vorgang transparent. Müssen bei der Verwendung anderer Standards, wie beispielsweise SSL, der Internet-Browser und der Webserver beide die Technologie verstehen, um eine sichere Verbindung aufbauen zu können, wird mit IPSec unabhängig von der konkreten Anwendung der Datenstrom zwischen den beiden Punkten vor unerlaubtem Mithören geschützt. Die Technologie IPSec erlaubt also den einfachen Aufbau sicherer Verbindungen auf Betriebssystemebene, ohne dass die Anwendungen dafür speziell ausgelegt sein müssen.
Virtuelle Private Netzwerke und L2TP VPN
Eine wichtige Rolle im Zusammenhang mit dem verschlüsselten Netzwerktransfer wird in Zukunft das neue Layer 2 Tunneling Protocol (L2TP) spielen. Das Tunneling von Datenpaketen über IP gewinnt immer mehr an Bedeutung für den Aufbau Virtueller Privater Netzwerke (VPN). Über VPNs wird das offene Internet für den Transport der Daten benutzt, das Netzwerk, daher »privat«, bleibt dabei eine in sich abgeschlossene Einheit. Für Benutzer ist dieser Vorgang transparent. Damit die Datenströme über das Medium Internet auch sicher transportiert werden, werden diese in einzelne Pakete verpackt, verschlüsselt und via TCP/IP-Protokoll »getunnelt« auf den Weg gebracht. Bisher wurde in der Microsoft-Welt das Point-to-Point Tunneling Protocol (PPTP) dazu benutzt; da aber die MS-Welt nicht die einzige ist
2.1 Überblick über die Funktionen ___________________________________________ 43 und die Standards manchmal auch außerhalb derselben existieren, unterstützt Microsoft mit Windows XP jetzt neben dem PPTP auch das Layer 2 Tunneling Protocol. Dieses Tunneling-Protokoll, das als ein Internet-Standard gilt, unterstützt von sich aus keine Verschlüsselung (anders als PPTP). Als Verschlüsselungstechnologie für L2TP kann IPSec zum Einsatz kommen. Der sichere Aufbau von Virtuellen Privaten Netzwerken über das Internet kann mit Windows XP Professional unter Nutzung von internationalen Standards realisiert werden und wird damit weiter zu einer produktiven Nutzung der Internet-Ressourcen für den kostengünstigen Ausbau von privaten Intranets führen.
Unterstützung von SmartCards Die zunehmende Bedeutung von Smartcards zur Absicherung der ITInfrastruktur wird in Windows XP mit der direkten Unterstützung dieser Technologie unter Nutzung von internationalen Sicherheitsstandards adressiert. Auf den kleinen scheckkartengroßen Kärtchen, die durch PIN gesichert sein können, lassen sich hervorragend komplexe Zugangsdaten bzw. Sicherheitszertifikate hinterlegen. Unter Windows XP kann die Unterstützung dieser Smartcards direkt im Betriebssystem integriert werden. Vorteil bei der Verwendung dieser Technologie ist die stark vereinfachte Authentifizierungsprozedur, besonders wenn im Active Directory die Anmeldung für verschiedenste Dienste so zusammengefasst werden kann.
Das verschlüsselnde Dateisystem (EFS) Beim Einsatz von Windows XP Professional ist auch die Sicherung der Sicherung der lokalen Daten auf der Festplatte (beispielsweise von Notebooks) wich- lokalen Daten tig. Wird das Notebook gestohlen, können die Daten, seien sie auch auf unter NTFS abgelegt, wieder ausgelesen werden. Das betrifft neben den Daten auf Notebooks oder von anderen ungewollt »mobil gemachten« Arbeitsplatzrechnern auch die Sicherung von Servern in kleineren Netzwerken. Oft wird zwar viel getan, um die Sicherheit bei der Authentifizierung oder auch beim Datentransfer zu gewährleisten – aber dann steht der Server in irgendeiner Ecke oder einem wenig gesicherten Raum und kann mitgenommen werden. Gegen diese einfache Art von Datenklau kann eine Verschlüsselungstechnologie in Windows XP Professional zum Einsatz kommen – das verschlüsselnde Dateisystem (Encrypting File Systems – EFS). Mit Hilfe des EFS können Daten auf der Festplatte wirksam gesichert werden. Neu in Windows XP gegenüber Windows 2000 ist die Unterstützung
44 ____________________________________________ 2 Die Windows-Betriebssysteme mehrere Benutzer auf einem Computer, die so gemeinsam Zugriff auf verschlüsselte Dateien haben können. Weitergehende Informationen finden Sie in Abschnitt 4.3.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 156.
2.1.3
Neues Datenträgermanagement
Für die Einbindung und Verwaltung von Festplatten und Wechselmedien besitzt seit Windows XP deutlich mehr Möglichkeiten als das alte NT oder Windows 9x/Me. Das betrifft zum einen den Aspekt der höheren Sicherheit (siehe EFS), zum anderen die gesteigerte Flexibilität beim Managen von Massenspeicher-Ressourcen. In diesem Abschnitt werden die neuen Features der Professional-Version von Windows XP Professional in Bezug auf das Datenträgermanagement vorgestellt. Die Möglichkeiten wurden dabei gegenüber Windows 2000 nochmals verfeinert.
Dynamische Datenträger Traditionell: Partitionen
Das Datenträgermanagement von Windows NT, wie auch Windows 9x/ME arbeitete mit einem partitionsorientierten Ansatz. Jede Festplatte, die im System genutzt werden soll, muss damit zunächst partitioniert werden. Dieser Partition wird dann für den Zugriff ein Laufwerksbuchstabe zugeordnet und muss mit einem Dateisystem formatiert werden. Diese logischen Laufwerke sind also immer direkt mit der physischen Aufteilung (Partitionierung) der Festplatten verbunden. Erweiterungen des Dateisystems bedingen einen relativ hohen administrativen Aufwand und die wenig flexible Einbindung über einen Laufwerksbuchstaben. Andere Betriebssysteme wie beispielsweise UNIX erlauben hier schon lange ein deutlich flexibleres Management der Datenträger.
Deutlich flexibler mit dynamischen Datenträgern
Mit Windows 2000 hat Microsoft das Datenträgermanagement überarbeitet und auf den aktuellen technischen Stand gebracht. Neben der Unterstützung der Partitionierung können Sie nun auch einen oder mehrere sogenannte dynamische Datenträger erstellen. Diese können dabei aus einer physikalischen Festplatte bestehen oder sich sogar über mehrere Laufwerke erstrecken. Das Dateisystem, mit dem dynamische Datenträger formatiert werden, kann sowohl FAT/FAT32 als auch NTFS sein. Dynamische Datenträger können Sie während des laufenden Betriebes konfigurieren und so beispielsweise erweitern, indem Sie einfach eine Festplatte hinzufügen und an einen dynamischen Datenträger anhängen. Für den Anwender geschieht dies völlig transparent – sein logisches Laufwerk ist danach einfach größer geworden. Windows XP
2.1 Überblick über die Funktionen ___________________________________________ 45 kümmert sich automatisch dann um die Aufteilung der Daten auf alle eingebundenen Festplatten. In Bezug auf die Sicherheit hat sich verbessert, dass anders als bei Höhere Datenpartitionierten Festplatten alle Laufwerksinformationen nicht in einer sicherheit Partitionstabelle, sondern in einem speziellen reservierten Bereich liegen und auch auf andere Datenträger repliziert werden können. Die Systemsicherheit können Sie damit auf ein höheres Niveau bringen als mit dem bisherigen Ansatz. Dynamische Datenträger werden nur von Windows 2000 und Windows XP Professional unterstützt. Ein Zugriff von Windows 9x/ME oder NT ist nicht möglich. Zusammenfassend lässt sich sagen, dass mit den dynamischen Datenträgern ein deutlich flexibleres Datenträgermanagement bei einer erhöhten Systemsicherheit möglich ist. Außerdem können Sie damit alle Konfigurationsaufgaben an Festplatten durchführen, ohne dass ein Neustart des Systems notwendig wird.
Bereitstellungspunkte für Datenträger Wenn Sie eine neue Festplatte in Ihr System einbinden, vergeben Sie Laufwerkbuchdieser für den Zugriff normalerweise, sei es für den Anwender oder staben Software-Applikationen, einen Laufwerkbuchstaben. Anders natürlich bei den dynamischen Datenträgern, die Sie transparent erweitern können (siehe vorigen Abschnitt). Mit dem Festplattenmanager unter NT konnten Sie zumindest diesen Laufwerkbuchstaben jederzeit verändern. Wirklich flexibel war diese Art der Einbindung von Festplatten in das Betriebssystem nicht. Mit Windows XP Professional können Sie nun über das neue Verwaltungstool DATENTRÄGERVERWALTUNG neben einem Laufwerkbuchstaben einen oder mehrere sogenannte Bereitstellungspunkte definieren. Ein Bereitstellungspunkt verhält sich dann wie ein ganz normales Verzeichnis im Dateisystem. Bereitstellungspunkte können nur im NTFS-Dateisystem angelegt Bereitstellungswerden, die Zieldatenträger derselben können aber auch mit FAT oder punkte in NTFSStruktur FAT32 formatiert sein. Über Bereitstellungspunkte können Sie das Dateisystem für den Anwender transparent erweitern. Dem Anwender erscheint es oft logischer, wenn er beispielsweise über ein neues Verzeichnis in seiner Verzeichnisstruktur D:\Daten verfügt, als wenn er sich einen neues Laufwerk K: merken muss, dass vielleicht wiederum eine eigene Verzeichnisstruktur mitbringt.
46 ____________________________________________ 2 Die Windows-Betriebssysteme Datenträgerkontingente (Disk Quotas) Wie Sie sicher selbst schon leidvoll erfahren haben, gibt es keine ausreichend großen Festplatten. Jedes mal, wenn eine neue, größere Platte ins System genommen wurde, dauerte es nicht lange, bis diese wieder voll ist. Dabei liegt das oft nicht allein an den immer voluminöseren Programmpaketen, sondern auch an der unstrukturierten Dateiablage vieler Anwender. Egal, wie viel Platz die Festplatte auch hat, sie wird gefüllt. So kann die Notwendigkeit bestehen, auch auf WindowsArbeitsplatzcomputern den Speicherplatz einzuschränken, vor allem, wenn dieser von verschiedenen Anwendern benutzt werden. Dazu bietet Windows XP Professional eine in das Betriebssystem integrierte Funktion Datenträger-Kontingente. Mit dieser aus anderen Betriebssystemen auch besser unter Disk Quotas bekannten Funktion können Sie als Administrator je Benutzer und Volume eine Speicherplatzbeschränkung einrichten. Mit den Datenträger-Kontingenten haben Sie ein leistungsfähiges Instrument in der Hand, auf professionell genutzten Windows XP Professional die Speicherplatznutzung gezielt beeinflussen zu können.
Immer noch dabei: FAT32 Auch Windows XP Professional unterstützt noch FAT32, was jedoch in Anbetracht der Vorteile von NTFS 5 weiter an Bedeutung verliert. Viele vor allem sicherheitsrelevante Funktionen sind nur dann einsetzbar, wenn NTFS Verwendung findet.
2.1.4
Unterstützung neuer Hardware-Technologien
Die neben dem Active Directory wichtigste Neuigkeit in Bezug auf Windows XP Professional ist wohl – im Vergleich zum relativ konservativ auftretenden NT – die Unterstützung für die noch mehr Hardware-Gimmicks unserer modernen Zeit. Die Schlagworte sind dabei USB, FireWire, ACPI, MP3 und so weiter. Welche dieser Technologien warum und wie für Windows XP Professional bedeutsam sind, soll dieser Abschnitt in einer ersten Übersicht aufzuklären helfen. Dabei wird zwischen der Professional- und den Server-Varianten unterschieden, was sehr wohl Sinn macht, da bei diesen beiden Systemwelten zum Teil ganz unterschiedliche Prioritäten in Bezug auf die einzusetzende Hardware gestellt werden. In diesem Abschnitt sind die wichtigsten neuen HardwareTechnologien aufgeführt, die Windows XP Professional noch besser unterstützt.
2.1 Überblick über die Funktionen ___________________________________________ 47 AGP Die für den Aufbau einer leistungsfähigen Grafikworkstation wich- Höhere Grafikpertigste Errungenschaft in Windows XP Professional ist zweifellos die formance vorhandene Unterstützung für den Accelerated Graphics Port (AGP). Erst damit können die modernen 3D-Grafikbeschleuniger ihre volle Leistungsfähigkeit entfalten. Die Datentransferraten des AGP sind um ein Vielfaches höher als bei PCI (528 und zukünftig > 1 GB/s zu 132 MB/s) und die direkte Hauptspeicherankopplung an den AGP lässt die Auslagerung komplexer Texturen ins RAM des Rechners zu. Wenn mal nicht gerade mit 3D-Programmen gearbeitet wird, kann Windows XP Professional dank integrierter DirectX8-Schnittstelle auch hervorragend für das 3D-Ballerspiel der neuesten Generation missbraucht werden.
Plug&Play Windows XP Professional ist jetzt noch besser Plug&Play-fähig ge- Einfachere worden. Das bedeutet, dass jetzt neu installierte Hardware-Kom- Installation ponenten sehr zuverlässig erkannt und falls ein Treiber vorhanden ist, auch gleich automatisch eingebunden werden. Dabei werden noch mehr Treiber geliefer als bei Windows 2000 und durch dynamischen Updates über das Internet ist Windows XP Professional ständig auf dem aktuellsten Stand. Im Workstation-Betrieb, wo öfter mal Hardware erweitert oder getauscht werden muss als bei einem Server, macht sich dieses Feature sehr positiv bemerkbar. Sehr wichtig ist Plug&Play natürlich auch in Bezug auf den NotebookEinsatz; die wichtigsten Stichworte sind hier PCMCIA und USB – dazu später aber mehr. Hier ist der PC-Card-Kartenwechsel noch einfacher geworden.
USB Die komplette Unterstützung des Universal Serial Bus (USB) in Win- Hot Plug dows XP Professional verhilft diesem Port zu einem weiteren Aufschwung. USB ist in der Version 1 vor allem für relativ langsame Peripherie wie Eingabegeräte geeignet (nichtsdestotrotz auch von Druckern, Digitalkameras und Scannern gern benutzt) und wird in der Version 2 ein Vielfaches der Datenmenge transportieren können (12 Mbps zu 480 Mbps). Die Vorteile von USB sind das sehr einfache Handling für den Benutzer, das Zusammenarbeiten mit mehreren Geräten an einem Bus (der durch einfache USB-Hubs problemlos erweitert werden kann) und die Stromzufuhr für die Peripheriegeräte,
48 ____________________________________________ 2 Die Windows-Betriebssysteme die, ein ausreichend starkes Netzteil im PC vorausgesetzt, uns in Zukunft den Wust von tausenden externen Netzteilen ersparen kann.
IEEE 1394 Hohe Bandbreite
Eine zweite Technologie für den Anschluss externer Massenspeicher (das können neben Festplatten beispielsweise auch Videosysteme sein) ist FireWire, auch als IEEE 1394 bekannt. Mit dieser Schnittstelle können unter Windows XP solche Anwendungen arbeiten, die einen exklusiven und konstanten Datentransfer mit einer hohen Bandbreite (50 MB/s), beispielsweise beim Videoschnitt, benötigen. Die wesentlich bessere Hardwareausnutzung von Windows XP Professional im Vergleich zu Windows 98/Me und das stabilere Laufzeitverhalten durch preemptives Multitasking und Mehrprozessorunterstützung (bis zu 2 CPUs) lassen ein Vordringen von Windows XP Professional in den Multimediamarkt erwarten.
IDE-Schnittstelle Schnelles IDEInterface
Im Unterschied zum Vorläufer NT wartet Windows XP Professional wie schon Windows 2000 mit einem umfassenden Support für die IDE-Schnittstelle auf. Ultra-DMA/100 wird ebenfalls unterstützt, sodass im Workstation-Bereich mit dieser deutlich preiswerteren Alternative zu SCSI ohne nennenswerte Performance-Einbußen gearbeitet werden kann.
ACPI/APM Das Advanced Configuration and Power Interface (ACPI) ist eine normierAusgefeiltes Powermanagement te Schnittstelle, die gemeinsam von den Herstellern Compaq, Intel, Microsoft, Phoenix und Toshiba ausgearbeitet worden ist und ein deutlich besseres Zusammenarbeiten zwischen PC-Hardware und Betriebssystem ermöglicht. ACPI hilft, die Stromsparmechanismen effektiver arbeiten zu lassen. Mit der sogenannten »Suspend to RAM«Funktionalität wird beispielsweise der gesamte Hauptspeicherinhalt gepuffert; der Rest des Computers inklusive der CPU fällt in einen Schlafzustand und kann auf Tastendruck innerhalb weniger Augenblicke wieder zu Leben erweckt werden. Die Festlegungen der ACPISpezifikation sollen dabei sichern, dass die einzelnen Komponenten reibungslos zusammenarbeiten. Ein Nichtwiederaufwachen oder unkontrollierte Abstürze, wie sie noch unter Windows 95/98 mit herkömmlichem Powermanagement (nur via APM – Advanced Power Management) öfter zu beobachten waren, sollen so der Vergangenheit angehören.
2.1 Überblick über die Funktionen ___________________________________________ 49 Aber auch mit ACPI lief es nicht immer problemlos unter Windows 98. Manche Computer, genau genommen die Hauptplatinen der ersten ACPI-Generation, sind mit ihrem BIOS nicht zu 100% ACPIkompatibel. Deshalb geht Windows XP bei der Installation kritischer bei der Einrichtung von ACPI vor.
Symmetrisches Multiprocessing (SMP) Windows XP Professional ist wie Windows 2000 Professional von Mehrere CPUs Hause aus für den Einsatz auf Computern mit bis zu zwei Prozessoren ausgelegt. Dabei wird das sogenannte Symmetrische Multiprocessing (SMP) unterstützt. Beim SMP werden Prozessoren gleichen Typs und gleicher Taktfrequenz unterstützt, die auf einen gemeinsamen physischen Arbeitsspeicher zugreifen. Moderne Windows-Software, bei der die einzelnen Programmfunktionen in separat ablaufende Teile, sogenannte Threads, zerlegt sind und parallel ablaufen können, werden von Windows XP Professional automatisch optimal auf die beiden Prozessoren aufgeteilt. Darüber unterstützen die Windows-APIs die Zuteilung von Prozessen zu einem festgelegten Prozessor. Dabei legt der Programmierer fest, auf welchem Prozessor welche Programmteile ablaufen sollen. Es gibt auch das asymmetrische Multiprocessing, bei jeder Prozessor Kein einen eigenen Hauptspeicher verwenden kann und auch nicht vom asymmetrisches selben Typ sein muss. Diese Technologie wird von Windows XP gene- Multiprozessing rell nicht unterstützt.
2.1.5
Technologien für den Notebook-Einsatz
Die Eignung von Windows XP Professional für den mobilen Einsatz zeigt sich in der Unterstützung der dafür wesentlichen Features.
ACPI/APM Eines der wichtigsten Features eines Betriebssystems für einen profes- Effektivere sionellen Notebook-Einsatz ist eine effektive Ausnutzung der Akku- EnergiesparKapazitäten. Windows XP Professional geht in dieser Hinsicht, übri- mechanismen gens auch bei APM-Computern, mit der Akku-Kapazität deutlich sparsamer um. Voraussetzung ist aber in jedem Fall genügend Hauptspeicher. Was bei Windows 9x noch mit 32 MB RAM relativ flüssig lief, erfordert bei Windows XP Professional mindestens 128 MB. Deutlich weniger Swap-Aktivitäten auf die Festplatte sind aber erst ab dieser Grenze zu erwarten – damit wird dann auch ein sehr stromsparendes Laufzeitverhalten möglich (mit nicht zu vielen geöffneten Applikationen gleichzeitig).
50 ____________________________________________ 2 Die Windows-Betriebssysteme Ruhezustand (Suspend to Disk) Beschleunigter Startvorgang
Unabhängig von den Fähigkeiten des Rechner-BIOS kann Windows XP Professional in den Ruhezustand gehen, indem der gesamte Hauptspeicherinhalt auf die Festplatte geschrieben und der Rechner dann ausgeschaltet wird (bzw. manuell ausgeschaltet werden muss, wenn noch kein ATX-Netzteil im PC seinen Dienst verrichtet). Dieses Feature verhilft zu deutlich schnelleren Ausschalt- und Startzeiten. Dabei wird die alte Sitzung erst dann wieder verfügbar, wenn sich der zuvor angemeldete Benutzer wieder ordnungsgemäß eingeloggt hat. Ein nicht beabsichtigter Zugang zu den Daten bei unbefugtem Einschalten eines solchen Rechners wird damit unterbunden.
PC-Cardbus / PCMCIA Notebook-Erweiterungskarten
Erweiterungskarten für Netzwerk, externe Speichermedien wie CDROM-Laufwerke oder CDR/RW-Brenner können nun beliebig aktiviert und wieder entfernt werden. Die noch von Windows 2000 bekannten, lästigen aber vergleichsweise harmlosen Warnungen über entfernte Hardware sind mit Windows XP Professional Vergangenheit.
2.2 Die Neuerungen der Benutzeroberfläche Die Oberfläche bietet viel Neues gegenüber Windows 2000. Hier wird ein neuer Desktop eingeführt, der auf den ersten Blick bunter und farbenfroher erscheint, sich bei der Arbeit aber schnell als durchaus ernsthaft verwendbares Werkzeug entpuppt. Mit wenigen Klicks kann aus dem blauen Erscheinungsbild ein eleganter silberner Touch gezaubert werden und die Programmierung von Visual Styles erlaubt es Drittanbietern, weitere Oberflächen zu produzieren. Es ist zu erwarten, dass hier bald eine unüberschaubare Vielfalt von Oberflächen zur Verfügung steht.
2.2.1
Der Desktop von Windows XP Professional
Nach der Installation erscheint der Desktop von Windows XP Professional so aufgeräumt wie noch nie. Lediglich der Papierkorb – der sich wie bei Apple rechts unten befindet – ist zu sehen. Alle anderen Funktionen finden Sie im neu gestalteten Startmenü.
2.2 Die Neuerungen der Benutzeroberfläche __________________________________ 51 Abbildung 2.1: Der Desktop von Windows XP Professional: Hier herrscht Ordnung
Erweiterte Funktionen bietet auch die Taskleiste.
Das Startmenü – die Zentrale für Windows XP Professional Das Startmenü bietet sowohl den Zugriff auf den Programmpfad als auch häufig genutzte Programme und – das ist neu – die Standardordner. Der Umfang erforderte eine Zweiteilung. Links sind die zuletzt genutzten Programme und dort fest verankerte Standardsymbole zu finden, rechts dagegen die Standardordner. Auch hier wurde in wenig aufgeräumt. Folgende Ordner bieten Die Standardordner Zugriff auf Systemfunktionen: • EIGENE DATEIEN, EIGENE BILDER, EIGENE MUSIK Dies ist der zentrale, benutzerabhängige Aufbewahrungsort für Daten. Bilder und MP3s werden in eigenen Ordnern gespeichert, die spezifischere Vorschaufunktionen bieten. Aus Ordnern mit Bildvorschaufunktionen heraus kann direkt auf Scanner oder Kameras zugegriffen werden. • ARBEITSPLATZ Hiermit erfolgt der Zugriff auf das Dateisystem. • NETZWERKUMGEBUNG
52 ____________________________________________ 2 Die Windows-Betriebssysteme Internet, LAN, WAN – diese oft nicht nachvollziehbare Trennung gibt es nicht mehr. Alle Vernetzungsoptionen sind in einem Ordner zu finden. • SYSTEMSTEUERUNG Neben der Systemsteuerung in einer klassischen Ansicht kann nun ein vereinfachtes Modell verwendet werden, dass typische Aufgaben zusammenfasst. Dies ist für Anwender gedacht, die mit der Systemsteuerung von Windows 2000 nicht vertraut sind. • DRUCKER UND FAXGERÄTE Hier ist wenig neues zu finden, außer der noch besseren Unterstützung von Faxgeräten. Standardfunktionen
Neben den Standardordnern sind einige Funktionen verfügbar, die schon in Windows 2000 vorhanden waren: • ZULETZT VERWENDETE DOKUMENTE Diese Liste zeigt die zuletzt verwendeten Dokumente an. • VERBINDEN MIT Hier werden Wählverbindungen angezeigt. • SUCHEN Noch komfortabler sind die Suchfunktionen. • AUSFÜHREN Hier erreichen Sie den Prompt für Kommandozeilenwerkzeuge.
Ausschalten
Neben der Funktion zum Herunterfahren, die nun Ausschalten heißt, können hier auch Benutzer abgemeldet werden. Wenn kein Active Directory eingesetzt wird, steht auch der schnelle Benutzerwechsel zur Verfügung, bei dem mehrere Benutzer den Rechner parallel verwenden können und dabei offene Sitzungen erhalten bleiben.
Hilfe- und Supportcenter Neu ist das Hilfe- und Supportcenter, mit dem der Zugriff auf die Online-Hilfe verbessert wurde. Neben der Suche in der lokalen Hilfedatenbank wird auch die Knowledge Base auf dem Microsoft Webserver durchsucht. Wenn ein befreundeter Kollege oder der Administrator Hilfe verspricht, kann diese mit der Remoteunterstützung über das Netzwerk angefordert werden.
2.2 Die Neuerungen der Benutzeroberfläche __________________________________ 53 Abbildung 2.2: Das Hilfe- und Supportcenter
Neben der Information über Inhalte und Funktionen werden auch Systemfunktionen gesammelt und der Zugriff auf spezielle Analysen ist möglich. In der Rubrik WUSSTEN SIE SCHON? stehen aktuelle Informationen vom Microsoft-Webserver zur Verfügung.
2.2.2
Neue Dateidialogfenster
Mit der neuen Benutzeroberfläche besitzt Windows XP auch ein neues Dialogfenster zum Öffnen und Schließen von Dateien. Dieses ist komfortabler zu bedienen und bietet Ihnen im linken Fensterbereich die wichtigsten Anwahlpunkte der Benutzeroberfläche an. Abbildung 2.3: Neues Dialogfenster
54 ____________________________________________ 2 Die Windows-Betriebssysteme
2.3 Windows XP und das Internet Die Kombination Windows XP und das Internet ist durchaus eine eigene Überschrift wert. Nicht zuletzt wegen der engen Verzahnung von Betriebssystem und Internet wurde viel Kritik an Microsoft geübt. In der Praxis stellt sich die Verpflechtung jedoch als zeit- und arbeitssparende Maßnahme heraus. Warum sollte man auch der Website eines Unternehmens misstrauen, wenn man seine gesamten Geschäftsprozesse auf deren Software laufen lässt? Positiv betrachtet benutzt Microsoft das Internet intensiv und sinnvoll.
2.3.1 Windows repariert sich selbst
Dynamische Produktupdates
Windows XP lädt aus dem Internet aktuelle Updates nach. Statt riesiger Servicepacks sollen damit gelegentliche kleine Patches übertragen werden. Der Vorgang läuft weitestgehend im Hintergrund ab. Der Verlauf der Downloads, die Steuerung im lokalen Netzwerk und weitere Informationen über den Vorgang finden Sie auf folgender Website: http://corporate.windowsupdate.microsoft.com/de/default.asp
2.3.2
Weborientierte Ordneransichten
Auffällige beim Öffnen eines Fensters sind die Hyperlinks auf der linken Seite, die zu logisch dazugehörenden Bereichen verweisen und die Sie per einfachem Mausklick auf diese aktivieren. Darüber hinaus werden hier auch weiterführende Informationen angezeigt, wenn ein Objekt im Ordner aktiviert wird. Neu in Windows XP sind die Aufgaben, mit denen verschiedene Assistenten gestartet werden.
2.3 Windows XP und das Internet ___________________________________________ 55 Abbildung 2.4: Standardordner Eigene Bilder mit kontextspezifischen Aufgaben als Hyperlink
2.3.3
Webinhalte auf dem Desktop
Durch die Active Desktop-Technologie können Webinhalte direkt auf dem Desktop abgelegt werden, wie beispielsweise die Homepage der eigenen Firma. Dazu werden alle Elemente dieser Webseiten lokal auf den Computer kopiert und sind dann auch offline lesbar. Abbildung 2.5: Active Desktop mit Webseiten
Das Einrichten dieser Webseiten können Sie direkt in den Eigenschaften der Anzeige (über das Kontextmenü zum Desktop) unter dem Eintrag WEB einrichten. Hier legen Sie über die Eigenschaften zum Active Desktop auch fest: • ob und wann diese Seiten aktualisiert werden sollen. Dazu können Komfortable WebSie einen detaillierten Zeitplan ausarbeiten. So kann es sinnvoll Funktionen mit Active Desktop
56 ____________________________________________ 2 Die Windows-Betriebssysteme sein, in einem Unternehmen die Arbeitsplatzcomputer so mit der Firmenhomepage zu verbinden und diese jeden Morgen zu aktualisieren. So können Sie sicherstellen, dass bestimmte Informationen auch wirklich bei allen Mitarbeitern ankommen. • ob für die Aktualisierungen automatisch ein Internet-Zugang angewählt werden soll, falls zu dem Zeitpunkt keine Verbindung besteht • die maximale Verschachtelungstiefe an über Hyperlink verbundene Seiten sowie die maximale Dateigröße (in MB) • ggf. Zugangsdaten mit Benutzernamen und Kennwort, falls in die Seite eingeloggt werden muss • ob und an wen eine E-Mail gesendet werden soll, wenn sich die Seite durch eine Aktualisierung geändert hat Die Active Desktop-Technologie bietet umfassende Werkzeuge, um Webinhalte stets aktuell auf dem Desktop zu halten sowie die Aktualisierungsvorgänge individuell konfigurieren zu können. Dabei sind Sie nicht auf Inhalte aus dem Internet beschränkt, sondern können natürlich auch Informationen aus dem Intranet auf den Desktop bringen.
Integration des Internet Explorers Die Integration des Browsers geht soweit, dass Sie jederzeit in einem beliebigen Ordnerfenster unter ADRESSE eine Web-Adresse angeben können. Dieses Fenster wird dann automatisch zum Explorer-Fenster und die Seite wird angezeigt.
2.3.4 Besser Unterstützung beim Finden von Daten
Erweiterte Suchfunktionen
Eine wesentliche Funktion eines Betriebssystems ist heute die Verwaltung und das Wiederfinden von Informationen. Reichten früher noch Funktionen zum Auffinden von Dateien über die Angabe des Dateinamens (oder bekannter Fragmente davon wie beispielsweise »U*.TXT«) aus, so müssen die Suchfunktionen heute mehr bieten können. Das beginnt bei der gezielten Suche nach bestimmten Eigenschaften von Dokumenten, über die Suche nach Schlagwörtern aus dem Inhalt bis zur Unterstützung einer weitergehenden Suche im Internet. Die Suchfunktion von Windows XP (über das SUCHEN-Symbol in der Symbolleiste oder über START | SUCHEN) wurde an diese Anforderungen angepasst und ist deutlich leistungsfähiger als seine Vorgänger. Sie können über den Suchdialog direkt nach Dokumenten, Computern, Druckern oder Personen suchen lassen. Dazu kommt der Start der Suchfunktion für das Internet.
2.4 Vereinfachungen für die Administration ___________________________________ 57 Für die Suche nach Dokumenteninhalten kann eine Indizierung akti- Immer noch dabei: viert werden. Dieser Indexdienst katalogisiert dabei regelmäßig im Der Indexdienst Hintergrund alle Dateien auf den angegebenen Laufwerken. Um auch die Inhalte für die Erstellung eines Index einbeziehen zu können, müssen für die Dokumentenarten geeignete Filter, sogenannte Dokumentfilter, bereitstehen. Über diese Filter werden die durchsuchten Dokumente nach ihrem Inhalt und ihren Eigenschaften katalogisiert. Beim Erstellen des Index über den Inhalt werden die Suchwörter unter Ausschluss von Ausnahmelisten (Wörter wie »über«, »bei«, »betreffs« etc., die mit dem eigentlichen Inhalt wenig zu tun haben) extrahiert. Dabei wird auch die Sprachversion des Dokuments erkannt, um die sprachspezifische Ausnahmeliste zu laden. Die Technologie der Suche über Dokumentfilter hat Microsoft offengelegt, sodass auch andere Software-Hersteller Filter für die Windows-Suchfunktion herstellen können. Die Suche nach Computern und Druckern baut auf die bekannten Netzwerk-Suchfunktionen auf und integriert diese in den WindowsSuchdialog. Wichtiger als im kleinen, übersichtlichen LAN wird die Suchfunktion im Zusammenhang mit dem Active Directory (siehe auch Abschnitt 5.7 Active Directory ab Seite 244), wo es darum gehen kann, aus einer Vielzahl von angeschlossenen Computern und Druckern den richtigen zu finden. Das trifft auch für die Suche nach Personen zu. Hier können Sie neben Suche nach der Suche im lokalen Adressbuch auch das globale Suchen über das Personen Active Directory oder Internet-Suchdienste starten. Leider ist hier die Liste der Internet-Suchdienste begrenzt und kann nur durch Eingriff in die Registrierung erweitert werden. Das trifft auch auf die voreingestellten Internet-Suchdienste für die Suche im Internet Suche nach Web-Dokumenten zu. Da diese Liste aus einem ASPSkript erzeugt wird, das auf einem der Microsoft Webserver läuft, besteht keine Möglichkeit, diese zu erweitern. Sie können allerdings in der Registrierung das Quellskript für diese Funktion ändern und im lokalen Netzwerk eine eigene Suchseite erstellen. Dies wird im Teil IV beschrieben.
2.4 Vereinfachungen für die Administration Windows XP bringt einige neue Ansätzen für eine einfachere Administration des Betriebssystems mit. Die zunehmende Komplexität lässt den administrativen Aufwand steigen. Microsoft hat daraus mehrere Antworten gefunden: • Zusammenfassung von Verwaltungsaufgaben in der Managementkonsole
58 ____________________________________________ 2 Die Windows-Betriebssysteme Damit sind viele Verwaltungsprozesse über eine einheitliche Oberfläche erreichbar. Hersteller von Software mit umfassenden Verwaltungsfunktionen können sich dem Layout der MMC anschließen. • Mehr Assistenten für Basisaufgaben In vielen Fällen stehen für einfache Aufgaben Assistenten zur Verfügung, die auch ohne Kenntnisse der Funktionsweise der gewünschten Aktion ausgeführt werden können. Schwierigere Einstellungen können anschließend in klassischen Dialogen hergestellt werden. • Kontextorientierte Aufgabenlisten in den Standardordnern Die Standardordner bieten im linken Bereich der neuen Ansicht Aufgaben (als Hyperlink), die in Abhängigkeit von der Aktion im rechten Teil stehen. So sind alle möglichen Aufgaben ständig direkt verfügbar. Anfängern wird so schneller klar, was für Verwaltungsoptionen überhaupt zur Verfügung stehen. • Neue Ansicht der Systemsteuerung Die Systemsteuerung kann nun neben der »klassischen Ansicht« auch eine aufgabenorientierte Form annehmen. Diese erleichtert Anfängern den Umgang mit den vielen Verwaltungsfunktionen. Die klassische Ansicht orientiert sich an Windows 2000, Umsteiger dürften daran eher Gefallen finden. In diesem Buch stützen sich alle Angaben immer auf die klassische Ansicht. • Verlagerung elementarer Aufgaben in das Hilfe- und Supportcenter Der Name Hilfe- und Supportcenter deutet darauf hin, dass mehr als nur Hilfeinformationen geboten werden. Einige Aktionen, die hier gestartet werden, führen Verwaltungsaufgaben direkt aus oder starten das entsprechende Programm.
2.4.1 Zentrale Administrationsschnittstelle
Die Managementkonsole
Die Microsoft Managementkonsole (MMC) stellt die zentrale Administrationsschnittstelle seit ihrer Einführung in Windows 2000 dar. Ziel ist eine einheitliche Bedienung der Verwaltungswerkzeuge. Die Managementkonsole stellt dabei nur den einheitlichen Ausführungsrahmen für die Werkzeuge dar, welche als sogenannte Snap-Ins ausgeführt sind. Microsoft liefert mit Windows XP Professional die Mehrzahl aller Verwaltungswerkzeuge als Snap-Ins mit. Diese sind in mehreren vorgefertigten Managementkonsolen zusammengefasst.
2.4 Vereinfachungen für die Administration ___________________________________ 59 Sie können aber auch Ihre eigenen Managementkonsolen entwerfen Nutzerspezifische und diese benutzerspezifisch anpassen. So können Sie beispielsweise ManagementkonKonsolen zusammenstellen, die nur ganz bestimmte Snap-Ins umfas- solen sen und durch sogenannte Taskpadansichten einen begrenzten Funktionsumfang aufweisen. Die Managementkonsole bietet auch eine Remote-Funktionalität. Remote AdminiWenn die eingesetzten Snap-Ins es unterstützen, können Sie über ein stration lokales Netzwerk oder eine Datenfernverbindung einen entfernten Windows XP/2000-Computer oder auch Server so administrieren, als ob Sie direkt vor ihm sitzen. Das kann die Verwaltung einer Vielzahl von Computern in einem größeren Netzwerk stark erleichtern. Die Schnittstellen zur Managementkonsole sind von Microsoft offen- Offene Schnittgelegt worden und erlauben es anderen Herstellern, so ihre eigenen stellen Werkzeuge in diese einheitliche Administrationsumgebung einzubinden. Das Konzept der Managementkonsole wird ausführlich ab Seite 383 behandelt.
2.4.2
Assistenten für Standardaufgaben
Die Einrichtung von Systemkomponenten und die Administration von Vielzahl nützlicher Windows XP wird durch die Hilfe einer Vielzahl nützlicher Assisten- Assistenten ten erleichtert. Diese Hilfe reicht von der Druckerinstallation bis zum Einrichten des Internetzugangs. Trotzdem sind natürlich damit nicht alle Fallstricke beseitigt, die bei der Administration eines so komplexen Betriebssystems wie Windows XP auftauchen können. In diesem Buch werden die wichtigsten Assistenten jeweils bei den Erklärungen zu den einzelnen Administrationsschritten erwähnt und darüber hinaus Tipps gegeben, wie Sie diese jeweils steuern müssen, um das gewünschte Ziel zu erreichen. Da die Zielgruppe sich jedoch überwiegend aus erfahrenen Anwender und Administratoren zusammensetzt, werden sehr einfache Assistenten nicht konsequent vorgestellt, sondern gleich die komplexeren Systemdialoge erklärt.
2.4.3
Kontextorientierte Aufgabenlisten
Wenn ein Ordner geöffnet wird, erscheint eine von mehreren mögli- Intelligentere chen Ansichten. Je nach Position des Fokus im Ordner und der Funk- Kontexthilfen tion des Ordners selbst werden im linken Bereich mehrere Aufgaben angezeigt. Diese als Hyperlink ausgeführten Elemente starten entweder andere Ordner, Aktionen, Assistenten oder den Internet Explorer mit einer Adresse im Internet (meist eine MSN-Website).
60 ____________________________________________ 2 Die Windows-Betriebssysteme Die folgende Abbildung zeigt die Systemaufgaben, die im Arbeitsplatz zur Verfügung stehen. Die Aufgabe DATENTRÄGER AUSWERFEN steht nur dann zur Verfügung, wenn sich der Fokus auf einem Laufwerk mit Wechseldatenträger befindet. Abbildung 2.6: Interaktive Aufgabenliste im Arbeitsplatz und in der Netzwerkumgebung
In Abbildung 2.8 finden Sie ein Beispiel für die Aufgaben eines Ordners mit Bildern.
Andere Orte Eine Ergänzung der Aufgaben stellt die Liste anderer Orte dar, die auf andere Systemordner verweist, ohne dass dazu das Startmenü geöffnet werden muss. Auch diese Liste besteht aus Hyperlinks, die mit einem einfachen Klick aktiviert werden. Abbildung 2.7: Verweise auf andere Orte
Details zu Elementen in Ordnern Eine dritte Liste zeigt Details zu dem ausgewählten Element im Ordner an. Je nach Ordnertyp fällt diese Angabe mehr oder weniger komplex aus.
2.4 Vereinfachungen für die Administration ___________________________________ 61 Abbildung 2.8: Vielfältige Hilfen in bestimmten Situationen
Komplexe Angaben sind möglich, wenn Ordner entsprechende Elemente enthalten. So liefert der Bildordner EIGENE BILDER gleich zwei Aufgabenlisten, die Verweise auf andere Ordner und Details des ausgewählten Bildes.
2.4.4
Neue Ansicht der Systemsteuerung
Die Systemsteuerung steht in zwei Ansichten zur Verfügung: klassisch und in der neuen Kategorienansicht. In der neuen Ansicht können Sie eine Kategorie auswählen. Danach erscheint eine Liste von Aufgaben, über die Sie entsprechende Assistenten oder Dialoge starten können. Außerdem kann hier das Systemsteuerungssymbol ausgewählt werden.
62 ____________________________________________ 2 Die Windows-Betriebssysteme Abbildung 2.9: Eine Kategorie der neuen Ansicht der Systemsteuerung
Die klassische Ansicht wird weiterhin benötigt, da einige Programme bei der Installation ein Symbol in der Systemsteuerung verankern, dass über die Kategorienansicht nicht erreicht werden kann.
2.4.5
Verwaltung im Hilfe- und Supportcenter
Das Hilfe- und Supportcenter fasst alle Hilfefunktionen zusammen und erscheint in einem neuen Design. Neben der stärker aufgabenorientierten Darstellung erleichtert das Hilfe- und Supportcenter auch die Arbeit des Administrators. Zum einen können Hilfedateien anderer Betriebssysteme integriert werden. Dadurch erhalten Sie Zugriff auf alle Informationen von einem einzigen Punkt aus. Erweiterte Hilfequellen
Zum anderen kann mit einer normalen Suchanfrage auch die Knowledge-Base durchsucht werden, wenn eine Internetverbindung besteht und die Option nicht gesperrt wurde.
Direkte Ausführung In vielen Fällen sind externe Links vorhanden, die Systemprogramme von Funktionen starten. Neu in Windows XP sind direkt integrierte Funktionen. Einige
Symbole unterstützen die optische Zuordnung: •
Grüner Pfeil: Startet ein integriertes Programm.
•
Blauer Pfeil: Konfiguriert ein integriertes Programm.
•
Violetter Pfeil: Startet ein Windows-Systemprogramm.
Neu ist die Kategorie TOOLS, die Aufgaben enthält, die direkt im Hilfeund Supportcenter ausgeführt werden können. Die meisten Tools Sammeln Informationen und erlauben die Ausgabe als HTML-Seite, E-
2.4 Vereinfachungen für die Administration ___________________________________ 63 Mail oder gestatten das Drucken. Die folgende Abbildung zeigt die Hardwareanalyse mit Hilfe des Tools Computerinformationen. Abbildung 2.10: Analyse des Computers mit dem Tool Computerinformation
64 ____________________________________________ 2 Die Windows-Betriebssysteme
2.5 Die Windows-Produktpalette Microsoft stellt derzeit mehrere Betriebssysteme her, die voraussichtlich noch einige Zeit koexistieren werden. Die erste Gruppe mit dem Namen Windows 2000 besteht aus vier Systemen: • Windows 2000 Professional • Windows 2000 Server • Windows 2000 Advanced Server • Windows 2000 Datacenter Server Ende 2001/Anfang 2002 – der Zeitraum, für den dieses Buch geschrieben wurde – stellt insofern eine Übergangsphase dar, denn als Serverbetriebssysteme stehen nach wie vor nur die Windows 2000-Versionen zur Verfügung. Windows 2000 Professional wurde dagegen von Windows XP Professional abgelöst. Gleichzeitig steht mit Windows XP Home Edition ein weiteres System zur Verfügung, dass für den privaten Nutzer entworfen wurde und die gesamte Linie Windows 95/98/Me ablöst. Einheitlich Codebasis für alle Systeme ist NT (New Technology) mit diversen Erweiterungen.
2.5.1
Windows XP Professional
Diese Version steht im Mittelpunkt dieses Bandes unserer WindowsXP-Reihe. Als direkten Nachfolger von Windows 2000 Professional sieht Microsoft die ideale Positionierung als Desktop-Betriebssystem und im Einsatz auf Notebooks. Windows XP Professional hat das Potential, sich noch stärker im umkämpften Markt der hochleistungsfähigen Arbeitsplatzcomputer für die Bereiche Grafik, Multinmedia und 3D-Design durchzusetzen. Mit der implementierten Unterstützung für den AGP (Accelerated Graphics Port) ist das Grafiksystem für anspruchsvolle Aufgaben gerüstet (und macht Windows XP auch als Spieleplattform einsetzbar, speziell durch DirectX8). Hinzu kommt, dass im Vergleich zu Windows Me deutlich mehr Leistung durch die Unterstützung von 2 Prozessoren und 4 GB RAM erreicht werden kann. Nicht zuletzt aufgrund der ausgereiften Power ManagementUnterstützung und der neuen Sicherheitsfeatures wie der sicheren Verschlüsselung von Dateien auf der Festplatte ist Windows XP das beste Notebook-Betriebssystem, das momentan verfügbar ist. Im folgenden finden Sie einen Überblick über die anderen Betriebssystemversionen, einschließlich der aktuellen Windows 2000-Server.
2.5 Die Windows-Produktpalette ____________________________________________ 65
2.5.2
Windows 2000 Server
Die kleinste Server-Variante von Windows 2000 wird von Microsoft als Netzwerkbetriebssystem für kleinere Arbeitsgruppen positioniert. Dazu kommt die Eignung als Plattform für Webseiten und ECommerce. Für den Einsatz auf Notebooks ist übrigens die gesamte Server-Familie von Windows 2000 nicht vorgesehen.
2.5.3
Windows 2000 Advanced Server
Gegenüber der kleineren Server-Variante zeichnet sich der Advanced Server durch eine höhere realisierbare Leistungsfähigkeit und Verfügbarkeit aus. Es werden mehr Prozessoren und Hauptspeicher sowie Loadbalancing (bis zu 32 Server) und Server-Clustering (2 Server) unterstützt.
2.5.4
Windows 2000 Datacenter Server
Als High-End-System vorrangig für den Rechenzentrumsbetrieb soll dieses Betriebssystem auch hohen Anforderungen an die Leistungsfähigkeit und Verfügbarkeit gerecht werden. Spezielle Systemkomponenten (wie beispielsweise Tools für Workload-Management) und eine noch weitergehende Unterstützung für Symmetrisches Multiprocessing) ermöglichen eine noch höhere Leistungsfähigkeit.
2.5.5
Die Windows 2000 und XP-Versionen im Überblick
In der Tabelle 2.1 sind die drei Windows 2000-Serverversionen mit den beiden XP-Versionen in ihren wichtigsten Merkmalen gegenübergestellt. Windows XP
Tabelle 2.1: Die Windows 2000Advanced Datacenter Server-Versionen und Windows XP8 32 im Vergleich der 8 GB 64 GB Profifeatures
66 ____________________________________________ 2 Die Windows-Betriebssysteme Windows XP
Windows 2000
Home
Prof
Server
Encrypting File System (EFS)
8
9
9
9
9
Kerberos
8
Client
Server
Server
Server
IPSec
8
9
9
9
9
Internet Information Server
8
9
9
9
9
Active Directory Domänen Server
8
8
9
9
9
Netzwerk- und Applikationsserver
8
8
9
9
9
Terminal Services
8
8
9
9
9
IP-Load Balancing
8
8
8
32 Server
32 Server
FailoverClustering
8
8
8
2 Server
4 Server
2.5.6
Advanced Datacenter
Vergleich XP Professional zu XP Home Edition
Vergleichen Sie, ob Vielleicht haben Sie erst eine Version XP Professional im Einsatz und XP Home ausreicht planen für weitere Arbeitsplätze die preiswertere Home Edition ein-
zusetzen. Immerhin basieren beide Systeme auf der gleichen Codebasis – Stabilität und Zuverlässigkeit sind vergleichbar. Dieser Abschnitt zeigt überblicksartig die Unterschiede. Wenn Sie den Einsatz von XP Home Edition ernsthaft in Erwägung ziehen oder den privaten Arbeitsplatz damit ausstatten möchten, sollten Sie sich unbedingt unser Buch Windows XP Home, ebenfalls aus dem Carl Hanser Verlag, anschauen. Dort werden tiefgehend und auf professionellem Niveau auch die Multimedia-Funktionen betrachtet.
Klare Zielgruppe: Heimanwender oder Geschäftskunden Zusatzleistungen werden Windows XP künftig differenzieren
Mit der Einführung zweier Versionen für Clients gibt es sicher einige Erklärungsbedarf. Wenn man sorgfältig die Pressemitteilungen über zukünftige Leistungsangebote bei Microsoft liest, werden neben der offensichtlichen Adressierung der Zielmärkte noch weitere Unterschiede sichtbar. So sind nicht nur einige Funktionen der ProfessionalVersion vorbehalten, sondern auch künftige online zu beziehende Leistungen. Nutzern der Home Edition könnten vorrangig Angebote
2.5 Die Windows-Produktpalette ____________________________________________ 67 lokaler Anbieter von Serviceleistungen zu Digitalfotografie oder EMail-Adressen unterbreitet werden. Firmen, die auf Arbeitsplätzen die Professional Edition einsetzen, dürften dagegen eher verbesserte Verbindungen zu Hardwareherstellern und Sicherheitsanbietern über das Hilfe- und Supportcenter nutzen. Freilich ist beides eine Vision, bislang sind die Angebote eher dürftig. Bedenkt man aber die Aussagen zu den .Net-MyServices (Codename Hailstorm), ist die Vision klar erkennbar. Die Differenzierung der Produkte findet also zukünftig vor allem über die Dienstleistungen von Microsoft statt, die online angeboten werden. Den Schwerpunkt stellt laut Microsoft Vizepräsident Jim Allchin Windows XP Professional dar. Die am Anfang stehende Überlegung vieler Firmen, das preiswertere Auf dem Weg zum Windows XP Home auch auf Arbeitsplätzen im Unternehmen zu in- »managed» stallieren, steht dem natürlich etwas entgegen. Aber nicht jeder wird Windows die zusätzlichen Leistungen benötigen. Der Unterschied liegt auch nicht so sehr in der Verfügbarkeit – die dürfte mit einigen Umwegen ohnehin immer gegeben sein – sondern in der Art des Umgangs mit Clientbetriebssystemen. Das Zauberwort ist »managed« bzw. »unmanaged«; also die Nutzung einer Umgebung zur zentralen Kontrolle und Steuerung von Clientarbeitsplätzen. In einem kleinen Unternehmen mit weniger als einem Dutzend Arbeitsplätzen dürfte ein Administrator von Hilfsleistungen aus dem Internet kaum profitieren. Bei 1 000 Clients hingegen können automatisch verteilte Updates eine enorme Erleichterung für den Netzwerkadministrator bewirken.
Windows XP Home Edition Übersicht Im Unterschied zu Windows XP Professional bietet die Windows XP Home Edition folgende Neuheiten: • Verbesserte Unterstützung für ältere Applikationen • Vereinfachte Verwendung von Sicherheitsfunktionen • Einfacherer Anmeldedialog • Schneller Wechsel des aktuellen Benutzers • Neu Ansichten für Ordner mit kontextsensitiven Aufgabenlisten • Verbesserte Unterstützung für Mulimedia (Bilder, Video, Audio) • Besser Bibliothek für Spiele (DirectX8) XP Professional enthält alle Funktionen von XP Home. Hinzu kommen XP Professional einige Eigenschaften, die der normale Heimanwender vermutlich Edition: Home nicht benötigt und die den Umgang mit dem System unnütz erschwe- Edition mit Extras ren. Verzichten muss der XP Professional-Benutzer dagegen auf nichts, auch nicht auf die umfassende Multimedia- und Spieleun-
68 ____________________________________________ 2 Die Windows-Betriebssysteme terstützung. Auf der anderen Seite sind auch »Power-User« mit Home bestens bedient. Vereinfachte Sicherheit
Die meisten Heimanwender verfügen nur über einen Einzelplatzrechner. Auch ein kleines LAN in der Familie mit zwei bis drei Computern ist weit verbreitet. Der Sicherheitsbedarf ist gering – selten muss man Dateien wirklich zuverlässig gegen den Nachwuchs mit professionellen Mitteln schützen. Entsprechend ist das Sicherheitskonzept in XP Home stark vereinfacht. Neue Benutzer sind automatisch Mitglieder der Administratorengruppen und haben erst einmal alle Rechte. Das Betriebssystem verhält sich also ebenso wie ein klassisches Windows 98. Das dürfte auch die Einstellungen sein, mit der die meisten Anwender überhaupt nur zurecht kommen. Neu ist dagegen die Möglichkeit – entsprechende Kenntnisse vorausgesetzt – dennoch eine Absicherung auf hohem Niveau vornehmen zu können. Komplizierte Zuordnungen wie Sicherungsoperatoren oder Replikationsgruppen, die auch erfahrerene Heimanwender zur Verzweiflung treiben können, fehlen in XP Home ganz. XP Professional lässt da natürlich die ganze Breitseite an Möglichkeiten auf dem Sysadmin los. In XP Home fehlen auch versteckte administrative Freigaben ($C usw.), was immer dann eine Sicherheitslücke darstellt, wenn man dieses Konzept nicht versteht. Statt dessen gibt es eine beschränkte Gruppe mit reduzierten Rechten, damit auch der Kumpel mal mit eigenem Konto surfen kann, ohne gleich alles zerstören zu können. XP Professional verlangt hier ein erweitertes Benutzermanagement, das aber auch mehr Funktionen bietet.
Exklusive XP ProfessionalFunktionen
Da XP Professional strikt die gesamte Home Edition enthält, lassen sich die konkreten Unterschiede einfacher daran erläutern, was XP Professional zusätzlich mitbringt. Die folgende Aufzählung ist also eine »Ausschlussliste« – diese Funktionen sind in XP Home nicht enthalten:
Systemfunktionen Ð
• Remote Desktop Während die Anforderung von Remoteunterstützung in allen XPVersionen enthalten ist, bleibt der Remote Desktop der XP Professional-Version vorbehalten. XP Home enthält keine Terminalserver-Dienste, nur der Client ist verfügbar (wie übrigens auch für Windows 98/Me und 2000). • Mehrprozessorunterstützung XP Home kann nur einen Systemprozessor verwenden. • Sicherungsfunktionen (Backup) In XP Home gibt es keine Backup-Funktionen mehr. Der Grund liegt in der Funktion zur automatischen Systemwiederherstellung (Automated System Recovery, ASR). Diese Funktion verlangt den Umgang mit der Wiederherstellungskonsole und natürlich die An-
2.5 Die Windows-Produktpalette ____________________________________________ 69 fertigung passender Sicherungsdateien. Offensichtlich traut Microsoft Heimanwendern den Umgang damit nicht zu. Für XP HomeBenutzer mit einem zerstörten System bleibt der bereits vertraute Weg einer Neuinstallation. • Dynamische Festplatten Die mit Windows 2000 eingeführte Funktion Dynamische Festplatten fehlt, ebenso der Festplattenmanager für logische Datenträger wie beispielsweise Stripesetdatenträger. • Fax XP Home hat keine integrierte Faxfunktion, diese kann aber von der CD aus nachinstalliert werden. • Internet Information Server XP Home hat keinen integrierten Webserver. • Verschlüsselndes Dateisystem (EFS) XP Home enthält kein verschlüsselndes Dateisystem und damit keine Möglichkeit, Dateien sicher zu verschlüsseln. • Zugriffskontrolle Jeder XP Home-Benutzer mit Administratorenrechten – dies ist die Standardeinstellung – kann auf alle Dateien gleichermaßen zugreifen. Die individuelle Vergabe von Rechten auf Dateiebene und mit Hilfe des Gruppenrichtlinienobjekts bleibt XP Professional vorbehalten.
Sicherheitsfunktionen Ð
• »C2«-Zertifizierung Die C2-Zertifizierung ist nicht sehr bedeutungsvoll – nur einige amerikanische Regierungsbehörden erwarten dieses Sicherheitszertifikat – die Beantragung bleibt deshalb XP Professional vorbehalten. • Mitgliedschaft in einer Domäne XP Home kann nicht vollwertiges Mitglied einer Domäne werden und verfügt nur über einen einfache Client wie Windows 98/Me. • Gruppenrichtlinien Zusammen mit der fehlenden Untersützung für Active Directory ging auch die Fähigkeit in XP Home verloren, über Gruppenrichtlinien konfiguriert zu werden. • IntelliMirror
70 ____________________________________________ 2 Die Windows-Betriebssysteme IntelliMirror mit allen Funktionen und Bestandteilen wird in XP Home nicht unterstützt. Dazu gehören die zentrale Softwareinstallation und die Remote Installation Services (RIS). • Offline Dateien Die Möglichkeit, auf einem Server gespeicherte Dateien zu synchronisieren und lokal zu halten, fehlt in XP Home. • Servergespeicherte Profile Es ist in XP Home nicht möglich, das Benutzerprofil an mehreren Stationen gleichermaßen verfügbar zu haben. Funktionen für große Unternehmen Ð
• Mehrsprachige Oberfläche XP Home unterstützt nicht die Nutzung mehrere Sprachen in einer Installation. • SYSPREP-Werkzeug Das Werkzeug SYSPREP steht in XP Home nicht zur Verfügung. • 64-bit Edition Die 64-bit Edition ist nur als XP Professional verfügbar.
Netzwerkfunktionen Ð
Folgende Funktionen kennt XP Home nicht: • IPSecurity (IPSec) • SNMP • Einfache TCP/IP-Dienste • SAP Agent • Client Service für NetWare • Network Monitor
Unterschiede bei den Grundeintellungen
Windows XP Home Edition hat einige andere Grundeinstellungen nach einer Standardinstallation. So ist das Gastkonto standardmäßig geöffnet – bei XP Professional ist es dagegen gesperrt. Die Adressleiste in den Ordnerfenstern ist standardmäßig verdeckt, in XP Professional dagegen sichtbar. Dies ist nur ein Beispiel der etwas unterschiedlichen Benutzerschnittstelle. Die administrativen Werkzeuge und teilweise auch deren Benennung unterscheiden sich etwas.
Upgradepfade
Die folgende Tabelle zeigt die Upgrade-Möglichkeiten der beiden XPVersionen:
Tabelle 2.2: Von Version ... auf Upgradepfade für XP Windows 95 Windows 98/98SE
XP Home
XP Professional
8
8
9
9
2.5 Die Windows-Produktpalette ____________________________________________ 71 Von Version ... auf
XP Home
XP Professional
Windows Me
9
9
Windows NT 4.0 WS
8
9
Windows 2000 Pro
8
9
Windows XP Home
í
9
Windows XP Professional
8
í
Entscheidungshilfen Die Entscheidung für oder wider Home im Unternehmen fällt eigentlich recht leicht. Wenn es da Budget nur irgendwie zulässt, verwenden Sie XP Professional. Wenn Sie sehr sicher auf Active Directory und eine zentrale Administration verzichten können, die Daten der Mitarbeiter keiner besonderen Absicherung bedürfen und ein Peer-to-PeerNetzwerk ausreichend ist, könnte XP Home die Ansprüche ebenso erfüllen. Im Zweifelsfall steht auch ein preiswertes Upgrade von XP Home auf XP Professional zur Verfügung, falls Sie es sich später anders überlegen.
2.5.7
Information zu Windows XP 64-Bit Edition
Mit der Vorstellung der Itanium-Prozessoren von Intel beginnt auch im unteren Marktsegment das Zeitalter des 64-Bit-Computing. Windows XP Professional gibt es deshalb auch in einer 64-Bit-Variante, die sich in einigen Details von der 32-Bit-Version – die vorrangig in diesem Buch beschrieben wird – unterscheidet. 64-Bit ist keine Ablösung für 32-Bit, sondern eine weitere Produktfamilie mit einer anderen Zielgruppen. 64-Bit-XP adressiert den HighEnd-Workstation-Markt, 64-Bit-.Net dagegen den High-End-ServerMarkt. Beide Märkte werden derzeit von Unix-basierten Systemen von Sun und SGI dominiert. In Bezug auf Funktionen werden sich 32-Bit-XP und 64-Bit-XP kaum unterscheiden. Einen Upgradepfad wird es dagegen nicht geben, da auf ein und derselben Maschine nicht beides installiert werden kann. Für Entwickler und Hersteller gibt es den Windows Advanced Server Limited Edition (LE) seit September 2001, basierend auf Windows 2000. Mit den .Net-Servern wird die endgültige Version neuer Server auch als 64-Bit-Variante zur Verfügung stehen. Die 64-Bit-Version verfügt über folgende Vorteile: • Weiter verbesserte Leistung und Skalierbarkeit
72 ____________________________________________ 2 Die Windows-Betriebssysteme • Unterstützung sehr großer Hauptspeicher (keine Beschränkung auf 4 GB bzw. 64 GB mehr) • Optimiert für Intels Itanium und dessen Nachfolger • Mehrprozessorfähigkeit • Kompatibilität mit 32-Bit-Anwendungsprogrammen • Erweiterte Verwaltungswerkzeuge • Gleiche Codebasis wie 32-Bit bei der Programmierung • Programmierung mit Visual Studio.Net und .Net-Framework Server-Funktionen und Funktionen, die nicht mehr verfügbar sein werden
Der aktuelle Server Windows Advanced Server Limited Edition Version 2002 (LE) unterstützt bis zu acht Prozessoren und 64 GB RAM. Er ist nur in Englisch verfügbar. Der virtuelle Speicherbereich umfasst 16 TB (Terabyte). Nach der Testphase, die bis Sommer 2002 dauert, wird LE nicht mehr angeboten und durch die beiden .Net-Server Advanced Server und Datacenter Server ersetzt. 32-Bit-Software wird durch die integrierte WOW64-Funktion (Windows on Windows) unterstützt, eine Kompatibilitätsschicht. 16-Bit wird dagegen endgültig nicht mehr verwendbar sein. Folgende Funktionen werden in den Server-Versionen nicht mehr angeboten: • DOS und 16-Bit-Subsysteme • Windows-Produkt-Aktivierung • NetMeeting • Windows Media Player • Remoteunterstützung • Ruhezustand • Infrarot (IrDA) • CD-Brennen ohne Zusatzprogramm Möglicherweise werden einige dieser Funktionen später als Zusatzprogramme verfügbar gemacht.
2.6 Zur Geschichte von Windows XP Die Entwicklung von Microsoft zum heute größten Softwareunternehmen der Welt ist eng verbunden mit der Entwicklungsgeschichte von Windows. In diesem Abschnitt wird die historische Entwicklung
2.6 Zur Geschichte von Windows XP ________________________________________ 73 vom grafischen DOS-Aufsatz zum richtigen Betriebssystem an den wesentlichen Etappen aufgezeigt.
Historische Entwicklung Die Geschichte von Windows wird immer eng mit der Person Bill Gates verknüpft sein. Bill Gates heißt eigentlich William Henry Gates III. Seinen ersten Schritt in die Welt der Computer unternahm er 1975 mit einer BASIC-Implementierung für den ersten für private Anwender erschwinglichen Computer, den MITS Altair. Der Altair war ein Selbstbauset mit dem 8088 als Mikroprozessor. Er verfügte über die damals üppige Speicherausstattung von immerhin 4 KByte. Noch Anfang der 80er Jahre startete der erste echte Homecomputer, der Sinclair ZX-80, mit 1 KByte Hauptspeicher. Erste Ansätze für grafische Oberflächen wurden schon 1979 am PARC 1979 (Palo Alto Research Corp.) entwickelt. Namentlich beteiligt war Steve Jobs, heute, nach einer wechselvollen Geschichte, CEO von Apple. Auch Bill Gates besuchte das PARC und war von der Idee einer grafischen Oberfläche begeistert. IBM hatte die Entwicklung der kleinen Computer lange ignoriert. Erst 1981 1981 wurde die Gefahr für das eigene Geschäft erkannt und schnell ein kleines, »Personal Computer« genanntes Gerät, entwickelt – der PC war geboren. Das Betriebssystem wurde allerdings nicht selbst entwickelt, sondern eingekauft – von Bill Gates. Gates schaffte es allerdings, die Rechte dabei nicht aus der Hand zu geben. Statt den Quellcode mit allen Rechten zu verkaufen, kassierte er eine geringe Lizenzgebühr und vermarktete sein »DOS« getauftes Betriebssystem auch an andere Hersteller. In einem Markt, der damals Dutzende Betriebssysteme lieferte, war dies eine unglaubliche Vereinfachung für Programmierer – ein Betriebssystem für verschiedene Computer. Die PC-Architektur selbst setzte sich dagegen vor allem auf Grund der Marktmacht von IBM durch. DOS wurde nicht von Grund auf neu entwickelt – es basierte auf dem glücklosen Vorgänger CP/M von Digital Research. Digital Research war lange Zeit ein Wettbewerber von Microsoft (nicht zu verwechseln mit DEC, der Digital Equipment Corporation, die inzwischen von Compaq geschluckt wurde). CP/M lief auf Intel 8088, Zilog Z80 und mit einer Z80-Karte auch auf dem Apple II. Tim Paterson entwickelt 1978 eine Adaption von CP/M für den Intel 8086-Prozessor, 86DOS, für seine Firma Seattle Computer Products. Von dieser Firma kaufte Bill Gates Ende 1980 den Basiscode für sein DOS, das er bereits an IBM verkauft hatte. Hinzugefügt wurden Dateistrukturen ähnlich wie in Unix mit Dateiattributen und eine Verzeichnisstruktur für Disketten namens FAT (File Allocation Table). 1981 erschien der erste IBM-PC mit
74 ____________________________________________ 2 Die Windows-Betriebssysteme PC-DOS als Betriebssystem. Alternativ war allerdings auch noch CP/M-86 lieferbar. Die ersten Verkaufserfolge waren nicht berauschend. IBM-PCs waren zu teuer, es gab kaum Software und die Entwickler waren wenig begeistert, immer für zwei Betriebssysteme zu entwickeln. IBM startete eine Entwicklungsinitiative, um schnell Software auf den Markt zu bringen, bevor ein anderes System das Rennen macht. IBM entschied sich für PC-DOS als das primäre Betriebssystem und ließ CP/M-86 fallen. Damit begann der Siegeszug von Microsoft und ihrem Betriebssystem MS-DOS. 1983
1983 erschien MS-DOS 2.0 mit hierarchischer Dateistruktur und File Handles. Kurze Zeit später kam MS-DOS 2.1 mit der Unterstützung verschiedener Landessprachen auf den Markt. 1983 erschien auch Windows 1.0, ein grafischer Aufsatz für MS-DOS 2.1. Durchsetzen konnte sich diese Oberfläche ebenso wenig wie die vielen anderen Versuche, derartiges an den Markt zu bringen: GEM (von DR), Geoworks (von Geoworks, Inc.) oder DesqView (Quarterdeck). Viele Kernideen von Windows waren allerdings damals schon vorhanden wie aufklappende Menüs, Mausbedienung und ansatzweise eine WYSIWYG-Darstellung.
1984
1984 kam der Intel 80286 am Markt und dazu MS-DOS 3.0. Merkwürdigerweise nutzte MS-DOS 3.0 den 80286 nicht aus. Trotz eines inzwischen adressierbaren Adressraumes von 16 MByte kannte DOS nur die vom 8086 gesteckten Grenzen. Die alten Strukturen blieben erhalten. Dafür wurde der Funktionsumfang erweitert, MS-DOS 3.1 konnte ansatzweise mit Netzwerken umgehen.
1987
Einige Jahre später brachte IBM die PS/2-Modelle auf den Markt. IBM versuchte mit der veralteten PC-Architektur zu brechen und führte zugleich den 80386 von Intel ein. Als Betriebssystem wurde OS/2 entwickelt, das die neuen Features des 386er ausnutzte. Am Markt hatte die Kombination wenig Erfolg. 386er-Klone mit dem schlecht angepassten DOS 3.1 machten das Rennen bei Anwendern und Entwicklern. Der Grund ist in der Politik von Microsoft zu suchen, das Betriebssystem als offenes System zu betrachten. Geräteherstellern und Programmierern wurden die Schnittstellen offengelegt. Mit Begeisterung nutzten dies auch Hobbyprogrammierer und kleinere Firmen, die sich die Lizenzgebühren von IBM nicht leisten konnten oder wollten. Eine Invasion von Software setzte ein, die letztlich von den Anwendern honoriert wurde – gekauft werden Computer mit DOS, nicht mit dem technisch besseren OS/2.
2.6 Zur Geschichte von Windows XP ________________________________________ 75 Windows entsteht OS/2 wurde in den Jahren 1983 bis 1987 von Microsoft und IBM gemeinsam entwickelt. Mangels Anwendungen bleibt der Erfolg aus und 1987 überwarfen sich Microsoft und IBM. Microsoft stieg aus der Entwicklung aus und nahm den bereits entwickelten Code von OS/2 als Basis für ein eigenes, völlig neues Betriebssystem: NT (New Technology). Abbildung 2.11: Windows auf der Zeitachse
Parallel dazu wurde die grafische Oberfläche Windows zur Version 1988 2.0 weiterentwickelt. Mit dem 80386 erschien eine angepasste Version mit dem Namen »Windows 386«. In Anbetracht der stiefmütterlichen Entwicklung von DOS, das damals noch einen überwältigenden Marktanteil hatte, kann man die bevorzugte Entwicklung von Windows eigentlich als geniale Vision von Bill Gates betrachten. In der Folgezeit kam es zu Streitigkeiten zwischen den Anbietern anderer grafischer Oberflächen über die Urheberrechte (Apple und IBM), die mit der SAA-Spezifikation für grafische Oberflächen endete – mit der Folge, dass sich Apples MAC OS, OS/2 und Windows 2/386 sehr ähnlich sahen. Ende 1988 holte Bill Gates ein ganzes Entwicklerteam von DEC und ließ Windows 3.0 entwickeln. Teamchef Dave Cuttler entwickelte das
76 ____________________________________________ 2 Die Windows-Betriebssysteme neue System mit der Erfahrung aus der Entwicklung von VMS, dem Betriebssystem der legendären PDP-11. 1990
1990 erblickte Windows 3.0 das Licht der Welt. Microsoft war mit dem richtigen Produkt zur richtigen Zeit am richtigen Ort: Windows 3.0 wurde ein durchschlagender Erfolg. Der Markt zog mit und es entstanden in kurzer Zeit viele Anwendungen – ähnlich wie schon bei DOS ein K.O.-Kriterium für andere Systeme. OS/2 hat sich nie wieder von diesem Schlag erholt.
1991
Nur ein Jahr später brachte Microsoft mit dem LAN Manager 2.1 eine Lösung für heterogene Netzwerke auf den Markt. Eine Brücke zu den erfolgreichen Netzwerkbetriebssystemen NetWare (Novell) und Unix entstand. Sehr schnell wurde auch Windows 3.1 auf den Markt geworfen, vor allem um das unfertige OS/2 2.0 zu torpedieren. Neu waren vor allem multimediale Eigenschaften.
1993
Während die Stammlinie Windows 3, inzwischen mit Netzwerkfunktionen ausgestattet als Windows für Workgroups 3.11 auf dem Markt, weiter entwickelt wurde, ist die erste NT-Version fertig. Sechs Jahre hatte Dave Cuttlers Team gebraucht, um Windows NT 3.1 fertig zu stellen. Die Versionsnummer wurde der Windows-Linie angepasst, die Version 3.1 war intern eine 1.0. Die Oberfläche ähnelte der von Windows 3.1.
1994
Ein Jahr später erschien Windows NT 3.5 und kurz danach die Version 3.51, die sich optisch an Windows 3.11 anpasste.
1995
Windows 3.11 wurde dagegen kurze Zeit später gegen das lange angekündigte Windows 95 ausgetauscht – einer der weiteren großen Erfolge von Microsoft.
1996
Im August 1996 kam Windows NT 4.0 auf den Markt, neben vielen technischen Verbesserungen auch mit der von Windows 95 her bekannten Oberfläche. NT war deutlich stabiler und ausgereifter als Windows 95, was sich nicht zuletzt in den viel längeren Produktzyklen widerspiegelte.
1998
So erschien schon 1998 eine weitere Windows-Version: Windows 98. Es dauert noch einmal zwei Jahre, bis auch Windows NT ein grundlegendes Update erfuhr: Windows 2000.
2000
Alle Betriebsysteme, die es in dieser langen Zeit mit DOS und Windows aufnahmen, sind inzwischen bedeutungslos. Lediglich in den Schutzzonen der Universitäten wurde Unix gepflegt. Daneben entstand Mitte der Neunziger das freie Derivat Linux (ein Kunstwort aus dem Vornamen des Entwicklers Linus Torwalds und Unix). Dieses System dürfte am ehesten eine Alternative zu Windows Server sein, wenngleich es bis zur Gesamtleistung von Windows XP/2000 noch ein weiter Weg ist. Auf dem Desktop hat Linux keine Chance mehr, Windows abzulösen.
2.6 Zur Geschichte von Windows XP ________________________________________ 77 Trotz Windows 2000 und dem Versprechen, die Entwicklungslinien zusammenzuführen, erschien 2000 ein weiterer Nachfolger der Windows 9x-Reihe, Windows Me. Me steht für Millenium Edition. Die Bezeichnung »Edition« ist Programm, denn die Änderungen sind marginal und der Umstieg lohnte sich nicht. Das Ende der Windows-Produktlinie, die noch auf DOS basierte, kam 2001 im Jahr 2001. Der Nachfolger Windows XP erschien in zwei Versionen, eine als Home Edition bezeichnete sollte Windows 98/Me ablösen, eine weitere mit dem Namen Professional vervollkommnet das bereits sehr gute Windows 2000 Professional. Neu ist auch die Unterstützung für den 64-Bit-Prozessor Itanium. Mitte 2002 werden die Server in neuen Versionen erscheinen, basie- 2002 rend auf .Net – der neuen strategischen Initiative von Microsoft – mit der Programmierumgebung (.Net-Framework), Server (.Net-Enterpriseserver) und Dienste (UDDI, MSN) zusammengeführt werden.
3 3 Massenspeicherverwaltung Mit Windows XP hält die fortschrittliche Massenspeicherverwaltung, die erstmals mit Windows 2000 eingeführt worden ist, nun auf breiter Front auf dem Desktop Einzug. Lesen Sie unter anderem in diesem Kapitel, wie Sie die Technologie der dynamischen Festplatten gewinnbringend einsetzen können.
Das Volume Management ................................................................... 83 Basisfestplatten und Partitionen......................................................... 88 Dynamische Festplatten..................................................................... 100 Festplatten unter Windows XP 64 Bit .............................................. 115 Der Indexdienst................................................................................... 118
3.1 Das Volume Management_______________________________________________ 83
3.1 Das Volume Management Windows XP verfügt über ausgefeilte Fähigkeiten, Massenspeicher effektiv und sicher zu verwalten. Die Basis dazu liefert das neue Volume Management, welches erstmals in dieser Form in Windows 2000 zum Einsatz kam. Deshalb entspricht auch der Funktionsumfang unter Windows XP Professional im Wesentlichen dem der Windows 2000 Professional-Version.
Neues Volume Management, erstmals verfügbar in Windows 2000
Fundamental neue Funktionen bieten sich Ihnen, wenn Sie direkt von Windows 9x/ME auf das neue Betriebssystem umsteigen. Obwohl Ihnen vielleicht als augenscheinlichste Neuerung das nun verfügbare Dateisystem NTFS auffallen wird, sind die umfassendsten Änderungen eine Schicht tiefer zu verzeichnen – nämlich beim Volume Management. Hier lohnt ein genauerer Blick, damit Sie die neuen Möglichkeiten, die sich beispielsweise durch die Verwendung dynamischer Festplatten ergeben, auch wirklich ausnutzen können. Beachten Sie einige Randbedingungen nicht, haben Sie von den neuen Funktionen nicht viel. Deshalb sollten Sie sich schon vor der Installation von Windows XP mit den Grundlagen des Volume Managements vertraut machen. Die konkreten Administrationsanweisungen zur Einrichtung von Administration ab Massenspeichern unter Window XP finden Sie in Kapitel 9 Adminis- Seite 447 tration der Massenspeicher ab Seite 447.
3.1.1
Aufbau des Volume Managements
Die grundsätzliche Struktur des Volume Managements ist in Logischer DiskAbbildung 3.1 dargestellt. Neu ist der Logische Diskmanager (Logical manager Disk Manager – LDM), mit dem die dynamischen Festplatten mit ihren dynamischen Datenträgern verwaltet werden. Er stellt auch die Funktionalität für Einfache Datenträger sowie für Übergreifende und Stripesetdatenträger bereit. Die Schnittstellen, über die der Logische Diskmanager implementiert Offene Schnittwurde, sind offen gelegt und damit auch anderen Herstellern zugäng- stellen lich. Diese können damit eigene professionelle Massenspeicherlösungen für Windows XP entwickeln.
84 _______________________________________________ 3 Massenspeicherverwaltung Abbildung 3.1: Bestandteile des Volume Managements von Windows XP
Festplatten und Datenträger Im folgenden Text werden immer wieder die Begriffe Festplatten und Datenträger benutzt. Zum besseren Verständnis der Ausführungen folgt hier zunächst eine kurze Definition dieser und der damit verbundenen Begriffe. Festplatten
Mit Festplatten werden die physischen Geräte zur Datenspeicherung bezeichnet, welche im betreffenden Computersystem eingebaut sind und unter Windows XP als Ganzes über die Datenträgerverwaltung eingerichtet werden können. Dabei wird zwischen dynamischen Festplatten und Basisfestplatten unterschieden.
Datenträger
Datenträger werden als logische Einheiten auf den Festplatten eingerichtet und können sowohl nur einen Teil einer Festplatte belegen oder sich sogar über mehrere Festplatten erstrecken (beispielsweise Übergreifende Datenträger oder Stripesetdatenträger).
Dynamische Festplatten
Dynamische Festplatten verfügen nicht mehr über Partitionstabellen, sondern werden über eine Datenträgerdatenbank verwaltet. Vorteil ist eine deutlich höhere Flexibilität und Sicherheit. Die meisten Konfigurationsänderungen benötigen deshalb keinen Neustart des gesamten Systems. In Abschnitt 3.3 Dynamische Festplatten ab Seite 100 wird dieser Festplattentyp ausführlich behandelt.
3.1 Das Volume Management_______________________________________________ 85 Es gibt allerdings auch dynamische Festplatten, die nach wie vor logi- Dynamische Festsche Datenträger über eine Partitionstabelle verwalten. Das sind bei- platten mit Partispielsweise System- und Startdatenträger. Lesen Sie weiter unten in tionstabellen diesem Text, warum das notwendig ist und was Sie dabei beachten müssen. Weitergehende Informationen finden Sie auch in Abschnitt 3.3.1 Erstellung und Aufbau dynamischer Festplatten ab Seite 101. Basisfestplatten stellen die Kompatibilitätsschnittstelle zum altherge- Basisfestplatten brachten partitionsorientierten Ansatz dar. Hier finden Sie auch den aus Windows NT bekannten Fault Tolerant Disk Manager (FT Disk) wieder, welcher in veränderter Form in Windows XP integriert worden ist. Aus Windows NT übernommene Partitionsgruppen können Sie unter Windows XP weiter nutzen und im Fehlerfall reparieren. Eine Neuanlage auf Basisfestplatten ist allerdings nicht möglich. Die Bedeutung von Basisfestplatten, die über eine Partitionstabelle verwaltet werden, geht über die Sicherstellung einer reinen Kompatibilität zu Windows NT hinaus. Die dynamische Festplattenverwaltung arbeitet erst, nachdem Windows XP gestartet worden ist. Für den Systemstart wird eine Festplatte mit einer Partitionstabelle und einem Master Boot Record inklusive Bootcode benötigt. Ferner lässt sich Windows XP ausschließlich auf einem Datenträger installieren, der über einen Eintrag in der Partitionstabelle verfügt. Sie erfahren mehr zur Installation von Windows XP in Kapitel 7 ab Seite 313. Auf dynamischen Festplatten können Sie dynamische Datenträger anle- Dynamische Datengen, welche sich flexibel erweitern lassen oder beispielsweise zu Stri- träger pesetdatenträgern zusammengefasst werden können. Als Basisdatenträger werden unter Windows XP auf Basisfestplatten Basisdatenträger angelegte Datenträger bezeichnet, die über Partitionen oder logische Laufwerke in erweiterten Partitionen erzeugt worden sind.
Dateisysteme Über FT Disk und dem Logischen Diskmanager liegt die Schicht für die Dateisysteme. Mit dieser Struktur wird deutlich, dass Funktionen für fehlertolerante Datenspeicherung oder übergreifende Datenträger nicht mehr vom verwendeten Dateisystem abhängig sind wie noch unter Windows NT. Logische Datenträger können unter Windows XP (wie bereits bei Windows 2000) mit jedem der unterstützten Dateisysteme FAT16, FAT32 oder NTFS betrieben werden. Für die Nutzung der Sicherheitsfunktionen und eine optimale Performance empfiehlt sich uneingeschränkt der Einsatz von NTFS auf allen Festplatten sowie auf Wechseldatenträgern mit mehr als 500 MB Kapazität.
86 _______________________________________________ 3 Massenspeicherverwaltung Dateisysteme ab Seite 125
Die unter Windows XP verfügbaren Dateisysteme werden eingehend in Kapitel 4 ab Seite 125 behandelt.
Administrationstool DATENTRÄGERVERWALTUNG Über das Massenspeicherverwaltungs-Interface greifen die Administrationstools unter Windows XP auf die einzelnen Komponenten des Volume Management zu. Mit dem Snap-In DATENTRÄGERVERWALTUNG für die Managementkonsole stellt Microsoft dazu ein umfassendes Werkzeug bereit. Sie können damit Basisfestplatten und Dynamische Festplatten konfigurieren sowie die Datenträger auf ihnen einrichten. DATENTRÄGERVERWAL- Das Tool DATENTRÄGERVERWALTUNG wird umfassend in Abschnitt TUNG ab Seite 453 9.1.2 DATENTRÄGERVERWALTUNG im Detail ab Seite 453 vorgestellt.
3.1.2
Übersicht über die Datenträger-Funktionen
Die folgende Tabelle enthält eine Übersicht über alle wesentlichen Funktionen der Massenspeicherverwaltung von Windows XP und 2000 im Vergleich zu Windows 9x/ME und Windows NT. Dazu finden Sie auch gleich die Angabe der Seite, wo Sie im vorliegenden Buch weitere Informationen beziehen können. Tabelle 3.1: Vergleich der Datenträgerfunktionen
Funktion
Windows –Version 9x/ME NT 4.0
Seite
2000
XP
Partitionen
3
3
3
3
88
Mehr als 1 primäre Part.
2
3
3
3
88
Partitionen vergrößern
2
2
2
3
461
Datenträgersätze
2
3
(3)
(3)
109
Fehlertoleranz-Funktionen
2
Server
Server
Server
2
Dynamische Festplatten
2
2
3
3
100
64 Bit-Support
2
2
2
3
115
Die in der Tabelle aufgeführten Funktionen werden nachfolgend kurz erläutert: Partitionen
Alle aufgeführten Betriebssysteme unterstützen den klassischen partitionsorientierten Ansatz. Hierbei wird auf die Festplatte ein Master Boot Record (MBR) geschrieben, der unter anderem die Partitionstabelle enthält. Dieses Konzept hat sich heute, vor allem im Hinblick auf die Flexibilität und Datensicherheit, weitgehend überlebt und wird von den modernen Betriebssystemen wie Windows 2000 und XP nur
3.1 Das Volume Management_______________________________________________ 87 noch aus Kompatibilitätsgründen und für den System- und Startdatenträger benötigt. Ab Windows NT 4.0 können Sie mehr als eine primäre Partition anle- Mehr als 1 primäre gen und nutzen (maximal 4). Windows 9x/ME unterstützt hingegen Partition nur eine primäre Partition. Benötigen Sie mehr logische Datenträger, müssen Sie neben der primären Partition eine erweiterte Partition anlegen und in dieser logische Laufwerke definieren. Dabei geht es um die nachträgliche Vergrößerung einer bestehenden Partition Partition, und zwar jeweils mit den standardmäßig verfügbaren Win- vergrößern dows-Bordmitteln. Allein Windows XP verfügt dazu über ein Kommandozeilentool, mit dessen Hilfe Sie eine Partition nachträglich noch vergrößern können (nicht zu verwechseln mit den dynamischen Datenträgern). Erstmals konnten Sie mit Windows NT logische Datenträger zu soge- Datenträgersätze nannten Datenträgersätzen zusammenführen. Damit lassen sich beispielsweise übergreifende Datenträger bilden, indem zwei oder mehr Partitionen zu einem einzigen logischen Datenträger zusammengefasst werden. Andere Datenträgersätze unter Windows NT sind Stripe Sets sowie Mirror Sets. Unter Windows 2000 und XP (nur 32 BitVersion) können Sie unter NT erstellte Datenträgersätze weiter benutzen, allerdings nicht mehr neu anlegen. Fehlertolerante Datenspeicherung bieten beispielsweise gespiegelte FehlertoleranzFestplatten. Beim Ausfall einer Festplatte bleibt die andere in Betrieb Funktionen und stellt so sicher, dass die Daten weiterhin im Zugriff bleiben. Derartige Datenträger lassen sich von Windows NT bis XP nur mit den jeweiligen Serverversionen einrichten und nutzen. Umfassende Informationen finden Sie dazu in unserem Buch Windows 2000 im Netzwerkeinsatz. Das Konzept der dynamischen Festplatten wurde mit Windows 2000 Dynamische erstmals eingeführt und bricht mit Beschränkungen, die das alte Kon- Festplatten zept der Partitionen mit sich bringt. Erst mit dynamischen Festplatten können Sie logische (dynamische) Datenträger erzeugen, die sich nachträglich erweitern lassen oder zu Stripesetdatenträgern mit hoher Performance zusammengefasst werden können. Neben der 32 Bit-Version bietet Windows XP noch eine 64 Bit-Version. 64 Bit-Support Hier werden allerdings hinsichtlich des Festplattenmanagements neue Funktionen benötigt, mit denen Sie sehr große und Performanceoptimierte Datenträger erzeugen und warten können.
3.2 Basisfestplatten und Partitionen Wenn Sie eine neue Festplatte in Ihr System einbauen, wird Windows XP, wenn die automatische Hardwareerkennung beim Systemstart funktioniert, diese über einen Assistenten als dynamische Festplatte einbinden wollen. Das ist die Standardvorgabe dieses Assistenten (siehe auch Abschnitt 9.2 Einrichtung einer neuen Festplatte ab Seite 483). Dieser Abschnitt beschäftigt sich allerdings mit den Grundlagen zu den Basisfestplatten. Diese benötigen Sie solange, wie Sie mit anderen Betriebssystemen als Windows 2000/XP auf die entsprechenden Festplatten zugreifen wollen.
3.2.1 Aufteilung der Festplatte durch Partitionieren
Partitionen und Partitionstypen
Eine leere Festplatte muss normalerweise vor der Nutzung durch ein Betriebssystem eingerichtet werden. Dabei wird die Festplatte üblicherweise in einen oder mehrere Bereiche (Partitionen) fest aufgeteilt. Das bedeutet, dass Sie sich vor der Einrichtung einer Festplatte Gedanken machen müssen, wie diese strukturiert werden soll. Die einfachste Variante besteht darin, die gesamte Festplatte mit einem einzigen logischen Datenträger zu versehen und zu formatieren. Das bietet allerdings keine besondere Flexibilität und Sicherheit. Besser ist es, Bereiche zu trennen und beispielsweise das Betriebssystem und die Anwendungsprogramme separat in einer Partition zu speichern und die Daten in einer anderen. Für Wechseldatenträger wird eine Partitionierung nicht unterstützt. Diese können Sie lediglich vollständig mit einem der unterstützten Dateisysteme formatieren. Bei der Partitionierung einer Basisfestplatte wird zwischen zwei grundlegenden Partitionstypen unterschieden: Primäre und Erweiterte Partition.
Primäre Partition Systempartition
Auf einer Festplatte können Sie bis zu vier primäre Partitionen anlegen. Eine primäre Partition kann nicht weiter unterteilt werden. Mit Hilfe des Partitionierungstools können Sie auf einer der installierten Festplatten genau eine der primären Partitionen als aktiv markieren. Von dort beginnt der Startvorgang des Betriebssystems. Die aktive primäre Partition wird auch mit Systempartition bezeichnet.
Erweiterte Partition Reicht die Unterteilung in vier primäre Partitionen nicht aus, können und logische Lauf- Sie statt einer primären eine erweiterte Partition erstellen. Diese ist alwerke lein noch nicht weiter benutzbar. In einer erweiterten Partition können
Sie dann logische Laufwerke anlegen. Diese sind genau wie primäre Partitionen nicht weiter teilbar. Ein logisches Laufwerk kann aller-
3.2 Basisfestplatten und Partitionen__________________________________________ 89 dings nicht als aktiv gekennzeichnet werden und demzufolge auch nicht als Systempartition dienen. Als Startpartition wird die Partition bezeichnet, welche die Betriebssys- Startpartition temdateien enthält. Unter Windows XP wird das betreffende Verzeichnis in %SystemRoot% hinterlegt (beispielsweise C:\Windows) und muss nicht auf der Systempartition liegen. Es kann sich auch auf einer anderen primären oder in der erweiterten Partition in einem logischen Laufwerk befinden. Windows NT und Windows 2000/XP unterstützen bis zu vier primäre Partitionen oder drei primäre mit eine erweiterte Partition. MS-DOS und Windows 9x/ME unterstützen nur genau eine primäre und eine erweiterte Partition. Unter Windows NT/2000/XP angelegte weitere primäre Partitionen werden nicht erkannt. Der Zugriff auf primäre Partitionen und logische Laufwerke erfolgt Zugriff über normalerweise über die Vergabe von Laufwerkbuchstaben. Es wird Laufwerkbuchhierbei nicht zwischen Groß- und Kleinschreibung unterschieden und staben... es sind nur Buchstaben des englischen Alphabets erlaubt. Damit ist die maximale Anzahl von Laufwerken, die Sie über Buchstaben ansprechen können, in einem System auf 26 beschränkt. A und B sind üblicherweise für Diskettenlaufwerke vorgesehen, die restlichen 24 Buchstaben stehen dann für weitere Datenträger zur Verfügung. Mit dem Snap-In DATENTRÄGERVERWALTUNG oder dem Kommandozeilentool DISKPART.EXE können Sie, außer für die System- und die Startpartition, die Laufwerkbuchstaben beliebig ändern (siehe auch Abschnitt 9.7 Datenträgerzugriff ändern ab Seite 526). Unter Windows XP haben Sie eine weitere Möglichkeit, mehr Über- ... und Bereitsichtlichkeit in Ihre Datenorganisation zu bringen. Sie können einen stellungspunkte logischen Datenträger über einen Bereitstellungspunkt innerhalb eines anderen Datenträgers einbinden. Ein Bereitstellungspunkt ist dabei für den Benutzer nichts anderes als ein Ordner, der sich an einer beliebigen Stelle innerhalb eines NTFS-formatierten Laufwerks befinden kann. Weitere Informationen finden Sie dazu in Abschnitt 4.3.3 Analysepunkte und Bereitstellungen ab Seite 149.
3.2.2
Aufbau einer Basisfestplatte im Detail
Der Aufbau einer Basisfestplatte unter Windows XP mit der Einteilung in eine oder mehrere primäre und gegebenenfalls eine erweiterte Partition entspricht der einer Festplatte unter Windows NT oder 2000. In Abbildung 3.2 ist als Beispiel eine Basisfestplatte dargestellt, die drei primäre und eine erweiterte Partition enthält, in der zwei logische Laufwerke angelegt sind. Das gewählte Beispiel zeigt eine Festplattenaufteilung, die nur mit Windows NT/2000 und XP kompatibel ist.
90 _______________________________________________ 3 Massenspeicherverwaltung Beachten Sie, dass hier die Zuordnung der Laufwerkbuchstaben C: und D: nachträglich nicht geändert werden kann (das gilt generell für den System- und den Startdatenträger). Master Boot Record
Der Master Boot Record (MBR) befindet sich im ersten physischen Sektor einer Basisfestplatte. Er enthält den für den Start eines Computers wichtigen Masterbootcode sowie die Partitionstabelle. Beim Systemstart wird der Masterbootcode vom BIOS gestartet und durchsucht als erste Aktion die Partitionstabelle nach einer aktiven Partition c. Als aktiv setzen Sie eine primäre Partition mit Hilfe des Partitionstools des Betriebssystems. Unter MS-DOS ist das FDISK, unter Windows XP das Snap-In DATENTRÄGERVERWALTUNG oder das Kommandozeilentool DISKPART.EXE.
Systempartition
Die aktive primäre Partition wird auch als Systempartition bezeichnet. Wurde beim Start die aktive Partition identifiziert, im Beispiel die primäre Partition 1 (siehe Abbildung 3.2), wird aus dem ersten Sektor dieser Partition der Bootsektor ausgelesen und ausgeführt d. Dieser enthält die Information, welches Programm, auch Urlader genannt, von der Systempartition geladen werden soll. Bei Windows XP ist dies, wie auch schon bei Windows NT/2000, das Programm NTLDR. Sie finden dies im Stammverzeichnis des Systemdatenträgers, allerdings durch die Attribute SCHREIBGESCHÜTZT, SYSTEM und VERSTECKT vor dem normalen Zugriff geschützt. NTLDR wird dann ausgeführt und installiert ein Minidateisystem, um die Datei BOOT.INI auszulesen und die verfügbaren Betriebssysteme anzuzeigen.
Abbildung 3.2: Aufbau einer Basisfestplatte
3.2 Basisfestplatten und Partitionen__________________________________________ 91 Über die Datei BOOT.INI wird schließlich das Betriebssystem von der Startpartition darin spezifizierten Partition gestartet e. Im Beispiel ist die primäre Partition 2 (als Laufwerk D:) die Startpartition, auf der sich der Ordner \Windows (das Basisverzeichnis von Windows XP, auch mit %SYSTEMROOT% bezeichnet) befindet. Die Startpartition muss nicht mit der Systempartition übereinstimmen. Sie kann sich sogar auf einer anderen physischen Festplatte befinden. Meist wird jedoch Windows XP auf der ersten primären Partition installiert. Dann sind Systemund Startpartition identisch. Für den Fall, dass auf die Bootfestplatte nicht mit INT 13h über das BIOS des Computers oder des SCSI-Adapters zugegriffen werden kann, ist NTLDR auch für das Laden eines Gerätetreibers verantwortlich. Dieser verbirgt sich in der Datei NTBOOTDD.SYS und ist eine Kopie des entsprechenden Treibers, beispielsweise AIC78XX.SYS für den SCSI-Controller Adaptec 2940 UW. Windows XP kann nur auf Datenträgern installiert und von diesen gestartet werden, die über einen Eintrag in der Partitionstabelle geführt werden. Damit kommen nur Basisdatenträger auf Basisfestplatten in Frage oder Basisdatenträger auf Dynamischen Festplatten, die aus Basisfestplatten konvertiert worden sind. Für diese Konvertierung sind einige Besonderheiten zu beachten. Weiterführende Informationen finden Sie dazu in Abschnitt 3.3.1 Erstellung und Aufbau dynamischer Festplatten ab Seite 101. Der Aufbau des Bootsektors ist abhängig vom verwendeten Dateisys- Bootsektor tem. Die Windows XP-Dateisysteme werden in Kapitel 4 ab Seite 125 näher beschrieben.
3.2.3
MBR und Partitionstabelle im Detail
Der Master Boot Record (MBR) wird durch das Partitionsprogramm in den ersten physischen Sektor der Festplatte geschrieben und besteht aus drei Hauptbestandteilen: • Masterbootcode • Datenträgersignatur • Partitionstabelle Abgeschlossen wird der MBR durch eine 2 Byte große Kennung, die immer den Wert 0x55AA enthält und auch Signaturwort oder Ende der Sektormarkierung genannt wird. In Tabelle 3.2 finden Sie die Bestandteile des MBR und deren Speicherorte auf der Festplatte durch Angabe des Adressoffsets.
92 _______________________________________________ 3 Massenspeicherverwaltung Tabelle 3.2: Aufbau des MBR
Offset Wert / Bezeichnung
Beschreibung
000h
Masterbootcode
Ermittelt die aktive Partition, auch Systempartition genannt, und lädt von dieser den Bootsektor
1B8h
Datenträgersignatur
Eindeutige Nummer zur Identifizierung der Festplatte im System
1BEh
Eintrag für 1. Partition
1CEh
Eintrag für 2. Partition
Enthält die vier Einträge für die Partitionstabelle mit je 16 Bytes (insgesamt 64 Bytes)
1DEh
Eintrag für 3. Partition
1EEh
Eintrag für 4. Partition
1FEh
0x55AA
Signaturwort, auch Ende der Sektormarkierung genannt – kennzeichnet das Ende des MBR
Die Partitionstabelle im MBR besteht aus einer 64 Byte großen Struktur und folgt einem betriebssystemunabhängigen Standard. Jeder der 4 Einträge ist 16 Byte lang. Die Struktur eines solchen Eintrags ist in der folgenden Tabelle dargestellt: Tabelle 3.3: Aufbau eines Partitionstabelleneintrags
Offset 00h
Feldlänge Bezeichnung Byte
Bootanzeige
(8 Bit)
Erklärung Gibt an, ob die Partition aktiv ist: 0x80 – Partition aktiv 0x00 – Partition nicht aktiv
01h
Byte
Startkopf
Nummer des ersten Kopfes der Partition
02h
6 Bit
Startsektor
Nummer des ersten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Startzylinder.
10 Bit
Startzylinder
Nummer des Startzylinders Mit 10-Bit können Werte von 0 bis 1 023 (insgesamt 1 024 Zustände) gesetzt werden.
04h
Byte
Systemkennung
Mit diesem Feld wird der Partitionstyp definiert. In Tabelle 3.4 sind die Partitionstypen aufgeführt.
05h
Byte
Endkopf
Nummer des letzten Kopfes der Partition
3.2 Basisfestplatten und Partitionen__________________________________________ 93 Offset 06h
Feldlänge Bezeichnung 6 Bit
Endsektor
Erklärung Nummer des letzten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Endzylinder.
10 Bit
Endzylinder
Nummer des Endzylinders Mit den 10-Bit können Werte von 0 bis 1 023 (insgesamt 1 024 Zustände) gesetzt werden.
08h
DWORD (32 Bit)
0Ch
DWORD
Relative Sektoren Mit dieser 32-Bit-Nummer wird der Offset vom Anfang der physischen Festplatte angegeben. Gesamtsektoren
Gesamtzahl an Sektoren dieser Partition
Dieser Aufbau trifft nur für die Partitionstabelle im MBR zu, mit der vier primäre Partitionen oder drei primäre und eine erweiterte Partition definiert werden können. Werden weniger als vier Partitionen angelegt, so ist der Rest der Partitionstabelle mit Nullen überschrieben. Der Aufbau der erweiterten Partitionstabelle der logischen Laufwerke ist in Abschnitt 3.2.4 Erweiterte Partitionstabelle ab Seite 94 beschrieben. Die Kennungen für die verfügbaren Partitionstypen sind in Tabelle 3.4 aufgeführt. Mit ihnen wird festgelegt, mit welchem Dateisystem (siehe auch Kapitel 4 Dateisysteme ab Seite 125) der Datenträger formatiert ist und ob er Teil einer Partitionsgruppe ist. Typ
Beschreibung
0x01
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT12-Dateisystem
0x04
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT16-Dateisystem (bis 32 MB-Partitionen)
0x05
Erweiterte Partition
0x06
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem BIGDOS FAT16-Dateisystem (32 MB bis 4 GBPartitionen)
0x07
Partition oder logisches Laufwerk unter NTFS
0x0B
Partition oder logisches Laufwerk unter FAT32
0x0C
Partition oder logisches Laufwerk unter FAT32 mit BIOS Int 13hErweiterungen (LBA)
94 _______________________________________________ 3 Massenspeicherverwaltung Typ
Beschreibung
0x0E
Partition oder logisches Laufwerk unter BIGDOS FAT16 mit BIOS Int 13h-Erweiterungen (LBA)
0x0F
Erweiterte Partition mit BIOS Int 13h-Erweiterungen (LBA)
0x12
EISA-Partition
0x42
Dynamischer Datenträger
0x86
mit FT Disk verwalteter FAT16-Datenträger, der Teil einer Partitionsgruppe ist
0x87
mit FT Disk verwalteter NTFS-Datenträger, der Teil einer Partitionsgruppe ist
0x8B
mit FT Disk verwalteter FAT32-Datenträger, der Teil einer Partitionsgruppe ist
0x8C
mit FT Disk verwalteter FAT32-Datenträger mit BIOS Int 13hErweiterungen, der Teil einer Partitionsgruppe ist
0xEE
Partitionstypeintrag im geschützten MBR einer GPT-Disk (GUID Partition Table; siehe auch Abschnitt 3.4 Festplatten unter Windows XP 64 Bit ab Seite 115)
0xEF
Kennzeichnet eine MBR-Festplatte als ESP-Disk (EFI System Partition; siehe auch Abschnitt 3.4 Festplatten unter Windows XP 64 Bit ab Seite 115), welche zum Start eines Betriebssystems genutzt werden kann Sowohl Windows XP 32 Bit als auch 64 Bit unterstützen diesen Partitionstyp nicht.
Diese Partitionstypen werden durch die Microsoft Betriebssysteme MS-DOS, Windows 3x/9x/ME sowie Windows NT/2000/XP verwendet. Andere Betriebssysteme können hiervon abweichende Kennungen einsetzen.
3.2.4
Erweiterte Partitionstabelle und logische Laufwerke
Die logischen Laufwerke in einer erweiterten Partition werden durch eine verkettete Liste von so genannten erweiterten Partitionstabellen beschrieben. Diese Liste ist so aufgebaut, dass jede erweiterte Partitionstabelle einen Eintrag auf die Tabelle des nächsten logischen Laufwerks enthält. Beim letzten logischen Laufwerk endet diese Liste, indem der Zeiger auf das nächste Laufwerk leer bleibt. Die folgende Tabelle zeigt die Grundstruktur einer erweiterten Partitionstabelle. Die vier Einträge sind wie bei der primären Partitionstabelle je 16 Byte groß und enthalten die gleichen Felder wie diese (siehe Tabelle 3.3 auf
3.2 Basisfestplatten und Partitionen__________________________________________ 95 Seite 92). Es werden allerdings nur die ersten beiden Einträge benutzt, Nummer drei und vier bleiben leer. Eintrag
Inhalt
1
Daten des aktuellen logischen Laufwerks
2
Daten des nächsten logischen Laufwerks; ist keines mehr vorhanden, bleibt der Eintrag leer
3
nicht verwendet
4
nicht verwendet
Tabelle 3.5: Struktur der erweiterten Partitionstabelle
Durch diese Konstruktion können Sie theoretisch beliebig viele logische Laufwerke anlegen – zumindest solange die 24 Buchstaben zur Vergabe eines Laufwerkbuchstabens ausreichen. Unter Windows XP haben Sie aber auch die Möglichkeit, auf Laufwerkbuchstaben zu verzichten und die logischen Laufwerke über Bereitstellungspunkte in NTFS-Datenträger einzubinden (siehe dazu auch Abschnitt 9.7 Datenträgerzugriff ändern ab Seite 526).
3.2.5
Die Datei BOOT.INI
Die Datei BOOT.INI liegt im Stammverzeichnis auf der Systempartition und wird beim Start durch NTLDR ausgelesen (siehe auch Abschnitt 3.2.2 Aufbau einer Basisfestplatte im Detail ab Seite 89). Sie wird bei der Installation von Windows XP im Stammverzeichnis angelegt und dient dazu, die Liste der verfügbaren Betriebssysteme beim Start anzubieten. Verfügt Ihr System nur über eine einzige Windows XPInstallation, erscheint beim Start kein Auswahlmenü. Die BOOT.INI existiert aber trotzdem. In Abschnitt 9.1.5 Die BOOT.INI bearbeiten ab Seite 475 erfahren Sie, BOOT.INI bearbeiten ab Seite 475 welche Möglichkeiten es gibt, diese Datei zu bearbeiten.
Grundsätzlicher Aufbau Die folgende Beispiel-BOOT.INI enthält eine Boot-Konfiguration für Windows 2000 und Windows XP. [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINNT="Win 2000" /fastdetect multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="XP Prof" /fastdetect
Um einen Umbruch in der Darstellung zu vermeiden, wurden die Betriebssystembezeichnungen gekürzt. Standardmäßig wird eine
Abbildung 3.3: Beispiel einer BOOT.INI für Dualboot
96 _______________________________________________ 3 Massenspeicherverwaltung Windows XP Professional-Installation mit »Microsoft Windows XP Professional« bezeichnet. Die Datei ist in zwei Sektionen unterteilt: [boot loader]
• [boot loader]
In der ersten Sektion sind der timeout- und der default-Eintrag untergebracht. Mit timeout geben Sie die Zeitspanne in Sekunden an, die das Auswahlmenü auf eine Reaktion des Benutzers warten soll. Ist diese Zeitspanne verstrichen (Standard: 30 Sekunden), wird der hinter default stehende Betriebssystemeintrag zum Starten verwendet. [operating systems]
• [operating systems] Hier sind die startbaren Betriebssysteme mit ihrer Startposition, dem Verweis auf die jeweilige Startpartition, hinterlegt. Dabei wird die sogenannte erweiterte RISC-Namenskonvention benutzt. Im nachfolgenden Abschnitt werden diese auch als ARC-Pfadnamen bezeichneten Verweise näher betrachtet.
ARC-Pfadnamen drei SyntaxKlassen
Die ARC-Pfadnamen (ARC – Advanced RISC Computing) genannten Verweise werden in drei Syntax-Klassen eingeteilt: • Multi-Syntax • SCSI-Syntax • Signature-Syntax
Multi-Syntax
Die für die Installation eines Windows XP-Systems meistgenutzte Syntax ist die Multi-Syntax. multi(a)disk(b)rdisk(c)partition(d)
Die einzelnen Parameter haben die folgende Bedeutung: Tabelle 3.6: Parameter Parameter der Multia Syntax b
Bedeutung Nummer des Adapters (beginnend bei 0) bei Multisyntax immer 0
c
Nummer der Festplatte am Adapter (0 bis 3)
d
Nummer der Partition (beginnend mit 1)
Die Multi-Syntax wird für alle Bootfestplatten durch das SetupProgramm von Windows XP eingerichtet, die das Booten über einen INT 13h-Aufruf durch das BIOS des Computers beziehungsweise
3.2 Basisfestplatten und Partitionen__________________________________________ 97 eines SCSI-Adapters ermöglichen. Damit wird diese Syntax nur unter den folgenden Bedingungen eingerichtet: • Im Computer wird ein IDE-Festplatteninterface mit bis zu zwei Kanälen und maximal 2 Festplatten pro Kanal benutzt. • Benutzen Sie einen Computer mit SCSI-Interface, so wird die Multi-Syntax für die ersten beiden Festplatten am ersten Adapter eingerichtet. Bedingung ist, dass der SCSI-Adapter ein eigenes BIOS mit INT 13h-Erweiterung zum Booten einsetzt. • Besitzt Ihr Computer sowohl IDE- als auch SCSI-Adapter, wird die Multi-Syntax nur für die Bootfestplatten eingerichtet, die am ersten IDE-Adapter beziehungsweise am ersten SCSI-Adapter angeschlossen sind. Die SCSI-Syntax wird für den Zugriff auf die Bootfestplatte mittels SCSI-Syntax Gerätetreiber (ohne INT 13h-Unterstützung) durch das SetupProgramm eingerichtet. scsi(a)disk(b)rdisk(c)partition(d)
Die einzelnen Parameter haben die folgende Bedeutung: Parameter Bedeutung a
Nummer des SCSI-Adapters (beginnend bei 0)
b
Nummer der physischen Festplatte (beginnend bei 1)
Tabelle 3.7: Parameter der SCSISyntax
Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer). c
die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)
d
Nummer der Partition (beginnend mit 1)
Die SCSI-Syntax wird meist dann verwendet, wenn Ihr Computersystem über einen SCSI-Adapter ohne eigenes BIOS verfügt. Von der Systempartition bzw. dem Systemdatenträger oder der Bootdiskette wird zum Zugriff der entsprechende SCSI-Gerätetreiber geladen. Eine spezielle Form des Zugriffs auf Bootfestplatten mit SCSI-Interface Signature-Syntax stellt die Verwendung der Signature-Syntax dar. Dabei wird unabhängig von einer Adapter-Nummer die Bootfestplatte mit Hilfe ihrer eindeutigen Signature identifiziert. Diese Signature ist Bestandteil des Master Boot Records jeder Festplatte (siehe Abschnitt 3.2.3 MBR und Partitionstabelle im Detail ab Seite 91). Der grundsätzliche Aufbau einer Signature-Syntax lautet: signature(a)disk(b)rdisk(c)partition(d)
Die einzelnen Parameter haben die folgende Bedeutung:
98 _______________________________________________ 3 Massenspeicherverwaltung Tabelle 3.8: Parameter der Signature-Syntax
Parameter Bedeutung a
eindeutige Signatur der Festplatte (als hexadezimale Zahl)
b
Nummer der physischen Festplatte (beginnend bei 1) Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer).
c
die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)
d
Nummer der Partition (beginnend mit 1)
Die Signature-Syntax wird beispielsweise dann durch das SetupProgramm eingerichtet, wenn zwar ein INT 13h-BIOS für IDEFestplatten vorhanden ist, die Installation jedoch auf einer SCSIFestplatte vorgenommen wird. Der SCSI-Controller für diese Festplatte verfügt dabei über kein BIOS (beziehungsweise wurde deaktiviert).
Weitere Parameter in der BOOT.INI Parameter nach den ARC-Pfadnamen
Abbildung 3.4 Erweiterte Windows XP-Startoptionen (F8-Menü)
Hinter den ARC-Pfadnamen können Sie über Parameter das Startverhalten von Windows XP beeinflussen. Einige der wichtigsten Parameter lassen sich ohne direkte Bearbeitung der Datei BOOT.INI über das F8-Menü setzen. In Abbildung 3.4 sind die Einträge des F8-Menüs den daraus generierten Parametern in der BOOT.INI in Tabelle 3.9 gegenübergestellt. Diese Parameter werden dabei nicht tatsächlich in der BOOT.INI fest verankert, sondern nur für den nächsten Start verwendet.
3.2 Basisfestplatten und Partitionen__________________________________________ 99 Option /SAFEBOOT:
Tabelle 3.9: F8 Menü-Optionen Startet Windows XP im abgesicherten Modus. Dabei in der BOOT.INI gibt es die folgenden Varianten:
Bedeutung
c
MINIMAL
d
NETWORK
Windows XP wird mit einer minimalen Anzahl an Gerätetreibern im VGA-Grafikmodus (16 Farben bei einer Auflösung von 640 x 480) gestartet. Zusätzlich zur MINIMAL-Konfiguration werden die Netzwerktreiber geladen.
e
MINIMAL (ALTERNATESHELL) Es wird zwar in den VGA-Grafikmodus (mit 16 Farben bei einer Auflösung von 640 x 480) umgeschaltet, allerdings als einzige Anwendung nur CMD.EXE in einem Eingabeaufforderungs-Fenster gestartet. Sie können allerdings den WindowsExplorer über Eingabe von EXPLORER.EXE an der Kommandozeile oder über den Task-Manager (siehe Abschnitt 8.3 Task-Manager ab Seite 419) nachträglich starten.
/BOOTLOG
f /BASEVIDEO
g /DEBUG
h
Beim Start wird eine Protokolldatei im Verzeichnis %SYSTEMROOT%\NTBTLOG.TXT angelegt, in der das Laden aller Treiber festgehalten wird. Dies kann für die Fehlersuche nützlich sein. Lädt beim Umschalten in den Grafikmodus nur den Standard VGA-Treiber mit 16 Farben bei 640 x 480 Startet Windows XP im Debug-Modus mit der Standardeinstellung für COM-Port 1 bei einer Übertragungsrate von 19 200 Baud
Neben den in Tabelle 3.9 erläuterten Parametern gibt es weitere, die für die Administration und Fehlersuche in Windows XP wichtig sein können. Option /BAUDRATE=
/BURNMEMORY=
Tabelle 3.10: Andere wichtige Kann alternativ zu /DEBUG angewandt werden, um Optionen in der den Debug-Modus zu starten. Dazu kann eine andere Boot.ini Baudrate eingestellt werden (Standard bei Verwendung von /DEBUG ist eine Baudrate von 19 200).
Bedeutung
Limitiert den Speicher wie /MAXMEM, nur dass Sie hier angeben, um wie viel MB der physische Hauptspeicher für die Nutzung durch Windows XP reduziert werden soll.
Startet Windows auch im Debug-Modus. Es lässt sich der gewünschte serielle Port (COM1 bis COM4) oder der Firewire-Port (1394) angeben.
/FASTDETECT
Mit /FASTDETECT wird das Programm NTDETECT.COM, welches beim Systemstart ausgeführt wird, angewiesen, auf die Erkennung von parallelen und seriellen Geräten zu verzichten, da unter Windows XP dies spezielle Plug&Play-Gerätetreiber übernehmen. Unter Windows NT 4 gibt es diese Plug&Play-Gerätetreiber nicht (ist Aufgabe von NTDETECT.COM) und diese Option hat keine Wirkung. Diese Option wird prophylaktisch durch das SetupProgramm gesetzt und berücksichtigt damit eine eventuelle Dual-Boot-Konfiguration, bei der NTDETECT.COM sowohl von Windows 2000/XP als auch von Windows NT benutzt wird.
/MAXMEM=
Limitiert den Hauptspeicher, den Windows nutzen soll, auf den Wert, den Sie (in MB) für diese Option eintragen.
/NOGUIBOOT
Veranlasst Windows XP, ohne grafische Ausgabe über den VGA-Treiber zu starten. Es werden keine Meldungen über den Boot-Fortgang gegeben, allerdings auch keine Blue Screens erzeugt, falls das System beim Start zusammenbricht.
/NUMPROC=
Veranlasst Windows XP, bei einer MehrprozessorMaschine nur die mit angegebene Anzahl an Prozessoren zu verwenden.
/SOS
Gibt die Namen der Treiberdateien aus, die während des Startprozesses geladen werden.
Einen Teil der Optionen benötigen Sie nur, wenn Sie für Windows XP entwickeln. Darüber hinaus gibt es noch weitere Parameter, die allerdings nur bei den Windows-Serverversionen wirksam sind. Weitere Informationen finden Sie in Abschnitt 9.1.5 Die BOOT.INI bearbeiten ab Seite 475.
3.3 Dynamische Festplatten Die eigentliche Neuerung im Bereich der Massenspeicherverwaltung von Windows stellen die dynamischen Festplatten dar. Diese wurden mit Windows 2000 eingeführt und finden sich auch unter XP wieder. Dabei wurde der bisherige partitionsorientierte Ansatz, der unter dem Begriff Basisfestplatten weiterhin fester Bestandteil des Systems bleibt,
3.3 Dynamische Festplatten _______________________________________________ 101 zugunsten einer sehr viel flexibleren Struktur weitgehend aufgegeben. Der Preis dafür ist allerdings Inkompatibilität zu anderen Betriebssystemen, auch zu Windows NT oder 9x/ME aus dem eigenen Haus. Beim Einsatz dieser neuen Technologie gibt es aber einige Besonderheiten zu beachten. In den folgenden Abschnitten werden Ihnen die technischen Hintergründe dazu nähergebracht.
3.3.1
Erstellung und Aufbau dynamischer Festplatten
Wenn Sie eine neue Festplatte in Ihr System einbinden wollen, können Sie sich zwischen den zwei grundlegenden Typen Basisfestplatte und Dynamische Festplatte entscheiden. Standardmäßig richtet Windows XP eine neue Platte über den Assistenten bevorzugt als dynamische Festplatte ein (siehe auch Abschnitt 9.2 Einrichtung einer neuen Festplatte ab Seite 483). Über die DATENTRÄGERVERWALTUNG können Sie eine bestehende Basisfestplatte aber jederzeit nachträglich in eine dynamische Festplatte konvertieren.
Erstellung von dynamischen Festplatten Erst mit dem Konvertieren einer Basis- in eine dynamische Festplatte stehen Ihnen alle neuen Möglichkeiten des Datenträgermanagements von Windows XP zur Verfügung. Diese Konvertierung nehmen Sie über die DATENTRÄGERVERWALTUNG vor, die als Snap-In für die Windows Managementkonsole (MMC) ausgeführt ist. Mehr zu den konkreten Administrationsschritten finden Sie in Abschnitt 9.4.1 Basis- in dynamische Festplatten konvertieren ab Seite 499. Beachten Sie, dass auf dynamische Festplatten von den Betriebssystemen MS-DOS, Windows 3.x, Windows 9x/ME und Windows NT nicht zugegriffen werden kann. Obwohl sich im Detail einige Änderungen gegenüber Windows 2000 ergeben haben, bleibt die Kompatibilität gewahrt und der Zugriff durch Windows 2000 uneingeschränkt möglich. Prinzipiell können Sie jede Basisfestplatte in eine dynamische Festplat- Datenträgerdatente konvertieren. Dabei werden bestehende Datenträger in dynamische bank anstelle Datenträger überführt. Dynamische Datenträger werden auf dynami- Partitionstabelle schen Festplatten nicht mehr über die Partitionstabelle, sondern über die Datenträgerverwaltungsdatenbank geführt. Für das Neuanlegen der Datenträgerdatenbank wird ein kleiner freier, unpartitionierter Speicherplatz auf der betroffenen Festplatte benötigt. Die Größe dieses Bereichs reicht von ca. einem MB bis zu einem Prozent der Festplattengröße. Steht dieser nicht zur Verfügung, kann die Konvertierung nicht durchgeführt werden.
102______________________________________________ 3 Massenspeicherverwaltung Wenn Sie mit Windows 2000 oder XP Basisfestplatten partitionieren, wird automatisch etwas Platz für ein späteres Konvertieren in eine dynamische Festplatte reserviert. In der DATENTRÄGERVERWALTUNG wird dieser freie Speicherbereich aber nicht separat angezeigt. Partitionieren Sie eine Festplatte allerdings unter einem anderen Betriebssystem, kann es sein, dass kein freier Speicherplatz mehr zur Verfügung steht. Dann bleibt Ihnen leider nichts anderes übrig, als eine Partition zu löschen und entsprechend etwas kleiner neu anzulegen. Mit Tools von Drittherstellern wie Partition Magic (www.powerquest.de) können Sie Partitionen von Basisfestplatten dynamisch in der Größe anpassen, ohne dass Daten verloren gehen. Windows XP bietet Ihnen nur das Tool DISKPART.EXE, mit dessen Hilfe Sie eingeschränkt Partitionen nachträglich vergrößern können (siehe Abschnitt Erweitern logischer Datenträger mit DISKPART ab Seite 461). Partitionstabelle nach wie vor für:
Aber auch nach dem Konvertieren einer Basis- in eine dynamische Festplatte verliert die Partitionstabelle nicht vollends ihre Bedeutung. Für den Start des Betriebssystems und die Windows XP-Systemdateien bleibt sie erhalten:
Systemdatenträger
• Der Systemdatenträger, der den Urlader NTLDR enthält, wird nach wie vor über die Partitionstabelle geführt und verfügt auch über einen MBR (siehe auch Abschnitt 3.2.3 MBR und Partitionstabelle im Detail ab Seite 91).
Startdatenträger
• Der Startdatenträger, der die Betriebssystemdateien enthält (das Verzeichnis %SYSTEMROOT%, z.B. C:\Windows), muss ebenfalls in der Partitionstabelle geführt werden. Die Partitionstabelle wird also nach wie vor benötigt. Damit ergibt sich aber eine wesentliche Einschränkung, die Sie beachten sollten: Über die Partitionstabelle geführte dynamische Datenträger, die auf einer dynamischen Festplatte liegen, können nicht nachträglich erweitert werden. Das betrifft aber nur den System- und Startdatenträger. Anders als bei Windows 2000 werden alle anderen Datenträger, die sich zum Zeitpunkt der Konvertierung auf einer Basisfestplatte befinden, aus der Partitionstabelle entfernt und stehen dann als »richtige« dynamische Datenträger zur Verfügung. Somit können auch unter Windows XP konvertierte dynamische Datenträger nachträglich erweitert werden (siehe auch nächster Abschnitt).
Einschränkungen für Erweiterbarkeit
Das war mit Windows 2000 leider nicht möglich. Hier werden alle Datenträger, die bei der Konvertierung in eine dynamische Festplatte existiert haben, weiterhin über die Partitionstabelle geführt. Eine Erweiterung über die DATENTRÄGERVERWALTUNG ist damit nicht möglich, da diese, wie übrigens auch bei Windows XP, nur die Datenträgerverwaltungsdatenbank dynamisch anpassen kann.
3.3 Dynamische Festplatten _______________________________________________ 103 Müssen Sie System- oder Startdatenträger von Windows XP dynamisch in der Größe verändern, bleibt Ihnen noch der Weg über Tools von Drittanbietern wie das schon genannte Programm Partition Magic (www.powerquest.de). Da dieses wie die meisten dieser Tools dynamische Festplatten nicht unterstützt, sollten Sie die Größenanpassung vor einer Konvertierung an der Basisfestplatte durchführen.
Unterschiede zum Konvertieren unter Windows 2000 Beim Konvertieren von Basisfestplatten zu dynamischen Festplatten mit der Übernahme logischer Datenträger gibt es einen entscheidenden Unterschied zu Windows 2000: Übernommene Datenträger auf Basisfestplatten werden nach der Konvertierung unter Windows XP nicht mehr in der Partitionstabelle geführt. Damit sind diese konvertierten logischen Datenträger auch erweiterbar.
Konvertierte logische Datenträger sind jetzt erweiterbar!
Anders noch bei Windows 2000: Hier sind konvertierte logische Datenträger grundsätzlich nicht erweiterbar, da diese zusätzlich zur Datenträgerdatenbank immer noch über die Partitionstabelle mit verwaltet werden. Damit ergibt sich eine Einschränkung, welche die Vorteile dynamischer Datenträger in der Praxis oft ungenutzt lässt. Die meisten Anwender und Administratoren sind sich dieses Umstands nicht bewußt und partitionieren zuerst die Festplatten, die standardmäßig als Basisfestplatten unter Windows 2000 eingerichtet werden, und konvertieren diese erst später in dynamische Festplatten. Dann sind die so angelegten und konvertierten Datenträger allerdings nicht mehr erweiterbar. Umgehen können Sie das Dilemma unter Windows 2000 nur, wenn Sie eine neue Festplatte vor der weiteren Einteilung in eine dynamische umwandeln.
Windows 2000: Starke Einschränkungen für konvertierte logische Datenträger
Unter Windows XP haben Sie diese Einschränkung für konvertierte dynamische Datenträger nicht mehr. Allerdings betrifft das nicht konvertierte Datenträger, die Sie von Windows 2000 übernehmen. Da diese nach wie vor in der Partitionstabelle verankert sind, können sie auch unter Windows XP nicht wie »richtige« dynamische Datenträger behandelt werden. Hier bleibt dann nur die Datensicherung, Löschung und Neuanlage des Datenträgers.
Achtung bei übernommenen Datenträgern von Windows 2000
Eine wichtige Einschränkung für die Nutzung dynamischer Datenträ- Einschränkungen ger bleibt aber bestehen: System- und Startdatenträger lassen sich für System- und grundsätzlich nicht erweitern und behalten ihre Einträge in der Parti- Startdatenträger tionstabelle. Weitere Informationen finden Sie dazu auch in Abschnitt 3.3.2 Einschränkungen für dynamische Festplatten ab Seite 106.
104______________________________________________ 3 Massenspeicherverwaltung Aufbau und Funktionen dynamischer Festplatten Datenträgerverwaltungsdatenbank
Dynamische Festplatten verfügen zur Verwaltung der auf ihnen eingerichteten dynamischen Datenträger über eine Datenträgerverwaltungsdatenbank. Diese ist am physischen Ende der Festplatte untergebracht. In Abbildung 3.5 ist der prinzipielle Aufbau dargestellt.
Abbildung 3.5: Aufbau dynamischer Festplatten
Die Datenträgerverwaltungsdatenbank der im System vorhandenen dynamischen Festplatten wird automatisch repliziert, sodass im Falle einer Beschädigung der Datenträgerinformationen diese durch die Windows XP-eigenen Mechanismen besser wiederhergestellt werden können. Beachten Sie, wenn Sie Reparaturprogramme für Datenträger von Drittherstellern einsetzen wollen, dass diese ausdrücklich Windows XP-kompatibel sind und dynamische Datenträger unterstützen. Anderenfalls könnte ihre Anwendung zu Datenverlusten führen! Dynamische Datenträger, die Sie auf dynamischen Festplatten mit Hilfe der Datenträgerverwaltung anlegen, können in die folgenden Gruppen eingeteilt werden. Dabei wird zwischen der Speicherung mit und ohne Fehlertoleranz unterschieden: Speicherung ohne Fehlertoleranz Ð
• Einfacher Datenträger Er entspricht der kleinsten Einheit eines logischen Laufwerks auf einer dynamischen Festplatte. Einfache Datenträger können erwei-
3.3 Dynamische Festplatten _______________________________________________ 105 tert werden, indem freier Speicherplatz auf derselben oder einer anderen dynamischen Festplatte hinzugefügt wird (siehe auch Abschnitt 3.3.3 Einfache Datenträger und ihre Erweiterung ab Seite 109). • Übergreifender Datenträger Ein übergreifender Datenträger entsteht, wenn mindestens zwei freie Bereiche auf zwei dynamischen Festplatten zusammengefasst werden oder ein einfacher Datenträger entsprechend erweitert wird. Logisch verhält sich dieser Datenträger dann wie eine einzige große Einheit. • Stripesetdatenträger Für eine Erhöhung der Performance können Sie mindestens zwei gleich große freie Bereiche, die sich auf verschiedenen physischen Festplatten befinden müssen, zu einem logischen Stripesetdatenträger verbinden. Die Daten werden zwischen diesen Bereichen aufgeteilt, sodass die Transferraten und Antwortzeiten beider Festplatten gebündelt zur Datenspeicherung genutzt werden können (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 110). • RAID 5-Datenträger Diese besondere Form des Stripesetdatenträgers verfügt über eine hohe Fehlertoleranz. Diese wird dadurch erreicht, dass separate Paritätsinformationen verteilt gespeichert werden, sodass beim Ausfall einer Festplatte die Daten problemlos rekonstruiert werden können. Dazu werden mindestens drei Festplatten benötigt, wobei sich der effektiv nutzbare Platz hierbei um ein Drittel verringert (für die Paritätsinformationen). Bei vier Festplatten geht demzufolge ein Viertel verloren, bei fünf ein Fünftel usw. Vorteil ist die bessere Speicherplatzausnutzung als bei rein gespiegelten Datenträgern. Von Nachteil ist allerdings die bei einer reinen Softwarelösung verminderte Schreib-Performance. Die Lesegeschwindigkeit kann aber im Idealfall an die eines Stripesetdatenträgers heranreichen. • Gespiegelter Datenträger Maximale Fehlertoleranz für Festplatten erreichen Sie über die Einrichtung gespiegelter Datenträger. Dabei werden die eingesetzten Festplatten redundant zur Speicherung der Daten genutzt. Es könne jeweils zwei Festplatten zu einem gespiegelten Datenträger verbunden werden, wobei nur die Hälfte der gesamten Kapazität tatsächlich genutzt werden kann. Dynamische Datenträger, die Fehlertoleranzfunktionen bieten, können Sie nur mit einer der Windows 2000/XP-Serverversionen erstellen und nutzen. Weitere Hinweise finden Sie dazu auch in unserem Buch Windows 2000 im Netzwerkeinsatz.
106______________________________________________ 3 Massenspeicherverwaltung Prinzipiell können Sie auf einer dynamischen Festplatte beliebig viele Datenträger anlegen. Eine Limitierung gibt es nicht. Allerdings ist die Praktikabiltät bei deutlich mehr als zehn logischen Datenträgern pro Festplatte sicher fraglich. Datenträger remote Als Administrator können Sie aber eine Windows XP-Arbeitsstation auf Servern einnutzen, um über die Remoteverwaltungsfunktionen der Managerichten mentkonsole (MMC) DATENTRÄGERVERWALTUNG für ein Windows
2000/XP-Serversystem die dynamischen fehlertoleranten Datenträger einzurichten und zu warten. Nehmen Sie die Verbindung über die MMC zu einem entsprechenden Serversystem auf, erscheinen auch die dazu unterstützten Funktionen wie eben die für die Einrichtung von fehlertoleranten dynamischen Datenträgern.
Zurückkonvertieren von dynamischen Festplatten Zurückkonvertieren Ein Zurückkonvertieren einer dynamischen in eine Basisfestplatte ist nicht wirklich mög- nur für eine leere Festplatte möglich. Das bedeutet, dass Sie zuerst alle lich! Daten sichern und alle bestehenden dynamischen Datenträger auf der
Festplatte löschen müssen. Erst dann können Sie das Zurückkonvertieren in eine Basisfestplatte über die DATENTRÄGERVERWALTUNG oder das Kommandozeilentool DISKPART.EXE vornehmen (siehe dazu Abschnitt 9.4.2 Dynamische in Basisfestplatten konvertieren ab Seite 502). Einen wirklichen Weg zurück ohne Datenverlust gibt es also nicht. Beim Zurückkonvertieren wird die Datenträgerverwaltungsdatenbank gelöscht. Ein Übertragen der Datenträgerinformationen in eine dann zu erstellende oder zu erweiternde Partitionstabelle wird allerdings nicht vorgenommen. Technisch wäre das sicherlich realisierbar, wird von Microsoft aber wegen des Aufwands oder aus anderen Erwägungen nicht unterstützt. Stattdessen muss die dynamische Festplatte vor der Zurückkonvertierung erst geleert werden. Das bedeutet, dass Sie alle logischen Datenträger auf dieser Festplatte löschen müssen.
3.3.2
Einschränkungen für dynamische Festplatten
Bei der Nutzung dynamischer Festplatten sollten Sie die folgenden Punkte beachten, für die diese Technologie Probleme mit sich bringen kann oder gar nicht zulässig ist:
Installation von Windows XP Setup benötigt Festplatte mit Partitionstabelle
Wie schon in Abschnitt Erstellung von dynamischen Festplatten ab Seite 101 dargelegt, werden »richtige« dynamische Datenträger nur noch über die Datenträgerverwaltungsdatenbank geführt. Für den Start des Betriebssystems taugen solche Datenträger allerdings nicht. Sowohl
3.3 Dynamische Festplatten _______________________________________________ 107 der System- als auch der Startdatenträger können zwar auf einer dynamischen Festplatte liegen, müssen aber mit einem Eintrag in der zusätzlich erforderlichen Partitionstabelle geführt werden. Das SetupProgramm erkennt anderenfalls den gewünschten Zieldatenträger nicht und verweigert die Installation. Damit bleiben Ihnen nur zwei Alternativen: 1. Sie installieren Windows XP auf einer Basisfestplatte. Bei dieser Unproblematisch: werden alle angelegten Datenträger generell nur über die Partiti- Installation auf onstabelle geführt und stehen damit für das Setup-Programm im Basisfestplatte direkten Zugriff. 2. Sie installieren Windows XP auf einer dynamischen Festplatte, auf 2 Alternativen: der sich Datenträger befinden, die zuvor auf der ursprünglichen Basisfestplatte gelegen haben und mit umgewandelt worden sind. Wurde diese Basisfestplatte unter Windows 2000 umgewandelt, Konvertierte Basissind dabei bestehende Datenträger danach generell noch in der datenträger aus Partitionstabelle vorhanden. Das ist auch der Grund dafür, dass Windows 2000 diese Datenträger sich nachträglich nicht in der Größe erweitern lassen. Damit können Sie Windows XP auf jedem dieser Datenträger installieren. Weitere Informationen finden Sie dazu auch in Abschnitt Unterschiede zum Konvertieren unter Windows 2000 ab Seite 103. Wurde die Basisfestplatte hingegen unter Windows XP in eine dy- Dynamische Datennamische umgewandelt, verlieren alle Datenträger ihre Einträge in träger in Windows der Partitionstabelle und werden nur noch in der Datenträgerver- XP modifizieren waltungsdatenbank geführt. Davon ausgenommen sind nur System- und Startdatenträger (die NTLDR und das WindowsSystemverzeichnis %SYSTEMROOT%, wie C:\Windows, enthalten). Um eine dynamische Festplatte, die nur über »rein« dynamisch geführte Datenträger verfügt, dennoch für die Installation von Windows XP nutzen zu können, steht das Kommandozeilentool DISKPART.EXE zur Verfügung. Über den Befehl retain können Sie für einen einfachen dynamischen Datenträger nachträglich einen Eintrag in der Partitionstabelle der Festplatte erzeugen (siehe auch Abschnitt 9.1.3 Das Kommandozeilen-Tool DISKPART.EXE ab Seite 459). In der Praxis stellen Sie diese Besonderheiten keinesfalls vor unüberwindliche Hürden, wenn es darum geht, Windows XP zu installieren. Bei Neusystemen, wo Sie die Installation sowieso mit einer Partitionierung der Festplatte beginnen sollten, stellt sich das Problem mit dynamischen Festplatten noch nicht. Nur bei bestehenden Datenbeständen und einer geplanten Parallelinstallation zu einem bereits vorhandenen Windows 2000- oder XP-System könnten unverhofft einige Schwierigkeiten auftreten.
108______________________________________________ 3 Massenspeicherverwaltung Bei einem Computersystem mit nur einer einzigen Festplatte – dies dürfte die Mehrzahl durchschnittlicher Bürosysteme sein – sollten Sie auf eine Umwandlung in eine dynamische Festplatte verzichten. Wollen Sie später eine Aufrüstung vornehmen und beispielsweise die Datenpartition dynamisch vergrößern, können Sie die Konvertierung problemlos nachholen und dann die in einen dynamischen Datenträger konvertierte Datenpartition erweitern. Voraussetzung dafür ist allerdings, dass Sie bereits vor oder bei der Installation von Windows XP die Festplatte so partitioniert haben, dass die Datenpartition separat zur System- und Startpartition angelegt worden ist.
Wechseldatenträger und externe Speichermedien Wechseldatenträger wie beispielsweise Medien für große SCSIWechselplattenlaufwerke können Sie nicht als dynamische Festplatten einrichten. Diese unterliegen der Wechselmedienverwaltung von Windows XP. Externe Festplatten, die beispielweise über USB oder FireWire an den Computer angeschlossen sind, können Sie ebenfalls nicht als dynamische Festplatten einrichten. Achtung bei externen SCSIFestplatten
Dies betrifft nicht externe SCSI-Festplatten, die wie interne »normal« am SCSI-Bus hängen und damit nicht als »extern« erkannt werden können. Besondere Aufmerksamkeit sollten Sie der richtigen Absicherung der Verbindung mit dem internen SCSI-Bus widmen, da eine plötzliche Unterbrechung, insbesondere wenn Sie beispielsweise interne und externe Festplatten zu einem Stripesetdatenträger (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 110) verbunden haben sollten, zu Datenverlusten führen kann. Derartige Konfigurationen sollten Sie deshalb besser vermeiden.
Notebooks Generell wird für Notebooks die Nutzung von dynamischen Festplatten nicht unterstützt. Aufgrund der besonderen Merkmale dieser Geräte, wie häufiges Abschalten für einen minimalen Stromverbrauch, wird diese Technologie hier von Microsoft nicht zugelassen. Wenn Sie dazu in Betracht ziehen, dass die allermeisten Notebooks sowieso nur über eine interne Festplatte verfügen, brächte die Umwandlung einer Basisfestplatte in eine dynamische keinen Vorteil mit sich. Bei älteren Notebooks kann es ohne weiteres passieren, dass Sie den Menüpunkt zur Konvertierung der Basisfestplatte in eine dynamische vorfinden. Das ist dann der Fall, wenn das Computersystem durch Windows XP nicht als Notebook erkannt worden ist. Um Ihre Daten nicht zu gefährden, sollten Sie die Konvertierung auf keinen Fall durchführen.
Einfache dynamische Datenträger können Sie während des laufenden Betriebes über die Datenträgerverwaltung erweitern. Dazu muss ein freier Bereich auf derselben oder einer anderen dynamischen Festplatte zur Verfügung stehen. Liegt der Bereich auf derselben physischen Festplatte, spricht man von Erweiterter Datenträger einem Einfachen erweiterten dynamischen Datenträger. Wird der einfache Datenträger über einen Bereich erweitert, der auf Übergreifender einer anderen physischen Festplatte liegt, entsteht ein übergreifender Datenträger Datenträger. Dieser kann sich über maximal 32 physische Festplatten erstrecken. Die Verknüpfung der physischen Teilbereiche zu einem logischen Neustart nicht Datenträger wird transparent für den Benutzer in der Datenträger- notwendig verwaltungsdatenbank eingetragen. Die Einbindung des neuen Datenträgers erfolgt dynamisch bei laufendem Betrieb, ein Neustart ist nicht notwendig. Die folgenden Einschränkungen müssen Sie hinsichtlich der Erweiter- Einschränkungen für Erweiterbarkeit barkeit von dynamischen Datenträgern beachten: • Dynamische Datenträger, die außer in der Datenträgerdatenbank auch noch in der Partitionstabelle geführt werden, können grundsätzlich nicht erweitert werden (siehe auch Abschnitt 3.3.2 Einschränkungen für dynamische Festplatten ab Seite 106). Das betrifft insbesondere diese Datenträger: - Windows XP System- und Startdatenträger - Dynamische Datenträger, die unter Windows 2000 aus Basisdatenträgern (sprich: Partitionen) konvertiert worden sind (siehe auch Abschnitt Unterschiede zum Konvertieren unter Windows 2000 ab Seite 103) • Als Dateisystem für eine Erweiterung wird nur NTFS unterstützt. FAT- und FAT32-formatierte dynamische Datenträger lassen sich nicht erweitern. Erweiterungen von Datenträgern werden durch die Datenträgerver- Löschen von waltung separat angezeigt. Trotzdem können Sie diese Erweiterungen Erweiterungen nicht einzeln löschen, sondern nur den gesamten Datenträger. Möchten Sie den Datenträger nachträglich wieder verkleinern, bleibt nur die Sicherung aller Daten und die Neuerstellung des komplett gelöschten Datenträgers. Unter Windows NT 4 werden Datenträger, die sich aus Partitionen auf Kompatibilität zu einer oder mehreren (bis zu 32) physischen Festplatten zusammenset- Windows NT zen, mit Datenträgersatz bezeichnet. Aus Windows NT übernommene
110______________________________________________ 3 Massenspeicherverwaltung Datenträgersätze können Sie unter Windows XP weiterhin verwalten und im Bedarfsfall reparieren, allerdings nicht erweitern. Wollen Sie die neue Funktionalität dynamischer Datenträger nutzen, müssen Sie alle Daten sichern, die Datenträger löschen und neu in freien Bereichen auf dynamischen Festplatten anlegen. Die entsprechenden Administrationsschritte finden Sie dazu in Abschnitt 9.4.4 Übergreifende Datenträger ab Seite 511.
3.3.4 RAID 0
Stripesetdatenträger
Stripesetdatenträger in Windows XP entsprechen der RAIDSpezifikation Level 0 (siehe Tabelle 3.11). Wie übergreifende Datenträger setzt sich ein Stripesetdatenträger aus Teilbereichen über mehrere physische Festplatten (maximal 32) zusammen. Die Teilbereiche müssen allerdings alle exakt gleich groß sein, da die Bereiche nicht nacheinander, wie beim übergreifenden Datenträger, sondern gleichzeitig mit Daten gefüllt werden. Die Datenpakete werden durch den Logischen Diskmanager in gleich große Stripes (Streifen – daher auch der Name Stripeset) aufgeteilt und nacheinander auf alle verbundenen Festplatten gespeichert.
RAID-Level im Überblick Redundant Array of RAID ist die Abkürzung von Redundant Array of Independend Disks Independend Disks (Redundante Gruppen von unabhängigen Platten) und beschreibt die
Funktionen, die durch den Zusammenschluss von Festplatten zu logischen Gruppen erreicht werden. RAID ist in verschiedenen Level definiert. Die von der Windows 2000/XP-Beriebssystemfamilie unterstützten Level sind in Tabelle 3.11 aufgeführt und jeweils kurz beschrieben. Tabelle 3.11: Die durch Windows 2000/XP unterstützten RAID-Level
Level
Beschreibung
RAID 0
Dieses auch als Disk Striping bezeichnete Level beschreibt den Zusammenschluss von mindestens zwei physischen Festplatten zur Erhöhung der Performance zu einem so genannten Stripesetdatenträger. Die Daten werden zwischen den Platten durch das Betriebssystem in gleich große Streifen (Stripes) aufgeteilt, wodurch praktisch gleichzeitig die Performance mehrerer Platten gebündelt zur Verfügung steht. Dieses Level bietet allerdings keine Fehlertoleranz. Das bedeutet, dass bei Ausfall einer Festplatte alle Daten des gesamten Stripesetdatenträgers verloren sind. Allerdings können Sie diese Datenträger auch unter Windows XP Professional einsetzen und sich so die hohe erreichbare Performance bei Arbeitsplatzrechnern nutzbar machen.
Level 1 wird auch als Mirroring (Spiegelung) bezeichnet. Dabei werden die Daten parallel auf zwei physischen Festplatten gehalten. Bei Ausfall einer Festplatte wird der Betrieb mit der verbleibenden fortgesetzt. Dieses Level wird nur von den Windows 2000/XPServerversionen unterstützt. Für jeden dynamischen Datenträger kann eine Spiegelung auf genau einer anderen dynamischen Festplatte eingerichtet werden.
RAID 5
Bei Level 5 werden Mirroring und Striping kombiniert. Der Fehlerkorrekturcode wird über alle angeschlossenen Festplatten gleichmäßig verteilt. RAID 5 wird ebenfalls als Striping mit Parität bezeichnet. RAID Level 5 wird ebenfalls nur von den Windows 2000/.NetServerversionen unterstützt.
Andere und Hybrid RAID Level Neben diesen gibt es noch andere Level, die allerdings nicht durch Windows XP unterstützt werden. Bei den so genannten Hybrid RAID Level werden die verschiedenen RAID-Level miteinander in Lösungen kombiniert. RAID 10 beispielsweise verbindet RAID 1 und 0 miteinander. So entsteht ein Datenträger, bei dem zwei Festplatten jeweils zu einem Spiegelsatz zusammengefasst sind. Mehrere dieser Spiegelsätze werden dann wiederum zu einem Stripeset miteinander verbunden. So erreicht man eine gute Performance bei einer hohen Fehlertoleranz.
Erreichbare Performance Die Größe der Stripes wird in der Fachliteratur auch chunk size ge- chunk size und nannt, die Anzahl der Festplatten im Set mit stripe width angegeben. stripe width Eine übliche, auch unter Windows XP verwendete chunk size beträgt 64 KB. Hauptvorteil gegenüber den normalen übergreifenden Datenträgern Hohe Performance ist die höhere Performance des Stripesetdatenträgers. Daten, deren bei großen Dateien Größe die chunk size übersteigt, werden von mehreren der angeschlossenen Festplatten verarbeitet. Beim Schreiben und Lesen dieser Daten kann die Datentransferrate der Festplatten gebündelt werden. Dies macht sich umso mehr bemerkbar, je größer die Daten sind. Insbesondere bei hohen Datenmengen, beispielsweise bei großen Bilddateien in der digitalen Bildverarbeitung, lassen sich signifikante PerformanceSteigerungen gegenüber der herkömmlichen Speicherung auf einer Festplatte erzielen.
112______________________________________________ 3 Massenspeicherverwaltung Die Abspeicherung und das Auslesen der chunks erfolgt über die angeschlossenen Festplatten sequentiell. Das erste Teilstück geht zur ersten Platte, das zweite zur zweiten usw. Damit müssen sich die Schreib-/Leseköpfe der einzelnen Festplatten bei einem großen Datenstrom nicht weit bewegen und die Latenzzeiten der Festplatten bleiben sehr klein. Keine Steigerung bei kleinen Dateien im Einzelzugriff
Speichern Sie auf dem Stripesetdatenträger vor allem kleine Dateien, welche die chunk size nicht übersteigen, kommt die höhere Performance nicht zum Tragen, wenn auf die Dateien nur vereinzelt zugegriffen wird. Das Lesen sowie das Schreiben dieser Dateien dauern dann genauso lange, wie wenn Sie eine einzelne Festplatte im System einsetzen.
Transaktionsorientierte Anwendungen
Anders sieht das schon wieder aus, wenn Sie Datenbankanwendungen haben, die ein schnelles Antwortverhalten für viele Zugriffe auf verschiedene, relativ kleine Datensätze zur gleichen Zeit benötigen. Können diese Datensätze jeweils in einem Stripe abgelegt werden, steigt mit der Anzahl der Festplatten im Set die Wahrscheinlichkeit, dass sich zwei parallel angeforderte Datensätze auf zwei verschiedenen physischen Festplatten befinden. Beide Festplatten bekommen dann praktisch gleichzeitig die E/A-Anforderung und können diese jede für sich separat abarbeiten. Das steigert natürlich die Gesamtperformance im Vergleich zu einer einzelnen Festplatte deutlich.
Auf richtige Anwendung achten
Durch die integrierte RAID-0–Unterstützung von Windows XP können Sie bei den richtigen Anwendungen mit preiswerten, durchschnittlichen Festplatten ein Massenspeichersystem hoher Leistung aufbauen. Dabei muss es nicht immer SCSI sein. Arbeitsplatzcomputer mit einem IDE-Interface und Ultra-DMA-Unterstützung erreichen heute bereits mit handelsüblichen, preiswerten Festplatten, die Sie in einem Stripesetdatenträger bündeln, sehr hohe Leistungswerte.
Prinzipieller Aufbau In Abbildung 3.6 sehen Sie den prinzipiellen Aufbau eines Stripesetdatenträgers unter Windows XP, der sich über zwei dynamische Festplatten erstreckt. So könnte beispielsweise eine Konfiguration aussehen, die aus einer Systemfestplatte von 46 GB Kapazität (die gleichzeitig Bootfestplatte ist) und zwei weiteren Festplatten von 40 GB und 48 GB besteht. Für das Betriebssystem Windows XP ist ein 6 GB großer Bereich abgeteilt, der jetzt auf einer konvertierten dynamischen Festplatte als ehemalige primäre Partition vorhanden ist (siehe auch Abschnitt 3.3.1 Erstellung und Aufbau dynamischer Festplatten ab Seite 101).
3.3 Dynamische Festplatten _______________________________________________ 113 Abbildung 3.6: Prinzipaufbau eines Stripesetdatenträgers
Der Rest von 40 GB wird zusammen mit zwei gleich großen freien Bereichen auf HDD1 und HDD2 zu einem 120 GB Stripesetdatenträger verbunden. Der für diese Konfiguration nicht nutzbare Rest verbleibt als ein Teilstück von 8 GB, hier eingerichtet als einfacher Datenträger E:. Beachten Sie, dass sowohl System- als auch Startdatenträger von Windows XP nicht als Stripesetdatenträger eingerichtet werden können. Das sollten Sie bei der logischen Aufteilung Ihrer Festplatten berücksichtigen. Um eine optimale Performance für Ihr System unter Nutzung von Optimale Performehreren Festplatten, die zu einem oder mehreren Stripesetdatenträ- mance erreichen gern zusammengeschaltet werden, zu erreichen, haben Sie diese beiden Möglichkeiten: • Sie bedienen sich nur der Windows XP-Bordmittel und richten wie Software-Stripeset im obigen Beispiel einen separaten System- und Startdatenträger ein, der ausschließlich das Betriebssystem Windows XP selbst enthält. Alle Programme und Daten werden in einem oder mehreren Stripesetdatenträgern gehalten, wodurch sich die Performance dieser Datenträger für Ihre Anwendungen voll auswirken kann. Beachten Sie zusätzlich, dass auch die folgenden Bereiche auf diese Stripesetdatenträger verlagert werden: - Benutzerverzeichnisse, standardmäßig auf C:\Dokumente und Einstellungen angelegt - Temporäre Verzeichnisse von Windows XP, sofern Sie nicht Teil der Benutzerverzeichnisse sind, sowie temporäre Arbeitsverzeichnisse von Anwendungen (wie beispielsweise von Photoshop) - die Auslagerungsdatei, die Sie mit einer festen Größe auf einem der Stripesetdatenträger anlegen sollten
• Sie installieren einen separaten RAID-Controller eines Drittherstellers. Dieser verfügt über eine Ansteuerungs-Hardware und entlastet damit den Hauptprozessor. Für Windows XP erscheint das Stripeset, welches Sie beispielsweise aus zwei Festplatten aufbauen, dann als eine einzige physische Festplatte. Diese können Sie wie eine normale Festplatte partitionieren. Der Performancevorteil des Stripesets ist so für alle Partitionen, also auch für die Systemund Startpartition, gleichermaßen gegeben. Neben der Einrichtung eines RAID-0-Stripesets können Sie meist mit Hilfe von Hardware-Controllern auch andere RAID-Level für Ihren Arbeitsplatzcomputer realisieren. So lassen sich gespiegelte Datenträger (meist Mirror Sets genannt) einrichten und nutzen, die sonst softwareseitig nur durch die Windows 2000/XPServersysteme unterstützt werden. Beachten Sie, dass der Hersteller eines solchen RAID-Controllers aktuelle Treiber bereithält, die auch Windows XP-zertifiziert sind. Anderenfalls kann die Benutzung Ihre Daten ernsthaft gefährden (siehe auch Abschnitt 14.4 Hilfe bei Treiberproblemen ab Seite 873).
Keine Fehlertoleranz Die Aufteilung der Daten in chunks über mehrere Festplatten bei RAID 0 erfolgt ohne Fehlertoleranz. Fällt eine der eingebundenen Festplatten eines Stripesetdatenträgers aus, sind alle Daten auf diesem verloren. Zwar zeichnen sich heutige Festplatten durch eine lange durchschnittliche fehlerfreie Funktionsdauer (MTBF – Mean Time Between Failure) aus, allerdings wird durch ein Stripeset mit zwei Festplatten die Ausfallwahrscheinlichkeit schon verdoppelt, bei drei Festplatten verdreifacht usw. Die Datensicherung gewinnt also bei der Verwendung von Stripesets an Bedeutung. Fehlertoleranz in Stripesets nur bei RAID 5
Fehlertoleranz für ein Stripeset erreichen Sie erst mit RAID Level 5 (siehe auch Tabelle 3.11 auf Seite 110). Diese Datenträger werden unter Windows XP mit RAID 5-Datenträger bezeichnet und können nur mit den Windows 2000 Serverversionen eingerichtet und genutzt werden. Weitergehende Informationen finden Sie dazu in unserem Buch Windows 2000 im Netzwerkeinsatz.
Einrichten und Ändern von Stripesetdatenträgern Verfügbar ohne Neustart
Durch die dynamische Datenträgerverwaltung müssen Sie nach dem Einrichten eines Stripesetdatenträgers keinen Neustart vornehmen. Nach der Formatierung ist der Stripesetdatenträger sofort einsetzbar.
Ändern von Stripesetdatenträgern
Stripesetdatenträger können Sie generell nach ihrer Erstellung nicht mehr verändern. Wollen Sie weitere Festplatten zu einem bestehenden
3.4 Festplatten unter Windows XP 64 Bit ____________________________________ 115 Stripesetdatenträger hinzufügen, bleiben Ihnen nur die Sicherung aller Daten, die Löschung und die Neuanlage des Stripesetdatenträgers. Das gilt auch, wenn Sie eine der Festplatten aus dem Stripeset entfernen möchten. In Windows NT 4 werden diese Datenträger als Stripe Sets bezeichnet. Stripe Sets von In Windows XP übernommene Stripe Sets auf Basisfestplatten können NT 4.0 Sie weiter benutzen und im Bedarfsfall reparieren. Die Neuanlage von Stripesetdatenträgern wird aber nur noch auf dynamischen Festplatten unterstützt. Alle notwendigen Schritte zum Einrichten und Administrieren von Administration ab Stripesetdatenträgern finden Sie in Abschnitt 9.4.5 Stripesetdatenträger Seite 513 erstellen ab Seite 513.
3.4 Festplatten unter Windows XP 64 Bit Obwohl sich die 32 Bit- und die 64 Bit-Versionen von Windows XP in vielen Details gleichen, sind doch bei der Massenspeicherverwaltung einige grundlegende Unterschiede zu verzeichnen. Hauptgrund der Einführung einer neuen Technologie ist der Bedarf nach einer umfassenden Unterstützung noch größerer und leistungsfähigerer Datenträger in einer 64 Bit-Umgebung. Die folgenden Abschnitte geben einen Überblick über die neuen Partitionstypen und deren Restriktionen sowie Hinweise zu deren Einrichtung.
3.4.1
Einführung
Computer mit den neuen 64 Bit-Prozessoren Itanium von Intel verfü- Extensible Firmgen anstelle des »klassischen« BIOS (Basic Input Output System) über ware Interface ein EFI (Extensible Firmware Interface). Mit enthalten ist dabei eine neue Initiative Technologie zur Verwaltung von Festplatten. Microsoft hat sich bei der Implementierung der entsprechenden Funktionen in Windows XP 64 Bit im Wesentlichen an die Spezifikationen der Extensible Firmware Interface Initiative gehalten. Zunächst eine beruhigende Nachricht: Windows XP-64 Bit kann auf Kompatibilität bestehende Festplatten ohne Probleme zugreifen. Das betrifft sowohl sichergestellt Basis- als auch dynamische Festplatten, die Sie unter der 32 BitFassung von XP oder unter anderen Windows-Betriebssystemen eingerichtet haben. Sie können zwar von Windows XP-64 Bit alle Festplatten- und Datenträgertypen lesen, die sich auch mit der 32 Bit-Fassung erstellen lassen. Das gilt aber nicht umgekehrt. Mit Windows XP-32 Bit können Sie keine GPT-Disks erstellen oder auf diese zugreifen.
116______________________________________________ 3 Massenspeicherverwaltung GPT-Disks und der Start von XP 64 Bit GPT Disks und MBR Disks
Für den Start von Windows XP-64 Bit sind allerdings grundsätzlich anders eingerichtete Festplatten erforderlich: sogenannte GUID Partition Table Festplatten, auch kurz mit GPT-Disks bezeichnet. Im Gegensatz dazu werden Festplatten, die über die herkömmlichen Wege eingerichtet worden sind, als MBR-Disks bezeichnet. Damit sind übrigens auch dynamische Festplatten gemeint, die Sie mit Windows 2000 oder Windows XP-32 Bit einsetzen können.
Sehr große Datenträger
GPT-Disks zeichnen sich unter anderem dadurch aus, dass nach derzeitigem technischen Stand praktisch keine Größenbeschränkungen für Festplatten zu verzeichnen sind. So wird bei der heute üblichen Sektorgröße von 512 Byte eine Gesamtgröße für einen Datenträger von ca. 18 ExaBytes unterstützt. Weitere Vorteile dieser Technologie sind: • Redundante Speicherung wichtiger Systeminformationen (wie der Partitionstabellen) sowie Führung von CRC-Prüfsummen, um eine maximale Datenintegrität sicherzustellen • Einfacherer Aufbau; alle Konfigurationsinformationen werden »normal« als Daten auf dem Datenträger hinterlegt, nicht wie bei MBR-Disks in unsichtbaren Bereichen oder außerhalb der Partitionen. • Das Format von GPT-Partitionen verfügt über spezielle Konfigurationsfelder (Version, Größe) für ein nachträgliches Erweitern. • Zusätzlich zu den GUIDs können Datenträger über bis zu 36 Zeichen lange Datenträgernamen angesprochen werden.
Eindeutige Partitions-GUIDs
Auf GPT-Disks können Sie theoretisch beliebig viele Partitionen beziehungsweise logische Datenträger anlegen. Unterschieden und über das Betriebssystem angesprochen werden diese generell über die jeweils eindeutige Partitions-GUID. Das betrifft auch die System- und Startpartition von Windows XP 64 Bit. Sie können aber zusätzlich Bereitstellungspunkte einrichten und verschiedene Datenträger zu logischen Einheiten verbinden (siehe auch Abschnitt 4.3.3 Analysepunkte und Bereitstellungen ab Seite 149).
Starten von MBRDisks
Theoretisch kann nach der EFI-Spezifikation ein 64 Bit-Betriebssystem auch von einer herkömmlichen MBR-Disk starten, wenn auf dieser eine spezielle Partition eingerichtet wird (mehr dazu im nachfolgenden Abschnitt). Microsoft unterstützt allerdings dieses Verfahren nicht, sodass Sie für den Start von Windows XP 64 Bit eine GPT-Disk einsetzen müssen.
3.4 Festplatten unter Windows XP 64 Bit ____________________________________ 117
3.4.2
Aufbau einer GPT-Disk
Jede GPT-Disk verfügt über einen schützenden MBR (Master Boot Schützender MBR Record), der in Sektor 0 beginnt und der GPT-Partitionstabelle vorausgeht. Dieser spezielle MBR enthält einen einzigen Partitionseintrag mit der Typkennung 0xEE, der die Größe der gesamten Festplatte enthält (siehe auch Tabelle 3.4 auf Seite 93). Betriebssysteme, die GPT-Disks nicht unterstützen, sehen damit einzig eine große Partition unbekannten Typs, die für den weiteren Zugriff gesperrt ist. Somit wird eine solche Festplatte nicht irrtümlich als »unpartitioniert« erkannt und damit vielleicht ungewollt überschrieben. Eine GPT-Disk, von der Windows XP-64 Bit gestartet werden soll, EFI System muss als erste Partition eine sogenannte EFI System Partition (ESP) Partition (ESP) enthalten. In dieser werden Dateien für den Systemstart abgelegt. Das sind für Windows XP-64 Bit unter anderem die HAL (Hardware Abstraction Layer) und das Ladeprogramm (Urlader). OEMs können in diese Partition weitere Tools unterbringen, die für ihre speziell angepassten Hardwarelösungen und deren eventuell notwendige Konfiguration vor dem Betriebssystemstart von Belang sind. Die Größe der ESP hängt von der Größe der physischen GPT-Disk ab. Sie beträgt davon ein Prozent, mindestens jedoch 100 MB, und ist auf maximal 1 GB begrenzt. Die ESP wird im Übrigen mit dem FAT16-Dateisystem formatiert. Als erste Partition auf einer GPT-Disk, allerdings nach einer eventuell Microsoft-reservorhandenen ESP, muss eine Microsoft-reservierte Partition (MSR) ein- vierte Partition gerichtet werden. Dies geschieht durch Windows XP-64 Bit selbstän- (MSR) dig, wenn Sie eine GPT-Disk einrichten. Mit dieser Partition wird Speicherplatz reserviert, der für eine eventuelle spätere Umwandlung einer Baisis- in eine dynamische GPT-Disk benötigt wird. Für eine dynamische GPT-Disk werden dann zwei GPT-Partitionen erzeugt: Eine GPT-Datenpartition mit der eigentlichen dynamischen Festplatte und eine mit der Datenträgerverwaltungsdatenbank. Auf einer MBRFestplatte wird diese in einem versteckten unpartitionierten Bereich geführt, den es unter einer GPT-Disk nicht mehr gibt. Auf GPT- Datenpartitionen erfolgt die Speicherung der eigentlichen GPT-Datenpartition Daten und Programme. Auch die Windows XP-64 Bit-Startdateien müssen sich auf einer solchen Partition befinden. Eine Basis-GPT-Disk kann nur dann in eine dynamische GPT-Disk umgewandelt werden, wenn die GPT-Basis-Datenpartitionen direkt hintereinander liegen. Werden zwei GPT-Basis-Datenpartitionen durch eine Partition eines anderen Typs getrennt, kann die Basis-GPT-Disk nicht umgewandelt werden. Damit wird klar, warum Microsoft darauf besteht, die MSR am Anfang der Festplatte als erste GPT-Partition unterzubringen (beziehungsweise als zweite, wenn eine ESP existiert).
118______________________________________________ 3 Massenspeicherverwaltung Die folgende Abbildung zeigt den prinzipiellen Aufbau von GPTDisks unter Windows XP-64 Bit. Abbildung 3.7: Prinzipiellen Aufbau von GPT-Disks
Im Windows Explorer sehen Sie nur die GPT-Datenpartitionen. Die ESP sowie die MSR werden nicht angezeigt. Diese können Sie nur mit dem Snap-In DATENTRÄGERVERWALTUNG einsehen und verwalten. Im Normalfall wird ein 64 Bit-System mit herstellerspezifische Anpassungen und Erweiterungen sowohl an der Hardware als auch am Betriebssystem aufweisen. Ziehen Sie deshalb für die Installation und die Einrichtung eines solchen Systems immer die mitgelieferte Dokumentation des Herstellers zu Rate.
3.5 Der Indexdienst Die steigende elektronische Datenflut auf Arbeitsplatzcomputern und im Netzwerk, auch ausgelöst durch die immer weitere Verlagerung von Brief- und Fax-Schriftverkehr ins Internet, machen effiziente Methoden zum Finden von abgelegten Informationen notwendig. Dabei geht es um mehr als nur die Suche nach Dateinamen – wer erinnert sich schon an den Namen eines Briefes, den er vor Monaten vielleicht an einen Geschäftspartner geschrieben hat? Suche auch nach Inhalten
Mit Hilfe des Indexdienstes können Sie auf Datenträgern abgelegte Informationen katalogisieren lassen. Mit einbezogen werden dabei
3.5 Der Indexdienst_______________________________________________________ 119 auch weitergehende Informationen wie der Dateiinhalt. Über die Eingabe von Schlüsselwörter lassen sich damit auch Volltextsuchen durchführen. Um den Indexdienst effektiv einsetzen zu können, ist es notwendig, Anpassungen diesen benutzerspezifisch anzupassen. Es ist meist wenig sinnvoll, auf notwendig einem Arbeitsplatzcomputer alle Festplatten zu indizieren. Da der Index selbst Festplattenkapazität benötigt und die Erstellung Rechenzeit in Anspruch nimmt, sollten nur jene Dateien und Ordner indiziert werden, für die Suchanfragen Sinn machen. Die grundlegende Funktionsweise und die wesentlichen Komponen- Administration ab ten des Indexdienstes werden in diesem Abschnitt behandelt. Wie Sie Seite 592 den Indexdienst individuell anpassen können, erfahren Sie in Abschnitt 9.13 Indexdienst einrichten ab Seite 592.
3.5.1
Überblick zur Indizierung
Unter Indizierung von Dateien versteht man die systematische Kata- Was ist Indizielogisierung nach bestimmten Eigenschaften. Diese werden zusammen rung? mit der Angabe des Dokumentenpfades in einem Katalog gespeichert. Bei der Suche wird dann auf diesen Katalog zugegriffen. Die Art des Aufbaus des Kataloges entscheidet darüber, wie effizient die Suche durchgeführt wird und wie viele relevante Informationen zu den verwalteten Daten enthalten sind. Der Windows XP-Indexdienst wird standardmäßig mit installiert. Er Windows XPmuss für die Nutzung allerdings aktiviert werden. Voreingestellt ist Indexdienst ein Katalog System, in dem die Indizes aller Dateien der installierten festen Datenträger zusammengefasst sind. Die Aktivierung und Konfiguration des Indexdienstes ist Benutzern mit Administratorrechten vorbehalten. Die Indizierung erfolgt unter Windows XP als Prozess im Hinter- Indizierung im grund. Inwieweit der Computer dabei beansprucht wird, hängt in Hintergrund erster Linie von der Leistungsfähigkeit der eingesetzten Hardware und der Anzahl der zu indizierenden Dateien ab. Den Indexdienst können Sie aber auch weitgehend an die jeweiligen Anforderungen anpassen. Sie bestimmen, wie hoch die Performance des Indexdienstes sein soll und wie oft oder wie schnell Veränderungen an Dateien im Index aktualisiert werden sollen. Nach Installation des Indexdienstes werden zunächst alle Dateien der Was wird indiziert? existenten Festplatten indiziert. Sie können allerdings selbst bestimmen, welche Dateien und Ordner in die Indizierung einbezogen werden sollen. Meist ist es sinnvoll, nur ausgewählte Verzeichnisse zu indizieren. Das Dateisystem (siehe auch Kapitel 4 Dateisysteme ab Seite
120______________________________________________ 3 Massenspeicherverwaltung 125) eines zu indizierenden Datenträgers spielt dabei zunächst keine Rolle. Vorteil bei Nutzung von NTFS
Die maximale Performance und mehr Einflussmöglichkeiten bietet aber das Dateisystem NTFS. Nur hier ist das NTFS-Änderungsjournal verfügbar, mit dem Änderungen an Dateien schnell auf Dateisystemebene erfasst werden. Dadurch kann der Indexdienst besonders bei großen Datenbeständen sehr schnell auf Änderungen reagieren. Entscheidend für die Performance ist hier nicht mehr, wie viele Dateien auf dem Datenträger existieren, sondern wie viele geändert worden sind.
Indexattribut
Als zweiter wichtiger Unterschied zu den FAT-Dateisystemen ist das Vorhandensein eines Attributes für die Indizierung (siehe auch Abschnitt NTFS-Dateiattribute ab Seite 147). Sie können damit beispielsweise bestimmen, welche Dateien und Ordner durch die Indizierung ausgenommen werden, obwohl diese für die Aufnahme im Katalog zunächst vorgesehen sind.
Verschlüsselung kontra Indizierung
Dateien, die durch das verschlüsselnde Dateisystem (EFS; siehe auch Abschnitt 4.3.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 156) chiffriert sind, werden nicht in den Index aufgenommen. Nachträglich verschlüsselte Dateien werden automatisch aus dem Index entfernt. Für eine maximale Sicherheit sollten Sie den Indexdienst deaktivieren. Sie können auch gezielt nur bestimmte Kataloge indizieren beziehungsweise ganze Verzeichnisse aus der Indizierung herausnehmen.
Kataloge
Endergebnis der Indizierung sind der aktuelle Katalog System beziehungsweise ein oder mehrere benutzerspezifische Kataloge, die einen kompletten Index mit den Verweisen und allen gewünschten Informationen zu den entsprechenden Dateien enthalten. Die Suche über das Suchen-Dialogfenster im Windows Explorer wird dann automatisch auf die Kataloge ausgedehnt, die für den oder die betreffenden Datenträger existieren. Für den Benutzer läuft der Vorgang transparent ab; bei einer aufwändigeren Suche wird er nur deutlich schneller ein Ergebnis präsentiert bekommen. Eine Suche nach einem Textauszug aus dem Inhalt beispielsweise wird dann im aktuellen Katalog durchgeführt. Steht kein Katalog zur Verfügung beziehungsweise ist der Indexdienst inaktiv, erfolgt die Suche herkömmlich mit dem Durchforsten jeder einzelnen Datei. Das dauert natürlich länger und hat deutlich mehr Datenträgerzugriffe zur Folge.
3.5.2
Der Indizierungsvorgang
Abbildung 3.8 zeigt schematisch die einzelnen Schritte beim Indizieren einer Datei. Im Hintergrund liest der Indexdienst, wenn er neu gestartet wurde oder neue Dateien hinzukommen, jedes einzelne Dokument ein.
3.5 Der Indexdienst_______________________________________________________ 121 Abbildung 3.8: Ablauf der Indizierung einer Datei
Bei der Indizierung werden die folgenden Schritte durchgeführt: 1. Es wird der Typ des Dokuments ermittelt. Existiert ein Dokumentfilter (siehe unten) für das Dateiformat, werden damit der Inhalt sowie die Dokumenteigenschaften extrahiert. Wird kein spezifischer Dokumentfilter gefunden, wird je nach Einstellung für den Katalog die Datei trotzdem in den Index aufgenommen oder davon ausgeschlossen. Bei Aufnahme einer solchen Datei in den Index werden über einen allgemeinen Filter nur die Merkmale extrahiert, die gewonnen werden können. Eine umfassende Volltextsuche kann dann allerdings nur eingeschränkt möglich sein. 2. Die Dokumenteigenschaften sowie der Pfad werden im Index gespeichert. 3. Der Inhalt des Dokuments wird analysiert und die verwendete Sprache ermittelt. Es wird eine Einzelwortliste erstellt, die um die Wörter aus der Ausnahmewortliste (siehe unten) bereinigt wird. Die verbliebene Wortliste zu dem Dokument wird im Index gespeichert. 4. Die ermittelten Dokumenteigenschaften werden im Eigenschaftencache abgelegt. Da die eingesetzten Dateifilter die verschiedensten
122______________________________________________ 3 Massenspeicherverwaltung Eigenschaften je Dateityp extrahieren können, gibt es damit die Möglichkeit zu bestimmen, welche Eigenschaften im Suchdialog für Abfragen benutzt werden können. 5. Die gewonnenen Informationen zu den Eigenschaften und zum Inhalt werden zunächst temporär im Arbeitsspeicher in so genannten Wortlisten gehalten. Diese werden dann in temporären Indizes auf dem Datenträger abgelegt. Nach einer definierten Zeitspanne (meist einmal am Tag) oder einer bestimmten Menge an Wortlisten und temporären Indizes werden diese zu einem sogenannten Masterindex zusammengeführt. Diese Zusammenführung können Sie auch manuell vornehmen, wenn Sie eine schnellere Aktualisierung des Masterindex wünschen. Masterindex
Der Masterindex stellt die effizienteste Form des Index dar. Die Daten sind hier hochkomprimiert und für die Suchfunktionen optimiert. Die Zusammenführung kann insbesondere bei umfangreichen Indizes einige Zeit in Anspruch nehmen und macht nur Sinn, wenn die Wortlisten beziehungsweise die gespeicherten temporären Indizes aktuell sind.
Dokumentfilter
Der Indexdienst in Windows XP extrahiert die Eigenschaftswerte von Dateien über Dokumentfilter, die auch als IFilter bezeichnet werden. Für die folgenden Dateitypen werden mit Windows XP Dokumentfilter mitgeliefert: • HTML • Text (ASCII, ANSI, Unicode) • Microsoft Office Dokumente (Word, Excel etc.; ab Office 95) • Microsoft Outlook Dokumente (E-Mails etc.) Sollen andere als die oben genannten Dokumente mit in den Index einbezogen werden, benötigen Sie Dokumentfilter der entsprechenden Hersteller für den Indexdienst. Die Schnittstellen dazu hat Microsoft offen gelegt und bietet die Informationen dazu im Platform Software Development Kit an.
Index ohne Dokumentfilter
Ist kein spezieller Dokumentfilter verfügbar, können die betreffenden Dokumente trotzdem in den Index aufgenommen werden. Durch einen allgemeinen Filter werden die maximal möglichen Informationen extrahiert. Allerdings kann die Suche nach bestimmten Eigenschaften und Textinhalten stark eingeschränkt sein. Sie können aber auch festlegen, dass ausschließlich Dokumente indiziert werden, für die ein Dokumentfilter verfügbar ist.
Ausnahmewortlisten
Für die Extrahierung des Dateiinhaltes in Text-Schlüsselwortlisten macht es sicher wenig Sinn, alle Wörter eines Textes zu erfassen. Es gibt in jeder Sprache allgemeine Wörter wie Artikel, Pronomen oder
3.5 Der Indexdienst_______________________________________________________ 123 Verbindungsworte, die natürlich nicht in die Schlüsselwortlisten gehören. Diese so genannten Ausnahmewörter werden in Textdateien zusammengefasst und je nach unterstützter Sprache angelegt. Die allgemeine Syntax dieser Dateien mit den Ausnahmewortlisten lautet: %Systemroot%\system32\Noise.xxx
Für xxx steht die entsprechende Sprachen-Kennung. Die Datei %Systemroot%\system32\Noise.deu beispielsweise enthält die Ausnahmewortliste für die deutsche Sprache. Sie kann als normale Textdatei mit einem Editor bearbeitet und damit einfach erweitert werden.
3.5 Der Indexdienst_______________________________________________________ 125
4 4 Dateisysteme Für den Zugriff auf Datenträger bietet das Dateisystem eines Betriebssystems eine definierte Schnittstelle. Windows XP unterstützt eine Reihe von Dateisystemen für den Zugriff auf Festplatten, Wechseldatenträger wie CD/DVD, Diskettenlaufwerke u.a., wobei dem Dateisystem NTFS eine besondere Bedeutung zukommt.
Unterstützte Dateisysteme ................................................................ 127 Vergleich von FAT, FAT32 und NTFS............................................. 129 NTFS im Detail.................................................................................... 138 FAT und FAT32 im Detail ................................................................. 170 Fragmentierung .................................................................................. 179
4.1 Unterstützte Dateisysteme Windows XP unterstützt verschiedene Dateisysteme für die Speicherung von Dateien auf Festplatten und Wechseldatenträgern. Falls Sie zuvor Windows 9x/ME im Einsatz hatten, dürfte die Verfügbarkeit des Dateisystems NTFS in Windows XP für Sie eine wichtige Neuerung darstellen. Erst mit diesem Dateisystem erschließen sich wichtige Vorteile bei der Verwaltung größerer Datenmengen sowie hinsichtlich der wirksameren Absicherung von Daten vor unbefugtem Zugriff. Trotzdem gibt es neben NTFS nach wie vor andere Dateisysteme, die ihren Zwecke erfüllen und auf lange Sicht ihre Rolle behalten werden. Im nachfolgenden Abschnitt werden alle unterstützten Dateisysteme kurz vorgestellt. In den darauf folgenden Abschnitten finden Sie detaillierte Beschreibungen der wichtigsten Dateisysteme für Festplatten: FAT und NTFS.
FAT, FAT32 und NTFS Das sind die Standarddateisysteme für die Verwaltung von Festplatten und den meisten wiederbeschreibbaren Wechseldatenträgern: • FAT (File Allocation Table; dt. Dateizuordnungstabelle) Die ursprüngliche Version dieses Dateisystems geht bis in die Anfänge des DOS Anfang der 80er Jahre des letzten Jahrhunderts zurück. Entsprechend einfach ist auch der Aufbau. Über eine Tabelle werden die einzelnen Zuordnungseinheiten verwaltet. Am Anfang waren damit, entsprechend dem damaligen Entwicklungsstand der Festplattentechnologie, nur recht geringe Partitionsgrößen am Stück verwaltbar. Nach und nach wurde das Dateisystem »aufgebohrt« und mit der FAT32 für größere Fassung FAT32 auch für die Verwaltung großer Datenträger befä- Datenträger higt. Diese FAT-Version wurde mit der zweiten Fassung von Windows 95 (mit Windows 95 OSR 2 bezeichnet) eingeführt. Die nächsten Festplattengenerationen, die in wenigen Jahren sicherlich mehrere hundert GB Daten fassen können, werden mit FAT32 aber nicht mehr zu verwalten sein. Hinzu kam die Erweiterung für die Unterstützung langer Datei- Lange Dateinamen namen, bei der Einträge in der FAT nicht nur für Dateien, sondern auch für deren lange Namen »missbraucht« werden. Die verschiedenen FAT-Versionen werden im Allgemeinen nach FAT12, FAT16, den internen Bit-Breiten ihrer Verwaltungsfelder für die Zuord- FAT32 nungseinheiten bezeichnet.
128__________________________________________________________ 4 Dateisysteme Im vorliegenden Buch werden die FAT-Varianten FAT16 und FAT12 wie folgt unterschieden: Das FAT16-Dateisystem (ab Datenträgergrößen von 16 MB verwendet) wird generell mit FAT benannt, es sei denn, eine explizite Benennung ist erforderlich. Das FAT12-Dateisystem wird generell als FAT12 bezeichnet, entsprechend das FAT32-Dateisystem mit FAT32. Detailliert werden die FAT-Dateisysteme in Abschnitt 4.4 FAT und FAT32 im Detail ab Seite 170 behandelt. • NTFS (New Technologie File System) Eingeführt mit Windows NT 3.1
Mit der Einführung von Windows NT wurde auch die erste Fassung dieses Dateisystems, welches bis heute einen Teil seines Namens diesem direkten Vorgänger von Windows 2000 und XP verdankt, vorgestellt. Mittlerweile liegt NTFS in der Release 5 vor, deshalb auch NTFSv5 genannt, und bietet Funktionen wie Kompression und Verschlüsselung von Dateien. NTFS ist für Festplatten das von Microsoft präferierte Dateisystem. Sie müssen nur beachten, dass neben Windows XP/2000 (und eingeschränkt NT 4 ab Service Pack 4) kein anderes MicrosoftBetriebssystem auf NTFS-Datenträger zugreifen kann. Detailliert wird dieses Dateisystem in Abschnitt 4.3 NTFS im Detail ab Seite 138 behandelt.
CDFS Das Compact Disc File System ist das Standardformat nach ISO-9660 für die Verwendung von CD-ROMs unter Windows XP. Es unterstützt lange Dateinamen entsprechend ISO 9660 Level 2. Die folgenden Einschränkungen gelten bei der Erstellung von CDROMs nach diesem Standard: • Die Namen von Dateien und Ordnern dürfen höchstens 31 Zeichen lang sein und können nur Grossbuchstaben verwenden. • Die Ordnerstrukturen können maximal eine Tiefe von 8 Ebenen vom Hauptverzeichnis aufweisen. CDs brennen direkt Windows XP kann CDFS-Datenträger lesen und, wenn geeignete unter Windows XP Hardware vorhanden ist, auch selbst erstellen (siehe auch Abschnitt
19.2.2 Umgang mit CD-R ab Seite 1064).
UDF Das Universal Disc Format (ISO 13346) ist ein neues Standardformat für austauschbare Wechseldatenträger allgemein. Mit UDF formatierte
4.2 Vergleich von FAT, FAT32 und NTFS ___________________________________ 129 CD-ROMs, MOs (Magnetooptische Medien) oder DVDs sollen so zwischen den verschiedensten Plattformen und Betriebssystemen kompatibel sein. Der Standard gilt als Nachfolger des CDFS und ist heute in den Versionen 1.02 und 1.50 verbreitet. Windows XP unterstützt von sich aus das Lesen UDF-formatierter Datenträger. Das Erstellen von Datenträgern mit diesem Format ist nur mit Zusatzsoftware von Drittherstellern möglich.
4.2 Vergleich von FAT, FAT32 und NTFS In diesem Abschnitt werden die von Windows XP unterstützten Dateisysteme für Festplatten in den wichtigsten Merkmalen miteinander verglichen. Das soll Ihnen helfen, die Stärken und Schwächen der einzelnen Systeme besser einzuschätzen.
4.2.1
Kompatibilität mit MS-Betriebssystemen
Die in der Windows-Welt verbreiteten Dateisysteme FAT, FAT32 und NTFS können nicht von allen Microsoft-Betriebssystemen verwendet werden. Die folgende Tabelle zeigt die Unterstützung der MicrosoftBetriebssysteme für diese Dateisysteme. Betriebssystem
FAT
FAT32
NTFS
NTFSv5
9
8
8
8
Windows 95
9
8
8
8
Windows 95 OSR2
9
9
8
8
Windows 98
9
9
8
8
Windows NT 3x/4x
9
8
9
8
Windows NT ab ServicePack 4
9
8
9
9
Windows 2000
9
9
9
9
Windows XP
9
9
9
9
MS-DOS; inkl. Windows (2x,3x)
Windows 2000 und XP sind die Microsoft-Betriebssysteme mit einer umfassenden Unterstützung aller in der Windows-Welt verbreiteten Dateisysteme. Damit eignet sich Windows XP, wie schon Windows 2000, deutlich besser zum Upgrade eines Windows 9x/ME-Systems als noch Win-
Tabelle 4.1: Kompatibilität der Microsoft-Betriebssysteme
130__________________________________________________________ 4 Dateisysteme dows NT 4 Workstation. Hier dominiert schließlich das FAT32Dateisystem, welches Windows NT nicht unterstützt. Windows NT und NTFSv5
Windows NT 4 ist erst ab Installation des Service Packs 4 in der Lage, auf NTFSv5-formatierte Datenträger zuzugreifen. Allerdings ist der Zugriff unter Windows NT auf die bisher unter NTFSv4 bekannten Funktionen beschränkt. Neue Funktionen und Merkmale wie beispielsweise Datenträgerkontingente oder verschlüsselte Dateien sind nicht verfügbar. Windows XP verfügt über zuverlässige Mechanismen, die eine gemeinsame Nutzung NTFS-formatierter Datenträger mit Windows NT 4 ermöglichen. In Abschnitt 4.3.9 Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 169 wird dieses Thema eingehender erörtert.
Dynamische Festplatten
Für das richtige Verständnis der Datenträgerverwaltung von Windows XP unter maximaler Ausnutzung seiner Möglichkeiten empfiehlt sich die Nutzung von dynamischen Festplatten. Allerdings gibt es gerade im Hinblick auf die Kompatibilität zu anderen Betriebssystemen und zu den System- beziehungsweise den Startdatenträgern einiges zu beachten. In Abschnitt 3.3 Dynamische Festplatten ab Seite 100 wird die dynamische Datenträgerverwaltung von Windows XP im Detail behandelt.
FAT/FAT32 und Multibootkonfigurationen
Für Multiboot-Konfigurationen, die neben Windows XP auch noch andere Betriebssysteme vorsehen, kann die Verwendung von FAT oder FAT32 für den System- beziehungsweise Startdatenträger Sinn machen. Das FAT-Dateisystem wird von vielen älteren Betriebssystemen unterstützt und eignet sich daher für die Formatierung maximal kompatibler Datenträger. FAT32 als Dateisystem ermöglicht eine effiziente Datenverwaltung bei einer Windows XP/Windows 9x/MEDualbootkonfiguration.
4.2.2
Speicherkapazität von Datenträgern
Die nutzbare Kapazität eines Datenträgers wird erheblich durch das verwendete Dateisystem bestimmt. Zum einen betrifft das die verfügbare Größe des Datenträgers selbst, zum anderen den effektiven Umgang mit dem zur Verfügung stehenden Platz.
Maximale Datenträgergrößen Die maximale Größe eines Datenträgers, die durch ein Dateisystem verwaltet werden kann, hängt von der Anzahl der adressierbaren Cluster ab. Die Dateisysteme FAT, FAT32 und NTFS unterscheiden sich hierbei: FAT16, daher auch der Name, kann mit einem 16 BitDatenwort die Anzahl der Cluster adressieren. Damit beschränkt sich die maximale Anzahl auf 65 535 Cluster (216).
4.2 Vergleich von FAT, FAT32 und NTFS ___________________________________ 131 FAT32 verfügt demgegenüber über ein 32 Bit-Feld. Da die ersten 4 Bits reserviert sind, stehen 228 Adressen (268 435 456 Cluster) zur Verfügung. Bei NTFS ist die Datenbreite nochmals auf 64 Bit verdoppelt, was einen Adressraum von 18 446 744 073 709 551 616 Cluster zur Folge hat. Da gemäß des heute etablierten Industriestandards die Sektorgröße eines Datenträgers 512 Byte beträgt, ergibt sich folgende Formel: Maximale Datenträgergröße = Clusteranzahl x Sektorgröße
Die folgende Tabelle vermittelt einen Überblick über die Größenbeschränkungen für Datenträger und Dateien der Dateisysteme: FAT
FAT32
NTFS
Maximale Datenträgergröße, theoretisch
4 GB
2 TB
16,7 Mio TB
Maximale Datenträgergröße, praktisch
2 GB
9x/ME: 127,5 GB
2 TB
XP/2000: 32 GB
XP 64 Bit: 16,7 Mio TB
Maximale Dateigröße
2 GB
4 GB
durch Datenträgergröße begrenzt
Dateien je Datenträger
216-12
222
232-1
=65 524
=4 194 304
=4 294 967 295
5121
unbegrenzt
unbegrenzt
Einträge im Stammverzeichnis
Tabelle 4.2: Größenbeschränkungen der Dateisysteme unter Windows XP
Unter dem FAT-Dateisystem stehen maximal 65 524 Cluster (16 Bit = FAT 65 535; abzüglich reservierter Platz) für die Speicherung von Dateien und Verzeichnissen zur Verfügung. Ab 2 GB Datenträgergröße belegen die Cluster hier allerdings 64 KB. Das bedeutet zum einen eine große Verschwendung von Speicherplatz bei vielen kleinen Dateien, zum anderen können MS-DOS und Windows 9x/ME dann nicht mehr auf diesen Datenträger zugreifen. Um Kompatibilität sicherzustellen, sollten Sie deshalb bei größeren > 2 GB: besser Datenträgern über 2 GB prüfen, ob die Verwendung von FAT32 oder FAT32 oder NTFS NTFS auf dem entsprechenden Datenträger einsetzbar ist. Anderenfalls ist eine Aufteilung (Partitionierung) des Datenträgers in kleinere Einheiten anzuraten.
1
Die Verwendung langer Dateinamen im FAT-Stammordner kann die Anzahl der Einträge zusätzlich reduzieren. 1 Eintrag wird auch durch den Datenträgernamen beansprucht (wenn vorhanden).
Die Anzahl der verwaltbaren Cluster unter FAT32 ist 228 = 268 435 456. Nach Abzug von weiterem Verwaltungsplatz verbleiben 268 435 445 Cluster für die Speicherung von Daten. Bei einer Clustergröße von 32 KB errechnet sich eine theoretisch maximale Größe eines Datenträgers von 8 TB. Aufgrund interner Limitierungen von Windows 95 OSR2 und Windows 98/ME ist die Größe der FAT selbst auf 16 MB beschränkt. Die Limitierung bedeutet eine maximale Anzahl der verwaltbaren Cluster von 4 177 920 (je Cluster 4 Byte). Bei einer maximalen Clustergröße von 32 KB ergibt sich eine nutzbare Kapazität von immerhin noch 127,53 GB. Dies ist auch die Größe, die Sie unter Windows 95 OSR2 und Windows 98/ME formatieren können. Unter Windows XP werden nur Datenträger bis zu 32 GB für FAT32 unterstützt. Für die Wahrung der Kompatibilität kann Windows XP auch größere, fremdformatierte FAT32-Datenträger benutzen. Nur neu formatieren können Sie diese dann mit FAT32 nicht.
NTFS
Die maximale Größe eines Datenträgers, den Sie mit NTFS unter Windows XP formatieren können, ist derzeit auf die noch recht theoretische Größe von 2 TB begrenzt (wohlgemerkt für einen Datenträger am Stück!). Diese Beschränkung liegt weniger an Windows XP oder Microsoft, sondern mehr an der heute üblichen Sektorgröße bei Festplatten von 512 Byte. Hinzu kommt die derzeitige Limitierung der Datenträgertabellen auf 232 Sektoren (als Industriestandard verankert). Damit ergibt sich eine maximale Größe von 232 x 512 Byte = 2 TB. Durch eine Vergrößerung der Sektorgröße beziehungsweise der Datenträgertabelle könnten hier in Zukunft noch Reserven aufgedeckt werden.
NTFS und Windows XP 64 Bit
Unter der 64 Bit-Fassung von XP können Sie mit den sogenannten GPT-Disks nochmals größere Datenträger verwalten. Weitere Informationen finden Sie dazu in Abschnitt 3.4 Festplatten unter Windows XP 64 Bit ab Seite 115.
Größe der Zuordnungseinheiten (Cluster) Die kleinste adressierbare Einheit auf einer Festplatte wird auch Zuordnungseinheit oder Cluster genannt. In Tabelle 4.3 sind die Clustergrößen der einzelnen Dateisysteme gegenübergestellt. Mit Hilfe der Windows XP-Formatprogramme können Sie diese Clustergrößen an spezielle Bedürfnisse anpassen (siehe auch Abschnitt 9.5 Datenträger formatieren ab Seite 515). Die Limitierungen, insbesondere des FAT-Dateisystems, können Sie damit natürlich trotzdem nicht überwinden. Das bedeutet auch, dass die minimale Clustergröße ab einer bestimmten Datenträgerkapazität nicht unterschritten werden kann. So können Sie keinen FAT16-Datenträger mit 3 GB und einer Clustergröße von beispielsweise 4 KB formatieren.
4.2 Vergleich von FAT, FAT32 und NTFS ___________________________________ 133 Datenträgergröße
FAT
FAT32
NTFS
7 – 16 MB
2 KB (FAT121)
---2
512 Byte
17 – 32 MB
512 Byte
---
512 Byte
33 - 64 MB
1 KB
512 Byte
512 Byte
65 – 128 MB
2 KB
1 KB
512 Byte
129 – 256 MB
4 KB
2 KB
512 Byte
257 – 512 MB
8 KB
4 KB
512 Byte
513 – 1 024 MB
16 KB
4 KB
1 KB
1 GB – 2 GB
32 KB
4 KB
2 KB
2 GB – 4 GB
64 KB
4 KB
4 KB
4 GB – 8 GB
---
4 KB
4 KB
8 GB – 16 GB
---
8 KB
4 KB
16 GB – 32 GB
---
16 KB
4 KB
32 GB – 2 TB
---
---
4 KB
Tabelle 4.3: Standard- Clustergrößen der Dateisysteme unter XP
Aus der Tabelle wird deutlich, dass für die Verwaltung großer Daten- Verschwendung träger ab 1 GB die Verwendung von FAT als Dateisystem mit einer unter FAT Clustergröße von 16 KB und mehr zu einer sehr ineffizienten Ausnutzung des Speicherplatzes führt. Dies wird besonders deutlich, wenn Sie auf so einem Datenträger viele kleine Dateien, beispielsweise kurze Texte, speichern, die allesamt nur wenige KB groß sind. Jede Datei belegt dabei mindestens einen Cluster. Bei einer Dateigröße von 2 KB bleiben so bei einem Cluster von 16 KB glatte 14 KB ungenutzt. FAT32 erlaubt mit seinen kleineren Clustergrößen eine wesentlich Höhere Effizienz effizientere Speicherung auch kleinerer Dateien. Die sparsamste Ver- bei FAT32 und wendung kann hier aber NTFS aufweisen. Kleine Dateien bis ca. 1 500 NTFS Bytes werden komplett mit den zugehörigen Indizierungsattributen in der Master File Table (MFT) untergebracht (siehe auch Abschnitt 4.3.2 Der interne Aufbau von NTFS ab Seite 141).
1 Bei kleinen Datenträgern bis 16 MB wird automatisch das FAT12Dateisystem mit einem 12-Bit-Eintrag in der Dateizuordnungstabelle (212 Cluster) benutzt. Für Datenträger ab 17 MB ist es dann FAT16. 2
Mit --- gekennzeichnete Felder in der Tabelle zeigen nicht unterstützte Konfigurationen an.
Neben der Größe eines Datenträgers und Aspekten der Zugriffssicherheit spielt bei einer lokalen Arbeitsstation auch die erreichbare Performance eine Rolle bei der Entscheidung für ein Dateisystem. Oberflächlich betrachtet erscheint NTFS zunächst nicht unbedingt schneller zu sein als FAT oder FAT32. In der folgenden Tabelle sehen Sie die Performance-Merkmale der drei Dateisysteme gegenübergestellt: Tabelle 4.4: Performance der drei Dateisysteme
Performance Unterstützung großer Medien Performanceverlust bei Fragmentierung
FAT
FAT32
NTFSv5
mittel
hoch
sehr hoch
schlecht
gut
sehr gut
hoch
hoch
mittel
In den folgenden Abschnitten werden die Ursachen für diese Unterschiede näher erläutert.
Kleine Datenträger FAT/FAT32 ist schneller
Die Dateisysteme FAT12/16 und FAT32 haben auf kleineren Datenträgern in Sachen Performance die Nase vorn und sind schneller als NTFS. Dies ist in der wesentlich einfacheren Struktur der FATDateisysteme begründet. Zudem gibt es unter FAT keine erweiterten Zugriffsberechtigungen für Benutzer, die für eine Datei oder einen Ordner mit verwaltet werden müssen. NTFS hat dadurch und durch seine interne Strukturierung einen größeren Overhead zu verwalten – und das kostet eben Zeit. Bis zu einer Datenträgergröße von 256 MB bei einer Clustergröße von 4 KB ist das Dateisystem FAT16 für eine maximale Performance zu bevorzugen. Das betrifft heute vor allem die Formatierung von Wechseldatenträgern mit meist 20, 100 oder 250 MB Kapazität.
Disketten
Aufgrund der größeren notwendigen Verwaltungskapazitäten des NTFS-Dateisystems wird eine Formatierung von Disketten mit NTFS erst gar nicht unterstützt. Hier ist nach wie vor das FAT12Dateisystem hinsichtlich der Effizienz der Speicherung die beste Wahl.
Große Datenträger NTFS im Vorteil
Auf großen Datenträgern ab 1 GB mit vielen Dateien sieht die Sache schon ganz anders aus. Hier kann NTFS seine Trümpfe voll ausspie-
4.2 Vergleich von FAT, FAT32 und NTFS ___________________________________ 135 len. Die Organisation der Dateien in Ordnern in Form von B-Bäumen beschleunigt die Suche nach Dateien erheblich (unabhängig von der zusätzlichen Möglichkeit der Indizierung in Windows XP; siehe auch Abschnitt 3.5 Der Indexdienst ab Seite 118). Die Suche nach einer bestimmten Datei wird durch wesentlich weniger Zugriffe möglich – im Gegensatz zu FAT, wo immer der gesamte Ordner durchsucht werden muss. Dazu kommen die effizienteren Speichermethoden für kleine Dateien Kleine Dateien im NTFS-Dateisystem gegenüber dem auf Zeigern basierenden Modell bei FAT/FAT32, die eine deutlich schnellere Bereitstellung der Daten für Anwendungsprogramme ermöglichen. So werden kleine Ordner und Dateien direkt in der Master File Table (MFT) abgelegt. Unter den FAT-Dateisystemen enthalten die Dateizuordnungstabellen generell nur Zeiger auf Dateien und Ordner, unabhängig von deren Größe.
Performanceverlust durch Fragmentierung Die Fragmentierung von Datenträgern und Dateien wirkt sich mit am stärksten auf die erreichbare Performance unter jedem der unterstützten Dateisysteme aus. Diesem Thema ist der Abschnitt 4.5 Fragmentierung ab Seite 179 gewidmet.
4.2.4
Gewährleistung der Datenintegrität
Ein wesentliches Merkmal eines Dateisystems ist die Fähigkeit, mit Störungen umzugehen beziehungsweise Daten nach einem Systemausfall wiederherstellen zu können. In diesem Abschnitt werden die Dateisysteme FAT, FAT32 und NTFS in dieser Hinsicht gegenübergestellt.
Datensicherheit bei FAT Das einfache FAT-Dateisystem ist am anfälligsten gegenüber Datenträgerfehlern: • Der Bootsektor wird nicht gesichert, sodass bei seiner Beschädigung kein Startvorgang möglich ist. • Wird die Dateizuordnungstabelle beschädigt, wird nicht automatisch die Sicherheitskopie benutzt. Diese kann erst ein externes Reparaturprogramm wie beispielsweise Chkdsk aktivieren. • Eine integrierte Dateisystemsicherheit wie bei NTFS steht unter FAT nicht zur Verfügung. Eine unterbrochene Schreibaktion, die beispielsweise eine alte Datei durch eine neue ersetzen soll, hat so den Verlust der alten und der neuen Datei zur Folge.
136__________________________________________________________ 4 Dateisysteme Demgegenüber stehen die Möglichkeiten, auf FAT-Datenträger mit Hilfe einer einfachen MS-DOS-Bootdiskette zuzugreifen sowie die breite Palette an verfügbaren Reparaturwerkzeugen.
Datensicherheit bei FAT32 Gegenüber FAT12/16 wurden bei FAT32 einige Verbesserungen hinsichtlich der Dateisystemsicherheit vorgenommen: • Der Stammordner ist eine normale Clusterkette und kann an einer beliebigen Stelle im Dateisystem gespeichert werden. Dadurch ist dieser weniger empfindlich gegen Störungen des Datenträgers an einzelnen bestimmten Sektoren und es entfällt die Limitierung von FAT auf 512 Einträge im Stammordner \ eines Datenträgers. • FAT32 kann bei einer Beschädigung der Dateizuordnungstabelle automatisch die Sicherungskopie implementieren. Wie auch unter FAT12/16 ist aber eine Reihe von Nachteilen hinsichtlich der Dateisystemsicherheit nicht behoben: • Der Bootsektor wird auch hier nicht gesichert. • Eine integrierte Dateisystemsicherheit wie bei NTFS steht ebenfalls nicht zu Verfügung.
Datensicherheit bei NTFS Wiederherstellbares Dateisystem
Transaktionen
• Wiederherstellbares Dateisystem Das NTFS-Dateisystem bietet in Sachen Datensicherheit bedeutende Erweiterungen gegenüber FAT und FAT32. NTFS wird darum auch wiederherstellbares Dateisystem genannt. Grundlage der Wiederherstellbarkeit ist die Verwendung von Standardmethoden zur Transaktionsprotokollierung, wie sie auch in Datenbanksystemen Anwendung finden. Jeder Datenträgervorgang wird dabei als Transaktion betrachtet. Vor einer Aktion, das kann beispielsweise das Lesen einer Datei oder das Schreiben einer bestimmten Anzahl von Datenblöcken sein, erfolgt ein Starteintrag ins Transaktionsprotokoll. Dann wird die Transaktion durchgeführt und der erfolgreiche Abschluss wiederum protokolliert. Wird die Transaktion aufgrund eines Hardware-Fehlers oder Programmabsturzes nicht bis zu Ende geführt, erfolgt die Wiederherstellung der Datenträgerkonsistenz mit Hilfe des Transaktionsprotokolls und spezieller Prüfpunkte.
4.2 Vergleich von FAT, FAT32 und NTFS ___________________________________ 137 Die transaktionsorientierte Arbeitsweise unter NTFS entspricht im Unix: Journaled Prinzip der des Journaled File Systems, wie es auch in verschiedenen File System (JFS) UNIX-Versionen zum Einsatz kommt. Die Transaktionsprotokollierung ist übrigens nicht zu verwechseln mit dem Änderungsjournal (siehe Abschnitt 4.3.8 Weitere besondere Merkmale von NTFS ab Seite 164), welches ein neues Merkmal des NTFSv5 darstellt. • Cluster-Remapping
Cluster-Remapping
NTFS ist in der Lage, die Auswirkungen von auftretenden Sektorfehlern bei Datenträgern zu minimieren. Wird während des Betriebes ein defekter Sektor entdeckt, wird der entsprechende Cluster als defekt in der Datei $BADCLUS markiert und die zu schreibenden Daten werden auf einen unbeeinträchtigten umgeleitet. Tritt ein Sektorfehler bei einem Lesevorgang auf, können allerdings die betreffenden Daten nicht wiederhergestellt werden. Da sie nicht mehr konsistent sein können, werden sie verworfen. Für FAT und FAT32 werden defekte Sektoren nur beim Neuforma- Defekte Sektoren tieren eines Datenträgers erkannt und berücksichtigt. Treten Sek- bei FAT torfehler hier während des Betriebes auf, können auch Schreiboperationen beeinträchtigt werden beziehungsweise die zu schreibenden Daten verloren gehen. • Bootsektor-Sicherung Für den Bootsektor wird im Gegensatz zu FAT und FAT32 am Ende des logischen Datenträgers eine Sicherungskopie angelegt.
4.2.5
BootsektorSicherung
Zugriffsrechte für Dateien und Ordner
Für die Dateisysteme FAT und FAT32 lassen sich für Dateien und FAT und FAT32: Ordner lediglich bestimmte Attribute setzen: Schreibgeschützt, Ver- lediglich Attribute steckt, Archiv und System. Diese Attribute lassen sich durch alle Benutzer setzen und löschen und stellen damit keinen wirksamen Schutz vor unbefugtem Zugriff dar. Rechte auf Benutzerebene werden von diesen Dateisystemen nicht unterstützt. Lediglich für die Freigaben in einem Windows-Netzwerk lassen sich verbindliche Attribute festlegen, die dann nicht mehr durch jeden Benutzer über das Netzwerk hinweg geändert werden können. Unter NTFS lassen sich Dateiberechtigungen für Dateien und Ordner NTFS: festlegen, die den Zugriff genau für die angelegten Benutzer und Benutzerrechte Gruppen regeln. Sie können festlegen, wer überhaupt Zugriff erhält und wenn, welche Aktionen im Detail zugelassen sind. Diese Dateiberechtigungen gelten sowohl lokal als auch für Benutzer, die über das Netzwerk angemeldet sind.
Neu unter NTFSv5 sind vererbbare Berechtigungen, die standardmäßig aktiviert sind. Durch die Festlegung der Berechtigungen für übergeordnete Ordner können Sie Berechtigungen für Dateien und Ordner, die in diesem enthalten sind, leicht ändern. Dies führt zu einer erheblichen Zeiteinsparung und zu drastisch verminderten Datenträgerzugriffen bei der Änderung der Berechtigungen für eine hohe Zahl von Dateien und Ordnern. Die Sicht auf die erweiterten NTFS-Benutzerrechte auf DateisystemEbene ist bei einem Windows XP-System, das nicht in eine Active Directory-Domäne eingebunden ist, standardmäßig deaktiviert. Erst nach einer Umkonfiguration der Ordneransicht können Sie auf die ganze Flexibilität bei der NTFS-Rechtevergabe zugreifen. Weitergehende Informationen finden Sie dazu in Abschnitt 4.3.4 NTFS-Zugriffsrechte für Dateien und Ordner ab Seite 151 sowie in Abschnitt NTFS-Zugriffsrechte einstellen ab Seite 557.
4.3 NTFS im Detail Im folgenden Abschnitt wird das NTFS-Dateisystem detailliert betrachtet. Dabei werden interne Zusammenhänge und Eigenschaften erläutert, soweit sie für die Arbeit eines Administrators oder technisch interessierten Benutzers nützlich sein könnten.
4.3.1
Dateinamen
Das NTFS-Dateisystem ermöglicht die Nutzung langer Dateinamen bis zu einer Länge von 255 Zeichen. Durch die Verwendung des 16 Bit-Unicode-Zeichensatzes können Sie auch bedenkenlos Umlaute wie ä, ö, ü, ß usw. verwenden. Nicht zulässig sind in NTFS-Dateinamen die folgenden Zeichen: \/:*?"<>| Leerzeichen sind allerdings erlaubt. Wollen Sie über die Eingabeaufforderung auf eine Datei zugreifen, deren Name Leerzeichen enthält, müssen Sie diesen in Anführungszeichen setzen: type "Das ist eine Beispiel-Textdatei.txt" Keine Unterscheidung zwischen Groß- und Kleinschreibung
Aufgrund der ursprünglich in NTFS implementierten POSIXKompatibilität kann eigentlich zwischen Groß- und Kleinschreibung unterschieden werden. Da dies normale 32-Bit-Windows-Applikationen aber nicht wahrnehmen können und das POSIX-Subsystem in Windows XP nicht mehr enthalten ist, wird heute unter Windows XP grundsätzlich nicht mehr zwischen Groß- und Kleinschreibung bei
4.3 NTFS im Detail _______________________________________________________ 139 Dateinamen unterschieden. Ein Dateiname Hallo.txt ist demzufolge mit hallo.txt identisch. Für die Anzeige der Dateinamen für ältere Anwendungen erstellt Mitführung kurzer Windows XP automatisch MS-DOS kompatible Namen im 8.3-Format. 8.3-Dateinamen Diese kurzen Dateinamen werden standardmäßig immer erzeugt und mit den langen Namen gemeinsam für eine Datei abgespeichert. Bei der Bearbeitung von Dateien durch ältere, nur mit Namen im 8.3Format kompatible Software kann es vorkommen, dass die langen Dateinamen zerstört werden. Dies passiert hauptsächlich dann, wenn zum Speichern der Datei eine temporäre neue Datei angelegt wird, die das Anwendungsprogramm dann mit dem alten kurzen Dateinamen umbenennt. Bei der hauptsächlichen Benutzung von Dateien durch ältere Anwen- 8.3-Schema dungen, die nur mit den 8.3-Dateinamen umgehen können, empfiehlt sich die konsequente Bezeichnung dieser Dateien nach dem alten 8.3Schema: • Es sind nur die Zeichen des ASCII-Zeichensatzes erlaubt. Die erweiterten Zeichen des Unicode-Zeichensatzes sind nicht zulässig. • Leerzeichen sowie Sonderzeichen (\ / : * ? " < > |) sind nicht zulässig. • Es ist nur die Verwendung eines Punktes mit einer Dateiendung von bis zu drei Buchstaben zugelassen, die den Dateityp näher spezifiziert (.TXT; .DOC usw.). Windows XP kann automatisch 8.3-Dateinamen erzeugen, wenn der Parameter in der Registrierung entsprechend gesetzt ist (Standardfall). Sie können mittels des Kommandos Fsutil file setshortname aber für eine Datei diesen 8.3-Namen selbst setzen (siehe Abschnitt 9.1.4 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 470). Bei der automatischen Erzeugung von kurzen Dateinamen in der 8.3- Automatische Erzeugung von 8.3Notation geht Windows XP folgendermaßen vor: 1. Es werden alle Leerzeichen und Unicode-Sonderzeichen entfernt. 2. Bis auf den letzten Punkt im Dateinamen entfernt Windows XP alle anderen Punkte, falls vorhanden. 3. Ist der verbleibende Name vor einem eventuell vorhandenen Punkt länger als sechs Zeichen, kürzt Windows XP diesen Teil auf sechs Zeichen und hängt eine Tilde ~ mit einer Ziffer, beginnend bei 1, an. Danach kommt, falls vorhanden, der Punkt mit einer Dateiendung bis zu drei Zeichen. Alle innerhalb der verbleibenden ersten sechs Buchstaben eindeutigen Dateinamen enden also immer mit einer ~1. Auf der Eingabeaufforde-
140__________________________________________________________ 4 Dateisysteme rung können Sie mit dem Befehl dir / X Dateien mit ihren langen und kurzen Dateinamen gemeinsam anzeigen lassen. Tabelle 4.5: Lange Dateinamen mit den erzeugten kurzen Namen
Langer Dateiname
Kurzer 8.3-Dateiname
Das ist eine Datei.txt
DASIST~1.TXT
Eine andere Datei.txt
EINEAN~1.TXT
Noch eine Datei.txt
NOCHEI~1.TXT
Mehrere Dateien mit gleichlautenden Namen
Befinden sich in einem Verzeichnis mehrere Dateien, deren erste sechs Zeichen des erzeugten Kurznamens gleich lauten, wird die Ziffer nach der Tilde hochgezählt. Dies geschieht aber nur mit den ersten vier Dateien. Für die fünfte Datei wird der Dateiname auf zwei Buchstaben gekürzt und aus den anderen vier Zeichen nach mathematischen Regeln ein 4-Zeichen-Code ermittelt, der wieder mit einer Tilde und einer Ziffer beendet wird.
Tabelle 4.6: Ergebnis bei gleichlautenden Namen
Langer Dateiname
Kurzer 8.3-Dateiname
Datei von Uwe.txt
DATEIV~1.TXT
Datei von Jörg.txt
DATEIV~2.TXT
Datei von Yvonne.txt
DATEIV~3.TXT
Datei von Haide.txt
DATEIV~4.TXT
Datei von Janine.txt
DAEE4C~1.TXT
Datei von Clemens.txt
DA1CBE~1.TXT
Keine Eindeutigkeit!
Entscheidend für die Bildung des kurzen Dateinamens mit Erzeugung eines 4-Zeichen-Codes beziehungsweise der Auswahl der Ziffer nach der Tilde ist die Reihenfolge der Erzeugung oder Benennung der Dateien. Somit können Sie nicht zwingend davon ausgehen, dass ein kurzer Dateiname aus einem bestimmten langen Namen immer gleich lauten muss. Dies ist nur der Fall, wenn wenigstens vier Dateien im betreffenden Verzeichnis liegen.
Erweiterte Unicode-Zeichen in 8.3-Namen
Wollen Sie erweiterte Unicode-Zeichen in kurzen Dateinamen zulassen, können Sie dies mit einer Änderung des folgenden Schlüssels in der Registrierung erreichen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsAllowExtendedCharacterIn8dot3Name=1
Sie können diesen Schlüssel über das Kommandozeilentool fsutil behavior set allowextchar (siehe Abschnitt 9.1.4 Das Kommandozeilen-
4.3 NTFS im Detail _______________________________________________________ 141 Tool FSUTIL.EXE ab Seite 470) oder manuell über den Registrierungseditor setzen (siehe Abschnitt 14.6.2 Bearbeiten der Registrierung ab Seite 889). Möchten Sie die Erzeugung kurzer Dateinamen ganz unterdrücken, 8.3-Dateinamen können Sie dies mit der Änderung des folgenden Eintrags in der Re- ausschalten gistrierung einstellen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsDisable8dot3NameCreation=1
Bedenken Sie dabei aber, dass ältere Software, die diese Namen benötigt, nicht mehr ordnungsgemäß ausgeführt werden kann. Auch diesen Schlüssel können Sie mit Hilfe des Kommandozeilentools fsutil behavior set disable8dot3 (siehe Seite 470) oder über den Registrierungseditor setzen.
4.3.2
Der interne Aufbau von NTFS
Der folgende Abschnitt beschäftigt sich mit dem internen Aufbau von NTFS. Informationen zu FAT12/16 und FAT32 finden in Abschnitt 4.4 FAT und FAT32 im Detail ab Seite 170.
Layout eines NTFS-Datenträgers Die Grundstruktur eines NTFS-Datenträgers ist in der Abbildung 4.1 Bis auf Bootsektor schematisch dargestellt. Bis auf den Bootsektor selbst können alle ist alles variabel anderen Organisationsdaten des NTFS variabel auf dem Datenträger abgelegt sein. Die Master File Table (MFT) als wichtigste Organisationsstruktur des NTFS-Dateisystems befindet sich an einer Position, deren Adresse im NTFS-Bootsektor hinterlegt ist. Die logische Organisationsstruktur von NTFS ist sehr flexibel. Es gibt bis auf den Bootsektor keine festen Positionen für bestimmte systemspezifische Daten. Dadurch kann es kaum dazu kommen, dass ein Datenträger aufgrund eines physischen Fehlers an einer bestimmten Stelle unbrauchbar wird. Für das Starten von einer Festplatte wird allerdings ein intakter Bootsektor vorausgesetzt. Stellen Sie physische Fehler auf einer Festplatte in Ihrem Computersystem fest, sollten Sie diese sicherheitshalber sofort ersetzen. Auch das NTFS-Dateisystem bietet letztlich keine Garantie gegenüber Datenverlusten. Insbesondere bei modernen IDE-Festplatten werden physische Fehler automatisch korrigiert und ausgeblendet. Werden
142__________________________________________________________ 4 Dateisysteme dennoch bei einer Datenträgerprüfung solche Fehler angezeigt (als fehlerhafte Sektoren), deutet das auf eine ernsthafte Beschädigung der Festplatte hin. Abbildung 4.1: Layout eines NTFSDatenträgers
Der NTFS-Bootsektor In der folgenden Tabelle finden Sie den Aufbau des NTFSBootsektors: Tabelle 4.7: Aufbau des NTFSBootsektors
Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
immer 0 gesetzt
3 Byte
13h
reserviert
2 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
immer 0 gesetzt
2 Byte
18h
Sektoren pro Spur
2 Byte
4.3 NTFS im Detail _______________________________________________________ 143 Offset Beschreibung
Länge
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung)
4 Byte
20h
reserviert
4 Byte
24h
reserviert
4 Byte
28h
Anzahl der Gesamtsektoren des Datenträgers
8 Byte
30h
Adresse (log. Clusternummer) der Datei $Mft
8 Byte
38h
Adresse (log. Clusternummer) für $MftMirr
8 Byte
40h
Anzahl der Cluster pro Mft-Datensatz
4 Byte
44h
Anzahl der Cluster pro Indexblock
4 Byte
48h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
4 Byte
50h
Prüfsumme
4 Byte
54h
Bootstrapcode
1FEh
Ende der Sektormarkierung 0x55AA
426 Byte 2 Byte
Der Bootstrapcode ist nicht nur auf die 426 Byte im Bootsektor beschränkt, sondern wird auch als Eintrag in der Master File Table (MFT) geführt.
Die Master File Table (MFT) Alle Strukturbestandteile des NTFS-Dateisystems sind selbst originäre Alle NTFS-StruktuNTFS-Dateien, ohne natürlich durch den Benutzer direkt im Zugriff ren sind Dateien zu stehen. Wichtigste Organisationseinheit ist die so genannte MFT – Master File Table. Diese stellt für jede Datei einen Datensatz bereit. Die ersten 16 Datensätze sind dabei für die Dateien reserviert, welche die Dateisystemstruktur abbilden. Diese Dateien werden auch unter dem Begriff Metadaten zusammengefasst. Der erste Datensatz, die Datei $Mft, beschreibt den Aufbau der MFT Metadaten selbst. Der zweite MFT-Datensatz enthält eine Sicherung der MFT, allerdings nur mit den wichtigsten Einträgen. Diese Datei hat den Namen $MftMirr. Die Speicherorte dieser beiden Dateien sind im Bootsektor des NTFS-Datenträgers eingetragen, sodass im Falle einer Beschädigung der MFT auf die Sicherungskopie zugegriffen werden kann. Je nach Größe des Datenträgers können übrigens noch weitere Sicherungen der MFT existieren.
Das ist der Basisdatensatz der Master File Table selbst
1
$MftMirr
Verweis auf die Sicherungs-MFT
In der Datei $MftMirr werden die ersten vier Datensätze der MFT (0 bis 3) aus Sicherheitsgründen gespiegelt 2
$LogFile
Transaktions-Protokolldatei
Enthält eine Liste der Transaktionsschritte für die Wiederherstellung eines NTFS-Datenträgers 3
$Volume
Datenträgerinformationen
Weitergehende Informationen zum Datenträger wie Bezeichnung etc. 4
$AttrDef
Attributdefinitionen
Eine Beschreibungstabelle mit den für den NTFS-Datenträger gültigen Attributen 5
$
Stammordner
Enthält den Stammordner des Datenträgers (Stamm-Index der Dateinamen) 6
$Bitmap
Volume- oder Clusterbitmap
Zeigt die Cluster-Belegung des Datenträgers an 7
$Boot
Bootsektor
Enthält den Bootsektor des NTFSDatenträgers 8
$BadClus
Fehlerhafte Cluster
Eine Tabelle mit dem Verzeichnis der fehlerhaften Cluster dieses Datenträgers 9
$Secure
Sicherheitsdatei Enthält die Datenbank mit den eindeutigen Sicherheitsbeschreibungen für alle Dateien und Ordner des Datenträgers
4.3 NTFS im Detail _______________________________________________________ 145 Datensatz 10
Dateiname
Beschreibung
$Upcase
Umwandlung Klein-/Großschreibung
In dieser Tabelle stehen die Vorschriften zur Umwandlung der Kleinbuchstaben in langen Dateinamen in Großbuchstaben der 8.3-Notation 11
$Extended
NTFS-Erweiterungen
Datei mit dem Verzeichnis der NTFSErweiterungen wie beispielsweise den Datenträgerkontingenten oder Analysepunkten (für Bereitstellungen) 12-15
reserviert
ab 16
Beginn der Einträge für Dateien und Ordner
Raum für zukünftige Erweiterungen
Der Beginn der MFT wird als Verweis im Bootsektor der Festplatte geführt und ist so nicht auf einen bestimmten Sektor festgelegt. Für den Bootsektor selbst gibt es eine Sicherungskopie am Ende des NTFSDatenträgers. Jeder MFT-Datensatz besitzt eine Größe von 2 KB. Für jede Datei und MFT-Datensätze für jeden Ordner auf dem Datenträger wird so ein MFT-Datensatz einge- Dateien und richtet. Kleine Dateien bis ca. 1 500 Bytes passen dabei direkt in einen Ordner einzelnen Datensatz. Das spart Platz und sorgt für einen sehr schnellen Zugriff, da lediglich der erste Datensatz verfügbar sein muss. Man spricht hier auch von der residenten Speicherung der Daten. Die folgende Abbildung zeigt den schematischen Aufbau eines MFT-Datensatzes für eine solche kleine Datei. Abbildung 4.2: MFTDatensatz einer kleinen Datei
Einer Datei, die größer ist, als ein Datensatz aufnehmen kann, werden weitere Datensätze zugeordnet. Der erste Datensatz, Basisdatensatz Nichtresidente genannt, speichert die Zeiger auf die Speicherorte der weiteren, zuge- Speicherung ordneten Datensätze. Diese Daten werden auch als nicht resident gespeichert bezeichnet. Für große oder stark fragmentierte Dateien, für welche die Größe eines Externe Attribute Basisdatensatzes zur Verwaltung der Zeiger nicht ausreicht, werden ein oder mehrere MFT-Datensätze für die Speicherung der entsprechenden Zeiger angelegt. Diese werden als so genannte externe Attribute im Basisdatensatz bezeichnet, der dann die Funktion eines Stammverzeichnisses im Datenbaum übernimmt.
146__________________________________________________________ 4 Dateisysteme Abbildung 4.3: Nichtresidente Speicherung einer Datei
Effektive Suche auch bei Fragmentierung
Aufgrund dieser Baumstruktur ist eine Suche nach Dateien auch bei einer starken Fragmentierung des Datenträgers noch vergleichsweise schnell (siehe auch Abschnitt 4.5 Fragmentierung ab Seite 179). Nur der sequenzielle Zugriff auf die Datei kann durch die Fragmentierung verlangsamt werden, da dann viele Kopfneupositionierungen der Festplatte notwendig werden.
Abbildung 4.4: Speicherung großer Dateien
Organisationsstruktur von Verzeichnissen Ordner sind grundsätzlich nichts anderes als spezielle Dateien. Kleine Ordner bis ca. 1 500 Byte Größe belegen ebenso wie kleine Dateien nur einen MFT-Datensatz. Im Datensatz wird der entsprechende (residente) Ordner-Index gehalten. Der Index-Aufbau ist übrigens unter NTFS sehr flexibel. Statt des Dateinamens kann grundsätzlich auch ein anderes Dateiattribut verwendet werden. Neben dem Indizierungsattribut, meist der Dateiname, wird im Index der Zeiger auf den entsprechen-
4.3 NTFS im Detail _______________________________________________________ 147 den Eintrag der Datei in der MFT gespeichert (auch Dateinummer genannt). Abbildung 4.5: MFTDatensatz bei kleinen Verzeichnissen
Für größere Verzeichnisse, die nicht komplett in einen MFT-Datensatz B-Bäume bei gröpassen, wird eine B-Baumstruktur aufgebaut. In einem Knoten des ßeren VerzeichnisBaumes, welcher wiederum ein MFT-Record ist, sind dann sowohl sen Indexeintragungen als auch die Zeiger auf weitere Knoten enthalten. Mit diesem Schema können beliebig große Verzeichnisstrukturen aufgebaut werden, bei denen Sie nur bedenken sollten, die logische Übersicht nicht zu verlieren. Eine Suche nach Dateien in dem Baum erfolgt dadurch aber in jedem Fall sehr schnell und effektiv.
NTFS-Dateiattribute Attribute sind auf einem NTFS-Datenträger zentrales Organisations- Alles ist Attribut mittel. Jede Datei oder jeder Ordner wird hier als Gruppierung von Dateiattributen betrachtet. Attribute sind beispielsweise der Dateioder Ordnername, die Sicherheitsinformationen über Besitzverhältnisse oder Zugriffsmöglichkeiten bis hin zu den Daten selbst. Attribute, die vollständig in den MFT-Datensatz einer Datei passen, Residente und werden auch residente Attribute genannt. Von einer nichtresidenten nichtresidente Speicherung von Attributen wird dann gesprochen, wenn diese in Attribute weiteren MFT-Datensätzen abgelegt werden. In der folgenden Tabelle sind die möglichen Typen von NTFSDateiattributen aufgeführt, die derzeit für NTFSv5 definiert sind. Aufgrund der flexiblen und erweiterbaren Struktur von NTFS können hier zukünftig weitere Attribute hinzukommen.
148__________________________________________________________ 4 Dateisysteme Tabelle 4.9: Dateiattribut-Typen in NTFSv5
NTFS-Attribut
Beschreibung
Standard-Informationen
Enthält Standardattribute wie Zeitstempel, Verbindungszähler (Anzahl der Referenzierungen auf die Datei) sowie Felder für die Sicherstellung von Transaktionen
Attributliste
Liste der Attributdatensätze, die extern, also nichtresident gespeichert sind
Dateiname
Der Name der Datei oder des Ordners; es werden die normale Lang- als auch die Kurzform in der 8.3-Notation gespeichert
Sicherheitsbeschreibung
Hier werden die Besitzrechte (Eigentümer der Datei) und die Zugriffsberechtigungen gespeichert. Für die Sicherheitsbeschreibung wird im Englischen auch die Abkürzung ACL (Access Control List) verwendet.
Daten
Enthält die eigentlichen Daten; jede Datei kann ein oder mehrere Datenattribute enthalten
Objektkennung
Eine vom Dateinamen unabhängige Objektkennung, die beispielsweise vom Überwachungsdienst für verteilte Verknüpfungen benutzt wird
Logged Tool Stream
Eine spezielle Form eines Datenstroms, der auch der Protokollierung in der NTFSProtokolldatei unterliegt und beispielsweise durch das verschlüsselnde Dateisystem (EFS) benutzt wird
Analysepunkt
Kennzeichnet die Datei für spezielle Funktionen. Dies wird beispielsweise für Bereitstellungspunkte verwendet, die dadurch spezielle Verzeichnisse für die Einbindung kompletter Datenträgerstrukturen in das Verzeichnissystem darstellen.
Indexstamm,
Dient bei Ordnern der Implementierung des Verzeichnisindex oder anderer Indizes
Indexzuweisung und Bitmap Datenträgerinformation
Wird nur von der NTFS-Systemdatei $Volume zur Speicherung von Informationen zum Datenträger benutzt
Datenträgername
Wird nur von der NTFS-Systemdatei $Volume zur Speicherung der Datenträgerbezeichnung benutzt
4.3 NTFS im Detail _______________________________________________________ 149
4.3.3
Analysepunkte und Bereitstellungen
Analysepunkte im NTFS-Dateisystem sind Dateien beziehungsweise Analyseattribute Ordner, die über spezielle Analyseattribute verfügen. Diese werden und Dateisystemdurch spezifische Dateisystemfilter ausgewertet, mit deren Hilfe diese filter Dateien und Ordner bestimmte besondere Funktionen erhalten können. Der Funktionsumfang des Dateisystems kann so erweitert werden. Dabei werden die Funktionen so implementiert, dass die Nutzung transparent für Benutzer und Anwendungen möglich ist. So können beispielsweise über Ordner ganze Datenträger in eine Verzeichnisstruktur eingebunden werden (über Bereitstellungspunkte), ohne dass Benutzer oder Anwendungen davon etwas merken. Zwei Anwendungen der Analysepunkte im NTFS-Dateisystem sind Bereitstellungspunkte und Remotespeicher.
Bereitstellungspunkte Über einen Bereitstellungspunkt können Sie einen Ordner in einer Verzeichnisstruktur eines NTFS-Datenträgers direkt mit einem anderen Datenträger verbinden. Dabei gibt es keine logischen Begrenzungen. Mit dieser Funktion können Sie theoretisch beliebig viele Datenträger unter einem Verzeichnisbaum miteinander verknüpfen und so über einen einzigen Laufwerkbuchstaben ansprechen. Abbildung 4.6: Über Bereitstellungspunkte verbundene Datenträger
150__________________________________________________________ 4 Dateisysteme Beliebige Stelle im Verzeichnissystem
Alles lässt sich einbinden!
In der Abbildung 4.6 sehen Sie an einem Beispiel, wie drei Datenträger zu einer Verzeichniseinheit miteinander verbunden worden sind. Dabei spielt es keine Rolle, in welcher Verzeichnistiefe sich die Bereitstellungen befinden. Sie können einen Datenträger an einer beliebigen Stelle im Dateisystem wie einen normalen Ordner einbinden. Als Bereitstellungspunkt kann nur ein leerer NTFS-Ordner eingerichtet werden. Der einzubindende Datenträger kann allerdings mit einem beliebigen, von Windows XP unterstützten Dateisystem formatiert sein. Somit können Sie auch folgende Datenträger einbinden: • NTFS-, FAT32- und FAT-formatierte Datenträger • beliebige Wechseldatenträger (allerdings keine Disketten) • CD- und DVD-Laufwerke
Einbindung nur mit Datenträger oder Laufwerke lassen sich ausschließlich mit ihrem Stammverzeichnis Stammverzeichnis über einen Bereitstellungspunkt einbinden. Der
Ordner selbst, über den die Bereitstellung erfolgt, kann sich wie ein normaler Ordner an einer beliebigen Stelle in der Verzeichnisstruktur des NTFS-Datenträgers befinden. Stabil gegenüber Geräteänderungen
Im Falle eines Zugriffs auf einen Bereitstellungspunkt, der auf einen entfernten Datenträger zeigt, erhalten Sie eine Fehlermeldung. Der Bereitstellungspunkt behält allerdings seine logische Zuordnung bei, bis Sie ihn löschen.
Bereitstellungen ändern
Ändern lassen sich Zuordnungen in den Bereitstellungspunkten nicht. Wollen Sie einem Ordner einen anderen Datenträger zuweisen, müssen Sie zuerst über die Datenträgerverwaltung den Laufwerkpfad für den zuerst eingebundenen Datenträger löschen. Zurück bleibt ein leerer Ordner auf dem NTFS-Datenträger, der um sein AnalysepunktAttribut beraubt jetzt wieder ein ganz normales leeres Verzeichnis ist. Dieses können Sie einem anderen Datenträger als neuem Laufwerkpfad zuordnen und damit eine neue Bereitstellung am gleichen Ort erzeugen.
Remotespeicher Auslagerung von Dateien
Eine andere Anwendung der Analysepunkte stellen Remotespeicher dar. Dateien und Ordner, die entsprechend gekennzeichnet sind, können vom Server ausgelagert werden. Zurück bleiben nur Verweise auf die ausgelagerten Daten. Für den Benutzer oder die Anwendung ist dieser Vorgang transparent. Diese sehen die ausgelagerten Dateien genauso wie die nicht ausgelagerten mit allen Angaben zu Dateigröße, Datum und den anderen Attributen. Beim Aufruf einer solchen Datei sorgt der Remotespeicherdienst für ein automatisches Zurückladen der physischen Daten an den Speicherort im NTFS-Dateisystem.
4.3 NTFS im Detail _______________________________________________________ 151 Der Remotespeicherdienst steht nur unter einer der Windows Nur am Server 2000/XP-Serverversionen zur Verfügung. Weiterführende Informatio- verfügbar nen finden Sie dazu in unserem Buch Windows 2000 im Netzwerkeinsatz.
4.3.4
NTFS-Zugriffsrechte für Dateien und Ordner
Anders als bei den schon von Windows 9x/ME bekannten Dateiattributen verfügen Sie mit dem Dateisystem NTFS über »richtige« Zugriffsberechtigungen, die Sie für Dateien und Ordner setzen können. Diese gelten sowohl lokal als auch für über das Netzwerk angemeldete Benutzer. Im NTFS-Dateisystem existiert das Dateiattribut Sicherheitsbeschrei- NTFS-Attribut bung. In diesem sind die einzelnen Berechtigungen enthalten. In SicherheitsbeAbbildung 4.7 sehen Sie als einfaches Beispiel die Berechtigungen auf schreibung die Datei WICHTIG.TXT. Abbildung 4.7: NTFS- Zugriffsberechtigungen für eine Datei
Diese Berechtigungseinträge des NTFS-Attributs Sicherheitsbeschreibung sind nur dann standardmäßig sichtbar und im Einzelnen änderbar, wenn Sie netzwerkseitig in eine Domäne eingebunden sind. Bei einem alleinstehenden oder in einem Arbeitsgruppen-Netzwerk eingebundenen PC können Sie nur auf eine vereinfachte Rechtevergabe zugreifen.
152__________________________________________________________ 4 Dateisysteme Die NTFS-Zugriffsrechte auf die Datei WICHTIG.TXT sehen Sie in der vereinfachten Darstellung nicht. Die Registerkarte SICHERHEIT ist ausgeblendet. Abbildung 4.8: NTFS-Datei-Eigenschaften in der vereinfachten Darstellung
Umschalten der Ansicht
Sie können aber auch die Ansicht bei einem System, welches nicht in eine Domäne eingebunden ist, so umschalten, dass Sie alle NTFSZugriffsrechte einsehen und setzen können. Weitere Hinweise finden Sie dazu in Abschnitt 9.10.1 Einstellen der Stufe der NTFS-Zugriffsrechte ab Seite 558.
Generelle Logik
Der folgende Text beschreibt die generelle Logik der NTFS-Zugriffsrechte. Dabei wird natürlich davon ausgegangen, dass die erweiterte Sicht aktiviert ist, damit die einzelnen Rechte überhaupt sichtbar sind. Auch wenn die vereinfachte Sicht aktiv ist, wirken die NTFS-Rechte in vollem Umfang. Die wirksamen Rechte sind damit nicht unbedingt sichtbar – entziehen können Sie sich Ihnen trotzdem nicht. Im Grunde genommen gibt es diese zwei Prinzipien bei den NTFSZugriffsrechten zu beachten:
Grundprinzipien
• Verweigern hat Vorrang vor Zulassen • Vererbung von Rechten Wenn Sie diese beachten, können Sie sehr differenziert die Rechte für Ihre sensiblen Dateien und Ordner einstellen.
4.3 NTFS im Detail _______________________________________________________ 153 Verweigern hat Vorrang vor Zulassen Nach diesem Prinzip geht Windows XP bei der Auswertung der Reihenfolge der NTFS-Berechtigungen vor, um einem Benutzer oder Gruppenmitglied Auswertung vollen oder eingeschränkten Zugriff auf eine Datei oder einen Ordner zu gestatten oder zu verweigern: 1. Auswertung der negativen Berechtigungen Es gilt der Grundsatz: Verweigerungen haben immer Vorrang vor Zulassungen. Deshalb sollten Sie mit expliziten Verweigerungen eher vorsichtig umgehen. Wenn Sie beispielsweise einer Gruppe das Leserecht verweigern, können Sie einzelnen Mitgliedern dieser Gruppe eben nicht nachträglich das Leserecht einräumen. 2. Auswertung der positiven Berechtigungen Sind die Verweigerungen ausgewertet und führen nicht zu einem Zugriffsverbot auf die Datei oder den Ordner, werden die Zulassungen ausgewertet. Grundsätzlich haben dabei nur die Benutzer oder Gruppen Zugriffsrechte, die in der Gruppen- und Benutzerliste eines Objektes geführt werden. Dies ist beispielsweise in Abbildung 4.7 auf Seite 151 die Liste GRUPPEN- UND BENUTZERNAMEN. Alle anderen Benutzer oder Gruppen, die auf diesem Computer oder in der Domäne vielleicht existieren, haben generell keinen Zugriff.
Rechte generell nur für eingetragene Benutzer und Gruppen
Neben den »normalen« Benutzern und Gruppen haben Sie auf einem Benutzer SYSTEM Windows XP-System den Benutzer SYSTEM. Dieser steht für das Betriebssystem selbst, welchem über dieses Benutzerkonto Rechte auf Dateien und Ordner zugewiesen werden können.
Vererbung von Berechtigungen Das Setzen der Berechtigungen ist also vollständig logisch aufgebaut. Hinzu kommt ein neues, wesentliches Merkmal der NTFS-Zugriffsrechte, welches erstmals mit Windows 2000 eingeführt worden ist: Die Vererbung von Berechtigungen. In Abbildung 4.7 können Sie erkennen, dass die Spalte ZULASSEN grau unterlegt ist und dort die einzelnen Berechtigungen nicht geändert werden können. Das liegt daran, dass für die betreffende Datei oder den Ordner die Rechte des übergeordneten Ordners geerbt worden sind. Das ist standardmäßig aktiviert, wenn Sie eine neue Datei oder Ordner anlegen und erleichtert die Zuweisung spezieller Berechtigungen. Dabei erbt die neue Datei (oder Ordner) automatisch die eingestellten Berechtigungen des Ordners, in welchem sie sich befindet. Dieser Ordner wiederum erbt die Einstellungen von seinem übergeordneten Ordner usw.
154__________________________________________________________ 4 Dateisysteme Beispiel für die Rechte-Vererbung
Zum besseren Verständnis soll dies an einem praktischen Beispiel gezeigt werden, welches Sie an jedem standardmäßig eingerichteten Windows XP-System einfach nachvollziehen können: Die lokalen Benutzerverzeichnisse befinden sich unter Windows XP im folgenden Verzeichnis: %Systemdrive%\Dokumente und Einstellungen %Systemdrive% steht dabei für das Windows XP-Startlaufwerk; meist ist dies C:\. Für jeden lokal vorhandenen Windows XP-Benutzer befinden sich hier die Verzeichnisse, in denen alle »persönlichen« Dateien und Ordner abgelegt sind wie beispielsweise die für den Desktop, individuelle Startmenüeinträge oder die Dokumente des Benutzers, die dieser in EIGENE DATEIEN abspeichert (siehe Abbildung 4.9).
Abbildung 4.9: Struktur der lokalen Benutzerordner
Für jeden Benutzerordner gelten andere individuelle Rechte (allein der Administrator hat uneingeschränkten Zugriff auf alle Dateien und Ordner). Wenn Sie sich die gesetzten Berechtigungen für zwei verschiedene Benutzerordner ansehen, werden Sie dies erkennen (siehe Abbildung 4.10). Bei beiden Benutzerordnern sind die Benutzerrechte jeweils ausschließlich auf die Eigentümer ausgerichtet. Diese beiden Ordner erben übrigens nicht die Rechte vom übergeordneten Ordner Dokumente und Einstellungen, sondern werden durch das Managementkonsolen-Snap-In LOKALE BENUTZER UND GRUPPEN beim Anlegen eines Benutzers neu erstellt, allerdings immer ohne gesetztes »Erbattribut«.
4.3 NTFS im Detail _______________________________________________________ 155 Abbildung 4.10: Vergleich der Berechtigungen zweier Benutzerordner
Standardmäßig erben sonst alle Dateien und Ordner, die Benutzer oder Anwendungsprogramme anlegen, standardmäßig die Berechtigungen vom übergeordneten Ordner. Damit werden die Dateien, die beispielsweise ein Benutzer in seinem Ordner EIGENE DATEIEN ablegt oder in diesen kopiert, mit seinen Rechten versehen. Andere Benutzer können dann nicht seine Ordner einsehen oder auf diese Dateien zugreifen. Ausnahme bleibt allein die Gruppe der Administratoren, für die standardmäßig Vollzugriff eingerichtet ist. Sie können separat für jede Datei oder jeden Ordner die Vererbung Aktivieren und aktivieren oder deaktivieren. Wollen Sie beispielsweise für eine Datei Deaktivieren der zusätzliche Berechtigungen einrichten, müssen Sie zunächst die Ver- Vererbung erbung deaktivieren. Sie werden dann vom System gefragt, was mit den bisher für das Objekt wirksamen Berechtigungen, die ja »geerbt« gewesen sind, geschehen soll. Abbildung 4.11: Rückfrage, was beim Deaktivieren der Vererbung mit den Berechtigungen passieren soll
Sie haben dann die folgenden beiden Möglichkeiten (siehe Abbildung 4.11): • Kopieren der Berechtigungseinträge Dabei werden alle bisher effektiv geltenden Berechtigungseinträge in das Attribut Sicherheitsbeschreibung dieses Objekts kopiert. Sie
156__________________________________________________________ 4 Dateisysteme können danach einzelne Berechtigungseinträge entfernen oder zusätzliche setzen. Das dürfte auch der Standard-Anwendungsfall sein, bei dem Sie selten alle Berechtigungseinträge vollkommen neu setzen, sondern in der Regel nur einige verändern wollen. • Entfernen der Berechtigungseinträge Wollen Sie alle bisher wirksamen Berechtigungen, die auf dieses Objekt gewirkt haben, durch neue Berechtigungseinträge ersetzen, können Sie diese Option wählen. Das Objekt verfügt dann in seinem Attribut Sicherheitsbeschreibung über keine Einträge. Sie müssen im Anschluss daran die gewünschten Berechtigungseinträge komplett neu definieren. Verhalten beim Kopieren und Verschieben
Wichtig ist das richtige Verständnis der Vererbung, wenn Sie Dateien und Ordner kopieren oder verschieben. Dabei gelten die folgenden Regeln: • Kopieren von Dateien und Ordnern Beim Kopieren einer Datei oder eines Ordners, für die das Vererbungsattribut gesetzt ist, werden die Berechtigungen des Zielordners übernommen. • Verschieben von Dateien und Ordnern Verschieben Sie Dateien zwischen NTFS-Ordnern desselben Datenträgers, behalten diese ihre ursprünglich eingestellten Sicherheitseinstellungen bei. Beim Verschieben zwischen unterschiedlichen Datenträgern hingegen wird dieser Prozess wiederum wie das Kopieren behandelt und die Berechtigungen des Zielordners werden übernommen. Voraussetzung ist natürlich jedes Mal, dass der Benutzer oder die Anwendung überhaupt das Recht besitzen, die betreffende Datei oder den Ordner in den Zielordner zu kopieren oder zu verschieben. Wie Sie die Sicherheitseinstellungen für Ordner und Dateien auf NTFS-Datenträgern richtig einsetzen, ist Inhalt des Abschnitts 9.10 NTFS-Zugriffsrechte einstellen ab Seite 557.
4.3.5
Das verschlüsselnde Dateisystem (EFS)
Für den zuverlässigen Schutz von Daten reicht das Betriebssystem allein nicht aus. Nicht erst seit dem Auftauchen des DOS-Tools NTFSDOS.EXE ist klar, dass die Sicherheit von auf NTFS-Datenträgern abgelegten Dateien spätestens dann nicht mehr gewährleistet ist, wenn die physischen Datenträger in die Hände unbefugter Personen
4.3 NTFS im Detail _______________________________________________________ 157 gelangen. Leider lassen sich Datenträger, gerade in kleineren Unternehmen oder Filialen, nicht immer hundertprozentig verschließen. Server stehen nicht selten wenig abgeschirmt in Großraumbüros oder in kleinen Kammern, die mit normalen Türen gesichert sind. Ganz zu schweigen von Notebooks, die sensible Daten beherbergen können.
Der grundsätzliche Aufbau Mit dem verschlüsselnden Dateisystem (EFS – Encrypting File System) Dateisystem-Filter können Sie diese Datenschutzprobleme lösen. Das verschlüsselnde Dateisystem ist als eine Erweiterung des NTFS implementiert. Diese Erweiterungen – im Übrigen gilt dies auch für die Komprimierungsfunktionalität – werden auch als Dateisystem-Filter (siehe Abbildung 4.12) bezeichnet. Der Dateisystem-Filter des verschlüsselnden Dateisystems arbeitet Transparente völlig transparent. Die Verschlüsselungs- und Entschlüsselungsvor- Verschlüsselung gänge laufen unsichtbar im Hintergrund ab. Der Anwender wird nicht der Dateien mit störenden Unterbrechungen, wie etwa der Aufforderung zur Eingabe von Kennwörtern, konfrontiert. Die direkte Integration in den Windows Explorer gestattet eine einfache Nutzung der Datenverschlüsselungsfunktion: Das Aktivieren des entsprechenden Kontrollkästchens reicht aus, um einen Ordner oder eine einzelne Datei von Windows XP verschlüsseln zu lassen. Alternativ steht auf Betriebssystemebene der Befehl CIPHER zur Verfügung. Abbildung 4.12: Das verschlüsselnde Dateisystem als Dateisystemfilter
Eine verschlüsselte Datei kann nur noch durch die berechtigten Benutzer geöffnet, umbenannt, kopiert oder verschoben werden. Alle anderen Benutzer werden abgewiesen. Neu ist in Windows XP die
158__________________________________________________________ 4 Dateisysteme Funktion, dass Sie mehr als einem Benutzer den Zugriff auf eine EFSverschlüsselte Datei gestatten können. Die berechtigten Benutzer erhalten über das Dateisystem den vollen Zugriff auf die entschlüsselte Datei. Beim Abspeichern einer solchen Datei wird sie automatisch wieder verschlüsselt. Beim Kopieren einer verschlüsselten Datei über das Netzwerk wird sie entschlüsselt und im Zielordner wieder verschlüsselt. Sie ist damit auf dem Transportweg über das lokale Netzwerk oder die Datenfernverbindung prinzipiell lesbar. Für einen sicheren Netztransfer gibt es beispielsweise mit IPSec geeignete Schutzmechanismen. Keine Verschlüsselung: FAT und FAT32
Verloren geht die Verschlüsselung einer Datei selbstverständlich auch, wenn Sie diese auf einen FAT- oder FAT32-Datenträger kopieren. Das gilt prinzipiell auch für Datensicherungs-Programme. Nur spezielle Windows XP-Datensicherungssoftware ist in der Lage, die korrekten NTFS-Attribute einschließlich der Verschlüsselung mit abzuspeichern und wiederherzustellen.
EFS im Detail Das verschlüsselnde Dateisystem (EFS) basiert auf einem Hybridverfahren, bei dem mehrere Verschlüsselungsverfahren nacheinander zum Einsatz gelangen. Zusätzlich zu einer symmetrischen Verschlüsselung findet auch eine Chiffrierung mit öffentlichen und privaten Schlüsseln statt. Verschlüsselung
Betrachten wir zunächst den Verschlüsselungsvorgang: Dabei wird die betreffende Datei zunächst mit Hilfe eines DES-Algorithmus symmetrisch verschlüsselt. Der Schlüssel dazu, FEK – File Encryption Key genannt, wird per Zufallsgenerator erzeugt. Die Verschlüsselung der Datei mit einem generierten symmetrischen Schlüssel als FEK wird aus Performancegründen einer Verschlüsselung durch öffentlich zertifizierte Schlüssel vorgezogen.
4.3 NTFS im Detail _______________________________________________________ 159 Abbildung 4.13: Die Verschlüsselung
Der FEK selbst wird wiederum mit dem öffentlichen Schlüssel aus Data Decryption dem öffentlichen/privaten Schlüsselpaar des Anwenders verschlüs- Field - DDF selt. Der so chiffrierte FEK wird als EFS-Attribut der Datei im Data Decryption Field – DDF abgelegt. Um eine Wiederherstellung verschlüsselter Daten auch ohne den pri- Data Recovery vaten Schlüssel des Anwenders zu ermöglichen, beispielsweise nach Field - DRF einem Verlust des Schlüssels oder um an Daten ausgeschiedener Mitarbeiter zu gelangen, wird der zufällig generierte FEK auch mit dem öffentlichen Schlüssel des öffentlichen/privaten Schlüsselpaars des Wiederherstellungsagenten verschlüsselt. Dieser so chiffrierte FEK wird dann als EFS-Attribut im Data Recovery Field – DRF abgelegt. Bei der Abspeicherung im NTFS-Dateisystem werden also zur sym- Entschlüsselung metrisch verschlüsselten Datei noch zwei chiffrierte Schlüssel mit abgespeichert. Diese mit den öffentlichen Schlüsseln des Anwenders beziehungsweise des Wiederherstellungsagenten chiffrierten Schlüssel müssen für eine Entschlüsselung zunächst selbst wieder mit den dazugehörigen privaten Schlüsseln dechiffriert werden. Zugriff erhalten also nur der berechtigte Anwender sowie der Wiederherstellungsagent.
160__________________________________________________________ 4 Dateisysteme Abbildung 4.14: Die Entschlüsselung
Wiederherstellungsagent
Als Wiederherstellungsagent wird unter Windows XP standardmäßig der Administrator eingesetzt. Dieser besitzt das Zertifikat mit dem dazugehörigen privaten Schlüssel, um auf die verschlüsselten Dateien aller Benutzer des seiner Verwaltung unterstehenden Systems zugreifen zu können.
Sicherheit vor dem Administrator
Für eine höhere Sicherung von verschlüsselten Dateien vor dem Zugriff des Administrators (standardmäßig der Wiederherstellungsagent) könnten Sie das Wiederherstellungs-Zertifikat des Administrators löschen. Dann sind die verschlüsselten Dateien eines Benutzers nur noch mit dessen Zertifikat zu entschlüsseln. Geht dieses verloren, bleiben auch die Daten für immer verschlossen. Da der Administrator aber Benutzerkennwörter jederzeit zurücksetzen kann, ist dieser Weg untauglich.
Administration ab Seite 540
Die konkreten Administrationsschritte finden Sie in Abschnitt 9.9 Einrichten und Anwenden des EFS ab Seite 540.
4.3.6
NTFS-Komprimierung
Unter NTFS können Sie für Dateien die integrierte Komprimierung aktivieren. Diese wird wie ein normales Dateiattribut betrachtet. Damit kann die Komprimierungsfunktion für bestimmte Dateien, Ordner oder ganze Datenträger separat eingestellt werden.
4.3 NTFS im Detail _______________________________________________________ 161 Der grundsätzliche Aufbau Wie das verschlüsselnde Dateisystem (siehe Abschnitt 4.3.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 156) ist auch die Komprimierungsfunktion als Dateisystemfilter implementiert. Die Kompression der Dateien erfolgt für den Benutzer oder das Anwendungsprogramm transparent. Beim Zugriff auf eine entsprechende Datei wird diese zuerst dekomprimiert und dann an die Anwendung übergeben. Beim Speichern erfolgt vor dem Schreiben auf den Datenträger wiederum die Kompression. Das trifft genauso auf die Nutzung komprimierter Dateien über das Kompression und Netzwerk zu. Vor dem Netzwerktransfer werden die Dateien auf dem Netzwerk als Server dienenden System dekomprimiert und dann versendet. Das bedeutet natürlich einerseits, dass die Leistung für Kompression und Dekompression auf dem Server zu erbringen ist. Andererseits verhilft die NTFS-Kompression nicht zu einer Verringerung der Netzwerklast – über das Netzwerk bewegen sich immer (NTFS-)unkomprimierte Dateien. Abbildung 4.15: Komprimierung als Dateisystemfilter
Das Kompressionsverfahren ähnelt dem in den Kompressionstools Verfahren unter MS-DOS verwendeten DoubleSpace. Dabei handelt es sich auch um eine Lauflängencodierung, wobei statt des 2-Byte-Minimums ein 3-Byte-Minimumsuchlauf verwendet wird. Dieses Verfahren ist etwa doppelt so schnell wie unter DoubleSpace bei einer minimalen Verschlechterung der Kompressionsrate. Die Komprimierung wird nur für eine Clustergröße bis 4 KB unterstützt (siehe auch Abschnitt 4.2.2 Speicherkapazität von Datenträgern ab Seite 130).
162__________________________________________________________ 4 Dateisysteme Erreichbare Kompressionsraten Die durchschnittlich erreichbaren Kompressionsraten hängen stark von den verwendeten Dateitypen ab. In der folgenden Tabelle sind typische Dateien den in der Praxis durchschnittlich erreichbaren Kompressionsraten gegenübergestellt. Tabelle 4.10: Dateityp Beispiele für erreichbare NTFS-Kompres- Textdateien sionsraten Microsoft Word-Dateien
Größe nach Kompression in % 30 – 60 % 30 – 60 %
Microsoft Excel-Tabellen
30 – 60 %
Layout-Dateien (Pagemaker)
25 – 50 %
Bilddateien
10 – 100 %
Ausführbare Dateien (EXE)
50 – 60 %
Die angegebenen Werte dienen nur als grobe Richtlinie. Generell lässt sich sagen, dass einfache Textdokumente oder Dateien aus Tabellenkalkulationsprogrammen wie Excel eine durchschnittlich gute Kompression ermöglichen. Allerdings sind diese Dateien meist verhältnismäßig klein und belegen damit auch in einer hohen Anzahl relativ wenig Speicherplatz. Schwachstelle: Komprimierung von Bilddateien
Sinnvoller ist der Einsatz einer wirkungsvollen Komprimierung bei großen Dateien, üblicherweise vor allem bei Bilddateien. Hier liegt aber genau die Schwachstelle der einfachen Komprimierungsalgorithmen, die bei NTFS zum Einsatz kommen. Hohe Kompressionsraten lassen sich hier nur dann erreichen, wenn die Bilddaten von ihren Inhalten her sehr homogen sind. Bilder mit vielen Details lassen sich so gut wie gar nicht komprimieren. Ein entsprechender Test mit 140 unkomprimierten Bilddateien der Typen TIFF und EPS, wie sie vor allem in Werbeagenturen und der Bildverarbeitung vorkommen, brachte bei einer unkomprimierten Gesamtkapazität von 640 MB keine nennenswerte Ersparnis an Speicherplatz. Ein zum Vergleich herangezogenes ZIP-Komprimierungstool erbrachte bei diesen Dateien immerhin eine Verkleinerung auf 85%. Wesentlich besser sah es hingegen bei einer größeren Sammlung von Screenshots aus. Diese Dateien waren gemischt als BMP und TIFDateien (ohne LZW-Komprimierung) abgelegt und brachten unter der NTFS-Komprimierung eine Verringerung auf 20% des ursprünglich benötigten Platzes. Das wieder zum Vergleich benutzte ZIPKomprimierungstool brachte es allerdings auf 5%.
Fazit
Die Online-Komprimierung, die sich für NTFS-Dateien aktivieren lässt, hat den Vorteil, für den Benutzer und die Anwendungen trans-
4.3 NTFS im Detail _______________________________________________________ 163 parent zu arbeiten. Es werden keine weiteren externen Tools benötigt. Nachteil ist die im Vergleich zu speziellen Komprimierungsprogrammen erheblich schlechtere Leistung. Für große komplexe Bilddateien, wie sie beispielsweise in Werbeagenturen oder Verlagen anfallen, eignet sich die NTFS-Komprimierung kaum. Hinzu kommt, dass moderne Grafikprogramme in der Windows-Welt – wie beispielsweise CorelDraw – die Dateien selbst effizient komprimieren. Das trifft im Übrigen auch auf Microsoft PowerPoint zu. Die Präsentationsdateien können durch die Verwendung vieler Grafiken und Bilder sehr groß werden. Aufgrund der guten Komprimierung, die in PowerPoint standardmäßig auf alle damit erzeugten Dateien beim Speichern angewandt wird, können diese durch die NTFSKomprimierung nicht weiter verkleinert werden. Diese Tatsachen sowie die stetige Weiterentwicklung im Bereich der Festplattentechnologien lassen den Einsatz der NTFS-Komprimierung als kaum lohnend erscheinen. Mit der neuen Möglichkeit, direkt im Windows Explorer ZIP-komprimierte Dateien zu erzeugen, haben Sie eine einfach zu handhabende Alternative zur NTFS-Komprimierung.
4.3.7
Datenträgerkontingente
Datenträgerkontingente, in anderen Betriebssystemen schon länger verbreitet und teilweise, wie auch in der englischen Fassung von Windows XP, Disk Quotas genannt, dienen der Zuteilung des verfügbaren Speicherplatzes auf Datenträgern an Benutzer. Datenträgerkontingente können Sie beliebig je Benutzer auf NTFS- Kontingente gelten Datenträgern einrichten. Die Kontingente gelten dabei je logischem je Datenträger Datenträger, unabhängig davon, über wie viele Freigaben dieser verfügt. Ist für einen Benutzer ein Kontingent eingerichtet, erfährt dieser nicht Anzeige von mehr die wahre Größe des betreffenden Datenträgers. Stattdessen Speicherplatz wird als Gesamtspeicherkapazität die Größe des Datenträgerkontingents angezeigt. Als belegter Speicherplatz erscheint die Gesamtsumme der Größe der Dateien, die dem jeweiligen Benutzer zugeordnet sind. Das gilt allerdings nur dann, wenn das Kontingent mit der restriktiven Einstellung eingerichtet worden ist, die bei Erreichen der Kontingentgrenze weiteren Speicherplatz verweigert (siehe weiter unten im Text). Dateien, die sich vor der Zuweisung eines Kontingents auf dem Datenträger befunden haben, werden in die Zählung des in Anspruch genommenen Speicherplatzes nicht einbezogen und haben somit keinen Einfluss auf das Kontingent.
164__________________________________________________________ 4 Dateisysteme Deshalb sollten Sie die Einrichtung von Kontingenten vornehmen, bevor Sie den betreffenden Datenträger Benutzern zur Verfügung stellen. Achtung bei Bereit- Datenträgerkontingente haben keine Wirkung auf über Bereitstelstellungen! lungspunkte (siehe Abschnitt 4.3.3 Analysepunkte und Bereitstellungen
ab Seite 149) eingebundene Datenträger. Das Kontingent gilt nur für die Dateien und Ordner, die sich physisch auf dem betreffenden Datenträger befinden. Bereitgestellte Datenträger, auch wenn sie mit dem NTFS-Dateisystem formatiert sind, werden nicht berücksichtigt. Für diese müssten Sie wiederum eigene Kontingenteinträge definieren, wenn Sie eine Beschränkung des verwendeten Speichers benötigen. NTFS-Komprimierung wirkungslos
Die Nutzung der NTFS-Komprimierung hat keinen Einfluss auf die Ausnutzung eines Kontingents. Bei der Berechnung des verwendeten Speicherplatzes wird immer die Größe der unkomprimierten Datei zu Grunde gelegt.
Besser: Externe Komprimierung
Anders sieht es aus, wenn Sie externe Komprimierungsprogramme wie beispielsweise WinZIP benutzen. Die damit erstellten Archive, die übrigens wesentlich höhere Komprimierungsraten erreichen, werden als normale Dateien im NTFS-Dateisystem abgelegt und für die Ausnutzung des Kontingents mit ihrer (komprimierten) tatsächlichen Größe berücksichtigt.
Hardlinks bleiben unberücksichtigt
Verwenden Sie Hardlinks (siehe auch Abschnitt Hardlinks ab Seite 166), wird zwar die Dateigröße eines Links beim Zusammenzählen im Explorer immer wie die Größe der Originaldatei hinzugezählt, bei der Berechnung der Ausnutzung des Kontingents allerdings nicht. So kann es zu der paradoxen Anzeige kommen, dass Sie mehr Speicherplatz belegen (Originale und Links zusammen), als Sie eigentlich Platz auf dem Datenträger haben.
Warnschwelle und Verweigerung weiteren Speicherplatzes
Für die Erkennung einer baldigen Erreichung eines Kontingents durch einen Benutzer oder eine Gruppe können Sie eine Warnschwelle definieren, ab der ein Eintrag in das Ereignisprotokoll erfolgen soll. Wird das Kontingent erreicht, kann der Benutzer keine weiteren Dateien auf dem Datenträger speichern. Er kann nur noch Dateien löschen oder durch Bearbeitung verkleinern – oder Sie erhöhen als Administrator die Kontingentgrenze.
Administration ab Seite 587
Zur Verwaltung und Einrichtung von Datenträgerkontingenten erhalten Sie weitergehende Informationen in Abschnitt 9.12.4 Datenträgerkontingente festlegen ab Seite 587.
4.3.8
Weitere besondere Merkmale von NTFS
In diesem Abschnitt werden einige weitere Merkmale von NTFS beschrieben, die Auswirkungen auf die Arbeitsweise und den internen
4.3 NTFS im Detail _______________________________________________________ 165 Ablauf haben, für den Benutzer aber weitgehend transparent bleiben. Teilweise werden diese erst durch spezielle Anwendungsprogramme ausgenutzt und können dann zu einer Erhöhung der Leistungsfähigkeit des Gesamtsystems führen.
Unterstützung für Dateien mit geringer Datendichte Eine so genannte Datei mit geringer Dichte verfügt über ein spezielles Ausschluss von Attribut, welches das I/O-System des NTFS-Dateisystems bei der Nulldaten Speicherung der Datei veranlasst, nur nichtleeren Daten physischen Speicherplatz zuzuweisen. Alle Nulldaten werden durch entsprechende Einträge ausgewiesen. Beim Aufruf der Datei durch ein Anwendungsprogramm werden dann die tatsächlichen Datenmengen wiederhergestellt, indem automatisch die Nulldaten als leerer Datenstrom erzeugt und übergeben werden. Sinn und Zweck dieses Verfahrens ist die drastische Einsparung von Speicherplatz bei dieser Art von Dateien. Die Anwendung ist allerdings sehr speziell und das NTFS-Attribut nur durch entsprechend programmierte Applikationen setzbar. Sie können manuell eine solche Datei mit dem Kommandozeilentool FSUTIL.EXE (siehe Abschnitt 9.1.4 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 470) erzeugen. Eine praktische Anwendung ist beispielsweise das Änderungsjournal Anwendung beim (siehe nächster Abschnitt), welches die Änderungen von Dateien mit Änderungsjournal Hilfe der Abbildung der logischen Struktur des gesamten Datenträgers verfolgt. Die hohe Effizienz dieses Journals auch bei sehr großen Datenträgern mit vielen Dateien wird dadurch erreicht, dass eine Datei gebildet wird, welche die gesamte Struktur widerspiegelt. Die nichtleeren Daten, die physisch gespeichert werden, sind die Änderungseinträge. Der Zugriff auf die Datei erfolgt aber, als wäre die gesamte Struktur abgebildet. Da aber immer nur ein relativ kleiner Teil der Dateien Änderungen unterworfen ist, kann die Speicherung des Journals auf physisch kleinem Raum erfolgen.
Änderungsjournal Über das Änderungsjournal werden im NTFS-Dateisystem die Änderungen an Dateien ständig protokolliert. Die APIs dazu sind von Microsoft offen gelegt und können durch Softwareanbieter beispielsweise für die Entwicklung von Programmen für die Datensicherung oder Antivirenchecks genutzt werden. Der Microsoft Indexdienst benutzt als eine der ersten Applikationen das NTFS-Änderungsjournal für die schnelle Aktualisierung der Indizes. Jede Änderung an einer Datei oder einem Ordner wird automatisch Verfahren im NTFS-Änderungsjournal erfasst. Das ermöglicht die effizientere
166__________________________________________________________ 4 Dateisysteme Ausführung von Programmen, die Änderungen am Datenträger auswerten müssen. Pro Änderungsdatensatz fallen ca. 80 bis 100 Byte an Daten an, die dem Journal hinzugefügt werden. Da das Journal in seiner Größe begrenzt ist, verfallen bei dem Erreichen der maximalen Kapazität die ersten Einträge und werden durch neue überschrieben. Hauptvorteil bei der Nutzung des NTFS-Änderungsjournals durch Anwendungsprogramme ist die hohe Performance auch bei sehr großen Datenträgern mit vielen Dateien, mit der Änderungen an Dateien erfasst werden. Die Geschwindigkeit der Bearbeitung der Änderungen hängt nicht von der Anzahl der Dateien ab, sondern von der Anzahl der Änderungen.
Hardlinks und Verknüpfungen Verknüpfungen
Für den Zugriff auf Dateien und Ordner werden machmal »Stellvertreter« benötigt, die direkt auf die ursprünglichen Dateien verweisen. Dafür können Verknüpfungen oder Hardlinks in Frage kommen. Ein Beispiel für Verknüpfungen sind Einträge im Startmenü von Windows XP. Hier sind natürlich nicht die Programme selbst abgelegt, sondern nur Verweise auf diese. Verknüpfungen sind kleine, spezielle Konfigurationsdateien mit der Dateiendung LNK und enthalten Informationen zum aufzurufenden Programm oder zur ursprünglichen Datei. Diese Verknüpfungen sind dabei nicht an das Dateisystem NTFS gebunden. Sie können diese auch unter FAT/FAT32 nutzen. Allein der Windows Explorer verwaltet diese. Ein transparenter Zugriff aus allen Anwendungsprogrammen kann dabei aber nicht immer sichergestellt werden.
Hardlinks
Das können die mit Windows XP eingeführten Hardlinks leisten. Ähnlich den absoluten Links unter Unix wird dabei einer ursprünglichen Datei ein weiterer Start-Verzeichniseintrag in der NTFS-MFT zugewiesen (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 143). Dabei sind Hardlinks nur für Dateien erstellbar. Der Windows Explorer, auch »nur« eine normale Anwendung, kann wie alle anderen Programme dann eine als Hardlink erzeugte Datei nicht mehr von ihrem Original unterscheiden. Der Explorer zählt übrigens bei der Emittlung der Größe eines Ordners oder eines Datenträgers die Links als vollständige Dateien mit, obwohl keine »Vermehrung« der Daten stattfindet. Bei der Berechnung von Datenträgerkontingenten werden Hardlinks aber ordnungsgemäß von der Mehrfachzählung ausgeschlossen (siehe auch Abschnitt 4.3.7 Datenträgerkontingente ab Seite 163).
Links auch unter Windows NT und 2000
Das ist übrigens so neu nicht – im NTFS-Dateisystem war so etwas schon immer möglich. Ein Beispiel für ein Programm, mit dem Sie Links auch unter Windows NT oder Windows 2000 erstellen und nut-
4.3 NTFS im Detail _______________________________________________________ 167 zen können, ist das kleine Programm LN.EXE aus den LS-TOOLS von Daniel Lohmann (www.losoft.de). Unter Windows XP können Sie Hardlinks als Administrator mit Hilfe FSUTIL.EXE ab des Kommandozeilentools FSUTIL.EXE erzeugen (siehe Abschnitt 9.1.4 Seite 470 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 470). Beachten Sie, dass unter Windows XP keine Unterscheidung zwischen einer Originaldatei und einem nachträglich erzeugten Hardlink möglich ist. Jeder erste Verzeichniseintrag auf eine Datei wird gleichberechtigt behandelt. Das hat weitreichende Konsequenzen auf das Verschieben und Löschen von Dateien. Verschieben Sie eine Datei, für die ein oder mehrere Hardlinks existie- Verschieben einer ren, wird nur der betreffende Verzeichniseintrag gelöscht und auf Datei dem Zieldatenträger zusammen mit einer Kopie der Datei neu angelegt. Alle bisher bestehenden Hardlinks auf dem Quelldatenträger existieren weiter – zusammen mit der ursprünglichen Datei. Damit existiert diese Datei danach doppelt. Änderungen an einer der Dateien bleiben dann in der jeweils anderen unberücksichtigt. Gelöscht wird eine Datei (mit Ihren eventuell sensiblen Daten!) erst Löschen einer Datei dann, wenn der letzte noch existente Hardlink ebenfalls gelöscht ist. Für das wirklich sichere Vernichten von Daten bietet sich das Kommandozeilentool fsutil file setzerodata an, mit dem Sie die Datei vor dem Löschen mit Nulldaten überschreiben können. Auch wenn danach noch ein Hardlink auf der Festplatte verblieben sein sollte, zeigt dieser dann nur noch auf die Leerdaten.
Überwachung verteilter Verknüpfungen Unter Windows XP stellt der Dienst zur Überwachung verteilter Ver- Überwachung über knüpfungen sicher, dass auf NTFS-Datenträgern Änderungen an den Objektkennung Quelldateien verfolgt und bei den Verknüpfungen berücksichtigt werden (siehe auch nachfolgender Abschnitt). Grundlage dieser Überwachung ist die eindeutige Objektkennung, mit der Dateien unabhängig von ihren Dateinamen geführt werden. Der Überwachungsdienst verteilter Verknüpfungen kann in den folgenden Fällen sicherstellen, dass die Verknüpfungen weiterhin korrekt auf die zugeordneten Quelldateien verweisen: • Sie haben die Quelldatei umbenannt. • Sie haben die Quelldatei innerhalb der Datenträger in der Arbeitsgruppe oder Domäne verschoben. • Die Netzwerkfreigabe beziehungsweise der freigebende Computer, der die Quelldatei enthält, wurden umbenannt.
168__________________________________________________________ 4 Dateisysteme Mehrere Datenströme pro Datei Benannte und unbenannte Datenströme
Das NTFS-Dateisystem wartet mit einer interessanten Eigenschaft auf, die allerdings in der Praxis bislang keine bedeutende Rolle spielt: Sie können prinzipiell für eine Datei mehrere Datenströme anlegen. Unterschieden wird dabei zwischen sogenannten benannten und unbenannten Datenströmen. Standardmäßig nutzen Sie mit heute gebräuchlichen Anwendungen den unbenannten Datenstrom. Benannte Datenströme müssen durch die Applikation entsprechend angelegt und ausgewertet werden. Eine Anwendung könnte beispielsweise in der Bildverarbeitung denkbar sein, wo Sie mit einer Datei verschiedene Ebenen oder auch nur verschiedene Versionen eines Inhalts abspeichern könnten.
Beispiel
Sie können benannte Datenströme für eine Datei selbst mit Hilfe von Befehlen auf der Eingabeaufforderung erzeugen: echo "Hallo, Standardstrom" >Test.txt echo "Hallo, Benannter Strom1" >Test.txt:Strom1 echo "Hallo, Benannter Strom2" >Test.txt:Strom2 more Test.txt "Hallo, Standardstrom" more < Test.txt:Strom1 "Hallo, Benannter Strom1" more < Test.txt:Strom2 "Hallo, Benannter Strom2"
Beachten Sie, dass der Befehl type benannte Datenströme nicht anzeigen kann, Sie müssen für das Beispiel more benutzen. Auch der Windows Explorer zeigt nur als Dateigröße den Datenumfang an, der für die Speicherung des unbenannten Datenstroms benötigt wird. Allerdings bedeutet dies nicht, dass die benannten Datenströme nicht in die Zählung bei der Verwendung von Datenträgerkontingenten einbezogen werden. Hier werden grundsätzlich alle Datenströme erfasst, wie auch bei anderen Dateisystemfiltern, beispielsweise dem verschlüsselnden Dateisystem (EFS). Kopieren und Verschieben
Kopieren oder verschieben Sie eine Datei mit mehreren benannten Datenströmen von einem NTFS-Datenträger auf einen FAT/FAT32Datenträger, gehen die benannten Datenströme verloren. Allein der, wenn existente, unbenannte Datenstrom bleibt erhalten. Ist dieser nicht vorhanden, erhalten Sie eine Datei ohne Inhalt. Umgekehrt bleiben alle Datenströme erhalten, wenn Sie eine Datei zwischen NTFSDatenträgern kopieren.
4.3 NTFS im Detail _______________________________________________________ 169
4.3.9
Kompatibilität von Windows NT 4 mit NTFSv5
Auf NTFSv5-Datenträger kann prinzipiell auch von Windows NT aus zugegriffen werden. Voraussetzung ist dabei, dass unter NT mindestens das Service Pack 4 installiert ist. Die folgenden NTFSv5Funktionen sind unter Windows NT 4 nicht verfügbar beziehungsweise werden ignoriert: • Datenträgerkontingente Unter Windows XP definierte Datenträgerkontingente, die Benutzern und Gruppen zugewiesen sind, werden unter NT nicht erkannt beziehungsweise das entsprechende NTFS-Attribut wird ignoriert. Damit haben alle Benutzer hinsichtlich des Speicherplatzes keine Limitierung auf dem betreffenden Datenträger.
Datenträgerkontingente
• Objektkennungen für Dateien und Ordner
Objektkennungen für Dateien und Windows NT und XP kennen beide eindeutige Objektkennungen Ordner
für Dateien und Ordner. Unter Windows XP wird allerdings zusätzlich die Kennung im Datenträgerindex mit verwaltet. Wird ein entsprechendes Objekt unter Windows NT gelöscht, muss Windows XP beim erneuten Bereitstellen des Datenträgers die Objektkennung nachträglich aus dem Index entfernen. • Änderungsjournal
Änderungsjournal
Windows NT 4 kennt das Änderungsjournal nicht. Damit werden auch die Änderungen an Dateien und Ordnern nicht berücksichtigt, die während der Bereitstellung eines NTFSv5-Datenträgers unter NT vorgenommen werden. Beim erneuten Bereitstellen des Datenträgers unter Windows XP wird das Journal verworfen und neu aufgesetzt. • Analysepunkte und Bereitstellungen Windows NT erkennt keine Analysepunkte. Damit sind auch Bereitstellungen von Datenträgern über Laufwerkpfade, die unter Windows XP eingerichtet worden sind, nicht nutzbar. • Verschlüsselte Dateien Das verschlüsselnde Dateisystem (EFS) ist als spezieller Dateisystemfilter unter Windows XP für die Erweiterung des NTFSDateisystems implementiert und damit unter NT nicht nutzbar. Auf verschlüsselte Dateien können Sie deshalb hier nicht zugreifen. • Dateien mit geringer Datendichte Dateien mit geringer Datendichte werden unter Windows NT nicht erkannt und sind dort nicht zugänglich.
170__________________________________________________________ 4 Dateisysteme Aufräumaktionen unter Windows XP
Für die Sicherstellung der NTFSv5-Funktionen, die unter Windows NT umgangen werden können, wie beispielsweise das Änderungsjournal oder die Datenträgerkontingente, werden unter Windows XP automatisch Aufräumaktionen durchgeführt. Sie brauchen sich deshalb um die Konsistenz der Datenträger, auch wenn sie zeitweise unter NT eingesetzt werden, keine Sorgen zu machen. Die Festplattentools von Windows NT 4 ab Service Pack 4, CHKDSK und AUTOCHK, arbeiten nicht auf NTFSv5-Datenträgern. Reparaturund Wiederherstellungsarbeiten sollten deshalb nur unter Windows XP direkt durchgeführt werden (siehe auch Abschnitt 9.12.3 Überprüfung eines Datenträgers auf Fehler ab Seite 582).
4.4 FAT und FAT32 im Detail Das Dateisystem FAT wurde ursprünglich für die Verwaltung von relativ kleinen Festplatten und einfachen Ordnerstrukturen entwickelt. In diesem Abschnitt werden die wichtigsten internen Zusammenhänge und Strukturen zu den FAT-Varianten, die unter Windows XP einsetzbar sind, dargestellt. Der Vergleich der FAT-Dateisysteme mit NTFS wird in Abschnitt 4.2 Vergleich von FAT, FAT32 und NTFS ab Seite 129 behandelt.
4.4.1
Die verschiedenen FAT-Dateisysteme
Es gibt heute drei Varianten des FAT-Dateisystems, die Sie in Windows XP nutzen können: FAT12, FAT16 und FAT32.
FAT12 Kleine Datenträger
Die ursprünglich entwickelte Version des FAT-Dateisystems ist FAT12. Die Anzahl der verwaltbaren Cluster in der Dateizuordnungstabelle beträgt 212 = 4 096. Damit ist nur die Verwaltung sehr kleiner Datenträger (bei 16 Sektoren á 512 Bytes pro Cluster ca. 16 MB) möglich und sinnvoll. Das Betriebssystem Windows XP setzt das FAT12-Dateisystem automatisch beim Formatieren von Disketten und sehr kleinen Datenträgern bis ca. 16 MB ein.
FAT16 theoretisch bis zu 4 GB verwaltbar
Das FAT16-Dateisystem ist die Weiterentwicklung von FAT12. Durch die 16 Bit-Adressierung sind theoretisch 216 = 65 536 Cluster in der
4.4 FAT und FAT32 im Detail ______________________________________________ 171 Dateizuordnungstabelle verwaltbar. Für die Speicherung von Dateien verbleiben nach Abzug des Platzes für das Dateisystem selbst 65 524 Cluster. Theoretisch können Sie damit Datenträger bis zu 4 GB verwalten. große Datenträger: Dann wäre allerdings eine Clustergröße von 64 KB notwendig. Das Verschwendung bedeutet nicht nur eine große Verschwendung von Speicherplatz bei von Speicherplatz kleinen Dateien, auch Slack genannt, sondern führt auch zu Kompatibilitätsproblemen mit anderen Betriebssystemen und diverser Anwendungssoftware. Aus Kompatibilitätsgründen sollten Sie nur Datenträger bis 2 GB mit FAT16 formatieren und eine maximale Clustergröße von 32 KB nicht überschreiten. FAT16 ist bei großen Datenträgern hinsichtlich der Ausnutzung des bis 512 MB effizient Speicherplatzes sehr ineffizient. Bei Datenträgern bis ca. 512 MB (dann bei einer Clustergröße von 8 KB) ist FAT16 als einfaches und sehr schnelles Dateisystem empfehlenswert.
FAT32 Das FAT32-Dateisystem wurde bei der zweiten überarbeiteten Win- Windows 95 OSR2 dows 95-Version OSR2 eingeführt und war für die Verwaltung großer Festplatten entwickelt worden. Für die Adressierung der Cluster sind hier 4 Byte (32 Bit) verfügbar, sodass mit kleinen Clustergrößen auch große Datenträger formatiert werden können. Ein FAT32-Datenträger muss mindestens 65 527 Cluster aufweisen. FAT32 ab 32 MB Damit lassen sich erst Datenträger ab ca. 32 MB mit FAT32 formatieren. Diesen Wert erhalten Sie, wenn Sie die kleinste Clustergröße (entspricht der Größe eines Sektors = 512 Byte für heute gängige Festplatten) mit Mindestanzahl der verwaltbaren Cluster (65 527) multiplizieren. Die maximale Datenträgergröße, die durch Windows XP bereitgestellt werden kann, beträgt 127,53 GB. Formatieren können Sie Datenträger mit FAT32 allerdings nur bis 32 GB (siehe dazu auch Abschnitt 4.2.2 Speicherkapazität von Datenträgern ab Seite 130).
4.4.2
Layout von FAT16- und FAT32-Datenträgern
Die FAT16- und FAT32-Datenträger sind prinzipiell ähnlich aufgebaut und unterscheiden sich nur in kleinen Details. In der folgenden Abbildung sind die beiden Dateisysteme in ihrer Grundstruktur gegenübergestellt.
172__________________________________________________________ 4 Dateisysteme Abbildung 4.16: Layout von FATDatenträgern
Stammverzeichnis bei FAT16
Das Stammverzeichnis eines FAT16-Datenträgers befindet sich in einem festen Bereich nach den beiden Dateizuordnungstabellen (Original und Sicherungskopie) und ist auf 512 Einträge begrenzt. Wird ein Datenträgername vergeben, reduziert sich die Anzahl auf 511 Einträge. Eine weitere Reduktion findet statt, wenn Sie lange Dateinamen im Stammverzeichnis benutzen (siehe auch Abschnitt 4.4.6 Lange Dateinamen bei FAT-Datenträgern ab Seite 178).
Stammverzeichnis bei FAT32
Unter FAT32 wurde das Stammverzeichnis als ganz normale Clusterkette realisiert und kann sich mit beliebig vielen Einträgen irgendwo auf der Festplatte befinden. Der Startpunkt des Stammverzeichnisses ist an einer bestimmten Adresse im Bootsektor hinterlegt.
4.4.3
FAT-Bootsektoren
Der Bootsektor, auch Bootrecord genannt, liegt im ersten physischen Sektor eines Datenträgers. Der Aufbau des Bootsektors unterscheidet sich zwischen FAT16 und FAT32.
FAT16-Bootsektor Die nachfolgende Tabelle zeigt die Struktur des FAT16-Bootsektors. Tabelle 4.11: Aufbau des FAT16Bootsektors
Offset Beschreibung 00h
Sprunganweisung
Länge 3 Byte
4.4 FAT und FAT32 im Detail ______________________________________________ 173 Offset Beschreibung
Länge
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
Anzahl der FAT-Kopien (in der Regel 1)
1 Byte
11h
Maximale Anzahl der Stammverzeichniseinträge
2 Byte
13h
Anzahl der Sektoren (Datenträger kleiner 32 MB mit bis zu 216 = 65 535 Sektoren); ist bei größeren Datenträgern 0)
2 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
Sektoren pro FAT
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung des Stammverzeichnisses und des Datenbereichs)
4 Byte
20h
Anzahl der Sektoren (Datenträger größer 32 MB mit mehr als 216 = 65 535 Sektoren ist bei kleineren Datenträgern 0)
4 Byte
24h
Laufwerksnummer; relevant nur beim Bootdatenträger (typische Werte: Festplatten 80h/81h)
1 Byte
25h
reserviert
1 Byte
26h
Erweiterte Signatur (Wert 29h)
1 Byte
27h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
174__________________________________________________________ 4 Dateisysteme FAT32-Bootsektor In der folgenden Tabelle sehen Sie die Struktur des FAT32-Bootsektors. Tabelle 4.12: Aufbau des FAT32Bootsektors
Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
Anzahl der FAT-Kopien (in der Regel 1)
1 Byte
11h
unbenutzt
4 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
unbenutzt
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung des Stammverzeichnisses und des Datenbereichs)
4.4 FAT und FAT32 im Detail ______________________________________________ 175 Offset Beschreibung
Länge
30h
Nummer des Sektors, der die FSINFO-Struktur enthält (Dateisystem-Informationen); meist mit dem Wert 1 belegt (zweiter Sektor; Zählung beginnt bei 0)
2 Byte
32h
Nummer des Sektors, der den Sicherungsbootsektor enthält
2 Byte
34h
reserviert
12 Byte
40h
Laufwerksnummer; relevant nur beim Bootdatenträger (typische Werte: Festplatten 80h/81h)
1 Byte
41h
reserviert
1 Byte
42h
Erweiterte Signatur (Wert 29h)
1 Byte
43h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
4 Byte
47h
Datenträgerbezeichnung
11 Byte
52h
Dateisystemtyp (enthält den Bezeichner FAT32)
8 Byte
5Ah
Bootstrapcode (ausführbarer Code)
420 Byte
1FEh
Ende der Sektormarkierung 0x55AA
2 Byte
4.4.4
Die Dateizuordnungstabelle (FAT)
Zentraler Bestandteil eines FAT-Datenträgers ist die Dateizuordnungstabelle, File Allocation Table (FAT) genannt. In dieser werden die Zuordnungseinheiten (Cluster) des gesamten Datenträgers verwaltet.
Cluster-Kennzeichnung Jeder Cluster wird in der FAT durch eine der folgenden vier Eigenschaften gekennzeichnet:
Nicht verwendet
Tabelle 4.13: Eigenschaften von Dieser Cluster ist frei und kann für die Speicherung Clustern von Daten verwendet werden.
Verwendet
Der Cluster ist bereits durch Daten belegt.
Fehlerhaft
Der Cluster wurde aufgrund eines Sektorfehlers beim Formatieren als fehlerhaft gekennzeichnet. Auf ihm werden keine Daten gespeichert.
Das ist der letzte Cluster einer Datei bzw. einer Clusterkette. Dieses Feld wird auch End Of File (EOF)-Kennung genannt und besitzt immer den Wert FFFFh.
Beim Kennzeichnen der fehlerhaften Sektoren beziehungsweise des davon betroffenen Cluster gibt es einen deutlichen Unterschied zu NTFS. Das FAT-Dateisystem kann defekte Sektoren ausschließlich beim Neuformatieren erkennen und betroffene Cluster markieren. Unter NTFS werden auch während des laufenden Betriebes auftretende defekte Sektoren des Datenträgers erkannt und die entsprechenden Cluster in der Systemdatei $BADCLUS erfasst (siehe auch Abschnitt 4.2.4 Gewährleistung der Datenintegrität ab Seite 135).
FAT16-Einträge für Dateien und Ordner Für jede Datei oder jeden Ordner wird in der FAT ein Eintrag mit 32 Byte angelegt. Werden lange Dateinamen erzeugt, so kann sich ein Eintrag über mehrere FAT-Tabelleneinträge erstrecken. Tabelle 4.14: FAT16-Eintrag für Dateien und Ordner
Offset Beschreibung
Länge
00h
Dateiname (im 8.3-Format)
11 Byte
0Bh
Attribut
1 Byte
0Ch
reserviert
1 Byte
0Dh
Erstellungszeit
3 Byte
10h
Erstellungsdatum
2 Byte
12h
Datum des letzten Zugriffs
2 Byte
14h
reserviert
2 Byte
16h
Zeitpunkt der letzten Bearbeitung
4 Byte
18h
Startclusternummer
2 Byte
1Ah
Dateigröße in Bytes
4 Byte
Die Startclusternummer zeigt auf den ersten durch die Datei oder den Ordner verwendeten Cluster. Jeder verwendete Cluster verweist wiederum auf den nächsten Cluster beziehungsweise weist sich als letzter der Clusterkette aus (mit EOF – FFFFh).
4.4 FAT und FAT32 im Detail ______________________________________________ 177 FAT32-Einträge für Dateien und Ordner Die Einträge unter FAT32 unterscheiden sich kaum von denen unter FAT16. Wichtigste Änderung ist natürlich die Umstellung von der 16 Bit-Adressierung der Cluster auf 32 Bit. Dazu werden die bisher bei FAT16 reservierten Bytes (Offset 14h) als höherwertige 2 Byte der 32 Bit-Adresse benutzt. Offset Beschreibung
Länge
00h
Dateiname (im 8.3-Format)
11 Byte
0Bh
Attribut
1 Byte
0Ch
reserviert
1 Byte
0Dh
Erstellungszeit
3 Byte
10h
Erstellungsdatum
2 Byte
12h
Datum des letzten Zugriffs
2 Byte
14h
Höherwertige Bytes der Startclusternummer
2 Byte
16h
Zeitpunkt der letzten Bearbeitung
4 Byte
18h
Niederwertige Bytes der Startclusternummer
2 Byte
1Ah
Dateigröße in Bytes
4 Byte
Tabelle 4.15: FAT32-Eintrag für Dateien und Ordner
Wenn ein Cluster für die Speicherung nicht ausreicht, wird wie auch bei FAT16 für jede Datei eine Clusterkette gebildet, deren Ende der letzte Cluster mit FFFF FFFFh (EOF) markiert. In der Dateizuordnungstabelle werden die Einträge aller Dateien und Ordner erfasst.
4.4.5
FAT-Dateiattribute
Das Attributbyte dient unter FAT der Verschlüsselung der Attribute der betreffenden Datei beziehungsweise des Ordners. Attribut
Wert Auswirkung
Schreibgeschützt
01h
Verhindert das Überschreiben der Datei.
Versteckt
02h
Verhindert die Anzeige der Datei mit Standardanzeigeprogrammen für Verzeichnisse (beispielsweise mit dir).
System
04h
Versteckt die Datei bei gleichzeitigem Schreibschutz. Soll als besonderer Schutz für Betriebssystemdateien dienen.
Dient der Kennzeichnung dieses Eintrags als Datenträgername.
Verzeichnis
10h
Kennzeichnet den Eintrag als Ordner.
Archiv
20h
Schränkt den Zugriff auf die Datei gar nicht ein. Wird beispielsweise von Datensicherungsprogrammen genutzt, um die Datei als gesichert zu markieren.
Zur Kodierung des Attributes werden nur die letzten sechs Bits des Attributbytes benutzt. Die beiden höchstwertigen Bits bleiben immer null. Da die Attribute Schreibgeschützt, Versteckt und System durch jeden Benutzer einfach über den Windows Explorer gesetzt beziehungsweise gelöscht werden können, sind sie als wirksamer Schutz von Dateien unbrauchbar. Für einen wirkungsvollen Schutz von Dateien empfiehlt sich die Nutzung des NTFS-Dateisystems. Nur hier können Sie Benutzerrechte auf Dateien und Ordner differenziert festlegen.
4.4.6
Lange Dateinamen bei FAT-Datenträgern
Ursprünglich war es unter FAT nur möglich, kurze Dateinamen nach der 8.3-Notation zu benutzen. Durch einen kleinen Trick wurde aber die Verwendung langer Dateinamen dennoch möglich: Lange Dateinamen über Tricks
Werden die Attribute Schreibgeschützt, Versteckt, System und Volume-ID für einen FAT-Eintrag gleichzeitig gesetzt (Wert 0Fh), wird dieser als normale Datei ignoriert und kann als Erweiterung für einen Teil eines langen Dateinamens dienen. Jeder sogenannte sekundäre Ordnereintrag eines langen Dateinamens kann 13 Zeichen im Unicode (16 Bit pro Zeichen) speichern. Mit bis zu 20 dieser versteckten Einträge können so lange Dateinamen im Unicode mit bis zu 255 Zeichen auch unter FAT benutzt werden.
FAT-Namenskonventionen
Bei den langen Dateinamen dürfen prinzipiell alle Zeichen des 16 BitUnicode-Zeichensatzes benutzt werden. Ausgenommen sind die folgenden: " / \ [ ] : ; | = ,
Hinzu kommen die folgenden Datei-Bezeichner, die für interne Systemgeräte des Betriebssystems reserviert sind und daher nicht für normale Dateien verwendet werden dürfen: CON, AUX, COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, PRN, NUL
4.5 Fragmentierung ______________________________________________________ 179 Bei der Nutzung eines FAT-Datenträgers unter einer früheren MSDOS–Version (dann aber nur mit FAT12/16) werden diese Einträge ignoriert und nur der kurze Dateiname wird angezeigt. Bei Verwendung älterer Reparaturprogramme für Datenträger können Sie mit den Einträgen für lange Dateinamen Probleme bekommen, wenn diese Programme die Einträge als Fehler interpretieren und reparieren. Dadurch können lange Dateinamen auf FAT12/16Datenträgern verloren gehen. Die Algorithmen der Erzeugung langer Dateinamen unter FAT unter- Unterschiede zwischeiden sich zwischen Windows NT/2000/XP und Windows 9x/ME. schen den WinAllerdings berührt das nicht den Benutzer, da die Betriebssysteme dows-Versionen untereinander kompatibel sind und die Dateinamen dadurch trotzdem richtig angezeigt werden. Wollen Sie die Erzeugung von langen Dateinamen unter Windows XP Lange Dateinamen für FAT-Datenträger dennoch deaktivieren, ändern Sie den folgenden deaktivieren Eintrag in der Registrierung: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \Win31FileSystem=1
Nach dem Setzen dieses Parameters werden keine neuen langen Dateinamen mehr erzeugt. Vorher bestandene lange Dateinamen bleiben jedoch unberührt. Sie können den Parameter mit dem Registrierungseditor setzen (siehe Abschnitt 14.6.2 Bearbeiten der Registrierung ab Seite 889).
4.5 Fragmentierung Neben der Effizienz der Speicherung von Daten spielt auch die Frag- Auswirkung auf mentierung hinsichtlich der erreichbaren Performance eine entschei- Performance dende Rolle. Beim ständigen Öffnen und Zurückschreiben von Dateien kommt es mit der Zeit zu einer fortschreitenden Fragmentierung der Dateien und Datenträger. Das ist übrigens unabhängig vom verwendeten Dateisystem. Sowohl unter FAT, FAT32 als auch NTFS ist diese performancehemmende Eigenschaft zu verzeichnen. In diesem Abschnitt wird gezeigt, wie es zur Fragmentierung kommt und was Sie dagegen unternehmen können.
Unter Fragmentierung wird die physische Speicherung von Dateien in mehreren Teilstücken (Fragmenten) auf dem Datenträger verstanden. Normalerweise wird eine Datei als zusammenhängende Clusterkette auf dem Datenträger gespeichert. So liegen die Daten übrigens vor, wenn Sie Dateien nacheinander auf einen leeren Datenträger kopieren. Datenträger-Fragmentierung
Durch ständiges Löschen von Dateien entstehen immer mehr nicht zusammenhängende freie Bereiche auf dem Datenträger. Man spricht dann von der Fragmentierung des Datenträgers. Dateien werden übrigens nicht ausschließlich durch Benutzereingriff gelöscht. Auch viele Anwendungsprogramme gehen so vor, dass sie geöffnete Dateien zunächst temporär zwischenspeichern. Beim Sichern wird die Originaldatei dann durch eine neue Kopie ersetzt und die temporären Arbeitsdateien werden gelöscht.
Datei-Fragmentierung
Fragmentierte Dateien entstehen nur bei Schreiboperationen auf einen Datenträger. Steht für das Speichern einer Datei nicht genügend zusammenhängender freier Speicherplatz zur Verfügung, wird der nächste freie Bereich mit benutzt. Eine größere Datei kann so leicht in vielen Fragmenten über den gesamten Datenträger verteilt liegen.
Abbildung 4.17: Schematische Darstellung der Fragmentierung
4.5 Fragmentierung ______________________________________________________ 181 Festplatten erreichen ihren maximalen Datendurchsatz beim Lesen Performanceund Schreiben, wenn die betreffenden Datenblöcke hintereinander verlust gelesen oder geschrieben werden können. Dann können auch intelligente Cache- und Speichermechanismen der Hardware voll zum Zuge kommen, wie beispielsweise Block-Mode oder Vorausschauendes Lesen. Wird eine fragmentierte Datei gelesen, ist mehr als eine Kopfpositionierung notwendig. Anstelle eines zusammenhängenden Datenstroms, der mit maximaler Geschwindigkeit von der Hardware geliefert werden kann, zerfällt der Transfer in mehrere komplette Teilübertragungen. So wird selbst die schnellste Festplatte ausgebremst.
4.5.2
Clustergröße und Fragmentierung
Die Zeit, in der ein Datenträger fragmentiert wird, ist neben der Häu- Kleine Clusterfigkeit der Veränderung von Dateien auch direkt von der Größe der größen = mehr Cluster abhängig. Kleinere Cluster erlauben zwar eine effizientere Fragmente Ausnutzung des Speicherplatzes gerade für kleinere Dateien, führen aber bei größeren Dateien zu deren Zerlegung in viele Einzelteile. Das begünstigt natürlich die Bildung von Fragmenten, wenn diese Dateien wieder gelöscht beziehungsweise verändert werden. In Abschnitt 4.5.5 Tipps zur Verbesserung der Performance ab Seite 185 finden Sie auch Hinweise, wie Sie mit einer manuellen Einstellung der Clustergröße die Fragmentierung und damit die Performance beeinflussen können.
4.5.3
Besonderheiten bei NTFS
Für NTFS-Datenträger gibt es hinsichtlich der Fragmentierung einige Besonderheiten zu beachten:
NTFS-Datenträger fragmentieren auch Mit Einführung von Windows NT und dem Dateisystem NTFS kam NTFS fragmentiert die Mär in Umlauf, dass NTFS nicht fragmentieren würde. Das ist auch! definitiv falsch. Richtig ist, dass bei Vorliegen einer geringen Anzahl fragmentierter Dateien aufgrund der effizienten Speicherung mit Hilfe von Datenläufen und B-Baumstrukturen (siehe auch Abschnitt 4.3.2 Der interne Aufbau von NTFS ab Seite 141) weniger Performanceverluste zu verzeichnen sind als unter FAT oder FAT32.
182__________________________________________________________ 4 Dateisysteme Fragmentierung der MFT Die Master File Table (MFT) ist die wichtigste Datei im NTFSDateisystem (siehe Abschnitt 4.3.2 Der interne Aufbau von NTFS ab Seite 141). Für die MFT wird ein Bereich von ca. 12% auf dem Datenträger reserviert. Füllt sich der Datenträger, wird auch die MFT zunehmend fragmentiert. Das hat deutliche Auswirkungen auf die Performance. Wird die MFT zu stark fragmentiert, kann es möglicherweise sogar dazu kommen, dass Windows XP nicht mehr startet. Vermeidung der MFT-Fragmentierung
Sie vermeiden eine Fragmentierung der MFT, wenn Sie die folgenden Punkte beachten: • Lassen Sie immer genügend freien Speicherplatz auf Ihrem NTFSDatenträger. Als Richtwert gelten 20 Prozent. Hilfreich kann auch bei einem Arbeitsplatz-PC die Einführung von Datenträgerkontingenten sein (siehe Abschnitt 4.3.7 Datenträgerkontingente ab Seite 163). • Bevor Sie einen FAT16/32-Datenträger nach NTFS konvertieren, legen Sie eine ausreichend große Platzhalter-Datei für die MFT an. Der Platz dieser Datei wird dann bei der Umwandlung fortlaufend mit den NTFS-Metadaten beschrieben. Das Vorgehen dazu wird in Abschnitt 9.6 Umwandeln von FAT/FAT32 in NTFS ab Seite 522 beschrieben. • Benutzen Sie bei sehr intensiver Nutzung der NTFS-Datenträger eine Defragmentierungs-Software, die auch die Defragmentierung der MFT beherrscht (siehe Abschnitt 4.5.6 Defragmentierungsprogramme ab Seite 187).
NTFS-Komprimierung Die unter NTFS verfügbare Komprimierung hat neben der geringen Effizienz (siehe Abschnitt 4.3.6 NTFS-Komprimierung ab Seite 160) auch den Nebeneffekt, dass es dabei zu einer erheblichen Fragmentierung von Dateien kommt. Starke Fragmentierung durch blockweises Arbeiten
Nach der Komprimierung kommt es zu einer starken Fragmentierung der Dateien und des Datenträgers. Der Grund dafür liegt in der Arbeitsweise der NTFS-Komprimierung. Es werden immer nur einzelne physische Blöcke auf dem Datenträger für sich genommen komprimiert. Der entstehende freie Platz bleibt dann leer und bildet ein Datenträgerfragment. Da die Komprimierung nicht dateiorientiert arbeitet, werden auch nicht fragmentierte Dateien auseinandergerissen und liegen danach in einzelnen Fragmenten gespeichert vor.
4.5 Fragmentierung ______________________________________________________ 183 Abbildung 4.18: Auswirkungen der Komprimierung
Werden durch die Komprimierung zudem noch die falschen Dateity- Ergebnis: pen behandelt, für die keine oder nur eine geringe Kompressionsrate Schlechte Perforerreicht werden kann, bleibt als einzige Auswirkung ein in der Per- mance formance deutlich eingebrochener Datenträger.
4.5.4
Defragmentierungsverfahren und -strategien
Für die Wiederherstellung und Sicherung einer hohen Performance Ihrer Datenträger gibt es eine Reihe von Dienstprogrammen. Diese unterscheiden sich hinsichtlich ihrer Strategien und Verfahren sowie der letztlich erreichbaren Optimierung.
Strategien Bei der Defragmentierung kommen unterschiedliche Strategien zum Einsatz, die auch weitere Optimierungen umfassen können. Die folgenden Arbeitsmodi von Defragmentierungsprogrammen können unterschieden werden: • Zeitoptimierte Zusammenführung fragmentierter Dateien
Schnell...
Die Software versucht, innerhalb kürzester Zeit die Fragmente der Dateien zusammenzuführen. Dabei verbleibt immer noch eine gewisse Fragmentierung des Datenträgers, was wiederum zu einer baldigen neuen Fragmentierung der Dateien führt. • Reorganisation der Datenspeicherung Für die Herstellung nicht fragmentierter Dateien und die Vermeidung einer baldigen neuen Fragmentierung werden die Datenstrukturen auf dem Datenträger umstrukturiert. Meist wird so vorgegangen, dass alle nicht veränderbaren Dateien wie Anwendungsprogramme, Hilfedateien etc. an den Anfang des Datenträ-
184__________________________________________________________ 4 Dateisysteme gers verlegt werden. Alle veränderbaren Dateien wie Dokumente, Konfigurationsdateien usw. gelangen an das physische Ende. So kann später eine neue Defragmentierung effektiver arbeiten, da nur noch ein begrenzter Teil des Datenträgers bearbeitet werden muss. Integrierte Defrag- Die integrierte Defragmentierungslösung in Windows XP arbeitet mentierungslösung lediglich zeitoptimiert. Weitergehende Optimierungsmöglichkeiten mit Schwächen gibt es nur bei den aufpreispflichtigen Versionen oder bei Nutzung
einer anderen Software (siehe auch Abschnitt 4.5.6 Defragmentierungsprogramme ab Seite 187).
Verfahren Unter MS-DOS ist die Defragmentierung noch verhältnismäßig einfach zu bewerkstelligen. Während die Defragmentierungssoftware arbeitet, kann der PC nicht verwendet werden. Die Software hat vollen Zugriff auf den gesamten Datenträger und kann auch Dateien des Betriebssystems bearbeiten beziehungsweise verschieben. Bei einem modernen Multitasking-Betriebssystem wie Windows XP sieht das vollkommen anders aus. Die Defragmentierungssoftware läuft parallel zu anderen Anwendungen und Prozessen. Darüber hinaus gibt es geschützte Dateien, auf die nur das Betriebssystem selbst Zugriff hat. Damit kommen zwei grundsätzlich verschiedene Verfahren in Frage: Online
• Online-Defragmentierung Der Datenträger bleibt während der Defragmentierung im Zugriff durch andere Anwendungen und das Betriebssystem. Dadurch können sich permanent wieder Dateien ändern, wodurch die Effektivität der Defragmentierung leidet. Dateien, die sich im Zugriff durch andere Anwendungen oder unter Kontrolle des Betriebssystems befinden, sind für den Zugriff gesperrt und können nicht defragmentiert beziehungsweise verschoben werden. Durch die nichtexklusive Verfügung des Datenträgers können immer nur kleinere Datenmengen bewegt werden. Das führt dazu, dass freie Bereiche auf der Festplatte schlechter zusammengefasst werden können. Eine Online-Defragmentierung sollten Sie am besten dann durchführen, wenn keine anderen Anwendungsprogramme laufen müssen und auch kein Zugriff auf eventuell vorhandene Netzwerkfreigaben erfolgt.
Offline
• Offline-Defragmentierung Bei der Offline-Defragmentierung hat die Defragmentierungssoftware die volle Kontrolle über den Datenträger. Unter Windows XP
4.5 Fragmentierung ______________________________________________________ 185 muss diese Software dann vor dem Betriebssystem zum Zuge kommen, beispielsweise während des Startprozesses. So kann dann neben der Defragmentierung auch eine komplette Optimierung des Datenträgers durch Reorganisation der Datenstrukturen (siehe oben) erfolgen. Nachteil ist die Nichtverfügbarkeit des Systems während des Programmablaufs.
4.5.5
Tipps zur Verbesserung der Performance
Performance-Einbußen durch stark fragmentierte Datenträger können sich durch schlechteres Antwortverhalten bemerkbar machen. Die folgenden Tipps sollen Ihnen helfen, die Performance Ihrer Datenträger zu verbessern:
Optimale Einstellungen für die Auslagerungsdatei Die folgenden Tipps betreffen die Einstellungen für die Auslagerungsdatei: • Die Auslagerungsdatei wird standardmäßig durch das System als RAM x 1,5 eine in der Größe variable Datei PAGEFILE.SYS geführt. Legen Sie die Größe der Datei besser fest, sodass keine dynamischen Größenanpassungen durch das Betriebssystem mehr notwendig sind. Als ein guter Richtwert für die Größe gilt das Eineinhalbfache der Hauptspeichergröße (RAM). • Haben Sie mehr als eine Festplatte im Computer installiert, können Schnellste Sie die Auslagerungsdatei auch auf einer anderen als der Startfest- Festplatte platte anlegen. Zu empfehlen ist dabei natürlich die Auswahl der schnellsten Festplatte im System. Keinen Sinn macht hingegen die Anlage mehrerer Auslagerungsdateien auf verschiedenen Festplatten. • Die meisten Festplatten haben ihre höchste Performance am physi- Festplattenanfang schen Anfang. Damit kann es sinnvoll sein, wenn Sie die Auslagerungsdatei genau hier platzieren. Um das garantiert zu erreichen, können Sie eine separate Partition für die Auslagerungsdatei nutzen. Im Hinblick auf eine spätere Erweiterung des Hauptspeichers und damit der Auslagerungsdatei sollte eine Partitionsgröße von ein bis zwei GB für die meisten Fälle ausreichend sein. • Haben Sie einen Stripesetdatenträger im Einsatz, können Sie die StripesetdatenAuslagerungsdatei auf diesem erstellen. Die hohe Performance träger dieses dynamischen Datenträgers ist dann direkt für die Auslagerungsdatei nutzbar (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 110).
186__________________________________________________________ 4 Dateisysteme Defragmentierung und Optimierung nach der Installation Führen Sie eine grundlegende Optimierung des Datenträgers nach der Installation des Betriebssystems und zusätzlicher Softwarepakete durch. Dabei sollten mit Hilfe einer Offline- Defragmentierungssoftware statische Dateien wie Anwendungsprogramme, DLLs etc. an den physischen Anfang des Datenträgers verschoben werden. Regelmäßige Online-Defragmentierung
Zur Sicherung der Performance sollten Sie regelmäßig OnlineDefragmentierungen der Datenträger durchführen. Effektiv ist der Einsatz der entsprechenden Defragmentierungssoftware allerdings nur dann, wenn dabei möglichst wenig Dateien geöffnet sind.
Defragmentierung der MFT
Insbesondere bei von FAT/FAT32 nach NTFS konvertierten Datenträgern kann es vorkommen, dass die MFT (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 143) danach fragmentiert vorliegt. Lesen Sie dazu in Abschnitt 9.6.2 Das Tool CONVERT.EXE ab Seite 523, wie Sie das bereits bei der Konvertierung weitgehend vermeiden können. Zusätzlich sollten Sie eine Defragmentierungssoftware einsetzen, welche die MFT defragmentieren kann.
Genug Speicherkapazität freilassen Betreiben Sie insbesondere NTFS-Datenträger nicht an ihrer maximalen Kapazitätsgrenze. Als guter Wert können 20% der Gesamtkapazität gelten, die frei bleiben sollten. Richten Sie für die Benutzer Datenträgerkontingente ein, um die »Speicherwut« von Daten etwas zu steuern. Sie wissen, es gibt auf Dauer prinzipiell keine ausreichend großen Festplatten. Platz für die MFT reservieren
Um sicherzustellen, dass die MFT ausreichend Platz bietet, können Sie deren Größe von vornherein festlegen. Weitere Hinweise finden Sie dazu in Abschnitt Fragmentierung der MFT vermeiden ab Seite 524.
Protokollierung des letzten Zugriffs deaktivieren Alles wird protokolliert...
Das NTFS-Dateisystem (siehe auch Abschnitt 4.3.2 Der interne Aufbau von NTFS ab Seite 141) protokolliert für jede Datei neben dem Erstellungs- und Änderungsdatum auch den Zeitpunkt des letzten Zugriffs. Selbst wenn eine Datei nur gelesen wird und unverändert bleibt, wird dies in der MFT verzeichnet. Da NTFS transaktionsorientiert arbeitet, ist das Schreiben der Information mit Erzeugen eines neuen MFTEintrags verbunden. Nach erfolgreicher Beendigung des Vorgangs wird der alte MFT-Eintrag gelöscht. Zusätzlich erfolgt ein Eintrag im Änderungsjournal.
...und kostet damit Performance!
Diese Vorgänge kosten natürlich Performance, auch wenn dies bei modernen PCs kaum ins Gewicht fällt. Zusätzlich wird allerdings die
4.5 Fragmentierung ______________________________________________________ 187 MFT dadurch wieder eher fragmentiert, insbesondere dann, wenn der Datenträger stark belegt ist. Sie können diese Funktion des NTFS-Dateisystems deaktivieren, indem Sie in der Registrierung den folgenden Eintrag manipulieren: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsDisableLastAccessUpdate=1
Dies können Sie manuell über den Registrierungseditor vornehmen (siehe auch Abschnitt 14.6.2 Bearbeiten der Registrierung ab Seite 889) oder über das Kommandozeilentool fsutil behavior set disablelastaccess (siehe auch Abschnitt 9.1.4 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 470). Wenn Sie die Protokollierung des letzten Zugriffs für NTFS deaktivieren, vermindern Sie die unter Windows XP mögliche Systemsicherheit Ihres Computers. Unzulässige Zugriffe auf Ihre Dateien könnten so eventuell unentdeckt bleiben.
4.5.6
Defragmentierungsprogramme
Windows XP verfügt über eine integrierte DefragmentierungsSoftware der Firma Executive Software. Daneben gibt es aber auch eine Reihe von Programmen anderer Anbieter. Eines der bekanntesten Programme ist dabei Norton Speeddisk (www.symantec.de). Erst seit 1998 auf dem Markt und trotzdem schon sehr erfolgreich ist auch die umfassende Defragmentierungslösung der Berliner Firma O&O Software GmbH (www.oo-software.de). Für das Durchführen des Defragmentierungsprozesses benötigen alle Lösungen genügend freien Speicherplatz auf dem Datenträger. Als Richtwert gelten hier ca. 15% der Gesamtkapazität. Der konkret benötigte freie Speicherplatz hängt von der jeweiligen Ausreichend freier Defragmentierungssoftware ab. Steht nicht genügend Platz zur Verfü- Speicherplatz gung, bricht das Programm entweder mit einer Fehlermeldung ab oder kann kein optimales Ergebnis erreichen. Defragmentierungsprogramme verweigern auch dann ihren Dienst, Datenträger wenn der Datenträger logische Fehler aufweist. Dann ist das soge- logisch OK nannte Dirty-Bit gesetzt. Sie müssen diese Datenträger vor einer Defragmentierung reparieren lassen, beispielsweise mit CHKDSK.EXE (siehe auch Abschnitt 9.12.3 Überprüfung eines Datenträgers auf Fehler ab Seite 582).
188__________________________________________________________ 4 Dateisysteme Integrierte Lösung Das in Windows XP integrierte Programm von Executive Software (www.diskeeper.com) ist eine im Funktionsumfang beschränkte Version des Produkts Diskeeper. Abbildung 4.19: Integrierte Defragmentierungslösung
Hohe Geschwindigkeit
Intern arbeitet dieser Online-Defragmentierer nach der Sliding Window-Methode. Dabei wird immer nur ein kleiner Teil der Festplatte behandelt. Der Vorteil ist die damit erreichbare hohe Geschwindigkeit beim Defragmentieren. Eine weitergehende Optimierung erfolgt allerdings nicht. Möchten Sie eine umfassende Optimierung des Datenträgers vornehmen oder über das Netzwerk auf anderen Windows XP/2000Systemen Festplatten defragmentieren, benötigen Sie die Vollversion von Diskeeper oder eine andere Defragmentierungssoftware.
KommandozeilenTool DEFRAG.EXE
In Windows XP ist auch eine Kommandozeilen-Version dieser Software integriert. Diese können Sie über die Eingabeaufforderung mit DEFRAG.EXE aufrufen. Einsetzbar ist diese Software damit in Stapelverarbeitungsdateien, sodass Sie zeitgesteuert über den Taskplaner oder das Kommandozeilen-Tool AT.EXE automatisch regelmäßig Datenträger defragmentieren können (siehe Abschnitt 8.4 Zeitgesteuerte Verwaltung: Taskplaner ab Seite 429).
Syntax
Defrag [/A] [/V] [/F]
Die folgende Tabelle enthält die Beschreibung der Optionen:
Tabelle 4.17: Optionen von Bezeichnet den zu defragmentierenden Datenträger; gültig Defrag.exe ist der Laufwerkbuchstabe oder Laufwerkpfad
Beschreibung
/A
Analysiert den Datenträger und gibt einen zusammenfassenden Bericht aus
/V
Startet die Analyse und, wenn notwendig, die Defragmentierung des Datenträgers und gibt für beide Vorgänge umfassende Berichte aus; Wird die Option zusammen mit /a verwendet, wird nur eine Analyse (mit umfassendem Bericht) durchgeführt.
/F
Führt die Defragmentierung auch dann durch, wenn diese eigentlich nicht notwendig wäre
Während des eigentlichen Defragmentierungsvorganges werden keine Meldungen auf dem Bildschirm ausgegeben. Das kann leicht dazu führen, dass Sie denken, das Programm würde nicht arbeiten. Dass dem nicht so ist, erkennen Sie zum einen an der Festplattenaktivität, zum anderen am blinkenden Cursor. Erst nach Abschluss der Defragmentierung erhalten Sie dann einen Bericht. Die Ausgaben des Programms können Sie über das Umleitungszeichen > beziehungsweise >> in eine Textdatei lenken. Hier einige Beispiele: Defrag C: /V /F >Defrag_c.txt Defrag D: /V >>Defrag_laufwerke.txt Defrag D: /A >DefragAnalyse.txt
Beispiele
Sie können den Vorgang jederzeit mit STRG-C abbrechen. Dabei wird Abbruch mit Strg-C der aktuelle Cluster noch geschrieben und danach das Programm ordnungsgemäß beendet. Datenverluste sind damit nicht zu befürchten. Ein Bericht wird dann allerdings nicht ausgegeben. Ein gleichzeitiger Einsatz des Kommandozeilentools mit dem grafi- Kein gleichzeitiger schen Pendant wird zumindest durch beide in Windows XP integrier- Einsatz mit grafite Softwarepakete von Executive Software zuverlässig verhindert. So schem Tool können Sie eine Defragmentierung nicht versehentlich zweimal für einen Datenträger zur gleichen Zeit starten. Das KommandozeilenTool wird mit einer Fehlermeldung abbrechen, während das grafische Programm die Defragmentierungs-Option für den betreffenden Datenträger erst gar nicht anbietet.
O&O® Defrag Eine der möglichen Alternativen ist die Softwarelösung der Berliner Kostenloses O&O® Firma O&O Software GmbH. Als kostenlose Alternative können Sie Defrag Free oder hier übrigens ebenfalls eine abgespeckte Variante der Vollversion von Vollversion
190__________________________________________________________ 4 Dateisysteme O&O® Defrag herunterladen. Informationen und Downloads finden Sie unter der folgenden Adresse: www.oo-software.de
Vorteil gegenüber der mitgelieferten Lösung von Executive Software ist die bereits sehr gute Optimierung mit der frei verfügbaren Version O&O® Defrag Free. Der Vorgang nimmt zwar mehr Zeit in Anspruch, es werden aber die fragmentierten Dateien und der Datenträger ganzheitlich betrachtet. Volle Kontrolle über den Defragmentierungsprozess erlangen Sie allerdings auch hier erst mit der Vollversion, die im folgenden kurz vorgestellt wird. Abbildung 4.20: O&O® Defrag 4 für Windows XP
Offline-Defragmentierung verfügbar
Eine Besonderheit dieser Lösung ist die Möglichkeit, damit auch eine Offline-Defragmentierung durchzuführen, die dann beim Systemstart erfolgt. Damit hat die Software volle Kontrolle über den Datenträger und kann weitreichende Optimierungen und Umschichtungen der Dateien vornehmen. Die folgenden Dateiarten können während der Offline-Defragmentierung beim Systemstart bearbeitet werden, auf die sonst Windows XP keinen direkten Zugriff zulässt: • Auslagerungsdatei • Registrierungsdatenbank • Master File Table (MFT) bei NTFS-Datenträgern
4.5 Fragmentierung ______________________________________________________ 191 • jede andere Datei, die zur Laufzeit gesperrt ist, wie beispielsweise Exchange- oder SQL-Datenbanken Mit der serienmäßig installierten Kommandozeilenversion der De- Komfortable Zeitfragmentierungslösung DEFRAG.EXE von Executive Software (siehe planung vorhergehender Abschnitt) können Sie einen zeitgesteuerten Aufruf des Programms nur mit etwas manuellem Anpassungsaufwand vornehmen. In O&O® Defrag 4 steht dazu ein einfach zu bedienendes Dialogfenster zur Verfügung. Abbildung 4.21: Zeitplanung mit O&O® Defrag 4
Desweiteren können Sie vielfältige Einstellungen vornehmen, um Einstellungen beispielsweise auch das Laufzeitverhalten der Software zu optimieren. Abbildung 4.22: Einstellmöglichkeiten von O&O® Defrag 4
192__________________________________________________________ 4 Dateisysteme So lässt sich die CPU-Nutzung optimieren, damit die Abarbeitung auch so als Hintergrundprozess durchgeführt werden kann, sodass Sie während Ihrer Arbeit mit dem System nicht gestört werden. Ersatz der serienmäßigen Lösung
Sie können O&O® Defrag 4 so installieren, dass die serienmäßig installierte Software vollständig ersetzt wird. An seine Stelle tritt dann O&O® Defrag 4 und ist damit genauso integriert und ebenso komfortabel aus dem Windows Explorer heraus zu benutzen.
5 5 Netzwerkgrundlagen Im Vergleich zu Windows 9x/Me sind die Netzwerkfähigkeiten von Windows XP stark ausgebaut worden. Für Anwender von Windows 2000 gibt es dagegen wenig Neues. Lesen Sie in diesem Kapitel, welche technischen Grundlagen hinter den vielen Netzwerkfunktionen stecken und auf welchen Standards diese beruhen. Diese Informationen erleichtern die korrekte Konfiguration – vor allem der sicherheitsrelevanten Funktionen.
TCP/IP – eine Welt der Standards ................................................... 195 Wichtige Internetprotokolle im Detail............................................. 204 IP-Adressvergabe im lokalen Netzwerk ......................................... 231 IP-Namensauflösung.......................................................................... 235 Verbinden von Netzwerken .............................................................. 240 Weitere unterstützte Netzwerkprotokolle ...................................... 242 Active Directory.................................................................................. 244 Sicherheit im Netzwerk ..................................................................... 264
5.1 TCP/IP – eine Welt der Standards_______________________________________ 195
5.1 TCP/IP – eine Welt der Standards Mit der weltweiten rasanten Verbreitung des Internet und der damit TCP/IP als domimöglich gewordenen Kommunikation über alle Grenzen hinweg sind nierendes die Nutzung von Standards im Bereich der Vernetzung selbstver- Protokoll ständlicher Alltag geworden. Inszwischen dominiert das Netzwerkprotokoll TCP/IP, sei es im Internet zwischen allen Beteiligten oder im kleinen oder größeren Firmennetzwerk. Die Verbreitung von TCP/IP ist heute so umfassend, dass sogar viele Computerlaien etwas mit diesem Begriff anfangen können. In diesem Abschnitt finden Sie grundlegende Informationen zu diesem wichtigen Netzwerkprotokoll. Das soll Ihnen helfen, nicht in Konfigurationsfallen zu tappen und Ihr Windows XP Professional-System optimal im Netzwerk zu konfigurieren und einzusetzen.
5.1.1
TCP/IP-Enstehungsgeschichte
Es gibt einige grundlegende Standardisierungen oder Standardisierungsbemühungen im Bereich der Vernetzung von EDV-Systemen, die Sie kennen sollten. TCP/IP nimmt hier sogar eine kleine Sonderstellung ein, da dieses Protokoll EDV-historisch gesehen ziemlich alt ist und seine Wurzeln vor manchen heute anerkannten Standardmodellen, wie zum Beispiel dem ISO/OSI-Referenzmodell, hat. Dazu später jedoch mehr. Das TCP/IP-Protokoll ist genaugenommen eine ganze Bezeichnungen für Protokollsammlung und wird demzufolge auch mit Internet Protocol TCP/IP Suite (IPS), Internet-Protokollfamilie oder einfach mit Internet-Protokolle bezeichnet. In den folgenden Abschnitten werden Sie meist den Begriff Internet-Protokolle vorfinden. Die Protokollbestandteile TCP und IP, aus denen der Name TCP/IP hervorgegangen ist, werden neben den anderen Bestandteilen in Abschnitt 5.2 Wichtige Internetprotokolle im Detail ab Seite 204 näher vorgestellt.
Am Anfang stand das ARPANET Obwohl das Internet heute vor allem für die friedlichen Austausch Vergangenheit im von Informationen weltweit steht (abgesehen von den Hackern, Vi- Kalten Krieg ren...), haben die Internet-Protokolle eine »kriegerische« Vergangenheit. Ende der sechziger Jahre des vergangenen Jahrhunderts wurde auf Initiative und im Auftrag des US-Verteidigungsministeriums eine technische Lösung zur Vernetzung von (damals Groß-) Computern geschaffen. Unter anderem war eine Forderung der Militärs ein robus-
196____________________________________________________ 5 Netzwerkgrundlagen ter Aufbau der Grundstrukturen der Protokolle, sodass eine landesweite Vernetzung auch dann noch funktioniert, wenn Teile des Netzwerks ausfallen sollten. ARPANET
Im Ergebnis der Forschung und Entwicklung entstand das sogenannte ARPANET (Advanced Research Project Agency), aus welchem sich dann später das entwickelte, was heute allgemein als Internet bezeichnet wird. Das ARPANET wurde bereits 1972, schon weitgehend auf TCP/IP basierend, auch der Öffentlichkeit zugänglich gemacht. Am Anfang stand aber vor allem der Einsatz im Umfeld wissenschaftlicher Einrichtungen und Universitäten. Die hauptsächlich genutzten Dienste waren dabei die Fernbedienung von Rechnersystemen, E-Mail sowie der Austausch von Dateien.
DoD-Protokolle/ ARPANET-Protokolle
Die Internet-Protokolle werden aufgrund dieser Historie heute teilweise noch als Department of Defense (DoD)- oder ARPANETProtokolle bezeichnet.
UNIX
Eine weite Verbreitung erreichte das TCP/IP-Protokoll schließlich vor allem auch durch die wachsende Verbreitung des Betriebssystems UNIX, anfangs vor allem im universitären Umfeld. Seit der Version Berkley UNIX 4.2 wird hier TCP/IP umfassend unterstützt.
Geschichte in Zahlen Die Entstehungsgeschichte der Internet-Protokolle lässt sich an den folgenden geschichtlichen Eckdaten festhalten: • 1969 Geburtsstunde des ARPANET • 1972 ARPANET wird der Öffentlichkeit vorgestellt • 1976 Geburtsstunde von TCP/IP; Grundsteinlegung zu TCP/IP durch die International Federation of Information Processing • 1983 ARPANET wird auf TCP/IP umgestellt; TCP/IP-Protokolle werden als MIL-Specs veröffentlicht • 1984 Vorstellung des Berkeley UNIX 4.2 • 1987 Unterstützung von TCP/IP durch IBM • 1988 Simple Gateway Monitoring Protocol (SGMP) wird vollständig überarbeitet und als Simple Network Management Protocol (SNMP) veröffentlicht • 1990 Unterstützung von TCP/IP durch weitere Hersteller (wie DEC, Novell und andere) • 1992 Unterstützung von TCP/IP durch mehr als 10 000 Firmen weltweit
5.1 TCP/IP – eine Welt der Standards_______________________________________ 197 • 1993 Beginn der Planungen zur Erweiterung des Adressraumes von 32 auf 128 Bit (IPv6) • 1999 Implementierung von TCP/IP in weitere Netzwerkbetriebssysteme (wie beispielsweise auch in Novell NetWare 5)
5.1.2
Standards und die RFCs
In der Welt des Internet und insbesondere für die Internet-Protokolle Request for spielen die RFCs (Request for Comments) eine bedeutende Rolle. Diese Comments Form der offenen Diskussion von technischen Verfahren und Lösungen wird dabei nicht einer staatlichen Aufsicht unterworfen, sondern lebt durch die aktive Mitarbeit von privaten Initiativen, wissenschaftlichen Organisationen und Firmen. Damit können aber insbesondere auch bestimmte Märkte dominierende Gruppen oder Unternehmen eigene proprietäre Lösungen als Standards propagieren. Am 7. April 1969 wurde RFC 0001 veröffentlicht. Alle Protokolle, die im Netzwerk- und Internetbereich verwendet werden, werden heute in solchen RFCs spezifiziert. Ein RFC kann dabei verschiedene Stufen durchlaufen (siehe nächster Abschnitt). Solange das Dokument in der Entwicklung ist, wird es als »Draft« bezeichnet – als Arbeitspapier. Einige Protokolle sind schon seit langer Zeit in diesem Stadium – dem Einsatz steht das nicht unbedingt entgegen. RFCs können auch reine Informationsdokumente ohne Bezug auf ein konkretes Protokoll sein. RFCs tragen generell eine fortlaufende Nummer. Versionsnummern Fortlaufende gibt es nicht. Ändert sich ein RFC, wird eine neue Nummer vergeben Nummerierung und das alte Dokument als obsolet gekennzeichnet. Inzwischen gibt es Tausende RFCs und viele davon sind obsolet. In diesem Buch werden Sie an einigen Stellen mit RFC-Nummern konfrontiert, die Sie als Querverweis auf die Quelle der Information nutzen können.
Stufen eines RFC Ein RFC kann mehrere Stufen durchlaufen, vor allem um »offizielle« von »inoffiziellen« Veröffentlichungen zu unterscheiden. Als offiziell gelten fertige RFCs, die von einer der Standardisierungsorganisationen verabschiedet wurden. Die bekannteste ist die IETF (Internet Engineering Task Force). Typische Stufen eines RFC sind: • Experimental (Experimentell) Das hier spezifizierte Protokoll sollte nur zu experimentellen Zwecken oder zur Evaluierung eingesetzt werden. Es sind noch grund-
198____________________________________________________ 5 Netzwerkgrundlagen legende Änderungen möglich, ebenso wie das völlige Verwerfen der Entwicklung. Proposal
• Proposal (Vorschlag) Als Vorschlag werden RFCs gekennzeichnet, wenn die Standardisierung gezielt angestrebt wird. Dennoch befindet sich das Protokoll noch in der Entwicklung und wird voraussichtlich noch Änderungen unterworfen sein. Oft sind solche Änderungen auch Kompromisse, die notwendig sind, um die Anerkennung als Standard zu erlangen.
Draft
• Draft (Entwurf) In diesem Stadium, das Sie häufiger beobachten können, befinden sich Dokumente, die als Standard ernsthaft in Betracht gezogen werden. Praktisch ist die Entwicklung abgeschlossen. Durch die Veröffentlichung gelangen die Methoden zum praktischen Einsatz. Im Feldtest können sich Probleme herausstellen, die noch zu Änderungen am endgültigen Standard führen.
Standard
• Standard In dieser Phase ist das RFC verabschiedet und endgültig. Wenn sich Änderungen oder Weiterentwicklungen ergeben, wird eine neue Nummer vergeben und das alte RFC wird obsolet. Als Verabschiedungsgremium agiert das IAB (Internet Architecture Board). Neben diesen grundlegenden Eigenschaften können ergänzende Hinweise anfallen, die sich teilweise auch auf Systeme beziehen:
Recommended
• Recommended (empfohlen) Das Protokoll wird zum Einsatz empfohlen.
Not recommended
• Not recommended (nicht empfohlen) Es ist nicht empfehlenswert, dieses Protokoll einzusetzen – meist weil es inzwischen ein neueres gibt.
Limited use
• Limited use (begrenzter Einsatz) Dieses Protokoll wird nur für sehr eng gesteckte Spezialfälle zur Anwendung kommen.
Required
• Required (erforderlich) Die Anwendung ist im Zusammenhang mit anderen Protokollen zwingend.
Elective
• Elective (wahlweise) Für den vorgesehenen Zweck stehen mehrere Protokolle gleichwertig zur Auswahl.
5.1 TCP/IP – eine Welt der Standards_______________________________________ 199 Aus den gültigen, verabschiedeten RFCs werden Standards, indem eine Standardnummer STD zugewiesen wird. Manchmal umfasst ein solcher Standard mehrere RFCs. STD-Nummern sind endgültig, werden also nicht geändert, wenn sich die zugrunde liegenden RFCs ändern. Die Zusammenfassung der STDs und RFCs wird in der RFC 2500 spezifiziert, eine Art rekursive Spezifikation also.
Mehr Informationen zu RFCs Mehr Information zu den RFCs und STDs finden Sie im Internet unter den folgenden Adressen: www.faqs.org www.rfc-editor.org Abbildung 5.1: rfc-editor.org als gute Nachschlagemöglichkeit
Für das Studium der RFCs sollten Sie neben guten Englischkenntnissen allerdings auch Geduld mitbringen, – wenn Sie sich durch die teilweise knochentrockenen Erläuterungen durcharbeiten wollen.
5.1.3
TCP/IP und das ISO/OSI-Referenzmodell
Das sogenannte ISO/OSI-Referenzmodell spielt bei der Entwicklung und Bewertung von EDV-gestützten Kommunikationssystemen eine nicht unbedeutende Rolle, weswegen es an dieser Stelle vorgestellt werden soll. Die Internet-Protokolle, wie sie sich historisch entwickelt haben, nehmen allerdings eine besondere Stellung zu diesem Standardmodell ein, wie Sie später noch sehen werden.
200____________________________________________________ 5 Netzwerkgrundlagen Das ISO/OSI-Referenzmodell Diese grundlegende Modellbeschreibung allgemeiner Kommunikationsprozesse bei der Datenübertragung wurde von der International Organization for Standardization (ISO) im Jahre 1984 verabschiedet. Das Modell wird immer wieder in der Fachpresse als Referenz zur Beschreibung technischer Vorgänge herangezogen. Das ISO/OSI-Referenzmodell (Reference Model for Open Systems Interconnection of the International Organization for Standardization) teilt Netzwerkverbindungen in sieben logische Schichten ein, die jeweils eine eigene Aufgabe übernehmen. Die Schichten werden nachfolgend beschrieben. Bei Protokollbeschreibungen in technischen Dokumentationen wird auf diese Schichten immer wieder Bezug genommen. Tabelle 5.1: Das ISO/OSIReferenzmodell
Nr. Schichtbezeichnung Aufgabe 7
Anwendung
Nutzerschnittstelle, Kommando-Auswahl
6
Darstellung
Kodierung, Dekodierung, Kompression
5
Sitzung
Steuerung der Kommunikation
4
Transport
Verbindungsaufbau, Datentransport
3
Vermittlung
Adressierung, Routing
2
Sicherung
Fragmentierung, Kontrolle, Prüfung
1
Bitübertragung
Physischer Datentransport
Im Idealfall arbeitet auf jeder Ebene des in Tabelle 5.1 gezeigten Modells ein Protokoll. Der nächste Abschnitt zeigt, dass dies für die Internetprotokolle nicht der Fall ist. Dennoch ist das ISO/OSI-Modell Grundlage der gesamten modernen Protokollwelt. Die Funktion der einzelnen Schichten können wie folgt beschrieben werden: Bitübertragung
• Schicht 1: Bitübertragungsschicht (physical layer). Hier wird die physikalische Übertragung (elektrisch sowie mechanisch) definiert: das Medium (Kabel, Funk, Infrarot), die gesendeten Signale usw.
Sicherung
• Schicht 2: Sicherungsschicht (data link layer, auch Verbindungsschicht oder MAC-Layer genannt). Hier werden die Daten in einzelne Rahmen aufgeteilt und gesichert übertragen. Beispiele für diese Schicht sind PPP, SLIP und HDLC.
Vermittlung
• Schicht 3: Vermittlungsschicht (network layer, auch Netzwerkschicht genannt). Zentrale Aufgabe ist die Bestimmung eines optimalen Weges durch ein Netzwerk. Ein wichtiges Protokoll auf dieser Ebene ist IP.
5.1 TCP/IP – eine Welt der Standards_______________________________________ 201 • Schicht 4: Transportschicht (transport layer). Diese Schicht stellt ei- Transport nen gesicherten Kanal zwischen zwei Stationen her, sodass die Daten einfach seriell geschrieben bzw. gelesen werden können. Auf dieser Ebene ist TCP zu finden. • Schicht 5: Sitzungsschicht (session layer, auch Kommunikationssteue- Sitzung rungsschicht genannt). Diese Schicht synchronisiert das Zusammenspiel mehrerer Stationen. Es wird beispielsweise festgelegt, wie eine Sitzung zeitlich abzulaufen hat (Aufforderung zum Senden eines Kennwortes, Senden des Kennwortes, Bestätigung des Kennwortes usw.). Hier arbeitet beispielsweise HTTP. • Schicht 6: Darstellungsschicht (presentation layer). Hier werden die Darstellung Daten in ein einheitliches Format transformiert, zum Beispiel durch Alphabetumwandlungen oder Datenkompression. An dieser Stelle gehen oft die Umlaute verloren, wenn die Übertragung mit 7 Bit statt 8 Bit erfolgt. Verschiedene Kodierungsarten sichern dann die Übertragung, beispielsweise MIME. • Schicht 7: Anwendungsschicht (application layer). Diese Schicht be- Anwendung schreibt die Schnittstelle, über die Anwendungen auf Dienste eines anderen Systems zugreifen können. CGI-Programme beispielsweise nutzen diese Schicht. Jede Schicht kommuniziert mit der entsprechenden Schicht auf dem Kommunikationsanderen System (logischer Datenfluss), indem sie Daten entweder an die prozesse darüber oder darunter liegende Schicht weiterleitet (physikalischer Datenfluss). Dabei verfügt jede Schicht über Schnittstellen, die folgende Abläufe ausführen können: • Austausch von Daten mit der darüber liegenden Schicht • Austausch von Daten mit der darunter liegenden Schicht • Entscheidung darüber, welche Daten an dieselbe Schicht im anderen System übermittelt werden Wenn die Sitzung auf Schicht 5 ihre Daten an die Schicht 4 übergeben hat, wartet sie, bis die Antwort von Schicht 5 des anderen Systems zurückkommt. Wie diese Nachricht auf das andere System gelangt, ist Aufgabe von Schicht 4, die sich wiederum nur mit Schicht 3 in Verbindung setzt, usw. Der wirkliche Datenaustausch findet nur auf Schicht 1 statt. Durch dieses Verfahren sind höhere Schichten völlig unabhängig von den physikalischen Gegebenheiten (Funknetz, ISDN, Glasfaser usw.). Andererseits können über eine funktionierende physikalische Verbindung (Schicht 1) alle Arten von Daten und Protokollen (höhere Schichten) benutzt werden.
202____________________________________________________ 5 Netzwerkgrundlagen Praktisches Beispiel
Für das bessere Verständnis von Kommunikationsprozessen auf den unteren Ebenen können Sie die grundsätzlichen Eigenschaften von Repeatern, Bridges und Routern betrachten.
Repeater
Repeater arbeiten in Netzwerken üblicherweise als reine Signalverstärker. Die Hauptfunktion besteht also darin, den Datenfluss über größere Entfernungen aufrechtzuerhalten. Dazu arbeiten sie auf der untersten Schicht des ISO/OSI-Referenzmodells und sind unabhängig vom verwendeten Netzwerkprotokoll.
Bridge
Eine Bridge (Brücke) kann als »intelligente« Form des Repeaters bezeichnet werden, die den Datenverkehr anhand der Zieladresse im MAC-Header der Datenpakete zielgerichtet leiten kann. Daten, die nur innerhalb eines Segmentes benötigt werden, belasten somit nicht mehr das übrige Netzwerk. Bridges arbeiten wie Repeater unabhängig vom verwendeten Netzwerkprotokoll.
Abbildung 5.2: Repeater, Bridge und Router im OSIModell
Router
Router hingegen arbeiten auf der OSI-Schicht 3 (Vermittlungsschicht) und sind damit auf ein routingfähiges Netzwerkprotokoll wie beispielsweise IP angewiesen. Damit lassen sich Router allerdings flexibler konfigurieren und bieten vor allem in größeren Netzwerken die notwendigen Funktionen für eine sinnvolle Strukturierung.
Abbildung der Internetprotokolle im OSI-Modell Der theoretische Ansatz des Referenzmodells geht davon aus, dass auf jeder Ebene ein Protokoll arbeitet. Allerdings trifft das gerade auf die Internetprotokolle nicht zu. Deren Entwicklung beginnt bereits, bevor die ISO am Referenzmodell arbeitet und verläuft praktisch parallel zu diesem.
5.1 TCP/IP – eine Welt der Standards_______________________________________ 203 Die Internet-Protokollfamilie kann aber durchaus mit dem ISO/OSI- 4-Schichtenmodell Referenzmodell verglichen werden. In Abbildung 5.3 sehen Sie eine der Internet-ProtoGegenüberstellung des OSI-Modells mit der üblichen Einteilung der kollfamilie Internet-Protokollfamilie in die vier Schichten Verbindung, Netzwerk, Transport und Anwendung. Die Daten durchlaufen beim Transport über ein Übertragungsmedium, wie beispielsweise ein Kupferkabel, üblicherweise alle Schichten von der Anwendung des Senders bis hin zum Empfänger. So übergibt eine Anwendung wie beispielsweise ein FTP-Client oder Kapselung der ein Terminalprogramm für Telnet seine Datenpakete an die Trans- Daten portschicht. Hier bekommt das Paket einen Header, in dem weitere Informationen zu dessen Aufbau hinterlegt werden. Wird das Protokoll TCP verwendet, befinden sich im so genannten TCP-Header Angaben zum Quell- und Zielport sowie die TCP-Flags. Bei der Übergabe an die nächste Schicht (Netzwerk) wird das Paket um einen weiteren Header, beispielsweise den IP-Header, erweitert. In diesem werden unter anderem die IP-Quell- und Zieladresse hinterlegt, um den richtigen Weg im Netzwerk, auch über IP-Router, finden zu können. Schließlich erfolgt eine letzte Erweiterung des Pakets in der Verbindungsschicht. Der neue Header enthält dann unter anderem Informationen zum verwendeten Übertragungsverfahren wie Ethernet oder Token Ring. Beim Weg zum Empfänger werden dann alle Schichten rückwärts wieder durchlaufen und die jeweiligen HeaderInformationen entfernt. Dieser ganze Vorgang wird auch als DatenKapselung bezeichnet. Abbildung 5.3: Das OSI-Referenzmodell im Vergleich mit dem Schichtenmodell der InternetProtokollfamilie
Mit Hilfe dieser Datenkapselung können Kommunikationslösungen geschaffen werden, welche unabhängig vom verwendeten technischen
204____________________________________________________ 5 Netzwerkgrundlagen Verfahren funktionieren. So ist beispielsweise die Verwendung der IPProtokollfamilie nicht an ein bestimmtes Übertragungsverfahren gebunden, sondern ist auch über Ethernet, Token Ring, ATM, PPP für die Datenfernübertragung oder andere, vielleicht erst in Zukunft verfügbare Medien möglich. Die wichtigsten Bestandteile der Internet-Protokollfamilie werden eingehender im nächsten Abschnitt beschrieben.
5.2 Wichtige Internetprotokolle im Detail In diesem Abschnitt werden einige Protokolle der InternetProtokollfamilie näher betrachtet. Dabei stehen vor allem die Protokolle im Mittelpunkt, die aus Sicht eines professionellen Anwenders von Windows XP wichtig sein können. Tabelle 5.2: Übersicht Protokoll über die behandelten ARP Internet-Protokolle
Weitere InternetProtokolle
Funktion
Seite
Auflösung der IP-Adressen in MAC-Adressen
204
ICMP
Transport von Fehler- und Diagnosemeldungen
205
IP
Adressierung und Transport der Datenpakete (keine Fehlerkorrektur)
206
TCP
Gesicherter Transport der Daten mit Fehlerkorrektur
214
UDP
Ungesicherter Transport von Datenströmen ohne Fehlerkorrektur
216
SMTP
Transportiert E-Mails
218
FTP
Dient dem Dateitransfer zwischen Computern
222
Nicht betrachtet werden hier Routingprotokolle. Das Thema IPRouting wird in Abschnitt 5.5 Verbinden von Netzwerken ab Seite 240 kurz vorgestellt. Ausführlichere Informationen finden Sie zu diesem Thema in unserem Buch Windows 2000 im Netzwerkeinsatz. Andere wichtige Protokolle der Schicht 4 (Anwendung) der InternetProtokollfamilie wie SMTP oder HTTP werden eingehend in unserem Buch Internet Information Server 5 behandelt.
5.2.1
Address Resolution Protocol (ARP)
ARP löst die IP-Adressen in MAC-Adressen auf. MAC steht für Media Access Control. Diese Adresse ist für jeden Netzwerkadapter eindeutig. Liegen Router zwischen Sender und Empfänger, wird die MACAdresse des dem Empfänger nächstgelegenen Routers verwendet. Wenn zwei Computer die Verbindung per IP aufnehmen, wird zuerst
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 205 ARP eingesetzt. ARP fragt den gegnerischen Host nach seiner MACAdresse mit einer Broadcast-Anfrage an die IP-Nummer. Mit der übertragenen Antwort wird die physikalische Verbindung initiiert. Die ARP-Informationen werden in einem lokalen Cache gehalten, dessen Leistungsverhalten unter Windows XP in der Registrierung kontrolliert werden kann. ARP verwendet zum Austausch von Informationen ARP-Pakete. Der ARP-Pakete Aufbau dieser Pakete ist in der folgenden Tabelle dargestellt. Bezeichnung
Länge in Bytes
Beschreibung
HARDWARE TYPE
2
Art der Hardware, beispielsweise Ethernet, ISDN
PROTOCOL TYPE
2
Das übergeordnete Protokoll. Normalerweise steht hier der Wert 0x0800 für IP.
HARDWARE ADDRESS LENGTH
1
Größe der Hardware-Adresse in Byte. Für Ethernet sind dies 6 Bytes.
PROTOCOL ADDRESS LENGTH
1
Anzahl der Bytes der Adresse des übergeordneten Protokolls, für IPv4 ist das 4, für IPv6 die Zahl 6.
OPERATION CODE
1
Art der Anforderung, Query oder Reply
SENDER MAC ADDRESS
6
MAC-Adresse des Senders
SENDER IP ADDRESS
4
IP-Adresse des Senders
TARGET MAC ADDRESS
6
MAC-Adresse des Empfängers
TARGET IP ADDRESS
4
IP-Adresse des Empfängers
Tabelle 5.3: Aufbau von ARPPaketen
Dieses Paket kommt als Broadcast-Paket nur dann zur Anwendung, wenn die MAC-Adresse nicht aus dem Cache aufgelöst werden kann. Für Diagnosezwecke steht das Dienstprogramm ARP zur Verfügung. Dienstprogramm Um die aktuelle ARP-Tabelle einsehen zu können, starten Sie ARP auf ARP der Kommandozeile mit der Option -a: Arp -a
5.2.2
Internet Control Message Protocol (ICMP)
ICMP dient zum Transport von Fehler- und Diagnosemeldungen im Fehler- und DiagIP-Netzwerk. Versucht ein Rechner, auf einen Port zuzugreifen, der nosemeldungen nicht belegt ist, so wird die Fehlermeldung »Port unreachable« per ICMP zurückgeschickt. Auch Routing-Informationen werden über dieses Protokoll weitergeleitet. IP nutzt ICMP, um Fehler an TCP zu
206____________________________________________________ 5 Netzwerkgrundlagen melden. ICMP-Nachrichten selbst werden wieder als IP-Datenpakete verpackt. Tabelle 5.4: Aufbau des ICMPDatenpakets
Feld
Inhalt / Mögliche Werte
TYPE
Typ der Nachricht:
1.
DESTINATION UNREACHABLE
2.
TIME EXCEEDED
Ziel nicht erreichbar Zeitüberschreitung
3.
PARAMETER PROBLEM
Parameterproblem
4.
SOURCE QUENCH
Ein Datagramm konnte nicht verarbeitet werden, beispielsweise wegen eines überfüllten Empfangspuffers in einem Router.
5.
Redirect
Es gibt eine direktere Route als die ausgewählte.
6.
ECHO
Sendet das Datagramm zurück (wird von PING verwendet).
7.
TIMESTAMP
Dient zum Austausch von Zeitinformationen.
8.
INFORMATION
Zur Erkundung des Netzwerks
CODE
Ein dienstspezifischer Code
CHECKSUM
Eine Prüfsumme für das ICMP-Paket
DATA
Dienstspezifische Daten mit variabler Länge
ICMP eignet sich damit für die Fehlersuche und Diagnose bei Netzwerkproblemen. Der Befehl PING benutzt beispielsweise ICMP, um eine ECHO-Anfrage an einen Host zu generieren und dann auf die entsprechende ICMP ECHO-Antwort zu warten.
5.2.3
Internet Protocol (IP)
Das meistverwendete Protokoll auf der Schicht 2 (Netzwerk) der Internet-Protokollfamilie ist IP. Das wesentliche Merkmal dieses Protokolls besteht darin, dass jeder Netzwerkknoten (jedes Endgerät im Netzwerk) direkt angesprochen werden kann. Zu diesem Zweck verfügt jeder Knoten über eine IP-Adresse. Zustellung ohne Fehlerkorrektur
IP ist für die Zustellung der Datenpakete verantwortlich, hat jedoch keine Mechanismen zur Fehlerkorrektur. Werden TCP-Datagramme transportiert, stellt TCP sicher, dass auch alle Daten garantiert fehlerfrei übertragen werden. Bei UDP-Datagrammen hingegen steht die fehlerfreie Übertragung zugunsten einer maximalen Performance nicht im Vordergrund.
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 207 IP zerlegt die Datenpakete der darüber liegenden Schicht in IP-Pakete, welche ihrerseits aus dem IP-Header und dem Datenteil bestehen. Bezeichnung VERSION
Länge in Bits 4
Beschreibung IP-Version: 4 = IPv4 6 = IPv6
HLEN (Internet Header Length)
4
Anzahl der 32-Bit-Wörter des Headers
SERVICE TYPE
8
Bits 0-2 haben folgende Bedeutung: 000 – ROUTINE 001 – PRIORITY 010 – IMMEDIATE 011 – FLASH 100 – FLASH OVERRIDE 101 – CRITIC/ECP 110 – INTERNETWORK CONTROL 111 – NETWORK CONTROL Bit 3, DELAY, ist normalerweise Null, für eilige (urgent) Pakete Eins. Bit 4, THROUGHPUT, steuert die Durchleitung, Bit 5, RELIABILITY, die Zuverlässigkeit. Die Bits 6 und 7 werden nicht verwendet.
TOTAL LENGTH
16
Die Länge des gesamten Datagramms einschließlich Daten. Die Länge darf bis zu 65 535 Byte betragen.
IDENTIFICATION
16
Eine vom Absender festgelegte, eindeutige Nummer. Mit Hilfe dieser Nummer werden fragmentierte Datagramme wieder zusammengesetzt.
FRAGMENT FLAGS
3
Bit 0 ist immer 0, Bit 1 steuert die Fragmentierung (0 = Fragmentierung erlaubt, 1 = Fragmentierung verboten). Bit 2 ist 1, wenn weitere Fragmente folgen, und 0, wenn das Datagramm das letzte Fragment ist.
FRAGMENT OFFSET
13
Diese Zahl gibt an, welche Position das Fragment innerhalb des Datagramms hat.
208____________________________________________________ 5 Netzwerkgrundlagen Bezeichnung
Länge in Bits
Beschreibung
TTL (Time To Live)
8
Lebensdauer in Hops. Hops sind die Stationen, die das Datagramm durchlaufen kann. Physikalisch ist jeder Router auf dem Weg ein Hop. Jeder Router reduziert den Wert TTL um 1. Ist der Wert 0, wird das Datagramm vernichtet. So wird verhindert, dass Datagramme auf der Suche nach dem Empfänger das Netz unendlich lange durchlaufen.
PROTOCOL
8
Das Protokoll, von dem das Datagramm initiiert wurde: ICMP – Dezimalwert 1 IGMP – Dezimalwert 2 TCP – Dezimalwert 6 EGP – Dezimalwert 8 UDP – Dezimalwert 17 OSPF – Dezimalwert 89
HEADER CHECKSUM
16
Eine Prüfsumme zur Kontrolle der Integrität
SOURCE IPADDRESS
32
Die IP-Adresse des Absenders
DESTINATION IPADDRESS
32
Die IP-Adresse des Empfängers 0 bis 11 32-Bit-Wörter
IP OPTIONS
Optionale Angaben, die nicht fest durch IP spezifiziert sind PADDING
variabel Auffüllwert auf ganze Bytes
DATA
Daten
IP-Fragmentierung MTU
Für den Datentransport im Netzwerk besitzt IP die Fähigkeit, die Pakete in kleinere Einheiten aufzuteilen (fragmentieren). Das kann notwendig sein, wenn das zu übertragene Paket die maximale IPPaketgrößenbeschränkung eines Netzwerkgerätes (beispielsweise eines IP-Routers) überschreitet. Dieser Parameter wird auch mit MTU (Maximum Transmission Unit) bezeichnet.
Sicherheitsrisiko IP-Fragmente
Fragmentierte IP-Datenpakete können ein nicht unerhebliches Sicherheitsrisiko darstellen. Die einzelnen Fragmente können manipuliert
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 209 den Zielhost erreichen. Geschickte Hacker sind in der Lage, die Fragmente so zu bilden, dass diese nicht direkt aneinander passen, sondern gemeinsam überlappende Bereiche enthalten. Beim Zusammensetzen im Zielsystem kann es dann durchaus dazu kommen, dass sich das Betriebssystem ins Nirwana verabschiedet. Heute gängige Firewall-Systeme weisen IP-Fragmente in der Regel ab. Durch den Einsatz der »Path MTU Discovery«-Technologie in Path MTU Netzwerksystemen wie Routern wird die IP-Fragmentierung Discovery überflüssig. Dabei handeln die beteiligten Systeme untereinander aus, wie groß die maximale Paketgröße (MTU) sein darf. Der eine Host startet dann Übertragungsversuche mit steigenden IP-Paketgrößen (Fragmentierungsflag: »Nicht fragmentieren«). Dies geschieht solange, bis er eine ICMP-Fehlermeldung (»Paket zu groß«) zurückerhält. IP-Fragmentierung wird also im Internet immer seltener, sodass Sie kaum Einschränkungen zu befürchten haben, wenn Sie generell fragmentierte IP-Pakete abweisen. Beachten Sie dabei, wie Sie die Einrichtungsschritte für Ihre Firewall durchführen müssen.
IP-Broadcast Die meisten IP-Pakete im Netzwerk werden an einen bestimmten Zielknoten geschickt. Dies wird auch mit Unicast bezeichnet. Gehen IP-Pakete an alle erreichbaren Knoten, spricht man von Broadcast. Mit der Broadcast-Adresse 192.168.100.255 erreichen Sie alle Hosts im angenommenen Netzwerk 192.168.100 (Netzmaske 255.255.255.0). Soll eine Nachricht an die über Router verbundenen Netzwerke 192.168.100, 192.168.101 und 192.168.102 gehen, ist die BroadcastAdresse 192.168.255.255. Über IP-Multicast lassen sich bestimmte Hosts adressieren. Dazu wer- IP-Multicast den Adressen aus dem IP-Bereich 224.0.0.0 bis 239.255.255.255 gewählt und zur Bildung von so genannten Multicast-Gruppen benutzt. Eine einzelne IP-Adresse aus diesem Bereich steht dann für eine MulticastGruppe (beispielsweise 224.1.1.22). Über IP-Multicast-Pakete werden nur IP-Protokolle übertragen, die nicht sitzungsorientiert (wie etwa TCP; siehe nächster Abschnitt) arbeiten. Das sind beispielsweise UDP oder Routingprotokolle wie IGMP und OSPF. Über UDP (siehe Abschnitt 5.2.5 User Datagram Protocol (UDP) ab Seite 216) lassen sich Datenströme übertragen, bei denen es auf einen absolut fehlerfreien Transport nicht ankommt. Bei der Verwendung von IP-Multicast anstelle von Unicast lässt sich die verfügbare Bandbreite für eine höhere Anzahl von Nutzern wesentlich effektiver ausnutzen. Statt Einzelverbindungen mit dem entsprechenden Overhead aufzusetzen, können die den entsprechenden Multicast-Gruppen zugewiesenen Hosts den Datenstrom direkt empfangen. Dabei ist die
210____________________________________________________ 5 Netzwerkgrundlagen Vorgehensweise mit dem des Abbonierens eines bestimmten Fernsehkabelkanals vergleichbar. Eine Kabelgesellschaft speist eine Reihe von Kanälen in das Kabel ein, die jeweils nur von verschiedenen Gruppen von Kunden empfangen werden können. Damit eignet sich IP-Multicast insbesondere für die Implementierung von Audiound Video-Streaming (beispielsweise für Konferenzsysteme). Das ist momentan auch die häufigste Anwendung im Internet.
IP-Adressversionen Die heute gebräuchliche und jedem bekannte Form einer IP-Adresse besteht aus vier dezimalen Zahlen, die jeweils durch einen Punkt voneinander getrennt sind. Hier kann sich in Zukunft einiges ändern, sodass sich eine nähere Betrachtung der IP-Adressversionen lohnt. • Internet Protocol Version 4 Heutiger Standard
Im derzeitigen Standard IPv4 (Internet Protocol Version 4) besteht die IP-Adresse aus 4 Oktetts. Jedes Oktett entspricht einem Byte (0–255). Zur besseren Lesbarkeit werden sie dezimal ausgeschrieben und durch Punkte getrennt (beispielsweise 195.145.212.138). Theoretisch lassen sich damit 2564 = 232 = 4 294 967 296 verschiedene Adressen darstellen. In der Realität verbleiben aber weniger direkt im Internet nutzbare Adressen übrig, da ein Teil davon für die nichtöffentliche Verwendung reserviert ist (siehe auch Abschnitt Spezielle IP-Adressen ab Seite 213). Letztlich bleibt festzustellen, dass der einmal mit IPv4 definierte Adressraum langsam knapp wird und auf absehbare Zeit nicht mehr ausreicht. • Internet Protocol Version 6
Zukunft
Mit IPv6 wird die Größe einer IP-Adresse von 4 auf 16 Oktetts erweitert. Der derzeitigen Adressenverknappung mit IPv4 kann damit massiv entgegengetreten werden. Es können jetzt 2128 statt 232 Adressen gebildet werden. Dies entspricht einer Menge von etwa 3,4 x 1038 Computern oder anderen Systemen, die mit einer eindeutigen IP-Adresse versorgt werden könnten, was auch für die weitere Zukunft ausreichend dimensioniert ist.
Erweiterte Möglichkeiten
Neben einer grundsätzlich höheren Anzahl an verfügbaren Adressen bringt IPv6 auch weitere Möglichkeiten mit. So lassen sich beispielsweise unterschiedliche Datentypen spezifizieren (wie etwa Video- oder Ton-Übertragungen), die gegenüber weniger zeitkritischen Datentypen (zum Beispiel E-Mails) bevorzugt bearbeitet werden. Damit können Echtzeitanwendungen besser mit der nötigen Bandbreite ausgeführt werden.
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 211 Diese neue IP-Version steht kurz vor der Praxiseinführung. Erste Geräte unterstützen es bereits, der Großteil des Internets läuft aber noch unter der alten Version 4. Alle folgenden Ausführungen im vorliegenden Buch sind der derzeitigen Praxis angepasst und beschränken sich auf die aktuelle IP-Version 4. Microsoft bietet Zusatzprogramme zu IPv6, die auch mit XP eingesetzt Ipv6 Praxis werden können, auf der folgenden Website an: research.microsoft.com/msripv6/ www.microsoft.com/windows2000/technologies/communications/ipv6 msdn.microsoft.com/downloads/sdks/platform/tpipv6/start.asp
Des Weiteren werden auf der Website zum Buch professionelle Website zum Buch Reports über die praktische Nutzung von IPv6 angeboten: www.winxp.comzept.de
Subnetze und Netzwerkklassen Jede IP-Adresse wird in einen Netzwerk- und einen Hostbereich aufge- Aufteilung in Netz teilt. Dafür wird eine so genannte Subnetzmaske eingerichtet, die an- und Host gibt, wie viele Bits einer Adresse zum Netz und wie viele zum Rechner gehören. Hier ein Beispiel in dezimaler und binärer Notation für die IP-Adresse 192.168.100.38 mit der Subnetzmaske 255.255.255.0: Tabelle 5.6: Netzwerk- und Dezimal Binär Dez. Binär Hostadresse in dezimaler und 0 00000000 binärer Form Subnetzmaske 255.255.255 11111111.11111111.11111111
Netzwerkbereich
IP-Adresse
192.168.100 11000000.10101000.01100100
Hostbereich
38
00100110
Mit der Subnetzmaske 255.255.255.0 können in einem Netzwerk bis zu 254 Rechnern adressiert werden. Das ist für kleinere Netzumgebungen ausreichend. Die Null ist als reguläre Host-Adresse nicht zulässig (kennzeichnet das Netzwerk), ebenso die 255. Die 255 wird als Broadcast-Adresse benutzt, wenn alle Hosts angesprochen werden sollen (siehe auch Seite 209). Die Subnetzmaske besteht generell aus einem durchgängigen Bereich Subnetzmaske von binären Einsen. Es hat sich eingebürgert, die Einsen zu zählen und in der Kurzform /n hinter der Netzwerkadresse aufzuschreiben. Eine Angabe von 192.168.100.0/24 bedeutet also Netzadressen im Bereich von 192.168.100.x mit einer Subnetzmaske von 255.255.255.0 (24 Einsen). Über die Aufsplittung der IP-Adresse in den Netzwerk- und den Hostbereich kann der Host einfach feststellen, ob diese im eigenen
212____________________________________________________ 5 Netzwerkgrundlagen (Sub-)Netz oder in einem anderen liegt. In unserem Beispiel würde dann die Adresse 192.168.101.56 einen Host im (anderen) Subnetz 192.168.101 adressieren, während 192.168.100.78 im gleichen Netz zu finden ist. Netzwerkklassen
Eine IP-Adresse enthält im Netzwerkbereich eine Netzwerkkennung, welche die verwendete Netzwerkklasse angibt. Es werden fünf verschiedene Netzwerkklassen (A bis E) unterschieden, wobei jeder Klasse eine bestimmte Standard-Subnetzmaske zugeordnet ist.
Klasse A
Ein Klasse-A-Netz hat standardmäßig die Subnetzmaske 255.0.0.0. Das erste Bit der Adresse ist auf 0 gesetzt.
Klasse B
Ein Klasse-B-Netz hat die Subnetzmaske 255.255.0.0. Die ersten beiden Bits der Adresse sind auf 10 gesetzt.
Klasse C
Ein Klasse-C-Netz hat die Subnetzmaske 255.255.255.0. Die ersten drei Bits der Adresse sind hier auf 110 gesetzt.
Klasse D und E
Daneben gibt es noch Klasse-D- (beginnt mit 1110) und Klasse-E-Netze (beginnend mit 1111). Klasse-D-Adressen dienen zur Bildung von Multicast-Gruppen (siehe Seite 209), Klasse-E-Netze sind für Spezialfälle reserviert.
Routing in IP-Netzwerken Keine IP-RoutingFunktionalität unter XP Professional
Das Routing von Datenpaketen zwischen unterschiedlichen IPNetzwerken übernehmen in der Regel IP-Router. Diese können als dedizierte Hardware-Router oder als Software-Router ausgeführt sein. Ein Windows XP Professional System können Sie nicht wie ein Windows 2000 Serversystem als IP-Router einsetzen. Allerdings verfügt das System über eine einfach zu handhabende Bridging-
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 213 Funktionalität. Mehr dazu finden Sie in Abschnitt 5.5 Verbinden von Netzwerken ab Seite 240.
Spezielle IP-Adressen Es gibt eine Reihe von IP-Adressen, die nicht im öffentlichen Internet oder generell nicht im Netzwerk selbst zum Einsatz kommen und für spezielle Einsatzzwecke reserviert sind. Eine Broadcast-Adresse teilt dem Rechner mit, wie er alle Rechner in Broadcastseinem Netz auf einmal erreichen kann (sog. Broadcast). Dabei werden Adressen einfach alle Bits im Rechnerbereich der Adresse auf 1 gesetzt (allgemeingültige Definition für ALL-ONE-Broadcasts). Die StandardBroadcast-Adresse für einen Rechner aus dem Netz 192.168.100.0/24 wäre demnach 192.168.100.255. Sie können deshalb Adressen, die auf 255 enden, nicht als reguläre Netzwerkadresse angeben. Mit einer Adresse, die im ersten Oktett eine 127 enthält, adressiert sich Loopback jeder Rechner selbst (Loopback), was zu Tests der Netzwerksoftware benutzt werden kann. Eine solche Adresse ist daher niemals auf dem Kabel zu sehen. Adressen aus den Klasse-D- und -E-Netzen sind für bestimmte Zwe- Reservierte cke reserviert. Die Adressen 224.x.x.x bis 255.x.x.x dürfen deshalb Adressen nicht für die normale Adressierung von Hosts benutzt werden. Genauere Informationen dazu stehen im RFC 2236.
Private Netzwerkadressen In jeder IP-Netzklasse (siehe vorhergehender Abschnitt) gibt es Adressbereiche, die nicht im Internet selbst zulässig sind und somit für die Implementierung lokaler Netzwerke genutzt werden können. Klasse
Anz. Subnetze
Nutzbare Adressbereiche
A
1
10.0.0.0 bis 10.0.0.255
B
16
172.16.0.0 bis 172.31.255.255
C
256
192.168.0.0 bis 192.168.255.255
Tabelle 5.7: Private Netzwerkadressen je Netzklasse
Für die Anbindung lokaler Netzwerke an das Internet, in denen diese NAT privaten IP-Adressen verwendet werden, kommt NAT (Network Address Translation) zum Einsatz. Dabei werden die Anfragen der Clients, die über eine private IP verfügen, in die jeweilige öffentliche IP-Adresse des Internet-Routers übersetzt. Dieses Verfahren wird in anderen Systemwelten auch Masquerading genannt. NAT kommt beispielsweise in Internet-Routern zum Einsatz, die lokale Netzwerke mit dem Internet verbinden. Wie Sie einen Windows
214____________________________________________________ 5 Netzwerkgrundlagen 2000 Server als Internetverbindungsserver konfigurieren können, wird in unserem Buch Windows 2000 im Netzwerkeinsatz beschrieben.
IP-Adressvergabe im Internet Jede öffentliche IP-Adresse ist weltweit eindeutig und wird von der IANA an die drei Organisationen APNIC, ARIN und RIPE vergeben, die diese dann wiederum an Endkunden (Firmen oder Internetprovider) verteilen. Weitere Informationen gibt es bei den entsprechenden Organisationen unter folgenden Adressen: • IANA (Internet Assigned Numbers Authority): www.iana.net
• APNIC (Asia-Pacific Network Information Center): www.apnic.net
• ARIN (American Registry for Internet Numbers): www.arin.net
• RIPE NCC (Réseaux IP Europeens): www.ripe.net
Generell bleibt festzuhalten, dass jegliche Verwendung von IPAdressen bei direkt am Internet angeschlossenen Computern oder anderen Netzwerkgeräten sich nach diesen Bestimmungen zu richten hat. IP-Adressvergabe im LAN ab Seite 231
Für den Aufbau lokaler Netzwerke empfiehlt sich im Regelfall die Einrichtung von IP-Adressen aus dem nichtöffentlichen (privaten) Adressbereich (siehe vorhergehender Abschnitt). Zur automatisierten IP-Adressvergabe im lokalen Netzwerk finden Sie weitergehende Informationen in Abschnitt 5.3 IP-Adressvergabe im lokalen Netzwerk ab Seite 231.
5.2.4 Verbindungsorientiert mit Fehlerkorrektur
Transmission Control Protocol (TCP)
Dieses Protokoll ist das meistbenutzte der Schicht 3 (Transport) der Internet-Protokollfamilie. Es arbeitet verbindungsorientiert und ist in der Lage, eine Fehlerkorrektur durchzuführen. Eine Verbindung wird dabei über Ports zwischen Sender und Empfänger hergestellt (siehe auch Abschnitt 5.2.8 Port- und Protokollnummern ab Seite 228). Damit ist auch ein gleichzeitiges Senden und Empfangen, eine so genannte vollduplexe Verbindung, möglich.
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 215 Feld
Länge in Bits
Beschreibung
SOURCE PORT
16
TCP-Quellport
DEST PORT
16
TCP-Zielport
SEQUENZ NR.
32
Sequenznummer
ACKN. NR.
32
Bestätigungsnummer
DATA OFFSET
4
Anzahl der 32-Bit Wörter im TCP-Vorspann
RESERVED
6
Reserviert
FLAGS
6
6 Flags:
Tabelle 5.8: Aufbau eines TCPPakets
URG – Dringende Übertragung ACK – Bestätigung (ACKN. NR. ist gültig) PSH – Push, Daten werden sofort an die höhere Schicht weitergegeben RST – Reset, Verbindung wird zurückgesetzt SYN – Sync-Flag; dient zusammen mit ACK zum Aufbau der TCP-Verbindung FIN – Finale-Flag; beendet die Verbindung WINDOW
16
Dient der Flusssteuerung
CHECKSUM
16
Prüfsumme
URGENT PTR
16
Ist gültig, wenn das URG-Flag gesetzt ist und zeigt auf die Folgenummer des letzten Bytes des Datenstroms.
OPTIONS
max. 40
Optionaler Teil
PADDING
Füllzeichen, um auf volle 32-Bit zu kommen
DATA
Daten
Für den Aufbau einer TCP-Verbindung spielen das ACK- und das Aufbau einer TCPSYN-Flag eine entscheidende Rolle. So ist beim ersten TCP-Paket das Verbindung ACK-Flag stets auf 0 gesetzt. Mit einem Handshake über drei Datenpakete wird die Verbindung aufgebaut.
216____________________________________________________ 5 Netzwerkgrundlagen Abbildung 5.4: Aufbau einer TCPVerbindung
Beenden der TCPVerbindung
Zum Beenden der Verbindung werden das RST- oder das FIN-Flag benutzt. Ein gesetztes RST zeigt einen Verbindungsfehler an, während über FIN (wird sowohl von Empfänger als auch vom Sender im jeweils letzten Paket gesetzt) ein normaler Verbindungsabbau durchgeführt wird.
Kontrolle der Paketreihenfolge
Über die Sequenz- und Bestätigungsnummern wird dafür gesorgt, dass alle Datenpakete in der richtigen Reihenfolge beim Empfänger zusammengesetzt und doppelt versandte Pakete ignoriert werden können. Beide Hosts generieren unabhängig voneinander eine eigenständige Sequenznummer, die sie sich beim Aufbau der Verbindung übermitteln (wenn SYN gesetzt ist, siehe Abbildung 5.4). Danach werden die Sequenznummern jeweils erhöht (um die Anzahl der Datenbytes im Paket). Damit wird sichergestellt, dass die Pakete beim Empfänger in der richtigen Reihenfolge wieder zusammengesetzt werden können.
Prüfsumme
Für die Sicherstellung eines ordnungsgemäßen Datentransfers ist allein die Kontrolle der richtigen Reihenfolge der Pakete nicht ausreichend. Über die Prüfsumme kann daher ermittelt werden, ob das Datenpaket selbst korrekt übertragen worden ist. Die Prüfsumme wird aus der Summe der 16-Bit-Wörter des TCP-Pakets berechnet, wobei bestimmte IP-Headerinformationen mit einbezogen werden.
5.2.5
User Datagram Protocol (UDP)
User Datagram Protocol
Das Protokoll UDP arbeitet, anders als TCP, nicht verbindungsorientiert (»verbindungslos«) und besitzt keine Kontrollmöglichkeit, um die Reihenfolge von UDP-Paketen beziehungsweise die Vollständigkeit eines UDP-Datenstroms zu sichern. Allerdings ist eine einfache Fehlerprüfung der einzelnen Pakete über eine Prüfsumme möglich.
Verbindungsloses Protokoll
Damit eignet sich UDP hervorragend für Anwendungen, die eine direkte Verbindung zwischen Sender und Empfänger nicht benötigen. Der Overhead, der beim Auf- und Abbau der Verbindung wie bei TCP entsteht, entfällt und eine hohe Performance wird erreichbar. Die wird
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 217 beispielsweise bei Streaming-Video-Anwendungen benötigt. Die Priorität ist dabei so gesetzt, dass es vor allem darauf ankommt, dass der Empfänger überhaupt ein fortlaufendes Bild erhält. Gehen vereinzelt Daten verloren, wird es vielleicht Bildstörungen geben. Der Informationsinhalt wird trotzdem übertragen. Ein anderes Beispiel stellen Nameserver-Abfragen dar. Diese werden DNS-Abfragen über ebenfalls über UDP abgewickelt. Bei der Vielzahl der üblicherweise UDP notwendigen Abfragen über kleine Datenpakete wird damit eine optimale Performance erreicht. Kommt von einem Nameserver keine Anwort, wird einfach der nächste Server kontaktiert. Theoretisch können DNS-Serverdienste auch über TCP abgewickelt werden. Allerdings hängt dies von der jeweiligen Implementierung ab. Der Windows 2000 DNS-Server unterstützt dies nicht. Feld
Länge in Bits
SOURCE PORT
16
UDP-Quellport
DEST PORT
16
UDP-Zielport
LENGTH
16
Länge des UDP-Pakets in Bytes (Header plus Daten)
CHECKSUM
16
Prüfsummenfeld
DATA
Beschreibung
Tabelle 5.9: Aufbau eines UDPPakets
Daten
UDP hat wie beschrieben keine Möglichkeiten zur Flusskontrolle. Prüfsumme Allerdings kann über die UDP-Prüfsumme ermittelt werden, ob das Datenpaket selbst korrekt übertragen worden ist. Die Prüfsumme wird aus den Werten des UDP-Pakets unter Einbeziehung bestimmter IPHeaderinformationen berechnet. Unter anderem wird bei folgenden Anwendungen das Protokoll UDP UDPAnwendungen verwendet: • DNS (Domain Name System; siehe auch Abschnitt 5.4 IP-Namensauflösung ab Seite 235) • NFS (Network File System; nur unter Unix bedeutsam) • RIP (Routing Information Protocol; dazu finden Sie Informationen in unserem Buch Windows 2000 im Netzwerkeinsatz) • SNMP (Simple Network Management Protocol) • TFTP (Trivial File Transfer Protocol; siehe auch Abschnitt 5.2.7 File Transfer Protocol (FTP ab Seite 222) Zu beachten ist, dass UDP kein sicheres Protokoll ist. Aufgrund der Unsicheres nicht vorhandenen Flusskontrolle können in einem Datenstrom leicht Protokoll UDP-Pakete gefälscht oder gefälschte UDP-Pakete eingeschmuggelt
218____________________________________________________ 5 Netzwerkgrundlagen werden. Auch lassen sich wirksame Denial of Service-Attacken gegen Hosts fahren, indem diese mit UDP-Paketen überflutet werden.
5.2.6
Simple Mail Transfer Protocol (SMTP)
Windows XP Professional bringt bereits von Hause aus eine einfache Unterstützung für das Versenden von E-Mails mit: den SMTP-Server. Aus diesem Grund lohnt es sich, einen Blick auf das dabei hauptsächlich genutzte höhere Protokoll zu werfen: das Simple Mail Transfer Protocol. Dieses dient dem Austausch von Mailnachrichten zwischen Clients, die SMTP verwenden, und einem Server, der SMTP zum Empfang und zur Weiterleitung einsetzt. Die Administration des standardmäßig verfügbaren Windows XP SMTP-Servers wird in Abschnitt 13.3 Der SMTP-Server ab Seite 823 näher erläutert.
Unterstützte Standards und ESMTP RFC 821 und 2821
Der in Windows XP implementierte SMTP-Dienst basiert auf RFC 821 und unterstützt darüber hinaus bestimmte Erweiterungen, die unter dem Begriff Extended SMTP (ESMTP) bekannt sind. Heute aktuell ist RFC 2821 (April 2001), wobei der Windows XP SMTP-Dienst dieser weitgehend entspricht.
Abwärtskompatibilität sichergestellt
ESMTP umfasst eine einheitliche Beschreibung für Erweiterungen von Mailservern. Dabei kann jeder Hersteller eigene Erweiterungen in seine SMTP-Serverimplementierung einbringen. Ein ESMTP-Server und ein ESMTP-Client können einander erkennen und sich über die verfügbaren erweiterten Funktionen austauschen. Beide, Server wie auch Client, müssen allerdings Abwärtskompatibilität sicherstellen und die grundlegenden SMTP-Befehle (gemäß RFC 821 bzw. neuerdings 2821) beherrschen.
SMTP-Client und -Server Bei der Beschreibung der SMTP-Funktionen werden im weiteren Text die Begriffe Client und Server benutzt. Genau genommen handelt es sich eigentlich um SMTP-Sender und SMTP-Empfänger, da auch ein SMTP-Server, den Sie unter Windows XP installieren und betreiben, Mails an einen anderen SMTP-Server senden (weiterleiten) kann. Damit ist dieser dann wiederum der »Client« bzw. Sender und der andere Server der »Server« bzw. Empfänger. UA und MTA
Der Benutzer bzw. die Mailanwendung kommuniziert direkt nur mit dem User Agent (UA) genannten Teil des SMTP-Dienstes. Dieser sorgt für die Übernahme der Maildaten und die Weitergabe an den eigentli-
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 219 chen Sendeprozess. Die SMTP-Sender- und Empfängerprozesse werden auch als Message Transfer Agents (MTA) bezeichnet.
SMTP-Befehle In der folgenden Tabelle finden Sie den minimalen SMTP-Befehlssatz, der durch jeden SMTP-Client und -Server unterstützt wird. Befehl HELO <sender>
Tabelle 5.10: Minimaler SMTPEröffnet die Verbindung von einem SMTP-Client Befehlssatz (dem Sender) zum SMTP-Server.
Beschreibung
EHLO <sender>
Eröffnet wie HELO die Verbindung von einem ESMTP-Client (dem Sender) zum ESMTP-Server. Dieses Kommando ist deshalb mit in dieser Tabelle aufgenommen worden, da es heute die Standard-Eröffnungsprozedur zwischen Client und Server darstellt.
MAIL FROM: <maddr>
Beginn einer Mail. Geben Sie hier die Absender-EMail-Adresse an.
RCPT TO: <maddr>
Empfänger der Mail. Sie können auch mehrere Empfänger festlegen, indem Sie den Befehl wiederholen.
DATA
Initiiert die Eingabe des Nachrichtentextes; Alles, was Sie jetzt zeilenweise eingeben, wird als Mailtext aufgenommen. Schließen Sie die Eingabe mit einem Punkt ».« ab, der allein am Beginn einer Zeile stehen muss (genau genommen zwischen zwei CTRLF).
QUIT
Beendet die Verbindung zum SMTP-Server.
RSET
Reset. Beendet die Verbindung und die laufende Mailtransaktion.
SMTP-Rückmeldungen Der SMTP-Server meldet den Erfolg oder Fehlschlag von Operationen mit dreistelligen Codes. Dabei hat jede Stelle eine bestimmte Bedeutung. Die Bedeutung der ersten Ziffer finden Sie in der folgenden Tabelle:
Beschreibung Positive vorbereitende Antwort Diese Codes können nur durch ESMTP-Server zurückgegeben werden und zeigen an, dass das zuvor gesendete Kommando zwar akzeptiert worden ist, allerdings weitere Anweisungen benötigt werden, um die Aktion abzuschließen.
2xx
Positive komplette Antwort Die geforderte Aktion konnte erfolgreich abgeschlossen werden und es kann ein neues Kommando durch den Client ausgelöst werden.
3xx
Positive Zwischenantwort Das Kommando wurde akzeptiert. Der Server wartet auf weitere Daten, wie beispielsweise beim DATA-Befehl. Hier werden so lange Eingabedaten (Textzeilen) angenommen, bis sie durch das Zeichen ».« abgeschlossen werden (siehe Tabelle 5.10).
4xx
Vorläufige negative Antwort Das Kommando ist nicht akzeptiert und damit die angeforderte Aktion nicht durchgeführt worden. Der Fehlerstatus ist allerdings nur temporär. Dies bedeutet, dass zwar die Aktion zunächst fehlgeschlagen ist, aber eine Wiederholung des Kommandos durchaus noch zum Erfolg führen kann.
5xx
Permanente negative Antwort Das Kommando wurde auch hier nicht akzeptiert, allerdings ist der Fehlerstatus permanent. Eine Wiederholung des Kommandos mit den gleichen Einstellungen führt garantiert wieder zu diesem Fehlercode.
Die folgende Tabelle enthält die Bedeutung der zweiten Ziffer des dreistelligen SMTP-Codes: Tabelle 5.12: SMTP-ServerAntwortcodes: 2. Ziffer
Code x0x
Beschreibung Syntaxfehler Kennzeichnet Fehlermeldungen, die aufgrund von Syntaxfehlern (falsches oder nicht unterstütztes Kommando etc.) verursacht worden sind.
x1x
Informationen Kennzeichnet Antworten, die Informationen zurückgeben (beispielsweise Statusmeldungen).
x2x
Verbindung Kennzeichnet Meldungen, die im Zusammenhang mit dem Verbindungs- bzw. Übertragungsstatus stehen.
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 221 Code x5x
Beschreibung Mailsystem Codes in Bezug zu Meldungen des Mailsystems
Die dritte Ziffer ermöglicht eine etwas feinere Abstimmung für Meldungen, die durch die zweite Ziffer bestimmt werden. Auf diese wird in diesem Rahmen nicht näher eingegangen. Abschließend zu diesem Thema finden Sie in der folgenden Tabelle typische SMTPCodes mit ihren Bedeutungen. Code
Tabelle 5.13: SMTP-Codes mit ihren Bedeutungen
Beschreibung
211
Systemstatus oder System-Hilfemeldungen
214
Hilfemeldungen Damit werden Meldungen gekennzeichnet, die direkte Hilfestellung zum System bzw. zu einzelnen, nicht standardisierten Befehlen geben. Diese Meldungen sind gedacht für den Administrator, der damit gezielte Abfragen generieren oder die Anpassung eines SMTP-Clients vornehmen kann.
220
<domainname> Service bereit
221
<domainname> Service schließt den Verbindungskanal
<domainname> Service nicht verfügbar; Verbindungskanal wird geschlossen
450
Angeforderte Mailaktion nicht durchgeführt, da Mailbox nicht verfügbar (beispielsweise im Falle einer Überlastung)
451
Angeforderte Aktion abgebrochen, da ein lokaler Fehler in der Abarbeitung aufgetreten ist
452
Angeforderte Aktion Systemspeicher
500
Syntaxfehler bzw. Kommando nicht erkannt (kann auch eine zu lange Kommandozeile auslösen)
501
Syntaxfehler in übergebenen Parametern/Optionen
502
Kommando nicht implementiert
503
Falsche Reihenfolge von Kommandos
504
Kommando-Parameter nicht implementiert
550
Angeforderte Mailaktion nicht durchgeführt, da Mailbox nicht verfügbar (beispielsweise Mailbox nicht existent oder Sicherheitsrichtlinien lassen keinen Zugriff zu)
Angeforderte Aktion nicht durchgeführt, Systemspeicher mehr verfügbar ist
553
Angeforderte Aktion nicht durchgeführt, da der Name der Mailbox ungültig ist (beispielsweise Syntaxfehler im Name)
554
Übertragung fehlgeschlagen
5.2.7 RFC 959 RFC 1350 RFC 913
Beschreibung da
kein
File Transfer Protocol (FTP)
Nach HTTP ist FTP eines der wichtigsten Internet-Protokolle. Mit FTP haben Sie Zugriff auf Teile des Dateisystems eines Servers. FTP wurde in der RFC 959 definiert und stammt von den Vorläufern TFTP (Trivial File Transfer Protocol, RFC 1350) und SFTP (Simple File Transfer Protocol, RFC 913) ab. TFTP ist kaum noch gebräuchlich, da es sich auf UDP stützt und nicht sicher ist (siehe auch Abschnitt 5.2.5 User Datagram Protocol (UDP) ab Seite 216). In der Praxis kommen sie noch bei bestimmten Bootstrap-Protokollen zum Einsatz, die zum Laden von Betriebssystemen über das Netzwerk (so genanntes Remote Boot) verwendet werden. Weiterführende Informationen, wie Sie einen FTP-Server unter Windows XP einrichten und administrieren, finden Sie in Abschnitt 13.2.5 FTP-Dienste anbieten ab Seite 791. FTP kennt eine Vielzahl von Kommandos. Einige grafische FTPClients zeigen diese an, wenn die Kommunikation abläuft. Es ist auch durchaus gebräuchlich, FTP-Kommandos direkt an der Konsole einzugeben. Auch FTP ist verbindungslos und jedes Kommando umfasst nur eine Zeile. Tabelle 5.14 zeigt einen Überblick über alle einsetzbaren Kommandos.
Tabelle 5.14: FTP-Kommandos
Kommando
Parameter
ABOR
Beschreibung Transfer abbrechen
ACCT
Zugangskennung
ALLO
Platz auf dem Server beantragen
APPE
Datei an vorhandene anhängen
CDUP
Eine Verzeichnisebene höher
CWD
Verzeichnis wechseln
DELE
Datei löschen
HELP
Hilfe anfordern
LIST
Liste im Verzeichnis anzeigen
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 223 Kommando
Parameter
MKD
Verzeichnis erstellen
MODE
<modus>
Datentransfer-Modus festlegen
NLST
Einfache Dateiliste
NOOP PASS
Verbindung prüfen
PASV PORT
Beschreibung
Kennwort des Nutzers Passiver Datentransfer-Modus
<port>
Adresse und Port festlegen
PWD
aktuelles Verzeichnis abfragen
QUIT
Verbindung beenden
REIN
Verbindung neu initialisieren
REST
Abgebrochenen Transfer neu starten
RETR
Datei von FTP-Server holen
RMD
Verzeichnis löschen
RNFR
Datei umbenennen (siehe RNTO)
RNTO
Neuer Name der Datei
STAT
Verbindungsstatus abfragen
STOR
Datei ablegen
STOU STRU
Datei mit eindeutigem Namen ablegen <struktur>
SYST
Dateistruktur festlegen (Datei, Datensatz oder Seite) Betriebssystem des FTP-Servers
TYPE
Transfer-Typ (ACSII, EBCDIC,...)
USER
Nutzername zur Authentifizierung
Authentifizierung Die Authentifizierung ist auf mehreren Wegen möglich. Sicher kennen Sie selbst FTP-Server, die Name und Kennwort verlangen, während andere den anonymen Zugriff erlauben. Für die Anmeldung an einem geschützten Server sind die Kommandos USER, PASS und optional ACCT zuständig. Die Übertragung der Kennwörter erfolgt generell unverschlüsselt.
224____________________________________________________ 5 Netzwerkgrundlagen Die unverschlüsselte Übertragung von Kennwörtern bei FTP stellt ein erhebliches Sicherheitsrisiko dar. FTP-Server sollten deshalb nur für nicht besonders schützenswerte Informationen, beispielsweise öffentlich zugängliche Datenbestände, eingesetzt werden. Anonymous-FTP
Für öffentlich zugängliche Daten wird meist ein anonymer FTPZugang eingerichtet, der ohne weitere Authentifizierung genutzt werden kann. Dabei ist nur eine bestimmte Konvention für Name und Kennwort einzuhalten, die heute auf fast allen FTP-Serversystemen auf die gleiche Art und Weise implementiert ist. Mit dem folgenden Befehl wird der Wunsch nach einer anonymen Verbindung mitgeteilt: USER anonymous
Das Wort »anonymous« muss exakt in dieser Schreibweise, mit Kleinbuchstaben, geschrieben werden. Beachten Sie auch, dass alle Kommandos mit Großbuchstaben geschrieben werden müssen. Viele FTP-Clients setzen dies allerdings intern um, sodass der Eindruck entsteht, man könne auch mit Kleinbuchstaben arbeiten. Wenn Sie selbst mit einen FTP-Client entwerfen, beispielsweise mit ASP, müssen Sie diese Regeln aber kennen. Auch die anonyme Anmeldung verlangt ein Kennwort. Mit folgendem Befehle senden Sie als Kennwort die eigene E-Mail-Adresse: PASS [email protected]
Ob die Adresse korrekt ist oder nicht spielt keine Rolle. Es ergeben sich keine Konsequenzen daraus. Der Server schaltet nun die für anonyme Besucher zulässigen Ressourcen frei. Normalerweise werden nur bestimmte Verzeichnisse zum Download freigegeben und grundsätzlich keine Schreibrechte erteilt. Hasardeure mögen dies anders handhaben.
Datenverbindung FTP benutzt einen Kanal für die Authentifizierung und Steuerung. Dieser Kanal arbeitet normalerweise auf Port 21. Die Übertragung der Daten findet dann auf einem weiteren Datenkanal statt. Der Sinn ist in der Verbindung zweier FTP-Server zu suchen. Wenn Sie einen Datenabgleich zwischen zwei Servern herstellen, muss ein Server den anderen anrufen. Lauschen aber beide auf Port 21, können entweder nur Daten oder nur Kommandos ausgetauscht werden. Durch den zweiten Port bleibt auch während einer langen Datenübertragung der Austausch von Kommandos möglich. Transfer-Typen
Ein wichtiger Parameter ist die Übertragung des Transfer-Typs. Damit wird das Datenformat festgelegt, in dem die Übertragung der Daten erfolgt. Tabelle 5.15 zeigt die Typen im Detail.
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 225 Kürzel
Option
A
N|T|I
ASCII, Non-Print, TelNet, Carriage Control
E
N|T|I
EBCDIC, Non-Print, TelNet, Carriage Control
I L
Beschreibung
Tabelle 5.15: Datentransfer-Typen für FTP
binär, 8-Bit n
binär, n Bit
Zwischen dem Transfer-Typ und der Option muss ein Leerzeichen stehen. Für den normalen Einsatz genügt das Umschalten zwischen A und I. Wenn Sie alle Dateien mit I übertragen, gibt es am wenigsten Probleme. Die Option A überträgt bei den meisten Servern nur 7-Bit-ASCII, sodass Binärdateien völlig verstümmelt werden. Dazu gehören aber auch Textdateien aus einer Textverarbeitung wie Word, die für ihre Steuerzeichen den gesamten Zeichensatz verwenden. Standardmäßig steht der Transfer-Typ bei vielen FTP-Servern nach der Etablierung einer neuen Verbindung allerdings auf A.
Datenstruktur Die Datenstruktur ist ein weiteres Merkmal, das vor einer Übertragung eingestellt werden muss. Die Optionen sind: • F. Datei (File) • R. Datensatz (Record) • P. Seite (Page) R und P sind nur selten implementiert, beispielsweise bei FTP-fähigen Datenbanken. Die Einstellung erfolgt mit STRU F
Weiter verbreitet ist dagegen die Angabe des Transfer-Modus mit dem Transfer-Modus Kommando MODE. Auch hier sind drei Optionen möglich: • S. Stream-Mode für kontinuierliche Übertragung • B. Block-Mode für die Zerlegung in Blöcke mit eigenen Headern • C. Compress-Mode für die Komprimierung von Daten (RLE) Die Standardeinstellung lautet S und wird folgendermaßen eingestellt: MODE S
Normalerweise liegt die Kontrolle des Verbindungsaufbaus beim Ser- Passiver Modus ver. Wenn ein FTP-Client eine Verbindung aufbaut, werden nur die IP-Adresse und Port-Nummer übertragen. Der FTP-Server speichert diese Werte, beendet die anfordernde Verbindung und baut dann
226____________________________________________________ 5 Netzwerkgrundlagen seinerseits eine neue auf. Das funktioniert, solange der Weg zwischen Server und Client in beiden Richtungen frei ist. Oft sitzen die Clients jedoch hinter einem Gateway oder einer Firewall. Dann erreicht der Server den Client mit der übergegebenen Adresse nicht mehr. Um dieses Problem zu umgehen, gibt es den passiven Modus. Mit dem Kommando PASV teilt der Client mit, dass der Server passiv kommunizieren soll. Der Server sendet nun seinerseits IP-Adresse und Portnummer für die Kommunikation und der Client baut die Verbindung in der gewünschten Form auf.
Statuscodes Auch FTP verwendet einen Statuscode zur Beantwortung von Anfragen. Wie bei HTTP und SMTP genügt es oft, nur die erste Ziffer auszuwerten, um Fehlerzustände oder normal verlaufende Operationen zu erkennen. Tabelle 5.16: FTP-Statuscodes
positive Antwort mit der Bitte um weitere Informationen
4xx
Fehler; das Kommando kann zeitweilig nicht beantwortet werden, Wiederholung möglich
5xx
Fehler; Wiederholung zwecklos, Kommando falsch oder Server nicht verfügbar
Die mit 1xx beginnenden Statuscodes gibt es nur bei FTP. Sie sind besonders schwierig zu verarbeiten, denn die Absendung durch den Server kann zu jeder Zeit erfolgen, also auch während der Datenübertragung oder zwischen anderen Kommandos und Meldungen. Sie ersetzen jedoch nicht die normalen Antworten. Jedes Kommando wird garantiert mit mindestens einem 2xx – 5xxKommando beantwortet. Folgende Kommandos können von 1xxStatuscodes begleitet werden: • APPE, LIST, NLST, REIN, RETR, STOR, STOU Ablauf der Kommu- Der folgende Abschnitt zeigt den Ablauf einer typischen nikation Kommunikation zwischen Client und Server mit dem Protokoll FTP:
Listing 5.1: Typischer Ablauf einer FTP-Verbindung
250 guest login ok, access restrictions apply CWD ftp/download/ 250 CWD command succesfull PWD 257 "ftp/download/" is current directory TYPE I 200 TYPE set to I PASV 227 Entering Passive Mode (62,208,3,4,4,23) RETR servicepack5.exe 150 Opening Data Connection (sendet Daten) 226 Transfer complete QUIT 221 Goodbye
Das Beispiel zeigt eine Authentifizierung als anonymer Nutzer, einen Verzeichniswechsel und einen Download einer Datei. Zur Übertragung (im Binärformat) wird außerdem der passive Modus verwendet. Das PORT-Kommando und die Antwort auf PASV enthalten die zu IP-Adresse verwendende IP-Adresse und den Datenport. Wie in Listing 5.1 zu erkennen sehen war, erfolgt die Angabe als kommaseparierte Liste. Das Format der Liste hat folgenden Aufbau: IP1, IP2, IP3, IP4, PORT1, PORT2
Sie kennen den Aufbau einer IP-Adresse nach folgendem Schema: IP1.IP2.IP3.IP4:PORT1,PORT2
Jede Zahl umfasst ein Byte. Da Portnummern 16-Bit breit sind, müssen für die Angabe zwei Byte angegeben werden. Die Adresse 1 024 würde also als 4,0 geschrieben werden. Zur Umrechnung multiplizieren Sie einfach das höherwertige Byte mit 256. Im Internet herrscht ein zunehmender Mangel an IP-Adressen (siehe Umgang mit IPv6auch Abschnitt IP-Adressversionen ab Seite 210). Deshalb wurde bereits Adressen vor einigen Jahren ein neues Adresssystem entworfen. Offensichtlich ist aber ein Teil des Mangels politisch bedingt und so konnte sich IPv6 RFC 1639 nicht so schnell wie erhofft durchsetzen. Dennoch sind die Protokolle auf die Umstellung vorbereitet. Da FTP unmittelbar mit IP-Adressen umgeht, ist eine Erweiterung erforderlich. Neu sind die Kommandos LPTR (Long Port) und LPSV (Long Passive). In der RFC 1639 ist die Syntax beschrieben. FTP wird häufig eingesetzt, um große Datenmengen zu übertragen. Wiederaufnahme Dabei kann es leicht zu Leitungsstörungen kommen. Bei direkten der Übertragung Verbindungen zwischen FTP-Servern oder beim Einsatz von ISDN ist die Störanfälligkeit verhältnismäßig gering. Häufiger werden jedoch Nutzer per Modem auf Server zugreifen. Wenn eine 1 MByte große
228____________________________________________________ 5 Netzwerkgrundlagen Datei nach 980 000 Byte abreißt, ist dies ausgesprochen ärgerlich. Das Standardverfahren der Datenübertragung, Stream, ist also nur bedingt geeignet. Es ist allerdings auch die schnellste Form der Übertragung. Block-Verfahren
Damit stellen Sie das Block-Verfahren ein: MODE B
Dabei zerlegt der Server die Datei in Blöcke, versieht jeden Block mit einem eigenen Header und sendet sie einzeln an den Client. Reißt die Verbindung ab, kann der Client die schon empfangenen Blöcke speichern und die nach der erneuten Verbindungsaufnahme eintreffenden Blöcke richtig zuordnen. Allerdings unterstützen nicht alle FTP-Server die erweiterten Transfermodi B (Block) und C (Compressed). Die Anforderung der übrigen Blöcke erfolgt mit dem Kommando REST.
Probleme mit FTP Unklar: Angabe der FTP ist ein sehr altes Protokoll. Die Ausgaben der Kommandos LIST Dateigröße bei der und NLST sind nicht ausreichend standardisiert. Eine Angabe zur Übertragung Übertragung der Dateilänge gibt es nicht. Intelligente Clients
speichern die Angaben des LIST-Kommandos und geben den Wert dann bei einem nachfolgenden GET an. Ob die Datei tatsächlich im Augenblick der Übertragung diese Größe hat, wissen sie nicht. Dateien und Verzeichnisse können kaum unterschieden werden. Praktisch bleibt der Versuch, sichere Angaben über die Größe der nächsten zu ladenden Datei zu machen, ein Wagnis. Alternativen zu FTP gibt es derzeit nicht. Die Nachteile werden zwar von anderen Entwicklungen vermieden, ausreichende Verbreitung fand indes keines der möglicherweise zu diesem Zweck einsetzbaren Protokolle wie LDAP, NDS oder WebNFS.
5.2.8 RFC 1700
Port- und Protokollnummern
Für die eindeutige Identifizierung der Protokolle und Ports bei der Netzwerkkommunikation über IP, TCP und UDP gibt es die so genannten Port- und Protokollnummern. Vor der Explosion der Protokolle (es gibt inzwischen Hunderte solcher Kombinationen aus Protokollen und Ports), wurden diese in der RFC 1700 geführt. Da RFCs keine Versionsnummer besitzen und bei jeder Änderung durch eine neue ersetzt werden, würde dies zu einer Inflation von RFCs führen. Die für die Nummernvergabe zuständige Organisation IANA verwaltet deshalb die Nummern heute direkt auf ihrer Website: www.iana.org
5.2 Wichtige Internetprotokolle im Detail_____________________________________ 229 Ports Damit ein Rechner gleichzeitig mehrere Verbindungen (Multiplexing) Multiplexing bearbeiten kann, müssen diese unterschieden werden. Dazu bedient sich das TCP der Ports. Jeder Anwendung, die das TCP benutzen will, wird ein Port zugeordnet. Es gibt 65 535 verschiedene Ports, fortlaufend nummeriert. Dabei gelten folgende Grundsätze: • Ein Paar aus IP-Adresse und Port wird Socket genannt. • Eine Verbindung zwischen zwei Rechnern ist wiederum eindeutig durch zwei Sockets definiert. • Multiplexing. Ein Rechner kann mehrere TCP-Verbindungen gleichzeitig bearbeiten. Dafür werden verschiedene Ports definiert. Eine Portbezeichnung wird normalerweise hinter einem Doppelpunkt an die IP-Adresse oder den DNS-Namen gehängt, beispielsweise wie folgt: 192.168.0.101:80. Das Port-Konzept lässt sich in etwa mit einer Telefonnummer Ports vergleichen: Der Netzwerkteil einer Internet-Adresse entspricht der Vorwahl, der Host-Teil der eigentlichen Telefonnummer und der Port schließlich einer Nebenstellennummer. Dabei wird eine TCPVerbindung generell eindeutig durch die beteiligten Sockets definiert (Sender und Empfänger). Es kann keine zwei identischen Socket-Paare zur gleichen Zeit geben. Der Sender bestimmt eine Portnummer per Zufallsgenerator. Damit ist es beispielsweise möglich, dass von einem Rechner zwei Telnet-Verbindungen zu dem gleichen Zielrechner existieren. In einem solchen Fall unterscheiden sich dann jedoch die einzelnen Portnummern des Client-Rechners. Beim Verbindungsaufbau leitet die Anwendungsschicht das Datenpaket mit der Internet-Adresse des Servers und dem Port 21 an die Transportschicht weiter. Da TCP stromorientiert sendet, verläuft die Übertragung der Bytes in der gleichen Reihenfolge vom Client zum Server und vermittelt der Anwendungsschicht das Bild eines kontinuierlichen Datenstroms. Auf den meisten Systemen sind die Ports über 1 024 für jede Anwendung offen, während die Ports 1 – 1 024 nur Systemprozessen (oder Anwendungen, die über entsprechende Privilegien verfügen) zur Verfügung stehen. Die folgende Tabelle zeigt die wichtigsten Ports, die auch beim Einsatz von Windows 2000 Server zum Einsatz kommen können. Dienst
Socket ist ein im Zusammenhang mit TCP/IP häufig verwendeter Begriff, der die Kombination aus Internet-Adresse und Portnummer bezeichnet. Innerhalb der Transportschicht werden bestimme Ports zur Adressierung verwendet. Sowohl UDP als auch TCP verwenden Port-Adressen, um Daten an das betreffende Programm (Protokoll) der Anwendungsschicht zu senden, wobei beide teilweise unterschiedliche Dienste für die gleiche Portnummer vermitteln.
Protokollnummern Im Feld Header des IP-Datenpakets (siehe auch Tabelle 5.5 auf Seite 207) finden Sie die Nummer des nächsthöheren Protokolls, an
5.3 IP-Adressvergabe im lokalen Netzwerk __________________________________ 231 das die Daten weitergeleitet werden sollen. Diese Nummern sind für alle Protokolle der Internet-Protokollfamilie definiert und befinden sich unter Windows XP in der folgenden Datei: %Systemroot%\system32\drivers\etc\Protocol
Die folgende Abbildung zeigt als Beispiel eine Datei PROTOCOL: # # # # # # # # #
Copyright (c) 1993-1999 Microsoft Corp. Diese Datei enthält die Internetprotokolle gemäß RFC 1700 (Assigned Numbers). Bearbeiten Sie diese Datei mit einem ASCII-Editor.
Listing 5.2: Inhalt der Datei PROTOCOL
Format:
ip icmp ggp tcp egp pup udp hmp xns-idp rdp rvd
0 1 3 6 8 12 17 20 22 27 66
IP ICMP GGP TCP EGP PUP UDP HMP XNS-IDP RDP RVD
# # # # # # # # # # #
[Alias...]
[#]
Internet Protocol Internet Control Message Protocol Gateway-Gateway Protocol Transmission Control Protocol Exterior Gateway Protocol PARC Universal Packet Protocol User Datagram Protocol Host Monitoring Protocol Xerox NS IDP "Reliable Datagram" Protocol MIT Remote Virtual Disk
Diese Datei ist eine normale ASCII-Textdatei und kann mit dem Editor geöffnet werden.
5.3 IP-Adressvergabe im lokalen Netzwerk Bei der Verwendung der TCP/IP-Protokollfamilie im Netzwerk benö- Administrationstigt jedes angeschlossene Gerät eine eindeutige IP-Nummer. Bei klei- aufwand senken nen Netzwerken mit einer Handvoll PC können Sie diese Nummern noch manuell eintragen und verwalten. Kommen aber auch Netzwerkdrucker und andere, vielleicht mobile Netzwerkgeräte wie Notebooks hinzu, ist eine automatische IP-Adressvergabe vorzuziehen. Dazu gibt es heute eine Reihe von Verfahren, Netzwerkclients Verschiedene Verautomatisch mit IP-Nummern zu versorgen. Beim Hochfahren eines fahren Clients verfügt er noch über keine IP-Nummer. Er muss sich diese von einer bestimmten Instanz im Netzwerk abholen. Diese Instanz kontrolliert auch, aus welchem Adressbereich die IP-Nummer kommt und ob die einmal an einen Client vergebene Adresse für diesen eine bestimmte Zeit reserviert bleiben soll.
232____________________________________________________ 5 Netzwerkgrundlagen APIPA und DHCP
Windows XP unterstützt die automatische IP-Adressvergabe in zweierlei Hinsicht: • Als Client kann Windows XP automatisch über das Protokoll DHCP die IP-Adresse von einem DHCP-Server anfordern (siehe Abschnitt 5.3.2 IP-Adressvergabe mit DHCP ab Seite 234). • Steht kein DHCP-Server zur Verfügung, können sich Windows 2000- und XP-Professional-Systeme trotzdem auf eine einheitliche automatische Adressvergabe einigen. Die zugrunde liegende Technologie wird bei Microsoft APIPA genannt und ist Inhalt des nachfolgenden Abschnitts.
5.3.1 Entwickelt für kleine Netze
APIPA
Verbinden Sie mehrere Windows XP/2000 Systeme über ein Netzwerk miteinander, können Sie das Protokoll TCP/IP mit automatischer Adressvergabe benutzen, auch wenn Sie keinen DHCP-Server zur Verfügung haben. Jeder der Windows XP Computer benutzt dann einen eigenen Mechanismus, sich selbst IP-Adressen zuzuweisen: APIPA. Diese Abkürzung steht für Automatic Private IP Adressing und wurde von Microsoft für die einfache Nutzung von TCP/IP in kleinen Netzwerkumgebungen entwickelt.
Automatische Adressvergabe Historie
Die von Microsoft als APIPA bezeichnete Technologie basiert auf mehreren Entwürfen für die Verwendung von bestimmten Adressbereichen für die automatische Konfiguration von Netzwerken. Auch wenn einige Quellen auf RFCs Bezug nehmen, die meist DHCP beschreiben, gibt es keine endgültige RFC, die APIPA definiert. Bekannter wurde APIPA erst durch den Einsatz in Windows 2000. Dennoch ist es auch im DHCP-Client von Windows 98 und MacOs ab Version 8.5 enthalten. Ebenso sind einige Lösungen für Linux verfügbar.
Adressbereich Linklocal
Der verwendete Adressbereich 169.254/16 ist von der IANA als »LinkLocal«-Bereich reserviert. Router sollen Pakete mit einer Zieladresse innerhalb dieses Netzwerks nicht routen. Auf der anderen Seite sollen Clients, die sich selbst eine Adresse aus diesem Bereich zuweisen, selbstständig prüfen, ob die Adresse bereits verwendet wird und dann eine andere wählen. Aufgrund des Routing-Verbotes können APIPA-Netzwerke nicht in Subnetze gesplittet werden – jeder Client muss jeden anderen direkt ansprechen können. Diese Vorgehensweise erscheint primitiv, ist aber beabsichtigt. Die Verwendung ist auch nicht primär auf die Vernetzung großer lokaler Netzwerke ausgerichtet, sondern auf die einfache Integration von netzwerkfähigen Klein-
5.3 IP-Adressvergabe im lokalen Netzwerk __________________________________ 233 geräten wie USB-Hubs, Firewire-Geräte oder ähnliche Produkte, die sich nach der Verbindung mit dem Netzwerk selbst eine IP-Nummer vergeben, um über IP erreichbar zu sein, sodass ein transparente Verwendung möglich wird. Es ist wichtig, dass eine Maus oder Kamera so einfach wie möglich konstruiert werden kann. Dazu gehört auch der Verzicht auf Konfigurationen, die Anwender kaum beherrschen. APIPA ist die Antwort auf diese Forderung. Wenn derartige Geräte von außerhalb des Netzwerks gesteuert werden sollen, sind Router notwendig, die auf der einen Seite das öffentliche Netzwerk bedienen, auf der anderen dagegen den lokalen Linkbereich. Ein Host, der über mehr als eine Netzwerkkarte verfügt, sollte deshalb APIPA immer nur auf einer Schnittstelle aktivieren. Zukünftige Anwendungen könnten Heimnetzwerke sein, die neben dem Homecomputer, der als Router zum Internet fungiert, auch die Heizung steuern, den Kühlschrank überwachen und die Einbruchsmeldeanlage integrieren. Verständlich, das niemand erst eine IP-Konfiguration abwickeln will, ebenso wie den meisten Anwendern nicht ernsthaft die Einrichtung eines DHCPServers zugemutet werden kann. Bei der Wahl der Adresse sollte der Client den tatsächlichen Bereich Verantwortung des von 169.254.1.0 bis 169.254.254.255 verwenden. Die ersten und die Clients letzten 256 Adressen sind für spätere Sonderfunktionen reserviert. Diese Funktionen sind bislang nicht definiert. Daraus ergeben sich genau 65 024 Adressen, die ein derartiges Netzwerk umfassen kann. Für ein straff vernetztes Haus mag dies ausreichend erscheinen. Es gibt zum Thema APIPA einige konkurrierende Drafts, auch von APIPA: Noch kein Microsoft und Apple bzw. deren Mitarbeitern. Sie erklären mehr oder Standard weniger gut lesbar mögliche Anwendungsfälle. Bei der IANA ist die Verwendung dagegen nicht weiter erklärt. Ebenso ist der Unterschied zu den ohnehin vorhandenen lokalen Adressbereichen (sogenannte Site-Links) nicht eindeutig spezifiziert. Typischerweise wird davon ausgegangen, das Router diese lokal verwendeten Adressbereich bei Netzwerkadressübersetzung (NAT) übertragen können, den lokalen Bereich 169.245/16 jedoch nicht. Die Erreichbarkeit derartiger Geräte von außen ist dann nur gegeben, wenn eine Applikation dies erledigt, idealerweise in Verbindung mit zusätzlichen Sicherheitsmaßnahmen. Dies ist jedoch eine »freiwillige« Aktion der Router, die gegebenenfalls vom Administrator konfiguriert werden muss. In Anbetracht des Draft-Status entsprechender Dokumente dürfte die Umsetzung noch einige Zeit auf sich warten lassen.
APIPA im Detail APIPA wird unter Windows XP immer dann aktiv, wenn die Netz- Verwendung ohne werkkonfiguration auf einen automatischen Bezug der IP-Adresse DHCP-Server über DHCP eingestellt ist und kein entsprechender DHCP-Server
234____________________________________________________ 5 Netzwerkgrundlagen gefunden werden kann (siehe auch nächster Abschnitt). Die betroffene Arbeitsstation nimmt sich per Zufallsgenerator eine Adresse aus einem speziellen reservierten Adressraum und prüft dann mittels PING, ob die Adresse noch frei ist. Ist das der Fall, weist sie sich die Adresse selbst zu, andernfalls wird die Adresse inkrementiert und erneut geprüft, bis eine freie Adresse gefunden wurde. Spezieller Adressbereich
Für APIPA steht ein Klasse-B-Netz zur Verfügung, von dem 65 024 Adressen genutzt werden können. Im Internet wird dieser Adressraum nicht verwendet. Er gehört aber auch nicht zu den in RFC 1918 definierten privaten Adressräumen (siehe auch Abschnitt Private Netzwerkadressen ab Seite 213).
Nachrüstung DHCP Kommt in einem solchen Netzwerk später ein DHCP-Server hinzu,
wird dieser automatisch durch die Clients verwendet. An der IPAdresskonfiguration der Clients brauchen Sie nichts zu verändern. APIPA eignet sich lediglich in kleinen Netzwerkumgebungen mit wenigen Clients für die IP-Adressvergabe. Neben der reinen IPAdresse und einer Standard-Subnetzmaske können keine weiteren Angaben zugeteilt werden wie etwa die Adressen von StandardGateway oder DNS-Server. Für größere Umgebungen, insbesondere bei Verwendung mehrerer Subnetze, sollten Sie immer andere Verfahren wie DHCP zum Einsatz bringen.
APIPA deaktivieren Normalerweisen wird APIPA wie oben beschrieben verwendet. Allerdings kann das auch zu Problemen oder zumindest zu Irritationen führen. Fällt ein DHCP-Server aus, kann dies möglicherweise eine Zeitlang unbemerkt bleiben. Die Computer eines Netzwerksegments können ja dann mit Hilfe von APIPA weiterhin miteinander kommunizieren.
5.3.2
IP-Adressvergabe mit DHCP
In professionellen Netzwerkumgebungen kommt heute in der Regel die automatische IP-Adressvergabe über das Dynamic Host Configuration Protocol (DHCP) zum Einsatz. Dabei fungieren eine oder mehrere DHCP-Server als zentrale Adressverwaltungsinstanzen. Das kann beispielsweise auch ein Windows 2000- oder NT 4-Serversystem sein. DHCP ist eine Weiterentwicklung des BOOTP (Bootstrap Protocol) und verlangt entsprechend eingerichtete Clients und Server. Microsoft war führend an der Entwicklung von DHCP beteiligt. DHCP ist von der IETF in RFC 2131 und RFC 2132 spezifiziert.
5.4 IP-Namensauflösung __________________________________________________ 235 Über DHCP-Clientfunktionalität verfügen heute alle aktuellen DHCP-Clients Microsoft-Betriebssysteme sowie zunehmend Systeme anderer Hersteller. Um ein Windows XP-System als DHCP-Client einzurichten, brauchen Sie nur für das Protokoll TCP/IP den IPAdressbezug als »automatisch« zu konfigurieren. Ein Microsoft Windows 2000 DHCP-Server kann auch die Anfragen BOOTP-Clients von BOOTP-Clients beantworten. Diese Clients finden sich beispielsweise vielfach bei integrierten oder externen Druckservern professioneller Netzwerkdrucksysteme. Ausführliche Informationen zum DHCP-Protokoll und der Einrichtung eines DHCP-Servers finden Sie in unserem Buch Windows 2000 im Netzwerkeinsatz.
5.4 IP-Namensauflösung Für den Betrieb des Internet ist die Namensauflösung der IP-Adressen eine grundlegende Funktionalität. Windows XP als Client-Computer wird dies über den Ihnen von Ihrem Provider empfohlenen DNSServer erreichen. In der täglichen Praxis werden Anwender kaum mit den Vorgängen in Berührung kommen, die sich dabei intern abspielen. Administratoren müssen freilich mehr Hintergrundwissen haben, um Störungen erkennen und beheben zu können. In den folgenden Abschnitten finden Sie eine kurze Einführung in das DNS (Domain Name System) sowie eine Beschreibung, wie Sie auch ohne DNS in einem kleinen lokalen Netzwerk eine IP-Namensauflösung realisieren können.
5.4.1
Einführung in das DNS
Das Domain Name System sorgt im Internet für eine Auflösung der DNS im Internet klaren und verständlichen Namen wie www.microsoft.com in die jeweils richtigen IP-Adressen, mit denen diese Hosts dann letztlich erreichbar sind. Ändert sich eine IP-Adresse eines Hosts, braucht das den normalen Benutzer nicht zu kümmern. Er muss sich nach wie vor lediglich den Namen www.microsoft.com merken. Die Aufgabe der Zuordnung der Namen zu den jeweils richtigen IP- DNS-Server Adressen nehmen DNS-Server wahr. Diese befinden sich bei jedem Internet Service Provider (ISP). Dabei können natürlich bei einem Nameserver eines ISPs nicht alle IP-Nummern und Namen des gesamten Internet geführt werden. Dies würde einen ungeheuren Administrationsaufwand verursachen, da täglich neue Einträge hinzukommen und Änderungen an bestehenden durchzuführen sind. Vielmehr sorgt die Verbindung der DNS-Server weltweit untereinander dafür, dass An-
236____________________________________________________ 5 Netzwerkgrundlagen fragen nach Namensauflösungen, die ein Server nicht beantworten kann, an den nächsten weitergeleitet werden. Dabei sind die DNSServer hierarchisch miteinander verbunden, sodass die Anfragen in kürzestmöglicher Zeit beantwortet werden können. Redundanz
Bei einem ISP wird generell aus Sicherheitsgründen nicht nur ein DNS-Server betrieben. Das DNS hat eine Schlüsselfunktion zum richtigen Funktionieren des Internet. Somit wird mit einem DNSServer mindestens ein weiterer Server betrieben, der genau die gleichen Daten verwaltet und bei Ausfall oder Überlastung des ersten sofort einspringen kann. Dieser sollte dabei örtlich getrennt aufgestellt sowie am besten in einem anderen Subnetz eingebunden sein.
DNS-Client
Die Anfrage an einen DNS-Server führt der DNS-Client des jeweiligen PC durch. Dieser muss nur die richtigen IP-Adressen der für ihn zuständigen DNS-Server wissen. Der auch als Resolver bezeichnete Teil der DNS-Clientsoftware stellt die Anfragen an den DNS-Server, um die IP-Adressen zu den gewünschten Namen zu erhalten. Einmal erfolgreich beantwortete Anfragen werden aus Gründen einer besseren Performance und der Minimierung der Netzlast lokal für eine gewisse Zeit in einem Cache abgelegt.
DNS-Client unter Windows XP
Die notwendige DNS-Clientsoftware ist unter Windows XP automatisch verfügbar, wenn das Netzwerkprotokoll TCP/IP installiert ist. Sie brauchen dafür keine weitere manuelle Einrichtung vorzunehmen. Es kann allerdings notwendig sein, dass Sie die IPAdressen eines oder mehrerer DNS-Server in Ihre IP-Konfiguration eintragen müssen, wenn diese Daten nicht automatisch übertragen werden.
DNS im Intranet
DNS besitzt aber nicht allein im Internet Bedeutung. Auch im lokalen Netzwerk (Intranet) macht die Verwendung von DNS Sinn, wenn mit dem Netzwerkprotokoll TCP/IP gearbeitet wird. Der Verwaltungsaufwand kann minimiert werden, da Änderungen an den IP-Adressen für den Benutzer transparent durchgeführt werden können. Hinzu kommt, dass durch DNS auch weitere Informationen, beispielsweise über den Typ von Geräten, mit gespeichert werden. Der Verzeichnisdienst von Microsoft Active Directory baut insofern auf DNS auf und kann ohne dieses nicht betrieben werden. Zum Aufbau und zur Administration eines DNS-Servers mit einem Windows 2000 Serversystem finden Sie ausführliche Informationen in unserem Buch Windows 2000 im Netzwerkeinsatz.
Einige Begriffe rund ums DNS Begriffe und Funktionsweise
Um die Arbeitsweise und Struktur des DNS zu verstehen, ist die Kenntnis einiger Begriffe notwendig. Die wichtigsten werden nachfolgend aufgeführt:
Die Bildung von Namen, wie beispielsweise comzept-gmbh.de, erfolgt nach bestimmten Regeln. Dabei wird der eigentliche Name der Domäne, hier comzept-gmbh, mit dem Namen der übergeordneten Domäne, hier de, verbunden. Zwischen diese Teile wird ein Punkt gesetzt.
• Domain
Domain
Jeder Knoten innerhalb der DNS-Struktur mit allen darunter befindlichen Knoten wird als Domain bezeichnet. Wenn beispielsweise die virtuellen Server »chat.buchshop.de« und »news.buchshop.de« verwaltet werden, ist die entsprechende übergeordnete Domain »buchshop.de«. • Zone
Zone
Die Speicherung der Namensinformationen geschieht in einer so genannten Zone. Diese umfasst alle Informationen zu einer oder mehreren zusammenhängenden Domains und dient als Verwaltungsinstrument. • Nameserver Der Nameserver oder DNS-Server speichert Informationen über eine oder mehrere Domains. Seine Aufgabe ist die Auflösung der Namen, das heißt, die Lieferung der richtigen IP-Adresse für eine Namensanfrage. • Forwarder
Name- oder DNSServer
Forwarder
Kann ein Nameserver eine Anfrage nicht beantworten, muss er über Informationen verfügen, welche die Weiterleitung der Anfrage an einen übergeordneten Nameserver erlauben. Die Kette endet spätestens bei den Root-Nameservern. • in-addr.arpa
in-addr.arpa
Normalerweise wird ein Nameserver eingesetzt, um zu einem Domainnamen eine IP-Adresse zu liefern. In bestimmten Fällen kann auch der umgekehrte Weg notwendig sein. Das Verfahren dazu wird auch mit in-addr.arpa bezeichnet.
DNS-Client Ein DNS-Client brauchen Sie unter Windows XP nicht explizit einrich- Automatisch ten – er ist Bestandteil der TCP/IP-Protokollimplementierung und verfügbar
238____________________________________________________ 5 Netzwerkgrundlagen steht automatisch zur Verfügung. Einzig die IP-Adresse des zuständigen primären Nameservers muss der Client erfahren. Informationen zur entsprechenden Einrichtung finden Sie in Abschnitt 10.2 Konfiguration von TCP/IP-Netzwerken ab Seite 624.
5.4.2
Namensauflösung über Hosts-Dateien
Die IP-Namensauflösung kann auch ohne einen DNS-Server vorgenommen werden. Dazu dient eine lokal abgelegte Textdatei namens HOSTS, in welcher die IP-Adressen und Hostnamen eingetragen werden. Unter Windows XP liegt diese Datei in folgendem Verzeichnis: Verzeichnis von HOSTS
%Systemroot%\System32\Drivers\Etc
Klar ist, dass hierbei der Verwaltungsaufwand mit einer höheren Anzahl von Clients stark zunimmt. Änderungen an der Datei HOSTS müssen dann jeweils bei allen Systemen vorgenommen werden oder Sie benutzen Methoden, servergespeicherte HOSTS-Dateien in die lokalen Dateien einzubinden. Die in dieser Datei zu verwendende Syntax ist denkbar einfach. Öffnen Sie HOSTS mit einem normalen Texteditor.
Abbildung 5.5: Datei HOSTS
Die IP-Adresse wird gefolgt von einem Tabulator und dem Hostnamen (FQDN) eingegeben. Dahinter können Sie auch noch die Kurzform des Hostnamens angeben. Beachten Sie, dass die IP 127.0.0.1 den Host selbst kennzeichnet und nicht gelöscht werden darf.
5.4.3
Namensauflösung über WINS
WINS (Windows Internet Name Service) ist ein von Microsoft implementierter Dienst zur Namensauflösung in NetBIOS-Netzwerken. Bei WINS wird entweder über WINS-Server oder die LMHOSTS-Datei aufge-
5.4 IP-Namensauflösung __________________________________________________ 239 löst. Die Einsatzmöglichkeiten sind vielfältig. Sie können in Ihrem lokalen Netz TCP/IP als Standardprotokoll einsetzen und dennoch Anwender mit den bequemen NetBIOS-Namen arbeiten lassen. Oft ist es einfacher, einen Druckserver mit \\printsrv anzusprechen, als mit 192.168.17.83. Dieser Abschnitt beschreibt schwerpunktmäßig die Nutzung der Datei LMHOSTS LMHOSTS für die Auflösung, da im kleinen lokalen Netz nicht unbedingt ein WINS-Server zur Verfügung steht. Die Datei wird in folgendem Verzeichnis auf jeder betreffenden Windows XP Professional-Arbeitsstation abgelegt: %Systemroot%\system32\Drivers\Etc
Der Aufbau ist sehr einfach; Sie können die Datei beispielsweise mit dem Editor erstellen: # Copyright (c) 1993-1999 Microsoft Corp. # 192.168.0.10 printsrv_______ #PRE
Dabei bezeichnet die erste Spalte die IP-Adresse, die zweite den WINS-Namen mit genau 15 Zeichen Länge und die dritte einen oder mehrere optionale Schalter. Die Schalter werden in der folgenden Tabelle beschrieben:
Schalter \0xHH
Tabelle 5.18: Schalter der Schreibweise für nicht druckbare Zeichen. HH ist LMHOSTS-Datei
Beschreibung
der Hexadezimalcode des Zeichens. #BEGIN_ALTERNATE
Beginn einer Gruppe #INCLUDE-Anweisungen
#END_ALTERNATE
Ende einer Gruppe #INCLUDE-Anweisungen
#DOM:<domäne>
IP-Adresse ist ein Domänencontroller <domäne>
#INCLUDE
Importiert eine LMHOSTS-Datei von einem anderen Server.
#MH
Schalter für die Zuordnung mehrerer (bis zu 25) Adressen zu einem Namen
#PRE
Bestimmt, dass der Eintrag im Cache gehalten wird.
#SG
Definition eines Gruppenmitglieds. Gruppen können maximal 25 Mitglieder haben. Sie werden durch \0x20 als sechzehntes Byte des Namens definiert.
Das folgende Beispiel finden Sie in der Beispieldatei LMHOSTS.SAM. Die Beispiel aktive Datei LMHOSTS hat jedoch keine Dateierweiterung:
240____________________________________________________ 5 Netzwerkgrundlagen 192.168.0.10 server #PRE #DOM:technik # DC 192.168.0.112 "lptpool \0x14" # Server 192.168.0.4 email #PRE # Mailsrv BEGIN_ALTERNATE INCLUDE \\lokal\public\lmhosts INCLUDE \\maestro\public\lmhosts END_ALTERNATE
Wenn das #-Zeichen keinen Schalter einleitet, beispielsweise am Zeilenanfang, wirkt es als Beginn eines Kommentars. Namen die Leerzeichen enthalten, müssen in Anführungszeichen gesetzt werden. Der WINS-Server steht unter Windows XP Professional nicht zur Verfügung. Sie müssen dafür ein Produkt der Windows 2000 ServerFamilie einsetzen.
5.5 Verbinden von Netzwerken Brücken-Funktion in XP Professional
Windows XP bietet eine interessante Funktion, mit der Sie zwei separate lokale Netzwerke zu einer logischen Einheit zusammenführen können. Diese Funktion wird sonst mit dedizierten sogenannten Brücken (engl. Bridges) erledigt. Da eine Brücke in der Regel als HardwareKomponente ausgeführt ist, können Sie beim Einsatz der Funktion als Softwarelösung auf einer Windows XP Professional-Arbeitsstation diese Investition sparen.
5.5.1 Kopplung von Netzwerken
Einführung
In Abbildung 5.6 sehen Sie ein typisches Szenario für den Einsatz einer Brücke. Ein älteres Netzwerk, welches beispielsweise noch mit 10 MBit Coax-Kabel (auch mit der Fachbezeichung »RG-58« bekannt) arbeitet, soll mit einem neuen Teil, der mit einer strukturierten 100 MBit CAT5Verkabelung realisiert worden ist, zusammengeführt werden. Natürlich könnte das alte Netzwerk auch auf die neue VerkabelungsTechnologie umgestellt werden. Wenn sie aber ihren Zweck zur allgemeinen Zufriedenheit der Anwender erfüllt und ordentlich über EAD-Dosen ausgeführt ist, kann diese Mehrinvestition vielleicht doch noch warten.
5.5 Verbinden von Netzwerken_____________________________________________ 241 Abbildung 5.6: Typisches Szenario für den Einsatz einer Brücke
Für die Kopplung von verschiedenen Netzwerken können Sie jetzt XP Professional als auch eine Windows XP Professional-Arbeitsstation einsetzen. Auf- Software-Brücke grund der hohen Stabilität des Betriebssystems, welches ja auf den modernen Technologien von Windows NT und 2000 aufbaut, lässt sich auf dieser Station auch ohne Weiteres normal arbeiten. Sind hohe Datenaufkommen zwischen den Netzwerken zu bewältigen, sollten Sie nur auf eine leistungsfähige Hardware-Ausstattung achten. Windows XP Professional ist in der Lage, so viele Netzwerke Theoretisch beliemiteinander über die Brücken-Funktion zu verbinden, wie durch die big viele Netzwerke jeweilige Hardware angesteuert werden können. Allerdings ergeben koppelbar sich praktische Grenzen in der erreichbaren Performance, wenn Sie versuchen würden, alle 5 PCI-Slots Ihres Systems mit 100 MBitNetzwerkkarten zu bestücken. Ohne Probleme sollte die Kopplung von zwei bis maximal drei kleineren Netzwerken (mit vielleicht je 10 Stationen) realisierbar sein.
5.5.2
Funktion und Aufbau einer Brücke
Eine Brücke arbeitet auf der OSI-Schicht 2 (Sicherungsschicht; siehe auch Abschnitt Das ISO/OSI-Referenzmodell ab Seite 200) und ist damit unabhängig vom verwendeten Netzwerkprotokoll. Für alle verbundenen Netzwerke gleich sein muss nur der grundsätzliche Netzwerktyp – im Normalfall ist das Ethernet. Eine Brücke nutzt zur Erkennung und Weiterleitung der Datenpakete Kein Routing die MAC-Adressen. Von Vorteil gegenüber der Verwendung eines erforderlich Routers ist, dass Sie so mehrere Netzwerke, die beispielsweise über das Netzwerkprotokoll TCP/IP laufen, mit einem gemeinsamen Adressraum versehen können. Verbinden können Sie aber auch Netz-
242____________________________________________________ 5 Netzwerkgrundlagen werke, die ein nicht-routingfähiges Netzwerkprotokoll wie NetBEUI einsetzen. Das ist in vielen kleinen Windows-Netzwerken durchaus noch anzutreffen. Verschiedene Protokolle gleichzeitig möglich
Da eine Brücke das Netzwerkprotokoll nicht interessiert und sie sich nur um den Transport der (meist) Ethernet-Datenpakete kümmert, können Sie auch verschiedene Protokolle gleichzeitig im Einsatz haben. So lässt sich der in der Praxis gar nicht so seltene Fall gemischter NetBEUI- und TCP/IP-Umgebungen in einem gemeinsamen Netzwerk zusammenbringen. Damit neuere TCP/IP-Arbeitsstationen ältere NetBEUI-Clients im Netzwerk »sehen« können, muss auch bei diesen nur zusätzlich NetBEUI installiert werden. Weitere Informationen, wie Sie das mit Windows XP erreichen können, finden Sie in Abschnitt 5.6.2 NetBIOS und NetBEUI ab Seite 243.
Spanning Tree Algoritmus
Microsoft hat bei seiner Brücken-Funktion in Windows XP Professional den sogenannten Spanning Tree Algoritmus (STA) implementiert. Damit wird automatisch der optimale Weg der Datenpakete zwischen den Netzwerken gefunden. Sie brauchen sich als Administrator darum nicht weiter zu kümmern.
Vergleich mit Router
Im Vergleich zu Brücken arbeiten Router auf der OSI-Schicht 3 (Vermittlung) und sind protokollabhängig. Im Gegensatz zur Brücke muss damit das Protokoll selbst routingfähig sein. Mit TCP/IP ist diese Routingfähigkeit gegeben, erfordert aber eine Unterteilung der einzelnen verbundenen Netzwerksegmente in eigene Adressräume. Router eignen sich besser als Brücken zur Kopplung größerer Netzwerke und sind im professionellen Umfeld nicht wegzudenken. Die sehr flexiblen Einrichtungsmöglichkeiten erfordern dann aber auch einen nicht zu unterschätzenden Administrationsaufwand. In unserem Buch Windows 2000 im Netzwerkeinsatz beschreiben wir, wie Sie ein Windows 2000 Serversystem als Software-Router einsetzen können.
Administration ab Seite 620
In Abschnitt 10.1.5 Installation einer Netzwerkbrücke ab Seite 620 finden Sie die Beschreibung aller erforderlichen Schritte für die Einrichtung der Brückenfunktion.
5.6 Weitere unterstützte Netzwerkprotokolle Windows XP Professional unterstützt neben seinem Standardprotokoll TCP/IP weitere Netzwerkprotokolle. Diese werden eventuell benötigt, wenn Sie das System in ältere Netzwerkumgebungen integrieren müssen.
5.6 Weitere unterstützte Netzwerkprotokolle _________________________________ 243
5.6.1
IPX/SPX
Während TCP/IP als offener Standard gilt, ist IPX/SPX ein proprietäres Protokoll. Im Gegensatz zu anderen Standards ist es dem Erfinder Novell gelungen, dieses Protokoll weitreichend zu etablieren. Heute spielt es allerdings kaum noch eine Rolle, vor allem auch, weil Novell mittlerweile TCP/IP umfassend unterstützt.
Internet Packet eXChange / Sequenced Packet eXchange
IPX/SPX steht für »Internet Packet eXChange/Sequenced Packet eXchange«. Es ist ein zweigeteiltes Protokoll. SPX basiert auf dem »Sequenced Packet Protocol« (SPP) der Firma Xerox und wurde von Novell weiterentwickelt. IPX ist in der Schicht 3 des OSI-Modells definiert. SPX kann dagegen der Schicht 4 zugeordnet werden (siehe auch Abschnitt Das ISO/OSI-Referenzmodell ab Seite 200). Windows XP Professional bietet für die Integration in eine ältere Client für Novell Novell-Umgebung einen Client für Novell Netware nebst Netware zugehörigem Protokoll an. In einem professionellen, modernen Novell Netware 5-Umfeld sollten Sie allerdings den Novell-eigenen Client einsetzen.
5.6.2
NetBIOS und NetBEUI
NetBIOS und NetBEUI (NetBIOS Extended User Interface) waren jahrelang die Grundlage der Netzwerkstrategie von Microsoft. Das erste lokale Netzwerksystems von IBM und Microsoft basierte direkt auf NetBIOS (Network Basic Input/Output System). NetBIOS allein hat heute keine praktische Bedeutung mehr. Es ist aber für viele spätere Entwicklungen die geistige Basis.
NetBIOS Extended User Interface Network Basic Input/Output System
Mit wachsender Verbreitung von Windows 98 und Windows NT 4 verlor das Protokoll NetBEUI zunehmend an Bedeutung, wurde aber dennoch in kleineren LANs gern eingesetzt. NetBEUI ist allerdings nicht für größere Netzwerke geeignet. Es arbeitet mit Broadcasts und verfügt auch nicht über Routingfähigkeiten. Die Besonderheiten von NetBEUI sind: • Name Support In NetBEUI-Netzen wird jeder Rechner über einen Namen angesprochen. Dieser Name darf 16 Zeichen lang sein und muss im Netz eindeutig sein. Wird ein Rechner ans Netz gebracht, so schickt er per Broadcast seinen Namen an alle anderen Rechner und bittet um Registrierung. Wenn kein Rechner protestiert (beispielsweise weil er den Namen schon benutzt), dann kann der Rechner ins Netz und den Namen benutzen. • SMB-Protokoll
244____________________________________________________ 5 Netzwerkgrundlagen Das Service Message Block Protokoll (SMB) dient der Strukturierung der gesendeten und empfangenen Daten. Diese werden dann mittels NetBIOS übertragen. • Redirector Der Redirector stellt Anwendungen Dienste wie Netzlaufwerke und Netzdrucker zur Verfügung. Greift der Anwender beispielsweise auf ein Netzlaufwerk zu, so wird diese Anfrage vom Redirector abgefangen und in eine SMB-Anfrage an den entsprechenden Dateiserver weitergeleitet. NetBEUI manuell nachinstallieren
Diese Funktionen bietet TCP/IP indes auch. So gibt es auch keinen technischen Grund mehr, NetBEUI einzusetzen. Benötigen Sie das Protokoll dennoch, um beispielsweise in einem Netzwerk mit älteren Clients kommunizieren zu können, müssen Sie NetBEUI manuell nachinstallieren. Microsoft setzt so konsequent auf TCP/IP, dass NetBEUI gar nicht mehr in der Liste der installierbaren Protokolle erscheint. Lesen Sie in Abschnitt Protokolle ab Seite 612, wie Sie das Protokoll dennoch auf der Windows XP System-CD finden und installieren können.
5.6.3 Appletalk nicht mehr unterstützt
Appletalk
Das Appletalk-Protokoll, unter Windows NT 4 Workstation sowie Windows 2000 Professional für die Anbindung von AppletalkDruckern noch vorhanden, wurde ersatzlos gestrichen. Abgesehen davon, dass die aktuellen MAC-Betriebssysteme MAC OS 9 und MAC OS X umfassend TCP/IP unterstützen, können auch die meisten Drucksysteme direkt über TCP/IP angesteuert werden. Eine höhere Netzwerkperformance ist damit allemal sichergestellt, da sich Appletalk nicht eben durch hohe Effizienz auszeichnet. Zu bedauern bleibt eventuell nur die einfache Art der Netzwerkdrucker-Anbindung über dieses alte Protokoll. Das ist schließlich auch das Hauptargument für viele MAC-Nutzer, die dieses Protokoll heute noch in breitem Rahmen einsetzen.
Appletalk und Windows 2000 Server
Windows 2000 bietet mit den Serverversionen eine recht ausgebaute Appletalk-Unterstützung. Umfassende Informationen finden Sie dazu in unserem Buch Windows 2000 im Netzwerkeinsatz.
5.7 Active Directory In diesem Abschnitt werden die Grundlagen zum Active Directory behandelt und alle wichtigen Begriffe erklärt. Windows XP Professional ist das bevorzugte Client-Betriebssystem für Active Directory.
5.7 Active Directory_______________________________________________________ 245
5.7.1
Einführung
Microsofts Verzeichnisdienstes Active Directory stellt die umfassendste Neuerung im Netzwerkbereich dar, eingeführt mit Windows 2000 Server. Um den Verzeichnisdienst effizient einsetzen und administrieren zu können, sind fundierte Kenntnisse über die zugrunde liegenden Konzepte unerlässlich. Active Directory ist wesentlich mehr als nur eine zentral angelegte und verwaltete Datenbank für Benutzer, Gruppen und Netzwerkressourcen. Erst mit den neuen Anwendungen und Dienstprogrammen, die direkt auf dem Active Directory aufsetzen, lassen sich leistungsfähige und flexible Informationsflüsse für die unternehmensweite Vernetzung schaffen und mit einem verhältnismäßig geringen Aufwand administrieren.
Bedeutung von Verzeichnisdiensten Je komplexer eine Netzwerkumgebung ist, desto wichtiger ist es, die im Netzwerk vorhandenen Ressourcen von einer zentralen Stelle aus verwalten zu können. Netzwerke können sich heute in größeren Unternehmen schnell über mehrere geografische Standorte hinweg ausdehnen. Dabei werden oft auch Länder- oder gar Kontinentgrenzen überschritten. Die Verwaltung der Benutzer und Netzwerkressourcen stellt hier neue Anforderungen an die verantwortlichen IT-Fachleute. So ist es kaum praktikabel, dass in jedem Fall die Neue AnfordeSystemadministratoren die Ressourcen im Netzwerk dort verwalten, rungen wo sie ihren physikalisch Standort haben. IT-Strukturen müssen schnell mit den gestiegenen Bedürfnissen mitwachsen können. Aber auch dort, wo es nicht nur um pures Wachstum geht, wird eine flexibel anpassbare IT-Umgebung benötigt. Die Komplexität von Netzwerkarchitekturen sowie die verteilter Komplexität Anwendungen in unternehmensweiten Umgebungen stieg seit Anfang der 90er Jahre des abgelaufenen Jahrhunderts stetig an. Ein Verzeichnisdienst ist eine hierarchische Datenstruktur, die der Hierarchische Darstellung komplexer Daten dient. Diese Struktur enthält Datenstruktur Informationen über im Netzwerk verfügbare Ressourcen, beispielsweise Anwendungsprogramme, Drucker, Personen, Dateien. Er liefert einen konsistenten Weg zum Benennen und Beschreiben, zum Suchen und Finden, zur Zugriffssteuerung und Administration und zur Speicherung sicherer Informationen über individuelle Ressourcen. Da heute niemand absehen kann, welche Art von Informationen in Flexibel anpassbar Zukunft im Netzwerk benötigt und verwaltet werden soll, muss der Informationspool hinsichtlich seiner zu verwaltenden Informationsatt-
246____________________________________________________ 5 Netzwerkgrundlagen ribute flexibel anpassbar sein. Das gilt auch für die Menge an Informationen, die hier zu speichern sind. Strukturierte Information
Das alles muss jedoch sinnvoll verwaltbar bleiben, wollen wir nicht morgen in der Informationsflut untergehen. Ein Verzeichnisdienst soll diese Strukturen und einfachen Verwaltungsfunktionen bieten. Ein Benutzer muss sich nur noch einmal im Verzeichnis anmelden und kann dann alljene Ressourcen nutzen und Informationen finden, die für ihn bestimmt sind. Nach der Einrichtung eines Benutzers in einem Verzeichnis stehen beispielsweise sofort die entsprechende E-MailAdresse oder die für ihn bestimmten Anwendungsprogramme bereit, ohne dass der Administrator die Anmeldung bei verschiedenen Anwendungsprogrammen oder -servern doppelt ausführen müsste.
Höhere Sicherheit
Natürlich gehört auch dazu, dass es möglich sein muss, ein vorübergehendes Verweigern oder den Entzug aller Benutzerrechte im Verzeichnis schnell und ohne großen Verwaltungsaufwand zu vollziehen. Befinden sich Zugangsinformationen in verschiedenen, getrennten Server- oder Programmsystemen redundant gespeichert, kann es beispielsweise schnell dazu kommen, dass ein ausgeschiedener Mitarbeiter immer noch Zugang zu unternehmenskritischen Daten erhält.
Skalierbarkeit uhd Performance
Neben der guten Strukturierung von Information und der hohen Sicherheit, die ein Verzeichnisdienst bieten muss, besteht auch die Forderung, das steigende Informationsaufkommen der Zukunft bewältigen zu können. Mit einem einzigen Serversystem wird so etwas nicht realisierbar sein. Die Informationsdatenbasis muss also verteilt gehalten werden können und dabei konsistent bleiben. Gleichzeitig muss sichergestellt werden, dass der Benutzerzugriff auf das Verzeichnis transparent und mit schnellen Antwortzeiten möglich ist.
Maximale Verfügbarkeit
Zusätzlich werden Mechanismen benötigt, die für ein Funktionieren des Verzeichnisses auch bei Ausfall einzelner Komponenten sorgen. Alle wichtigen Informationen müssen also redundant gehalten werden, ohne dass darunter der transparente Zugriff auf das Verzeichnis als Ganzes leidet oder Informationen inkonsistent werden.
X.500 und LDAP Im Zusammenhang mit Active Directory wird immer wieder auf die Protokolle X.500 und LDAP verwiesen. In diesem Abschnitt finden Sie eine knappe Darstellung dazu. Eine ausführliche Darstellung ist dem Buch Windows 2000 im Netzwerkeinsatz vorbehalten, das Active Directory umfassend behandelt.
5.7 Active Directory_______________________________________________________ 247 Sämtliche Bestandteile eines Verzeichnisses werden in Form von Ein- X.500trägen zusammengefasst. Dabei wird jedem Eintrag eine bestimmte Grundelemente Objektklasse zugeordnet. Die Klasse beschreibt die jeweilige Art des Objektklassen Objekts (beispielsweise Land, Person, Rechner). Die Zuordnung zu Objektklassen legt bestimmte Attribute fest, die für einen Eintrag spezifiziert werden können. Ein Attribut besteht aus dem Attributtyp (wie »Telefonnummer«) und einem oder mehreren Attributwerten (Inhalt). Im X.500-Standard sind eine Vielzahl an erlaubten Objektklassen und Attribute Attributtypen als Schema festgelegt, wobei jederzeit lokale Ergänzungen (Schemaerweiterungen) vorgenommen werden können. Die Attributwerte eines Attributs können die Benutzer im Rahmen der erlaubten Syntax frei wählen. Alle Einträge im Verzeichnis sind in einer baumartigen Hierarchie angeordnet, dem Directory Information Tree (DIT). Unterhalb der Wurzel (root) sind Länder (Deutschland, USA usw.) verzeichnet. Die Organisationen dieser Länder (Universitäten, Forschungseinrichtungen usw.) befinden sich auf der nächsten Hierarchieebene. Diese gliedern sich unter Umständen weiter in Abteilungen, darunter befinden sich dann Personen- oder sonstige Einträge. Die Struktur des DIT, das heißt die Regeln, nach denen der Baum aufgebaut wird, werden ebenfalls im Verzeichnisschema spezifiziert. Dabei ist diese Struktur nicht starr festgelegt, sondern erlaubt Variationen in einem definierten Rahmen. Jeder Eintrag im Directory wird durch einen global eindeutigen Na- Distinguished men, den Distinguished Name (DN) referenziert. Dieser DN ist hierar- Name chisch aufgebaut und besteht aus einer geordneten Sequenz von relativen Namenskomponenten, den Relative Distinguished Names (RDN). Nur die letzte Komponente des DN ist Teil des Eintrages selbst. Das Präfix des DN ergibt sich durch die Position des Eintrages in der Hierarchie des Verzeichnisbaums. Ein RDN setzt sich somit immer aus einem Attributtyp und einem Attributwert zusammen. X.500 ist hierarchisch aufgebaut, das heißt jede Datenbank ist nur ein X.500-DS Teil des Ganzen und kann Anfragen, die sie nicht beantworten kann, weiterleiten. X.500 ist der internationale ISO/OSI-Standard für einen verteilten Verzeichnisdienst. Der komplette Name lautet X.500Directory-Service oder kurz X.500-DS. Damit wird ein verteilter Informationsdienst umschrieben, bei dem die Informationen an verschiedenen Orten so gespeichert werden, dass sie mit den Informationen an den anderen Orten ein sinnvolles Ganzes ergeben und der Zugriff intern von einem Ort bzw. Rechner zum anderen Ort ohne Verlassen des angewählten Rechners erfolgen kann. Zum anderen kann die Information jeweils an dem Ort aufbereitet und gepflegt werden, an dem sie entsteht und i.a. auch am häufigsten benötigt wird. Wegen des Zugriffs über ein Datennetz wird keine Kopie der Daten an ande-
248____________________________________________________ 5 Netzwerkgrundlagen ren Orten benötigt. Die Information kann daher sehr aktuell gehalten werden. DIT und DIB
X.500 ist in hierarchischer Form aufgebaut und bildet eine baumartige Struktur, die auch als Directory Information Tree (DIT) bezeichnet wird. Sämtliche Informationen des DIT sind Eintragungen über Objekte, die durch ihre Namen in der Directory Information Base identifiziert werden. Jedem Objekt wird dabei genau ein Name zugeordnet. Die vollständige Menge der Eintragungen des DIT wird in der Directory Information Base (DIB) zusammengefasst. Dabei bildet jeweils ein Knoten in der Struktur einen Eintrag.
Abbildung 5.7: Directory Information Tree unter X.500
Der Aufbau der DIB ist ebenfalls baumartig. Dies hat neben dem schnelleren Zugriff auch den Vorteil, dass damit der Aufbau einer Organisation oder eines Unternehmens abgebildet werden kann (Organigramm). Grundsätzlich gibt es in der DIB zwei unterschiedliche Typen: Objekteintragungen und Aliaseintragungen. Eine Objekteintragung kann von mehreren Aliaseintragungen erwähnt werden, wodurch die Verknüpfung zusätzlicher Namen mit einem Objekt ermöglicht wird. In einem X.500-Verzeichnis lässt sich jede beliebige Information speichern. In der Regel handelt es sich um Texte aller Art, aber auch digitalisierte Bilder und Ähnliches werden in einem solchen Verzeichnis hinterlegt. Standardmäßig werden im X.500-Verzeichnis Personen und Organisationen beschrieben. Für eine einheitliche Darstellung hat die Norm die Grundelemente festgelegt. Personennamen beispielsweise bestehen aus dem so genannten given name (Vorname), den initials (Abkürzung der weiteren Vornamen), dem surname (Nachname) und unter Umständen auch noch dem generation identifier, um damit eventuelle Namensgleichheiten aufzulösen. So wie eine Person eine (oder gegebenenfalls mehrere) weltweit eindeutige postalische Adressen hat, unter der sie erreicht werden kann, kann sie auch mehrere X.500Adressen besitzen.
5.7 Active Directory_______________________________________________________ 249 LDAP (Lightweight Directory Access Protocol) Grundsätzlich werden Verzeichnisse zum Speichern und Verwalten Dynamische von Informationen wie Benutzerprofilen, Einstellungen und Attribute Zugriffsrechten genutzt. Verzeichnisfunktionen, auf die alle zugreifen können, werden in einer Vielzahl von Anwendungen eine zentrale Rolle spielen. Dabei enthalten Verzeichnisse nicht nur Informationen über Benutzer, sondern auch über Ressourcen, wie Konferenzräume oder audiovisuelle Geräte und deren Attribute, Kapazität und Dienste. Mit Hilfe dynamischer Attribute werden in Verzeichnissen auch dynamische, sich regelmäßig ändernde Informationen abgelegt. In diesem Zusammenhang ist auch zu beachten, dass das Internet im Begriff ist, die Kommunikationsweise des Menschen zu verändern. Damit es sein Potenzial voll ausschöpfen kann, muss die Online-Suche nach Personen und Informationen vereinfacht werden. Zudem erfordert die Abwicklung heutiger Geschäftsprozesse transparente Zugriffsmöglichkeiten auf benötigte Ressourcen. Die Version LDAPv3 stellt eine Loslösung von X.500 als Protokollbasis LDAPv3 dar. Dies gründet in der Möglichkeit des Einsatzes von LDAP für den Zugriff auf Fremdverzeichnisse und dedizierte LDAP-Verzeichnisserver. LDAP verlässt sich bei der Verwendung auf die Implementierung des zugrunde liegenden Dienstes. Diese Dienste umfassen heute weiterhin X.500, aber auch ursprünglich proprietäre Dienste. LDAPv3 (spezifiziert im RFC 2251) umfasst unter anderem folgende Neuerungen: • Nicht-Standard LDAP-Operationen können via LDAP vom Server angefordert werden • Kontrollelemente können angegeben werden, die die LDAPFunktionalität auf Server- und Client-Seite erweitern • Simple Authentification and Security Layer (SASL) Mechanismen können zur Authentifizierung genutzt werden • Informationen über den jeweiligen Server (Protokollversion, Kontrollelemente, Namenskontext, Verzeichnisschema usw.) können über so genannte DSEs (DSA-Specific Entries) abgefragt werden • Einbettung von LDAP-Verzeichnisinformationen in MIME • Verwendung internationaler Zeichensätze Weitere Protokoll- und Standarddokumente haben LDAP in der Ver- LDAP-URL sion 3 zu einem vollständigen Internet-Verzeichnis ausgebaut. So stehen beispielsweise Regelungen zu einem angepassten X.500-Schema für LDAPv3 und ein LDAP-URL-Format zur Nutzung von LDAPProtokollaufrufen aus Browsern zur Verfügung.
Ein Active Directory lässt sich nur mit einem Windows 2000 Serversystem implementieren. Dazu gibt es Clientsoftware, welche unter Windows XP Professional und Windows 2000 Professional die gesamte Funktionalität bereitstellt. Windows ME/9x und Windows XP Home verfügen dagegen nur über einen einfachen Client zum Anmelden am Active Directory, können jedoch nicht über Gruppenrichtlinien konfiguriert werden. In diesem Abschnitt geht es zunächst um die wesentlichen Bestandteile des Active Directory, welche serverseitig implementiert sind.
Komponenten des Active Directory Aus den folgenden Komponenten ist das Active Directory aufgebaut: Verzeichnis
• Verzeichnis Im Verzeichnis, auch Verzeichnisdatenbank oder Directory Information Tree (DIT) genannt, sind alle Objekte (Verzeichnisinformationen) abgelegt. Dabei ist diese Datenbank so konzipiert, dass sie auch verteilt im Netzwerk gehalten werden kann und bei Bedarf bis zu mehrere Millionen Objekte verwalten kann.
Schema
• Schema Das Schema bestimmt die Eigenschaften (Attribute) und grundlegenden Objektstrukturen, welche im Verzeichnis gespeichert werden können. Objekte können Benutzer, aber auch Gruppen oder andere Organisationseinheiten sein. Attribute sind beispielsweise die E-Mail-Adresse oder die Telefonnummer eines Benutzers.
Replikation
• Replikationsdienst Bei einer höheren Menge an zu verwaltenden Objekten macht es Sinn, die Verzeichnisdatenbank ganz oder teilweise auf mehrere Server zu verteilen. Damit wird durch Redundanz eine höhere Ausfallsicherheit erreicht sowie das Antwortverhalten verbessert. Ein Benutzer wird so beispielsweise bei der Anmeldung durch einen Server authentifiziert, der sich physisch in der Nähe befindet. Trotzdem kann der Datenbestand in der Verzeichnisdatenbank auch in einem großen Netzwerk, welches sich auch über Datenfernverbindungen erstrecken kann, konsistent gehalten werden. Fällt ein Server aus, führt das nicht unweigerlich zum Stillstand
5.7 Active Directory_______________________________________________________ 251 des Systems, sondern die Authentifizierungen erfolgen einfach beim nächsten Server. • Globaler Katalog
Globaler Katalog
Der globale Katalog stellt einen Index über die wichtigsten Informationen zu den Objekten im Active Directory dar. Damit wird eine komfortable und leistungsfähige Suchfunktion realisiert. • Sicherheitskonzepte
Sicherheit
Für die Regelung der Zugriffsrechte auf die Objekte im Active Directory gibt es integrierte Sicherheitskonzepte. Diese beginnen mit der korrekten und sicheren Authentifizierung und reichen bis zur Zuordnung der Rechte für einzelne Objekte und den sicheren Informationsaustausch im Active Directory.
Verzeichnis Bei dieser Datenbank, auch Verzeichnisdatenbank oder Directory In- DIT formation Tree (DIT) genannt, handelt es sich um eine spezielle Form einer relationalen Datenbank. In dieser werden ausschließlich Verzeichnisinformationen gehalten. Sie ist so ausgelegt, dass auch eine sehr hohe Anzahl an Objekten gespeichert werden können. Das Antwortverhalten (Performance) bleibt dabei trotzdem – eine gute Planung und technische Umsetzung vorausgesetzt – sehr gut. Die Grundlage des Verzeichnisses im Active Directory bildet das Da- Grundlage ist tenmodell des X.500-Standards (siehe Abschnitt 0 X.500 ab Seite 246). X.500 Dieser beschreibt den grundsätzlichen Aufbau von Verzeichnisdiensten und wurde bereits 1988 verabschiedet. Microsoft orientierte sich bei der Entwicklung des Active Directory an diesem Standard, setzte ihn aber nicht vollständig um und implementierte teilweise eigene, proprietäre Erweiterungen. Begründet wird dies damit, dass eine reine X.500-Umsetzung eines Verzeichnisdienstes zu komplex und damit nicht marktfähig geworden wäre.
Schema Das Verzeichnisschema beschreibt genau, wie Objekte und deren Ei- Flexibel erweigenschaften im Verzeichnis gespeichert werden können. Das flexible terbar Schema im Active Directory ermöglicht es im Bedarfsfall, existierenden Objekten weitere Eigenschaften hinzuzufügen oder gar zusätzliche Objekttypen zu definieren. Dadurch eröffnen sich neue Möglichkeiten, denn eine Anwendung wie Microsoft Exchange (beispielsweise Exchange 2000) braucht somit keine eigene Benutzerdatenbank mehr. Im optimalen Fall findet eine Erweiterung des Verzeichnisschemas um entsprechende Objekte für die gewünschte Anwendung statt.
252____________________________________________________ 5 Netzwerkgrundlagen Replikationsdienst Verfügbarkeit und Performance
Um eine hohe Verfügbarkeit und Performance auch bei einem umfangreichen Active Directory zu gewährleisten, können Teile desselben oder das gesamte Verzeichnis auf mehrere Server repliziert werden. Die Anmeldung und der Zugriff eines Benutzers kann so am nächsten physischen Server erfolgen. Damit wird ein schnelles Antwortverhalten des Netzwerks garantiert. Fällt hingegen ein Server aus, kommt es nicht zwangsläufig zum Stillstand im Netzwerk. Der nächste verfügbare Server stellt die reibungslose Authentifizierung und den Zugriff der Benutzer sicher.
Globaler Katalog Suchdienst
Ein Verzeichnisdienst sollte generell auch über Suchfunktionen verfügen, mit deren Hilfe sich Informationen wie in gewöhnlichen Telefonoder Adressbüchern finden lassen. Als Suchbegriffe dienen dabei üblicherweise bestimmte Attribute von Objekten wie zum Beispiel Namen oder E-Mail-Adressen. Um diesen Anforderungen gerecht zu werden, beinhaltet das Active Directory einen globalen Katalog (Global Catalog), welchen man auch als übergreifenden Index bezeichnen kann.
5.7.3
Strukturierung des Active Directory
Mit Active Directory lässt sich die tatsächliche Organisationsstruktur eines Unternehmens abbilden. Dazu werden die wesentlichen Ressourcen im Unternehmen erfasst. Das können Benutzer, Dateien, Drucker oder auch Richtlinien für die Verwaltung derartiger Objekte sein. Die Objekte können dabei hierarchisch strukturiert und zu organisatorischen Einheiten zusammengefasst werden – wie im realen Leben. So lassen sich Unternehmensstrukturen wie Arbeitsgruppen, Abteilungen oder ganze Bereiche erfassen.
Die Elemente der logischen Struktur In diesem Abschnitt werden die logischen Strukturen vorgestellt, mit denen Sie ein Active Directory aufbauen können. Wichtig sind dabei die folgenden Elemente: • Domäne (domain) • Organisatorische Einheit (Organizational Unit – OU) • Objekte (objects) • Domänenstruktur (tree)
5.7 Active Directory_______________________________________________________ 253 • Gesamtstruktur (forest) Diese werden häufig in der Fachliteratur auch nur mit den englischen Bezeichnungen verwendet, sodass es von Vorteil ist, wenn Sie diese kennen. Die deutschen Begriffe erscheinen uns jedoch zutreffender und weniger blumig.
Abbildung der physischen Struktur Daneben gibt es noch eine physische Struktur, die weitgehend den Gegebenheiten der Infrastruktur folgt. Diese umfasst folgende Elemente: • Domänencontroller (domain controller) • Globaler Katalog (global catalog) • Standorte (sites) Eine genaue Darstellung und planerische Aspekte finden Sie im Buch Andere Quellen für Windows 2000 im Netzwerkeinsatz. Praktische Aspekte zum Einsatz den Praktiker werden auch auf der Website zum Buch (www.winxp.comzept.de) in professioneller Form veröffentlicht.
Gesamtstruktur eines Active Directory Eine Gesamtstruktur (engl. Original: Forest) entsteht, wenn mehrere Kein einheitlicher Domänenstrukturen (Trees; siehe vorhergehender Abschnitt) zusam- Namensraum mengefasst werden. Der wesentliche Unterschied zu einer abgeschlossenen Domänenstruktur besteht bei der Gesamtstruktur darin, dass hier kein einheitlicher Namensraum verwendet werden muss. So können Domänenstrukturen mit verschiedenen Namensräumen integriert werden. Abbildung 5.8: Beispiel für eine Gesamtstruktur
254____________________________________________________ 5 Netzwerkgrundlagen Gründe für eine Gesamtstruktur
Die Domänen Comzept-gmbh.de, Beratung.de und Schulung.de sind hier zu einer administrativen Einheit zusammengefasst worden. Daraus wird schon der wichtigste Grund erkennbar, der für die Bildung einer Gesamtstruktur spricht: Die strikte Trennung von organisatorischen Einheiten innerhalb des Verzeichnisses.
Domänenstruktur Für eine stärkere Gliederung eines Active Directory können mehrere Domänen zu einer Domänenstruktur (engl. Original Tree) zusammengefasst werden. Eine Domänenstruktur stellt dabei grundsätzlich eine hierarchische Struktur von Domänen dar, die alle einen einheitlichen Namenskontext bilden. In Abbildung 5.9 sehen Sie das Beispiel einer Domänenstruktur für die Domäne COMZEPT-GMBH.DE. Mit der Installation der ersten Domäne wird automatisch die Wurzel einer neuen Domänenstruktur generiert, an der sich hierarchisch gestaffelt weitere Domänen anbinden lassen. Abbildung 5.9: Beispiel eines Domänenbaums
Domäne Auch im Active Directory bildet die Domäne die Basis für die Bildung von Organisationsstrukturen. Eine Domäne im Active Directory dient der logischen Gruppierung zusammengehöriger Objekte. Die Anzahl der speicherbaren Objekte ist dabei kaum praktisch beschränkt. Eine Domäne kann, wie ein Container, weitere Organisationseinheiten in sich aufnehmen, die wiederum Objekte enthalten können.
5.7 Active Directory_______________________________________________________ 255 Abbildung 5.10: Prinzipaufbau einer Domäne
Alle Objekte einer Domäne sind über einen einheitlichen Namenskon- Namenskontext text, der durch den Domänennamen definiert wird, ansprechbar. Der Benutzer KRAUSE in der Domäne COMZEPT-GMBH.DE wird beispielsweise über [email protected] angesprochen, entsprechend die Arbeitsstation WINXP01 mit [email protected]. Die Domänengrenze gilt auch als Sicherheitsgrenze. Innerhalb der Domänengrenze = Domäne werden die Zugriffsrechte gesteuert. Jede Domäne kann Sicherheitsgrenze einen eigenen Domänenadministrator haben, der in anderen Domänen keine Rechte besitzt.
Organisatorische Einheit Die organisatorische Einheit ist ein wesentliches Gestaltungsmittel für den Aufbau eines Active Directory. Das Konzept der Organisationseinheiten ist das Erfolgsrezept beim Aufbau eines Active Directory. Organisationseinheiten sind das wesentliche Strukturierungselement. Sie sind ausschließlich einfache Container, die wiederum andere Objekte oder auch weitere Organisationseinheiten enthalten können. Durch dieses Element wird der Namensraum der Domäne statt der flachen Darstellung in eine Hierarchie verwandelt. Das ist besonders wichtig, wenn Tausende Objekte verwaltet werden müssen. Statt endloser Listen erfolgt der Zugriff über eine Baumstruktur, so wie Sie es vom Windows Explorer kennen. Die Struktur der Hierarchie kann sehr vielfältig gestaltet werden, sodass Sie beispielsweise die Organisation eines Unternehmens abbilden können. So oder ähnlich wird die Fähigkeit von Active Directory oft angepriesen. In der Praxis ist es leider nicht so einfach, eine intelligente Struktur zu entwerfen. In diesem Abschnitt erfahren Sie mehr zu
256____________________________________________________ 5 Netzwerkgrundlagen den Möglichkeiten und Varianten der Strukturierung des Verzeichnisses mit Organisationseinheiten. Charakteristik der Organisationseinheiten
Organisationseinheiten haben eine ganz bestimmte Charakteristik, die Sie kennen sollten: • Organisationseinheiten sind Bestandteil einer Domäne. • Sie sind immer Container-Objekte, Organisationseinheiten oder Objekte.
enthalten
also
andere
• Sie erzeugen die hierarchische Struktur der Domäne. • Sie können sehr einfach erzeugt, verschoben, verändert oder gelöscht werden. Hierarchische Struktur
Aufgrund der hierarchischen Natur können sie ein nahezu vollständiges Abbild der Organisation Ihres Geschäfts darstellen. Die Möglichkeit, mit Organisationseinheiten eine Struktur zu entwerfen, verringert die Notwendigkeit, Domänen zur Gliederung einzurichten. Wie am Anfang bereits erwähnt, sollten Sie mit möglichst wenigen – im Idealfall nur einer Domäne – arbeiten. Organisationseinheiten sind der Schlüssel zu einem einfach zu administrierenden und zugleich leistungsfähigen Verzeichnisdienst.
Objekte
Das Verzeichnis dient grundsätzlich zur Speicherung von Objekten. Diese Objekte können verschiedene Merkmale und Eigenschaften haben, welche durch das Schema (siehe auch Abschnitt Schema ab Seite 251) im Active Directory bestimmt werden.
Containerobjekte
Ein wichtiges Unterscheidungsmerkmal von Objekten stellt die Fähigkeit dar, weitere Objekte in sich aufnehmen zu können. Ein grundlegendes Containerobjekt in einem Active Directory ist die Domäne selbst. In dieser können wieder andere Objekte, auch andere Containerobjekte, angelegt werden. Ein weiteres Containerobjekt ist beispielsweise die organisatorische Einheit (siehe auch Seite 255).
Blattobjekte
Andere Objekte, wie beispielsweise Benutzer oder Drucker, können keine weiteren Objekte enthalten. Diese Objekte werden auch Blattobjekte Sie werden aber, wie generell alle Objekte im Active Directory, durch spezifische Eigenschaften, auch Attribute genannt, gekennzeichnet. Ein Attribut eines Benutzers ist beispielsweise dessen Name oder die E-Mail-Adresse.
5.7 Active Directory_______________________________________________________ 257 Zuweisen von Gruppenrichtlinien Eines der umfangreichsten und leistungsfähigsten Konzepte sind die Gruppenrichtlinien. Sie bestimmen die Gestaltung des Arbeitsplatzes der Benutzer in Abhängigkeit von deren Aufgaben und dem Computer, an dem sie gerade arbeiten. Zu den Einstellungen gehören:
Gruppenrichtlinien dienen der Kontrolle der Benutzerumgebung
• Sicherheitsoptionen • Zuweisen von Skripts • Gestaltung des Desktops • Verfügbarmachen bestimmter Anwendungsprogramme • Steuerung der Softwarerichtlinien, beispielsweise Funktionen des Windows Explorers Einige sehr grundlegende Richtlinien können nur auf der Ebene einer Gruppenrichtlinien Domäne eingestellt werden. Diese Einstellungen gelten dann für alle auf Domänenebene Objekte dieser Domäne. Dazu gehören: • Kennworteigenschaften • Verriegelung des Kontos bei Anmeldefehlern • Verschlüsselung der Anmeldung (Kerberos) • Wiederherstellung von Dateien des verschlüsselten Dateisystems (EFS) • IP-Sicherheit • Öffentliche Schlüssel (Zertifikate) • Zertifikate für vertrauenswürdige Instanzen Gruppenrichtlinien sind kein Instrument, um Zugriffsrechte zu kontrollieren. Sie können Zugriffsrechte nur einem so genannten Sicherheitsprinzipal von Windows 2000/XP zuweisen, also Benutzern, Computern und Gruppen, nicht jedoch Organisationseinheiten. Das einzige Organisationsinstrument für Zugriffsrechte sind also Gruppen. Beachten Sie dies bei der Planung der Organisationseinheiten.
5.7.4
Benutzer und Gruppen
Nach der Festlegung der Struktur des Active Directory und der Organisationseinheiten wird das Verzeichnis mit den eigentlichen Objekten gefüllt: Benutzer, Gruppen, Computer, Drucker usw. Dabei nehmen Benutzer und Gruppen eine herausragende Sonderstellung ein. Die Verwaltung der Benutzer erfolgt im Active Directory anders als mit einem alleinstehenden Windows XP Professional.
258____________________________________________________ 5 Netzwerkgrundlagen Benutzer- und Gruppenmanagement Benutzer und Gruppen sind – auch aus historischer Sicht – das primäre Verwaltungskriterium. Mit Active Directory kommen weitere Verwaltungsinstanzen hinzu, wie es in den vorhergehenden Kapiteln bereits diskutiert wurde. Benutzer und Gruppen bleiben aber, vor allem wegen der vielen spezifischen Eigenschaften, die am intensivsten zu administrierenden Objekte. Dieses Kapitel führt in das Benutzer- und Gruppenmanagement ein und berücksichtigt dabei die Beziehungen zum Active Directory. Strategien
Um Benutzer einzurichten und damit zu einem funktionierenden Netzwerk zu gelangen, gehen Sie in folgenden Schritten vor: • Planung der Benutzerkonten und des Gruppenmanagements Hier geht es um die Benutzerkonten. Obwohl zwei Organisationsmöglichkeiten bestehen, Gruppen und Organisationseinheiten, beziehen sie sich dennoch auf ein gemeinsames Element: Benutzer. Hier steht die Frage der Synchronisation an. • Planung der Strategie der Gruppenrichtlinien Die Systemrichtlinien in Windows XP sind in Form der Gruppenrichtlinien ein äußerst leistungsfähiges Werkzeug. Computern mit Windows 2000 Professional kann ein explizites Rechtesystem zugewiesen werden, ebenso wie jedem Element in der Struktur des AD.
• Planung der physischen Struktur der Site, Domänen und Pfade Gruppenrichtlinien können auch der Site und der Domäne zugewiesen werden. Dadurch haben Sie eine einfache globale Kontrolle der Zugriffs- und Ausführungsrechte, auch wenn sich die physische Struktur der Organisationseinheiten ändert. • Planung der Delegation der Administration In großen Unternehmen werden Sie die Aufgaben vielleicht auf mehrere Administratoren verteilen wollen. Auch in kleineren Unternehmen kann in der Urlaubszeit eine Delegierung einiger Aufgaben sinnvoll sein. Dies erfolgt auf Ebene der Organisationseinheiten. • Testaufgaben Nicht zu vergessen sind Tests der Einstellungen, damit Benutzer nicht »vergessene« Sicherheitslöcher finden oder Aufgaben nicht ausführen können.
5.7 Active Directory_______________________________________________________ 259 Alle Aufgaben und deren Lösung werden nachfolgend ausführlich beschrieben.
Einführung in die Benutzerverwaltung Das Windows-Sicherheitskonzept für Benutzer basiert auf dem Konzept der Benutzerkonten. Jeder Benutzer wird eindeutig identifiziert, um ihm Zugriff auf bestimmte Ressourcen zu geben. Wer auch immer das Netzwerk oder eine Arbeitsstation mit Windows XP Professional nutzen möchte, benötigt ein Benutzerkonto. Das führt auch dazu, dass interne Prozesse über Konten verfügen. Diese können jedoch überwiegend nicht administriert werden. Aus Sicht des Benutzers ist dieses Konzept sehr einfach. Der Benutzersicht: Benutzername ist für ihn ein fassbarer Begriff, mit dem er täglichen Name und Umgang hat. Aus Sicht des Administrators ist es kritischer. Ein laxer Kennwort Umgang mit den Benutzerkonten kann zu erheblichen Sicherheitsmängeln führen. Die Verwaltung der Benutzerkonten ist aus zweierlei Sicht bedeutend: • Hier wird das Sicherheitsniveau implementiert, das für das Netzwerk wichtig ist. • Cleverer Umgang mit den Benutzerkonten administrativen Aufwand signifikant reduzieren.
kann
den
Diese Reduktion des Aufwands setzt natürlich tiefgehende Kenntnisse der Werkzeuge und deren Bedeutung voraus. Dieses Kapitel vermittelt die entsprechenden Kenntnisse. Sie sollten es lesen, bevor Sie Entscheidungen bezüglich der Benutzereinrichtung treffen. Gruppen sind auch in einer Windows 2000-Serverumgebung der zwei- Umgang mit te große Komplex in der Benutzerverwaltung. Die Verwendung von Gruppen Organisationseinheiten dient nur der Vereinfachung der Verwaltung und Zuweisung von Richtlinien. Intern bilden Gruppen das primäre Verwaltungsinstrument. Wer sich begierig auf Active Directory stürzt, wird von dieser Aussage vielleicht befremdet sein. Das Gruppenkonzept stützt sich natürlich nicht auf X.500. Es ist quasi neben Active Directory gestellt, was aufgrund der unterschiedlichen Anforderungen sinnvoll ist. Verzeichnisdienste sind vordergründig auf die Informationsweitergabe, globale Authentifizierung und Verteilung von Richtlinien ausgelegt. Die Regelung des Zugriffs auf dezentrale Ressourcen hat damit nur am Rande zu tun. Hier setzt das Sicherheitskonzept von Windows 2000/XP mit den Access Control Lists (ACL) ein, deren Zuordnung wahlweise Benutzer- oder Gruppen-orientiert erfolgen kann. In diesem Kapitel geht es deshalb um die Steuerung der Zugriffsrechte – die Seite der Ressourcen also. Im nächsten Kapitel werden dann die
260____________________________________________________ 5 Netzwerkgrundlagen Richtlinien behandelt – die irreführend Gruppenrichtlinien heißen und mit Gruppen nichts zu tun haben.
Elemente der Systemsicherheit Benutzer- und Gruppeninformationen werden in einer zentralen Datenbank gespeichert – dem Active Directory. Jedes Element, Benutzer und Gruppen, wird durch den Security Identifier (SID) identifiziert. Security Identifier
Wenn ein neues Benutzerkonto angelegt wird, erzeugt Windows eine so genannte SID. Diese Nummer besteht aus zwei Teilen. Der erste bezeichnet die Domäne, der zweite das Element. Dieser zweite Teil wird Relative Security Identifier (RID) genannt. Eine SID wird niemals mehrfach verwendet. Jedes Konto wird deshalb eine eindeutige SID tragen, auch wenn es gelöscht und mit identischem Namen erneut angelegt wird. Alle internen Prozesse in Windows XP nutzen deshalb auch immer die SID, niemals den Namen. SIDs identifizieren auch Gruppen und Computer und alle anderen sicherheitsrelevanten Elemente.
Security Descriptor Jedes Objekt hat eine eindeutige Beschreibung, den Security Descriptor
(SD). Dort werden die Zugriffsrechte des Objekts in Form von Sicherheitsattributen beschrieben. Der SD enthält: • Die SID des Eigentümers dieses Objekts. Der Eigentümer darf die Zugriffsrechte auf sein Objekt verändern. • Die Liste spezifischer Zugriffsrechte (ACL, Access Control List). Diese Liste beschreibt Benutzerkonten und Gruppen, die explizite Zugriffsrechte erhalten haben oder denen Rechte explizit entzogen wurden. Auch diese Zuordnung darf der Eigentümer ändern. • Die System-ACL. Hier werden Systemmeldungen kontrolliert, beispielsweise die Zugriffsüberwachung. Diese Einstellungen kann nur der Systemadministrator ändern. Die ACL spielt also für die Zugriffssicherheit eine herausragende Rolle. Sie wird nachfolgend näher betrachtet.
Die Access Control List • Die Access Control List (ACL) besteht aus einer Liste Access Control Entries (ACE). Diese Einträge geben oder entziehen bestimmten Benutzerkonten oder Gruppen Rechte und Zugriffsgenehmigungen. Die Unterscheidung zwischen Zugriff und Ausführung wird folgendermaßen definiert:
5.7 Active Directory_______________________________________________________ 261 • Rechte regeln die Möglichkeit, Aufgaben auszuführen, beispielsweise die Änderung der Systemzeit. • Genehmigungen regeln den Zugriff auf Ressourcen, beispielsweise das Lesen von Verzeichnissen. Ein ACE besteht also immer aus der SID, für die der Eintrag angelegt wird, und den Kontrollinformationen. Es gibt drei Typen von ACEs: • ACCESSALLOWED Dieses ACE erlaubt einen Zugriff. • ACCESSDENIED Hiermit wird der Zugriff entzogen. • SYSTEMAUDIT Dieses ACE überwacht das Objekt. ACCESSALLOWED und ACCESSDENIED können sich widersprechen. In diesem Fall »gewinnt« ACCESSDENIED. SYSTEMAUDIT wird im Wesentlichen zur Überwachung des Objekts verwendet, steuert also, welche Ereignisse zu Einträgen in die Protokolldateien führen. Jeder Eintrag enthält eine so genannte Zugriffsmaske. Damit werden Access Control alle zulässigen Aktionen für das Objekt definiert. Vergleichbar ist dies Entries (ACE) mit einer Liste, aus dem der Administrator Genehmigungen auswählen und wieder abwählen kann. Dies wird bei der Zugriffserteilung zu Dateien und Ordnern im Explorer auch so angezeigt.
262____________________________________________________ 5 Netzwerkgrundlagen Abbildung 5.11: ACE für einen Ordner im ACE-Editor
Die Zugriffserteilung kann dabei – NTFS vorausgesetzt – sehr differenziert erfolgen. Davon wird man sicher nicht oft Gebrauch machen, Abbildung 5.12 zeigt aber die Möglichkeiten. Die Registerkarte SICHERHEIT wird oft auch als ACE-Editor bezeichnet. Sie ist in nahezu allen sicherheitsorientierten Dialogfeldern in unterschiedlicher Ausprägung anzutreffen. Abbildung 5.12: Ermittlung der Zugriffsrechte eines Domänen-Benutzers
5.7 Active Directory_______________________________________________________ 263 Die Verwaltung jeder einzelnen Datei wird kaum das Ziel des Administrators sein können. Mit den Zugriffsrechten lässt sich hier aber eine übersichtliche Struktur einbringen. Zugriffsrechte können auf folgenden Stufen definiert werden: • Für das Objekt als Ganzes, dass heißt, für alle Attribute
Stufen der Zugriffsrechte
• Zu einer Gruppe von Attributen, die durch Eigenschaften des Objekts definiert werden • Zu individuellen Attributen des Objekts Insgesamt kennen Objekte 16 verschiedene Zugriffstypen. Abbildung 16 Zugriffstypen 5.12 zeigt einige davon. Nicht alle Zugriffstypen stehen für alle Objek- standardmäßig te zur Verfügung. Die spezifische Zugriffsmaske definiert, welche verfügbar Zugriffstypen tatsächlich angeboten werden. So würde man bei einem Ordner Rechte wie »Lesen« oder »Ausführen« definieren, für die Druckerwarteschlange dagegen »Bearbeiten und Drucken in der Druckerwarteschlange«. Die Zugriffstypen sind also objektabhängig. Intern muss Windows XP ständig Zugriffsrechte mit den ACEs vergleichen. Dazu wird ein Zugriffstoken angelegt (Access Token). Dieses Token beschreibt die Rechte, die ein Benutzerkonto hat. Enthalten sind folgende Informationen: • Die SID • Die SIDs aller Gruppen, zu denen das Benutzerkonto gehört • Die Privilegien dieses Benutzerkontos Das Token wird vom WinLogon-Dienst angelegt, wenn sich der Benutzer am Netzwerk bzw. Server anmeldet. Bei jedem Zugriff wird dann das Zugriffstoken mit der ACL des Objekts verglichen, auf das der Benutzer zugreift. Erscheinen eine oder mehrere der SIDs auch in der ACL, wird der Zugriff auf die Ressourcen im definierten Umfang gewährt.
Gruppen und Mitgliedschaft Gruppen sind ein einfaches Instrument zur Vereinfachung der Verwaltung. Wenn Sie Zugriffsrechte einstellen, und dies mehrere Benutzer betrifft, eignen sich Gruppen zu Vereinfachung. Gruppen sind kein Organisationsinstrument in AD, verlieren jedoch wegen der engen Verflechtung von lokalen Sicherheitsdatenbanken und Active Directory nicht ihre Bedeutung. Gruppen werden in Windows durch einen Namen repräsentiert. Generell handelt es sich um einen Weg, die Zugriffsrechte mehrere Benutzer auf bestimmte Ressourcen einfach zu administrieren. Active
264____________________________________________________ 5 Netzwerkgrundlagen Directory verfügt über mehrere vordefinierte Gruppen, eigene können hinzugefügt werden. Aufgrund der Domänenstruktur gibt es verschiedene Gruppen, die entweder lokal oder global sichtbar sind. Benutzerkonten
Ein Benutzerkonto kann Mitglied mehrerer Gruppen sein. Seine Rechte entsprechen der Summe der Rechte aller Mitgliedschaften. Bei sich widersprechenden Einstellungen gewinnt das restriktivste Recht.
Kontakte
Neben Benutzern können auch Kontakte Mitglieder von Gruppen sein. Dies ist nur sinnvoll, wenn es sich um Verteiler- oder Sicherheitsgruppen handelt. Kontakte können keine sicherheitsrelevanten Attribute haben. Sie können aber E-Mail an Kontakte versenden oder Benutzern das Einsehen der Kontaktdaten erlauben. Wenn Kontakte Sicherheitsgruppen zugeordnet werden, erben diese nicht die Sicherheitseinstellungen der Gruppe.
5.8 Sicherheit im Netzwerk In Bezug auf die Netzwerksicherheit ist Windows XP vorbildlich ausgestattet. Sowohl der Anmeldevorgang als auch die Übertragungswege können mit allen heute technisch realisierbaren Mitteln geschützt werden. Der Administrator muss die Möglichkeiten natürlich kennen und richtig einsetzen, damit sie wirksam werden können.
5.8.1 Sichere Erkennung von Benutzern
Sichere Authentifizierung
Bei der Anmeldung eines Nutzers an einem Windows Server können zwei verschiedene Vorgänge ausgeführt werden. Zum einen wird ein interaktiver Anmeldevorgang ausgeführt, um den Nutzer und seine zur Identifizierung eingesetzten Daten zu kontrollieren. Dies erfolgt durch einen entsprechend eingerichteten Windows 2000-Server oder XP Professional oder durch Active Directory und den Domänencontroller. Alternativ erfolgt eine Netzwerkauthentifizierung, bei der sich Benutzer direkt an einer Ressource anmelden und von dieser der Zugriff autorisiert wird. Da die Authentifizierung über das Netzwerk kritisch ist – immerhin können Kennwörter über öffentliche Leitungen geleitet werden – sind hier umfangreiche Sicherheitsmaßnahmen möglich. Zu den einsetzbaren Maßnahmen gehören Kerberos 5, SSL (Secure Socket Layer) und aus Kompatibilitätsgründen LAN ManagerSicherheit.
5.8 Sicherheit im Netzwerk ________________________________________________ 265 Der interaktive Anmeldevorgang Bei diesem Anmeldevorgang erfolgt die Bestätigung eines Benutzers Interaktiver durch ein Domänenkonto auf einem Domänencontroller oder durch Anmeldevorgang die lokale Benutzerdatenbank eines Windows XP-Computers. Dabei spielt es primär keine Rolle, ob der Domänencontroller mit oder ohne Active Directory arbeitet. Wie dieser Vorgang abläuft, wird nachfolgend beschrieben, auf die technischen Grundlagen der eingesetzten Protokolle wird anschließend eingegangen.
Anmeldung an einem Domänenkonto Wenn sich ein Benutzer an einem Domänenkonto anmelden möchte, kann er dies technisch auf zwei Wegen tun: • Durch Eingabe von Benutzername und Kennwort im LoginBildschirm • Durch Einlesen einer Smartcard Die Anmeldeinformationen werden im Active Directory gespeichert. Durch die Anmeldung erlangt der Benutzer Zugriff auf die Ressourcen dieser Domäne. Ist ein Kennwort erforderlich – was normalerweise der Fall sein dürfte – wird Kerberos 5 zur Authentifizierung eingesetzt. Kerberos stellt sicher, dass das Kennwort nicht im Klartext übertragen wird. Wird eine Smartcard eingesetzt, basiert Kerberos auf Zertifikaten, die auf der Smartcard gespeichert werden.
Anmeldung an einem lokalen Computer Auf Windows 2000/XP-Computern werden die Anmeldeinformationen in der Sicherheitskontenverwaltung SAM (Security Accounts Manager) gespeichert. SAM ist eine Datenbank, in der die Informationen abgelegt sind, die zur Authentifizierung benötigt werden. Diese Datenbank kann auf jedem lokalen Computer existieren. Eine solche einfache Form der Anmeldeüberwachung wird in Peer-to-PeerNetzwerken verwendet. Für den Zugriff auf einen anderen Computer im Netzwerk ist dann allerdings eine erneute Authentifizierung erforderlich.
Anmeldung mit Zertifikaten und Smartcards Zertifikate werden in einem speziellen Speicher gehalten: dem Zertifikatspeicher. Falls dies der Fall ist oder Smartcards eingesetzt werden, kann das Extensible Authentication Protocol (EAP) eingesetzt werden, um die Anmeldung zu Verschlüsseln. Smartcards verhalten sich dabei
266____________________________________________________ 5 Netzwerkgrundlagen für das System weitestgehend transparent – sie sind lediglich ein elegant handhabbarer Speicher für Zertifikate. Das Zertifikat
Ein Zertifikat beschreibt seinen Besitzer in einer für die Authentifizierung geeigneter Weise. Zertifikate für Webserver enthalten beispielsweise Daten über die Identität des Betreibers der Site – gekoppelt mit dem Domainnamen. Auch Personen können sich durch Zertifikate authentifizieren. Solche Zertifikate enthalten neben dem Namen und Kennwort auch eine Signatur des Herausgebers. Diese Signatur ist mit dem Inhalt gekoppelt. So sind Zertifikate verfälschungssicher – jede Änderung an den Daten macht die Signatur unbrauchbar. Andererseits kann sich ein Benutzer ohne Hilfe des Herausgebers kein neues Zertifikat beschaffen. Im Rahmen der Authentifizierung sendet der Benutzer (bzw. das Anmeldeprogramm des Computers) das Zertifikat an den Server, der die Authentifizierung bestätigen muss. Der Server sendet nun seinerseits ein Zertifikat an den Computer des Benutzers. Dort wird die Signatur anhand eines Schlüssels geprüft. Dieser Schlüssel ist in einem Stammzertifikat gespeichert, dass die Echtheit der Herausgeber sicher stellt. Stammzertifikate können nur von vertrauenswürdigen Herausgebern geliefert werden. Wer »vertrauenswürdig« ist, muss jeder Systembetreiber natürlich selbst festlegen – dieser Vorgang kann nur vom Administrator ausgeführt werden. Einige solcher Stammzertifikate sind bereits standardmäßig installiert.
Smartcards
Smartcards sind checkkartengroße Plastikkarten mit einem Chip. Dieser Chip kann Daten speichern. Da Zertifikate auch nur »Daten« sind, können diese auch auf Smartcards gespeichert werden. Der Computer muss dann über ein passendes Lesegerät verfügen. Lesegeräte gibt es einzeln, mit Anschluss an die serielle Schnittstelle oder als Teil der Tastatur. Es ist möglich, externe Verbindungen so einzurichten, dass eine Authentifizierung mit Smartcard erzwungen wird.
Smartcards in der Praxis
Auf der Website zum Buch (www.winxp.comzept.de) finden Sie professionelle Beiträge, die den Einsatz von Smartcards praktisch erläutern und dabei Bezug auf aktuelle Produkte nehmen.
Vorgang der Netzwerkauthentifizierung Bei der Netzwerkauthentifizierung werden die Benutzerinformationen dem Netzwerkdienst gegenüber bestätigt, auf den der Benutzer zugreifen möchte. Für diese Art der Authentifizierung werden verschiedene Authentifizierungsmechanismen unterstützt, beispielsweise Kerberos 5, SSL und TLS (Secure Socket Layer, Transport Layer Security) sowie LAN Manager. Wird die normale Authentifizierung verwendet, ist die Netzwerkauthentifizierung nicht sichtbar. Sind dennoch Netzwerkressourcen
5.8 Sicherheit im Netzwerk ________________________________________________ 267 vorhanden, sie selbst eine Authentifizierung verlangen, muss den Benutzer immer wieder seinen Namen und das Kennwort eingeben.
Sicherheitsprotokolle für das Netzwerk Windows 2000 führte zwei Sicherheitsprotokolle neu ein, die Übertragungswege und Anmeldeprozesse schützen: IPSec und Kerberos. Sie sind unverändert in XP zu finden. Beide werden nachfolgend vorgestellt. IP Security (IPSec) ist eine neuere Technik, die PPTP langfristig als IPSec VPN-Standard ablösen soll, da sie ein höheres Maß an Sicherheit als RFCs 1825 – 1829 PPTP (Point-to-Point-Tunneling Protocol) garantieren kann. IPSec arbeitet auf IPv4 und soll fester Bestandteil von IPv6 werden. Bei IPSec handelt es sich um ein Paket von Protokollen, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb des VPN zuständig sind. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus. Im Tunnelmodus (siehe Abbildung 5.13) wird das komplette IP-Paket Tunnelmodus verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket größer als im Transportmodus. Der Vorteil besteht hier darin, dass in den LANs, die zu einem VPN verbunden werden sollen, je ein Gateway so konfiguriert werden kann, dass es IP-Pakete annimmt, sie in IPSec-Pakete umwandelt und dann über das Internet dem Gateway im Zielnetzwerk zusendet, dass das ursprüngliche Paket wiederherstellt und weiterleitet. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den Gateways IPSec implementiert sein muss. Außerdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen. Der IPSec-Kopf wird hinter dem IP-Kopf eingefügt. Er kann zwei Komponenten enthalten, die einzeln, unabhängig voneinander oder zusammen eingesetzt werden können: den Authentifizierungskopf (Authentification Header, AH) und den Encapsulating Security Payload (ESP). Der AH sichert die Integrität und Authentizität der Daten und der statischen Felder des IP-Kopfes. Er bietet jedoch keinen Schutz der Vertraulichkeit. Der AH benutzt eine kryptographische Hashfunktion (keyed-hash function) und keine digitale Signatur, da diese Technik zu langsam ist und den Datendurchsatz im VPN stark reduzieren würde. Der ESP schützt die Vertraulichkeit, die Integrität und Authentizität von Datagrammen. Er schließt aber die statischen Felder des IP-Headers bei einer Integritätsprüfung nicht ein.
268____________________________________________________ 5 Netzwerkgrundlagen Abbildung 5.13: Aufbau von IPSecPaketen im Tunnelmodus
Transportmodus
Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu transportierenden IP-Paketes. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt (siehe Abbildung 5.14).
Abbildung 5.14: Aufbau von IP-SecPaketen im Transportmodus
Der Vorteil dieser Betriebsart ist, dass jedem Paket nur wenige Bytes hinzugefügt werden. Dem gegenüber steht, dass jede Station im VPN IPSec beherrschen muss, was eine Neukonfiguration von bestehenden Netzen nötig macht. Außerdem ist es für Angreifer möglich, den Datenverkehr im VPN zu analysieren, da die IP-Header nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, so dass man nur feststellen kann, welche Stationen wie viele Daten austauschen, aber nicht welche Daten. Verwendete Verschlüsselungsverfahren
IPSec verwendet das Diffie-Hellman Schlüsselaustauschverfahren zur Identitätsprüfung. Die benutzten kryptographischen Hashfunktionen sind unter anderem HMAC, MD5 und SHA. Als Verschlüsselungsalgorithmen dienen zum Beispiel DES und IDEA, Blowfish und RC4.
Kerberos
Kerberos ist ein Protokoll, das am MIT (Massachusetts Institute of Technology) entwickelt wurde. Es ist in der RFC 1510 definiert:
RFC 1510
www.ietf.org/rfc/rfc1510.txt
5.8 Sicherheit im Netzwerk ________________________________________________ 269 Eine etwas anschaulichere Darstellungen finden Sie auf der »Kerberos Homepage des MIT«: web.mit.edu/kerberos/www/index.html
Speziell für die in Windows XP eingesetzte Version gibt es ein Draft: www.ietf.org/internet-drafts/draft-brezak-win2k-krb-rc4-hmac01.txt
Der Einsatz erfolgt, damit Kennwörter nicht offen über das Netzwerk übertragen werden. Normalerweise ist dies notwendig, denn vor der ersten Authentifizierung können sich Sender und Empfänger noch nicht auf ein gemeinsames Verschlüsselungsverfahren und die passenden Schlüssel verständigt haben. Kerberos verwendet zum einen ein Verschlüsselungsverfahren für Schlüssel, zum anderen sogenannte Zeittickets, die den Ablauf der Übertragung kontrollieren. Microsoft hat den Kerberos-Standard weiter entwickelt, so dass nun auch Zertifikate mit öffentlichen Schlüsseln eingesetzt werden können. Diese Schlüssel werden mit dem Zertifikatserver erstellt, der nur in der Windows 2000 Server-Familie verfügbar ist. Vorteil ist der mögliche Verzicht auf die Beschaffung von Zertifikaten von einem öffentlichen Herausgeber, der in der Regel Geld für die Dienstleistung verlangt. Kerberos baut im Wesentlichen auf einen zentralen Schlüsselserver auf. Wenn nun ein Benutzer A mit einem Server B Kontakt aufnehmen möchte, setzt er einen privaten Schlüssel K ein. Damit wendet er sich an den Schlüsselserver S. A und S können nun verschlüsselt kommunizieren. Der Schlüsselserver versieht die Nachricht nun mit einem Zeitstempel und einem Schlüssel für die Kommunikation mit B. Diese Information kann jedoch von A nicht entziffert werden, da nur B über den entsprechenden Schlüssel zur Entschlüsselung verfügt. A kann diesen Schlüssel auch nicht selbst erzeugen, weil er den privaten Schlüssel von B nicht kennt. Dieses Paket sendet A nun an B. B entschlüsselt es (denn er verfügt über den passenden privaten Schlüssel). Nun weiß B, das A Nachrichten senden will und auch dazu in der Lage ist. B versieht deshalb die Nachricht mit einem neuen Zeitstempel, verschlüsselt sie erneut und sendet sie an A zurück. A prüft nur noch, ob der zweite Zeitstempel größer als der erste ist, der Weg also tatsächlich über B ging. Außerdem ist der gesamte Vorgang zeitlich begrenzt, die Tickets für den Austausch sind nur eine begrenzte Zeit gültig. Nachteilig ist, dass die Partner über exakt die gleiche Zeit verfügen müssen, sonst stimmen die Zeitstempel nicht. Vor allem im WAN ist dies unter Umständen problematisch. Außerdem wird immer ein Server benötigt, der die Benutzer mit dem Tickets versorgt. Als Verschlüsselungsalgorithmus selbst wird beispielsweise DES benutzt. Der Vorteil ist die Verwendung immer neuer Schlüssel, die Decodierung macht nicht sehr viel Sinn. Wird Kerberos zur Authenti-
Nachrichtenübertragung über einen zentralen Schlüsselserver
Im WAN (Wide Area Network) sollten höhere Sicherheitsansprüche erfüllt werden als im LAN. Der Übertragungsweg kann nur selten überwacht werden und Angriffe auf solche Wege sind nicht selten. Betrachten Sie die Welt außerhalb Ihres Computers als feindliche Umgebung und sichern Sie sich so, als ob Sie angegriffen werden.
Kennwortauthentifizierung Eine Ebene ist die Kennwortauthentifizierung und die Übertragungsverschlüsselung. Die folgenden möglichen Sicherheitsprotokolle sind für die Authentifizierung zuständig: • Password Authentication Protocol (PAP) • Shiva Password Authentication Protocol (SPAP) • Challange Handshake Authentication Protocol (CHAP) • Microsoft-spezifische Version von CHAP (MS-CHAP) • Extensible Authentication Protocol (EAP) PAP
Kennwörter werden im Textformat und unverschlüsselt übertragen. Das ist einfach und schnell, aber nicht sicher. PAP wird oft verwendet, wenn die Gegenstelle nicht bekannt ist und ein sicheres Protokoll nicht ausgehandelt werden kann.
SPAP
Dies ist eine Modifikation von PAP für die Verbindung mit ShivaClients. Shiva ist ein Hersteller von Netzwerkgeräten (www.shiva.com). SPAP verwendet eine entschlüsselbare Zweiwege-Verschlüsselung für das Kennwort.
CHAP
Dieses Protokoll nutzt eine sichere Übertragung der Kennwörter. Verwendet wird der Hash-Algorithmus MD 5 (Message Digest 5). MD 5 ist ein Datentransformationsalgorithmus, der nur in einer Richtung arbeitet, also nicht wieder entschlüsselt werden kann. Beide Seiten transformieren das Kennwort mit MD 5 und vergleichen es dann. Wird das Kennwort abgefangen, ist es wertlos, weil nur der transformierte Code über den Übertragungsweg geht.
MS-CHAP
Dies ist eine spezielle Implementierung von CHAP, die über dieselben Eigenschaften verfügt, dem Nutzer aber den Komfort einer LANbasierten Anmeldung innerhalb einer reinen Microsoft-Umgebung erlaubt. Aktuell in Windows XP ist die Version 2.
5.8 Sicherheit im Netzwerk ________________________________________________ 271 EAP (Extensible Authentication Protocol) ist eine Erweiterung von PPP EAP (Point-to-Point Protocol). EAP bietet zusätzliche Sicherheitsfunktionen innerhalb von PPP. Die Definition erfolgt in RFC 2284. Eine Erweiterung ist TLS (Transport Layer Security), definiert in der RFC 2716. PPP selbst stellt nur die Verbindung her, besitzt also keinen Authentifizierungsmechanismus, wie Sie in dieser Auflistung beschrieben werden.
Verschlüsselung Ist das Kennwort erfolgreich ausgetauscht, beginnt die Datenübertragung. Auch hier gilt – je länger die Verbindung, um so unsicherer der Weg. Eine Verschlüsselung der Übertragung ist immer zu empfehlen. Windows XP bietet dafür zwei Wege: • Microsoft Point-To-Point Encryption (MPPE) • Internet Protocol Security (IPSec) MPPE (Microsoft Point-To-Point Encryption). Diese Version unterstützt MPPE 40-, 56- und 128-Bit-Schlüssel und nutzt den RSA-RC4-Algorithmus über PPP. RSA steht für Rivest, Shamir und Adlemen – die Namen der Erfinder. IPSec (Internet Protocol Security). Diese Dienstesammlung basiert auf IPSec der DES- oder 3DES (Triple DES)-Verschlüsselung. DES steht für Data Encrpytion Standard. IPSec kann auch auf getunnelte Verbindungen aufsetzen, wie beispielsweise auf L2TP (siehe oben).
Rückruf Der Rückruf ist eine ebenso einfache wie wirkungsvolle Sicherheitsmaßnahme. Bei der Verwendung einer direkten Verbindung zu einem entfernten Computer, beispielsweise per Telefon, kann der Rückruf feindliche Zugriffe massiv erschweren. Der entfernte Computer, der sich mit einem Server verbinden möchte, meldet sich dort an und bittet um Rückruf. Der Server trennt sofort die Verbindung und baut nun seinerseits die Verbindung – basierend auf der Nummerninformation. Ein Anruf von einem nicht zuvor autorisierten Telefonanschluss ist daher zwecklos.
5.8.3
Internetverbindungsfirewall
Der Datenaustausch zwischen Internet und einem lokalen Computer oder einem Büronetzwerk ist zunehmend gefährdet. Durch Festverbindungen und Flatrates sind Ports auf lokalen Rechnern mit entsprechender Software wie Portscannern leicht zu orten. Auch dynamische IP-Adressen bieten keinen Schutz davor, dass inzwischen ganze
272____________________________________________________ 5 Netzwerkgrundlagen Netzwerke gescannt werden. Es ist beobachtet worden, dass bereits nach 20 Minuten Online-Zeit erste Scannerzugriffe erfolgten. Erkennt der Angreifer dann offene Ports, die Systemdienste anbieten, kann er darüber versuchen, Zugriff auf das System zu erlangen. Um das Internet dennoch nutzen zu können, bietet sich der Einsatz einer Firewall an. Derartige Programme sperren grundsätzlich bestimmte IP-Adressen und Ports. Nur die wirklich benötigten Verbindungen werden gestattet. Administration ab Seite 664
In den folgenden Abschnitten finden Sie einige Hintergrundinformationen zu diesem Thema. Hinweise zur Einrichtung der integrierten Firewall finden Sie in Abschnitt 10.5.3 Firewallfunktionen ab Seite 664.
Bedeutung der Firewall Jeder Computer ist gefährdet
Dies ist durchaus von Bedeutung, auch wenn mit dynamischen IPAdressen gearbeitet wird. Es gibt im Internet Berichte über Messungen, die Portscans schon nach 20 Minuten Online-Zeit feststellten. Die IP-Kreise, die Provider verwenden, sind hinlänglich bekannt. Schnelle Computer sind in der Lage, permanent den gesamten Bereich zu erreichen. Wird eine IP-Adresse aktiv – der Benutzer sich also eingewählt hat – beginnt ein Portscan, um herauszufinden, welche Dienste aktiv sind. Aus der Kenntnis der Dienste kann man auf mögliche Sicherheitslücken schließen und dann sehr schnell einen Angriff starten. Eine Firewall verhindert zuverlässig derartige Zugriffe aus dem Internet. Wenn Sie bereits einen DSLAnschluss installiert haben, werden vermutlich auch hier dynamische Adressen vergeben, die Online-Zeiten sind dabei jedoch wegen der verbreiteten Flatrates deutlich höher und damit die Wahrscheinlichkeit angegriffen zu werden. Einen zweiten Grund für die höhere Anfälligkeit stellt die bessere Bandbreite dar, denn hier können Portscans schneller ausgeführt werden. Gefährdet sind Computer und Netzwerke auch durch die Naivität der Anwender. So stellen viele fest, »Wer sollte mich schon angreifen«? Die Feststellung der willkürlichen Portscans zeigt jedoch, dass dies kein direkter, persönlicher Angriff ist, sondern einfach irgendwelche Computer gesucht werden. Meist werden offene Computer verwendet, um dort Trojanische Pferde zu installieren. Diese schaden nicht direkt dem befallenen Computer selbst, sondern führen auf Anweisung einer »höhern Instanz« Denial-of-Service-Attacken auf das eigentliche Opfer aus. Stark abgesicherte Systeme lassen sich praktisch nur noch stören, indem extrem viele Anfragen, möglichst noch mit fehlerhaften Paketen, gestartet werden. Letztlich bleibt dem Betreiber keine andere Wahl, als seine Server abzuschalten. Die Verteilung der Angriffsfront auf unwissende Anwender, weltweit und über viele Einwahlknoten gestreut, macht eine Abwehr unmöglich. Eine Firewall
5.8 Sicherheit im Netzwerk ________________________________________________ 273 muss deshalb heute mehr tun, als nur den Zugriff zu schützen. Sie muss auch den Missbrauch des Computers verhindern.
Wie die Firewall arbeitet Die Firewall arbeitet permanent und überwacht alle Pakete, die Unzulässige empfangen und gesendet werden. Dabei werden die Quell- und Anfragen Zieladresse überprüft und der Dienst, der angesprochen wird. Damit der reguläre Verkehr, als Antworten von Servern im Internet, nicht verhindert wird, protokolliert die Firewall den ausgehenden Verkehr. Damit ist klar, wohin der Computer Anfragen gesendet hat. Wird ICS verwendet, gilt dieses Verhalten für alle Anfragen aus dem Netzwerk. Wenn beispielsweise eine Anfrage an die Adresse 207.46.197.100 gesendet wird, werden Pakete von diesem Host auch wieder hereingelassen. Pakete von unbekannten Hosts werden dagegen als Angriffsversuch betrachtet und abgelehnt. Die Firewall blockt aber nicht komplett ab, wenn Sie einen Webserver betreiben, der aus dem Internet erreichbar sein soll. Solche Anfragen können natürlich nicht im Protokoll vorhanden sein und würden immer abgelehnt werden. Eine Firewall kann deshalb außer auf IP-Ebene auch auf der Ebene des übergeordneten Protokolls (TCP, IMCP, UDP) und auf Portebene arbeiten. Die Firewall funktioniert solange problemlos, wie der beschriebene Typische Probleme Ablauf auch in dieser Weise verläuft. Wenn ein Outlook Express im Netzwerk regelmäßig selbstständig E-Mail abruft, stört die Firewall nicht. Der Antwort des POP3-Servers geht immer eine Anfrage voraus, sodass das Firewallprotokoll mit den entsprechenden Verbindungsdaten gefüllt ist. Wird dagegen Exchange eingesetzt und versucht der Exchange-Server, ein Outlook 2000 über den Eingang neuer E-Mail zu informieren, verwendet er dazu das Protokoll RPC (Remote Procedure Call). Diese Anfrage ist natürlich nicht bekannt und die Firewall lehnt die Paketübertragung ab. Solche Anfragen betreffen übrigens auch Portscans, die meist über Zulässige aber ICMP laufen. Die Firewall in Windows XP reagiert auf unzulässige unnötige Anfragen Anfragen nicht. Der Benutzer wird nicht ständig mit Hinweisen auf mögliche Angriffe belästigt. Viele solcher scheinbaren Versuchen sind tatsächlich normale Vorgänge im Internet. Router tauschen Informationen aus, Leitrechner in den Zentralen der Provider überwachen die Aktivität usw. In jedem Fall gibt es eine Reihe zulässiger Paketaussendungen, die gefahrlos abgeblockt werden können, aber keineswegs Angriffe darstellen. Die Firewall arbeitet deshalb »still«. Kommerzielle Firewalls in Umgebungen, die eine sorgfältige Erkennung von Angriffen erfordern, bieten natürlich weitaus mehr Informationen und Kontrollmöglichkeiten. Allerdings kann eine Protokollierungsfunktion eingeschaltet werden, die den gesamten Verkehr speichert (außer
274____________________________________________________ 5 Netzwerkgrundlagen Daten). Es kann unterschieden werden, ob erfolgreiche Pakete (Ziel erreicht) oder erfolglose Pakete (Weiterleitung verhindert) oder beides protokolliert werden.
Die Internetverbindungsfirewall in Windows XP Da XP in der Lage ist, ein Modem oder eine Netzwerkverbindung freizugeben, bietet sich der Zugriff für ein Netzwerk direkt an. Die Gefährdung ist natürlich größer, weil sich mehr Angriffspunkte ergeben. Durch die Internetverbindungsfirewall kann dies reduziert werden. Wie es funktioniert
Die Internetverbindungsfirewall verfolgt den gesamten ein- und ausgehenden Datenverkehr. Dabei wird protokolliert, welche externen Server der Benutzer absurft. Datenverkehr, den diese Server zurücksenden, wird durchgelassen. Anderer Verkehr jedoch wird geblockt. Dadurch muss der Benutzer nicht bestimmte Adressen freigeben – was im das praktische Surfen unmöglich machen würde. Einfache Scannerzugriffe, die von außen initiiert werden, werden damit ebenso sicher verhindert. Es ist jedoch durchaus möglich, dass im Netzwerk öffentliche Dienste angeboten werden, beispielsweise ein Webserver. Hier initiiert der fremde Client die erste Abfrage. Die Firewall muss also Zugriffe auf bestimmte Ports durchlassen. Dies kann konfiguriert werden. Die erreichbare Sicherheit hängt von der Konfiguration ab.
Scanner verhindern
Scanner beginnen ihre Arbeit meist mit dem einfachen Echo-Test: Der Kontaktaufnahme mit dem Programm PING. Ursprünglich diente dieses Programm dem Test von Verbindungen vor der Aufnahme des Kontakts mit dem eigentlichen Arbeitsprotokoll. Als Protokoll wird ICMP (Internet Control Message Protocol) eingesetzt. Scanner erkennen aus einem erfolgreichen Echo die Existenz eines Computers und vertiefen die Analyse nur dort, wo es Erfolg verspricht. Die Internetverbindungsfirewall kann ICMP-Pakete verhindern. Geräte, die Netzwerkfunktionen überwachen, werden den Rechner zwar als »tot« ansehen, unerwünschte Angriffsversuche fallen aber ebenso durchs Raster. Der Administrator eines Windows XP-Computers muss natürlich einschätzen können, welche Ansprüche im lokalen Netzwerk herrschen und wieweit eine Absicherung gehen darf und muss.
Überwachungsfunktionen Die pauschale Sperrung von Verbindungen wird oft nicht möglich sein. Auch wenn eine Sperrung erfolgt, sollten Netzwerkanschlüsse überwacht werden. Die Internetverbindungsfirewall verfügt über Protokollierungsfähigkeiten. Durch Auswertung der Protokolle lässt sich der Datenverkehr nachträglich analysieren. Dies ist zwar auf-
5.8 Sicherheit im Netzwerk ________________________________________________ 275 wändig, kann aber bei Verdacht die Ursache für unerwarteten Datenverkehr offen legen. Abwehrmaßnahmen greifen letztlich nur wirkungsvoll, wenn die Quelle eines Angriffs oder wenigstens die Methodik, mit der er geführt wird, erkannt werden kann.
Aufbau eines Netzwerkes mit Firewall Mit einer Firewallfunktion in Windows XP allein ist es nicht getan. Ein lokales Netzwerk abzusichern, verlangt einige Überlegung – je nach Platzierung der einzelnen Server und Systeme. Windows XP als Firewall wird sinnvoll nur dann zum Einsatz kommen, wenn es zugleich als Router arbeitet und für anderen Computer im Netzwerk die Verbindung herstellt. Dabei spielt es keine Rolle, ob es sich um eine Wähl- oder eine Festverbindung handelt. Allerdings sind Wählverbindungen einfacher zu konfigurieren, da der Abruf von Diensten von außen praktisch unmöglich ist. Dennoch ist die Absicherung eingehender Verbindungen notwendig. Denn spätestens nach der Anwahl des Providers könnten Scanner dies erkennen und Zugriffe initiieren. Nur die Entscheidung, was abgesichert wird, ist leichter zu treffen. Wenn keine Dienste angeboten werden (Webserver) oder Server nicht erreicht werden müssen (SMTP-Server), sollten alle eingehenden Verbindungen geblockt werden. Damit die Benutzer surfen können, muss die Internetverbindungsfirewall in der Lage sein, ausgehende Verbindungen zu protokollieren und die Antworten »hereinzulassen«. Keine Einschränkung gibt es bezüglich der Remoteunterstützung, die Remoteunterimmer in beiden Richtungen möglich ist. Die stützung Internetverbindungsfirewall ist also kein taugliches Mittel, um derartige Verbindungen zu verhindern. Allerdings lässt sich die Remotesteuerung ohne Eingriff des Benutzers ohnehin nicht starten. In Windows-Netzwerken werden viele Anfragen von Servern und Clients übertragen. Basiert das gesamte Netzwerk auf IP, laufen auch solche Dienste über IP-Adressen und Ports. Wichtig ist die Kommunikation über SMB ( Server Message Block). Davon ist beispielsweise die Dateifreigabe betroffen, die die UDP-Ports 135 bis 139 (meist 137) verwendet und die TCP-Ports 135 bis 139. Wird NetBIOS über IP betrieben, ist Port 445 aktiv (sowohl UDP als auch TCP). Die Freigabe entsprechender Verbindungen ist möglich, wenn dies auf den lokalen Verkehr beschränkt wird. Generell ist der gemeinsame Einsatz von Freigaben und Firewall mit Schwierigkeiten verbunden. Wenn Sie VPN (Virtual Private Networks) einsetzen, kann die Firewallfunktion von Windows XP den Zugriff auf Ressourcen einschränken. Sie sollten dann eine vollwertige Firewall eines anderen Anbieters einsetzen.
276____________________________________________________ 5 Netzwerkgrundlagen Spezielle Ports für bestimmte Anwendungen
Verschiedene Anwendungen benötigen bestimmte Ports. So verwendet die MSN Gaming Zone, ein Internet-Spielsystem, die TCPPorts 6 667 sowie 28 800 bis 29 000. Die Zeitsynchronisation nutzt das Protokoll NTP (Network Time Protocol) für die Verbindung mit einem Zeitserver. Standardmäßig verhindert die Firewall diese Verbindung. NTP verwendet den UDPPort 123. Besteht eine Telefonieverbindung mit H.323-Dienstanbietern, müssen Sie vom Administrator der Telekommunikationseinrichtung die IPAdressen und -Ports erfragen, um die Firewall entsprechend zu konfigurieren.
Tipps zum Testen der Systemsicherheit Wenn Sie Ihr System schnell testen möchten, brauchen Sie einen simulierte Angriff von außen. Empfehlenswert ist es, bevor Sie mit der Konfiguration beginnen, folgende Website zu besuchen: https://grc.com/x/ne.dll?bh0bkyd2
Wählen Sie weiter unten auf der Seite die Funktionen TEST MY SHIELDS bzw. PROBE MY PORTS. Der gesamte Test dauert – über eine DSLVerbindung – nur wenige Sekunden. Genauso schnell wäre auch ein Angreifer über alle Schwachstellen eines Systems im Bilde. Die folgende Abbildung zeigt das Ergebnis eines Port-Tests. Der Test über diese Seite eignet sich auch gut zur Kontrolle der Protokollierungsfunktionen der Firewall, weil die IP-Adressen, von denen der simulierte Angriff erfolgt, offen gelegt sind. Sie können also gut nachvollziehen, wann die Aktion von Ihnen selbst ausgelöst und welche Wirkung erzielt wurde.
5.8 Sicherheit im Netzwerk ________________________________________________ 277 Abbildung 5.15: Testergebnis für Windows XP ohne Firewall
5.8 Sicherheit im Netzwerk ________________________________________________ 279
6 6 Drucken Drucken ist eine der wichtigsten Aufgaben bei der täglichen Arbeit mit Windows XP. Der Umgang mit Druckern ist sowohl für den Benutzer als auch für den Administrator einfacher geworden.
6.1 Überblick Die Druckfunktionen unter Windows XP sind direkt von Windows 2000 übernommen worden. Wirklich neu sind hier nur das nochmals verfeinerte Plug&Play sowie eine Fülle neuer Treiber, mit denen Sie heute nahezu alle gängigen Druckermodelle ansteuern können. In der folgenden Aufstellung finden Sie Druckfunktionen von Windows XP Professional:
die
wesentlichen
• Automatische Druckererkennung durch Plug&Play Drucker werden wie unter Windows 9x/ME/2000 durch den USB bevorzugt Hardwareassistenten erkannt und bei Verfügbarkeit eines Treibers automatisch eingebunden. Die Erkennung funktioniert nahezu reibungslos, wenn Sie den Drucker via USB an Ihr System anschließen. Über den »klassischen« Parallelport betriebene Drucker werden nur beim Neustart des Systems automatisch erkannt, und auch nur dann, wenn der Parallelport und der Drucker bidirektionale Kommunikation unterstützen. Hinweise zur Installation und Einrichtung von Druckern finden Sie in Abschnitt 11.1.2 Druckererkennung durch Plug&Play ab Seite 686. • Netzwerk-Druckunterstützung Mit Windows XP können Sie auch Netzwerkdrucker direkt ansprechen. So lassen sich Druckserver nutzen, die beispielsweise unter UNIX-System laufen. Auch Drucker, die über IPP- oder TCP/IPDrucken unterstützen, können Sie ohne Umwege einsetzen. In Abschnitt 11.3 Netzwerkdrucker clientseitig einbinden ab Seite 704 werden diese Funktionen näher vorgestellt. • Druckserver-Funktionen Einfache Druckserverfunktionen bietet bereits Windows XP Professional. Bis zu 10 Netzwerkbenutzer können gleichzeitig bereitgestellte Druckdienste nutzen. So lassen sich in kleineren Netzwerken komfortabel Drucker teilen. In Abschnitt 11.2 Windows XP als Druckserver ab Seite 691 sind diese Funktionen näher beschrieben. Zusätzlich können Sie lokal verwaltete Drucker im Veröffentlichung Verzeichnisdienst Active Directory veröffentlichen. Das im Active Directory funktioniert aber nur dann, wenn das System selbst in eine Active Directory-Domäne integriert worden ist. Damit lassen sich auf sehr einfache Art und Weise alle Druckressourcen, eben auch lokal angeschlossene Drucker, flexibel ausnutzen.
Auch Windows XP bringt die Farbmanagement-Unterstützung ICM mit, die Sie vielleicht schon von Windows 9x/ME und 2000 kennen. Technologisch gesehen hat sich hier nicht viel getan. Allerdings liefern immer mehr Hersteller vor allem professionellerer Farbdrucklösungen Farbprofile mit, die eine höhere Farbqualität sicherstellen sollen. Lesen Sie in Abschnitt 6.4 Farbmanagement ab Seite 298 einiges zu den Hintergründen.
6.2 Grundprinzipien der Druckansteuerung In diesem Abschnitt werden grundlegende Verfahren der Druckansteuerung unter Windows XP behandelt.
6.2.1
Logische und physische Drucker
Unter allen heute auf dem Markt befindlichen WindowsBetriebssystemen (Windows 9x/ME, NT, 2000 und XP) wird zwischen logischen und physischen Druckern unterschieden.
Logische Drucker Druckertreiber
Logische Drucker werden unter dem Betriebssystem mit der Installation eines Druckertreibers eingerichtet. Diese Softwarekomponente ist ihrerseits wiederum eng mit dem Windows Druckerspooler verbunden. Dieser leitet die mit dem logischen Drucker generierten Daten an den oder die entsprechenden physischen Drucker weiter.
Physische Drucker Gerät
Logische Drucker können Sie wiederum einem oder mehreren physischen Druckern oder auch einem virtuellen Port, beispielsweise für die Ausgabe in eine Datei oder die Übergabe an eine Faxsoftware, zuordnen. Als physischer Drucker wird das konkrete technische Gerät bezeichnet, auf dem der Druck hergestellt wird.
Hohe Flexibilität
Diese konsequente Trennung von logischen und physischen Komponenten verhilft zu einer hohen Flexibilität bei der Einbindung und Organisation von Druckressourcen.
Offline drucken
Einen logischen Drucker können Sie auch dann für die Druckausgabe benutzen, wenn der physische Drucker nicht vorhanden ist. So haben Sie die Möglichkeit, den Anschlussport des logischen Druckers auf FILE umzustellen und den Druckdatenstrom in eine Datei umzuleiten.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 283 Diese Druckdatei können Sie dann bei einem anderen, kompatiblen Drucksystem zu laden. Oder Sie stellen den logischen Drucker auf Offline verwenden. Im zugeordneten Spooler werden die Druckdaten dann so lange aufbewahrt, bis Sie den logischen Drucker wieder Online schalten. So können Benutzer im Netzwerk auch weiterhin Druckaufträge senden, wenn ein Drucker kurzzeitig ausgefallen ist. Ist der Drucker wieder verfügbar, werden alle bisher aufgelaufenen Druckjobs abgearbeitet. Abbildung 6.1: Logischer und physischer Drucker
Neben der Möglichkeit, logische Drucker offline zu verwenden, Umleitung können Sie auch für die Benutzer transparent eine Umleitung von Druckjobs vornehmen. Ohne dass sich für den Benutzer in der Ansteuerung »seines« Druckers etwas ändert, kann der Auftrag auf einem anderen, vielleicht über das Netzwerk angeschlossenen Drucker erfolgen. Bedingung ist dann nur, dass dies ein zum ersten Drucker kompatibles Gerät ist.
Mehrere logische Drucker verwenden Für bestimmte Anwendungsfälle kann es sinnvoll sein, für einen physischen Drucker mehrere logische Drucker einzurichten. Sie sind da in der Entscheidung völlig frei. Unter Windows XP können Sie theoretisch beliebig viele logische Drucker einrichten. Die einzige Bedingung ist die eindeutige Unterscheidbarkeit durch den gewählten Namen. In Abbildung 6.2 sehen Sie einen möglichen Anwendungsfall für die Verwendung mehrerer logischer Drucker für den Betrieb eines physischen Gerätes. Das angenommene Drucksystem versteht zwei Druckersprachen: PCL und Postscript. Der PCL-Druckertreiber verfügt gegenüber dem Postscript-Treiber über mehr Funktionen, beispielsweise um aus einem mehrseitigen Dokument elektronisch eine fertige Broschüre zu erstellen und auszugeben. Mit dem Postscript-Treiber
284_______________________________________________________________ 6 Drucken können Sie wiederum aus Layout-Programmen wie PageMaker oder Quark XPress zum Offsetdruck standverbindliche Probedrucke herstellen. Um die Vorteile beider Druckertreiber jeweils nutzen zu können, installieren Sie diese und erhalten im Ergebnis zwei logische Drucker, die mit einem physischen Gerät verbunden sind. Abbildung 6.2: Zwei verschiedene logische Drucker für ein physisches Gerät
6.2.2
Interner Ablauf beim Drucken
Die Druckdienste sind in Windows XP, wie viele andere Systembestandteile, modular aufgebaut. Jeder Teil übernimmt eine spezifische Funktion bei der Abwicklung des Druckauftrages. Das Zusammenspiel der einzelnen Komponenten soll die folgende Abbildung verdeutlichen. GDI
Das Graphical Device Interface (GDI) ist die zentrale universelle Schnittstelle für die Aufbereitung der Daten der Anwendung für die Ausgabe auf dem Bildschirm oder einem Drucksystem. Für die Druckaufbereitung kommuniziert die Graphics Engine über das GDI mit dem Druckertreiber. Diese enge Verbindung zwischen den technischen Merkmalen des Druckertreibers und der Bildschirmdarstellung können Sie immer dann registrieren, wenn nach dem Wechsel des aktuellen Druckertreibers beispielsweise eine Anwendung wie Microsoft Word beginnt, das Dokument neu umzubrechen. Andere Anwendungen, etwa professionelle Satzprogramme wie Quark XPress oder Adobe Pagemaker, kennen diese Probleme nicht, indem sie für die Aufbereitung der Daten für die Bildschirmanzeige eigene Routinen zwischenschalten.
Verbesserte Grafikausgabe auch auf dem Bildschirm: GDI+
In Windows 2000/XP ist ein gegenüber Windows NT 4.0 weiterentwickeltes GDI implementiert worden. Verbesserungen betreffen beispielsweise die Performance und Funktionalität, auch für die Grafikausgabe auf dem Bildschirm. So können unter anderem Cursor in
6.2 Grundprinzipien der Druckansteuerung __________________________________ 285 Echtfarben oder Text-Antialising hardwareunterstützt programmiert werden. Ein deutliches Erkennungszeichen des neuen GDI ist übrigens der schattiert dargestellte Cursor. Hier wird eine AlphaBlending-Technologie des neuen GDI+ genutzt. Installieren Sie Grafiktreiber von Drittherstellern, die noch nicht diese Funktion des GDI nutzen, erscheint der Windows-Cursor wie gewohnt ohne Schatten. Abbildung 6.3: Ablauf beim lokalen Drucken
Die Anwendung übergibt die zu druckenden Daten über GDI-Aufrufe DDI an das Device Driver Interface (DDI), welches für den Druckprozess natürlich mit dem Druckertreiber verbunden ist. Über den Drucker-
286_______________________________________________________________ 6 Drucken treiber erfolgt dann die Umsetzung der anwendungsspezifischen Daten in die geräteabhängigen Daten, die das jeweilige Drucksystem versteht. So werden beispielsweise die GDI-Aufrufe in PostscriptCode für Belichter oder PCL-Code für Bürolaserdrucker umgesetzt. Der Druckspooler
Die nächste Stufe ist die Übergabe der über das DDI generierten Druckdaten an den Spooler. Dieser ist als typische Client-ServerAnwendung implementiert und besteht aus zwei Teilen. Clientseitig arbeitet WINSPOOL.DRV, der die fertigen Druckdaten entgegennimmt. Serverseitig wird SPOOLSV.EXE eingesetzt, um die gespoolten Daten zu übernehmen. Wird lokal gearbeitet, laufen beide Programme auf dem gleichen Windows XP-System. Wenn der Spooler auf dem Server die Daten übernommen hat, sorgt der Druckrouter für die Weiterleitung an die Schnittstellen.
Local Print Provider
Die Schnittstellen werden aber auch hier noch nicht direkt angesprochen, sondern von einer logischen Schicht verwaltet – dem Local Print Provider (LPP). Falls sich der Drucker im Netzwerk befindet, stellt der Netzwerkserver den LPP bereit. Der LPP verwaltet die Druckprozessoren, dass sind niedere Treiber für spezielle Druckformate. Der Druckprozessor sorgt auch für den Einbau von Trennseiten oder das Hinzufügen der abschließenden Seitenumbrüche beim Datentyp RAW [FF APPENDED]. Ist der Druckauftrag vom Druckprozessor fertiggestellt, wird er an die Portmonitore weitergeleitet. Diese Komponenten überwachen die physikalische Schnittstelle zum Drucker. Falls es sich um eine bidirektionale Schnittstelle handelt, wird der Druckauftrag mit dem Sprachmonitor (Print Job Language Monitor) bedient. So kann er mit dem Drucker kommunizieren und dessen Status abfragen. Fallen Daten an, werden diese bis zum Druckerdialog weitergereicht und stehen dort zur Verfügung oder werden als Popup-Dialog angezeigt. Wird eine unidirektionale Schnittstelle verwendet, werden die Daten einfach zum Port gesendet. Auch das übernimmt der Portmonitor.
Spooldatei
Die Druckdaten werden über den Druckspooler in Spooldateien zwischengespeichert. Dazu werden pro Druckjob zwei Dateien angelegt: • .SPL steht für einen Dateinamen, der aus einem fünfstelligen numerischen Zähler gebildet wird. 00012.SLP steht beispielsweise für die zwölfte Spooldatei. In der SPL-Datei sind die reinen Druckdaten abgelegt, welche dann so an den Drucker gesendet werden. • .SHD
Der Dateiname der SHD-Datei entspricht exakt dem der dazugehörigen SPL-Datei. In der SHD-Datei werden administrative Informa-
6.2 Grundprinzipien der Druckansteuerung __________________________________ 287 tionen zum Druckjob wie Benutzer- und Dokumentname gespeichert. Diese Dateien bleiben so lange gespeichert, bis der Druckvorgang erfolgreich beendet worden ist. Damit gehen keine Daten verloren, auch wenn es zu einem vorübergehenden Ausfall eines Druckers oder Servers kommt. Standardmäßig werden die Spooldateien in folgendem Verzeichnis Speicherort abgelegt: %Systemroot%\System32\Spool\Printers
Sie können als Administrator den Speicherort sowohl für den Server insgesamt als auch für einzelne Drucker ändern. Die entsprechenden Administrationsschritte finden Sie in Abschnitt 11.2 Windows XP als Druckserver ab Seite 691.
Spool-Datenformate Für die Übergabe der Druckaufträge an den Spooler stehen die folgenden Formate unter Windows XP zur Verfügung: • EMF EMF (Enhanced Metafile) ist das Standardformat. Hierbei wird der Enhanced Metafile Druckauftrag beim Client zusammengestellt. Die eigentliche Verarbeitung, beispielsweise das Erzeugen von Kopien oder die Umdrehung der Druckreihenfolge, erfolgt im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet. • Raw Raw ist das Standardformat für alle Clients, die nicht unter Win- Raw dows NT, 2000 oder XP laufen. Die Daten werden im Spooler nicht verändert und direkt an den Drucker weitergeleitet. Es gibt zwei Modifikationen des Datentyps: - Raw [FF appended]
[FF appended]
Hierbei wird bei jedem Druckauftrag ein Seitenvorschub angehängt. Laserdrucker und andere Seitendrucker geben die letzte Seite nicht aus, wenn sie nicht vollständig ist. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch. - Raw [FF auto] Mit dieser Option prüft der Spooler, ob die letzte Seite bereits mit einem Seitenumbruch abgeschlossen wird. Ist das der Fall,
288_______________________________________________________________ 6 Drucken unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehängt. • Text Text
Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die nicht vom Spooler modifiziert werden. Der Drucker druckt in seiner Standardschriftart.
Anschlussmonitore Wie im vorhergehenden Abschnitt erläutert, wird die physische Schnittstelle zu den Drucksystemen über Anschlussmonitore gesteuert. In diesem Abschnitt werden die wichtigsten standardmäßig vorhandenen lokalen und Remote-Anschlussmonitore vorgestellt. Lokale Anschlussmonitore
In der folgenden Tabelle sind die lokalen Anschlussmonitore aufgeführt, welche Sie in Windows XP standardmäßig vorfinden:
Tabelle 6.1: Lokale Anschlussmonitore unter XP
Anschluss
Erklärung
LPT1 ... n
Parallelport 1 bis n (Standard 1 bis 3)
COM1 ... n
Serieller Port 1 bis n (Standard 1 bis 4)
FILE
Ausgabe in Datei
USB
Der USB-Anschlussport wird automatisch über die Plug&Play-Funktionen eingerichtet, wenn ein entsprechender Drucker an dieser Schnittstelle vorgefunden wird.
Local Port
weitere lokale Anschlüsse (siehe nächste Tabelle)
Weitere lokale Ports können Sie als Administrator hinzufügen. Die folgende Tabelle enthält dafür mögliche Werte, welche Sie dabei für die Portbezeichnung verwenden können: Tabelle 6.2: Lokale Ports
Lokaler Port
Erklärung
Geben Sie einfach einen Namen einer beliebigen Ausgabedatei fest an. Der Druck wird dann automatisch in diese Datei geleitet. Damit lassen sich beispielsweise Druckaufträge in Netzwerkverzeichnissen ablegen, wo sie durch andere Programme automatisch weiterverarbeitet werden können. Existiert bereits eine Datei gleichen Namens, wird diese ohne Vorwarnung überschrieben.
Sie können auch direkt einen im Netzwerk freigegebenen Drucker als Port angeben. Damit können Sie beispielsweise das Spoolen auf dem entsprechenden Druckserver unterbinden. Die Druckdaten werden
6.2 Grundprinzipien der Druckansteuerung __________________________________ 289 Lokaler Port
Erklärung stattdessen lokal auf dem Server zwischengespeichert, der über diesen Port die Daten versendet. Als Portbezeichnung ist nur diese Notation zulässig: \\<server oder domäne>\
NUL
Gibt als Ausgabeziel das NUL-Device an. Damit können Sie Druckaufträge ins »Nichts« leiten und so beispielsweise die Funktionsfähigkeit von Druckservern überprüfen.
IrDA
Spezifiziert den Infrarot-Port nach dem IrDA-Standard (Infrared Data Association)
1394
Gibt als Ausgabeport einen Anschluss nach der IEEE1394-Spezifikation an.
Über die Remote-Anschlussmonitore werden Drucker angesteuert, Remotewelche über eine Netzwerkschnittstelle verfügen. Auch hier können Anschlussmonitore Dritthersteller spezielle Monitore entwickeln, um bestimmte Funktionen ihrer Drucksysteme spezifisch ansteuern zu können. Die folgende Tabelle enthält die wichtigsten standardmäßig unter Windows XP Professional verfügbaren Remote-Anschlussmonitore. Monitor
Erklärung
SPM
Standard TCP/IP Port Monitor Dient der Verbindung mit TCP/IP-Drucksystemen. Dabei wird auch SNMP (Simple Network Management Protocol; RFC 1759) unterstützt, über das erweiterte Statusabfragen des Druckers erfolgen können. SMP ist leistungsfähiger und besser konfigurierbar als der LPR-Portmonitor und sollte diesem, wenn möglich, vorgezogen werden, wenn Sie einen TCP/IP-Drucker ansteuern wollen.
LPR
LPR-Anschlussmonitor Diese unter Unix weit verbreitete Methode der Anbindung von Drucksystemen wird unter Windows XP durch einen entsprechenden LPR-Client unterstützt. Für die Ansteuerung wird auf der Seite des Druckers ein LPD-Dienst benötigt. Beim LPR-Client wirden dann der Hostname des LPDServers und der Remotedruckername für den Netzwerkdrucker angegeben.
6.2.3
Druckertreiber
Die Funktion von Druckertreibern wurden schon im vorhergehenden Abschnitt kurz beschrieben: Die Umwandlung der geräteunabhängi-
290_______________________________________________________________ 6 Drucken gen GDI-Aufrufe in die Befehle oder Codes, die das jeweilige Drucksystem versteht. Dabei werden mehrere Grundtypen von Druckertreibern unterschieden, deren drei wichtigste in den folgenden Abschnitten beschrieben sind.
Universeller Druckertreiber Unidriver
Der Universelle Druckertreiber wird für die meisten Druckertypen eingesetzt, die sich im typischen Geschäfts- oder Heimumfeld befinden. Dieser Treibertyp wird auch als Rastertreiber bezeichnet, da er das Drucken von Rastergrafiken direkt übernehmen kann. Für den Farbdruck werden verschiedene Farbtiefen und eine Reihe von Rasterverfahren unterstützt. Für den Druck von reinem Text sind druckerspezifische Schriftarten einsetzbar. Diese haben aber heute mit Truetype und Opentype nahezu an Bedeutung verloren, garantieren doch diese unabhängigen Formate erst einen gleichartigen Ausdruck auf den verschiedensten Druckern mit einer weitgehenden Übereinstimmung zum Bildschirm (What you see is what you get – WYSIWYG). Der Unidriver unterstützt diese drei Arten von Schriften.
PCL
Als eine Untermenge der durch den Unidriver unterstützten Druckersprachen findet sich auch die von Hewlett Packard entwickelte Printer Control Language (PCL) wieder, heute neben Postscript ein Standard für viele Drucksysteme im geschäftlichen Umfeld.
Beschreibungsdatei *.gpd
Der Unidriver wird mit einer Beschreibungsdatei für das jeweilige Druckmodell vom Druckerhersteller versorgt, in der die druckerspezifischen Merkmale wie beispielsweise Papierformate, Farbfähigkeit oder Auflösung vermerkt sind.
Treiber mit Signatur verwenden!
Daneben wird es sicher nach wie vor auch komplexe Druckertreiber von Herstellern geben, die über die standardmäßig gebotenen Features des Unidriver hinausgehen wollen und eigene weitergehende Komponenten mitliefern. Dabei sollten Sie auch hier das oberste Gebot für Treiber in Windows 2000/XP durchaus ernst nehmen: Niemals ohne Signatur! Sonst kann es durchaus passieren, dass eine Reihe der neuen Eigenschaften wie beispielsweise das Internet-Drucken auf einmal nicht mehr nutzbar ist. Haben Sie keinen entsprechenden Druckertreiber für Ihr konkretes Drucksystem, ist es für die Sicherstellung eines reibungslosen Betriebes besser, einen in Windows XP enthaltenen, kompatiblen Treiber zu wählen, als auf einen älteren Treiber des Herstellers zurückzugreifen.
Postscript-Druckertreiber Postscript
Der Standard in der grafischen Industrie schlechthin ist heute Postscript. Die bislang eher mäßige Unterstützung dieser Seitenbeschrei-
6.2 Grundprinzipien der Druckansteuerung __________________________________ 291 bungssprache in Windows NT wurde in Windows 2000/XP deutlich verbessert. So ist ein in Zusammenarbeit mit Adobe entwickelter moderner Postscript-Treiber in Windows XP enthalten, der unter anderem auch Postscript 32 unterstützt. Der Postscript-Treiber bildet das universelle Grundsystem für die Generierung der Befehle dieser Seitenbeschreibungssprache. Die Qualität des Postscriptcodes wird aber keineswegs allein durch Applikationsden Postscript-Treiber bestimmt. Vielmehr muss die Anwendung abhängig entsprechend die Ausgabe der Daten für Postscript optimiert steuern können. Moderne Grafik- oder Satzprogramme bieten deshalb für die Ausgabe auf einem Postscript-Drucksystem erweiterte Einstellmöglichkeiten an und greifen ihrerseits auch direkt auf die PPD-Dateien zurück. Diese PPD-Dateien (Postscript Printer Description) enthalten die dru- PPD-Dateien ckerspezifischen Merkmale wie Auflösung, Farbfähigkeit oder Papierformate. In diesen Textdateien sind die entsprechenden DruckerParameter in spezieller Postscript-Syntax eingebettet. Wollen Sie neben den standardmäßig in Windows XP unterstützten PostscriptTruetype und Opentype-Schriftarten auf die heute erhältliche breite Schriften Palette von Postscript-Schriften zurückgreifen, müssen Sie diese mit Hilfe spezieller Schriftartenverwaltungsprogramme wie beispielsweise Adobe TypeManager einbinden.
HPGL/2-Druckertreiber Der Ausgabe auf Plottern mit der Beschreibungssprache HPGL (Hew- HPGL/2 lett Packard Graphics Language) dient dieser Druckertreibertyp. Dabei wird nur noch die Version HPGL/2 unterstützt.
Druckertreibertypen und ihre Systemdateien In der folgenden Tabelle finden Sie die drei Grundtypen in einer Übersicht mit ihren wesentlichen Windows-Systemdateien.
2
Im Gegensatz zu Postscript Level I und II spricht man bei der Version 3 nicht mehr von einem Level. Diese Postscript 3 genannte und geschützte Terminologie hat Adobe eingeführt, damit Postscript-Clone-Hersteller bei der Bezeichnung ihrer Produkte nicht mehr mit einer Level-Kompatibilität werben können. Sei´s drum – jeder weiß trotzdem, was mit PS Level 3 gemeint ist.
292_______________________________________________________________ 6 Drucken Tabelle 6.4: Systemdateien der Treibertypen
Treibertyp
Systemdatei
Funktion
Unidriver
UNIDRV.DLL
Druckertreiber
UNIDRV.HELP
Hilfedatei
UNIDRVUI.DLL
Benutzeroberfläche (User Interface)
< DRUCKER>.GPD
Drucker-Beschreibungsdatei
PSCRIPT5.DLL
Druckertreiber
PSCRIPT.HLP
Hilfedatei
PS5UI.DLL
Benutzeroberfläche (User Interface)
.PPD
Postscript Printer Description
.BPD
Enthält die benutzerspezifischen Einstellungen wie ausgewähltes Papierformat etc.
PLOTTER.DLL
Druckertreiber
PLOTTER.HLP
Hilfedatei
PLOTUI.DLL
Benutzeroberfläche (User Interface)
.PCD
Plotter-Beschreibungsdatei
Postscript
HPGL/2
Je nach Druckermodell können hier noch weitere Dateien benötigt werden.
Kompatibilität zu früheren Windows-Versionen Inkompatibel zu Windows 9x/ME
Druckertreiber von Windows 9x/ME lassen sich leider prinzipbedingt auf einem Windows XP-System nicht einsetzen. Besser sieht es in der Praxis auch kaum mit NT 4.0-Treibern aus. Diese werden allerdings in einem Umfeld, wo Sie mit einer Windows XP Professional lokale Drucker ansteuern, heute kaum noch eine Rolle spielen.
Windows 2000Treiber
Die meisten Windows 2000-Treiber hingegen sollten unter Windows XP problemlos funktionieren. Manchmal ist dies auch die bessere Alternative zu den standardmäßig mitgelieferten Treibern. So kann es gut sein, dass Sie mit dem Windows 2000 Hersteller-Treiber mehr Funktionen nutzen können und eventuell sogar eine bessere Performance erreichen.
6.2.4
Lokale Anschlussmöglichkeiten
Für den Anschluss eines normalen lokalen Arbeitsplatzdruckers an einen PC gibt es heute praktisch drei Möglichkeiten: Parallelport, USB oder die Infrarot-Schnittstelle (IrDA), wie sie viele moderne Notebooks mitbringen.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 293 Parallele Schnittstelle Der klassische Parallelport erlebte Ende der 90er Jahre des letzten Parallelport Jahrhunderts mit EPP/ECP und DMA-Datentransfer noch einmal eine Renaissance. Neben einer verbesserten Datentransferrate ist damit auch eine einfache bidirektionale Kommunikation mit dem Drucker möglich. Entsprechende Drucksysteme können sich bei der Abfrage durch das Betriebssystem identifizieren und so die Treibereinbindung vereinfachen. Zudem kann über den Abarbeitungsstand des Druckauftrages Auskunft gegeben werden. Nachfolgend finden Sie drei grundlegende Parallelport-Typen: • Standard Parallel Port Der Standard Parallel Port (SPP) wurde in den ersten XT-Computern SPP eingeführt und bringt es auf eine vergleichsweise bescheidene Datentransferrate von 50 bis 150 KB pro Sekunde. • Enhanced Parallel Port Der Enhanced Parallel Port (EPP) ist gekennzeichnet durch eine ge- EPP steigerte Performance bei der Datenübertragung gegenüber SPP. Aktuelle Implementierungen erreichen durch bidirektionalen Blockmodus-Datentransfer 2 MB pro Sekunde, was in der Praxis etwa mit einer Geschwindigkeit in einem 10 MBit Netzwerk vergleichbar ist. Zu älteren, nicht EPP-fähigen Drucksystemen wird Kompatibilität sichergestellt, sodass diese problemlos an diesem Port funktionieren sollten. • Extended Capabilities Port Gegenüber EPP verfügt der Extended Capabilities Port (ECP), wie ECP der Name schon verspricht, über erweiterte Funktionen. Um eine höhere Bandbreite für anspruchsvolle Endgeräte zu erreichen, wurden gemäß den Konventionen des Standards IEEE P1284 die folgenden Erweiterungen implementiert: - Hochgeschwindigkeitskanäle in beiden Richtungen (jeweils halbduplex) - Protokolldefinitionen für höchstmöglichen Datentransfer, unter anderem für Datenkompression (Single Bit RLE-Kompression) - Eingebaute Peer-to-Peer Netzwerkfähigkeiten Wichtig ist, dass die angeschlossenen Drucker ebenfalls diese erwei- Möglichkeiten der terten EPP- beziehungsweise ECP-Funktionen beherrschen, um von Drucker den Fortschritten zu profitieren. Die meisten Geräte sind derzeit nicht in der Lage, die Druckdaten in der maximal möglichen Transferrate von 1 bis 2 MB pro Sekunde abzunehmen. In der Praxis sind aber Be-
294_______________________________________________________________ 6 Drucken schleunigungen gegenüber dem Standard-Parallelport um den Faktor 2 bis 15 realisierbar. Eine Weiterentwicklung wird es in diesem Bereich angesichts der überlegenen Möglichkeiten des Universal Serial Bus (USB) aber nicht mehr geben (siehe weiter unten in diesem Abschnitt). Erkennung durch Windows XP
Windows XP erkennt und konfiguriert EPP/ECP-Parallelports weitgehend automatisch. Für die Erkennung und Einbindung eines Druckers, der ebenfalls Plug&Play-Fähigkeiten mitbringt, muss allerdings entweder Windows XP neu gestartet werden oder Sie starten die Hardwareerkennung manuell. Allein durch den physischen Anschluss eines Drucker an den Parallelport eines laufenden Computers passiert noch nichts.
Universal Serial Bus USB
Der eigentliche Fortschritt beim Anschluss eines Arbeitsplatzdrucker zeigt sich, wenn Sie ein modernes Gerät an einen USB-Port anschließen. Das Peripheriegerät wird sofort erkannt und kann auch bei laufendem Betrieb wieder problemlos entfernt werden. Neben dieser auch Hot Plug bezeichneten Fähigkeit des USB ist für das Drucken vor allem interessant, dass Sie ohne weiteres mehrere Geräte gleichzeitig anschließen können. Moderne PC verfügen von Hause aus meist über zwei Schnittstellen, über einfache USB-Hubs können leicht 4 oder mehr (theoretisch bis zu 127 Geräte) gemeinsam betrieben werden. Die auf dem USB erreichbare Transferrate von ca. 1,2 MBit/s wird dann aber unter den Systemen aufgeteilt, wenn sie gleichzeitig Daten übertragen wollen. Trotzdem ist das ganze so flexibel ausgelegt, dass Peripherie mit verschiedenen Transferraten und sowohl asynchroner aus auch synchroner Übertragungsart koexistieren können.
USB 2.0
Auf Initiative von Intel, dem maßgeblichen Entwickler von USB, wurde in den letzten Jahren an einer Erweiterung des Standards gearbeitet. Ergebnis ist die nun fertige Spezifikation USB 2.0, die eine drastisch erhöhte Datentransferrate von bis zu 480 MBit/s ermöglicht. Voraussetzung ist dabei natürlich, dass auch die angeschlossenen Peripheriegeräte USB 2.0 unterstützen. Bislang sind sowohl Computersysteme, die von Hause aus die neuen Ports mitbringen, als auch entsprechende Drucker oder andere Geräte, eher selten zu finden. Windows XP unterstützt USB 2.0 in der ersten ausgelieferten Fassung ebenfalls noch nicht. Ein Update ist allerdings schon angekündigt. Aktuelle Informationen finden Sie unter den folgenden Adressen:
6.2 Grundprinzipien der Druckansteuerung __________________________________ 295 IrDA Die Infrarot-Schnittstelle eignet sich für die schnurlose Anbindung Infrarot von Druckern, vor allem im Hinblick auf das Drucken aus Notebooks heraus. IrDA steht für Infrared Data Association, einer internationalen Organisation mit Sitz in Walnut Creek, Kalifornien (USA). Sie wurde 1993 zur Entwicklung von Standards für die Infrarot-Datenübertragung gegründet. Weitere Informationen erhalten Sie unter folgender Adresse: www.irda.org
Weitere Infos
Das sind die wesentlichen Merkmale der IrDA-Schnittstelle: • Abdeckung eines Bereichs von ca. 1 m (2 m in der Praxis erreichbar); Voraussetzung ist natürlich, dass sich Sender und Empfänger direkt gegenüber befinden (sehen können). • Eine Variante, die besonders sparsam mit Energie umgeht (verbraucht etwa 10 mal weniger Strom), erreicht laut Spezifikation eine Entfernung von ca. 20 cm zwischen zwei gleichartigen LowPower-Geräten. • Die erreichbare Datentransferrate beträgt momentan maximal 4 MBit/s; in der Praxis sind damit Werte zu erzielen, die einer EPP/ECP-Parallelschnittstelle kaum nachstehen. Die IrDA-Schnittstelle ist wie USB voll Plug&Play-tauglich. Ein Drucker, der durch das Betriebssystem am aktiven IrDA-Port erkannt wird, kann damit automatisch eingebunden werden (passende Druckertreiber vorausgesetzt).
IEEE 1394 Der Vollständigkeit halber sei hier noch der auch FireWire genannte FireWire Anschlussport genannt. Diese Hochgeschwindigkeitsschnittstelle ist momentan auf Standard-PCs noch selten anzutreffen. Allerdings wird sie zunehmend in Geräte implementiert, wo sie durch ihre geringe Baugröße der Anschlüsse und die trotzdem gegebene hohe Transferrate von bis zu 50 MegaByte/s punkten kann: In Notebooks und digitalen Camcordern. Bei Druckern hingegen ist sie noch kaum vertreten. Trotzdem würde sie, insbesondere bei Farbdruckern, wo es beim Ausdruck von Bitmaps eine hohe Menge an Daten zu verarbeiten gibt, einen enormen Geschwindigkeitsvorteil gegenüber anderen lokalen Schnittstellen bringen. Mit der Entwicklung von USB 2.0 (siehe oben) wird aber wohl eher diese Schnittstelle die Lösung bringen. Bei Anschluss eines Gerätes an den FireWire-Port wird dieses, wie auch bei USB, sofort erkannt und bei Vorhandensein von Treibern auch automatisch installiert.
296_______________________________________________________________ 6 Drucken Eine Besonderheit der Firewire-Unterstützung unter Windows XP kann für die direkte Vernetzung zweier entsprechend ausgestatteter PCs genutzt werden: Verbinden Sie diese über ein Firewire-Kabel miteinander, können Sie die Schnittstellen wie normale Netzwerkkarten einsetzen und erhalten eine sehr schnelle Verbindung zwischen den Geräten. Weitere Hinweise zur Einrichtung der Netzwerkfunktionen von Windows XP erhalten Sie in Kapitel 10 ab Seite 605.
Seriell Serieller COM-Port
Als weiterer möglicher Anschluss für einen Drucker kann theoretisch der serielle Port eines PC genutzt werden. Dieser hat jedoch heute aufgrund seiner geringen möglichen Datentransferrate für die Druckausgabe keine Bedeutung mehr.
6.3 Drucken im Netzwerk Windows XP Professional bringt eine umfassende Unterstützung für die Ansteuerung von Netzwerkdruckern mit. Dabei verfügt das System, abhängig vom eingesetzten Protokoll, auch über DruckserverFunktionen.
6.3.1
TCP/IP-Druckunterstützung
Für die Einbindung von Netzwerkdrucksystemen über das TCP/IPProtokoll bietet Windows XP zwei grundlegende Möglichkeiten:
Standard TCP/IP Port Monitor SPM und SNMP
Mit Hilfe des Standard TCP/IP Port Monitors (SPM) können Sie Drucker einbinden, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und sich dabei an die Standards gemäß RFC 1759 halten. Dieser auch Simple Network Management Protocol (SNMP) genannte Standard definiert, wie entsprechende Drucker im Netzwerk kommunizieren. Ziel ist eine möglichst einfache Einbindung auf Clientseite und eine einfache Administration. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Typische Geräte, die über SPM in Windows XP eingebunden werden können, sind moderne Drucksysteme von HP (inklusive der HP JetDirect-Karten) oder auch Netzwerkports von Intel (Intel NetPort).
6.3 Drucken im Netzwerk__________________________________________________ 297 Die Einrichtung von TCP/IP-Druckern finden Sie in Abschnitt 11.3.3 Einbinden von TCP/IP-Druckern ab Seite 710.
LPR-Anschlussmonitor (Line Printer) Der LPR-Anschlussmonitor dient in erster Linie zum Einbinden von UNIX-Druckserver Druckern, die auf Unix-Druckservern bereitgestellt werden. Gegenüber SMP ist die Einbindung weniger komfortabel und es werden weniger detaillierte Rückmeldungen zum Druckerstatus geliefert. Für die Einrichtung eines über LPR ansprechbaren Druckers müssen dessen Hostname oder IP-Adresse sowie der Name des Druckers (standardmäßig meist lp) angegeben werden. Zusätzlich kann es notwendig sein, dass das Zugriffsrecht auf den Drucker am UNIX-System explizit für den Benutzer eingerichtet werden muss. Mit Installation der UNIX-Druckdienste sind automatisch auch alle Windows XP als freigegebenen Drucker unter Windows XP über LPR von anderen LPR-Druckserver Computern über das Netzwerk erreichbar. Als Druckername dient exakt der Name der entsprechenden Druckfreigabe. Die Einrichtung der UNIX-Druckdienste finden Sie in Abschnitt 11.3.4 UNIX-Druckdienste über LPR ab Seite 711.
6.3.2
Internet Printing Protocol (IPP)
Bereits mit Windows 2000 wurde die Unterstützung für IPP eingeführt. Das Protokoll wurde unter Federführung der Internet Engineering Task Force (IETF) entwickelt, um Druckvorgänge über das Internet ausführen zu können. Die Gründungsmitglieder der dazu gebildeten Printer Working Group (PWG) waren 1996 die Hersteller IBM, Novell und Xerox. Die praktische Umsetzung wurde später vor allem von Microsoft und Hewlett Packard vorangetrieben, die diese Arbeiten im Simple Web Printing-Papier (SWP) veröffentlichten. In Windows XP wird, wie bei Windows 2000, die Spezifikation IPP 1.0 IPP 1.0 unterstützt. Dabei kann ein Windows XP Professional sowohl als IPPClient als auch als IPP-Server fungieren. IPP erlaubt das Drucken über eine Webverbindung, also über das Protokoll HTTP. Diese Funktionen werden durch das darauf aufsetzende IPP realisiert: • Übermittlung der grundlegenden technischen Merkmale eines Drucksystems sowie dessen aktueller Status an den Nutzer • Senden von Druckaufträgen durch Benutzer • Einsicht in die Druckwarteschlange des Benutzers mit der Möglichkeit der Stornierung von Aufträgen
Aktuell ist die Spezifikation IPP 1.1. Diese sieht im Wesentlichen die folgenden Erweiterungen vor: • Erweiterte Administrations-Funktionen • Funktionen für die Nachrichtenübertragung vom Server zum Client • Abrechnungsfunktionen, Druckvolumen
beispielsweise
• Kopplung mit kommerziellen Bezahlvorgängen Weitere Infos
Feststellung
Transaktionen,
von
beispielsweise
Weitergehende Informationen, auch zu aktuellen RFCs, finden Sie unter der folgenden Adresse: www.pwg.org/ipp/
Die Administrationsschritte für die Einrichtung eines Windows XPIPP-Servers finden Sie in Abschnitt 11.2.3 Einrichten als IPP-Druckserver ab Seite 701.
6.3.3
Novell-Druckunterstützung
Mit seinem standardmäßig verfügbaren Clientservice für Netware können Sie über eine Windows XP Professional-Arbeitsstation unter Nutzung des Netzwerkprotokolls IPX/SPX auf ältere NovellDruckserver zugreifen.
6.4 Farbmanagement Windows XP verfügt, wie schon Windows 9x/ME und 2000, über Betriebssystemfunktionen zur umfassenden Unterstützung des etablierten ICC-Farbmanagementstandards. In diesem Abschnitt soll Ihnen ein Überblick über das moderne Farbmanagement an sich sowie über die Technologien und Standards gegeben werden, die dazu in Windows XP implementiert worden sind. Eine umfassende Behandlung eines so komplexen Themas wie Farbmanagement würde allerdings den Rahmen dieses Buches sprengen. Deshalb müssen bestimmte Grundlagen wie elementare Kenntnisse in der Farbenlehre vorausgesetzt werden. Trotzdem kann diese Einführung in das Farbmanagement einige Fragen klären helfen, die sich immer wieder im Zusammenhang mit dem Farbdruck allgemein ergeben, wie beispielsweise die, warum Bildschirmfarben oft von den Druckfarben abweichen.
Die Verarbeitung von Bilddaten, aufwändigen Vektorgrafiken und Traditionell: komplexen Layouts stellt hohe Anforderungen an Hard- und Software Apple Macintosh eines Computersystems. Bis heute sind in diesem Bereich vorrangig Macintosh-Computer der Firma Apple zu finden. Das hat seine Begründung in der traditionellen Verbreitung dieser Rechner bei den kreativen Werbeleuten und in der Verfügbarkeit der professionellen Grafiksoftware, die bis vor wenigen Jahren nur auf dieser Plattform zu finden war. Hinzu kommt, dass bestimmte Systemwerkzeuge für das Farbmanagement zunächst ausschließlich für das MacintoshBetriebssystem MacOS entwickelt worden sind. Das hat sich insofern geändert, dass auch in Windows (seit Windows Heute: Windows98) diese Technologien Einzug gehalten haben und inzwischen fast PCs mindestens alle wichtigen Grafik-, Bildbearbeitungs- und Layoutprogramme für gleichwertig diese Plattform verfügbar sind. Eine richtige Systemkonfiguration vorausgesetzt, ist heute ein PC unter Windows XP leistungsmäßig einem Apple Macintosh mindestens ebenbürtig. Vor allem die Prozessorleistung, bei PCs mit Taktfrequenzen weit jenseits der Gigahertz-Grenze angekommen, lässt bei fast allen AnwendungsBenchmarks die MAC-Konkurrenz ziemlich alt aussehen. In diesem Abschnitt sollen Macintosh-Computer nicht schlecht gemacht werden, aber es ist Zeit, mit alten Vorurteilen aufzuräumen. Kreativität ist nicht abhängig vom benutzten Werkzeug. Sie sind heute in der Auswahl des Werkzeuges freier. So musste es früher oft ein verhältnismäßig teurer Macintosh-Computer sein. Professionelles Farbmanagement können Sie heute aber auch ohne Abstriche auf einer Windows XP-Arbeitsstation einsetzen.
6.4.2
Farbe und Farbdruck
Für das Verstehen des Prinzips eines Farbmanagementsystems ist es Licht und Farbe wichtig, sich über die Entstehung von Farbe Gedanken zu machen. Farbe ist nämlich keine physikalische Eigenschaft eines Gegenstandes, sondern entsteht im Auge beziehunsgweise genauer – im Gehirn des Betrachters. Die wesentliche Rolle dabei spielt das Licht. Licht, das von der Sonne kommend die Erde erreicht, hat eine ganz bestimmte Zusammensetzung. Die Licht-Wellenlängen werden in Nanometer (nm) angegeben und reichen von 400 nm (Violett) bis zu 700 nm (Rot). Man nennt das auch den sichtbaren Teil des elektromagnetischen Spektrums. Sichtbar bezieht sich hierbei auf uns, den Durchschnittsmenschen. Es gibt bekanntlich Tiere, die einen ganz anderen sichtbaren Bereich haben, wie beispielsweise viele Nachttiere, die im Dunkeln deutlich besser sehen als wir.
Sonnenlicht oder das Licht einer Lampe wird meist auch als Weißes Licht bezeichnet. Weiß ist es deshalb, weil alle Bestandteile des sichtbaren Spektrums zusammengefasst unserem Auge weiß beziehungsweise sehr hell erscheinen. Dass es dabei meist Unterschiede zwischen unserer Bürobeleuchtung, die manchmal eher kalt wirkt, und dem Sonnenlicht gibt, ist der abweichenden Zusammensetzung des Lichtes künstlicher Quellen zum Sonnenlicht geschuldet. Farbe wird an einem Monitor aktiv erzeugt. Dabei regt beispielsweise ein Kathodenstrahl drei nebeneinander liegende Farbpigmente Rot, Grün und Blau zum Leuchten an. Werden alle drei Punkte gleich stark angesteuert, entsteht im Ergebnis ein weißer Punkt. Bei keiner Ansteuerung der Punkte bleibt der Ort auf dem Bildschirm schwarz. Die Färbung der Bildröhrenoberfläche bestimmt dabei allein die Tiefe dieser Schwärzung. Rot und Grün zusammen angesteuert ergibt dann Gelb, Blau und Rot den Farbton Magenta usw. Je nach Verhältnis der Grundfarben zueinander entstehen dabei die Mischfarben. Dieses Prinzip wirkt übrigens genauso auch bei Flachdisplays, nur dass hier kein Kathodenstrahl mehr notwendig ist, sondern, wie beim TFTDisplay, die Farbpunkte wie eigenständige Transistoren selbst geschaltet werden können. Diese aktive Farberzeugung wird auch additive Farbmischung genannt, da durch Addition der Grundfarben Rot, Grün und Blau die Mischfarben erzeugt werden.
...oder passiv
Papier hat leider keine selbstleuchtenden Eigenschaften, die uns die Farben als Lichtstrahlen erzeugen könnten. Deshalb muss die Farbinformation hier anders entstehen. Das zugrundliegende Prinzip funktioniert genau entgegengesetzt zur aktiven Farberzeugung auf dem Monitor. Während am Monitor Farbe als Ergebnis der Ansteuerung aktiv entsteht, müssen dem auf das Papier auftreffenden (weißen) Licht Bestandteile entzogen werden, bevor sie unser Auge wieder erreichen. Das erreicht man, indem als Grundfarben die Komplementärfarben von Rot, Grün und Blau eingesetzt werden: Cyan, Magenta und Gelb. Schwarz wird deshalb noch als separate Farbe für den Druck hinzugenommen, weil Cyan, Magenta und Gelb auf einem Punkt zusammen kein reines Schwarz ergeben würden. Der Grund dafür ist, dass die Druckfarben nicht 100% chemisch rein herstellbar sind und somit keine vollständige Absorbtion der gewünschten Lichtbestandteile erreicht werden kann. Schwarz wird auch als Key (K) bezeichnet, womit sich die Abkürzung CMYK für das Farbmodell ergibt.
Transformation RGB Æ CMYK
Die Umwandlung von RGB nach CMYK erfolgt auf Basis mathematischer Berechnungen. Allerdings ist der darstellbare Farbumfang mit CMYK stark abhängig vom verwendeten Druckverfahren und dem Bedruckstoff (Papier). Mit den vier Standarddruckfarben Cyan, Ma-
6.4 Farbmanagement _____________________________________________________ 301 genta, Gelb und Schwarz, die auch in der Druckindustrie3 und vielen Bürofarblaserdruckern verwendet werden, kann nur ein Teil des Monitorfarbraumes RGB abgebildet werden. Das bedeutet, dass Sie grundsätzlich auf dem Monitor mehr Farben in einer höheren Leuchtkraft darstellen können, als der Drucker aufs Papier bringen kann. Damit ist eine Reihe von Problemen vorprogrammiert. Die am CMYK-Farbraum Monitor entworfene farbenfrohe und leuchtende Präsentation verliert kleiner als RGB im Ausdruck deutlich an Brillanz, oft werden sogar die Farbtöne verfälscht. Geben Sie die Daten auf zwei verschiedenen Farbdruckern aus, werden Sie feststellen, dass Sie dann auch noch zwei verschiedene Druckergebnisse in der Hand halten. Haben Sie keine anderen Technologien zur Verfügung, bleibt dann nur der Weg über manuelles Feintuning an Einstellungen am Drucker, an den Bilddaten oder am Druckertreiber. Bis zur Schaffung eines einheitlichen Standards wurde auch in der Farbmanagement professionellen Druckindustrie viel mit »Trial and Error« gearbeitet als Ausweg ? und Werkzeuge verwendet, die speziell bestimmte Probleme lösen halfen. Um einen einheitlichen Lösungsansatz zu finden, wurde unter Mitwirkung namhafter Firmen das International Color Consortium (ICC) gegründet (siehe nächster Abschnitt). Das Prinzip, das dem ICCkonformem Farbmanagementansatz zugrunde liegt, wird in seinen Grundzügen in Abschnitt 6.4.4 Prinzip des ICC-Farbmanagements ab Seite 303 vorgestellt.
6.4.3
Historische Entwicklung
Im Jahre 1993 wurde auf Initiative der Münchner Forschungsgesell- 1993: Gründung schaft Druck e.V. (FOGRA) und unter Beteiligung der folgenden Fir- des ICC men das International Color Consortium (ICC) gegründet: • Adobe Systems Incorporated • Agfa-Gevaert N.V. • Apple Computer, Inc. • Eastman Kodak Company • Microsoft Corporation • Silicon Graphics Inc.
3
Für die Druckindustrie in Europa sind die Grundfarben Cyan, Magenta und Gelb nach der sogenannten Euroskala standardisiert. Ein anderer Standard sind beispielsweise die amerikanischen Specifications for Web Offset Publications (SWOP), die im Vergleich zur Euroskala leuchtendere Farben definieren.
302_______________________________________________________________ 6 Drucken • Sun Microsystems Inc. • Taligent, Inc. Link: www.color.org
Mittlerweile umfasst das ICC 77 Mitglieder, Firmen und Organisationen auf der ganzen Welt. Aufgabe des Gremiums ist die Schaffung allgemeingültiger technischer Standards und Richtlinien für die Farbreproduktion. In der Spec ICC.1:1998-09 finden Sie die ICCSpezifikation für die Farbreproduktion mittels sogenannter Farbprofile. Der Aufbau dieser Profile ist ein offener Standard und kann von allen Firmen dazu benutzt werden, darauf aufbauend Farbmanagementlösungen zu entwickeln.
Colorsync
Eine ICC-konforme Farbmanagementlösung sieht die Implementierung der wesentlichen Transformationsfunktionen in das Betriebssystem vor. Erstmals wurde das auf dem AppleBetriebssystem MacOS mit dem Einzug von Colorsync umgesetzt.
ICM
Microsoft implementierte Farbmanagement als sogenanntes Image Color Management (ICM) das erste Mal unter Windows 98. Die Profile sind dabei mit den unter Colorsync verwendeten voll kompatibel. Das bedeutet, dass Sie Profile, die beispielsweise mit einer Profilierungssoftware auf dem MAC erstellt worden sind, auch unter Windows XP einbinden können.
1996: Gründung der ECI
1996 wurde die European Color Initiative (ECI) ins Leben gerufen, auf Initiative dieser vier bedeutenden deutschen Verlagshäuser: • Heinrich Bauer Verlag • Hubert Burda Media Gruppe • Gruner+Jahr • Axel Springer Verlag
Link: www.eci.org
Die Expertengruppe unter Vorsitz von Prof. Dr. Stefan Brües befasst sich mit der medienneutralen Verarbeitung von Farbdaten in digitalen Publikationssystemen unter Beachtung der ICC-Spezifikationen. Die ECI-Richtlinien liegen als sogenanntes ECI White Paper allgemein zugänglich zum Download bereit. Die wichtigsten Ziele der ECI4 sind: 1. Medienneutrale Aufbereitung, Verarbeitung und Austausch von Farbdaten auf der Basis der Color-Management-Standards des International Color Consortiums (ICC) 2. Harmonisierung von Datenaustauschformaten zwischen Kunden und Dienstleistern im Publikationsprozess
4
Quelle: ECI
6.4 Farbmanagement _____________________________________________________ 303 3. Festlegung von Richtlinien (beispielsweise Farbraum, Datenformat) zum Austausch von Farbdaten für Printmedien 4. Kooperation mit nationalen und internationalen Organisationen und Standardisierungsgruppen; das beinhaltet beispielsweise Formulierungen von Praxisanforderungen für das ICC oder die International Standardization Organisation (ISO) 5. Verpflichtung aller Mitglieder zur Veröffentlichung für sie gültiger Farbprofile, Unterstützung des ICC-Standards und der ECIEmpfehlungen 6. Veröffentlichung der ICC-Farbprofile von ECI-Mitgliedern und interessierter Unternehmen sowie von Tools und zielkonformen Informationen 7. Etablierung von ICC-basierten Proofprozessen 8. Erfahrungsaustausch, Schulungsmaßnahmen, Unterstützung und Verbreitung von ICC-basierten Color-Management-Prozessen 9. Zusammenarbeit mit relevanten Hard- und Softwareherstellern, insbesondere Herstellern von Standard-Applikationen (beispielsweise Adobe, Quark, Macromedia, Anbieter von ColorManagement-Tools) Die Bestrebungen sowohl der ECI als auch des ICC sind darauf gerichtet, die Standards für das professionelle Farbmanagement weiter zu verbreiten und in die Werkzeuge und Verfahrensweisen in der Praxis zu verankern.
6.4.4
Prinzip des ICC-Farbmanagements
In diesem Abschnitt sollen die Grundprinzipien des ICCFarbmanagements übersichtsweise vorgestellt werden. Es wird dabei versucht, diese Prozesse auch dem Nicht-Reprofachmann näher zu bringen. Für weitergehende Informationen muss auf spezielle Fachliteratur beziehungsweise auf die entsprechenden Quellen im Internet hingewiesen werden: www.fogra.org www.color.org www.eci.org
Anforderungen an den Farbreproduktionsprozess Die Anforderungen, die an einen Farbreproduktionsprozess gestellt werden, können in den folgenden Punkten zusammengefasst werden:
304_______________________________________________________________ 6 Drucken • Beim Digitalisieren eines Bildes (Scanner, Digitalkamera) sollen die Farbinformationen nicht verfälscht werden. • Die Anzeige der Bildinformationen soll auf allen Monitoren gleich erscheinen. Das betrifft auch am Computer erzeugte Farbinformationen, beispielsweise mit Vektoroder Präsentationsgrafikprogrammen. • Der Ausdruck von Bild- und anderen Farbinformationen soll auf allen Drucksystemen gleich sein.
Probleme bei der Farbreproduktion Leider sind aber nicht alle Geräte in ihren technischen Merkmalen hinsichtlich der Erfassung von Farbe oder bei der Farbwiedergabe gleich. Selbst zwischen zwei baugleichen Monitoren oder Scannern kann es Abweichungen geben, die zu unterschiedlichen Ergebnissen führen. Hinzu kommen die Probleme bei der Umrechnung der RGBFarben in die Druckfarben CMYK (siehe Abschnitt 6.4.2 Farbe und Farbdruck ab Seite 299). Aber nicht nur die Geräte zur Farberfassung und –ausgabe sind Ursachen für Farbverfälschungen. Auch die Anwendungsprogramme, wenn sie ohne Farbmanagementunterstützung arbeiten, benutzen für die Anzeige und Ausgabe ihre eigenen Routinen. So kann es passieren, dass ein und dasselbe Bild, geladen in zwei verschiedene Anwendungsprogramme, unterschiedlich angezeigt und ausgedruckt wird. Abweichungen:
Abweichungen zur Originalfarbe der gescannten Bildvorlage und zu den in der Software erzeugten entstehen an den folgenden Stellen:
Scannen
• Im Scanner bei der Bilddigitalisierung aufgrund technischer Abweichungen und Alterung der CCD-Elemente und der Lampe, welche die Vorlagen beleuchtet;
Anzeige am Monitor
• Bei der Anzeige am Monitor durch technische Abweichungen von der eigentlich zugrunde liegenden Norm und unterschiedlichen Einstellungen am Monitor für Farbtemperatur, Helligkeit und Kontrast etc. sowie durch unterschiedliche Darstellungsweisen der Anwendungsprogramme bei Verwendung eigener Anzeigeroutinen;
Ausdruck
• Beim Ausdruck auf einem Farbdrucksystem bei nicht genormter Umrechnung der RGB-Farbinformationen in die Druckfarben CMYK. Das betrifft auch Unterschiede zwischen zwei verschiedenen Farbdrucksystemen.
6.4 Farbmanagement _____________________________________________________ 305 ICC-Profile Abhilfe schafft hier nur ein Farbmanagementsystem, in das alle Geräteabhängig: Komponenten, Hardware und Software, integriert sind. Grundlage RGB und CMYK dabei ist ein allgemein gültiger Bezugspunkt für die Definition der Farbdarstellung. RGB und CMYK sind zunächst geräteabhängige Farbbeschreibungsmodelle. Der RGB-Farbraum eines Monitors kann beispielsweise zu einem anderen Monitor abweichend sein. Das trifft natürlich auch auf die Farbräume von Druckern zu. Als geräteunabhängige Instanz wird beim Farbmanagement auf den in Geräteunabhängig: seinen Grundzügen bereits 1931 definierten CIE-Farbraum CIE-Farbraum zurückgegriffen. Die Variante CIELAB ist heute die Grundlage für die Bestimmung und Umrechnung der Farbräume im ICCFarbmanagement. Das Farbverhalten jedes Ein- und Ausgabegerätes wird in einem ICC-Profile sogenannten ICC-Profil erfasst. Dieses Profil beschreibt genau, wie sich das System im CIE-Farbraum verhält. Die Definition des Profilformats ist offen gelegt und kann beim ICC (www.color.org) abgerufen werden. Ein Profil kann mit einer speziellen Profilierungssoftware, beispielsweise ProfileMaker von Gretag Macbeth, erstellt werden. Dabei werden Messwerte mit den tatsächlichen Sollwerten verglichen. So werden für die einzelnen Geräteklassen ICC-Profile erzeugt: • Scanner Ein Scanner wird profiliert, indem unter Standardbedingungen ein exakt vermessenes Referenz-Testchart eingelesen wird und die ermittelten Farbwerte mit den gemessenen Originalwerten verglichen werden.
ICC-Profile erzeugen
• Drucker Für die Profilierung eines Drucksystems erfolgt die Ausgabe eines Referenzdruckes. Dieser wird dann mit Hilfe eines Spektralphotometers vermessen. • Monitore Monitore kann man mit einem speziellen Messgerät vermessen. Eine Software erzeugt dabei Referenzfarbfelder, die durch das Messgerät, welches auf der Monitoroberfläche angebracht wird, erfasst werden. Aus der Differenz zwischen Soll und Ist errechnet die Software dann das jeweilige Profil. Die Erzeugung von Profilen setzt Messtechnik und spezielle Software Mitgelieferte Profile voraus. Diese individuell erzeugten Profile haben natürlich die höchste Genauigkeit für die Farbwiedergabe. Für die meisten Benutzer, die im Büro- oder Heimumfeld mit Farbe arbeiten wollen, ist die Erstel-
306_______________________________________________________________ 6 Drucken lung von ICC-Profilen allerdings derzeit nicht praktikabel. Deshalb liefern viele Hersteller Profile für ihre Systeme mit oder stellen diese im Internet zum Download bereit. Sie sollten bei Verwendung dieser Profile allerdings bedenken, dass diese nur eine Annäherung an Ihre konkreten Bedingungen darstellen. Für die Farbwiedergabe müssen Sie dabei mit Kompromissen leben.
Interne Arbeitsweise Die entscheidenden Funktionen beim ICC-konformen Farbmanagement spielen sich im Betriebssystem ab. Die folgende Abbildung soll dies verdeutlichen: Abbildung 6.4: Farbmanagement intern
CMM
Zentrale Schaltstelle ist das Color Matching Module (CMM), welches die Umrechnung der Eingangsfarbdaten in die Ausgangsdaten über die zugrunde liegenden ICC-Profile vornimmt. Das CMM ist als Bestandteil des Betriebssystems für alle Anwendungen erreichbar. Eine Anwendung ruft das CMM auf, um die Farben auf dem Bildschirm über das richtige Monitorprofil optimal darstellen zu können. Das gilt auch für die Druckausgabe. Für die richtige Umrechnung der Farbbilder in die Zielprofile müssen dabei die jeweiligen Quellprofile bekannt sein.
Rendering Intents
Bei der Umrechnung von Farbdaten von einem Quellprofil in ein Zielprofil stehen vier grundlegende Umrechnungsmethoden zur Verfügung, auch Rendering Intents genannt:
Fotos
• Wahrnehmung (Perceptual) Diese Einstellung eignet sich vor allem für die Wiedergabe von Fotos. Bei der Umwandlung durch das CMM wird darauf geachtet, dass die relativen Bezüge zwischen den Farbanteilen eines Bildes gewahrt bleiben, auch wenn beispielsweise der Drucker den Farb-
6.4 Farbmanagement _____________________________________________________ 307 umfang nicht genau wiedergeben kann. Farben können sich, absolut gesehen, verändern. Der Zusammenhang zwischen den Farben im Bild bleibt aber bestmöglich erhalten. Die Einstellung Wahrnehmung versucht, unsere Sehgewohnheiten bei der Farbwiedergabe mit einzubeziehen und kann als Standard für die Umrechnung von Fotos und Bildern eingesetzt werden. • Sättigung (Saturation)
Grafiken
Bei der Wiedergabe von Farbgrafiken stehen meist weniger die absoluten Farbwerte als mehr die Farbigkeit an sich im Mittelpunkt. Bei dieser Einstellung werden die Sättigungswerte erhalten. Farbwerte, die im Farbraum des Ausgabeprofils nicht mehr enthalten sind, werden durch Farbwerte ersetzt, die darstellbar sind und die gleiche Sättigung aufweisen. Damit ist diese Einstellung vor allem für die Wiedergabe von Präsentationsgrafik geeignet. • Relativ farbmetrisch (Relative Colorimetric) Diese Einstellung verändert Farben in ihren Absolutwerten nicht. Farben, die im Farbraum des Ausgabeprofils nicht mehr enthalten sind, werden durch die nächstgelegene enthaltene ersetzt, welche die gleiche Helligkeit aufweist. Diese Einstellung kann manchmal helfen, eine absolut gesehen etwas exaktere Übereinstimmung zu den Originalfarbdaten zu erhalten als mit der Methode Wahrnehmung. • Absolut farbmetrisch (Absolute Colorimetric) Bei dieser Einstellung wird durch das CMM versucht, eine größtmögliche absolute Übereinstimmung zwischen Original- und Reproduktion zu erhalten. Maßstab ist dabei aber nicht die menschliche Sehgewohnheit, sondern dass messtechnisch die geringsten Abweichungen feststellbar sind. Der Weißpunkt einer gescannten Vorlage bleibt dabei auch unverändert, sodass beispielsweise die Farbe des Fotopapiers einer gescannten Aufsichtsvorlage auch wiedergegeben wird – der Bildhintergrund sieht dann in der Regel etwas gelblich oder bläulich aus. Die beiden letztgenannten Methoden haben in der Praxis meist eine untergeordnete Bedeutung. Welche für Ihre Zwecke am besten geeignet ist, hängt neben den konkreten Farbdaten nicht zuletzt auch von Ihrem persönlichen Empfinden ab. Die Integration des CMM ist modular ausgeführt und kann durch das Hersteller-spezifieines anderen Herstellers ersetzt oder ergänzt werden. In Windows sche CMM XP ist die LinoColorCMM integriert. Eine andere CMM wird beispielsweise durch den Hersteller Kodak bereitgestellt und könnte zusätzlich in Windows eingebunden werden.
Um von den Vorteilen des modernen ICC-Farbmanagements profitieren zu können, müssen die folgenden Voraussetzungen gegeben sein: • Sie verfügen über die richtigen Profile für alle relevanten Ein- und Ausgabesysteme. • Die Anwendungen, die Sie für die Erstellung und Ausgabe von Farbdokumenten verwenden, müssen sich an die ICC-Spezifikationen für die Farbausgabe halten und damit auf die Betriebssystemfunktionen zurückgreifen. • Externe Farbdaten, die Sie bekommen, bringen die benötigten Profile mit, die für Ihre Erzeugung benutzt worden sind (beispielsweise die richtigen Scanner-Profile), oder liegen in einem standardisierten Format vor.
Problem: Externe Daten
Insbesondere der letzte Punkt ist im Zusammenhang mit der Einbindung externer Daten in der Praxis oft besonders problematisch. Wenn kein Profil vom erzeugenden System (in der Regel Scanner) verfügbar ist, kann die Weiterverarbeitung nur noch mit Näherungswerten erfolgen – mit den bekannten Folgen für die Genauigkeit der Reproduktion. Es gibt zwei Möglichkeiten, dieses Problem zu entschärfen:
Profileinbettung
1. Einbettung der Profile Gemäß ICC-Standard können Profile auch in Bilddateien (beispielsweise im Tagged Image Format, TIFF) eingebettet werden. Beim Öffnen oder Weiterverarbeiten solcher Daten muss die Applikation allerdings in der Lage – also richtig konfiguriert – sein, damit die korrekte Umrechnung in den Zielfarbraum erfolgen kann.
Standard-RGB
2. Bilddaten im standardisierten Format weitergeben Einfacher ist es natürlich, wenn alle Bilddaten bereits in einem allgemein anerkannten Standard-Farbformat vorliegen. Ein solches international anerkanntes Format ist Standard-RGB, auch mit sRGB bezeichnet. Windows XP unterstützt standardmäßig sRGB. Für die Weitergabe eines Bildes muss dieses nach dem Scannen durch die entsprechende Bildverarbeitungssoftware unter Nutzung des speziellen Scanner-Profils in das sRGB-Format konvertiert werden.
sRGB
Dieser zweite Weg scheint sich in der Praxis als erfolgversprechender durchzusetzen. sRGB ist auch mittlerweile das Standard-Farbformat für die Ausgabe im Internet auf den Webseiten und in Adobes Portable Document Format (PDF) und somit universell einsetzbar.
ECI-RGB
Für die professionelle Druckvorstufe wurde von der European Color Initiative (ECI; siehe auch Abschnitt 6.4.3 Historische Entwicklung ab
6.4 Farbmanagement _____________________________________________________ 309 Seite 301) das Standard-RGB-Format ECI-RGB entwickelt und veröffentlicht. Vorteil sind der gegenüber sRGB größere Farbraum und damit die Eignung für die Erstellung hochwertiger Druckvorlagen. Hinweise zur praktischen Anwendung von ICM, der in Windows XP Praktische integrierten ICC-konformen Farbmanagementunterstützung, finden Anwendung Sie in Abschnitt 11.5 Farbmanagement einsetzen ab Seite 721.
7 7 Installation Auch wenn die Installation von Windows XP bemerkenswert einfach ist, können doch mit Hilfe einer Vielzahl Optionen wichtige Einstellungen vorweggenmommen werden. Bei der Installation mehrerer Systeme kommt der Remote Installation Service zum Einsatz.
Überlegungen zur Hardware............................................................ 315 Gedanken zum Installationsverfahren ............................................ 320 Die Installations-CD ........................................................................... 325 Installation mit bootfähigem CD-Laufwerk.................................... 326 Installation mit Winnt.exe / .............................................................. 327 Die weiteren Installationsschritte ..................................................... 335 Automatisierte Installation................................................................ 337 Die Remoteinstallationsdienste ........................................................ 361 Migration und Anpassung ................................................................ 370
7.1 Überlegungen zur Hardware ___________________________________________ 315
7.1 Überlegungen zur Hardware Windows XP ist hinsichtlich seiner Anforderungen an die Hardware Ihres PC ähnlich anspruchsvoll wie Windows 2000 Professional. In diesem Abschnitt finden Sie Informationen zur optimalen Hardwarekonfiguration einer professionellen Arbeitsstation.
7.1.1
Übersicht über die Mindestvoraussetzungen
Die folgende Tabelle zeigt die Mindestvoraussetzungen, die Microsoft definiert sowie die Empfehlungen für eine Konfiguration, die ein flüssiges Arbeiten gewährleistet. Hardware
Minimum
Empfohlen
CPU
266 MHz Pentium
500 MHz Pentium III
RAM
64 MB
256 MB
Festplatte
2 GB; min. 1,2 MB Frei
ab 4 GB
Netzwerk
PCI 10 MBit
PCI 100 MBit
Grafikkarte
PCI-Grafikkarte
AGP-Grafikkarte
CD-ROM
12-fach
32-fach
Floppy
1.44 MB
1.44 MB
Die Maus als Zeigegerät ist unbedingt erforderlich.
7.1.2
Tabelle 7.1: Hardware-Voraussetzungen
Maus erforderlich
Die Hardware-Kompatibilitätsliste
Microsoft hat eine Hardware-Kompatibilitätsliste veröffentlicht, die HCL im Internet Sie auf der Installations-CD finden (siehe auch Abschnitt 7.3 Die Installations-CD ab Seite 325). Deutlich aktueller und bequemer zum Suchen finden Sie die HCL im Internet unter der folgenden Adresse: www.microsoft.com/hcl
Auf dieser Seite können Sie für jede Produktgruppe alle von Microsoft getesteten und bewerteten Produkte übersichtlich mit der Angabe der Kompatibilität zu den gängigen Microsoft-Betriebssystemen ab Windows 95 finden. Vor der Installation von Windows XP, insbesondere vor einem Upgrade von Windows 9x/Me, empfiehlt sich ein Studium der HCL. Allerdings ist die HCL immer noch sehr beschränkt. Würde Sie nur die hier gefundene Hardware zum Einsatz bringen, hätten Sie zwar
316_____________________________________________________________ 7 Installation sicherlich ein sagenhaft stabiles System (zumindest nach MicrosoftKriterien), wären aber auf eine kleine Anzahl von Herstellern festgelegt und könnten womöglich bestimmte Aufgaben gar nicht mit Windows XP erledigen. Abbildung 7.1: Die HCL im Internet mit einer konkreten Produktabfrage
HerstellerWebsites
Neben der HCL von Microsoft ist deshalb auch ein Blick auf die Websites der betreffenden Hardwarehersteller hilfreich, die zunehmend zu Windows XP explizit Stellung nehmen oder bereits aktuelle Treiber anbieten. Oft werden neue Treiber zusammen mit denen zu Windows 2000 angeboten.
7.1.3
Hardwareansprüche
Windows XP unterscheidet sich in den Hardwareansprüchen kaum von Windows 2000. In noch stärkerem Maße gilt allerdings: Viel hilft viel.
Prozessor Windows XP unterstützt wie Windows 2000 erst Prozessoren ab dem Intel 80486. Allerdings ist ein sinnvolles Arbeiten erst mit einem Pentium oder einem vergleichbaren Prozessor, beispielsweise von AMD, möglich. Interessanterweise heißt das Verzeichnis, welches die Installationsdateien auf der CD enthält, immer noch \i386. Auf einem Intel
7.1 Überlegungen zur Hardware ___________________________________________ 317 80386 laufen Windows XP und auch 2000 allerdings definitiv nicht. Windows XP Professional unterstützt im übrigen wie auch schon Windows 2000 Professional oder Windows NT 4 Workstation bis zu zwei Prozessoren für symmetrisches Multitasking.
Hauptspeicher RAM kann man nie genug haben. Hier sehen Sie auch eine der Stärken Nichts geht über von Windows XP gegenüber den kleineren Brüdern der 9x-Reihe: Hubraum! Während bei diesen eine RAM-Kapazität von mehr als 128 MB nichts mehr bringt, beginnt sich Windows XP da gerade erst wohl zu fühlen. Für den professionellen Einsatz in der grafischen Bildverarbeitung können Sie problemlos bis zu 4 GB in Ihrem System einsetzen, vorausgesetzt, Ihre Hardware hält da mit.
Festplattenspeicher Windows XP neigt insbesondere bei weniger RAM zu ständigem Auslagern auf die Festplatte – allerdings brächte dann mehr Hauptspeicher mehr als eine besonders schnelle Platte wieder hereinholen könnte. Für den Workstation-Einsatz reichen heutige schnelle IDE-Festplatten vollkommen aus, allerdings empfehlen sich hier moderne Modelle ab 7 200 Umdrehungen je Minute. SCSIFestplatten ab 10 000 Umdrehungen erreichen allerdings noch höhere Leistungswerte bei gleichzeitig geringerer Belastung für die CPU, sind aber auch teurer. Neben der eigentlichen Geschwindigkeit und Größe der Festplatte Gedanken zur (heute, Stand Ende 2001, sind Festplatten unter 20 GB praktisch nicht Partitionierung mehr zu bekommen) sollte vor allem die Aufteilung, sprich sind wichtig! Partitionierung, eine Rolle in Ihren Überlegungen spielen. Hier können Sie aufgrund der professionellen Features, die in Windows XP implementiert sind, einiges an Flexibilität und Geschwindigkeit gewinnen, wenn Sie sich vor der Installation Gedanken über die Aufteilung Ihrer Festplatten machen.
Dynamische Erweiterbarkeit von Datenträgern Windows XP unterstützt eine neue Art der Festplattenverwaltung – die dynamische Datenträgerverwaltung. Dynamische Datenträger können Sie jederzeit durch die Hinzunahme weiterer physischer Festplatten erweitern. Wird beispielsweise Ihr Datenlaufwerk D: zu klein, könnten Sie durch Installation einer weiteren Festplatte den logischen Datenträger D: vergrößern. Dazu muss die dynamische Datenträgerverwaltung von Windows XP aktiviert worden sein. System- und
318_____________________________________________________________ 7 Installation Startdatenträger von Windows XP können allerdings nicht mehr nachträglich erweitert werden. Frühzeitig Voraussetzungen schaffen
Eine Abtrennung einer ausreichend großen Startpartition, welche das Betriebssystem selbst enthält, empfiehlt sich allein schon deshalb. Mit ca. 4 GB ist eine solche Partition für die meisten Anwendungsfälle ausreichend dimensioniert. Sie sollten später nur darauf achten, dass dann die Anwendungsprogramme auf einem anderen logischen Datenträger installiert werden. Wie Sie vielleicht merken, vermeiden wir für den Rest der logischen Laufwerke, wenn wir von dynamischer Erweiterbarkeit sprechen, den Begriff Partition. Dynamische Datenträger auf einer dynamischen Festplatte sind nämlich keine Partitionen mehr.
Vorgehen bei der Installation
Während der Installation legen Sie eine ausreichend dimensionierte Startpartition für Windows XP an. Den Rest der Festplatte, so sie noch nicht mit Daten belegt ist, können Sie zunächst unpartitioniert lassen. Erst wenn Windows XP läuft, wandeln Sie die Festplatte mit Hilfe der Datenträgerverwaltung in eine dynamische Festplatte um und erstellen dann einen oder mehrere neue dynamische (logische) Datenträger auf diesen.
Wo es im Buch steht
Die technischen Grundlagen der neuen dynamischen Datenträgerverwaltung können Sie im Kapitel 3 ab Seite 81 nachlesen. Die Einrichtung und Administration von Datenträgern sind Inhalt des Kapitels 9 ab Seite 447.
Erhöhung der Festplattenleistung durch Stripe Sets In Bereichen, in denen es um die Bearbeitung großer lokaler Datenmengen geht, beispielsweise in der Bild- und Videobearbeitung, werden sehr hohe Anforderungen an das Festplattenspeichersystem gestellt. Windows XP bietet hier eine implementierte und damit kostengünstige Softwarelösung zur Verbindung mehrerer physischer Festplatten zu sogenannten Stripe Sets. Die Grundlagen dazu sind Inhalt des Abschnitts 3.3.4 Stripesetdatenträger ab Seite 110. Neuanlage nur auf dynamischen Festplatten
Wie auch schon bei den dynamisch erweiterbaren Datenträgern wird die Neuanlage von Stripe Sets, in der Windows Terminologie dann Stripesetdatenträger genannt, nur über freie Bereiche auf dynamischen Festplatten ermöglicht. System- und Startdatenträger können dabei grundsätzlich nicht mit einbezogen werden.
Vorgehen bei der Installation
Für die Neuinstallation von Windows XP empfiehlt es sich auch hier, nur eine ausreichend große Startpartition für das Betriebssystem anzulegen und den Rest aller anderen Festplatten unpartitioniert zu lassen. Erst nach dem Start von Windows XP können Sie die Startfestplatte in eine dynamische Festplatte umwandeln und mit der Implementierung des Stripesetdatenträgers beginnen.
7.1 Überlegungen zur Hardware ___________________________________________ 319 Netzwerkhardware Windows XP kommt mit den meisten moderneren Plug&Play Netzwerkadaptern zurecht. Allerdings empfiehlt sich bei einer Umstellung auf Windows XP der konsequente Einsatz von PCI-Karten, auch für die Netzwerkhardware. Hinsichtlich des Einsatzes mehrerer PCI-Karten auf einem ACPI- Signierte Treiber System ist insbesondere zu beachten, dass es durch unsaubere Treiber verwenden zu einem sehr instabilen System kommen kann. Die ACPIImplementierung von Microsoft in Windows XP erzwingt einen gemeinsamen Interrupt für alle PCI-Geräte und benötigt damit absolut sicher laufende Treiber. Schert nur ein Gerätetreiber hier aus, und meist sind die der Netzwerkkarten dabei nicht ganz unbeteiligt, kommt es zu seltsamen Phänomenen bis hin zu plötzlichen Neustarts (natürlich immer vor dem Sichern des wichtigen Dokuments). Insbesondere für Netzwerkhardware sollten Sie deshalb nur signierte Treiber einsetzen.
Grafikkarte Windows XP unterstützt den Accelerated Graphics Port (AGP) vollstän- AGP empfohlen dig und profitiert direkt von der höheren Geschwindigkeit gegenüber PCI. Falls noch nicht geschehen, sollten Sie bei der Überlegung für den Umstieg auf Windows XP gleich Ihre Grafikhardware auf den neuesten Stand bringen, wenn man einmal davon absieht, dass auch dieser in sechs Monaten wieder völlig veraltet sein wird... Wichtig übrigens auch für 3D-Grafikentwickler und Spielefreaks: Hohe 3D-Leistung Windows XP verfügt mit DirectX8 und einer hardwarenahen Grafikansteuerung über die besten Voraussetzungen, moderne 3DAnwendungen mit maximaler Geschwindigkeit ausführen zu können. Zusammen mit der deutlich besseren Hauptspeicherausnutzung ab 128 MB aufwärts und der Möglichkeit, mit Stripesetdatenträgern eine viel höhere Festplattenleistung erreichen zu können, wird hier Windows 9x/Me abgehängt. Voraussetzung dazu sind allerdings neueste Grafikkartentreiber der großen 3D-Chiphersteller. Die in Windows XP mitgelieferten sind gegenüber denen in Windows 2000 zwar deutlich aktueller, können aber sicherlich die neuesten Technologien in diesem Markt in sechs Monaten nicht mehr unterstützen.
Powermanagement und ACPI Windows XP unterstützt neben dem Advanced Power Management (APM) das modernere Advanced Configuration and Power Interface
320_____________________________________________________________ 7 Installation (ACPI) – im Gegensatz zu Windows 98 angeblich richtig. Allerdings empfiehlt es sich dringend, einen gründlichen Blich in die HCL zu werfen und zu überprüfen, ob die eingesetzte Hardware dazu in der Lage ist. Windows XP checkt beim Installieren zwar selbst und installiert bei den kleinsten Zweifeln automatisch nur APM, allerdings haben sich in der Praxis die Klagen über unzuverlässig laufende ACPISysteme gehäuft. Nur bei modernsten Systemen mit sauberen Treibern
Die Vorteile eines sauber laufenden ACPI-Systems sind allerdings bessere Plug&Play- und Stromsparfähigkeiten. Der Einsatz empfiehlt sich aber nur dann, wenn Sie über neueste Hardware und saubere Treiber mit Signatur verfügen.
7.2 Gedanken zum Installationsverfahren Bevor es konkret an die Installation von Windows XP Professional geht, sollten noch ein paar Gedanken den Möglichkeiten gewidmet werden, die Sie zur Installation haben. Das betrifft die Frage nach den Upgrademöglichkeiten oder wie Sie die Installation möglichst schnell und effizient durchführen können.
7.2.1
Neuinstallation, Upgrade oder Migration?
Entscheidend für den Erfolg einer Windows XP Installation ist die gründliche Überlegung, ob eine Neuinstallation oder ein Upgrade einer bestehenden Windows-Installation der bessere Weg ist. In diesem Abschnitt sollen einige Gedanken darüber diskutiert werden, beispielsweise welche Hürden bei einem Upgrade auftauchen können oder wann eine komplette Neuinstallation der bessere Weg sein kann. Neben dem Upgrade einer bestehenden Installation können Daten und Einstellungen auch mit der Migrationsoption kopiert werden. Dies ist die sauberste Lösung, weil ihr eine neue Installation von XP zugrunde liegt.
Upgrademöglichkeiten für Windows XP Professional Windows XP Professional können Sie von einer Reihe alter MicrosoftWindows-Betriebssysteme upgraden. Sie finden alle Pfade in Tabelle 2.2 auf Seite 70. Upgrade: Kein Weg Sie sollten beachten, dass Windows XP kein Uninstall kennt. Einmal zurück! als Upgrade installiert, gibt es keinen Weg mehr zurück. Im schlimms-
ten Fall kann so eine zuvor gut funktionierende Konfiguration zerstört werden. Sichern Sie deshalb besser Ihre alte Bootpartition mit einem Tool wie beispielsweise Norton Ghost (www.symantec.de) oder Drive
7.2 Gedanken zum Installationsverfahren____________________________________ 321 Image von PowerQuest (www.powerquest.com). Im Falle eines fehlgeschlagenen Upgrades können Sie so die alten Strukturen vollständig wieder herstellen und sich dann doch an eine Neu- oder Parallelinstallation machen.
Upgradeprobleme vorher erkennen Es gibt zwei Wege, mögliche Probleme beim Upgrade eines vorhandenen Systems zu erkennen. Zum einen bietet das Installationsprogramm die Option SYSTEMKOMPATIBILITÄT PRÜFEN. Zum anderen können Sie mit dem folgenden Befehl eine Protokolldatei erzeugen, die über mögliche Probleme Aufschluss gibt: %cddir%\i386\winnt32 /checkupgradeonly
Unter NT 4 und 2000 wird im künftigen Installationsverzeichnis die Upgrade-Protokoll Datei WINNT32.LOG erzeugt, die alle Erkenntnisse der Prüfung zusammenfasst.
Upgrade von Windows 9x/Me Windows XP bietet sich mit seiner Unterstützung des FAT32Dateisystems (siehe auch Kapitel 4 Dateisysteme ab Seite 125) und der im Vergleich zu Windows NT breiteren Treiberverfügbarkeit geradezu an, Windows 9x/Me im professionellen Umfeld direkt abzulösen. Ein Upgrade empfiehlt sich allerdings nur, wenn die folgenden Upgrade-Voraussetzungen Voraussetzungen gegeben sind: • Sie haben Windows 9x/Me nur zusammen mit normaler Windows-Standardsoftware auf Ihrem System im Einsatz. • Sie haben sich vergewissert, dass für Ihre installierten Hardwarekomponenten Windows XP-Treiber existieren (siehe auch Abschnitt 7.1.2 Die Hardware-Kompatibilitätsliste ab Seite 315). • Eventuell im Einsatz befindliche ältere DOS-Software haben Sie zuvor praktisch auf seine Lauffähigkeit unter Windows XP überprüft. Gerade alte Software, die vom DOS Protected Mode Interface (DPMI) regen Gebrauch macht, kann sich unerwartet als inkompatibel erweisen. Haben Sie diese Gegebenheiten Ihrer Windows 9x-Installation zu be- Wann ein Upgrade vermeiden? rücksichtigen, sollte ein Upgrade vermieden werden: • Sie benutzen Tools wie beispielsweise Schriftverwaltungsprogramme oder spezielle Kommunikationssoftware, auf die Sie angewiesen sind und nicht verzichten können.
322_____________________________________________________________ 7 Installation • Sie haben Multimedia-Hardware im Einsatz wie beispielsweise Video-Framegrabber oder DVD-Dekoderhardware, für die momentan nur wenige Windows XP-Treiber existieren. • Sie benutzen CD-Brenner, für die Sie nicht explizit Angaben zu neuen Treibern für Windows XP und vor allem Updates zur Brennersoftware vom Hersteller bekommen. So werden beispielsweise noch immer moderne USB-Brenner zu einfachen CD-Readern degradiert, weil die Entwicklung passender Treiber und Brennsoftwareupdates hinterherhinkt. Parallele Installation statt Upgrade
Besser ist es dann, Windows XP parallel zu installieren. Mit der Unterstützung des FAT32-Dateisystems kann es, ausreichend Speicherplatz vorausgesetzt, auf einem anderen logischen Datenträger zusammen mit Windows 9x/Me auf dem Computer gehalten werden. Das automatisch von Windows XP installierte Startmenü erlaubt dann wahlweise den Start eines der Betriebssysteme. So können Sie übergangsweise die fehlenden Funktionen von Windows XP durch Start Ihrer alten Windows 9x/Me-Konfiguration ersetzen.
Parallele Installation und anschließende Migration
Neu in Windows XP ist die Option, nach einer erfolgreichen Neuinstallation die benötigten Daten und Programmeinstellungen mit einem speziellen Migrationswerkzeug zu übernehmen. Dies ist generell der empfehlenswerte Weg, denn Probleme mit automatischen Upgrades treten immer wieder auf, vor allem, wenn viele Programme installiert sind. Allerdings ist zu beachten, dass die eigentliche Softwareinstallation von Hand vorgenommen werden muss.
Upgrade von Windows NT Ein Upgrade von Windows NT ist im Vergleich zu Windows 9x einfacher. Hier wird es weniger der Fall sein, dass Programme oder Hardwarekomponenten, die unter NT liefen, mit Windows XP Probleme machen. Achtung bei Kommunikationstreibern
Besondere Aufmerksamkeit verdienen Kommunikationstreiber wie beispielsweise für ISDN-Geräte. Diese wurden unter NT umständlich über den Remote Access Service (RAS) eingebunden und werden unter Windows XP vollständig unterstützt. Allerdings sollten Sie sich vergewissern, dass es aktuelle Treiber für Ihr Gerät gibt, anderenfalls kann es nach dem Upgrade ein böses Erwachen geben, wenn Sie plötzlich aus der Internet- und E-Mail-Welt ausgesperrt sind.
Parallele Installation statt Upgrade
Auch mit Windows NT können Sie eine Parallelinstallation durchführen. Haben Sie als gemeinsames Dateisystem NTFS (Windows NT ab Service Pack 4 notwendig!), sollten Sie allerdings den möglichen Aufwand berücksichtigen, den Windows XP bei jedem Neustart für die Aktualisierung des NTFSv5-Eigenschaften aufwenden muss (siehe
7.2 Gedanken zum Installationsverfahren____________________________________ 323 auch Abschnitt 4.3.9 Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 169).
Upgrade von Windows 2000 Noch einfacher ist das Upgrade von Windows 2000. Wie die internen Versionsnummern verraten (Windows 2000 = 5.0; Windows XP = 5.1), sind sich die beiden Systeme sehr ähnlich. Hier ist das Upgrade eher zu empfehlen, die bereits angesprochene Migration dürfte den Vorgang nur in die Länge ziehen.
Vorteile einer Neuinstallation Falls irgend möglich, sollten Sie einer Neuinstallation von Windows Besser: XP Professional den Vorzug geben. Dabei macht es Sinn, gleich die Neuinstallation bisher verwendete Hardware einer kritischen Prüfung zu unterziehen (siehe auch Seite 315) und hoffnungslos veraltete Komponenten wie beispielsweise ISA-Karten auszutauschen. Für das sichere und problemlose Arbeiten von Windows XP können die folgenden optimalen Bedingungen gelten, denen Sie über eine Neuinstallation meist am besten gerecht werden können: • Prüfen Sie, ob Ihr PC den Mindestvoraussetzungen für die Hardware genügt; achten Sie vor allem auf ausreichend Hauptspeicher. • Verwenden Sie für alle Hardwarekomponenten wie Erweiterungskarten oder externe Geräte neueste Treiber, die explizit für Windows XP geeignet sind. Am besten sind natürlich Geräte und Treiber, die Sie in der HCL (siehe Seite 315) wiederfinden. • Machen Sie sich vor der Installation Gedanken über die (Neu-)Aufteilung der Startfestplatte. Eine Startpartition von 500 MB macht genauso wenig Sinn wie ein Bereich am physischen Ende einer Festplatte. • Wollen Sie eine spätere dynamische Erweiterbarkeit Ihrer Datenträger schon heute berücksichtigen, müssen Sie für eine entsprechende Aufteilung in Start- und Datenpartition(en) sorgen. • Berücksichtigen Sie, dass erst das Dateisystem NTFS (siehe auch Vorteile von NTFS Kapitel 4 ab Seite 125) in der Version 5 Ihnen alle Vorteile bringt, berücksichtigen die Windows XP bieten kann. Erst mit NTFS arbeitet beispielsweise der Indexdienst richtig effizient oder funktioniert die Wiederherstellung nach einem Systemabsturz zuverlässiger. Nicht zu vergessen die Möglichkeit, mit dem verschlüsselnden Dateisystem Daten wirkungsvoll schützen zu können.
324_____________________________________________________________ 7 Installation Achtung bei nachträglicher Umwandlung in NTFS
• Sie können zwar jederzeit FAT- oder FAT32-Datenträger nach NTFS konvertieren, allerdings gibt Microsoft für diese Datenträger eine geringere Leistungsfähigkeit im Vergleich zu direkt mit NTFS erstellten an. Lesen Sie in Abschnitt 9.6 Umwandeln von FAT/FAT32 in NTFS ab Seite 522, was Sie dabei beachten sollten.
7.2.2
Mögliche Installationsverfahren
Für die Installation von Windows XP Professional haben Sie verschiedene Möglichkeiten. Diese reichen von einer einfachen Installation über ein bootfähiges CD-ROM-Laufwerk bis hin zum vollautomatisierten Setup über einen RIS-Server (Remote Installation Service) mit einer bootfähigen Netzwerkkarte. In diesem Abschnitt wollen wir Ihnen diese Möglichkeiten vorstellen, um Ihnen eventuell bei der Auswahl des für Sie optimalen Verfahrens helfen zu können.
Installation über ein bootfähiges CD-ROM-Laufwerk Windows XP Professional wird auf einer bootfähigen CD geliefert. Kann Ihr Computersystem den Bootvorgang über eine CD durchführen, steht der einfachen Installation meist nichts mehr im Wege. Nach Aktivierung der entsprechenden Boot-Sequenz im BIOS-Setup wird beim Systemstart das Setup direkt von der CD geladen und die Installation kann beginnen. Weitere Hinweise zum Installationsvorgehen über ein bootfähiges CDROM-Laufwerk finden Sie in Abschnitt 7.4 Installation mit bootfähigem CD-Laufwerk ab Seite 326.
Installation über den Aufruf von WINNT.EXE / WINNT32.EXE Diese eigentlichen Setup-Programme für Windows XP befinden sich im Ordner der Installationsdateien, auf der CD unter \I386 (siehe auch Abschnitt 7.3 Die Installations-CD ab Seite 325). Bei einer PCKonfiguration, die nicht über ein bootfähiges CDROM-Laufwerk verfügt oder bei der die Installationsdateien lokal auf der Festplatte vorliegen, können Sie Setup über der Aufruf von WINNT.EXE beziehungsweise WINNT32.EXE starten. Diese Programme können über eine Reihe von zusätzlichen Optionen für ein angepasstes Setup beeinflusst werden. Die Optionen und weitere Hinweise zum Ausführen dieser Programme finden Sie im entsprechenden Abschnitt 7.5 Installation mit Winnt.exe / ab Seite 327.
7.3 Die Installations-CD ___________________________________________________ 325 Installation über das Netzwerk Für die Installation von Windows XP auf NetzwerkArbeitsplatzrechnern bieten sich verschiedene Wege an. In Abschnitt 7.5.4 Aufruf über das Netzwerk ab Seite 334 werden Ihnen diese vorgestellt und Hinweise für deren effektive Nutzung gegeben.
Automatisierte Installation Sind eine große Anzahl von Arbeitsplatzrechnern mit Windows XP zu versehen oder sollen möglichst effiziente Methoden implementiert werden, die bei einem Ausfall eines Rechners einen schnellstmöglichen Ersatz gewährleisten können, bieten sich verschiedene Werkzeuge und Wege für ein automatisiertes Setup an. Die wichtigsten werden in Abschnitt 7.7 Automatisierte Installation ab Seite 337 vorgestellt.
7.3 Die Installations-CD Die Installations-CD der aktuellen deutschen Professional-Version von Windows XP enthält neben den Dateien für das Setup einige weitere recht interessante Informationsquellen und Hilfsprogramme. Die folgende Tabelle zeigt ein Abbild der aktuellen Microsoft-CD der Vollversion:
\I386
Tabelle 7.2: Inhalt der Windows Das eigentliche Installationsverzeichnis; enthält alle XP Professional-CD benötigten Windows XP-Installationsdateien.
\SUPPORT
Unterverzeichnis TOOLS
Verzeichnis
Inhalt
Enthält verschiedene Support-Tools; diese können mit dem enthaltenen Programm SETUP.EXE installiert werden. Eine Erklärung der Funktionsweise finden Sie in der Datei README.HTM. \VALUEADD
Enthält zusätzliche Tools und Infos von Drittherstellern und von Microsoft (siehe nächste Tabellen). Die Datei VALUEADD.HTM enthält Hinweise zu diesen Programmen. Verfügbar ist hier nur der Citrix-ICA-Client.
In der letzten Tabelle zum CD-Inhalt wird das Verzeichnis \VALUEADD\MSFT betrachtet, in welchem Microsoft zusätzliche Tools und Informationen liefert:
326_____________________________________________________________ 7 Installation Tabelle 7.3: Inhalt in \VALUEADD\ MSFT\
Verzeichnis
Inhalt
FONTS
Enthält zwei zusätzliche TrueType-Fonts: Arial Alternative Symbol und Arial Alternativ Regular.
MGMT\IAS
Hier finden Sie das Snap-In für den Windows NT 4 Internet Authentication Service (IAS), den Sie so direkt von Windows XP über eine Managementkonsole administrieren können.
MGMT\MSTSC_HPC
Enthält den Microsoft Terminal Server Client für Handheld PC (HPC), Version 2.11 und 3.0
MGMT\PBA
Enthält den Windows XP.
Telefonbuchadministrator
für
MGMT\WBEMODBC Enthält einen Adapter für das Windows Management Instrumentarium (WMI), mit welchem Sie über eine Standard-API mit ODBCbasierten Programmen auf die Daten der WMI Common Information Management (CIM) zugreifen können, als wäre es eine relationale Datenbank. USMT
Dieser Ordner enthält die Migrationswerkzeuge.
NET
Dieser Ordner enthält zusätzliche Werkzeuge für Netzwerkfunktionen.
7.4 Installation mit bootfähigem CD-Laufwerk Windows XP wird auf einer startfähigen CD-ROM geliefert. Die Installation sollte somit auf Standard-PCs heute kein Problem sein.
Installation auf PCs mit IDE-Interface Verfügt Ihr PC ausschließlich über CD-ROM und Festplatten mit IDEInterface sowie ein moderneres BIOS, steht einer einfachen Installation nichts im Weg. Das BIOS muss lediglich die Einstellung der Systemstartreihenfolge ermöglichen auf 1. CD-ROM 2. Laufwerk C Dann sollte der Start direkt von den Installations-CD mit Aufruf des Windows XP-Setups funktionieren.
7.5 Installation mit Winnt.exe / Winnt32.exe __________________________________ 327 Installation auf PCs mit SCSI-Interface Verfügt Ihr System über ein SCSI-Hostadapter für die Ansteuerung Reine SCSIder Festplatten und des CDROM-Laufwerks, bleibt nur der Weg über Umgebung das BIOS des Adapters. Unterstützt dieses das Booten von CD, haben Sie gewonnen. Auf den verbreiteten NCR-Adaptern, die über eine SMS-BIOSErweiterung des Mainboards angesprochen werden, gibt es diese Möglichkeit leider meist nicht. Manchmal verfügt dann aber das BIOS des PC über eine entsprechende Auswahlmöglichkeit. Eine weit verbreitete Konfigurationsvariante bei professionellen PCs CD am IDE-Kanal ist der Anschluss preiswerter CD-ROM-Laufwerke an einem der heute standardmäßig auf den meisten Mainboards vorhandenen IDE-Kanäle und der Betrieb der Festplatten an einem SCSI-Adapter. In einem solchen Fall haben Sie es wieder besonders leicht. Sie brauchen nur im BIOS des PC die Startreihenfolge einstellen auf: 1. CD-ROM 2. SCSI Das weitere Vorgehen bei der Installation ist Inhalt des Abschnittes 7.6 Die weiteren Installationsschritte ab Seite 335.
7.5 Installation mit WINNT.EXE / WINNT32.EXE Haben Sie kein bootfähiges CD-ROM-Laufwerk zur Verfügung oder wollen Sie das Setup lokal aus dem Installationsverzeichnis \i386 starten, haben Sie dazu die Möglichkeit über den Aufruf von WINNT.EXE und WINNT32.EXE . Diese beiden Applikationen sind die eigentlichen Setup-Programme von Windows XP. Die Verwandtschaft mit Windows NT wird dabei nicht geleugnet. Haben Sie direkten Zugriff auf das Installationsverzeichnis, ist der Zugriff auf die Aufruf des Setups über eines der beiden Programme kein Problem. InstallationsdaWie Sie die Installationsdateien auf die lokale Festplatte des zu instal- teien lierenden PCs bekommen, wenn auf diesem noch kein Betriebssystem installiert ist, können Sie in Abschnitt 7.5.3 Installation von einem lokalen Verzeichnis ab Seite 333 erfahren. Die Installation mit WINNT.EXE beziehungsweise WINNT32.EXE über einen Netzwerkpfad ist unter anderem Inhalt des Abschnitts 7.5.4 Aufruf über das Netzwerk ab Seite 334. WINNT.EXE ist die 16 Bit-Version des Setups und lässt sich so aus MS- 16 Bit: WINNT.EXE DOS oder Windows 3.x heraus aufrufen. Ein Upgrade einer bestehenden Windows-Konfiguration ist mit WINNT.EXE grundsätzlich nicht möglich; Sie können nur eine Neuinstallation durchführen.
WINNT32.EXE ist das 32 Bit-Gegenstück und für den Start aus Windows 9x/Me/NT/2000 gedacht. Es eignet sich sowohl zum Upgrade eines bestehenden Windows-Systems als auch zur Neuinstallation.
7.5.1
Kommandozeilen-Optionen von WINNT.EXE
Die Kommandozeilen-Optionen, mit denen Sie das Verhalten des Setups über WINNT.EXE von der MS-DOS Kommandozeile oder bei einem Aufruf von Windows 3.x beeinflussen können, finden Sie in der folgenden Tabelle. Tabelle 7.4: Optionen für WINNT.EXE
Option
Bedeutung
/a
Aktiviert für das Setup die Eingabehilfen für behinderte Menschen
/e:
Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise folgendermaßen: /e:befehle.txt
/r:
Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows XP-Stammverzeichnis erhalten.
/rx:
Entspricht exakt der Option /r:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.
/s:
Sie können die Position des Verzeichnisses der Windows XP-Installationsdateien \i386 explizit angeben. Der Pfad muss vollständig angegeben werden, beispielsweise C:\INSTALL\I386 und kann sich auch auf Netzwerkfreigaben beziehen, beispielsweise folgendermaßen: \\DISTSERV\INSTALL\I386.
7.5 Installation mit Winnt.exe / Winnt32.exe __________________________________ 329 Option
Bedeutung
/t:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.
/u:
Geben Sie eine Textdatei an, welche die Antwort-Konfiguration für ein unbeaufsichtigtes Setup enthält. Diese Option erfordert auch die Angabe der Option /s.
/udf:[,] Mit dieser Option können Sie die unter /u angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.
Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installa- Unbeaufsichtigtes tion einrichten können, erfahren Sie in Abschnitt 7.7 Automatisierte Setup Installation ab Seite 337.
7.5.2
Kommandozeilen-Optionen von WINNT32.EXE
Die Kommandozeilen-Optionen von WINNT32.EXE entsprechen in großen Teilen denen für WINNT.EXE. Zusätzlich haben Sie Optionen, die für das Upgrade Bedeutung haben. Option /checkupgradeonly
/cmd:
Tabelle 7.5: Optionen für Setup führt nur eine Überprüfung auf WINNT32.EXE Kompatibilität Ihres Systems für ein Upgrade durch. Das Ergebnis finden Sie im Installationsordner in der Datei UPGRADE.TXT (Windows 9x) beziehungsweise WINNT32.LOG (Windows NT).
Bedeutung
Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält (wie /e:befehle.txt).
Fügt dem Bootmenü in der Datei BOOT.INI (siehe auch Abschnitt 3.2.5 Die Datei Boot.ini ab Seite 95) einen Eintrag für den Start der Wiederherstellungskonsole hinzu.
/copydir:
Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows XP-Stammverzeichnis erhalten.
/copysource:
Entspricht exakt der Option /copydir:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.
/debug:
Erstellt während der Installation ein Protokoll in der Datei mit dem angegebenen Level. Die möglichen Level sind: 0 – Schwere Fehler 1 - Fehler 2 - Warnungen 3 - Informationen 4 – Detaillierte Informationen Beispiel: /debug3:C:\INSTALL.LOG
/m:
Sie können einen alternativen Ordner für die Installationsdateien angeben. Dort sucht Setup nach seinen Dateien dann zuerst, dann im Ursprungsverzeichnis \I386. Damit können Sie beispielsweise im unter /m angegebenen Verzeichnis Dateien des aktuellen Service Packs ablegen, welche so immer garantiert installiert werden. Alle anderen Dateien, die nicht im Service Pack enthalten sind, übernimmt Setup aus dem Ursprungsverzeichnis.
/makelocalsource
Setup kopiert alle Installationsdateien auf die lokale Festplatte, sodass die eventuell benutzte Installations-CD nach dem ersten Neustart nicht mehr benötigt wird.
7.5 Installation mit Winnt.exe / Winnt32.exe __________________________________ 331 Option
Bedeutung
/noreboot
Setup wird veranlasst, nach der ersten Initialisierungsphase nicht automatisch neu zu starten, so dass Sie eventuell weitere Einstellungen manuell vornehmen beziehungsweise Befehle ausführen können.
/s:
Mit können Sie eine oder mehrere alternative Quellen der Installationsdateien angeben; der Parameter kann mehrfach verwendet werden. Die Pfadangabe muss dabei vollständig erfolgen mit :\ beziehungsweise der kompletten Netzwerkangabe: \\<server> \ So kann die Netzwerkinstallation beispielsweise beschleunigt werden, wenn verschiedene Installationsdateien von mehreren Servern bereitgestellt werden.
/syspart:
Präpariert eine mit angegebene Festplatte für eine anschließende Montage in einen anderen PC, um dort die Installation zu beenden. Die Bootpartition dieser Festplatte wird als aktiv gekennzeichnet und alle für das Setup benötigten Dateien werden temporär abgelegt. Dann wird die erste Phase des Setups ausgeführt. Nach dem Umbau der Festplatte kann der neue PC direkt von dieser starten und führt die Installation zu Ende. Das Setup mit dieser Option kann nur auf einem Windows NT oder 2000-System ausgeführt werden und erfordert zusätzlich die Angabe der Option /tempdrive: (siehe unten).
/tempdrive:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.
Startet das Setup im unbeaufsichtigten Modus. Ohne eine weitere Angabe wird ein Upgrade unbeaufsichtigt durchgeführt; mit Optionen können Sie das Verhalten während einer Neuinstallation festlegen: <sec>:
/unattend [optionen]
<sec> Wartesekunden vor Neustart beim Setup Name der Antwortdatei /udf:[,] Mit dieser Option können Sie die unter /unattend angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.
Unbeaufsichtigtes Setup
/dudisable
Verhindert die Ausführung des dynamischen Updates. Ohne dynamisches Update kann Setup nur mit den Originalinstallationsdateien ausgeführt werden. Diese Option deaktiviert das dynamische Update, auch wenn Sie eine Antwortdatei verwenden und dort Optionen für das dynamische Update angeben.
/duprepare:Pfadname
Führt Vorbereitungen in einer Installationsfreigabe aus, damit diese mit den Dateien für das dynamische Update verwendet werden kann, die Sie von der Website von Windows Update gedownloadet haben. Mit dieser Freigabe kann dann Windows XP für mehrere Clients installiert werden.
/dushare:Pfadname
Gibt eine Freigabe an, auf die Sie zuvor von der Microsoft Update-Website Dateien für das dynamische Update (aktualisierte Dateien für das Installationsprogramm) heruntergeladen haben und auf der Sie zuvor /duprepare:Pfadname ausgeführt haben. Bei Ausführung auf einem Client wird festgelegt, dass die Clientinstallation die aktualisierten Dateien der in Pfadname angegebenen Freigabe verwendet.
Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installation einrichten können, erfahren Sie in Abschnitt 7.7 Automatisierte Installation ab Seite 337.
7.5 Installation mit Winnt.exe / Winnt32.exe __________________________________ 333
7.5.3
Installation von einem lokalen Verzeichnis
Sie können das komplette Verzeichnis \I386 auf die Festplatte in ein lokales Installationsverzeichnis kopieren und von hier aus die Installation mit dem Aufruf von WINNT.EXE oder WINNT32.EXE starten. Das Kopieren dieses Verzeichnisses auf die lokale Festplatte von der Kopieren von \i386 CD kann sich dabei manchmal als recht hinderlich erweisen, auf die Festplatte insbesondere dann, wenn es sich um ein nacktes System handelt, auf dem weder MS-DOS mit CD-Zugriff noch Windows installiert sind. Nützlich kann dann eine MS-DOS-Startdiskette sein, mit welcher Sie den Computer starten und danach auf das CD-ROM-Laufwerk zugreifen können. Da sich in diesen Momenten die wenigsten an die genaue Konfiguration einer solchen Diskette erinnern können (abgesehen von einigen Freaks), hier ein paar Tipps, wie Sie an eine solche Diskette kommen und was Sie dabei beachten sollten: 1. Richten Sie die Festplatte mit FDISK und FORMAT ein, falls dies noch Festplatte nicht geschehen ist. Denken Sie an eine ausreichend große einrichten Bootfestplatte für Windows XP. Um das Dateisystem (nur FAT oder FAT32 sind je nach DOS-Version möglich) brauchen Sie sich noch keine Gedanken machen, während des Setups können Sie dann entscheiden, ob dieses in NTFS umgewandelt werden soll. 2. Eine Startdiskette, die einen Zugriff auf die meisten CD-ROM- Windows 98Laufwerke ermöglicht, ist die von Windows 98! Haben Sie eine Startdiskette solche zur Verfügung, brauchen Sie nur von dieser zu starten. Wenn Sie nur ein Windows 98-System auf einem anderen Computer laufen haben, können Sie auch eine solche Diskette selbst erzeugen. Gehen Sie dazu in das Verzeichnis und starten Sie die \WINDOWS\COMMAND Stapelverarbeitungsdatei BOOTDISK.BAT. oder 2. Eine eigene MS-DOS-Startdiskette sollte die folgenden Programm- Eigene dateien enthalten und könnte über diese Einträge in der Autoe- Startdiskette xec.bat und Config.sys verfügen: ASPICD.SYS
ASPIDOS.SYS
CDROM.SYS
FDISK.EXE
FORMAT.COM
HIMEM.SYS
KEYB.COM
KEYBOARD.SYS
MSCDEX.EXE
SMARTDRV.EXE
XCOPY.EXE
CDROM.SYS und ASPIDOS.SYS/ASPICD.SYS stehen symbolisch für die konkreten Treiber für das CDROM-Laufwerk beziehungsweise den SCSI-Controller. Hier das Beispiel einer CONFIG.SYS für eine IDE-Konfiguration:
Haben Sie einen SCSI-Controller im Einsatz, könnte die Config.sys folgendermaßen aussehen: device=himem.sys dos=high device=aspidos.sys device=aspicd.sys /D:cdrom1 Autoexec.bat
Die dazugehörige Autoexec.bat könnte für beide Konfigurationen gelten und diesen Aufbau haben: @echo off prompt $p$g keyb gr,,keyboard.sys mscdex.exe /D:cdrom1 /L:E smartdrv.exe 4000 c+
Mit der Option /L: bei mscdex.exe vergeben Sie den Laufwerkbuchstaben für das CD-ROM-Laufwerk. Es empfiehlt sich übrigens dringend, für ein schnelleres Kopieren auch den DOS-Festplattencache smartdrv.exe mit einzubinden. Mit c+ ist im obigen Beispiel der Schreibcache auf die Festplatte C: aktiviert. Haben Sie noch weitere Laufwerke auf der Festplatte, fügen Sie einfach deren Buchstaben dahinter an. xcopy.exe
3. Haben Sie nach dem Booten von der Startdiskette Zugriff auf das CD-ROM-Laufwerk, können Sie alle Dateien und Ordner in ein Installationsverzeichnis auf der Festplatte kopieren. Auf der Kommandozeile eignet sich dazu am besten das Programm XCOPY.EXE. Hier das Beispiel für den Aufruf, mit dem Sie das Verzeichnis \i386 vom CD-ROM-Laufwerk E: nach C:\INSTALL kopieren: xcopy e:\i386 c:\install /E
Setup starten
Nach erfolgtem Kopieren können Sie Setup mit dem Aufruf von WINNT.EXE aus dem Installationsverzeichnis starten. Die möglichen Optionen für das Programm können Sie der Tabelle 7.4 auf Seite 328 entnehmen. Das weitere Vorgehen bei der Installation wird in Abschnitt 7.6 Die weiteren Installationsschritte ab Seite 335 behandelt.
7.5.4
Aufruf über das Netzwerk
WINNT.EXE beziehungsweise WINNT32.EXE können Sie auch aus einem freigegebenen Netzwerkverzeichnis heraus starten. Die Installations-
7.6 Die weiteren Installationsschritte ________________________________________ 335 dateien des \I386-Ordners befinden sich dann einfach nicht lokal auf der Festplatte, sondern in einer durch einen Server oder einen anderen Windows-Computer freigegebenen Netzwerkressource. So ein Server wird auch Distributionsserver genannt und kann Distributionsserver prinzipiell unter einem beliebigen Betriebssystem laufen. Voraussetzung ist nur, dass ein entsprechender Client für eines der Betriebssysteme MS-DOS, Windows 3x/9x/ME/NT/2000 zur Verfügung steht. Für den Zugriff auf die Installationsdateien brauchen neben einem Laufwerkbuchstaben nur Leserechte definiert sein. WINNT32.EXE können Sie als 32 Bit-Anwendung unter Windows 32 Bit: WINNT32.EXE 9x/Me sowie Windows NT und 2000 starten. Die Frage des passenden Netzwerk-Clients stellt sich hier meist nicht und so ist die Installation von Windows XP Professional über diesen Weg genauso einfach wie über ein lokales Installationsverzeichnis. Windows for Workgroups ab Version 3.11 lieferte schon eine passable 16 Bit: WINNT.EXE Netzwerkeinbindung in die Windows Welt. Auch für Novells Netware gab es einen leistungsfähigen Client, so dass der Aufruf von WINNT.EXE über das Netzwerk auch hier kein Problem darstellen sollte.
7.6 Die weiteren Installationsschritte Die Windows XP Installation geschieht dank ausgeklügelter Assistenten und Plug&Play-Technologie weitgehend automatisch. Sie läuft in den folgenden Schritten bei der Standardinstallation von CD ab. Dabei wird zwischen dem Textmodusabschnitt und dem des grafischen Teils des Setups, auch GUI-Modus (Graphical User Interface) genannt, unterschieden. Im Textmodus des Setups werden alle grundlegenden Systemtreiber Textmodus geladen und die Treiber für die Festplattenansteuerung des Computers erkannt. Die Lizenzbestimmungen von Microsoft werden angezeigt. Erst nach einer Zustimmung können Sie fortfahren. Bevor es jedoch an die eigentliche Installation geht, können Sie kurzzeitig durch Betätigen bestimmter Funktionstasten auf die Abarbeitung des Setups Einfluss nehmen: • F2 – Assistenten für Systemwiederherstellung
F2
Für kurze Zeit wird die Meldung eingeblendet, dass Sie über F2 eine Systemwiederherstellung starten können. In Abschnitt 8.5.4 Wiederherstellung von Sicherungen ab Seite 444 finden Sie dazu weiterführende Informationen. • F6 – OEM-Festplattentreiber wählen
336_____________________________________________________________ 7 Installation Vor dem Laden der mitgelieferten Treiber für die Massenspeicher können Sie über das Betätigen der Funktionstaste F6 OEM-Treiber laden. Diese benötigen Sie beispielsweise, um einen HardwareRAID-Controller einzusetzen, für den Windows XP keinen eigenen Treiber mitbringt. F5
• F5 – ACPI/APM-PC auswählen Während die Meldung zum Betätigen der F6-Taste eingeblendet wird, können Sie über die Taste F5 ein Menü zur Anzeige bringen, in welchem Sie einen abweichenden PC-Typ zur Installation auswählen können. Haben Sie bespielsweise einen ACPI-Rechner, der allerdings im ACPI-Modus nicht stabil läuft, können Sie hier über die Auswahl von STANDARD-PC die Verwendung von ACPI deaktivieren.
Partition auswählen
Das Auswählen oder Umkonfigurieren der Partitionen wird durch ein leistungsfähiges, aber nichtgrafisches Tool ermöglicht. Sie können sämtliche bestehende Partitionen löschen und neue erstellen. Nach Auswahl der Installationspartition können Sie noch bestimmen, ob das bestehende Dateisystem beibehalten werden soll oder nach NTFS konvertiert werden soll. Beachten Sie, dass Windows 9x/Me nur FAT beziehungsweise FAT32-Datenträger erkennen können. Nach Auswahl beziehungsweise Formatieren einer neu angelegten Partition werden Installationsdateien auf die Festplatte übertragen und der Computer neu gestartet.
GUI-Modus
Nach dem Neustart wird die Installation im grafischen Modus (GUIModus) fortgesetzt. Es werden die folgenden Informationen von Ihnen benötigt: • Seriennummer Ihres Windows XP Professional Systems • Erweiterte Einstellungen wie die verwendeten Sprachen und eventuell notwendige Eingabehilfen für Behinderte • Gebietsschema und Ländereinstellungen • Name der Person und der Organisation der lizensierten WindowsVersion • Name des Computers und Administratorkennwort • Einstellen beziehungsweise Bestätigen von Datum und Uhrzeit • Netzwerkeinstellungen Die Standardvoreinstellungen für das Netzwerk sind mit Windows XP für viele Anwendungsfälle die richtige Wahl. Es wird TCP/IP als alleiniges Protokoll mit automatischem Bezug der IP-Adresse eingerichtet. Sie können aber auch eine abweichende Einstellung
7.7 Automatisierte Installation ______________________________________________ 337 vornehmen, um beispielsweise die Einbindung in ein Novell Netzwerk zu ermöglichen. • Arbeitsgruppe oder Domäne Sie können sich bereits während des Setups entscheiden, ob Sie den Computer in eine Domäne oder eine Arbeitsgruppe einbinden wollen. Diese Einstellung können Sie aber bei Bedarf jederzeit wieder ändern. Neu bei der Installation ist die Produktaktivierung, die entweder über Produktaktivierung Internet oder Telefon erfolgen kann. Es ist nicht notwendig, dies während der Installation zu tun. Windows erinnert später regelmäßig an diesen Vorgang. Wird die Aktivierung nicht innerhalb von 30 Tagen ausgeführt, kann Windows XP allerdings nicht mehr gestartet werden – außer zum Ausführen der Aktivierung.
7.7 Automatisierte Installation Albtraum jedes Administrators ist die komplette Installation vieler Zeit ist Geld! identischer Computer. Immer wieder müssen Fragen des Setups beantwortet oder Lizenznummern eingegeben werden. Das bedeutet einen hohen zeitlichen Aufwand mit entsprechend hohen Kosten. Ein anderer Aspekt ist der schnellstmögliche Ersatz bei Ausfall eines Ersatz bei Ausfall Computersystems in einem Unternehmen. Hier kann es darum gehen, den ausgefallenen PC schnellstmöglich durch einen Ersatz-PC zu ersetzen, der bestenfalls über die gleiche Windows-Installation und identische Anwendungsprogramme verfügen sollte. Darüber hinaus wäre es natürlich optimal, wenn der Benutzer seine gewohnte Benutzeroberfläche wiederfindet. Windows XP verfügt über eine breite Palette an Technologien und Werkzeugen, mit denen diese Anforderungen adressiert werden können. In diesem Abschnitt werden wir Ihnen diese vorstellen und im Rahmen der Betrachtungen zu Windows XP Professional soweit ins Detail gehen, wie es für die lokale Einrichtung des Betriebssystems sinnvoll erscheint. Eine Reihe von Werkzeugen stehen allerdings ausschließlich in einer Windows 2000 Windows 2000 Server-Umgebung zur Verfügung. Diese werden de- Server tailliert in unserem Buch Windows 2000 im Netzwerkeinsatz betrachtet.
7.7.1
Übersicht über die Möglichkeiten
In einer Windows XP Professional-Umgebung haben Sie die folgenden Möglichkeiten, ein automatisiertes Setup durchzuführen:
338_____________________________________________________________ 7 Installation Antwortdatei für WINNT.EXE/WINNT32.EXE Antwortdatei
Über Kommandozeilen-Optionen lässt sich das Setup durch den Start von WINNT.EXE beziehungsweise WINNT32.EXE steuern. Dabei können Sie auch den Modus für das unbeaufsichtigte Setup wählen und eine zuvor erstellte Antwortdatei angeben. Die praktische Anwendung von Antwortdateien ist Inhalt des Abschnitts 7.7.2 Antwortdateien verwenden ab Seite 339.
Verteilung von Disk-Images Disk-Images
Für die Erstellung einer Standardkonfiguration von Windows XP Professional eignet sich das Werkzeug SYSPREP. Diese Konfiguration können Sie dann über Drittsoftware in ein binäres Disk-Image, ein bitweises Abbild des logischen Datenträgers, überführen und auf dem Zielrechner wieder auf die Festplatte übertragen. Zum Verteilen der Imagedatei gibt es verschiedene Möglichkeiten, wie beispielsweise über das Netzwerk oder CD. Die Erstellung und Verteilung von Disk Images wird in Abschnitt 7.7.3 Automatisierte Installation mit Disc Images ab Seite 357 näher betrachtet.
Remoteinstallationsdienste von Windows 2000 Server Remoteinstallationsdienste
Die Windows 2000 Server-Versionen verfügen mit den Remoteinstallatiosdiensten (Remote Installation Services – RIS) über ein leistungsfähiges Werkzeug für die automatisierte Installation über das Netzwerk. Der zu installierende Client-PC wird über eine bootfähige Netzwerkkarte oder eine spezielle Bootdiskette gestartet und kann nach Verbindung mit dem RIS-Server mit Windows XP installiert werden. Die gesamte Installationsvorgang selbst läuft dabei vollautomatisch ab. Die Einrichtung des Remoteinstallationsdienstes sowie weitergehende Hinweis finden Sie in Abschnitt 7.8 Die Remoteinstallationsdienste ab Seite 361.
Nicht näher betrachtet: SMS
Nicht betrachtet werden in diesem Zusammenhang die erweiterten Möglichkeiten des Systems Management Server (SMS). Als Bestandteil der Backoffice Suite für Applikationen würde es den Rahmen des vorliegenden Bandes sprengen.
Zusammenfassung der Möglichkeiten In der folgenden Tabelle sind die Möglichkeiten dieser oben genannten Methoden für eine Neuinstallation oder ein Upgrade auf Windows XP zusammengefasst:
Tabelle 7.6: Möglichkeiten für Neuinstallation und Upgrade
Antwortdateien verwenden
Über Antwortdateien steuern Sie das Setup von Windows XP. In die- Vorgefertigte sen normalen Textdateien tragen Sie in einer bestimmten Syntax die Antworten Antworten ein, die während des Setups normalerweise durch den Benutzer eingegeben werden. Ein automatisch ablaufendes Setup verkürzt die benötigte Zeit für die Installation erheblich und bedarf keiner weiteren Beaufsichtigung. Durch den Administrator können so bei Bedarf automatisierte Installationen gleichzeitig auf mehreren Computern vorgenommen werden. Eine andere Anwendung kann beispielsweise die Vorbereitung einer Installation von Windows XP Professional für in EDV-Fragen unbedarfte Anwender oder Konsumenten sein.
Arten von Antwortdateien Windows XP kennt zwei verschiedene Arten von Antwortdateien, die Sie für bestimmte Einsatzzwecke nutzen können: • WINNT.SIF für CD-Installation Für die unbeaufsichtigte Installation von der Windows XP Professional CD über den CD-ROM-Bootprozess nutzen Sie eine Diskette, auf der sich die Textdatei WINNT.SIF befinden muss. Dieser Dateiname ist festgelegt und kann nicht geändert werden. Achten Sie nur darauf, dass die Diskette während des Bootprozesses mit anschließendem Start des Windows XP-Setups in Laufwerk A: verfügbar ist. Das Setup liest diese dann aus und fährt gemäß den Einstellungen in der Antwortdatei mit der Installation selbstständig fort. • UNATTEND.TXT im Installationsverzeichnis Starten Sie die Installation über den Aufruf von WINNT.EXE beziehungsweise WINNT32.EXE, können Sie die Antwortdatei, die sich mit im Installationsverzeichnis befindet, explizit angeben. Damit können Sie ihr natürlich auch prinzipiell einen anderen Namen geben als UNATTEND.TXT.
Der Aufbau dieser beiden Arten von Antwortdateien ist vollkommen identisch. Wollen Sie eine unbeaufsichtigte Installation mit Hilfe der Windows XP Installations-CD durchführen, können Sie nur den Weg über WINNT.SIF gehen. Für den Start des unbeaufsichtigten Windows XP-Setups über WINNT.EXE aus einer 16 Bit-Umgebung wie MS-DOS oder Windows 3.x heraus verwenden Sie die folgende Syntax: Winnt /s:E:\INSTALL\I386 /u:UNATTEND.TXT
Es empfiehlt sich, den genauen Ort der Quelldateien mit dem Parameter /s mit anzugeben. Die genaue Beschreibung der Syntax für WINNT.EXE finden Sie in Tabelle 7.4 auf Seite 328. Start mit WINNT32.EXE
Starten Sie das Windows XP-Setup hingegen über eine 32 BitUmgebung wie Windows 9x /NT/2000, verwenden Sie WINNT32.EXE mit der folgenden Option: Winnt32 /s:E:\INSTALL\I386 /unattend:UNATTEND.TXT
Es empfiehlt sich, den genauen Ort der Quelldateien mit dem Parameter /s mit anzugeben. Die genaue Beschreibung der Syntax für WINNT32.EXE finden Sie in Tabelle 7.5 auf Seite 329.
Anpassungen von Antwortdateien während des Setups UDF-Dateien
Für ein unbeaufsichtigtes Setup auf einem Computersystem kann es notwendig sein, dass Sie dennoch individuelle Konfigurationseinstellungen, beispielsweise für den konkreten Benutzer des Systems, vornehmen wollen. Über den Schalter /udf beim Start des Setups über WINNT.EXE beziehungsweise WINNT32.EXE können Sie eine spezielle UDF-Textdatei (Uniqueness Database File) angeben, in der für einen bestimmten Parameter in der Antwortdatei alternative Werte stehen. Die korrekte Syntax dieses Schalters lautet: Winnt ... /udf:[,] ist der eindeutige Identifikator eines Schlüsselwertes in der Ant-
wortdatei, der durch den entsprechenden Wert in der UDF-Datei ersetzt werden soll. Geben Sie beispielsweise UserData als ID an, wird die UserData–Sektion in der Antwortdatei durch die aus der entsprechenden UDF-Datei ersetzt. Voraussetzung für ein Gelingen der Ersetzung sind Schreibrechte auf das Verzeichnis der Installationsdateien. Ein Setup von CD ist damit nicht möglich. $UNIQUE$.UDB
Geben Sie zum ID-Wert keine UDF-Datei an, wird der Benutzer aufgefordert, während der Installation eine Diskette einzulegen, auf der sich die Datei $UNIQUE$.UDB befinden muss. Diese wird dann ausgelesen und für die Ersetzung des entsprechenden Schlüsselwertes in der Antwortdatei benutzt. So können Sie beispielsweise Standard-
7.7 Automatisierte Installation ______________________________________________ 341 Konfigurationen für automatische Setup-Prozeduren entwickeln, die über individuelle Anpassungen auf Diskette personalisiert werden.
Das Dienstprogramm SETUPMGR.EXE Im Verzeichnis \SUPPORT\TOOLS befindet sich die Datei \SUPPORT\TOOLS\ DEPLOY.CAB. In dieser Kabinett-Datei, die Sie durch Doppelklick öff- DEPLOY.CAB nen können, finden Sie unter anderem das Dienstprogramm SETUPMGR.EXE. Hier finden Sie auch weitere Informationen zum unbeaufsichtigten Setup in der Datei SETUPMGR.CHM. Kopieren Sie die Dateien in einen Ordner Ihrer Festplatte, um sie von dort zu starten. Eine Installation ist nicht notwendig. Das Programm SETUPMGR.EXE ist ein verbesserter Assistent zur Erstel- Assistent lung einer Antwortdatei. Darüber hinaus hilft es, diese Antwortdatei anschließend so zu gestalten, dass die Installation lokal von CD oder über eine Netzwerkressource beziehungsweise von einer lokalen Quelle erfolgen kann. Abbildung 7.2: Assistent für die Erstellung einer Antwortdatei
Nach dem Start des Assistenten bestimmen Sie das weitere Vorgehen: • NEUE ANTWORTDATEI ERSTELLEN Mit diese Option führt Sie der Assistent Schritt für Schritt interaktiv durch die Beantwortung aller relevanten Fragen zur Installation von Windows XP Professional und generiert daraus eine neue Antwortdatei.
• VORHANDENE ANTWORTDATEI ÄNDERN Haben Sie bereits Antwortdateien angelegt, können Sie diese auch wieder mit Hilfe des Assistenten überarbeiten. Dabei werden bisher getroffene Einstellungen berücksichtigt und zur Änderung angeboten. Bei der Erläuterung des Vorgehens des Assistenten wird sich hier auf die Erstellung einer neuen Antwortdatei beschränkt. Das Überarbeiten einer vorhandenen Antwortdatei beziehungsweise das Einbeziehen aktueller Konfigurationsdaten durch den Assistenten ist wenig spektakulär und entspricht dem folgenden weitgehend.
Eine neue Antwortdatei erstellen Nach dem Start des Assistenten für die Erstellung einer neuen Antwortdatei über das Programm SETUPMGR.EXE müssen Sie sich für eine der für Windows XP Professional in Frage kommenden Installationsarten entscheiden. Abbildung 7.3: Auswahl der Installationsart
Lokale Neuinstallation
• UNBEAUFSICHTIGTE WINDOWS-INSTALLATION Die Antwortdatei dient für die Neuinstallation eines Windows XPSystems über die System-CD oder den Aufruf von WINNT.EXE oder WINNT32.EXE (siehe auch Seite 339). Das weitere Vorgehen mit dem Assistenten für diese Installationsart erfahren Sie weiter unten in diesem Abschnitt.
Bei der Systemvorbereitung wird eine Konfigurationsdatei Imagedateien SYSPREP.INF für das Dienstprogramm SYSPREP.EXE erzeugt, mit welchem eine vorhandene Windows XP-Installation für das Duplizieren vorbereitet werden kann. Dieses Dienstprogramm wird unter anderem im Abschnitt 7.7.3 Automatisierte Installation mit Disc Images ab Seite 357 behandelt. • REMOTEINSTALLATIONSDIENSTE Für die automatische Installation über das Active Directory mit Hilfe der Remoteinstallationsdienste können Sie hier eine entsprechende Antwortdatei erstellen. Die Remoteinstallationsdienste sind Inhalt des Abschnitts 7.8 Die Remoteinstallationsdienste ab Seite 361.
Remoteinstallation über das Netzwerk
Für das weitere Vorgehen bei Auswahl der ersten Installationsart im Assistenten geben Sie nun an, für welche Windows XP-Plattform Sie die Antwortdatei erstellen wollen. Abbildung 7.4: Auswahl der Windows-Plattform
Meist wird dies wohl Windows XP Professional sein. Dass man auf einen Streich mehrere hundert Server zu installieren hat, die mit diesen Mitteln effektiver über die Bühne zu bringen sind, wird sicher seltener der Fall sein. Im nächsten Dialogfenster des Assistenten können Sie definieren, Benutzereingriff inwieweit der Benutzer, der die Installation durchführt, noch in den Prozess eingreifen soll oder nicht.
Der Benutzer kann während der Installation alle Standardeinstellungen wie Zeitzone, Computername etc. angeben. Diese Variante stellt praktisch keine automatische Installation dar. Auch Werte, die Sie in der Antwortdatei belegt haben, werden angezeigt und können durch den Benutzer überschrieben werden. Diese Option eignet sich aber beispielsweise für den Fall, dass Sie keine restriktive Richtlinie für die Installation eines Windows XP-Systems verfolgen und stattdessen dem weniger erfahrenen Benutzer bestimmte Werte vorschlagen wollen, die dieser aber bei Bedarf noch ändern kann.
Das ist die Standardeinstellung für die häufigsten Konfigurationen einer unbeaufsichtigten Installation. Der Benutzer wird während des Setups generell nicht zu irgendeiner Eingabe aufgefordert. Das setzt aber voraus, dass Sie auch wirklich alle relevanten Einstellungen in der Antwortdatei vorgenommen haben. Lesen Sie dazu unbedingt die Hinweise im Abschnitt Notwendige manuelle Eingriffe in die Antwortdatei auf Seite 355. Seiten ausblenden
• SEITEN AUSBLENDEN Diese Option entspricht der Einstellung zu VOLLAUTOMATISIERT. Darüber hinaus werden die Anzeigen des Setups während des Installationsprozesses auf ein Minimum reduziert.
Diese weitgehend überflüssige Option sichert nur, dass während des Setups auftretende Dialogfenster auch wirklich nicht durch den Benutzer überschrieben werden können. • GUI gesteuert
GUI gesteuert
Für die Vorbereitung einer möglichst reibungslosen Installation, bei der nur die Hardware-Installation ohne Eingriffe automatisch durchgeführt werden sollen, wählen Sie diese Option. Der Benutzer soll dann aber die Abfragen, die im grafischen Teil des Setups kommen, selbst beantworten. Im folgenden Teil dieses Abschnittes werden die weiteren Einstellun- Weiter: Vollautogen des Assistenten für die Erstellung einer Antwortdatei für eine matische Installation VOLLAUTOMATISCHE INSTALLATION behandelt. Nach dem Definieren zusätzlicher Einstellungen, oder wenn Sie diese Distributionsordne überspringen, können Sie festlegen, von welcher Quelle die Installati- r on ausgeführt werden soll. Abbildung 7.6: Auswahl Distributionsordner oder CDInstallation
Wenn Sie die Option DISTRIBUTIONSORDNER wählen, kopiert der Assistent alle erforderlichen Installationsdateien in ein von Ihnen bestimmtes Verzeichnis auf einem beliebigen Datenträger. Der Assistent schlägt einen Ort für einen neuen Distributionsordner vor, im allgemeinen C:\WHISTLERDIST mit der dazugehörenden Netzwerkfreigabe. In diesen Ordner werden alle Installationsdateien des Verzeichnisses \I386 von der Windows XP Installations-CD kopiert.
Zuvor können Sie noch über den Assistenten eventuell benötigte SCSITreiber oder andere Massenspeichertreiber von Drittherstellern einbinden. Benutzen Sie nur Standardtreiber, übergehen Sie dieses Dialogfenster des Assistenten mit WEITER.
HAL
Für bestimmte Computer, beispielsweise bei speziellen Mehrprozessormaschinen, wird die HAL (Hardware Abstraction Layer – Hardwareabstraktionsschicht) vom Hersteller mitgeliefert und sollte anstelle der Standard-HAL von Windows XP verwendet werden. Im entsprechenden Dialogfenster des Assistenten können Sie die HAL angeben, die dann beim automatischen Setup installiert werden soll. Für die meisten Windows XP Professional-Installationen, welche hier im Vordergrund der Betrachtungen stehen, werden Sie diese Option nicht benötigen und können sie mit WEITER übergehen.
Zusätzliche Befehle
Sie können nach der automatischen Installation weitere Befehle ausführen lassen, für die keine Anmeldung am System notwendig ist. Das bedeutet, dass diese Befehle oder Dienstprogramme ohne Benutzerinteraktion über das Systemkonto abgearbeitet werden. Beispielsweise sind damit abschließende Kopier- oder Sicherungsaktionen realisierbar.
OEM Branding
Für OEMs (Original Equipment Manufacturer), die über das automatische Setup eigene PC-Systeme vorinstallieren lassen wollen, besteht die Möglichkeit, das eigene Logo sowie den während der Installation angezeigten Bildschirmhintergrund anzupassen. Dazu müssen nur die entsprechenden Bilddateien im Windows BMP-Format angegeben werden. Dabei sollte nur die VGA-Bildschirmauflösung von 640 x 480 Punkten beachtet werden, unter der die grafischen Teile des Setups ausgeführt werden.
Zusätzliche Dateien und Ordner
Abschließend können Sie über den Assistenten noch weitere Kopiervorgänge für Dateien und Ordner einrichten, die für das Setup benötigt werden oder nach der Installation dem Benutzer zur Verfügung stehen sollen. Unter BENUTZERDATEIEN befinden sich drei Untergeordnete Verzeichnisse für zu kopierende Dateien und Ordner: • Systemlaufwerk Geben Sie hier Dateien oder Ordner an, die in das Systemlaufwerk der neuen Windows XP Installation kopiert werden sollen. Haben Sie beispielsweise bestimmte DLL-Dateien (Dynamic Link Library), die für die korrekte Arbeitsweise einer bestimmten Software erforderlich sind, können Sie diese schon durch das automatische Setup in den System32-Ordner kopieren lassen. Markieren Sie dazu den Eintrag SYSTEM32 und geben Sie über Hinzufügen die Dateien an, die durch das Setup in diesen Windows Systemordner kopiert werden sollen. Die gleiche Verfahrensweise können Sie auch an-
7.7 Automatisierte Installation ______________________________________________ 347 wenden, wenn Sie spezielle Plug&Play-Hardware verwenden, für die Windows XP keine eigenen Treiber mitbringt. So können Sie Ihre Windows XP-Installation auch zukünftigen Neuerungen anpassen. Achten Sie beim Hinzufügen von Treibern von Drittherstellern, dass diese über die entsprechende Microsoft-Signatur verfügen. Ältere Treiber, die signiert in Windows XP enthalten sind, können während des Setups nicht durch unsignierte neuere Treiber ersetzt werden. Unsignierte neue zusätzliche Treiber können Sie durch das Setup hinzufügen lassen, indem Sie in die Antwortdatei in der Sektion [UNATTENDED] folgenden Schlüssel hinzufügen: [Unattended] ... DriverSigningPolicy = ignore ...
Neben Treibern und Systemdateien können Sie selbstverständlich auch andere Dateien und Ordner auf den neuen PC in das Windows-Systemlaufwerk kopieren lassen. Beispielsweise haben Sie so die einfache Möglichkeit, allgemeine Benutzerdateien und -vorlagen, die sich lokal auf jedem neuen Arbeitsplatzcomputer befinden sollen, mitzugeben. Prüfen Sie aber, ob sich diese Aufgabenstellungen nicht eleganter Achtung: mit Hilfe der IntelliMirror-Technologien umsetzen lassen. Dabei IntelliMirror können Sie beispielsweise ein Netzwerkverzeichnis auch als offline verfügbar deklarieren, womit diese Daten nur einmal zentral gepflegt werden müssen und trotzdem immer aktuell auch lokal auf den Arbeitsplätzen vorliegen. Alle hier angegebenen Dateien werden durch den Assistenten beim Erstellen des Distributionsordners mit in diesen kopiert, sodass sie auch während des Setups zur Verfügung stehen. • Andere Laufwerke Hier können Sie weitere Dateien und Ordner hinzufügen, die nach Abschluss der Installation auf den neuen Computer übertragen werden sollen. Standardmäßig werden vom Assistenten allerdings nur zwei Festplattenlaufwerke auf den Zielcomputern angenommen, C: und D:. Wollen Sie auch Kopiervorgänge zu anderen Datenträger einrichten, müssen Sie die zum Schluss erstellte Antwortdatei manuell editieren. • Temporäre Dateien In dieser Verzeichnisstruktur können Sie Dateien und Ordner angeben, die nur für die automatische Installation selbst benötigt
348_____________________________________________________________ 7 Installation werden. Nach der Installation werden diese wieder vom Datenträger auf dem Zielcomputersystem gelöscht. Im Abschnitt TEXTMODUS legen Sie Dateien wie SCSI-Treiber oder HAL ab, die nur im ersten Teil des Setups benötigt werden. Name und Ort der Antwortdatei
Nach Abschluss der oben beschriebenen Einstellungen im Assistenten geben Sie den Namen und den Ort der Antwortdatei an, die durch den Assistenten erstellt wird.
Quelle für Installationsdateien
Geben Sie abschließend die Quelle der Windows XP-Installationsdateien an. Diese können sich auf einem entsprechenden (Netzwerk-)Laufwerk oder auf der Windows XP-CD befinden. Der Assistent wird dann die Antwortdatei sowie gegebenenfalls die UDF-Datei erzeugen und alle benötigten Dateien in den Distributionsordner kopieren. Nach erfolgreichem Kopieren aller Daten müssen Sie normalerweise noch ein wenig Hand an die erstellte Antwortdatei legen, damit die Installation auch wirklich vollautomatisch abläuft.
Lizenzvertrag
Im nächsten Dialogfenster geht es um den Endbenutzer-Lizenzvertrag (EndUser License Agreement - EULA) von Microsoft. Da die Installation vollautomatisch vonstatten gehen soll, kann der installierende Benutzer diesen ja nicht selbst bestätigen.
Abbildung 7.7: Microsoft-Lizenzvertrag annehmen
Hier müssen Sie als einrichtender Administrator sozusagen im Voraus stellvertretend für den Endbenutzer des Windows XP den Bestimmungen des Lizenzvertrages zustimmen, anderenfalls können Sie mit dem Assistenten nicht fortfahren. Übrigens juristisch gesehen eine interessante Frage, was passiert, wenn besagter Endbenutzer gegen
7.7 Automatisierte Installation ______________________________________________ 349 den Vertrag verstößt und nicht haftbar gemacht werden kann, weil er diesem ja nicht persönlich zugestimmt hat... Im nächsten Fenster bestimmen Sie Standard-Namen -Organisation für die zu installierenden Windows XP-Systeme.
und Abbildung 7.8: Standard-Name und -Organisation
Da diese Angaben meist nicht wichtig sind, geben Sie am besten einfache unverbindliche Angaben ein, die für alle PC gleichermaßen gelten können. Weiter geht es mit der Voreinstellung für die Einstellungen von Auf- Anzeigeeinlösung, Farbtiefe und Bildwiederholfrequenz für die Ausgabe auf dem stellungen Monitor. Abbildung 7.9: Festlegen der Anzeigeeinstellungen
Ist die verfügbare Hardware bereits bekannt, sind hier sinnvolle Werte den Windows-Standardeinstellungen unbedingt vorzuziehen.
Das darauf folgende Dialogfenster des Assistenten hat für die Vorbereitung für die Installation vieler Windows-Systeme dagegen eine wichtige Bedeutung:
Abbildung 7.10: Definition der Computernamen
Hier können Sie alle Computernamen eingeben, für die diese Antwortdatei für die automatische Installation gelten soll. Für eine große Zahl an zu installierenden Systemen haben Sie die bequemere Möglichkeit des Imports der Namen über eine Textdatei. In dieser müssen die Namen untereinander fortlaufend eingegeben worden sein. Von der automatischen Vergabe der Computernamen während des Setups kann nur abgeraten werden. Hier würden dann basierend auf dem Organisationsnamen teilweise seltsam anmutende Namen kreiert werden, unter denen man sich im allgemeinen wenig vorstellen kann. Anlage einer UDFDatei
Für die Installation der Systeme mit vordefinierten Computernamen legt der Assistent nach Abschluss aller Einstellungen eine entsprechende UDF-Datei für die benutzerspezifischen Installationsvorgänge an. Lesen Sie dazu weiter hinten in diesem Abschnitt ab Seite 355, wie diese aufgebaut ist und von Hand modifiziert wird.
Administratorkennwort
Anschließend definieren Sie für das neue Windows XP-System das Administratorkennwort.
Darüber hinaus können Sie hier festlegen, ob die erste Anmeldung an dem betreffenden PC automatisch mit dem Administratorkonto erfolgen soll. Das Administratorkennwort wird unverschlüsselt im Klartext in der Antwortdatei abgelegt und kann damit potenziell in falsche Hände geraten. Legen Sie deshalb hier kein sicherheitsrelevantes reales Passwort fest, sondern definieren nur eines für den jeweiligen lokalen Zugriff auf die Computer. Für die Wahrung der Sicherheit im Active Directory sollten Sie die entsprechende primäre Netzwerkanmeldung, verbunden mit den betreffenden Gruppenrichtlinien, konfigurieren. Es folgt die Einstellung der Zeitzone, in der die zu installierenden ZeitzonenEinstellung Computer verwendet werden sollen. Im nächsten Schritt können Sie die Einstellungen für die Netzwerk- Netzwerk konfiguration der zu installierenden Computer festlegen.
352_____________________________________________________________ 7 Installation Abbildung 7.12: Festlegen der Netzwerkeinstellungen
Die Voreinstellung unter Standardeinstellungen bietet eine Konfiguration, mit der ein problemloses Einbinden in ein Windows Netzwerk in den meisten Einsatzfällen möglich ist. Hier erkennen Sie die Ausrichtung von Microsoft auf das Active Directory, bei welchem DHCP und das Protokoll TCP/IP zum Standard gehören. Allerdings können Sie über die BENUTZERDEFINIERTEN EINSTELLUNGEN auch problemlos eine alternative Netzwerkkonfiguration festlegen. Art der Netzwerkeinbindung
Legen Sie dann die Art der Einbindung des Computers in das Netzwerk fest. Meist wird es sich um den Anschluss an eine Windows XP Domäne im Active Directory handeln.
Abbildung 7.13: Einbindung ins Netzwerk festlegen
Dabei wird der Computer im Active Directory registriert. Auch dazu ist nur ein berechtigter Benutzer oder Administrator zugelassen. Sie können aber, da auch dieses Kennwort im Klartext in der Antwortdatei hinterlegt wird, einen speziellen Benutzer anlegen, der lediglich
7.7 Automatisierte Installation ______________________________________________ 353 neue Computer zur Domäne hinzufügen darf und sonst keine weiteren Rechte zugewiesen bekommt. Das Vorgehen dazu ist unter anderem im Abschnitt 7.8.3 Einrichtung des RIS-Servers auf Seite 367 beschrieben. Nach Festlegung der korrekten Zeitzone für die neuen Computersys- Zusätzliche teme können Sie entscheiden, ob weitere zusätzliche Konfigurations- Einstellungen: einstellungen in der Antwortdatei vorgenommen werden sollen. Diese Einstellungen werden im folgenden Text behandelt. Wollen Sie diese nicht definieren, können Sie ab Seite 345 weiterlesen. • Einstellungen für Modem oder Telefon
Telefonie
Da im Netzwerk meist nicht direkt mit einem Modem von einem Arbeitsplatz-PC nach außen kommuniziert wird, kann diese Einstellung meist unbeachtet bleiben. Ausnahmen können aber beispielsweise spezielle Netzwerk-Faxlösungen bilden, welche die Festlegung der Wahlparameter am lokalen PC verlangen. • Regionale Einstellungen Die Ländereinstellungen werden in der Regel standardmäßig durch die lokalisierte Sprachversion von Windows XP richtig voreingestellt und brauchen meist nicht geändert zu werden. • Zusätzliche Sprachen
Regionale Einstellungen
Sprachen
Windows XP ist multilingual ausgelegt. So können Sie über die installierten Sprachen jederzeit Tastaturlayout und andere Anzeigeeigenschaften bequem umschalten. • Einstellungen zum Internet Explorer und zur Windows Shell Wollen Sie den mit Windows XP gelieferten Internet Explorer beispielsweise für die richtige Netzwerkeinstellung vorkonfigurieren, haben Sie hier eine günstige Gelegenheit dazu. So wird nicht jeder Benutzer separat über den Internet-Verbindungsassistenten zur Angabe der richtigen Werte aufgefordert.
Browser- und Shelleinstellungen
Haben Sie feste Einstellungen für den verwendeten Proxy sowie die Startseite, die für alle Benutzer der neu installierten Computer gelten sollen, tragen Sie diese über die dritte Option dieses Assistenten-Dialogfensters ein. • Einen anderen Installationsordner anstelle \WINDOWS Bei der automatischen Installation verwendet das Windows XP Setup standardmäßig die erste verfügbare Bootfestplatte. Das können Sie auch leider nicht beeinflussen. Sie können aber festlegen, in welchen Ordner Windows XP seine Systemdateien ablegt, beispielsweise in \WinXP anstelle in \WINDOWS.
• Eingabe von Druckern im Netzwerk Sie können bereits hier die Netzwerkdrucker angeben, die beim ersten Start automatisch installiert werden sollen.
Abbildung 7.14: Netzwerkdrucker angeben
Achten Sie darauf, dass der Netzwerkpfad und die Bezeichnung wirklich korrekt sind, da keine Gegenprüfung erfolgt. Der Benutzer muss übrigens auch die erforderlichen Rechte besitzen, wenn er die Drucker dann bei der ersten Anmeldung installieren können soll. Weitere Befehle
• Weitere Befehle nach der ersten Anmeldung Für die erste Anmeldung eines Benutzers nach der automatischen Installation können Sie Befehle beziehungsweise Skripte angeben, die hier einmalig abgearbeitet werden sollen.
Abbildung 7.15: Befehle für einmalige Ausführung definieren
7.7 Automatisierte Installation ______________________________________________ 355 Der Assistent fügt hier beispielsweise auch die Einrichtung der Drucker über den Befehl ADDPRINTER hinzu, die Sie eventuell im vorhergehenden Dialogfenster eingegeben haben. • Zusätzliche Befehle In diesem Schritt geben Sie weitere Befehle oder Skripte an, die ausgeführt werden sollen.
Notwendige manuelle Eingriffe in die Antwortdatei Die durch den Assistenten erstellte Antwortdatei ist in der Regel schon recht brauchbar. Für eine vollautomatische Installation ohne Benutzereingriff müssen Sie aber noch die folgenden Ergänzungen vornehmen: • Produkt-Seriennummer integrieren Wenn schon vollautomatisiert, muss natürlich auch die Eingabe der Produkt-Seriennummer dem Benutzer abgenommen werden. Dies können Sie in der Sektion [UserData] der Antwortdatei vornehmen: [UserData] ... ProductID="XXXXX-XXXXX-XXXXX-XXXXX-XXXXX" ...
• Unsignierte Treiber zulassen Installieren Sie zusätzliche Treiber, die nicht signiert sind, durch das automatische Setup, kommt es bei standardmäßiger Einstellung der Antwortdatei zu einer Unterbrechung. Diese vermeiden Sie durch Angabe des folgenden Parameters: [Unattended] ... DriverSigningPolicy = ignore ...
Beachten Sie aber, dass signierte ältere Treiber nicht durch unsignierte neuere ersetzt werden können. • Partitionen erweitern und mit NTFS-formatieren Für die automatische Neuinstallation eines Computersystems kann man selten vorhersehen, welche konkrete Festplattenkonfiguration installiert wird. Die verfügbaren Kapazitäten wachsen heute permanent, so dass hier die Installation flexibel gestaltet werden sollte. Mit den folgenden beiden Optionen in der Antwortdatei stellen Sie sicher, dass die Partition auch bei Vorliegen einer größeren Festplatte auf dem Zielsystem automatisch vergrößert wird. Diese
356_____________________________________________________________ 7 Installation Vergrößerung funktioniert aber nur bei NTFS-Partitionen, womit die Konvertierung nach NTFS sicherheitshalber mit aktiviert werden sollte: [Unattended] ... FileSystem=ConvertNTFS ExtendOemPartition=1 ...
Verwendung von UDF-Dateien Uniqueness Database File
Über eine UDF-Datei können Sie die automatische Installation von Windows XP beeinflussen. UDF hat hier nichts zu tun mit gleichnamigem Format für DVD-Datenträger, sondern bedeutet Uniqueness Database File. In dieser Datei können Sie über eindeutige Identifikatoren Teile der Antwortdatei zur Laufzeit des automatischen Setups anpassen. So sind beispielsweise spezifische Angaben für Benutzernamen oder Netzwerkeinstellungen anpassbar. Sehen Sie sich ein einfaches Beispiel einer UDF-Datei näher an:
Mit dieser UDF-Datei legen Sie individuelle Einstellungen für jeden zu installierenden Computer fest. Die dazugehörige Antwortdatei für ein vollautomatisches Setup könnte folgendermaßen aussehen: Beispiel Antwortdatei
In dieser Darstellung sind für eine bessere Übersichtlichkeit diverse Zeilen in der Antwortdatei weggelassen worden. Den Aufruf dieser Antwortdatei mit der zugehörigen UDF-Datei über Aufruf mit Antwortdatei und UDF WINNT.EXE könnten Sie wie folgt ausführen: winnt /s:E:\I386 /u:ANTW.TXT /udf:ws1,ANTW.UDF
Für WINNT32.EXE müsste der Aufruf dann entsprechend so aussehen: winnt32 /s:E:\I386 /unattend:ANTW.TXT /udf:ws1,ANTW.UDF
Geben Sie keine UDF-Datei explizit an, wird diese auf Diskette wäh- UDF auf Diskette rend des Setups verlangt. Auf dieser Diskette muss die UDF-Datei dann als $UNIQUE$.UDB im Stammverzeichnis abgelegt sein.
7.7.3
Automatisierte Installation mit Disc Images
Eine bequeme Möglichkeit, zu einem voll installierten Windows XP- Disc Images System inklusive aller notwendigen Anwendungsprogramme zu
358_____________________________________________________________ 7 Installation kommen, besteht im Duplizieren einer fertigen Installation auf andere Computer. Dafür gibt es spezielle Programme von Herstellern wie Symantec oder Powerquest. Diese erzeugen ein bitweises Abbild (Image) der spezifizierten Partition und können es auf einem anderen Computersystem wieder auf der Festplatte implementieren. Das Ergebnis ist ein vollkommen identisches System mit allen Programmen, Dateien und Einstellungen des Ursprungscomputers. Übereinstimmung bei der Hardware
Wichtige Voraussetzung ist bei diesem Vorgehen zunächst eine Übereinstimmung der verwendeten Hardwarekomponenten bei Ursprungs- und Zielcomputern. Zwar verfügt insbesondere Windows XP über ein ausgefeiltes Plug&Play-Management, um neue oder geänderte Komponenten zuverlässig zu erkennen, aber es gibt auch hier Grenzen, denen wir uns später noch widmen werden.
Security IDentifier bei Windows XP
Zunächst geht es um die wichtigste Einschränkung, die Sie im Umgang mit Festplattenduplizierern und Windows XP kennen sollten: Windows XP benutzt zur Identifikation eines Computersystems eine eindeutige Identifikation, auch SID (Security Identifier) genannt. Diese ID kennzeichnet jeden Computer und damit auch seine Benutzer und deren Rechte eindeutig im Netzwerk. Solange Sie beispielsweise einen duplizierten PC standalone betreiben, werden Sie keine Probleme beim Betrieb feststellen können. Existieren allerdings zwei Windows XP Computer im Netzwerk, die sich eine SID teilen, kann es zu schwerwiegenden Sicherheitsproblemen kommen.
Das Werkzeug SYSPREP Um dieses Problem zu adressieren, haben Hersteller von Software für das Duplizieren von Festplatten mittlerweile zusätzliche Werkzeuge im Programm, die für eine korrekte neue Vergabe einer SID nach Neustart eines durch Duplizieren entstandenen Systems sorgen. Mit Windows XP wird auch ein entsprechendes Dienstprogramm von Microsoft mitgeliefert, das Programm SYSPREP.EXE. Funktionen:
SYSPREP kann die folgenden Aufgaben für die Installation von Windows XP erfüllen: • Festplattenduplizierung
Festplattenduplizierung
Sie können zuverlässig die Festplattenduplizierung, natürlich unter Beachtung der Microsoft-Lizenzbestimmungen, zum Vervielfältigen einer vollständig vorinstallierten Windows XP Installation benutzen. Dazu generiert Sysprep eine eindeutige SID für den neuen Computer, so dass dieser problemlos ins Netzwerk eingebunden werden kann. • Mini-Setup
7.7 Automatisierte Installation ______________________________________________ 359 SYSPREP erlaubt die Generierung eines Mini-Setups, welche einen Mini-Setup neuen Benutzer, der beispielsweise ein vorinstalliertes Windows XP inklusive einer Reihe von Anwendungsprogrammen nach dem Einschalten vorfindet und nur noch ergänzende Angaben wie die Eingabe der Seriennummer oder seines Namens tätigen muss. • Auslieferungszustand herstellen Eine dritte Funktion von SYSPREP besteht darin, dass es sich auch Auslieferungszueignet, eine fertige Windows XP Installation zu überprüfen und stand herstellen zurück in den Auslieferungszustand zu versetzen. Dabei kommt es nicht auf das Generieren einer neuen SID an, was in einem solchen Fall unterdrückt wird, sondern darauf, dass der Benutzer beim Inbetriebnehmen des Computers über das Mini-Setup (siehe oben) nur noch vervollständigende Angaben zur Installation vornimmt. Bei den folgenden Ausführungen geht es hier um die Betrachtung von Sysprep im Zusammenhang mit dem Duplizieren von Festplatten. Weitergehende Hinweise entnehmen Sie bitte der Quellenangabe auf Seite 361.
Wo liegt SYSPREP auf der Installations-CD? Das Programm finden Sie auf der Installations-CD von Windows XP DEPLOY.CAB Professional in der Datei DEPLOY.CAB im Verzeichnis \SUPPORT\TOOLS. Diese Kabinett-Datei können Sie unter Windows XP durch Doppelklick öffnen. Die folgenden Komponenten gehören zum Programm SYSPREP: Komponente Sysprep.exe
Tabelle 7.7: Komponenten von Das eigentliche Tool, welches Sie für den Aufruf Sysprep verwenden. Für die Beeinflussung der Abarbeitung sollten Sie die Kommandozeilenoptionen beachten, welche weiter unten in diesem Abschnitt aufgeführt sind.
Funktion
Setupcl.exe
Ein fester Bestandteil des Tools, der nicht selbständig funktioniert. Sysprep benötigt dieses Programm zwingend im selben Verzeichnis, um korrekt arbeiten zu können.
Sysprep.inf
Eine Konfigurationsdatei, mit der Sie das Verhalten von Sysprep für die automatische Ausführung beeinflussen können.
Allgemeine Voraussetzungen für das Festplattenduplizieren Bevor Sie an das Duplizieren einer Windows XP-Installation gehen, sollten Sie prüfen, ob die folgenden Voraussetzungen gegeben sind:
360_____________________________________________________________ 7 Installation Keine Domäne!
• Keine Unterstützung für Domänen SYSPREP kann nicht auf einem Windows XP-Computer ausgeführt werden, der Mitglied einer Domäne oder selbst Domänencontroller ist. Falls nicht gegeben, sollten Sie Ihr Windows XP-Professional aus der Domäne entfernen und zeitweise einer beliebigen Arbeitsgruppe zuordnen. Öffnen Sie dazu die Netzwerkidentifikation, im Programm SYSTEM. Nach Inbetriebnahme des neuen PC können sie dann auf die gleiche Art und Weise die Verbindung zur Domäne wieder aufnehmen.
Hardware
• Identische Hardware Das Duplizieren von Festplattenpartitionen funktioniert nur bei weitgehend identischer Hardware zwischen Ursprungs- und Zielcomputersystem. Hier die wichtigsten Punkte dazu: - Die zu verwendende HAL (Hardware Abstraction Layer) der Computersysteme muss übereinstimmen beziehungsweise kompatibel zueinander sein. So sind die HAL APIC und HAL MP (Multiprozessorsysteme) zueinander kompatibel, wohingegen eine verwendete HAL PIC (Programmierbarer Interruptcontroller) auch eine HAL PIC auf dem Zielsystem erfordert. - Der Typ des verwendeten Festplattencontrollers, IDE oder SCSI, muss auf beiden Computersystemen übereinstimmen. - Die Partition beziehungsweise die Festplatte des Zielcomputersystems muss mindestens genau so groß sein wie die auf dem Ursprungscomputer. Zum Umdefinieren der Größe können heute in der Regel die Duplizierprogramme selbst helfen, es lässt sich aber auch der Parameter ExtendOemPartition in der Datei SYSPREP.INF setzen.
Aufruf von SYSPREP Festplatte aufräumen
Der Aufruf des Programms SYSPREP gestaltet sich unspektakulär. Bereiten Sie zuerst Ihre Windows Installation entsprechend vor. Löschen Sie dabei alle unbenötigten Dateien, insbesondere die folgenden: • HIBERFIL.SYS
Datei für Ruhezustand
Diese Datei wird für den Ruhezustand benötigt und belegt genauso viel Platz auf dem Systemlaufwerk wie Hauptspeicher im Computer installiert ist. Ist der Ruhezustand auf Ihrem System eingestellt, deaktivieren Sie ihn über START | SYSTEMSTEUERUNG | ENERGIEOPTIONEN. Damit wird auch die Datei HIBERFIL.SYS gelöscht.
7.8 Die Remoteinstallationsdienste _________________________________________ 361 • PAGEFILE.SYS Entfernen Sie die Auslagerungsdatei vom zu duplizierenden Sys- Auslagerungsdatei temlaufwerk (über START | SYSTEMSTEUERUNG | SYSTEM). Da Windows XP insbesondere bei relativ wenig Hauptspeicher ohne Auslagerungsdatei nicht richtig arbeiten kann, können Sie diese auch einfach auf einen anderen Datenträger verlagern. Eine nicht durch Windows XP selbst gelöschte Auslagerungsdatei wird übrigens beim nächsten Systemstart selbständig wieder hergestellt. Nachdem die Festplatte für das Duplizieren vorbereitet ist, brauchen Sie nur noch SYSPREP.EXE aufzurufen. Danach können Sie das Disk Image herstellen und auf dem Zielcomputer wieder implementieren. SYSPREP sorgt dort dann dafür, dass das System eine neue, eindeutige SID zugewiesen bekommt.
Weitergehende Hinweise Sie finden weitere Hinweise in der Datei REF.CHM, welche sich zusammen mit dem Programm in der Kabinettdatei DEPLOY.CAB befindet.
7.8 Die Remoteinstallationsdienste Die Remoteinstallationsdienste (Remote Installations Services – RIS) Windows 2000 sind Bestandteil der Serverfamilie von Windows 2000 (Server und Server Advanced Server). In diesem Abschnitt werden diese vorgestellt und die Implementierung einer einfachen RIS-Konfiguration praktisch gezeigt. In Buch Windows 2000 im Netzwerkeinsatz werden die Remoteinstallationsdienste tiefergehend behandelt. Die weitreichenden Konfigurationsmöglichkeiten, mit denen Sie zusammen mit anderen MicrosoftTechnologien wie IntelliMirror automatisierte und hocheffiziente Verfahren zur benutzerdefinierten Installation und Datenhaltung umsetzen können, würden den Rahmen des vorliegenden Bandes sprengen. Dieser Abschnitt wird die Installation und Konfiguration der Remoteinstallationsdienste soweit erklärt, dass es Ihnen möglich sein wird, diese auf einem bestehenden Windows 2000 Server in einem Active Directory zu implementieren und für die einfache Installation von Windows XP Professional über das Netzwerk zu nutzen.
Über die Remoteinstallationsdienste können Sie Windows XP Professional auf einem neuen Computer über das Netzwerk installieren. Die Hardwareanforderungen sind hinsichtlich der Speichermedien bei Verfügbarkeit einer bootfähigen Netzwerkkarte minimal. So können gerade in Unternehmen die Netzwerk-Arbeitsplatzcomputer ohne Floppy und CD-ROM-Laufwerk ausgestattet werden. Der Clientcomputer benötigt für den Installationsprozess kein eigenes Betriebssystem. Befinden sich Daten auf der Festplatte werden diese durch das Setup-Programm allerdings gelöscht.
Start über Netzwerkkarte oder Diskette
Beim Startvorgang des Clients über eine bootfähige Netzwerkkarte oder eine spezielle RIS-Diskette wird über DHCP eine IP-Adresse vom Windows 2000-DHCP-Server bezogen (welcher nicht mit dem RISServer identisch sein muss) und die Verbindung mit dem RIS-Server hergestellt.
Anmeldung eines berechtigten Benutzers
Nach der Anmeldung eines für die Installation berechtigten Benutzers im Active Directory kann die Installation beginnen. Die Bootfestplatte des Clientcomputers wird neu eingerichtet und alle Installationsdateien werden vom RIS-Server bezogen. Nach der Installation steht ein neu eingerichteter Arbeitsplatzcomputer mit Windows XP Professional zur Verfügung. Für die benutzerspezifischen Anpassungen des Installationsprozesses kann der RIS-Server weitreichend konfiguriert werden. Der Installationsprozess selbst kann so automatisiert werden beziehungsweise es können beispielsweise weitere Anwendungsprogramme mit installiert werden.
7.8.2 Serverseitige Voraussetzungen
DNS-Server
Technische Voraussetzungen
Die folgenden Voraussetzungen müssen serverseitig erfüllt sein, damit Sie die Remoteinstallationsdienste für die Einrichtung von neuen Clientcomputern über das Netzwerk nutzen können: • DNS-Server Die Remoteinstallationsdienste benötigen einen verfügbaren DNSServer (Domain Name Service) für die Lokalisierung des Active Directory (AD).
DHCP-Server
• DHCP-Server Für den Installationsprozess wird ein aktiver DHCP-Server (Dynamic Host Configuration Protocol) benötigt. Dieser weist den Clientcomputern während des Bootprozesses die entsprechende IP-Adresse zu.
7.8 Die Remoteinstallationsdienste _________________________________________ 363 • Active Directory
Active Directory
Die Remoteinstallationsdienste müssen auf einem Windows 2000 Server installiert sein, welcher Zugriff zum Active Directory hat. Der RIS-Server kann ein Domänencontroller oder einfach ein Mitglied einer Domäne im Active Directory sein. • Speicherplatz für Remoteinstallationsdateien Auf dem RIS-Server muss neben dem Systemdatenträger ein weiterer ausreichend groß dimensionierter Datenträger existieren, der die Remoteinstallationsdateien beherbergt. Eine Speicherung dieser Daten auf dem Systemdatenträger ist grundsätzlich nicht möglich, auch wenn dort vielleicht noch genug Platz vorhanden ist.
Speicherplatz für RIS-Dateien
In einem lokalen Netzwerk mit nur einem Windows 2000 Server kann dieser die Funktionen des DNS-, DHCP- und RIS-Servers in sich vereinigen. Für den Clientcomputer sollten die folgenden Voraussetzungen erfüllt Clientseitige Voraussetzungen sein, um auf einen RIS-Server zugreifen zu können: • Netzwerkkarte
Netzwerkkarte
Für den Bootprozess wird eine PXE-kompatible Netzwerkkarte benötigt, die über ein entsprechendes BIOS zum Booten über das Netzwerk verfügt. Dazu muss das BIOS des Computers explizit den Netzwerkbootprozess unterstützen. Je nach Hersteller stellen Sie im BIOS-Setup die Startsequenz entsprechend auf Netzwerkboot ein. • Floppy-Laufwerk
Floppy-Laufwerk
Haben Sie keine entsprechende Netzwerkkarte, können Sie über die Remoteinstallationsdienste eine spezielle Bootdiskette erstellen, welche eine Reihe der wichtigsten Netzwerkkarten unterstützt. • Festplatte Der Clientcomputer muss über eine ausreichend dimensionierte Festplatte verfügen, welche durch das Windows XP-Setup neu eingerichtet und formatiert wird. Dabei spielt es keine Rolle, ob es sich um eine IDE- oder eine SCSI-Festplatte handelt. Prüfen Sie vor einer Installation über die Remoteinstallationsdienste, ob sich noch wichtige Daten auf der Festplatte des Clientcomputers befinden. Die System- und Startfestplatte wird durch das Setup grundsätzlich neu eingerichtet und formatiert.
Die Vorbereitung des RIS-Servers wird im folgenden Text auf einem Windows 2000 Advanced Server gezeigt. Die Einrichtung des RISServers beginnt, indem Sie über das Windows-Setup die Remoteinstallationsdienste hinzufügen. Abbildung 7.16: Remoteinstallationsdienste hinzufügen (Windows 2000 Server)
Assistent
Nach dem Installieren des Dienstes und Neustart des Servers können Sie über den entsprechenden Assistenten den Remoteinstallationsdienst für die erste Konfiguration starten. Diesen bekommen Sie automatisch über die Startseite WINDOWS 2000 SERVER KONFIGURIEREN angeboten, wenn Sie sich lokal am Server als Administrator anmelden.
RISETUP.EXE
Sie können diesen Assistenten auch manuell über START | AUSFÜHREN mit dem Aufruf des Programms Risetup starten. Zuerst fragt der Assistent nach dem Speicherort für die Remoteinstallationsdateien.
Abbildung 7.17: Remoteinstallationsordner angeben
7.8 Die Remoteinstallationsdienste _________________________________________ 365 Da die Remoteinstallationsdateien gewöhnlich viel Speicherplatz einnehmen, wird aus Sicherheitsgründen zwingend verlangt, dass diese auf einem anderen Datenträger als dem Systemdatenträger installiert werden. Nach der Angabe des Speicherortes können Sie schon über den Assistenten definieren, wie sich der RIS-Server bei Clientanfragen verhalten soll. Abbildung 7.18: Clientunterstützung festlegen
Soll generell auf Clientanfragen geantwortet werden, aktivieren Sie das entsprechende Kontrollkästchen. Lassen Sie dieses hier inaktiv, wird der RIS-Server solange nicht einsetzbar sein, bis Sie ihn über die entsprechende Managementkonsole aktiviert haben. Für einer erhöhte Sicherheit kann es sinnvoll sein, nur im Active Di- Unbekannte rectory registrierte Clientcomputer für eine Remote Installation zuzu- Clients lassen. Dazu müssen Sie allerdings schon vorher die Clientcomputer mit ihrer Hardware-ID, der Netzwerk-MAC-Adresse, im Active Directory eintragen. Meist sind diese Informationen vorher nicht bekannt, da es sich die wenigsten Unternehmen leisten wollen, für einen eventuellen Ausfall Ersatzcomputer ins Lager zu stellen. Somit ist es für den Standard-Einsatzfall ausreichend, diese Option deaktiviert zu lassen. Die Sicherheit wird auch dann gewährleistet, da die Installation generell nur durch einen dafür autorisierten Benutzer durchgeführt werden kann. Anders kann das aussehen, wenn mehrere RIS-Server im Netzwerk Mehrere RIS-Server verfügbar sind. Es gibt leider keine Möglichkeit für den ClientComputer, einen spezifischen RIS-Server auszuwählen. Eine Möglichkeit zur Kontrolle besteht in der Definition der berechtigten Clients im Active Directory mit logischer Zuordnung zu den betreffenden RISServern. Geben Sie dann den Pfad zu den Installationsquelldateien für das Installationsbetreffende Windows XP Professional an. Im Normalfall werden Sie quelldateien die Installations-CD am RIS-Server einlegen und den Pfad dazu eingeben (beispielsweise E:\). Von dieser Quelle werden dann die Installationsdateien in den entsprechenden Installationsabbildordner auf dem RIS-Server kopiert.
Die Bezeichnung für den Installationsabbildordner geben Sie dann im nächsten Eingabefenster des Assistenten an. Der Ordner wird durch den Assistenten dann automatisch in der Verzeichnisstruktur des RISServers angelegt.
Beschreibung und Hilfetext
Für das Installationsabbild auf dem RIS-Server können Sie eine erklärende Beschreibung und einen Hilfetext angeben. Haben Sie mehrere Installationen auf dem RIS-Server abgelegt, kann der betreffende Nutzer, der die Remote Installation über das Netzwerk auswählt, so eine Hilfestellung zur Unterscheidung der betreffenden Installationen erhalten.
Letzter Check
Nach Abschluss der Einstellungen erhalten Sie eine Übersicht über die Konfiguration für den RIS-Server. Brechen Sie hier ab, wird der Assistent keinerlei Änderungen am System vornehmen. Nach Bestätigung der Einstellungen werden die Konfigurationsänderungen vorgenommen und alle Installationsdateien auf den RIS-Server kopiert. Das kann je nach verfügbarer Hardware und gegebenenfalls Geschwindigkeit des CD-ROM-Laufwerks einige Zeit in Anspruch nehmen.
RIS-Server autorisieren
Bevor der RIS-Server überhaupt im Netzwerk aktiv werden kann, müssen Sie ihn im Active Directory autorisieren. Dies können Sie über das DHCP-Snap-In an einem Domänencontroller oder remote von einer Arbeitsstation durchführen. Im Kontextmenü zum Wurzeleintrag DHCP finden Sie die entsprechende Option.
Benutzerrechte vergeben
Damit ein Benutzer einen Computer über RIS installieren kann, muss dieser mit den notwendigen Rechten versehen werden. Diese können Sie als Domänenadministrator über die Managementkonsole ACTIVE DIRECTORY BENUTZER UND GRUPPEN einrichten. Im Kontextmenü des Wurzeleintrags der betreffenden Domäne wählen Sie den Punkt OBJEKTVERWALTUNG ZUWEISEN.
7.8 Die Remoteinstallationsdienste _________________________________________ 367 Abbildung 7.19: Benutzerrechte für Objektverwaltung einrichten
Ein Assistent führt Sie dann durch die weitere Einrichtung. Geben Sie zuerst die Benutzer oder Gruppen an, für die Sie das Recht zur Objektverwaltung vergeben wollen. Abbildung 7.20: Benutzer und/oder Gruppen bestimmen
Soll jeder registrierte Benutzer in dieser Domäne grundsätzlich das Recht bekommen, Computer über die Remoteinstallationsdienste einzurichten, geben Sie die Gruppe JEDER an.
368_____________________________________________________________ 7 Installation Im nächsten Dialogfenster des Assistenten bestimmen Sie, dass die betreffenden Benutzer oder Gruppen Computer zur Domäne hinzufügen dürfen. Abbildung 7.21: Aufgabe Computer hinzufügen zuweisen
Nach Abschluss des Assistenten können die betreffenden Benutzer grundsätzlich die Installation von Windows XP Professional über den RIS-Server durchführen.
7.8.4 RBFG.EXE
Erstellen einer RIS-Bootdiskette
Für Clientcomputer ohne bootfähige Netzwerkkarte können Sie eine spezielle RIS-Bootdiskette erstellen. Diese simuliert einen PXEBootprozess für Computer ohne ein entsprechendes Boot-ROM auf der Netzwerkkarte. Das Dienstprogramm zum Erzeugen der entsprechenden Bootdiskette heißt RBFG.EXE und befindet sich im folgenden Verzeichnis auf dem RIS-Server: \RemoteInstall\admin\i386\RBFG.EXE
Unterstützte Netzwerkkarten
Nach dem Start des Programms vergewissern Sie sich zunächst, ob Ihre betreffende Netzwerkkarte auch unterstützt wird. Die Liste der unterstützten Adapter ist nicht sehr lang und kann derzeit auch nicht erweitert werden.
7.8 Die Remoteinstallationsdienste _________________________________________ 369 Abbildung 7.22: Das Programm RBFG.EXE
Nach Erstellung der Diskette können Sie diese benutzen, um vom Laufwerk A: des Clientcomputers zu starten und auf den RIS-Server zuzugreifen.
7.8.5
Starten der RIS-Installation über das Netzwerk
Einfacher und bequemer als über eine Bootdiskette ist das Starten über Einstellungen auf den PXE-Boot-ROM der Netzwerkkarte. Stellen Sie dazu im BIOS- der Netzwerkkarte Setup des Clientcomputers die Bootsequenz auf die Netzwerkkarte an erster Stelle ein. Hinzu kommen eventuell noch weitere Einstellungen auf der Netzwerkkarte. Je nach Modell und Hersteller unterschiedlich implementiert sind die Zugriffsmöglichkeiten auf das eigene Setup der Karten. Hier sollten Sie, falls einstellbar, das PXE-Protokoll installieren sowie den Netzwerkbootprozess aktivieren. Nach dem Starten des Computers sendet die Netzwerkkarte zunächst Nach Start: F12 unter anderem ihre eigene eindeutige Identifikationsnummer, auch MAC-Adresse genannt, aus. Über den RIS-Server bekommt der Client dann eine eigene IP-Adresse vom DHCP-Server zugewiesen. Dann beginnt die Kommunikation mit dem RIS-Server mit Übertragen der Bezeichnungen der verfügbaren Installationsabbilder. Vor dem Start des Installationsassistenten wird vom Benutzer ein Druck auf die Funktionstaste F12 verlangt.
7.8.6
Der RIS-Installationsprozess
Vor der eigentlichen Installation wird zunächst der Benutzername sowie die Domäne abgefragt. Nur entsprechend eingerichtete Benutzer und Administratoren können Computer über die Remoteinstallationsdienste einrichten.
370_____________________________________________________________ 7 Installation Abbildung 7.23: Abfrage der Benutzerinformationen
Danach wird die Festplatte des Clientcomputers neu eingerichtet und formatiert. Eine entsprechende Meldung wird durch das Setup abgegeben. Der Remoteinstallationsservice ist generell für die Neuinstallation von Windows XP vorgesehen und löscht damit alle bestehenden Daten auf der Startfestplatte des Clientcomputers. Abbruch mit F3
Durch Druck auf F3 können Sie letztmalig den Vorgang abbrechen und den Computer neu starten. Vor dem Start der eigentlichen Installation erfolgt eine Meldung mit Angabe der eindeutigen ID des Computers. Nach Bestätigung beginnt die Installation von Windows XP auf dem Clientcomputer.
Eintrag der S/N in die TXTSETUP.INF
Unterbrochen wird diese nur durch die Eingabe der Seriennummer. Diese Unterbrechung können Sie vermeiden, indem Sie die entsprechende Seriennummer in der Datei TXTSETUP.INF im Verzeichnis der Installationsdateien auf dem RIS-Server eintragen. Der Rest der Installation läuft automatisiert ab. Nach erfolgreichem Abschluss steht Ihnen ein Windows XP Professional-Computer in Ihrem Netzwerk zur Verfügung. Die Nutzeranmeldung erfolgt dabei über die zugrunde liegende Domäne im Active Directory.
7.9 Migration und Anpassung Neben der klassischen Installation bietet XP auch die Möglichkeit, nachträglich Daten und Konfigurationen von einer älteren Installation, beispielsweise unter Windows 98, zu übertragen. Ebenso interessant
7.9 Migration und Anpassung ______________________________________________ 371 sind Optionen, mit denen die fertige Installation angepasst werden kann – im Wesentlichen durch die Deinstallation nicht mehr benötigter Programme.
7.9.1
Migration von älteren Betriebssystemen
Die Migration schließt sich an die Neuinstallation an. Dazu werden nacheinander die folgenden Schritte ausgeführt: 1. Erstellen eines Abbilds der bisherigen Installation. 2. Übertragen des Abbilds auf die neue XP-Installation.
Erstellen eines Abbilds Um das Abbild zu erstellen, starten Sie das alte Betriebssystem. Legen Sie dann die Windows XP-Installations-CD ein. Auf dem ersten Bildschirm wählen Sie die Option ZUSÄTZLICHE AUFGABEN DURCHFÜHREN. Im nächsten Dialog wählen Sie DATEIEN UND EINSTELLUNGEN ÜBERTRAGEN. Abbildung 7.24: Start des Migrationsassistenten
Es startet der Migrationsassistent, der die nötigen Angaben abfragt. Zuerst wählen sie die Art der Datenübertragung – entweder seriell oder über Diskette, Netzwerk oder Festplatte.
372_____________________________________________________________ 7 Installation Beispiel: Windows 98
Die folgenden Abbildungen zeigen den Ablauf des Assistenten unter Windows 98. Windows NT/2000 verhalten sich ähnlich, lediglich die Größe der erzeugten Datei ist unterschiedlich.
Abbildung 7.25: Wahl der Übertragungsmethode
Im folgenden Schritt entscheiden Sie, ob nur Einstellungen für Programme und Systemkonfigurationen, Daten oder Beides übertragen werden sollen. Beachten Sie, dass Programme immer von Hand auf der Zielplattform installiert werden müssen – und zwar bevor Sie die Einstellungen übertragen. Abbildung 7.26: Auswahl der zu übertragenden Elemente
7.9 Migration und Anpassung ______________________________________________ 373 Wenn Sie im vorhergehenden Schritt die OPTION AUSWÄHLEN EINER LISTE aktiviert haben, können Sie im Folgenden einzelne Dateien, Dateitypen oder Programme gezielt aus- oder abwählen. BENUTZERDEFINIERTEN
Abbildung 7.27: Manuelle Korrektur der Auswahlliste
Anschließend startet die Datensammlung. Erfahrungsgemäß nehmen die Daten den größten Platz ein, reine Konfigurationssammlungen sind aber dennoch einige MB groß. Die Sammlung kann einige Zeit dauern – bei umfangreichen Datenbeständen mehrere Stunden. Abbildung 7.28: Der Sammelprozess
374_____________________________________________________________ 7 Installation Nachdem der Sammelprozess beendet wurde, starten Sie Windows XP und beginnen die Migration. Wenn Sie die serielle Übertragung gewählt haben, wird kein Abbild angelegt, sondern die Daten werden direkt übertragen. Dann muss der Zielrechner verbunden sein und in beiden Fällen muss der Migrationsassistent aktiv sein.
Übertragung der Daten auf den Zielrechner Melden Sie sich am Zielcomputer mit dem Benutzernamen an, für den die Daten übertragen werden sollen. Sie müssen den Assistenten ebenfalls starten, entweder mit dem Programm von der Start-CD oder über START | ALLE PROGRAMME | ZUBEHÖR | ÜBERTRAGUNG VON DATEIEN UND EINSTELLUNGEN. Im ersten Schritt des Assistenten wählen Sie die Option ZIELCOMPUTER.
Abbildung 7.29: Auswahl der Option Zielcomputer
Der folgende Schritt erlaubt die Angabe der Quelldaten oder er unterstützt die Erstellung einer Diskette, die zum Sammeln der Daten auf dem Quellcomputer benötigt wird. Dies ist nicht notwendig, wenn Sie die Daten wie bereits beschrieben gesammelt haben.
7.9 Migration und Anpassung ______________________________________________ 375 Abbildung 7.30: Hilfe zum Start des Assistenten auf dem Quellcomputer
Werden die Daten per Datei übertragen, folgt nun die Auswahl. Abbildung 7.31: Auswahl der Datenquelle
Der Ablauf der Übertragung verlangt keine weitere Interaktion, kann aber einige Zeit in Anspruch nehmen.
376_____________________________________________________________ 7 Installation Abbildung 7.32: Ablauf der Übertragung
Nach dieser Prozedur sollten Sie einen intensiven Test vornehmen.
7.9.2
Deinstallation nicht benötigter Programme
Wenn aus Sicherheitsgründen oder zur Entlastung der Speicherkapizität Systemprogramme entfernt werden sollen, wird dazu normalerweise die Funktion Software in der Systemsteurung verwendet. Leider tauchen einige Programme, wie der Windows Messenger, dort nicht auf.
Freigabe von Systemprogrammen zur Deinstallation Die Ursache dafür liegt in der Konfigurationsdatei SYSOC.INF, die Sie in folgendem Pfad finden: %Systemroot%\inf
Öffnen Sie die Datei mit dem Editor. Die Liste zeigt die Einträge in der Übersicht WINDOWS KOMPONENTEN. Elemente, die den Eintrag HIDE am Ende tragen, werden nicht angezeigt. Entfernen Sie das Wort (die beiden Kommata müssen erhalten bleiben). Starten Sie dann das Programm SOFTWARE in der Systemsteuerung.
7.9 Migration und Anpassung ______________________________________________ 377 Abbildung 7.33: Systemprogramme zur Deinstallation freigeben
Starten Sie nach der Speicherung der Datei die Softwareinstallation erneut. Wenn Sie beispielsweise den Eintrag MSMSGS freigeben, können Sie den Windows Messenger deinstallieren. Abbildung 7.34: So deinstallieren Sie den Windows Messenger
Auf der Windows XP Professional Installations-CD finden Sie weitere Support-Tools, deren Installation nachfolgend beschrieben wird: 1. Öffnen Sie die CD im Windows Explorer, sodass Sie direkten Zugriff auf die Dateien und Ordner erhalten. Öffnen Sie den Ordner \SUPPORT\TOOLS. 2. Starten Sie mit einem Doppelklick das Programm SETUP.EXE. Es startet ein Assistent, der Sie durch die weiteren Schritte führt. Geben Sie in den nächsten beiden Dialogfenstern Ihre Zustimmung zu den Lizenzbestimmungen sowie Ihre Benutzerdaten ein. 3. Wählen Sie dann aus, ob Sie eine typische oder eine komplette Installation wünschen. Da der Datenumfang der Tools nicht sehr hoch ist, können Sie beruhigt COMPLETE aktivieren. Abbildung 7.35: Auswahl des Installationsumfangs
4. Wählen Sie dann den Installationsort aus. Mit einem Klick auf INSTALL NOW wird die Installation gestartet.
7.9 Migration und Anpassung ______________________________________________ 379 Abbildung 7.36: Installationsort angeben
5. Nach Abschluss werden Sie vom Assistenten darauf hingewiesen, Neustart notdass ein Neustart des Systems notwendig ist, wenn Sie die neuen wendig Tools einsetzen wollen.
7.9 Migration und Anpassung ______________________________________________ 381
8 8 Wichtige Administrationswerkzeuge In diesem Kapitel geht es um die wichtigsten Werkzeuge, die für die Administration im Allgemeinen unter Windows XP zur Verfügung stehen. Im Mittelpunkt steht dabei die Microsoft Managementkonsole, die eine weitgehend einheitliche Schnittstelle für alle wesentlichen Administrationsprogramme darstellt. Weiterhin werden Werkzeuge vorgestellt, die zur Analyse des Systems, zur automatisierten Verwaltung sowie zur Datensicherung eingesetzt werden können.
Die Microsoft Managementkonsole ................................................. 383 Ereignisanzeige ................................................................................... 407 Task-Manager...................................................................................... 419 Zeitgesteuerte Verwaltung: Taskplaner .......................................... 429 Datensicherung ................................................................................... 433
8.1 Die Microsoft Managementkonsole ______________________________________ 383
8.1 Die Microsoft Managementkonsole Der zentrale Rahmen für die meisten Verwaltungswerkzeuge unter MMC Windows XP ist die Microsoft Managementkonsole, welche im folgenden Text häufig auch mit MMC abgekürzt wird. In den folgenden Abschnitten werden die grundlegenden Konzepte dazu vorgestellt.
8.1.1
Überblick
Die Microsoft Managementkonsole ist zunächst eine »normale« Windows-Anwendung, die einen einheitlichen Rahmen für die verschiedenen Verwaltungstools bildet. Die Managementkonsole gibt es auch als eigenständig installierbares Programm für Windows 9x/ME sowie Windows NT 4.0. Erstmals (fast) durchgängig konsequent als Bestandteil des Betriebssystems wurde die MMC jedoch erst in Windows 2000 eingeführt. Hier sind alle wesentlichen Administrationstools, von einigen wenigen Ausnahmen abgesehen, als Snap-Ins für die MMC ausgeführt und können auch ohne diese nicht benutzt werden.
Einheitlicher Rahmen für Verwaltungswerkzeuge
Die Snap-Ins können selbst aus einem oder mehreren Objekten, eigen- MMC-Snap-Ins ständigen Snap-Ins oder von Snap-Ins abhängigen Erweiterungen, bestehen. Die Schnittstellen der Snap-Ins und ihrer Erweiterungen sind von Microsoft offengelegt und erlauben es auch Drittherstellern, Administrationstools für ihre Hard- bzw. Software zu entwickeln. Damit kann die Administration oder Bedienung von Softwarekomponenten unter Windows XP vereinheitlicht werden. In einer Managementkonsole werden übrigens nicht die Snap-Ins selbst abgespeichert, sondern nur Verweise auf diese. Dadurch sind die Managementkonsolen an sich nur sehr kleine Konfigurationsdateien (mit der Endung MSC), die Sie beispielsweise leicht via E-Mail austauschen oder verteilen können.
Das Programm MMC.EXE Wenn Sie über START | AUSFÜHREN das Programm MMC starten, erhalten Sie eine leere Managementkonsole.
384_______________________________________ 8 Wichtige Administrationswerkzeuge Abbildung 8.1: Eine leere Managementkonsole
Eine leere Managementkonsole besteht zunächst nur aus dem Konsolenrahmen. Über das Menü DATEI können Snap-Ins hinzugefügt oder gelöscht werden, Konsolen geladen oder gespeichert und grundlegende Optionen festgelegt werden. Das Fenster KONSOLENSTAMM stellt den eigentlichen Ausführungsrahmen Ihrer Managementkonsole dar. Unter dem KONSOLENSTAMM werden wie in einem hierarchischen Verzeichnis die Snap-Ins verwaltet, die Sie in dieser Managementkonsole anordnen. Baumstruktur
Abbildung 8.2: MMC mit dem SnapIn Lokale Benutzer und Gruppen; geöffnetes Kontextmenü zur Komponente »Benutzer«
Im linken Teil des Fensters einer Managementkonsole befinden sich die in einer Baumstruktur organisierten Snap-Ins beziehungsweise Ordner, im rechten Teil dann die Einstellungen oder Ausgaben (beispielsweise bei Protokollen) der einzelnen Komponenten. Über das Kontextmenü (erreichbar über die rechte Maustaste oder das Menü AKTION) können die jeweiligen Aktionen für die betreffende Komponente ausgelöst werden.
8.1 Die Microsoft Managementkonsole ______________________________________ 385 Die Komponente BENUTZER des Snap-Ins LOKALE BENUTZER UND GRUPPEN bietet mit seinem Kontextmenü folgerichtig den Eintrag NEUER BENUTZER. Im rechten Teil des Fensters können Sie die einzelnen Benutzer wiederum über das entsprechende Kontextmenü umbenennen, Kennwörter festlegen oder auch löschen. Wie ein Benutzer die Managementkonsole sieht, können Sie festlegen. Das Aussehen Im oben abgebildeten Beispiel der Managementkonsole sieht der Be- kann verändert nutzer nur das gleichnamige Snap-In mit den beiden Objekten werden BENUTZER und GRUPPEN. Den äußeren Ausführungsrahmen mit den Menüoptionen KONSOLE und FENSTER, mit dem weitere Fenster mit Ansichten geöffnet werden könnten, hat er nicht im Zugriff. Ebenso stellt das Snap-In den Ursprung (vergleichbar mit der Verzeichniswurzel) in dieser Managementkonsole dar; der Konsolenstamm selbst erscheint nicht. Wie Sie das für Ihre Managementkonsolen konfigurieren können, ist Inhalt des Abschnitts 8.1.3 Benutzerspezifische MMCs erstellen ab Seite 388. Zuvor sollten Sie jedoch eine Möglichkeit kennen lernen, wie Sie Ihre Managementkonsolen optisch attraktiver und übersichtlicher gestalten können: die Taskpadansichten.
Taskpadansichten Managementkonsolen können durch den Einsatz von Taskpadansich- Ansichten sind ten noch einfacher bedienbar werden. In diese Ansichten integrieren definierbar Sie alle die Komponenten, die für den beabsichtigten Funktionsbereich oder einen bestimmten Benutzer beziehungsweise Gruppe notwendig sind. Dabei können Sie die Konsole so konfigurieren, dass der Benutzer nur auf die für ihn wichtigen Komponenten zugreifen kann. Abbildung 8.3: Individuelle MMC mit Taskpadansicht
Diese auch Tasks bezeichneten Verweise müssen nicht nur Komponen- Verweise ten aus der Managementkonsole sein. Es lassen sich beispielsweise auch Verweise auf Webadressen, Assistenten, Menübefehle oder der
386_______________________________________ 8 Wichtige Administrationswerkzeuge Aufruf von Eigenschaftsseiten bestimmter Komponenten einbauen. Dabei können diese Verweise auch Funktionen ansprechen, die außerhalb der eigentlichen Managementkonsole liegen. Stark vereinfachen lassen sich auch Prozesse, die aus mehreren einzelnen Programmen oder Scripten zusammengesetzt sind und regelmäßig von einem Benutzer ausgeführt werden müssen. Sie können dafür einen einzigen Eintrag in einer Taskpadansicht einrichten. Es lassen sich für eine Managementkonsole auch mehrere Taskpadansichten erstellen, die gruppiert nach Funktionen oder Benutzer, organisiert sein können. Somit können Sie auch komplexe Managementkonsolen übersichtlicher strukturieren, als wenn alle Snap-Ins in ihrer herkömmlichen Anordnung eingebunden wären. Eine ausführliche Beschreibung, wie Sie Managementkonsolen, auch mit Taskpadansichten, anlegen und konfigurieren, finden Sie in den Abschnitten 8.1.3 Benutzerspezifische MMCs erstellen ab Seite 388 und 8.1.4 Erstellen von Taskpadansichten ab Seite 392.
Weiterführende Informationen zur Managementkonsole Im Internet hat Microsoft ein umfassendes Informationsangebot zu seiner Managementkonsolen-Technologie: MMC im Internet
www.microsoft.com/management/MMC/
Hier finden sich umfassende Informationen sowohl für Anwender und Entwickler als auch für Administratoren. In der SNAP-IN GALLERY stehen Ihnen Infos und Downloads von Snap-Ins für die Managementkonsole zur Auswahl bereit. Microsoft ist bestrebt, hier auch externen Softwareentwicklern für die Windows XP/2000 -Plattform ein Forum geben, die eigenen Verwaltungs-Snap-Ins zum Download anzubieten.
8.1.2
Vorkonfigurierte Managementkonsolen
In Windows XP sind eine Reihe von Managementkonsolen bereits vorkonfiguriert, mit denen Sie die wichtigsten Administrationsaufgaben erledigen können. Sie finden diese in SYSTEMSTEUERUNG | LEISTUNGS UND WARTUNG | VERWALTUNG.
8.1 Die Microsoft Managementkonsole ______________________________________ 387 Abbildung 8.4: Werkzeuge der Verwaltung
Wie Sie sehen können, sind diese Bestandteile der VERWALTUNG nur Verknüpfungen; im Falle der Managementkonsolen Verweise auf Konfigurationsdateien (mit der Endung MSC). In der folgenden Tabelle sehen Sie die wichtigsten vorkonfigurierten Managementkonsolen in einer Übersicht zusammengefasst: Managementkonsole ADMINISTRATOR FÜR SERVERERWEITERUNGEN
Tabelle 8.1: Vorkonfigurierte Erlaubt die Verwaltung der Frontpage- ManagementkonServererweiterungen (wird zusammen mit dem solen IIS installiert)
Beschreibung
COMPUTERVERWALTUNG
Funktionen für die Verwaltung des Computers wie Systemtools (Ereignisanzeige, Protokolle, Gerätemanager), Konfiguration und Wartung der Massenspeicher und die BetriebssystemDienste
DIENSTE
Allein für die Konfiguration der BetriebssystemDienste; auch enthalten in der MMC COMPUTERVERWALTUNG
EREIGNISANZEIGE
Eine MMC ausschließlich mit dem Snap-In EREIGNISANZEIGE, auch in der MMC COMPUTERVERWALTUNG enthalten
INTERNETINFORMATIONSDIENSTE
Administration des Internet Information Servers (IIS); wird zusammen mit diesem installiert
KOMPONENTENDIENSTE
Dient der Konfiguration der Dienste, die die COM- und COM+-Komponenten für die gemeinsame Nutzung auf einem Server bereitstellen; vor allem für Programmierer wichtig
Eine MMC mit den Snap-Ins SYSTEMMONITOR und die LEISTUNGSDATENPROTOKOLLE; können Aufschluss über die Ressourcenauslastung und die Optimierung der Rechnerperformance geben
LOKALE SICHERHEITS-
MMC für die individuelle Anpassung der lokalen Sicherheitsrichtlinien für den Computer; wichtig ist bei einem Netzwerkeinsatz nur zu beachten, dass diese durch die Sicherheitsrichtlinien der übergeordneten Domäne wieder aufgehoben werden können, wenn der PC in eine Active Directory-Domäne integriert wird
RICHTLINIE
Datenquellen (ODBC)
Leider hat Microsoft das MMC-Konzept nicht bis zum Ende durchgehalten, so ist die Konfiguration der ODBC (Open Database Connectivity) aus unerfindlichen Gründen als eigenständige Applikationen umgesetzt. Es ist zu vermuten, dass sich die Implementierung als Snap-In wegen der Ablösung des Datenbankzugriffes durch OLE-DB nicht mehr lohnt.
8.1.3
Benutzerspezifische MMCs erstellen
Die vorkonfigurierten Managementkonsolen (siehe vorigen Abschnitt) decken nur einen begrenzten Teil der Administrationsaufgaben ab. Windows XP bietet die Möglichkeit, eigene Konsolen anzulegen und mit den Funktionen zu versehen, die auch wirklich benötigt werden.
Eine eigene Managementkonsole anlegen Um eigene Managementkonsolen zusammenzustellen, können Sie folgendermaßen vorgehen: 1. Starten Sie eine leere Managementkonsole (siehe Abbildung 8.1 auf Seite 384), indem Sie über START |AUSFÜHREN das Programm MMC aufrufen. Über SNAP-IN HINZUFÜGEN/ENTFERNEN des Hauptmenüpunkts DATEI können Sie aus den verfügbaren Snap-Ins das gewünschte aussuchen.
8.1 Die Microsoft Managementkonsole ______________________________________ 389 Abbildung 8.5: Aus der Liste der verfügbaren Snap-Ins auswählen
Wählen Sie das Snap-In und klicken Sie auf HINZUFÜGEN. Für das folgende Beispiel wird eine Managementkonsole mit dem Snap-In COMPUTERVERWALTUNG angelegt und individuell eingerichtet. 2. Viele Snap-Ins für die Administration bieten die Funktionalität, auch entfernte Arbeitsstationen mit Windows XP oder 2000 zu verwalten. Sie werden dazu nach Auswahl eines Snap-Ins aufgefordert, den zu verwaltenden Computer anzugeben. Abbildung 8.6: Auswahl zur Verwaltung eines lokalen oder entfernten Systems
Für eine Reihe von Snap-Ins können Sie diese Zuordnung zum lokalen oder einem entfernten Computer auch innerhalb der Managementkonsole jederzeit ändern, allerdings nicht bei allen. Großer Vorteil dieser Technologie ist, dass Sie so ein Netzwerk von Windows XP/2000-Arbeitsstationen oder -Servern remote administrieren können. Greifen Sie auf diese Weise mit einer Managementkonsole auf einen Windows 2000 Server zu, stehen Ihnen damit auch automatisch erweiterte Funktionen zu Verfügung, die nur auf dem Server nutzbar sind. So können Sie beispielsweise RAID5-Datenträger von einer Windows XP oder 2000-Professional-Arbeitsstation aus auf einem Server anlegen, obwohl das lokal nicht unterstützt wird. 3. Im Fenster für die Konfiguration der zu dieser Managementkonsole gehörenden Snap-Ins können Sie für bestimmte Snap-Ins noch weitere Konfigurationen vornehmen. Snap-Ins können aus mehr als einer Komponente bestehen. Diese werden dann im Fenster unter ERWEITERUNGEN aufgeführt.
Abbildung 8.7: Erweiterungen des Snap-Ins Computerverwaltung
Erweiterungen von Snap-Ins
Erweiterungen benötigen zum Funktionieren ein zugehöriges Basis-Snap-In oder stellen selbst ein eigenständiges Snap-In dar. In unserem Beispiel enthält die COMPUTERVERWALTUNG mehrere eigenständige Snap-Ins wie das DEFRAGMENTIERUNGSPROGRAMM oder LOKALE BENUTZER UND GRUPPEN.
8.1 Die Microsoft Managementkonsole ______________________________________ 391 Durch das Konzept der Erweiterbarkeit können auch Drittherstel- Erweiterbarkeit ler von Hard- bzw. Software für Windows XP ihre Erweiterungen durch für existierende Snap-Ins liefern und diese so mit den benötigten Dritthersteller Funktionen versehen. Die so konfigurierte Managementkonsole präsentiert sich zunächst wie in der folgenden Abbildung dargestellt: Abbildung 8.8: Die erstellte Managementkonsole
Im linken Bereich sehen Sie die Baumstruktur der eingebundenen Snap-Ins, ausgehend vom Konsolenstamm, in unserem Fall die COMPUTERVERWALTUNG mit all ihren Komponenten (allerdings jetzt ohne das Defragmentierungsprogramm). Im rechten Teil werden die Objekte der gerade aktivierten Komponente eingeblendet.
Speicherorte für Managementkonsolen Wenn Sie die individuell konfigurierte Managementkonsole über DATEI | SPEICHERN sichern, wird standardmäßig das folgende Verzeichnis angeboten: %SystemDrive% \Dokumente und Einstellungen \ \Startmenü \Programme \Verwaltung
Wenn Sie als Administrator Managementkonsolen für andere Benutzer anlegen, können Sie diese in deren persönlichen Startmenüs unterbringen. Konsolen für alle Benutzer speichern Sie unter dem Benutzerverzeichnis All Users.
392_______________________________________ 8 Wichtige Administrationswerkzeuge Übersichtlichkeit von Managementkonsolen erhöhen Es ist ratsam, Managementkonsolen mit nicht zu vielen Snap-Ins zu versehen, da sonst die Übersichtlichkeit stark leiden kann. Vereinfachen können Sie den Zugriff für komplexere Managementkonsolen dennoch mit zwei Mitteln: Favoriten
• Favoriten Häufig benutzte Komponenten fügen Sie einfach über das Kontextmenü zu den Favoriten hinzu, so haben Sie diese ähnlich wie mit den Favoriten im Internet-Explorer immer im schnellen Zugriff.
Taskpadansichten
• Taskpadansichten Mit den Taskpadansichten können Sie wichtige Komponenten oder andere Tasks über einfache grafische Symbole verfügbar machen. Wie Sie das Aussehen einer Managementkonsole noch weiter beeinflussen können, welche Menüeinträge sichtbar sein sollen oder ob die Konsolenstruktur überhaupt angezeigt wird, ist Inhalt des nächsten Abschnitts.
8.1.4
Erstellen von Taskpadansichten
Taskpadansichten lassen sich für die Managementkonsolen recht einfach mit Hilfe von Assistenten einrichten. Am Beispiel der im vorangegangenen Abschnitt erstellten Managementkonsole soll für die Komponente BENUTZER eine Taskpadansicht erstellt werden, die die folgenden Funktionen zur einfachen Benutzerverwaltung enthält: • Neuen Benutzer anlegen • Benutzer löschen • Kennwort ändern Gehen Sie zum Erstellen dieser Taskpadansicht wie folgt vor: 1. Aktivieren Sie in der Konsolenstruktur im linken Teil der MMC die Komponente BENUTZER und klicken Sie im Kontextmenü, welches sich mit der rechten Maustaste öffnen lässt, auf NEUE TASKPADANSICHT. Daraufhin startet ein Assistent, der Sie bei der Erstellung der Taskpadansicht unterstützt. Nach dem obligatorischen Willkommen-Fenster gelangen Sie in ein erstes Konfigurationsfenster:
8.1 Die Microsoft Managementkonsole ______________________________________ 393 Abbildung 8.9: Definieren der Taskpadanzeige
2. Hier bestimmen Sie zunächst das grundsätzliche Aussehen der Aussehen der Taskpadansicht. Die zu setzenden Optionen haben dabei die fol- Taskpadansicht festlegen gende Bedeutung: - FORMAT FÜR DETAILFENSTER Sollen die einzelnen Komponenten des betreffenden Snap-Ins (in Listenform) angezeigt werden, so können Sie zwischen einer vertikalen oder horizontalen Anordnung der Liste auswählen. Die Ausdehnung der Liste in der Ansicht lässt sich dabei über das Auswahlmenü LISTENGRÖßE einstellen. Möchten Sie hingegen in der Taskpadansicht ausschließlich mit selbst definierten Symbolen den Zugriff auf bestimmte Funktionen (»Tasks«) definieren, wählen Sie KEINE LISTE aus. Wollen Sie verhindern, dass Sie aus der Taskpadansicht über die Registerkarte STANDARD zurück in die normale Ansicht des Snap-Ins wechseln können, deaktivieren Sie das Kontrollkästchen vor REGISTERKARTE “STANDARD“AUSBLENDEN. - FORMAT FÜR TASKBESCHREIBUNGEN Hierbei können Sie bestimmen, wie die Taskbeschreibungen, Taskbeschreiwenn Sie welche angelegt haben, angezeigt werden sollen. Eine bungen elegante Variante stellt INFOTIPP dar, da dann der Beschreibungstext automatisch über dem Symbol eingeblendet wird, wenn die Maus darüber verharrt. Wählen Sie TEXT, wenn die Beschreibung neben dem Symbol fest angezeigt werden soll. 3. Nach dem Definieren des grundsätzlichen Aussehens der Taskpadansicht bestimmen Sie, wieweit diese in Ihrer Managementkonsole verwendet werden soll:
Sie können in diesem Auswahlfenster festlegen, ob Ihre Taskpadansicht nur auf das ausgewählte Strukturelement oder auf alle desselben Typs angewendet werden soll. Haben Sie beispielsweise in Ihrer Managementkonsole mehrmals eine bestimmte Komponente verwendet, für die Sie in dieser eine Taskpadansicht entworfen haben, würde diese Ansicht automatisch immer wieder für diese Komponente angezeigt werden. Gleichzeitig können Sie in diesem Fenster einstellen, dass diese definierte Taskpadansicht generell als Standardanzeige verwendet werden soll, wenn die Komponente ausgewählt wird. 4. Vergeben Sie dann Ihrer neuen Taskpadansicht einen Namen sowie eine erklärende Beschreibung. Diese werden später als Titel für die Ansicht angezeigt. Abbildung 8.11: Name und Beschreibung vergeben
5. Jetzt fehlen in Ihrer Taskpadansicht nur noch die Tasks. Sie werden dazu beim Erstellen einer neuen Ansicht vom Assistenten gleich weiter geführt.
8.1 Die Microsoft Managementkonsole ______________________________________ 395 Abbildung 8.12: Auswahl des Befehlstyps für den neuen Task
Es gibt drei Befehlstypen für Tasks: - MENÜBEFEHL Sie können einen Task definieren, der einen Menübefehl abbildet. Dabei können Sie einen Befehl aus dem Kontextmenü zu einem Element der Detailansicht (hier zum Kontextmenü eines Benutzers, wie KENNWORT FESTLEGEN) oder zur ganzen Komponente (hier zur Komponente BENUTZER; beispielsweise NEUER BENUTZER) auswählen. - SHELLBEFEHL Es lassen sich auch Aufrufe von externen Programmen in Ihre Taskpadansicht einsetzen. So können Sie bestimmte Funktionen in Ihre Managementkonsole integrieren, die Sie allein durch das Snap-In und seine Erweiterungen vielleicht nicht realisieren könnten. - NAVIGATION Für den schnelleren Zugriff auf häufig benötigte Funktionen können Sie diese in die Liste der Favoriten aufnehmen. Mit einem Navigationstask lässt sich ein Favorit direkt in Ihre Ansicht einsetzen. Für das Beispiel, für das der Task NEUER BENUTZER benötigt wird, setzen Sie mit der Definition eines Tasks als MENÜBEFEHL fort. 6. Bestimmen Sie im nächsten Dialogfenster die Befehlsquelle für den Kontextmenübefehl. Für das Beispiel wird ein Befehl zur Kategorie BENUTZER benötigt, nicht zum konkreten Benutzer selbst. Schalten
396_______________________________________ 8 Wichtige Administrationswerkzeuge Sie deshalb auf STRUKTURELEMENTTASK um. Wählen Sie für BENUTZER dann rechts den Befehl NEUER BENUTZER aus. Abbildung 8.13 Kontextmenübefehl für einen Task auswählen
7. Legen Sie dann den Namen und eine Beschreibung für diesen Task fest. Abbildung 8.14 Name und Beschreibung für den Task festlegen
8. Im nächsten Dialogfenster kommen Sie zur Auswahl eines geeigneten grafischen Symbols für diesen Task. Bei der mit Windows XP ausgelieferten Version der Managementkonsole sind die hier angebotenen Symbole in Farbe verfügbar und können auch durch eigene Bilder erweitert werden.
8.1 Die Microsoft Managementkonsole ______________________________________ 397 Abbildung 8.15: Grafisches Symbol auswählen
Jetzt haben Sie eine Taskpadansicht, die die Benutzer in einer Liste zur Auswahl anzeigt und über einen Task verfügt, mit dem Sie einen neuen Benutzer einrichten können. Weitere Tasks können Sie hinzufügen, wenn Sie über das Kontextmenü zu BENUTZER den Menüpunkt TASKPADANSICHT BEARBEITEN gehen. TASKPADANSICHT BEARBEITEN ist nur dann verfügbar, wenn für die betreffende Komponente die Taskpadansicht sichtbar ist. Ist nur die normale Strukturansicht im Vordergrund, können nur neue Taskpadansichten definiert werden. Wenn Sie nun auf die gleiche Weise noch die zwei fehlenden Tasks KENNWORT ÄNDERN und LÖSCHEN hinzufügen, beachten Sie, dass Sie bei der Auswahl des Kontextmenübefehls als Befehlsquelle Im DETAILFENSTER AUFLISTEN auswählen (siehe Abbildung 8.13). Sie können für ein Element in einer Managementkonsole mehrere Taskpadansichten definieren. Das Wechseln der Ansichten wird dann über die Navigationsregisterkarten ermöglicht.
398_______________________________________ 8 Wichtige Administrationswerkzeuge Abbildung 8.16: Die neue Taskpadansicht für die Benutzerverwaltung
Taskpadansicht als Möchten Sie diese Taskpadansicht als einzige Ansicht für die Manaeinzige Ansicht für gementkonsole einrichten, gehen Sie folgendermaßen vor: die MMC einrichten
1. Öffnen Sie über das Kontextmenü zu BENUTZER ein NEUES FENSTER.
2. Schließen Sie das dahinter liegende Fenster, welches die komplette Managementkonsole enthält. 3. Maximieren Sie das verbleibende Fenster mit der Taskpadansicht und schließen Sie die Strukturansicht mit einem Klick auf das entsprechende Symbol. 4. Nehmen Sie über DATEI | OPTIONEN die folgenden Einstellungen vor (siehe Abbildung 8.17):
8.1 Die Microsoft Managementkonsole ______________________________________ 399 Abbildung 8.17: Optionen für eine eingeschränkte Konsole
5. Deaktivieren Sie über ANSICHT | ANPASSEN alle Ansichtsoptionen zu dieser Managementkonsole. Wollen Sie, dass der Benutzer zwischen eventuell mehreren angelegte Ansichten umschalten können soll, müssen Sie Kontrollkästchen TASKPAD-NAVIGATIONSREGISTERKARTEN aktiviert lassen. Abbildung 8.18: Ansicht der MMC anpassen
Detailliert werden die Ansichtsoptionen und Benutzermodi in den folgenden beiden Abschnitten erläutert. 6. Speichern Sie über DATEI | SPEICHERN die Konsole unter einem eigenen Namen ab; als Standardverzeichnis wird Ihnen dabei Startmenü\Programme\Verwaltung unter Ihrem eigenen Benutzer-
400_______________________________________ 8 Wichtige Administrationswerkzeuge Verzeichnis angeboten (zu den Speicherorten für Managementkonsolen siehe auch Seite 391). Wenn Sie diese Managementkonsole aus dem Startmenü wieder aufrufen, erscheint diese ausschließlich mit der Taskpadansicht. Abbildung 8.19: Die neue Managementkonsole
Rechte beachten
Mit dieser Managementkonsole können nur noch die angezeigten Funktionen ausgeführt werden, um neue Benutzer anzulegen, Kennwörter zu ändern oder Benutzer zu löschen. Voraussetzung dazu ist natürlich, dass der Benutzer dieser Konsole die erforderlichen Rechte dazu hat. Ein normaler Benutzer kann auch mit dieser Konsole lediglich sein eigenes Kennwort ändern. Dieses Beispiel soll aber zeigen, wie Sie eigene Managementkonsolen mit Hilfe der Taskpadansichten zu übersichtlichen, spezifischen Werkzeugen verwandeln können.
Taskpadansichten miteinander verknüpfen Wollen Sie mehrere Taskpadansichten miteinander verknüpfen, also eine Managementkonsole anlegen, die dem Benutzer ausschließlich die Bedienung über Taskpadansichten erlaubt, gehen Sie folgendermaßen vor: 1. Erstellen Sie zuerst für jedes betreffende Strukturelement eine eigene Taskpadansicht mit allen erforderlichen Tasks. Die Taskpadansicht muss dabei als Standardansicht für das Strukturelement eingerichtet sein.
8.1 Die Microsoft Managementkonsole ______________________________________ 401 2. Fügen Sie jeder der Taskpadansichten zu den Favoriten hinzu. Achten Sie dabei darauf, dass jeweils die Taskpadansicht aktiv ist und nicht die normale Strukturansicht. 3. Erstellen Sie nun eine Start-Taskpadansicht für Ihre Konsole. Dies kann das erste Strukturelement Ihrer Konsole sein. In diese Startansicht sollten Sie keine Liste für das Detailfenster anlegen, sondern nur Navigationstasks zu den angelegten Favoriten. Über diese Tasks kommen Sie dann direkt in die Taskpadansichten der anderen Strukturelemente. 4. Sie benötigen jetzt noch einen Zurück-Task für die Strukturelemente-Ansichten, um damit immer wieder in das Startfenster zurück zu kommen. Dazu fügen Sie die Startansicht zu den Favoriten hinzu und erstellen in jeder untergeordneten Ansicht einen Navigationstask, den Sie Zurück nennen können. Benutzen Sie als Navigationstasks die Favoriten, die Sie aus den Taskpadansichten generiert haben, nicht die der Strukturelemente selbst. Beachten Sie das nicht, wird der Verweis immer wieder in der normalen Ansicht landen, anstatt die Taskpadansicht aufzurufen, auch wenn Sie zuvor die Taskpads als Standardansichten definiert haben. Derartig verknüpfte Taskpadansichten können dann wie in Abbildung 8.20 aussehen. Diese Darstellung ist dabei nur symbolisch zu verstehen. Die einzelnen Taskpadansichten sind hier nur zur besseren Übersicht in einzelnen Fenstern abgebildet. In der realen Managementkonsole spielt sich das alles innerhalb eines Fensters ab.
402_______________________________________ 8 Wichtige Administrationswerkzeuge Abbildung 8.20: Verknüpfte Taskpadansichten einer MMC
8.1.5
Anpassen von Managementkonsolen-Ansichten
Das Aussehen der Managementkonsole können Sie weiter beeinflussen, indem Sie im Hauptmenü ANSICHT | ANPASSEN auswählen. Sie erhalten ein Fenster mit einer Auflistung der Ansichts-Optionen für das Erscheinungsbild der Managementkonsole.
8.1 Die Microsoft Managementkonsole ______________________________________ 403 Abbildung 8.21: Ansicht einer MMC anpassen
Das Verhalten der einzelnen Optionen können Sie sehr gut erkennen, da die im Hintergrund geöffnete Managementkonsole gleich auf die Änderungen reagiert. In der folgenden Abbildung sehen Sie die einzelnen Bestandteile der Bedienoberfläche einer Konsole im Überblick. Abbildung 8.22: Ansichtsobjekte einer MMC
Im Bereich MMC des Optionsfensters ANSICHT ANPASSEN bestimmen Bereich MMC Sie das Aussehen der Managementkonsole selbst, das heißt des äußeren Rahmens, in den die Snap-Ins eingebettet sind (siehe Abbildung 8.22):
404_______________________________________ 8 Wichtige Administrationswerkzeuge • KONSOLENSTRUKTUR Diese Option bestimmt, ob im linken Teil des Konsolenfensters die Konsolenstruktur angezeigt wird. Ist diese Option deaktiviert, bleiben hier nur die Favoriten, wenn angelegt, sichtbar. • STANDARDMENÜS (AKTION UND ANSICHT) Mit dieser Option lassen sich die beiden Standardmenüeinträge AKTION und ANSICHT ausblenden. • STANDARDSYMBOLLEISTE Die Standardsymbolleiste dient zum Navigieren und dem schnellen Aufruf von Funktionen zur aktivierten Komponente der Managementkonsole. • STATUSLEISTE In dieser Leiste erscheinen Meldungen der Konsole zum Programmablauf, beispielsweise wenn Komponenten längere Auswertungen ausführen. • BESCHREIBUNGSLEISTE Es werden hier Hinweise gegeben, welche Komponente gerade aktiv ist; insbesondere dann wichtig, wenn die Struktur der Komponenten rechts ausgeblendet ist. • TASKPAD-NAVIGATIONSREGISTERKARTEN Diese Register dienen der Umschaltung der Ansichten im rechten Fensterbereich, wenn mehrere definiert worden sind, beispielsweise mit Hilfe der Taskpadansichten. Bereich SNAP-IN
Im SNAP-IN-Bereich des Optionsfensters ANSICHT ANPASSEN definieren Sie zwei Ansichtsoptionen für das Verhalten der Snap-Ins in der Managementkonsole: • Menüs Snap-Ins können eigene Menüerweiterungen mitbringen, die dann neben den Standardmenüs AKTION und ANSICHT erscheinen. Wird diese Option deaktiviert, werden diese Menüs nicht eingeblendet. • Symbolleisten Wie schon bei den Erweiterungen für Menüs können Snap-Ins auch ihre eigenen Symbole mitbringen, die dann neben oder unter der Standardsymbolleiste sichtbar werden. Deaktivieren Sie diese Option, wenn sich diese nicht zeigen sollen.
Beschreibungstexte
Neu sind die Beschreibungstexte, die bei bestimmten Snap-Ins eingebettet sind und bei einem Klick auf das Element eingeblendet werden. Sie können diese allerdings nicht generell aus- oder einblenden. Ledig-
8.1 Die Microsoft Managementkonsole ______________________________________ 405 lich beim Umschalten auf die Standardansicht STANDARD) werden die Texte nicht angezeigt.
(Registerkarte
Umfangreiche Detailansichten von Strukturelementen als Liste im Spalten ändern rechten Teil der Managementkonsole können Sie ebenfalls in ihrem Darstellungsumfang beeinflussen. So gewinnen Detailansichten an Übersichtlichkeit, wenn nur die Spalten angezeigt werden, die Sie für den konkreten Zusammenhang als wichtig erachten. Über ANSICHT | SPALTEN HINZUFÜGEN/ENTFERNEN erhalten Sie ein Auswahlfenster, mit dem Sie die gewünschten Spalten der Anzeige beeinflussen können. Abbildung 8.23 Spaltenanzeige beeinflussen
ENTFERNEN Sie einfach alle in dieser Ansicht nicht benötigten Spalten. Diese erscheinen dann im linken Bereich unter AUSGEBLENDETE SPALTEN. Die Reihenfolge der Spalten können Sie im übrigen auch leicht ändern, indem Sie im rechten Teil eine Spalte markieren und mit NACH OBEN und NACH UNTEN neu positionieren. Bestimmte Spalten lassen sich nicht verschieben oder entfernen, das hängt von der Programmierung des jeweiligen Snap-Ins ab.
8.1.6
Benutzermodi für Managementkonsolen
Managementkonsolen, die Sie für den Zugriff durch normale Benutzer erstellen, möchten Sie natürlich auch absichern. Benutzer sollen schließlich nur die Werkzeuge in die Hand bekommen, die sie auch benötigen und beherrschen. Damit das gewährleistet werden kann, gibt es Zugriffsoptionen, die Sie für jede Konsole individuell einstellen können. Über das Hauptmenü DATEI | OPTIONEN erhalten Sie ein Auswahlfenster, mit dem Sie den beabsichtigten Benutzermodus für die Konsole einstellen können.
406_______________________________________ 8 Wichtige Administrationswerkzeuge Abbildung 8.24: Auswahl des Konsolenmodus für eine MMC
Sie können für Ihre Managementkonsole einen der vier Modi für die Benutzung auswählen: Keine Beschränkungen
• AUTORENMODUS
Benutzermodi mit Beschränkungen
• BENUTZERMODUS – VOLLZUGRIFF
Dieser Modus ist der Standard für eine neue Konsole. Sie können, auch als Benutzer, beliebig Änderungen an der Konsole vornehmen, Snap-Ins hinzufügen oder löschen bzw. die Erweiterungen für Snap-Ins anpassen. Möchten Sie angepasste Managementkonsolen Ihren Benutzern zur Verfügung stellen, sollten Sie diese auf keinen Fall im Autorenmodus belassen.
In diesem Modus ist die Managementkonsole an sich geschützt. Benutzer können keine weiteren Snap-Ins aufnehmen oder vorhandene modifizieren bzw. löschen. Es ist aber erlaubt, für Komponenten andere Fensteransichten zu starten oder sich frei in allen installierten Komponenten zu bewegen. Dieser Modus eignet sich für erfahrene Benutzer, denen Sie bestimmte Administrationsaufgaben vollständig übertragen haben. • BENUTZERMODUS – BESCHRÄNKTER ZUGRIFF, MEHRERE FENSTER Sie können für eine Komponente einer Managementkonsole ein weiteres Sichtfenster öffnen (über das Kontextmenü). Schließen Sie jetzt alle weiteren Fenster außer das soeben erzeugte, stellen Sie mit diesem Benutzermodus sicher, dass der Anwender beim nächsten Öffnen der Konsole nur das zuletzt geöffnete sehen kann. Die
8.2 Ereignisanzeige ______________________________________________________ 407 anderen, übergeordneten Komponenten bleiben ihm verborgen. So können Sie gezielt Verwaltungsaufgaben für einen beschränkten Bereich, beispielsweise eines komplexen Snap-Ins wie die »Computerverwaltung«, an Benutzer übertragen bzw. diesen zugänglich machen. Der Benutzer kann jedoch noch weitere Fenster für die Komponenten öffnen, die Sie ihm zugeteilt haben. • BENUTZERMODUS – BESCHRÄNKTER ZUGRIFF, EINZELFENSTER Dieser Modus einer Managementkonsole bietet die meiste Absicherung vor Veränderungen durch den Benutzer. Es bleibt nur genau das Fenster sichtbar, welches beim Abspeichern sichtbar bzw. bei mehreren Fenstern der Konsole aktiv war. Weitere Fenster für eine Komponente können benutzerseitig nicht erzeugt werden. Für die drei Benutzermodi können Sie noch weitere Einstellungen vornehmen: • ÄNDERUNGEN FÜR DIESE KONSOLE NICHT SPEICHERN Falls die betreffende Managementkonsole immer im gleichen Erscheinungsbild sichtbar sein soll, aktivieren Sie diese Option. Damit werden Änderungen, die ein Benutzer an der Konsole vornimmt, beim Schließen der Konsole nicht gespeichert. • ANPASSEN VON ANSICHTEN DURCH BENUTZER ZULASSEN Deaktivieren Sie diese Option, wenn es dem Benutzer nicht erlaubt werden soll, das Aussehen der Managementkonsole zu beeinflussen. Wenn Sie die Konsole abspeichern und das nächste Mal aufrufen, dann sehen Sie diese nur noch im eingestellten Modus, auch wenn Sie als Administrator angemeldet sind. Möchten Sie nachträglich Änderungen an der Konsole vornehmen, öffnen sie diese einfach wieder mit dem folgenden Aufruf von der Eingabeaufforderung: mmc /a
Sie können auch zuerst nur MMC / A starten und über das Hauptmenü KONSOLE | ÖFFNEN die gewünschte Konfigurationsdatei laden.
8.2 Ereignisanzeige Die Ereignisanzeige von Windows XP ist wie schon unter seinen Vorgängern Windows NT und 2000 eines der wichtigsten Werkzeuge für den Administrator, um Schwachstellen im System zu finden oder Fehler zu beseitigen. Die Ereignisanzeige ist wie unter Windows 2000 ein Snap-In, welches in der gleichnamigen vorkonfigurierten Mana-
408_______________________________________ 8 Wichtige Administrationswerkzeuge gementkonsole zu finden ist (siehe Abschnitt 8.1.2 Vorkonfigurierte Managementkonsolen ab Seite 386). Abbildung 8.25: Managementkonsole Ereignisanzeige
Die Ereignisanzeige startet standardmäßig mit der Anzeige der Protokolle für den lokalen Computer. Verbindung anderen Computern
Über das Menü AKTION können Sie auch Verbindungen zu anderen Computern herstellen, die unter Windows XP oder 2000 laufen. Dabei werden unter Umständen weitere, zusätzliche Protokolle eingeblendet. Für einen Windows 2000-Server wird dann beispielsweise das Protokoll DIRECTORY SERVICE auftauchen.
8.2.1
Protokollarten
In der Ereignisanzeige von Windows XP Professional, auf das wir uns in diesem Buch beschränken, werden Meldungen zu Ereignissen in den folgenden drei Protokollen erfasst: ANWENDUNG
• Anwendungsprotokoll In diesem Protokoll werden Meldungen aufgezeichnet, die von Anwendungsprogrammen ausgegeben werden. Dabei bestimmt der Programmierer der Software, welche Meldungen das sind. Diese müssen aber nicht nur von externer Software stammen, auch viele Windows-Komponenten protokollieren hier Ereignisse. Das Anwendungsprotokoll und die Meldungen darin können durch jeden normalen Benutzer eingesehen werden. Das Löschen von Ereignissen ist jedoch ausschließlich dem Administrator (oder autorisierten Benutzern) vorbehalten. Das Anwendungsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\AppEvent.Evt
Das Systemprotokoll enthält Meldungen von WindowsKomponenten, wie beispielsweise Gerätetreibern und Dienstprogrammen. Sie finden hier die Meldungen, die von Erfolg oder Misserfolg eines Gerätetreiberstarts künden oder wer wie lange eine Datenfernverbindung genutzt hat. Einige Meldungen betreffen dabei auch die Sicherheit Ihres Systems. So können Sie beispielsweise sehen, wann der Computer hoch- oder heruntergefahren worden ist. Auch dieses Protokoll kann durch normale Benutzer eingesehen werden, das Löschen aber ist wiederum nur dem Administrator oder einem autorisierten Benutzer erlaubt. Das Systemprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\SysEvent.Evt
• Sicherheitsprotokoll Dieses Protokoll ist das wichtigste in Bezug auf die Systemsicherheit. Hier werden Ereignisse protokolliert, die direkt den Zugang zum System und den Umgang mit Ressourcen betreffen. Was dabei protokolliert wird, stellen Sie über die Gruppenrichtlinien für Ihr System ein (siehe auch nachfolgender Abschnitt). Standardmäßig werden die Ereignisse für das Sicherheitsprotokoll nicht überwacht. Falls Ihr System in einem sicherheitsrelevanten Umfeld steht, sollten Sie diese Einstellungen über die Gruppenrichtlinien unbedingt vornehmen, bevor das System in Betrieb genommen wird. Da dieses Protokoll für die Systemsicherheit so wichtig ist, werden wir im nächsten Abschnitt darauf eingehen, wie Sie dieses für sich nutzbar machen können. Das Sicherheitsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\SecEvent.Evt
Aktivieren des Sicherheitsprotokolls Die Vorgänge, die durch das System überwacht werden und im Sicherheitsprotokoll verzeichnet werden sollen, definieren Sie über die entsprechenden lokalen Gruppenrichtlinien. Gehen Sie dazu wie folgt vor: 1. Starten Sie die vorkonfigurierte Managementkonsole LOKALE SICHERHEITSEINSTELLUNGEN (siehe Abschnitt 8.1.2 Vorkonfigurierte Managementkonsolen ab Seite 386). Ein schneller Weg geht über den Aufruf von SECPOL.MSC im Startmenü unter AUSFÜHREN.
410_______________________________________ 8 Wichtige Administrationswerkzeuge 2. Standardmäßig sind alle Vorgänge ohne Überwachung. Wählen Sie hier die gewünschte Richtlinie aus und ändern Sie die betreffende Einstellung über einen Doppelklick. Abbildung 8.26: Sicherheitseinstellungen ändern
Sie haben die Möglichkeit, für jede zu überwachende Richtlinie die erfolgreiche oder fehlgeschlagene Durchführung protokollieren zu lassen. Denken Sie dabei aber auch an die unter Umständen hohen Datenmengen in den Protokollen, die entstehen können, wenn einfach alles protokolliert wird. Für bestimmte Ereignisse lohnt es sich nur, die fehlgeschlagenen Versuche aufzuzeichnen. Alle Einstellungen, die Sie unter den LOKALEN SICHERHEITSRICHTLINIEN vornehmen, können durch die Richtlinien auf Domänenebene überschrieben werden, falls Ihr Computer in eine Active DirectoryDomäne eingebunden ist. Sie erkennen das in der Managementkonsole am Eintrag in der Spalte EFFEKTIVE EINSTELLUNG.
8.2.2
Meldungsarten
Es gibt verschiedene Arten von Meldungen, die durch den Ereignisprotokolldienst aufgezeichnet werden: • Informationen Diese Meldungen zeigen Ihnen in der Regel die erfolgreiche Durchführung einer Aktion an. Beispielsweise finden Sie im Systemprotokoll erfolgreiche Meldungen über den Start von Gerätetreibern oder die Anwahl einer Datenfernverbindung.
8.2 Ereignisanzeige ______________________________________________________ 411 • Warnungen Warnungen beinhalten meist nicht akute Fehler, sondern Meldungen, die auf wichtige Vorgänge aufmerksam machen sollen. So verursacht die Installation eines neuen Druckers eine Warnung, auch wenn dieser Prozess erfolgreich abgeschlossen worden ist. Ernstzunehmende Warnungen entstehen aber beispielsweise dann, wenn bestimmte wichtige Systemkomponenten nicht richtig laufen (wie der Installationsdienst, der bestimmte Komponenten einer Software nicht entfernen konnte) oder eine Hardwareressource erst sehr spät reagiert (wie eine Festplatte, die immer mehr Zeit zum Reagieren auf Anforderungen des Systems benötigt – dies kann ein Hinweis auf einen bevorstehenden Ausfall sein). Solchen Warnungen sollten Sie daher besser auf den Grund gehen, damit daraus nicht irgendwann Fehler werden. • Fehler Protokollierte Fehler sollten Sie immer ernst nehmen, da hier in jedem Fall das ordnungsgemäße Funktionieren des Gesamtsystems beeinträchtigt sein kann. Im Systemprotokoll finden Sie Fehlermeldungen häufig dann, wenn Gerätetreiber aufgrund von Hardware- oder Konfigurationsproblemen nicht gestartet werden oder bestimmte Systemaktionen nicht oder nicht vollständig ausgeführt werden konnten (wie beispielsweise das Sichern des Hauptspeicherinhalts auf die Festplatte, um in den Ruhezustand gehen zu können). • Erfolgsüberwachung Diese Meldung im Sicherheitsprotokoll zeugt von einer erfolgreichen Überwachung eines Vorgangs. Wenn Sie beispielsweise die Anmeldeversuche überwachen lassen, können Sie durch diese Meldungen erkennen, wann welcher Benutzer sich am System angemeldet hat. • Fehlerüberwachung Eine Meldung mit dem Kennzeichnung FEHLERÜBERWACHUNG im Sicherheitsprotokoll zeugt von einem protokollierten Fehlversuch. Wenn Sie Anmeldeversuche überwachen lassen, können Sie sehen, wenn jemand versucht hat, sich mit einer ungültigen Benutzerkennung oder einem falschen Kennwort anzumelden.
8.2.3
Die Ereignisanzeige im Detail
Die angezeigten Meldungen aller Protokolle in der Ereignisanzeige werden in der Detailansicht in einer einheitlichen Listenform dargestellt (siehe Abbildung 8.25 auf Seite 408).
412_______________________________________ 8 Wichtige Administrationswerkzeuge Spalten in der Listenanzeige
Die einzelnen Spalten haben dabei die folgende Bedeutung: • TYP Hier sehen Sie, welcher Art die Meldung ist (siehe voriger Abschnitt). • DATUM / UHRZEIT Hier wird der Zeitpunkt angegeben, an dem die Meldung generiert worden ist. Wenn Sie sich über eine Netzwerkverbindung (im lokalen Netz oder über eine Fernverbindung) die Ereignisanzeige eines anderen Computers ansehen, beachten Sie, dass hier immer die lokale Zeit des betreffenden Computers gemeint ist. • QUELLE In dieser Spalte stehen die Namen der Prozesse, Anwendungen oder Dienste, die die Meldungen verursacht haben. Aus dieser Information können Sie in der Regel den Sinn der Meldung schon gut eingrenzen. • KATEGORIE Bestimmte Meldungen generieren auch eine KategorieBezeichnung, unter der diese dann weiter eingeordnet werden können. Besonders bedeutsam sind die Einträge im Sicherheitsprotokoll, da die Kategorien nach der zu überwachenden Sicherheitsrichtlinie untergliedert sind. So werden beispielsweise unter der Kategorie ANMELDUNG/ABMELDUNG alle Meldungen geführt, die aufgrund der überwachten An- und Abmeldevorgänge erzeugt worden sind. Ist eine Meldung ohne eine bestimmte Kategorie, wird hier nur angezeigt.
KEINE
• EREIGNIS Jedes Ereignis besitzt eine eindeutige Nummer, eine sogenannte Ereignis-ID. Diese kann helfen, eine Fehlerursache zu ergründen, wenn die Textaussagen in der Meldung nicht ausreichen sollten. • BENUTZER Ist für die Meldung ein Benutzerkonto verantwortlich, wird hier dessen Name ausgegeben. Das können eines der konkreten Benutzerkonten oder das allgemeine Systemkonto sein. Wurde beispielsweise durch den Administrator ein neuer Drucker angelegt, gibt es eine Meldung »Quelle: Print«, die für das Administratorkonto das Erstellen des Druckers aufzeichnet. Dazu gibt es eine Meldung für das Systemkonto, welches das Installieren der konkreten Treiberdateien für diesen Drucker protokolliert.
8.2 Ereignisanzeige ______________________________________________________ 413 Leider werden auch eine Reihe von Meldungen mit dem Eintrag NICHT ZUTREFFEND in der Spalte BENUTZER generiert, obwohl die Meldung selbst auf einen auslösenden Benutzer verweist. So werden beispielsweise Einwahlen ins Internet »Quelle: Remote Access« sehr genau mit der Angabe der Einwahl-Benutzerkennung beim ISP (Internet Service Provider) protokolliert, welcher Benutzer des Windows XP-Arbeitsplatzes dies verursacht hat, wird allerdings nicht angezeigt. • COMPUTER In dieser Spalte wird der ausführende Computer angezeigt. Möchten Sie die Anzeige bestimmter Spalten unterdrücken oder die Reihenfolge ändern, um mehr Übersichtlichkeit zu erhalten, können Sie das über das Menü ANSICHT | SPALTEN HINZUFÜGEN/ENTFERNEN. Wie bei jeder anderen Managementkonsole auch erhalten Sie dann das Auswahlfenster, um die Spaltenanzeigen zu manipulieren. Über das Menü AKTION | EIGENSCHAFTEN oder das Kontextmenü zu Ereignismeldung einer Meldung (bzw. einfach ein Doppelklick darauf) öffnet sich das im Detail entsprechende Eigenschaften-Fenster. Neben den auch in der Listenform angegebenen Informationen bekommen Sie hier einen Beschreibungstext, der oft schon sehr aussagekräftig ist. Mit den beiden PfeilSchaltflächen bewegen Sie sich bei geöffnetem Eigenschaften-Fenster durch die Meldungen in der Ereignisanzeige. Abbildung 8.27: Eine Meldung im Detail
Für viele Meldungen können Sie, wenn Ihr System Zugang zum Inter- Weitere Hilfe bei net hat, weitergehende Hilfe von Microsofts Support-Seiten bekom- Microsoft
414_______________________________________ 8 Wichtige Administrationswerkzeuge men. Klicken Sie dazu einfach auf den entsprechenden Link am Ende des Feldes Beschreibung. Inhalt kopieren
Mit der Schaltfläche kopieren Sie den Inhalt des gesamten Fensters als Text in die Zwischenablage. Dies kann Ihnen helfen, eine konkrete Meldung vollständig und schnell weiterzugeben, um vielleicht eine Fehlerursache zusammen mit anderen Spezialisten zu analysieren.
Suchen
Die Suche nach bestimmten Ereignis-Meldungen wird Ihnen über ANSICHT | SUCHEN ermöglicht. In dem SUCHEN-Dialogfenster können Sie Ihre Suchkriterien definieren. Je nach EREIGNISQUELLE sind im oberen Teil die EREIGNISTYPEN aktivierbar, die hier in Frage kommen können, und es stehen die dazugehörigen KATEGORIEN zur Auswahl.
Abbildung 8.28: Suchen-Dialogfenster, hier für das Sicherheits-Protokoll geöffnet
Unter EREIGNISKENNUNG können Sie eine spezielle Ereignis-ID eingeben. Wenn Sie nach einer Meldung suchen, die einen speziellen Benutzernamen enthält, können Sie bei BENUTZER auch nur die ersten Zeichen des Namens eingeben (allerdings ohne »*« wie bei der Suche nach Dateien). Dies funktioniert übrigens bei der Suche nach einem bestimmten COMPUTER nicht, hier muss der Name komplett eingetragen werden. Unter BESCHREIBUNG können Sie jetzt auch innerhalb der Meldungstexte suchen lassen. Filter
Eine Suche nach Ereignissen, die an einem bestimmten Datum und Uhrzeit aufgetreten sind, ist nicht möglich. Die können Sie aber über die Filterfunktionen für die Anzeige erreichen. Die Definition von Anzeigefiltern erfolgt über ANSICHT | FILTER. Beachten Sie, dass auch
8.2 Ereignisanzeige ______________________________________________________ 415 hier die Einstellung für das gerade in der Anzeige aktive Protokoll erfolgt und nicht für die gesamte Ereignisanzeige. Abbildung 8.29: Filtereigenschaften definieren
Wie schon beim Suchen-Dialogfenster spezifizieren Sie Ihre Anforderungen zu EREIGNISTYP, EREIGNISQUELLE usw. (siehe oben). Zusätzlich können Sie jedoch auch noch einen Zeitrahmen definieren, für den die gefundenen Ereignismeldungen angezeigt werden sollen.
8.2.4
Einstellungen der Ereignisanzeige
Über das Kontextmenü EIGENSCHAFTEN eines Protokolls können Sie die Einstellungen zur Protokollgröße und zum Verhalten bei Erreichen dieser Voreinstellungen festlegen. Die MAXIMALE PROTOKOLLGRÖßE ist einstellbar in 64 KB–Schritten. Die aktuell erreichte Größe können Sie übrigens im Ereignisprotokoll sehen, wenn Sie die Strukturwurzel EREIGNISANZEIGE aktivieren. Im rechten Fensterteil werden dann alle enthaltenen Protokolle mit ihrer aktuellen Größe angezeigt.
416_______________________________________ 8 Wichtige Administrationswerkzeuge Abbildung 8.30: Einstellungen zum Protokoll
Das Protokoll ist voll!
Für den Fall, dass ein Protokoll die maximal zulässige Größe erreicht hat, können Sie das Verhalten des Systems festlegen: • EREIGNISSE NACH BEDARF ÜBERSCHREIBEN Mit dieser Einstellung ersetzen bei Erreichen der Dateigröße neue Ereignismeldungen die jeweils ältesten. Diese Einstellung ist ausreichend, wenn Sie das Protokoll regelmäßig überprüfen oder die Wichtigkeit der Protokollierung nicht so sehr im Vordergrund steht. • EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS ___ TAGE SIND Sollen Protokolleinträge auf jeden Fall für einen bestimmten Zeitraum erhalten bleiben, beispielsweise um diese wöchentlich zu sichern, ist diese Einstellung zu empfehlen. Beachten Sie allerdings, dass keine neuen Ereignismeldungen hinzugefügt werden können, wenn das Protokoll die maximale Größe erreicht hat und keine Meldungen enthält, die älter als von Ihnen eingestellt sind. • EREIGNISSE NIE ÜBERSCHREIBEN Wenn Sie möchten, dass garantiert alle Ereignismeldungen erhalten bleiben sollen, wählen Sie diese Einstellung. Dabei liegt es allein in der Verantwortung des Administrators, regelmäßig das Protokoll zu leeren und gegebenenfalls vorher zu archivieren.
Protokolle können Sie zur Archivierung oder Weiterverarbeitung durch andere Programme über das Menü AKTION | PROTOKOLL SPEICHERN UNTER abspeichern. Dabei können Sie unter drei unterstützten Dateitypen auswählen: • EREIGNISPROTOKOLL (*.EVT) Dies ist das binäre Dateiformat für die Ereignisanzeige. Es lässt sich nicht mit herkömmlicher Software, wie beispielsweise einem Texteditor oder einer Tabellenkalkulation, öffnen. Zum Archivieren ist dieses Format deswegen nur bedingt geeignet. • TEXT (TABULATOR GETRENNT) (*.TXT) Das so abgespeicherte Protokoll können Sie direkt mit einem beliebigen Texteditor öffnen. Allerdings leidet die Übersichtlichkeit ein wenig, da jeder Meldungstext fortlaufend in einer Zeile dargestellt wird. Wenn Sie diese Datei aber in ein Tabellenkalkulationsprogramm wie Excel importieren, ist das Protokoll deutlich besser lesbar. • CSV (KOMMA GETRENNT) (*.CSV) Dieses spezielle Textdateiformat kann sofort durch ein Tabellenkalkulationsprogramm wie beispielsweise Excel geladen werden. Es ist deshalb das Format, welches sich am besten für eine einfache Archivierung von Protokolldateien eignet. Um sicherzustellen, dass keine Protokolle verloren gehen, Sie sich aber Automatisch gleichzeitig nicht permanent darum sorgen müssen, dass diese zu viel archivieren Speicherplatz einnehmen oder voll laufen, können Sie eine automatische Abspeicherung mit Leerung implementieren.
Protokolle sichern mit DUMPEVT Über das freie Tool DUMPEVT können Sie die gewünschte Protokolldatei in eine weiterverarbeitbare Textdatei abspeichern. Das Tool können Sie frei über die folgende Adresse beziehen: www.somarsoft.de
In der dazugehörenden Datei DUMPEVT.INI bestimmen Sie dabei die wichtigsten Konvertierungsparameter. Zu empfehlen ist, dass Sie hier zumindest den Eintrag FIELDSEPARATOR modifizieren und mit dem Editor statt des Komma einen Tabulator eintragen. Der Kommandozeilenaufruf von DUMPEVT lautet dann wie folgt, wenn Sie beispielsweise das Sicherheitsprotokoll in eine Textdatei SICHERHEIT.TXT abspeichern wollen:
Die so erzeugte Textdatei können Sie problemlos in Excel oder Access importieren und weiter auswerten. Falls die Textdatei SICHERHEIT.TXT schon vorhanden ist, werden die nächsten Einträge angehängt. Mit der Standardeinstellung werden bei jedem Aufruf von DUMPEVT übrigens nur die Ereignisse abgespeichert, die seit dem letzten Aufruf neu hinzugekommen sind. DUMPEVT speichert dazu einen entsprechenden Vermerk in der Windows XP-Registry unter HKEY_CURRENT_USER. Hier die wichtigsten Optionen von DUMPEVT für den Einsatz mit Windows XP Professional im Überblick: Tabelle 8.2: Optionen für das Tool dumpevt
Option
Bedeutung
/logfile=
Angabe der zu konvertierenden Protokolldatei : app
Anwendungsprotokoll
sec
Sicherheitsprotokoll
sys
Systemprotokoll
/outfile=
Name (und ggf. Pfad) der Ausgabe-Textdatei
/outdir=
optional Angabe eines Pfades zum Anlegen der temporären Arbeitsdateien von dumpevt
/all
Alle Ereignisse des Protokolls werden in die Textdatei geschrieben. Ohne diese Option werden nur die Ereignismeldungen gesichert, die seit dem letzten Aufruf von dumpevt des betreffenden Protokolls neu hinzugekommen sind.
/computer=
Angabe eines remote Computers, für den das Ereignisprotokoll gespeichert werden soll. Ohne eine Angabe wird immer der lokale Computer benutzt.
/reg=local_machine
Mit dieser Option wird dumpevt veranlasst, sich die zuletzt gesicherte Ereignismeldung für ein Protokoll unter HKEY_LOCAL_MACHINE in der Registry zu merken. Ohne diese Option wird standardmäßig HKEY_CURRENT_USER benutzt.
/clear
Löscht das Ereignisprotokoll nach dem Speichern.
Um ein oder mehrere Protokolle automatisch zu festgelegten Terminen abspeichern zu lassen, können Sie folgendermaßen vorgehen: 1. Erstellen Sie eine Stapelverarbeitungsdatei (mit dem Editor, Endung *.cmd), welche die entsprechenden Aufrufe von dumpevt enthält. Diese Batchdatei (beispielsweise sicherprt.cmd) könnte folgendermaßen aussehen, wenn Sie alle drei Protokolle auf einem zentralen Netzwerklaufwerk archivieren wollen:
8.3 Task-Manager________________________________________________________ 419 REM Protokollsicherung Workstation 1 REM Sicherheitsprotokoll DUMPEVT /logfile=sec /outfile=f:\sicherheit_wks1.txt REM Anwendungsprotokoll DUMPEVT /logfile=app /outfile=f:\ anwendung_wks1.txt REM Systemprotokoll DUMPEVT /logfile=sys /outfile=f:\ system_wks1.txt
Hierbei werden die einzelnen Protokolle nicht geleert; an die Textdateien werden die seit der letzten Sicherung hinzugekommenen Ereignismeldungen angehängt. F: ist im Beispiel ein angenommenes Netzwerklaufwerk, in dem die Protokolle aller Arbeitsstationen abgelegt werden. 2. Binden Sie diese Batchdatei über das AT-Kommando in die Liste der zeitgesteuerten Befehle ein. AT 10:00 /every:Freitag sicherprt.cmd
Nun werden die Protokolle jeden Freitag, 10:00 Uhr, automatisch gespeichert. Mehr zu AT finden Sie auch im folgenden Abschnitt zum Taskplaner. Mehr Informationen zu DUMPEVT erhalten Sie über die Webseite des Herstellers sowie die Hilfedatei DUMPEVT.HLP.
8.3 Task-Manager Der Task-Manager ist ein wichtiges Werkzeug, mit dem Sie direkt am System Prozesse überwachen oder in diese eingreifen können. Der Task-Manager liefert eine Reihe von aktuellen Systeminformationen. Allerdings stehen hier nur ausgewählte Indikatoren zur Verfügung. Darüber hinaus können Sie Prozesse beenden, starten oder in deren Verhalten in einem gewissen Umfang eingreifen
Starten des Task-Managers Den Task-Manager können Sie mit Hilfe verschiedener Methoden Strg-Alt-Entf starten. Eine der bekanntesten ist sicherlich die über die Tastenkombination Strg-Alt-Entf. Damit kommen Sie • direkt zum Task-Manager, wenn Ihr Computer standalone oder in einem kleinen Arbeitsgruppen-Netzwerk läuft. • zum Dialogfenster WINDOWS-SICHERHEIT, wenn Ihr Computer in eine Active Directory-Domäne eingebunden ist.
420_______________________________________ 8 Wichtige Administrationswerkzeuge Nachfolgend finden Sie andere Möglichkeiten für den Start des TaskManagers: Strg-Umschalt-Esc
• Drücken Sie einfach die Tastenkombination Strg-Umschalt-Esc. Der Task-Manager erscheint dann sofort.
Kontextmenü der Taskleiste
• Klicken Sie mit der rechten Maustaste (Linkshänder bitte die linke) auf eine leere Stelle in der Taskleiste und wählen aus dem erscheinenden Kontextmenü TASK-MANAGER aus.
Aufruf von TASKMGR.EXE
• Starten Sie den Task-Manager über START | AUSFÜHREN oder in einer Eingabeaufforderung: C:\>Taskmgr.exe
Der Task-Manager ist eine originäre Windows-Anwendung und verfügt, anders als die Managementkonsole, nicht über die Möglichkeit, für entfernte Systeme ausgeführt zu werden.
Aufbau des Task-Managers Sie finden im Task-Manager fünf Registerkarten, die jeweils unterschiedlichen Funktionsbereichen zugeordnet sind: • ANWENDUNGEN Hier werden alle laufenden Anwendungen aufgeführt. Abbildung 8.31: Anzeige der Anwendungen; hier ist Word 2000 leider abgestürzt
8.3 Task-Manager________________________________________________________ 421 Sie können hier erkennen, ob eine Anwendung abgestürzt ist, Abgestürzte Anwenn längere Zeit in der Spalte STATUS die Meldung KEINE wendungen finden RÜCKMELDUNG erscheint. Normalerweise sehen Sie bei normal lau- und beenden fenden Anwendungen WIRD AUSGEFÜHRT. Abgestürzte Anwendungen können Sie mit Hilfe des TaskManagers leicht loswerden, indem Sie diese markieren und auf die Schaltfläche TASK BEENDEN klicken. Meist bekommen Sie dann noch eine entsprechende Rückfrage des Systems, wenn dieses feststellt, dass die Anwendung auf die Beenden-Forderung nicht reagiert. • PROZESSE Das ist die aktuelle Prozessliste des Betriebssystems. Sie sehen hier, Prozessliste des welche Prozesse aktiv sind und erhalten darüber hinaus weitere In- Betriebssystems formationen über deren Abarbeitung. Aktivieren Sie das Kontroll- einsehen kästchen PROZESSE ALLER BENUTZER ANZEIGEN, wenn mehrere Benutzer parallel an Ihrem System angemeldet sind und diese nur über BENUTZER WECHSELN zwischen den Anmeldungen hin- und herwechseln. Sie sehen dann alle Prozesse mit der Zuordnung der einzelnen Benutzernamen. Über die Schaltfläche PROZESS BEENDEN können Sie einzelne Prozesse gewaltsam beenden. Ratsam ist das allerdings nicht, da Sie die Stabilität des Gesamtsystems gefährden könnten, wenn Sie so Systemprozesse stoppen. Abbildung 8.32: Liste der Prozesse, hier mit der Anzeige zu den Benutzern
422_______________________________________ 8 Wichtige Administrationswerkzeuge • SYSTEMLEISTUNG Diese Ansicht des Task-Managers gibt Ihnen einen Überblick über die momentane Auslastung des Systems hinsichtlich einiger ausgewählter Parameter. Abbildung 8.33: Erkennen der momentanen Systemauslastung
Engpässe bei CPU und Speicher erkennen
Hängt Ihr System des Öfteren oder ist die Performance nicht zufrieden stellend, können Sie hier einen ersten Eindruck von der momentanen Auslastung wichtiger Ressourcen wie CPU-Leistung oder Arbeitsspeicher-Belegung bekommen. Bei einem Mehrprozessorsystem, Windows XP unterstützt bis zu zwei Prozessoren, erhalten Sie die grafische Anzeige für jede CPU getrennt. Die einzelnen Parameter dieser Anzeige werden im nachfolgenden Abschnitt näher vorgestellt. • NETZWERK Sie erhalten die grafische Anzeige der momentanen Auslastung der Netzwerkschnittstelle. Sie sehen, weiweit die physikalisch mögliche Bandbreite Ihrer Netzwerkschnittstelle überhaupt ausgenutzt wird. Registrieren Sie hier niedrige Werte, obwohl die Netzwerkperformance zum Server sehr schlecht zu sein scheint, kann die Ursache an anderen Netzwerkkomponenten oder einer zu schwachen Serverleistung liegen.
8.3 Task-Manager________________________________________________________ 423 Abbildung 8.34: Netzwerkauslastung des Systems
• BENUTZER Diese Registerkarte ist nur bei Standalone-Systemen verfügbar, Lokale Benutzernicht jedoch bei Computern, die in eine Active Directory-Domäne sitzungen eingebunden sind. Abbildung 8.35: Anzeige der aktiven Benutzersitzungen
424_______________________________________ 8 Wichtige Administrationswerkzeuge Sie gibt Auskunft über alle aktuell angemeldeten Benutzer an diesem System. Als Administrator können Sie auch von hier aus über die Schaltflächen TRENNEN beziehungsweise ABMELDEN Benutzersitzungen beenden. Darüber hinaus können Sie eine NACHRICHT SENDEN, die der Benutzer dann beim Wiederanmelden empfängt.
Parameter in der Registerkarte SYSTEMLEISTUNG Die in der Standardansicht des Task-Managers angezeigten Parameter haben die folgenden Bedeutungen: Auslastung der CPUs
• VERLAUF DER CPU-AUSLASTUNG Sie sehen die momentane Belastung der CPU sowie eine Verlaufsgrafik der vergangenen Belastung. Diese Angabe in % gibt Auskunft darüber, wieviel sich die CPU pro Zeiteinheit nicht mit dem Leerlaufprozess beschäftigt, also etwas »Sinnvolles« tut. Bei Mehrprozessorsystemen werden standardmäßig separate Verlaufsgrafiken für jede einzelne CPU angezeigt (lässt sich über ANSICHT | CPU-VERLAUF anpassen).
Auslastung des Speichers
• VERLAUF DER AUSLAGERUNGSDATEIAUSLASTUNG In dieser grafischen Darstellung bekommen Sie einen Überblick über den Stand der Nutzung des virtuellen Speichers, der sich aus dem über die Auslagerungsdatei zur Verfügung gestellten Anteil und dem RAM im System zusammensetzt. • ZUGESICHERTER SPEICHER Hier sehen Sie, wie groß der virtuelle Speicher (RAM + Auslagerungsdatei) Ihres Systems ist und wieviel davon in Anspruch genommen wird. INSGESAMT
Momentan belegter virtuelle Speicher in KByte
GRENZWERT
Haben Sie für die Einstellung der Auslagerungsdatei eine feste Größe eingegeben, ist das die Gesamtgröße des zur Verfügung stehenden virtuellen Speichers. Ist die Größe der Auslagerungsdatei hingegen mit Anfangs- und Endwert definiert (Standardeinstellung), so stellt dieser Wert die Größe des virtuellen Speichers dar, die erreicht werden kann, ohne die Auslagerungsdatei dynamisch zu vergrößern.
Dies ist der seit dem Systemstart maximal verwendete virtuelle Speicher. Ist eine dynamische Größe der Auslagerungsdatei eingestellt, so kann dieser Wert sogar höher sein als der GRENZWERT. Das deutet auf eine zwischenzeitliche Vergrößerung der Auslagerungsdatei hin.
• PHYSIKALISCHER SPEICHER INSGESAMT
Installierter physischer RAM in KByte
VERFÜGBAR
Derzeit frei verfügbarer RAM
SYSTEMCACHE
Das ist der Anteil am RAM, der für den Systemcache vorgesehen ist und bei Bedarf durch diesen belegt wird. Diese Größe wird durch das Betriebssystem dynamisch angepasst.
• KERNEL-SPEICHER INSGESAMT
Der durch das Betriebssystem belegte Speicher für den Kernel in KByte
AUSGELAGERT
Größe des ausgelagerten Kernel-Speichers
NICHT AUSGE-
Größe des nicht ausgelagerten Kernel-Speichers
LAGERT
Die Summe beider Werte ergibt INSGESAMT.
• INSGESAMT
Prozessparameter
HANDLES
Anzahl aller Objekthandles der Prozesse
THREADS
Anzahl aller Threads. Das sind alle Threads der ausgeführten Prozesse sowie ein Leerlauf-Thread pro CPU.
PROZESSE
Anzahl der laufenden Prozesse
Einstellungen Der Task-Manager kann über einige Einstellmöglichkeiten angepasst werden: • AKTUALISIERUNGSGESCHWINDIGKEIT Die Zeitspanne, die zwischen zwei Messungen der Aktivitäten verstreicht, können Sie direkt beeinflussen. Gehen Sie dazu in das und wählen Sie dort Menü ANSICHT AKTUALISIERUNGSGESCHWINDIGKEIT. Sie können in dem dann folgenden Menü zwischen drei Stufen (HOCH, NORMAL, NIEDRIG) und der Einstellung ANGEHALTEN umschalten. Entscheiden Sie sich für die letzte Option, können Sie die Aktualisierung der Anzeige ma-
Aktualisierungsgeschwindigkeit des Task-Managers einstellen
426_______________________________________ 8 Wichtige Administrationswerkzeuge nuell über ANSICHT | AKTUALISIEREN oder mit Druck auf die Funktionstaste F5 erreichen. • KERNEL-ZEITEN Kernel-Zeiten einblenden
Zusätzlich können Sie sich anzeigen lassen, wieviele Ressourcen der CPU durch Kernel-Operationen des Betriebssystems belegt sind. Aktivieren Sie dazu über Ansicht den Menüpunkt KERNELZEITEN ANZEIGEN. Die grafischen Anzeigen der CPU-NUTZUNG werden dann durch rote Linien ergänzt, welche die Belastung der CPU durch Kerneloperationen anzeigen.
Die Prozessliste im Detail Standard-Spalten
Die Prozessliste zeigt alle laufenden Prozesse. Die folgenden Spalten finden Sie standardmäßig vor: • NAME Das ist der Name des Prozesses beziehungsweise des Programms, auch wenn dieses innerhalb einer Benutzerumgebung gestartet worden ist. • BENUTZERNAME Der Benutzername weist auf den Eigentümer bzw. Auslöser des Prozesses hin. • CPU-AUSLASTUNG (%) Dies ist eine prozentuale durchschnittliche Angabe, die Auskunft darüber gibt, wie hoch der Anteil an der in Anspruch genommenen Gesamt-CPU-Leistung innerhalb einer Zeiteinheit ist. • SPEICHERAUSLASTUNG Je Prozess wird sein aktuell benutzter Hauptspeicheranteil angezeigt. Das wird auch als Workingset des Prozesses bezeichnet und gibt Auskunft darüber, wieviel Platz im Moment physisch im Hauptspeicher in Anspruch genommen wird. • ÄNDERN DER SPEICHERAUSLASTUNG Hier sehen Sie, wie Programme ihren Speicherbedarf ändern. Diese Werte sollten immer nur kurzzeitig größer oder kleiner als Null sein. Sehen Sie für einen Prozess einen dauerhaft positiven Wert, der vielleicht noch weiter steigt, ist das ein Zeichen, dass diese Software zunehmend Speicher anfordert und nicht wieder freigibt, was auf einen Programmierfehler hindeuten kann.
Anpassen der Spalten
Darüber hinaus können Sie alle Spalten selbst einrichten und zusätzliche Werte anzeigen lassen. Öffnen Sie dazu das entsprechende Aus-
8.3 Task-Manager________________________________________________________ 427 wahl-Dialogfenster über das Hauptmenü ANSICHT | SPALTEN WÄHLEN.
AUS-
Abbildung 8.36: Auswählen der Spalten, die in der Prozessliste erscheinen sollen
Einige interessante Parameter zur Speichernutzung, die Sie auch zur Fehlersuche einsetzen können, sind die folgenden: • PID (PROZESS-ID) Die Prozess-ID wird für jeden Prozess einmalig vergeben. Dies ist allerdings nicht fest zugeordnet. Wird ein Prozess geschlossen und neu gestartet, wird eine neue ID vergeben, die zur vorhergehenden differieren kann. • CPU-ZEIT Diese Angabe zeigt in Stunden:Minuten:Sekunden die seit dem Start des Prozesses effektiv verbrauchte CPU-Zeit an. Den höchsten Wert nimmt hier normalerweise der so genannte Leerlaufprozess als das Maß für die »Faulheit« der CPU ein. • MAXIMALE SPEICHERAUSLASTUNG Dieser Wert liefert Auskunft darüber, wie hoch der maximale Bedarf an physischem Speicher seit Start des Prozesses war. Zu allen anderen Parameter finden Sie weitergehende Hinweise in der Windows XP Online-Hilfe. Auf laufende Prozesse können Sie im Bedarfsfall direkten Einfluss Laufende Prozesse nehmen. Klicken Sie dazu auf den betreffenden Prozess und öffnen Sie beeinflussen: über die rechte Maustaste das Kontextmenü: • PROZESS BEENDEN Damit beenden Sie einen laufenden Prozess »gewaltsam«. So kön- Prozesse manuell nen Sie aber beispielsweise eine hängende Anwendung, die als beenden
428_______________________________________ 8 Wichtige Administrationswerkzeuge Dienst gestartet worden ist, schließen und im Bedarfsfall neu ausführen. Ein Kandidat für eine solche Übung ist beispielsweise das Windows XP-eigene Sicherungsprogramm NTBACKUP. »Hängt« dieses noch im Speicher, kann es nicht erneut ausgeführt werden und alle eventuell auszuführenden automatischen Sicherungen werden nicht mehr durchgeführt. Sie können übrigens auch neue Tasks beziehungsweise Anwendungen direkt aus dem Task-Manager heraus starten. Im Hauptmenü DATEI finden Sie dazu die Option NEUER TASK (AUSFÜHREN...). Das kann für den Administrator eine interessante Funktion sein, wenn er beispielsweise über Gruppenrichtlinien den normalen Anwendern das Startmenü angepasst hat (AUSFÜHREN und EINGABEAUFFORDERUNG fehlen) und schnell an einem solchen Arbeitsplatz ein externes Programm über die Kommandozeile starten will. • PROZESSSTRUKTUR BEENDEN Prozesse mit allen Töchter-Prozessen beenden
Komplexere Prozesse initiieren den Start weiterer Prozesse, die Sie über diese Option mit beenden können. Teilweise werden dadurch erst alle Prozesse einer hängenden Anwendung geschlossen und die durch sie belegten Ressourcen wieder freigegeben. • PRIORITÄT FESTLEGEN
Prozess-Prioritäten beeinflussen
Prozesse binden Prozessorressourcen an sich, wenn sie ausgeführt werden. Dabei können den Prozessen verschiedene Prioritätsstufen zugewiesen werden. Die meisten Prozesse arbeiten mit der Einstellung NORMAL, es gibt aber auch Prozesse, die in ECHTZEIT ausgeführt werden müssen. Über diese Option lässt sich die Priorität eines Prozesses und damit seine Abarbeitungsgeschwindigkeit in gewissen Grenzen beeinflussen. Beachten Sie, dass Sie damit auch Einfluss auf der Abarbeitung der verbleibenden Prozesse nehmen. • ZUGEHÖRIGKEIT FESTLEGEN
Verteilung von Prozessen auf CPUs
Bei Mehrprozessorsystemen kann hier die Zuteilung von Prozessen zu den verfügbaren CPUs beeinflusst werden. So können Sie verschiedene Prozesse oder Dienste gezielt auf verschiedene CPUs verteilen. Beachten Sie generell, dass manuelle Eingriffe in die Prozesse die Stabilität des Systems beeinträchtigen beziehungsweise zu Datenverlusten führen können. Besondere Sorgfalt ist beim Beeinflussen von Systemdiensten geboten.
8.4 Zeitgesteuerte Verwaltung: Taskplaner __________________________________ 429 Gerade für die beiden letzten Optionen gilt: Normalerweise nimmt Windows XP selbst die Verteilung der Ressourcen vor. Eine manuelle Einflussnahme ist selten wirklich notwendig.
8.4 Zeitgesteuerte Verwaltung: Taskplaner Um Verwaltungsaufgaben zeitgesteuert ablaufen lassen zu können, eignet sich der Taskplaner.
8.4.1
Überblick
Sie finden den Taskplaner unter START | PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME | GEPLANTE TASKS. Einige Programme, wie das Sicherungsprogramm, greifen auf den Taskplaner zu. Die dort vorgenommen Einstellungen sind hier sichtbar. Der Taskplaner kann: • Programme zu einer bestimmten Zeit starten • Programme beim Start oder Herunterfahren des Computers ausführen • Aufgaben zu einem späteren Zeitpunkt oder regelmäßig ausführen Wenn Ihr Computer ACPI-kompatibel ist, wird er auch aus dem Ruhezustand oder Standbybetrieb geweckt, wenn eine Aufgabe auszuführen ist. Neben dem Taskplaner-Programm gibt es auch das Kommandozeilenwerkzeug AT, das in Stapelverarbeitungsdateien eingesetzt werden kann.
8.4.2
Taskplaner im Detail
Wenn Sie den Taskplaner starten, sehen Sie einen Arbeitsplatzdialog, der um einige Funktionen erweitert wurde. Wenn noch keine Aufgaben geplant wurden, steht nur das Symbol GEPLANTEN TASK HINZUFÜGEN zur Verfügung. Diese Option startet einen Assistenten, der folgende Angaben verlangt: • Auswahl des Programms, das die Aufgabe ausführt • Auswahl der Ausführungszeit (Zeitpunkt, Einmalig oder beim Starten bzw. Herunterfahren) • Benutzername und Kennwort, das ggf. zur Ausführung benötigt wird
430_______________________________________ 8 Wichtige Administrationswerkzeuge Anschließend erscheinen die Aufgaben in der Übersicht. Ist die Aufgabe aktiviert, wird dem Programmsymbol eine Uhr hinzugefügt, andernfalls ein weißes Kreuz.
Eigenschaften eines Tasks Über das Kontextmenü oder DATEI | EIGENSCHAFTEN können Sie nun weitere Einstellungen vornehmen. Tasks
Auf der Registerkarte TASKS stellen Sie Namen, Pfad zur ausführbaren Datei und Zugriffsbedingungen ein. Hier kann ein Task auch deaktiviert werden.
Zeitplan
Auf der Registerkarte ZEITPLAN werden die Ausführungstermine eingerichtet. Folgende Ausführungsoptionen stehen zur Verfügung: • TÄGLICH Hier ist die Auswahl der Zeit möglich • WÖCHENTLICH Hier können Sie den Rhythmus auswählen (jede Woche, alle zwei Wochen usw.) und die Wochentage (einen, alle oder bestimmte). • EINMALIG Legen Sie Datum und Uhrzeit fest. • BEIM SYSTEMSTART Die Aufgabe wird beim Systemstart ausgeführt. • BEI ANMELDUNG Die Aufgabe wird beim Anmelden ausgeführt. • IM LEERLAUF Die Aufgabe startet, wenn der Computer eine Zeit lang nicht in Benutzung ist.
Einstellungen
Auf der Registerkarte EINSTELLUNGEN finden Sie folgende Optionen: • VERHALTEN AM ENDE DES TASKS: - TASK LÖSCHEN.... Wenn der Task nicht erneut geplant ist, wird er gelöscht. - TASK BEENDEN.... Legt eine maximale Laufzeit des Tasks fest. • LEERLAUFVERHALTEN
8.4 Zeitgesteuerte Verwaltung: Taskplaner __________________________________ 431 Viele Aufgabe, wie beispielsweise der Indizierungsdienst, nutzt die Zeit, wo am Computern nicht gearbeitet wird. Auch das Verhalten bei erneuter Benutzung wird hier eingestellt. • ENERGIEVERWALTUNG Automatische Prozesse auf batteriebetriebenen Geräte sind immer kritisch. In dieser Option können Sie das Verhalten bei Batteriebetrieb einstellen. So müssen elektronische Geräte bei Start und Landung im Flugzeit ausgeschaltet sein. Wenn Ihr Notebook aber im Gepäck im Ruhezustand ist und eine Sicherung bei Akkubetrieb geplant wurde, startet es unkontrolliert. Abbildung 8.37: Optimale Einstellung für den Akkubetrieb
Spezielle Zeitoptionen Jeder Task kann mehrere Ausführzeiten haben. Dazu aktivieren Sie Mehrfache das Kontrollkästchen MEHRFACHE ZEITPLÄNE ANZEIGEN auf der Regis- Zeitpläne terkarte ZEITPLAN. Mit der Schaltfläche NEU fügen Sie dann einen neuen Zeitplan hinzu. Die Ausführung wird addiert – mehrere verschachtelte Zeitpläne können also auch komplexe Ausführungsstrukturen bedienen. Sie können so lange Zeiträume im Voraus planen, auch unter Einbezug von Feiertagen usw. Über die Schaltfläche erweitert gelangen Sie zu weiteren Einstellun- Wiederholungsgen. Hier können Sie ein Start- und Enddatum und Wiederholungsop- optionen tionen festlegen. Intervalle sind in Stunden und Minuten einstellbar (längere Intervalle sind im Zeitplan selbst auszuwählen, siehe oben). Abbildung 8.38: Wiederholte Ausführungen
432_______________________________________ 8 Wichtige Administrationswerkzeuge Insgesamt sind die Zeitplanoptionen so umfangreich, dass sich auch komplexe Ausführungspläne umsetzen lassen.
8.4.3
Die Kommandozeilenwerkzeuge
In XP wurde nicht nur die Funktionsweise von AT erweitert, sondern auch ein neues Werkzeug eingeführt, dass noch umfangreichere Optionen bietet: SCHTASKS.
Das Kommandozeilenwerkzeug AT Was ist neu in XP?
Das Kommandozeilenwerkzeug AT lässt den automatischen Start von Programmen und Skripten zu einem beliebigen Zeitpunkt zu. Neu in Windows XP ist die Verknüpfung zwischen dem Taskplaner, wie zuvor beschrieben, und AT. Wenn mit AT Aufgaben geplant wurden, erscheinen die im grafischen Werkzeug ebenfalls. AT wurde früher immer unter dem Konto des Zeitplandienstes ausgeführt – dem lokalen Systemkonto. Bei der Ausführung von Programmen kann das zu Problemen führen, weil dieses Konto möglicherweise keine ausreichenden Rechte besitzt. Durch die Verknüpfung der beiden Werkzeuge kann das Ausführungsrecht nun nachträglich auf ein anderes Konto übertragen werden, beispielsweise einen Sicherungsadministrator. wird hier nicht weiter eingegangen, weil das neue Werkzeuig dieses ablösen soll. Sie finden alle Optionen im Hilfe- und Supportcenter.
Auf
AT
SCHTASKS
Das Kommandozeilenwerkzeug SCHTASKS SCHTASKS ist eine Obermenge von AT
Das Werkzeug wird von der Kommandozeile aufgerufen. Sechs Optionen sind verfügbar, die durch einen Reihe von Parametern konfiguriert werden. Tasks, die hier erzeugt werden, tauchen auch in der grafische Übersicht des Taskplaners auf. • schtasks create
Erstellt einen neuen geplanten Task. Der folgende Befehl plant beispielsweise ein Sicherheitsskript, backup.vbs, das alle 60 Minuten ausgeführt wird. schtasks /create /sc minute /mo 60 /tn "Sicherung" /tr \\central\data\scripts\backup.vbs • schtasks change
Ändert eine oder mehrere der folgenden Eigenschaften eines Tasks.
8.5 Datensicherung_______________________________________________________ 433 • schtasks run
Startet einen geplanten Task unabhängig von der programmierten Startzeit sofort. Der Vorgang ignoriert den Zeitplan, verwendet jedoch den im Task gespeicherten Pfad der Programmdatei, das Benutzerkonto und das Kennwort, um den Task sofort auszuführen. • schtasks end
Beendet ein von einem Task gestartetes Programm. • schtasks delete
Löscht einen geplanten Task. • schtasks query
Zeigt alle geplanten Tasks an. Eine genaue Beschreibung der Parameter mit vielen Beispielen finden Online-Hilfe Sie im Hilfe- und Suppotcenter.
8.5 Datensicherung Eine der wichtigsten und doch in der Praxis oft am meisten vernachlässigten Aufgaben ist die Datensicherung. Windows XP bringt ein dafür geeignetes Werkzeug standardmäßig mit. In den folgenden Abschnitten finden Sie Informationen, wie Sie damit regelmäßig Sicherungen und im Notfall eine komplette Wiederherstellung durchführen können.
8.5.1
Überblick
Das standardmäßige Datensicherungsprogramm NTBACKUP.EXE bietet NTBACKUP.EXE jetzt anderem die folgenden Funktionen: • Assistenten für die einfache Einrichtung von Sicherungs- und Wiederherstellungsaufgaben • Sicherung aller Daten des gesamten Computers • Sicherung aller Systemdaten, sodass eine Wiederherstellung des Betriebssystems durchgeführt werden kann • Integrierte komfortable Zeitplanungsfunktion • Sicherung auf Bänder sowie lokale und Netzwerk-Laufwerke Die Datensicherung der eigenen Dateien kann von jedem Benutzer Rechte beachten selbst vorgenommen werden. Alle Daten sowie Systemdateien können
434_______________________________________ 8 Wichtige Administrationswerkzeuge jedoch nur Benutzer mit Administratorrechten oder Mitglieder der Gruppe SICHERUNGS-OPERATOREN durchführen.
8.5.2
Sicherungsstrategien
Windows XP bietet Ihnen verschiedene Möglichkeiten an, wie Sie Ihr Betriebssystem und die Daten sichern können. In der Praxis hat sich dabei folgendes Vorgehen als vorteilhaft erwiesen: Regelmäßig Datensicherung
• Sicherung der Daten
»Einmalig« Betriebssystem
• Sicherung des Betriebssystem-Status für eine Wiederherstellung
Sichern Sie regelmäßig Ihre Daten. Praktische Hinweise dazu finden Sie in Abschnitt Sicherung von Datenbeständen ab Seite 435.
Sichern Sie Ihr komplettes Betriebssystem mit allen zur Wiederherstellung notwendigen Dateien. Sie sollten diese Sicherung immer dann durchführen, wenn an der Konfiguration des Systems oder an den Anwendungsprogrammen Änderungen vorgenommen worden sind. Für ein Einzelplatzsystem ist dies oft ein gut gangbarer Weg. Der Sicherungsassistent von Windows XP leistet dazu wirksame Unterstützung.
Sicherung des Betriebssystems Für eine Sicherung des kompletten Betriebssystems, sodass im Notfall die Wiederherstellung in kürzester Zeit wieder vorgenommen werden kann, gibt es verschiedene Verfahren: Image-Datei
• Erstellen einer Image-Datei Mit Tools von Drittherstellern wie Norton Ghost (www.symantec.de) oder Drive Image (www.powerquest.de) können Sie von Ihrer System- und Startfestplatte eine komplette Spiegelung anfertigen. Im Notfall kann dann diese Spiegelung wieder zurück auf eine neue Festplatte oder einen neuen PC gespielt werden. Vorteil dieses Verfahrens ist die meist sehr schnelle Verfügbarkeit nach einer Wiederherstellung. Folgende Nachteile oder Umstände sollten allerdings bedacht werden: - Unterstützt das verwendete Tool auch Ihre eventuell dynamisch verwaltete Systemfestplatte oder ist es auf Basisfestplatten beschränkt? - Wird NTFS in der Windows XP-Version umfassend unterstützt?
8.5 Datensicherung_______________________________________________________ 435 - Beachten Sie, dass zum Erstellen der Image-Datei in der Regel exklusiver Zugriff auf die Festplatte notwendig ist und die Sicherung somit separat, außerhalb von Windows XP, gestartet werden muss. • Nutzung von NTBACKUP
Windows-DatensicherungsproÜber den Datensicherungs-Assistenten können Sie separat den gramm
System- und Startdatenträger von Windows XP sichern lassen. Neben allen Dateien und Ordnern des Betriebssystems sind dabei auch die folgenden Daten inbegriffen: - %Systemdrive%\Dokumente und Einstellungen
Unterhalb dieser Ordnerstruktur liegen alle standardmäßig eingerichteten Ordner für Benutzerdateien. Das ist auch der jeweils pro Benutzer verfügbare Ordner EIGENE DATEIEN. Speichern generell alle Benutzer ihre Dateien nur hier ab, umfasst die Sicherung auch alle diese Dateien. - Systemkonfigurationsdateien Diese Dateien enthalten Informationen zur Festplattenkonfiguration und werden bei der automatischen Wiederherstellung durch das Windows XP-Setupprogramm benötigt. Im weiteren Text wird die zweite Möglichkeit näher erörtert. Wenn Sie sich für eine der Image-Dateienlösung interessieren, finden Sie weitergehende Informationen auf den angegebenen Hersteller-Webseiten. Für die Nutzung von NTBACKUP spricht, dass Sie diese Sicherung auch Vorteile von während des laufenden Betriebes durchführen können. Mit Hilfe einer NTBACKUP neuen Technologie, die von Microsoft Volumeschattenkopie genannt wird, können auch offene Dateien, beispielsweise die Dateien des Betriebssystems, korrekt gesichert werden. Dies war früher mit den Sicherungsprogrammen von Windows NT oder 2000 nicht möglich, sodass eine problemlose Wiederherstellung nicht ohne weiteres zu bewerkstelligen war. Wie Sie eine solche Sicherung anfertigen können, ist Inhalt des Abschnitts Sicherung des Betriebssystems durchführen ab Seite 440. Hinzu kommt die einfach zu handhabende Möglichkeit der Wiederherstellung einer solchen Sicherung. Das Verfahren dazu wird in Abschnitt Das Betriebssystem wiederherstellen ab Seite 444 erörtert.
Sicherung von Datenbeständen Für das separate Sichern von Datenbeständen kann eine andere Sicherungsstrategie entwickelt werden, wobei Sie die folgenden Punkte bedenken sollten:
436_______________________________________ 8 Wichtige Administrationswerkzeuge Chronologisch oder nur Arbeitskopien?
• Chronologische Datensicherungen oder Arbeitskopien? Manche verlassen sich auf Arbeitskopien – aktuelle, vollständige Duplikate ihrer Festplatten (beispielsweise auf anderen Festplatten oder Wechselplatten-Medien). Das ist einfach, aber nicht ideal. Was passiert, wenn eine wichtige Datei beschädigt ist, und Sie es nicht gleich bemerken? Wenn Sie nur eine Arbeitskopie haben, wird die Datensicherung wahrscheinlich ebenfalls nur die beschädigte Datei enthalten. Gehen Sie dagegen chronologisch vor, ohne die vorhergehenden Dateiversionen zu löschen, können Sie bis zur letzten, noch nicht beschädigten Version der Datei zurückgehen.
Speichermedien mit Doppelfunktion vermeiden
• Speichermedien mit Doppelfunktion
Speicherkapazität der Medien beachten
• Speicherkapazität der Medien
Preis der Hardware
• Preis der Hardware
Sicherungen von Festplatten auf externe Wechselplattenlaufwerke sind sehr beliebt, weil man diese Laufwerke auch noch für andere Aufgaben nutzen kann. Das funktioniert, ist aber aus zwei Gründen nicht zu empfehlen: Erstens ist da immer die Versuchung, die Speichermedien für das ganz normale Speichern von Daten zu benutzen, wenn man schnell mal Speicherplatz braucht. Damit ist das Speichermedium aber nicht länger nur eine Sicherungskopie, sondern enthält ungesicherte Daten. Zweitens: Wer ein Wechselplattenlaufwerk hat, hat meist auch mehrere Medien, von denen einige ungesicherte Daten enthalten. Wie sollen die gesichert werden? Ein Band-Laufwerk, das nur für die Datensicherung da ist, ist deshalb die bessere Lösung.
Bei Geräten zur Datensicherung ist zu überlegen, wie viele Daten es aufnehmen kann. Je kleiner die Kapazität eines Mediums, desto mehr Medien brauchen Sie, und das steigert die Kosten. Natürlich wird es auch schwieriger, ein unbeaufsichtigtes System zur Datensicherung einzurichten, je kleiner die Kapazität der Medien ist. Im Idealfall könnte man eine volle Datensicherung auf ein einziges Band machen, und dann auf ein zweites Medium monatelang immer nur die Dateien sichern, die sich geändert haben, bevor man den Satz um weitere Medien erweitern müsste.
Die meisten Benutzer schrecken vor dem Preis guter Sicherungsgeräte zurück. Vor allem moderne Bandlaufwerke sind schnell bei mehr als 500 Euro inklusive Sicherungsmedien. Wer Computer geschäftlich nutzt, kann aber im Falle eines Totalverlusts – beispielsweise bei Diebstahl der kompletten Anlage, sogar seine Existenz aufs Spiel setzen.
8.5 Datensicherung_______________________________________________________ 437 • Preis der Speichermedien
Preis der Speicher-
Sicherheit kostet Geld. Beziehen Sie den Preis des Laufwerks und medien der Medien in Ihre Überlegungen ein. Professionelle Bandlaufwerke sind teuer, aber die Bänder speichern viele GByte für relativ wenig Geld. Rechnen Sie in Euro pro MB, dann haben Sie einen guten Vergleichswert. • Langlebigkeit der Geräte und des Medienformats
Langlebigkeit der Geräte und des Wenn es um Geräte zur Datensicherung geht, ist Konformität o- Medienformats
berstes Gebot. Niemand hat gerne die Datensicherung von Jahren und Archive in einem Format, das bei einem Defekt des entsprechenden Geräts nicht mehr zugänglich ist. Exoten sind hier fehl am Platz, auch wenn Sie noch so preiswert sind. • Zuverlässigkeit der Medien
Nicht alle Speichermedien sind gleich und eine beschädigte Datensicherung ist noch schlimmer als gar keine Datensicherung, denn möglicherweise zerstören Sie beim Rücksichern unbewusst vorher noch intakte Daten. Speichermedien sollten heutzutage mindestens einige Jahre halten – hier gibt es bei keinem Medium Probleme. Wichtig ist es, wie Sie ihre Medien behandeln. Sie sollten an einem kühlen, trockenen, sauberen Ort aufbewahrt werden, nur in sauberen Laufwerken eingesetzt werden und generell vorsichtig behandelt werden. • Überprüfung der Datensicherung Wie stellen Sie fest, dass eines Ihrer Bänder kaputt ist oder ob Ihre Datensicherung die richtigen Daten enthält? Überprüfung ist notwendig, um sicherzustellen, dass alles in Ordnung ist. Holen Sie immer wieder ein paar Dateien aus einer Sicherung zurück, um deren Integrität zu prüfen. Sie können auch die Überprüfungsfunktion des Windows XP-Sicherungsprogramms einschalten, wenn sie Bänder zur Datensicherung verwenden. Der Sicherungsvorgang dauert auf diese Weise zwar viel länger, aber er wird sicherer. • Redundanz Eine der besten Methoden, um die Gefahr durch defekte Medien zu minimieren, ist der Einsatz mehrerer Medien bzw. MedienSätze. Wenn dann eines davon ausfällt, kann man auf ein anderes zurückgreifen. Selbst wenn das andere Medium schon ein wenig älter ist: alte Daten sind immer noch besser als gar keine. Für wöchentlichen Datensicherungen benutzen Sie drei verschiedene Sätze Bänder, wobei zwei immer wieder überspielt werden. Wenn der dritte Satz eine bestimmte Anzahl an Bändern erreicht hat, archivieren Sie ihn und fangen neu an.
• Automation Oft liegt das Problem der Datensicherung vor allem darin begründet, dass es eine langweilige Aufgabe ist, die man regelmäßig erledigen muss. Nutzen Sie deshalb den Taskplaner oder die eingebaute Planungsfunktion des Sicherungsprogramms für die Datensicherung. Diese Automatik-Funktionen sind dringend zu empfehlen. Sie werden sich schwarz ärgern, wenn Sie eine Menge Arbeit verlieren, weil Sie die Datensicherung immer wieder vor sich hergeschoben haben.
Aufbewahrungsort
• Aufbewahrungsort Denken Sie daran was passiert, wenn Ihr Büro von Einbrechern verwüstet wird. Wie ernst Sie das Thema der Aufbewahrung Ihrer Speichermedien außerhalb des Arbeitsplatzes nehmen, hängt davon ab, wie wichtig Ihre Daten sind. Wenn Sie in einem Büro arbeiten, können Sie problemlos jede Woche eine Sicherungskopie mit nach Hause nehmen und eine Sicherung Ihrer Daten von zu Hause mit ins Büro nehmen. Wenn Sie zu Hause arbeiten, sollten Sie darüber nachdenken, Ihre Sicherung einem Freund oder einer Freundin anzuvertrauen, die Sie regelmäßig sehen. Wenn Sie Ihre Medien am Arbeitsplatz aufbewahren, sollten Sie die Anschaffung eines kleinen feuerfesten Safes in Erwägung ziehen. Sie sollten aber darauf achten, dass er zum Schutz magnetischer Medien geeignet ist. Bei einem Brand können Temperaturen, die nicht ausreichen würden, um Papier zu entzünden (das versteht man im allgemeinen unter »feuerfest«), ein Magnetband durchaus zerstören.
Archivierung
• Archivierung Meistens geht man davon aus, Datensicherung sei dazu da, Daten zu schützen, an denen man gerade arbeitet. Eine gute Sicherungsstrategie kann jedoch auch alte Daten schützen, die man gerne aufbewahren möchte, aber nicht unbedingt auf seiner Festplatte haben will (wie beispielsweise Grafiken, Scans, Videos). Im Idealfall sollte ein Sicherungssystem auch wichtige, sich nicht mehr ändernde Dateien archivieren können. Oft wird die tägliche Sicherungen auf Bänder durchgeführt, aber jedes Quartal zusätzlich auf CD-ROM gesichert.
8.5.3 NTBACKUP.EXE
Sicherung durchführen
Das Sicherungsprogramm von Windows XP finden Sie im Startmenü unter ALLE PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME | SICHERUNG. Sie können es aber auch über START | AUSFÜHREN starten, indem Sie hier NTBACKUP eingeben.
8.5 Datensicherung_______________________________________________________ 439 Erstmalige Einrichtung eines Bandlaufwerks Windows XP verfügt mit dem von Veritas (www.veritas.com) lizensierten WECHSELMEDIENDIENST über ein mächtiges Systemwerkzeug zur Verwaltung aller Arten von Wechseldatenträgern. Dieser wird in unserem Buch Windows 2000 im Netzwerkeinsatz näher beschrieben. Für eine Windows XP Professional-Arbeitsstation sind die Möglichkeiten dieses Dienstes weit überdimensioniert. Deshalb gibt es für die Behandlung von alleinstehenden Bandlaufwerken und deren Medien eine vereinfachte Verwaltungsschnittstelle, die die Nutzung des Wechselmediendienstes für einfache Datensicherungen überflüssig macht. Bei einer erstmaligen Erkennung eines neuen Bandlaufwerks und des Mediums in ihm erscheint ein entsprechendes Dialogfenster, welches Sie nicht übergehen, sondern wie folgt beantworten sollten. Abbildung 8.39: Meldung bei der Erkennung eines neuen Bandlaufwerks
Sie können hier entscheiden, ob alle noch nicht benutzten Medien für Ihr Bandlaufwerk ab jetzt automatisch durch das Datensicherungsprogramm erkannt und benutzt werden sollen. Ist dies beabsichtigt, aktivieren Sie die Optionen VERWENDUNG VON ERKANNTEN MEDIEN ZULASSEN sowie das Kontrollkästchen DIESE MELDUNG NICHT MEHR ANZEIGEN. Damit reduzieren Sie den weiteren Verwaltungsaufwand auf ein Minimum und brauchen sich um die Einrichtung von Medienpools im Wechselmediendienst nicht weiter zu kümmern.
Zwei Arbeitsmodi der Sicherung Im ersten Dialogfenster des Assistenten (siehe Abbildung 8.40) haben Sie die Wahlmöglichkeit zwischen zwei grundlegenden Verfahren: • Klicken Sie auf Weiter, um im ASSISTENTENMODUS zu einfachen Assistentenmodus Sicherungs- und Wiederherstellungsaufgaben geführt zu werden. Sie sollten diese Option wählen, wenn Sie nur Ihre Daten, die im Ordner EIGENE DATEIEN abgelegt sind, sichern wollen. Das weitere Vorgehen wird in Abschnitt Sicherung von Datenbeständen ab Seite 435 beschrieben.
440_______________________________________ 8 Wichtige Administrationswerkzeuge Erweiterter Modus
• Klicken Sie auf den Link ERWEITERTEN MODUS, wenn Sie bestimmte Dateien auf anderen Datenträgern auswählen und sichern wollen. Darüber hinaus finden Sie hier die Option, das gesamte Betriebssystem (den System- und Startdatenträger) zu sichern.
Abbildung 8.40: Startfenster des Sicherungs-Assistenten
Sicherung des Betriebssystems durchführen Um das gesamte System zu sichern, wählen Sie im erweiterten Modus des Sicherungsprogramms die unterste Schaltfläche ASSISTENT FÜR DIE AUTOMATISCHE SYSTEMWIEDERHERSTELLUNG. Abbildung 8.41: Startbildschirm des erweiterten Modus
8.5 Datensicherung_______________________________________________________ 441 Nach der Auswahl dieser Option wird Ihnen ein durchaus irreführender Hinweis gegeben, der suggeriert, dass ausschließlich Systemdateien gesichert werden. Abbildung 8.42: Hinweis des Sicherungsassistenten
Gesichert werden allerdings alle Dateien auf dem betreffenden Startdatenträger von Windows XP, einschließlich aller Benutzerdateien: • Alle Dateien und Ordner auf dem Windows XP-Startdatenträger (enthält %Systemroot% und auch %SystemDrive%\Dokumente und Einstellungen). • In einem separaten Verzeichnis die Konfigurationsinformationen zu den Datenträgern • Systemstatusdateien: Registrierungsdatenbank, COM+-KlassenRegistrierungsdatenbank und Dateien für den Systemstart Zusätzlich wird eine Diskette mit den Konfigurationsinformationen zu Diskette bereit den Datenträgern angelegt. Sie müssen deshalb eine leere, formatierte halten Diskette bereit halten. Haben Sie allerdings Dateien auf weiteren logische Datenträgern, müssen Sie diese separat sichern (siehe nachfolgender Abschnitt). Im nächsten Dialogfenster des Assistenten bestimmen Sie das SICHERUNGSZIEL.
Sie können unter Sicherungsmedientyp zwischen diesen Einstellungen wählen: • Datei Sie können eine Sicherungsdatei anlegen lassen, welche Sie beispielsweise auf einem bestimmten lokalen oder Netzwerkspeicherort ablegen. Diese Datei können Sie im Notfall wieder mit NTBACKUP für die Wiederherstellung verwenden. • Sicherungsgerät Es werden alternativ die Geräte angezeigt, die durch NTBACKUP verwendet werden können (QIC, DAT usw.). Damit sind die grundlegenden Einrichtungsschritte mit dem Assistenten abgeschlossen. Nach Bestätigung mit einem Klick auf FERTIGSTELLEN im abschließenden Dialogfenster des Assistenten beginnt die Sicherung.
Sicherung von Datenbeständen durchführen Im Assistentenmodus des Sicherungsprogramms (siehe Seite 439) können Sie auf eine Palette einfach strukturierter Sicherungsaufgaben zugreifen. Wählen Sie im ersten Dialogfenster, ob Sie Daten sichern oder gesicherte Daten wiederherstellen wollen.
8.5 Datensicherung_______________________________________________________ 443 Abbildung 8.44: Sichern oder Wiederherstellen auswählen
Im nächsten Dialogfenster bestimmen Sie, welche Daten Sie sichern wollen. Abbildung 8.45: Zu sichernde Daten bestimmen
Sie können unter den folgenden Optionen wählen: • Eigene Dokumente und Einstellungen Damit sichern Sie alle Ordner und Dateien des angemeldeten Benutzers: %Systemroot%\Dokumente und Einstellungen\
Diese Funktion kann auch jeder normale Benutzer ausführen. • Dokumente und Einstellungen – alle Benutzer
444_______________________________________ 8 Wichtige Administrationswerkzeuge Als Administrator können Sie alle Benutzerverzeichnisse sichern lassen: %Systemroot%\Dokumente und Einstellungen\
• Alle Informationen auf diesem Computer Ebenfalls als Administrator können Sie alle Datenträger Ihres Systems, einschließlich aller Betriebssystem-Dateien, sichern lassen. Ebenso wie bei der Betriebssystem-Sicherung (siehe Abschnitt Sicherung des Betriebssystems durchführen ab Seite 440) wird eine Diskette mit den Konfigurationsinformationen zu den Datenträgern erstellt. • Elemente für die Sicherung selbst auswählen Wählen Sie diese Option, wenn Sie nur bestimmte Datenträger oder Verzeichnisse in die Sicherung einbeziehen wollen. Die weiteren Schritte entsprechen denen ab Seite 442 beschriebenen.
8.5.4
Wiederherstellung von Sicherungen
Im Fall der Fälle müssen Daten aus Datensicherungen wiederhergestellt werden. Dabei wird unterschieden, ob das Betriebssystem komplett wiederhergestellt werden soll oder ob nur bestimmte Dateien zurückgeholt werden müssen.
Das Betriebssystem wiederherstellen Für die Wiederherstellung des Betriebssystems benötigen Sie, wenn Sie mit dem Windows-eigenen Sicherungsprogramm gesichert haben, die Systemsicherung mit der Konfigurationsdiskette. Gehen Sie dann wie folgt vor: 1. Da eine Komplett-Wiederherstellung immer schwerwiegende Ursachen hat, beispielsweise ein Festplatten-Crash, beheben Sie diese zunächst. Prüfen Sie auch, ob Sie die Wiederherstellung nicht mit den anderen Windows-Technologien durchführen können (siehe Abschnitt 14.3 Systemwiederherstellung ab Seite 862). 2. Starten Sie das Setup-Programm von der CD und legen Sie die bei der Sicherung erstellte Diskette ein. Drücken Sie während der Startphase des Setup auf die Funktionstaste F2, wenn die entsprechende Aufforderung dazu erscheint. 3. Folgen Sie den weiteren Anweisungen des Assistenten, der Sie dann durch die Wiederherstellung begleitet.
8.5 Datensicherung_______________________________________________________ 445 Daten wiederherstellen Für die Datenwiederherstellung mit Hilfe von NTBACKUP wird ein funktionierendes Windows XP vorausgesetzt. Starten Sie das Sicherungsprogramm. Wählen Sie im Assistentenmodus (siehe Abbildung 8.44 auf Seite 443) die Option DATEIEN UND EINSTELLUNGEN WIEDERHERSTELLEN. Im nächsten Dialogfenster sehen Sie dann alle bisher erfolgten Sicherungen, gruppiert nach Sicherungsgeräten (Datei, QIC, DAT etc.). Wählen Sie die gewünschte Sicherung aus und bestimmen Sie die Dateien, die Sie wiederherstellen wollen. Abbildung 8.46: Auswahl der Sicherung und der Dateien
Danach erhalten Sie das abschließende Dialogfenster des Wiederherstellungs-Assistenten (siehe Abbildung 8.47). In der Standardeinstellung werden die gewählten Dateien in ihren ursprünglichen Speicherorten wiederhergestellt. Befindet sich dort eine Datei mit dem gleichen oder einem neueren Zeitstempel, wird sie nicht überschrieben. Möchten Sie an diesen Einstellungen Änderungen vornehmen, klicken Sie auf die Schaltfläche ERWEITERT. Der Assistent führt Sie dann durch mehrere Einstellungsdialoge, wo Sie unter anderem auch einen alternativen Wiederherstellungsort oder Überschreiben-Optionen setzen können.
9 9 Administration der Massenspeicher In diesem Kapitel wird detailliert die Einrichtung und Verwaltung von Festplatten unter Windows XP behandelt. Dabei werden die Administrationswerkzeuge vorgestellt und die einzelnen Schritte bei der Einrichtung von Festplatten praxisnah erläutert
448_______________________________________ 9 Administration der Massenspeicher
Die Verwaltungswerkzeuge.............................................................. 449 Einrichtung einer neuen Festplatte .................................................. 483 Basisfestplatten einrichten................................................................. 489 Dynamische Festplatten einrichten .................................................. 499 Datenträger formatieren .................................................................... 515 Umwandeln von FAT/FAT32 in NTFS........................................... 522 Datenträgerzugriff ändern ................................................................ 526 Erweiterte NTFS-Attribute ................................................................ 533 Einrichten und Anwenden des EFS ................................................. 540 NTFS-Zugriffsrechte einstellen......................................................... 557 Dateiattributebei FAT und FAT32.................................................... 574 Weitere Eigenschaften von Datenträgern........................................ 577 Indexdienst einrichten........................................................................ 592
9.1 Die Verwaltungswerkzeuge ____________________________________________ 449
9.1 Die Verwaltungswerkzeuge Für die Verwaltung der Massenspeichersysteme wie Festplatten oder Wechseldatenträger sowie für Einrichtung und Wartung der logischen Datenträger bringt Windows XP eine Reihe von Systemwerkzeugen mit. Wichtig für das volle Verständnis der Administrationsfunktionen sind Grundlagen ab genaue Kenntnisse über die neue Datenträger-Technologie von Win- Seite 81 dows XP für Basisfestplatten und Dynamische Festplatten. Es empfiehlt sich, vor einer Einrichtung der Festplatten die Grundlagen im Kapitel 3 Massenspeicherverwaltung ab Seite 81 zu lesen. Die Erläuterung der Einrichtung und Verwaltung von Wechselmedien in sogenannten Medienpools, besonders im Hinblick auf hierarchisches Speichermanagement und Streamer-Backup, ist vor allem für den Server-Einsatz relevant und wird in unserem Buch Windows 2000 im Netzwerkeinsatz behandelt.
9.1.1
Überblick
Für die Verwaltung aller Arten von Massenspeichern, vor allem von Festplatten, stehen sowohl grafische als auch nichtgrafische (Kommandozeilen-) Programme zur Verfügung.
Grafische Werkzeuge Die Einrichtung und Verwaltung von Massenspeichern können Sie unter Windows XP im Wesentlichen komplett über grafische Tools erledigen. Einige sind dabei als Snap-Ins für die Microsoft Managementkonole ausgeführt, andere ein fester Bestandteil des Windows Explorers. Dies sind die wichtigsten grafischen Werkzeuge: • MMC Snap-Ins DATENSPEICHER und DATENTRÄGERVERWALTUNG Eines der wichtigsten grafischen Werkzeuge für die Verwaltung von physischen und logischen Massenspeichern ist zweifellos die DATENTRÄGERVERWALTUNG. Dieses Managementkonsolen-Snap-In ist bereits in die vorgefertigte MMC COMPUTERVERWALTUNG integriert. Diese starten Sie am einfachsten über das Kontextmenü zum Symbol ARBEITSPATZ im Windows XP-Startmenü und den Menüpunkt VERWALTEN (erreichbar über einen Klick auf die rechte Maustaste).
450_______________________________________ 9 Administration der Massenspeicher In der Computerverwaltung finden Sie in der Strukturansicht unter DATENSPEICHER neben der DATENTRÄGERVERWALTUNG weitere Snap-Ins für die Administration von Speichermedien: - WECHSELMEDIEN Unter Wechselmedien ist eine Reihe von Werkzeugen für die Verwaltung aller Arten von Wechselspeichermedien (wie Magnetbänder und optische Speichermedien) und der dazugehörigen Hardwarekomponenten vereinigt. Zum normalen Gebrauch von Wechseldatenträgern wie ZIP-Disketten u.ä. benötigen Sie diese aber nicht. Weitergehende Informationen zum Windows 2000/XP-Wechselmediendienst finden Sie in unserem Buch Windows 2000 im Netzwerkeinsatz. - DEFRAGMENTIERUNG Mit Hilfe dieses integrierten Programms des Herstellers Executive Software International Inc. können Sie Datenträger defragmentieren. - DATENTRÄGERVERWALTUNG Die Datenträgerverwaltung ist das zentrale Werkzeug für die Einrichtung und Wartung vor allem der Festplattenspeicher in Ihrem Windows XP-System. Dieses Snap-In wird in Abschnitt 9.1.2 DATENTRÄGERVERWALTUNG im Detail ab Seite 453 eingehend beschrieben. • Tools im Windows Explorer Über den Windows Explorer stehen Ihnen direkt einige Verwaltungsfunktionen für Datenträger zur Verfügung. Klicken Sie im ARBEITSPLATZ-Fenster auf den Datenträger mit der rechten Maustaste, um das Kontextmenü angezeigt zu bekommen. Hier finden Sie, abhängig vom Typ des Datenträgers, unter anderem die folgenden Funktionen: - Datenträger formatieren Mit Hilfe des grafischen Formatprogramms lassen sich alle Arten von Festplatten und beschreibbaren Wechseldatenträgern formatieren. Das Programm starten Sie dabei über das Kontextmenü zu dem Datenträger (über Klick auf die rechte Maustaste). Weitergehende Informationen dazu finden Sie in Abschnitt 9.5 Datenträger formatieren ab Seite 515. - Disketten kopieren Für die Arbeit mit Disketten können Sie über den Punkt KOPIEREN ein komfortables Kopierprogramm starten.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 451 Weitere Verwaltungsaufgaben können Sie über das Eigenschaften- EIGENSCHAFTENdialogfenster für Datenträger aufrufen. Dieses öffnen Sie ebenfalls dialogfenster für über das Kontextmenü des betreffenden Datenträgers, hier mit Datenträger dem Menüpunkt EIGENSCHAFTEN. Abbildung 9.1: EIGENSCHAFTENDialogfenster zu einem Datenträger
Sie finden hier die direkte Startmöglichkeit für die folgenden Verwaltungsaufgaben: - DATENTRÄGER ÜBERPRÜFEN Über JETZT PRÜFEN wird das Dienstprogramm zum Überprüfen des Datenträgers gestartet. Dabei können Sie diesen sowohl auf logische als auch auf physische Fehler kontrollieren lassen. Weitergehende Hinweise finden Sie in Abschnitt 9.12.3 Überprüfung eines Datenträgers auf Fehler ab Seite 582. - DATENTRÄGER DEFRAGMENTIEREN Hiermit wird das mit Windows XP ausgelieferte Defragmentierprogramm gestartet. Weitere Hinweise zu diesem Thema finden Sie in Abschnitt 4.5 Fragmentierung ab Seite 179. Setzen Sie Datenträgertools von Drittherstellern ein, wie beispiels- Tools von Drittweise von Iomega für ein ZIP-Laufwerk, können im Windows Ex- herstellern plorer weitere Hilfsprogramme integriert sein. Meist finden Sie diese im Kontextmenü zu dem entsprechenden Datenträgertyp.
Kommandozeilen-Werkzeuge Eigentlich können Sie jede wesentliche Administrationsaufgabe unter Ausgebaute FunkWindows XP mit einem grafischen Werkzeug erledigen. Trotzdem tionen unter XP werden Sie erst dann Ihr System optimal ausnutzen können, wenn Sie
452_______________________________________ 9 Administration der Massenspeicher einige der wichtigsten Kommandozeilen-Tools kennen gelernt haben. Mit diesen Funktionen, die übrigens in Windows XP gegenüber Windows 2000 sogar stark erweitert worden sind, können Sie beispielsweise in die Art der Speicherung von Objekten durch das Betriebssystem direkt eingreifen. Das kann bei falscher Anwendung übrigens zu Datenverlusten führen. Optimale Nutzung der Ressourcen
Praxisrelevant sind aber Funktionen, die Ihnen die optimale Konvertierung eines FAT- oder FAT32-Datenträgers nach NTFS ermöglichen. Damit brauchen Sie unter Windows XP auch bei konvertierten NTFSDatenträgern nicht mehr mit Performanceeinbußen gegenüber komplett neu formatierten leben, wie es bei Windows NT und 2000 nicht zu vermeiden war. Die nachfolgende Tabelle enthält alle Kommandozeilen-Tools für die Verwaltung und Einrichtung von Datenträgern beziehungsweise für die Nutzung spezieller Funktionen des NTFS-Dateisystems. Nicht alle Tools sind nur für die Nutzung durch Administratoren bestimmt; allerdings werden die wenigsten normalen Benutzer sich mit Kommandozeilenoptionen herumschlagen wollen. Dazu gibt es für jedes Tool den Verweis auf die Seite, auf der dieses näher beschrieben wird.
Tabelle 9.1: KommandozeilenTools im Überblick
FSUTIL.EXE
Name
Funktion
Seite
CACLS.EXE
Ändert Zugriffsberechtigungen von Dateien und Ordnern (NTFS)
572
CHKDSK.EXE
Dient der Fehlersuche und –behebung auf Datenträgern
583
CIPHER.EXE
Ermöglicht die Ver- und Entschlüsselung von Dateien und Ordnern (NTFS)
555
COMPACT.EXE
Erlaubt die Komprimierung und Dekomprimierung von Dateien und Ordnern (NTFS)
537
CONVERT.EXE
Konvertiert einen FAT-Datenträger zu NTFS
523
DISKPART.EXE
Dient der Einrichtung und Verwaltung von physischen Festplatten und logischen Datenträgern (Pendant zur grafischen DATENTRÄGERVERWALTUNG)
459
FSUTIL.EXE
Bietet umfassende Verwaltungsaufgaben auf Dateisystem-Ebene; es werden alle wichtigen Funktionen von FAT/FAT32- und NTFSDatenträgern unterstützt
470
MOUNTVOL.EXE Ermöglicht die Erstellung und Löschung von Bereitstellungspunkten
531
Hervorzuheben ist an dieser Stelle vor allem das Tool FSUTIL.EXE. Dieses bringt einen sehr hohen Funktionsumfang mit und kann als Pendant des grafischen Werkzeugs DATENTRÄGERVERWALTUNG betrachtet
9.1 Die Verwaltungswerkzeuge ____________________________________________ 453 werden. Darüber hinaus sind aber auch Funktionen integriert, die grafisch gar nicht zur Verfügung stehen. Umfassend wird das Tool in Abschnitt 9.1.4 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 470 erklärt.
9.1.2
DATENTRÄGERVERWALTUNG im Detail
Das grafische Dienstprogramm DATENTRÄGERVERWALTUNG erlaubt Ihnen die Administration der Datenträger Ihres Computersystems oder eines Fremdsystems, welches über eine Netzwerk- oder DFÜVerbindung erreichbar ist. Die Anwendung ist als Managementkonsolen-Snap-In aufgebaut und ersetzt den alten Festplattenmanager von Windows NT.
Funktionsumfang Die folgenden Administrationsaufgaben können Sie mit Hilfe der Direkt am Datenträgerverwaltung auf einem Windows XP Professional-System Computer durchführen: • Abruf von Informationen über alle physischen und logischen Datenträger • Neu Einlesen der Datenträgerkonfiguration nach Entfernen oder Hinzunahme externer Geräte ohne Neustart • Überprüfung und Reparatur von Datenträgern • Einrichtung und Änderung von Sicherheitseinstellungen für den Zugriff auf Datenträger • Einrichtung und Löschung von Partitionen und logischen Laufwerken auf Basisfestplatten • Umwandlung von Basisfestplatten in dynamische Festplatten und umgekehrt • Erstellung, Erweiterung und Löschung von Einfachen Datenträgern auf dynamischen Festplatten • Erstellung, Erweiterung und Löschung von Übergreifenden Datenträgern auf dynamischen Festplatten • Erstellung und Löschung von Stripesetdatenträgern auf dynamischen Festplatten • Löschung von unter Windows NT erstellten Datenträgersätzen, Stripe Sets und Mirror Sets
454_______________________________________ 9 Administration der Massenspeicher Remote auf dem Server
Sind Sie remote mit einem Windows XP oder 2000 Serversystem verbunden, können Sie diese zusätzlichen Administrationsaufgaben, vorausgesetzt Sie haben die erforderlichen Administratorrechte, erledigen: • Erstellung und Löschung von Spiegelsätzen auf dynamischen Festplatten des Servers • Erstellung und Löschung von RAID-5-Datenträgern auf dynamischen Festplatten des Servers Diese Server-Administrationsaufgaben werden unter anderem in unserem Buch Windows 2000 im Netzwerkeinsatz näher betrachtet.
Aufbau der Benutzeroberfläche Die grafische Oberfläche der DATENTRÄGERVERWALTUNG erlaubt Ihnen eine sehr einfache Anwendung der vielfältigen Funktionen von Windows XP für die Einrichtung und Verwaltung von Festplatten. Abbildung 9.2: Benutzeroberfläche der Datenträgerverwaltung
MMC im Detail ab Seite 383
Die Bedienung dieses Managementkonsolen-Snap-Ins fügt sich nahtlos in die der anderen Windows-Verwaltungsprogramme ein. Zur Microsoft Managementkonsole (MMC) selbst finden Sie eine ausführliche Beschreibung in Abschnitt 8.1 Die Microsoft Managementkonsole ab Seite 383.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 455 Im oberen Fensterteil werden standardmäßig die logischen Datenträ- Datenträgeranger dargestellt, im unteren erscheint die grafische Ansicht der physi- sichten schen Datenträger. Diese Anordnung können Sie aber frei nach Ihren Bedürfnissen verändern. Über ANSICHT | ANZEIGE OBEN und ANZEIGE UNTEN lassen sich die Fensterbereiche einrichten als: • DATENTRÄGERLISTE Damit sehen Sie die Liste der physischen Datenträger in Ihrem System. Sie erkennen, welche Festplatten im Computer eingebaut sind und welche Größe und welchen momentanen Status diese haben. • VOLUMELISTE Im Gegensatz zur physischen Darstellung DATENTRÄGERLISTE sehen Sie in dieser Ansicht, welche logischen Datenträger eingerichtet sind. Physische und logische Datenträger • GRAFISCHE ANSICHT Bei der grafischen Ansicht sehen Sie alle physischen Datenträger sowie grafisch abgesetzt auf diesen die Lage und Größe der logischen Datenträger. So können Sie beispielsweise gut erkennen, über welche physischen Datenträger sich ein logischer Erweiterter Datenträger erstreckt (siehe auch Abschnitt 9.4.3 Einfache Datenträger und ihre Erweiterung ab Seite 503). Die Größe der Anzeigenbereiche lässt sich einfach mit Hilfe der Maus einstellen. Der untere Bereich kann auch ganz ausgeblendet werden. Über ANSICHT | ALLE LAUFWERKPFADE sehen Sie die eingerichteten Be- Laufwerkpfade reitstellungspunkte, auch Laufwerkpfade genannt, über die logische anzeigen Datenträger in einem anderen NTFS-formatierten Datenträger eingebunden sind (siehe auch Abschnitt 9.7 Datenträgerzugriff ändern ab Seite 526). Abbildung 9.3: Anzeige der Laufwerkpfade
Die grafische Ansicht eignet sich hervorragend zur Einrichtung und Grafische Ansicht Verwaltung der physischen und logischen Datenträger. Sie sehen hier anpassen
456_______________________________________ 9 Administration der Massenspeicher auf einen Blick, welchen Typ die Festplatte hat und welche Arten von Datenträgern eingerichtet oder wo freie Bereiche verfügbar sind. Die grafische Ansicht können Sie über das Hauptmenü ANSICHT | EINSTELLUNGEN hinsichtlich der verwendeten Farben und der grafischen Skalierung frei anpassen. Abbildung 9.4: Ändern der Farben und Muster für die grafische Anzeige
Über dieses Auswahlmenü (siehe Abbildung 9.4) können Sie jedem Objekttyp auf einem Datenträger eine beliebige Farbe und ein Hintergrundmuster zuordnen.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 457 Abbildung 9.5: Ändern der Skalierungseigenschaften
Im Bereich SKALIERUNG (siehe Abbildung 9.5) beeinflussen Sie, wie die Anzeige von DatenGrößenverhältnisse der Festplatten und Datenträger untereinander trägergrößen dargestellt werden sollen: • LOGARITHMISCHE SKALIERUNG Diese Skalierung erlaubt eine übersichtliche Darstellung der Größenverhältnisse auch bei sehr unterschiedlich großen Festplatten. Würden Sie beispielsweise eine 1 GB- und eine 36 GB-Festplatte in Ihrem System betreiben, wäre bei einer linearen Darstellung die kleinere kaum noch zu sehen. • LINEARE SKALIERUNG Bei der linearen Skalierung werden Festplatten und Datenträger stets in ihren tatsächlichen Größenverhältnissen zueinander dargestellt. Diese Einstellung empfiehlt sich, wenn die Festplatten beziehungsweise Datenträger in ihren Größen nicht zu sehr differieren. • GLEICHE GRÖßE Bei dieser Einstellung werden die Festplatten oder Datenträger unabhängig von ihren tatsächlichen Größenverhältnissen zueinander gleich groß dargestellt. Alle Skalierungsoptionen können Sie unabhängig voneinander für Festplatten und Datenträger einstellen. So kann es beispielsweise Sinn machen, für die Festplattenanzeige die logarithmische Skalierung zu wählen. Für die Anzeige der Datenträger in dieser kann dann eine lineare Skalierung die Übersichtlichkeit verbessern.
458_______________________________________ 9 Administration der Massenspeicher Administrationsfunktionen aufrufen Objektfunktionen
Die Administrationsfunktionen erhalten Sie zur Auswahl, indem Sie den Datenträger markieren und das Kontextmenü aufrufen (rechte Maustaste) oder über das Hauptmenü AKTION | ALLE TASKS.
Abbildung 9.6: Funktionen zum Datenträger über das Kontextmenü aufrufen
Es werden nur die für den konkreten Kontext gültigen Funktionen angezeigt, nicht verfügbare Funktionen sind hellgrau dargestellt.
Datenträger aktualisieren und neu einlesen Aktualisieren
Haben Sie in ein Wechselplattenlaufwerk einen neuen Datenträger eingelegt oder nur über den Auswurfknopf des Laufwerks entfernt, wird dies nicht sofort automatisch in der Datenträgerverwaltung berücksichtigt. Über das Hauptmenü AKTION | AKTUALISIEREN lösen Sie manuell den Aktualisierungsvorgang der Software aus und die Liste der Datenträger entspricht wieder dem momentanen Stand.
Festplatten neu einlesen
Wird die Datenträgerkonfiguration während des Betriebs geändert, kommen beispielsweise externe SCSI-Datenträger hinzu oder werden entfernt, können Sie ohne Neustart die Datenträgerliste aktualisieren. Gehen Sie dazu im Hauptmenü auf AKTION | DATENTRÄGER NEU EINLESEN. Dieser Vorgang führt neben der oben beschriebenen Aktualisierung auch ein Neueinlesen aller verfügbaren Bussysteme (SCSI, IDE etc.) durch und dauert dadurch etwas länger. Entfernen oder Hinzufügen von Festplatten während des laufenden Betriebes wird von Windows XP grundsätzlich unterstützt. Voraussetzung ist allerdings, dass die Hardware (Festplatteneinschub, Controller etc.) ein Hot-Plug (Änderung während des Betriebs) auch ausdrücklich unterstützt. System- und Startdatenträger dürfen generell nicht während des Betriebs geändert werden.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 459
9.1.3
Das Kommandozeilen-Tool DISKPART.EXE
Dieses Kommandozeilen-Tool bietet einen umfassenden Funktionsumfang für alle wesentlichen Verwaltungsarbeiten an physischen und logischen Datenträgern. Sie können damit beispielsweise Basis- in dynamische Festplatten konvertieren oder logische Datenträger und Partitionen anlegen beziehungsweise löschen. Rufen Sie das Programm einfach an der Eingabeaufforderung ohne weitere Parameter auf. Sie können es allerdings auch in Skripten zum Einsatz bringen und damit vollautomatisch komplexe Einrichtungsschritte an Festplatten durchführen (siehe Abschnitt Verwendung von DISKPART in Skripten ab Seite 462). Diskpart
Syntax
Die DISKPART-Befehle im Überblick Das Programm verfügt über einen eigenen Eingabeprompt, über den Sie weitere Befehle eingeben. Die folgende Tabelle zeigt Ihnen alle DISKPART-Befehle in einer Übersicht. Dabei sind bei vielen Befehlen die Seiten angegeben, auf denen Sie weitergehende Informationen finden. DISKPARTBefehl
Beschreibung
Seite
add disk
Nur für Windows XP-Serversysteme: fügt eine Spiegelung zu einem Datenträger hinzu
---
active
Markiert die aktuell ausgewählte Basispartition als aktiv
463
assign
Weist dem selektierten Datenträger einen Laufwerkbuchstaben oder –pfad zu
463
break disk
Nur für Windows XP-Serversysteme: entfernt die Spiegelung von einem gespiegelten Datenträger
---
clean
Löscht eine Festplatte komplett und unwiderruflich
464
convert
Erlaubt die Konvertierung von Basis- in dynamische Festplatten und umgekehrt sowie die Konvertierung von GPT- in MBR-Partitionen und umgekehrt
464
create
Erstellt Partitionen und logische Datenträger
465
delete
Löscht Festplatten, Partitionen oder logische Datenträger
466
detail
Liefert detaillierte Informationen zu Festplatten und logischen Datenträgern
460_______________________________________ 9 Administration der Massenspeicher DISKPARTBefehl
Reihenfolge beim Vorgehen
Beschreibung
Seite
exit
Beendet DISKPART und kehrt zur Eingabeaufforderung zurück
---
extend
Erweitert Partitionen auf Basisfestplatten und logische Datenträger auf dynamischen Festplatten
467
help oder ?
Listet DISKPART-Kommandos auf
---
import
Importiert Datenträger aus fremden NT-/2000/XP-Konfigurationen
468
list
Liefert Informationen zu physischen und logischen Datenträgern
468
online
Schaltet Offline-Festplatten in den Online-Zustand
468
rem
Kommentarzeichen; nutzbar in Skripten
---
remove
Löscht einen Laufwerkbuchstaben oder einen Laufwerkpfad zu einem Datenträger
469
rescan
Liest alle angeschlossenen physischen Datenträger neu ein (keine weiteren Optionen)
---
retain
Erzeugt für einen reinen einfachen dynamischen Datenträger einen Eintrag in der Partitionstabelle, sodass von diesem gestartet werden bzw. Windows XP auf diesem installiert werden kann
469
select
Setzt den Fokus auf einen physischen oder logischen Datenträger
469
Zum interaktiven Vorgehen mit DISKPART an der Eingabeaufforderung empfiehlt sich diese Reihenfolge: 1. Lassen Sie sich alle angeschlossenen Festplatten, Partitionen beziehungsweise logischen Datenträger mit dem list-Kommando anzeigen. 2. Setzen Sie mit dem select-Befehl den Fokus auf das Objekt, welches Sie bearbeiten wollen. Sie erkennen die Festplatte, auf der der aktuelle Fokus liegt, daran, dass beim list disk-Kommando vor dem Eintrag ein Sternchen ∗ gesetzt ist. 3. Führen Sie dann für das selektierte Objekt alle notwendigen weiteren DISKPART-Befehle aus.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 461 Eine neue Festplatte mit DISKPART einbinden Eine fabrikneue Festplatte oder eine, die Sie über den Befehl clean in diesen Zustand zurückversetzt haben, können Sie neben der Zuhilfenahme des Assistenten oder direkt über die DATENTRÄGERVERWALTUNG (siehe auch Abschnitt 9.2 Einrichtung einer neuen Festplatte ab Seite 483) auch mit DISKPART.EXE einrichten. Wichtig ist zu wissen, dass Windows XP ohne eine eindeutige Datenträgerkennung (auch als Signatur bezeichnet) nicht auf eine Festplatte zugreifen kann. Diese Kennung wird durch den grafischen Assistenten automatisch gesetzt. DISKPART setzt die Kennung ebenfalls, und zwar bei den folgenden Erzeugen der Datenträgerkennung Befehlen: • Sie erzeugen mit create partition eine Partition. Damit wird die betreffende Festplatte zugleich als Basisfestplatte eingerichtet (siehe auch Abschnitt 3.1.1 Aufbau des Volume Managements ab Seite 83). • Sie wandeln mit Hilfe des Befehls convert dynamic die Festplatte, die eigentlich noch gar keine Basisfestplatte ist, gleich in eine dynamische Festplatte um. Übrigens schlägt der Befehl convert basic fehl. Hier erkennt DISKPART eigentlich richtig, dass die betreffende Festplatte keine dynamische Festplatte ist. Das lässt einmal mehr die Priorität erkennen, die Microsoft der dynamischen Datenträgerverwaltung einräumt.
Erweitern logischer Datenträger mit DISKPART Eine der bemerkenswertesten Funktionen von DISKPART ist die Erwei- Erweitern dynamiterung bestehender logischer Datenträger. Diese Funktionalität ist bei scher Datenträger dynamischen Festplatten seit Windows 2000 nichts Ungewöhnliches mehr (siehe auch Abschnitt 3.3.3 Einfache Datenträger und ihre Erweiterung ab Seite 109). DISKPART kann aber auch Partitionen auf Basisfestplatten erweitern. Erweitern von Bedingung dafür ist allerdings, dass direkt im Anschluss an eine Parti- Partitionen tion noch freier, unpartitionierter Speicherplatz zur Verfügung steht. Dazu muss der Datenträger mit dem Dateisystem NTFS formatiert sein. Die Erweiterung der Partition erfolgt dann unter Beibehaltung aller Daten. Beachten Sie, dass System- und Startdatenträger von Windows XP grundsätzlich nicht nachträglich mit Bordmitteln erweiterbar sind. Sie sollten dann auf Tools von Drittherstellern wie Partition Magic (www.powerquest.de) zurückgreifen. Ausführlich wird der DISKPART-Befehl extend, mit dem Sie Datenträger erweitern können, auf Seite 467 beschrieben.
462_______________________________________ 9 Administration der Massenspeicher Verwendung von DISKPART in Skripten DISKPART lässt sich im Rahmen einer unbeaufsichtigten Installation von Windows XP einsetzen, um die Festplatte(n) des Computersystems vollautomatisch einrichten zu lassen. Dabei können Sie dies so vornehmen, dass nach der Installation alle logischen Datenträger komplett fertig eingerichtet sind und beispielsweise das dynamische Datenträgermanagement von Windows XP gleich aktiv ist. Skriptdatei mit Befehlen einbinden
Um die Befehle von DISKPART im Skript einsetzen zu können, gibt es den Schalter /s. Diskpart /s <skriptdatei>
Geben Sie nach /s den Namen der Textdatei an, in welcher die erforderlichen DISKPART-Befehle aufgeführt sind. Verwenden Sie in dieser Datei für jeden Befehl eine separate Zeile. Meldungen in Logdatei
Um die Ausgaben von DISKPART im Nachhinein auswerten zu können, leiten Sie diese mit dem Umleitungszeichen > oder >> in eine entsprechende Logdatei um. Mit > erzeugen Sie dabei eine neue Logdatei; eine bereits vorhandene mit demselben Namen wird dabei überschrieben. Mit >> wird die Ausgabe an eine vorhandene Logdatei angehangen. Diskpart /S HDDNEU.TXT >HDDNEU.LOG
Stopp bei Fehler
DISKPART stoppt die Verarbeitung, wenn ein Befehl einen Fehler auslöst (beispielsweise, wenn Sie versuchen eine Festplatte zu selektieren, die im System nicht vorhanden ist) oder wenn ein Syntaxfehler auftritt. Sie können den Stopp der weiteren Verarbeitung für semantische Fehler verhindern, wenn Sie bei den Befehlen, wo verfügbar, die noerr-Option setzen. Wenn Sie DISKPART selbst innerhalb eines Skripts aufrufen, können Sie über die Fehlercodes, die das Programm beim Beenden zurückliefert, entsprechende Reaktionen vornehmen. Die nachfolgende Tabelle enthält diese Codes.
Tabelle 9.3: Diskpart-Rückgabecodes
Code
Beschreibung
0
Keine Fehler, ordnungsgemäße Abarbeitung
1
Fataler Fehler, schwerwiegendes Problem
2
Übergebene Parameter an einen DISKPART-Befehl sind fehlerhaft
3
Skriptdatei oder Logdatei können nicht geöffnet werden
4
Ein DISKPART-Dienst wurde fehlerhaft beendet
5
Syntax-Fehler oder Ausführungsfehler
9.1 Die Verwaltungswerkzeuge ____________________________________________ 463 Ein kleines Beispiel einer Skriptdatei für DISKPART finden Sie im folgenden Listing. Hier wird eine Arbeitsstation eingerichtet, die über eine Festplatte verfügt. REM Neueinrichten einer Festplatte für die unbeaufsichtigte REM Installation von Windows XP REM Auswahl der Festplatte 0 (hier 1. Festplatte im System) select disk 0
Listing 9.1: Beispiel-Skriptdatei HDDNEU.TXT für Diskpart
REM Festplatte löschen (Auslieferungszustand herstellen) clean REM Primäre Partition für Swap erstellen (=Systempartition) create partition primary size=1000 assign letter=C REM Setzen der Partition als AKTIV (für Startfähigkeit) active REM Primäre Partition für das Betriebssystem (=Startpartition) create partition primary size=6000 assign letter=D REM Rest als primäre Partition für Daten erstellen, soll K sein create partition primary assign letter=K REM Festplatte in eine dynamische Festplatte umwandeln convert dynamic
DISKPART-Befehle im Detail Im folgenden Text werden einige der wichtigsten DISKPART-Befehle im Detail erläutert. active
active
Aktiviert die Partition, auf der momentan der Fokus liegt (siehe Befehl select auf Seite 469). Dieser Befehl kennt keine weiteren Optionen. Beachten Sie, dass dieser Befehl ohne eine inhaltliche Prüfung ausgeführt wird. Wenn Sie eine Partition als aktiv markieren, die keine Systempartition ist (siehe auch Abschnitt 3.2.1 Partitionen und Partitionstypen ab Seite 88), kann der Computer nicht mehr von der betreffenden Basisfestplatte starten. assign [letter=|mount=] [noerr]
Mit diesem Befehl können Sie dem selektierten Datenträger einen Laufwerkbuchstaben oder Laufwerkpfad zuweisen (siehe auch Abschnitt 9.7 Datenträgerzugriff ändern ab Seite 526). Diese dürfen aber noch nicht in Verwendung sein. Wenn Sie assign ohne weitere Para-
464_______________________________________ 9 Administration der Massenspeicher meter aufrufen, wird nur der nächste freie Laufwerkbuchstabe dem Datenträger zugewiesen. Der bisher verwendete Laufwerkbuchstabe wird dann freigegeben. Wieder entfernen können Sie Laufwerkbuchstaben oder –pfade mit remove. Mit der Option noerr erreichen Sie, dass DISKPART in Skripten im Fehlerfall nicht mit einem Fehlercode abbricht, sondern seine Verarbeitung fortsetzt. clean
clean [all]
Mit diesem mächtigen Befehl können Sie die selektierte Festplatte komplett und unwiderruflich löschen. Es werden bei Basisfestplatten die Partitonstabelle und bei dynamischen Festplatten die Datenträgerverwaltungsdatenbank und falls dort aus einer Konvertierung aus einer Basisfestplatte vorhanden, die Partitionstabelle überschrieben. Die Festplatte befindet sich danach im »Auslieferungszustand«, es ist noch keinerlei Initialisierung vorgenommen. Starten Sie dann Windows XP oder die DATENTRÄGERVERWALTUNG neu, erkennt der Assistent zum Einbinden neuer Festplatten die veränderte Konfiguration (siehe auch Abschnitt 9.2.1 Erkennung einer neuen Festplatte ab Seite 484). Der Befehl clean wird ohne vorherige Sicherheitsrückfrage durchgeführt. Überprüfen Sie zuvor unbedingt (mit list disk), ob Sie auch die richtige Festplatte mit select disk ausgwählt haben, um Datenverluste zu vermeiden. Löschung aller Datenspuren
Verwenden Sie die Option all, wird zusätzlich zum Löschen der Partitionstabelle jeder Sektor des Datenträgers mit Nulldaten überschrieben. Damit können Sie sicherstellen, dass auch Profis mit aufwändigen Restaurierungsarbeiten Daten wiederherstellen können.
Festplattenliste auf Fehler prüfen
Führen Sie nach dem Löschen einer Festplatte mit clean ein Neueinlesen der Datenträger mit rescan durch. Überprüfen Sie dann mit list disk, ob die Einträge in der Liste der Festplatten korrekt sind. Es kann vorkommen, dass Ihre soeben gelöschte Festplatte zweimal in dieser Liste auftaucht: Einmal als »normale«, nun leere Festplatte mit einer Datenträgerkennung, die nur aus Nullen besteht, und einmal als nicht aktive, fehlerhafte Festplatte. Sie können mit dem Befehl detail disk ermitteln, ob es sich um dieselbe physische Festplatte handelt. Löschen Sie dann mit delete disk die als fehlerhaft angezeigte Festplatte aus der Liste. Schlägt das fehl, prüfen Sie, ob dieser Festplatteneintrag vielleicht mit einem Volumeeintrag verbunden ist (auch über detail disk erkennbar). Diesen können Sie dann zuerst mit delete volume löschen, um danach mit delete disk die Festplattenliste zu bereinigen.
convert
convert [noerr]
Dieser Befehl erlaubt die Umwandlung eines Festplattentyps in einen anderen. Für können Sie die folgenden Optionen setzen:
9.1 Die Verwaltungswerkzeuge ____________________________________________ 465 Option basic
Tabelle 9.4: Optionen für den Wandelt eine dynamische Festplatte in eine Basisfestplatte Befehl convert um. Voraussetzung ist allerdings, dass diese leer ist, d.h. keine Datenträger mehr enthält. Diese müssen ggf. mit dem Befehl delete volume vorher gelöscht werden.
Erklärung
dynamic
Wandelt eine Basisfestplatte in eine dynamische Festplatte um. Dabei werden alle enthaltenen Partitionen mit konvertiert. Ein Datenverlust tritt nicht auf. Beachten Sie allerdings, dass auf dynamische Datenträger nur von Windows 2000 und XP aus zugegriffen werden kann.
gpt
Für Windows XP 64 Bit: Wandelt eine leere MBR-Basisfestplatte in eine GPT-Basisfestplatte um (siehe auch Abschnitt 3.4 Festplatten unter Windows XP 64 Bit ab Seite 115).
mbr
Für Windows XP 64 Bit: Wandelt eine leere GPT-Basisfestplatte in eine MBR-Basisfestplatte um
noerr
Verhindert einen Abbruch mit einem Fehlercode, falls bei der Aktion ein Fehler auftritt (kann bei einer Anwendung in Skripten wichtig sein).
Weitere Informationen zu diesem Thema finden Sie auch in Abschnitt 3.3.1 Erstellung und Aufbau dynamischer Festplatten ab Seite 101. Mit Hilfe des Befehls create können Sie Partitionen auf Basisfestplat- create ten sowie Datenträger auf dynamischen Festplatten einrichten. Zunächst finden Sie hier die Beschreibung zum Erstellen von Partitionen. Dies geschieht mit create partition. Die nachfolgend aufgeführten Optionen betreffen die Anlage von primären und erweiterten Partitionen sowie in letzteren die Erzeugung von logischen Laufwerken (siehe auch Abschnitt 3.2 Basisfestplatten und Partitionen ab Seite 88). noerr dient auch hier der Verhinderung eines Abbruchs, falls ein Fehler auftreten sollte (in Skripten wichtig). [size=<wert>] [offset=<wert>] [id=<wert>] [noerr] create partition extended [size=<wert>] [offset=<wert>] [noerr] create partition logical [size=<wert>] [offset=<wert>] [noerr] create partition primary
Der Parameter size gibt die Größe in MByte an. Legen Sie keinen Wert fest, wird der gesamte zusammenhängend verfügbare Platz eingenommen. Mit offset können Sie den Beginn der Partition auf dem Datenträger bestimmen. Standardmäßig beginnt die Partition sonst an der nächsten verfügbaren Stelle (am Anfang der Festplatte oder direkt hinter der letzten Partition, wenn dort noch Platz ist). Den Wert für offset geben Sie auch in MB an, allerdings wird er automatisch durch DISKPART auf ein ganzzahliges Vielfaches der Zylindergröße ange-
466_______________________________________ 9 Administration der Massenspeicher passt. Generell kann gesagt werden, dass Sie den Parameter offset nur dann anwenden sollten, wenn ein zwingender Grund dafür vorliegt. Für die normale Einrichtung einer Basisfestplatte wird dies sicherlich nicht notwendig sein. Über den Parameter id können Sie eine eigene GUID oder eine abweichende Partitionskennung eintragen (siehe auch Tabelle 3.4 auf Seite 93). Dies ist aber nicht zu empfehlen und vor allem für OEMs oder ganz spezielle Einsatzfälle gedacht. Beachten Sie, dass mit dem Befehl create partition die betreffenden Datenträger noch keinen Laufwerkbuchstaben zugeweisen bekommen. Dies müssen Sie, wenn das erforderlich ist, mit assign nachträglich durchführen. Für den Einsatz mit Windows XP-64 Bit für Itanium-basierte Systeme gibt es spezielle Optionen: create partition efi [size=<wert>] [offset=<wert>] [noerr] create partition msr [size=<wert>] [offset=<wert>] [noerr]
Mit der Option efi erstellen Sie eine EFI-Systempartition (Extensible Firmware Interface) auf einer GPT-Festplatte. Mit msr können Sie entsprechend eine MSR-Partition (Microsoft Reserved) erstellen. Weitere Informationen zu diesen Partitionstypen finden Sie in Abschnitt 3.2.1 Partitionen und Partitionstypen ab Seite 88. Mit Hilfe des create volume-Befehls erzeugen Sie logische Datenträger auf dynamischen Festplatten. create volume
Mit create volume simple erzeugen Sie einen einfachen dynamischen Datenträger. Mit size geben Sie die Größe in MB an. Über disk bestimmen Sie die betreffende dynamische Festplatte, auf der dieser Datenträger angelegt werden soll. Über create volume stripe lässt sich ein Stripesetdatenträger anlegen (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 110). Geben Sie bei disk die Liste der Festplatten an, über die sich dieser Datenträger erstrecken soll. create volume raid wird nur für Windows XP Server unterstützt und dient der Erstellung eines fehlertoleranten RAID5Datenträgers. delete
Der Befehl delete dient zum Löschen von Partitionen, logischen Datenträgern sowie ungültigen Einträgen aus der Liste der physischen Datenträger. Nicht gelöscht werden können alle Datenträger, die sich direkt im Zugriff des Betriebssystems befinden. Das sind insbesondere System- und Startdatenträger oder die Partition, welche eine aktive Auslagerungsdatei enthält.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 467 delete partition [noerr] [override]
delete partition
Damit können Sie die Partition löschen, auf der momentan der Fokus steht (gewählt mit select partition). Mit der Option override veranlassen Sie DISKPART, eine Partition unabhängig vom Partitionstyp zu löschen. Standardmäßig werden sonst nur die direkt von Windows XP unterstützten Partitionstypen erkannt und gelöscht. Mit noerr wird die Abarbeitung von DISKPART auch dann fortgesetzt, wenn es zu einem Fehler in der Abarbeitung kommt (wichtig bei Skripten). delete volume [noerr]
delete volume
Mit diesem Befehl löschen Sie den logischen Datenträger, den Sie zuvor mit select volume ausgewählt haben. delete disk [noerr] [override]
delete disk
Nach dem Entfernen einer Festplatte aus einem Windows XP-System kann es vorkommen, dass die Festplattenliste diese noch mit einem, allerdings ungültigen, Eintrag führt. Sie können dann mit diesem Befehl diesen Eintrag löschen. Setzen Sie zuvor aber den Fokus mit select disk auf diese Festplatte. Mit der Option override können Sie das Löschen einer Festplatte erzwingen und damit auch solche Festplatten entfernen, die Teil eines gespiegelten Datenträgers, aber nicht aktiv sind. Eine aktive Festplatte eines gespiegelten Datenträgers entfernen Sie mit dem Befehl break disk. detail disk detail partition detail volume
detail
Neben dem Befehl list, der Ihnen wichtige Informationen überblicksartig geben kann, liefert Ihnen der Befehl detail ausführliche Informationen zum ausgewählten physischen oder logischen Datenträger. Zuvor müssen Sie den Datenträger mit select ausgewählt haben. extend [size=<wert>] [disk=] [noerr]
Dieser Befehl dient zum Erweitern von Partitionen auf Basisfestplatten und logischen Datenträgern auf dynamischen Festplatten. Ausgenommen sind davon jegliche System- und Startdatenträger sowie dynamische Datenträger, die auch noch über einen Eintrag in der Partitionstabelle geführt werden. Eine Partition lässt sich darüber hinaus nur dann erweitern, wenn auf derselben physischen Festplatte direkt im Anschluss an diese freier, unpartitionierter Speicherplatz zur Verfügung steht (Option disk hat hier keine Bedeutung). Ist diese Partition formatiert, wird das Erweitern nur für das NTFS-Dateisystem unterstützt. Dann allerdings kön-
468_______________________________________ 9 Administration der Massenspeicher nen Sie eine dynamische Vergrößerung des Datenträgers ohne Datenverlust erreichen. Mit Hilfe des Parameters size geben Sie die Größe in MB an, um die der Datenträger erweitert werden soll. Lassen Sie size aus, wird der maximal verfügbare Platz eingenommen. Für dynamische Datenträger können Sie den Befehl extend deutlich flexibler einsetzen. Geben Sie mit disk die Nummer der Festplatte an, auf der freier Speicherplatz für die Erweiterung hinzugezogen werden soll. Ohne diesen Parameter versucht DISKPART, auf der aktuell ausgewählten Festplatte Speicherplatz zum Erweitern zu nutzen. noerr verhindert den Abbruch des Programms, wenn es zu einem
Fehler in der Abarbeitung kommt und hat seine Bedeutung im SkriptEinsatz. import
import [noerr]
Mit import können Sie Festplatten in Ihre Datenträgerliste importieren, die als »fremd« gekennzeichnet sind und aus anderen Windows NT/2000/XP-Installationen stammen. import wird ohne weitere Parameter aufgerufen, es unterstützt einzig die Option noerr (siehe dazu vorhergehender Befehl extend). list
list disk list partition list volume
Mit Hilfe von list können Sie sich alle physischen und logischen Datenträger in einer Übersicht anzeigen lassen. Datenträger mit einem Fokus (ausgewählt mit select) erkennen Sie an einem Sternchen ∗ vor der entsprechenden Zeile. Abbildung 9.7: Anwendung des listBefehls (∗ vor dem selektierten Datenträger)
online
online [noerr] Mit diesem Befehl können Sie eine Offline-geschaltete Festplatte wieder reaktivieren. Den Status eines physischen Datenträgers erkennen Sie mit
9.1 Die Verwaltungswerkzeuge ____________________________________________ 469 Hilfe der Befehle list disk (siehe Abbildung 9.7) beziehungsweise detail disk. Wenden Sie den Befehl in einem Skript an, können Sie bei Angabe von noerr verhindern, dass DISKPART im Fehlerfall (Festplatte lässt sich nicht reaktivieren) abbricht. remove [letter=|mount=] [all] [noerr]
remove
Sie können mit remove den Laufwerkbuchstaben (letter=...) oder eingerichtete Laufwerkpfade (mount=...) auf einem logischen Datenträger entfernen (siehe auch Anlage derselben mit assign). Geben Sie keine weiteren Optionen an, wird nur der Laufwerkbuchstabe entfernt, wenn einer zugewiesen war. Mit all werden alle Zugriffsmöglichkeiten auf den Datenträger entfernt. noerr verhindert den Abbruch von DISKPART innerhalb eines Skripts, wenn es zu einem Fehler in der Abarbeitung kommt. retain
retain
Mit Hilfe dieses Befehls können Sie für einen einfachen dynamischen Datenträger, den Sie zuvor mit select volume ausgewählt haben, einen Eintrag in der Partitionstabelle erzeugen (siehe auch Abschnitt 3.2.3 MBR und Partitionstabelle im Detail ab Seite 91). Damit lässt sich für den Start beziehungsweise die Installation von Windows XP ein »rein« dynamischer Datenträger entsprechend umkonfigurieren. Wählen Sie vor der Anwendung von retain den betreffenden dynamischen Datenträger mit select volume aus. Beachten Sie, dass ein mit retain umkonfigurierter dynamischer Datenträger – der damit über einen Eintrag in der Partitionstabelle verfügt – nachträglich nicht mehr erweitert werden kann. Der Vorgang kann nicht rückgängig gemacht werden. select disk= select partition=| select volume=|
Mit select wählen Sie den physischen oder logischen Datenträger aus, für den Sie weitere Befehle zur Anwendung bringen wollen (Fokus setzen). Sie können mit Hilfe der list-Befehle überprüfen, auf welchem Datenträger aktuell der Fokus sitzt. Mit geben Sie die entsprechende Nummer des Datenträgers an (lässt sich auch mit list ermitteln). steht für den Laufwerkbuchstaben oder –pfad, den Sie alternativ zur Nummer bei logischen Datenträgern angeben können. Für select wird keine noerr-Option unterstützt. Dies ist insofern unkritisch, da die Angabe eines nicht existenten Datenträgers keinen fehlerhaften Abbruch von DISKPART verursacht. Sie müssen allerdings beachten, dass dann kein Datenträger selektiert wird.
470_______________________________________ 9 Administration der Massenspeicher
9.1.4
Das Kommandozeilen-Tool FSUTIL.EXE
Mit diesem Kommandozeilentool können Sie alle wichtigen Dateisystem-spezifischen Einstellungen an Datenträgern vornehmen. Aufgerufen wird das Programm gemeinsam mit einem Befehl. Syntax
Fsutil
Eine Übersicht über die einzelnen Befehle sowie jeweils die Seite, wo der Befehl näher erläutert wird, finden Sie in der folgenden Tabelle: Tabelle 9.5: Übersicht FSUTIL-Befehl Beschreibung über die FsutilErmöglicht die Modifikation erweiterter Einbehavior Befehle stellungen des NTFS-Dateisystems
Fsutil behavior
Seite 470
dirty
Lässt die Überprüfung und das Setzen des Dirty-Bits für einzelne Datenträger zu
471
file
Ermöglicht verschiedenste systemnahe Operationen auf Dateiebene
471
fsinfo
Gibt umfassende Informationen zu den logischen Datenträgern und den Dateisystemen zurück
472
hardlink
Dient der Erstellung von Hardlinks auf NTFSDatenträgern
473
objectid
Ermöglicht die Verwaltung von Objekt-IDs
473
quota
Dient der Verwaltung von Datenträgerkontingenten
473
reparsepoint
Ermöglicht das Abfragen und Löschen von NTFS-Analysepunkten
474
sparse
Dient der Erstellung und Verwaltung von Dateien mit geringer Dichte
475
usn
Ermöglicht Änderungen rungsjournal
NTFS-Ände-
475
volume
Ermöglicht das Überprüfen von freiem Speicherplatz auf logischen Datenträgern sowie das Deaktivieren derselben
475
am
Fsutil behavior query <parameter> Fsutil behavior set <parameter> {1|0|<wert>}
Die nachfolgende Tabelle enthält die Parameter für Fsutil behavior. Deren derzeitige Werte können Sie mittels query abfragen und mit set neu setzen.
9.1 Die Verwaltungswerkzeuge ____________________________________________ 471 Parameter disable8dot3 allowextchar
Tabelle 9.6: Parameter für Fsutil Diese beiden Parameter beeinflussen die Erzeugung behavior von MS-DOS-kompatiblen Dateinamen im 8.3-Format (siehe auch Abschnitt 4.3.1 Dateinamen ab Seite 138). Werden keine 8.3-Dateinamen mehr benötigt, kann disable8dot3 auf 1 gesetzt werden.
Bedeutung
disablelastaccess
Dieser Parameter steuert den Zeitstempel des letzten Zugriffs für NTFS-Datenträger (siehe auch Abschnitt Protokollierung des letzten Zugriffs deaktivieren ab Seite 186). Um den Zeitstempel zu deaktivieren, muss der Parameter auf 1 gesetzt werden.
quotanotify
Der Parameter steuert, wie oft Überschreitungen von Datenträgerkontingenten im System-Ereignisprotokoll eingetragen werden (<wert> in Sekunden). Der Standardwert beträgt 3 600 Sekunden (1 Stunde). Die Protokollierung kann abgeschaltet werden, indem der Parameter auf 0 gesetzt wird.
mftzone
Für die Sicherstellung einer hohen Performance eines NTFS-Datenträgers ist für eine ausreichend dimensionierte und unfragmentierte MFT (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 143) zu sorgen. Dieser Parameter bestimmt die Größe des reservierten Platzes für die MFT in Achteln der Gesamt-Datenträgergröße (Standard ist 1; maximal kann die Reservierung 4 Achtel betragen).
Fsutil dirty {query|set}
Fsutil dirty
Mit diesem Kommando können Sie das Dirty-Bit für einen Datenträger abfragen beziehungsweise neu setzen. Ist dieses gesetzt, wird beim nächsten Neustart von Windows XP eine automatische Überprüfung des Datenträgers durchgeführt (mit AUTOCHK; siehe auch Abschnitt 9.12.3 Überprüfung eines Datenträgers auf Fehler ab Seite 582). Für geben Sie den Datenträger über seinen Laufwerkbuchstaben, einen Laufwerkpfad oder mit seiner Datenträgerbezeichnung an. Operationen auf Dateiebene ermöglicht dieses Kommando. Dazu gibt Fsutil file es weitere Optionen, die nachfolgend aufgeführt sind: Fsutil file createnew
- createnew
Damit können Sie eine neue Datei erzeugen. Geben Sie für den Namen der Datei an, der auch mit einer genauen Laufwerks- und Pfadangabe verbunden sein kann. steht für die Längenangabe in Bytes. Fsutil file findbysid
472_______________________________________ 9 Administration der Massenspeicher Benutzen Sie dieses Kommando, um Dateien in einem Pfad zu suchen, die zu einem bestimmten Benutzer gehören. Für geben Sie den Benutzer- oder Login-Namen an. - queryallocranges
Dieses Kommando gibt Ihnen die Informationen zu den Bereichen aus, die eine Datei auf einem NTFS-Datenträger belegt. Geben Sie mit offset und length den Bereich der Datei an, zu dem Sie Informationen erhalten wollen. Für geben Sie den Dateinamen an, der auch mit einer Laufwerks- und Pfadangabe verbunden sein kann. - setshortname
Fsutil file setshortname <8.3Name>
Erzeugen Sie damit einen 8.3-Dateinamen auf einem NTFS-Datenträger für eine bestimmte Datei . - setvaliddata
Fsutil file setvaliddata
Eine NTFS-Datei wird in ihrer Größe durch zwei Parameter begrenzt: Die EOF (End of File)-Kennung und das Feld VDL (Valid Data Length) in der MFT (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 143). Für den praktischen Einsatz von Windows XP ist es sicherlich kaum erforderlich, hier einzugreifen. Sie könnten aber das Feld VDL mit einem neuen Wert belegen. Beachten Sie aber, dass dann der Lesezugriff auf den Dateiinhalt zwischen dem VDL-Wert (wenn dieser kleiner als die tatsächliche Dateigröße ist) und dem EOF-Zeichen nur Leerdaten zurückliefert. - setzerodata
Dies ist ein wirkungsvoller Befehl, um den Inhalt einer Datei »richtig« zu löschen. Dabei wird ab dem Offset-Wert der Inhalt mit der angegebenen Menge (Parameter length; alle Angaben in Bytes) mit Leerdaten überschrieben. Fsutil fsinfo