Windows 2000 im professionellen Einsatz

24 Inhaltsverzeichnis Hinweise zu dieser Datei Diese PDF wurde für die Ausgabe auf dem Bildschirm optimiert und kann ...

Author: Uwe Bünning | Jörg Krause

13 downloads 1432 Views 17MB Size Report

This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!

Report copyright / DMCA form

DOWNLOAD PDF

24

Inhaltsverzeichnis

Hinweise zu dieser Datei Diese PDF wurde für die Ausgabe auf dem Bildschirm optimiert und kann mit dem Adobe Acrobat Reader ab Version 4, einem kostenlosen Zusatzprogramm, angezeigt werden. Die meisten Bilddaten liegen aus produktionstechnischen Gründen in Graustufen vor.

Die jeweils aktuelle Fassung des Acrobat Readers können Sie von folgender Adresse laden: www.adobe.de/products/acrobat/readstep.html

Die Einträge im Inhaltsverzeichnis können als aktive Links in das Dokument benutzt werden. Innerhalb des Dokuments können Sie die Verweise auf andere Seiten aus produktionstechnischen Gründen nicht direkt ausführen. Eine Volltextsuche ist aber im gesamten Text möglich.

Diese Datei ist Teil des Buches Windows 2000 im professionellen Einsatz und damit ebenfalls urheberrechtlich geschützt. Eine Vervielfältigung und Weitergabe dieses elektronischen Dokuments verstößt gegen die Urheberrechtsbestimmungen und wird strafrechtlich verfolgt. Beachten Sie dazu auch die Hinweise im Impressum.

Uwe Bünning Jörg Krause

Windows 2000 im professionellen Einsatz Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk

Die Autoren: Uwe Bünning, Berlin Jörg Krause, Berlin

Internet: http://www.hanser.de

Alle in diesem Buch enthaltenen Informationen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor und Verlag übernehmen infolgedessen keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht, auch nicht für die Verletzung von Patentrechten, die daraus resultieren können. Ebenso wenig übernehmen Autor und Verlag die Gewähr dafür, dass die beschriebenen Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt also auch ohne besondere Kennzeichnung nicht zu der Annahme, daß solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.

Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich.

Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. © 2000 Carl Hanser Verlag München Wien Gesamtlektorat: Franz Domaschke Copy-editing: Michael Taggatz, Berlin Herstellung: Monika Kraus Umschlaggestaltung: Zentralbüro für Gestaltung, Augsburg Satz: Uwe Bünning und Jörg Krause, Berlin Belichtung, Druck und Bindung: Kösel, Kempten Printed in Germany ISBN 3-446-21497-6

Präambel

5

Präambel Der Mathematiker, Programmierer und SF-Autor Rudy Rucker sagt: »Im Vergleich mit der Wirklichkeit, werden Computer stets schlechter sein. Aber es gibt die Computer, damit wir sie benutzen, und wenn wir sie vernünftig einsetzen, dann können sie uns lehren, die Wirklichkeit besser zu genießen als jemals zuvor.« Das ist beim Umgang mit modernen Computern nicht immer einfach nachzuvollziehen. Auf der einen Seite genießen wir die technischen Möglichkeiten, die Fortschritte der Technik und die ohne jeden Zweifel vorhandene Steigerung der eigenen Produktivität. Zum anderen fluchen wir so oft über die Unzulänglichkeiten der Technik, das Versagen der Systeme und nicht zuletzt auch über das eigene Unvermögen, das Letzte aus einem Computer herauszuholen. Rudy Rucker soll uns noch ein Mal als Wegbereiter einer Idee dienen. In seiner SFErzählung »The Hacker and The Ants« sagt er: »Hacken gleicht dem Bau einer großen Kathedrale mit Zahnstochern, abgesehen davon, dass dann, wenn ein Zahnstocher nicht an seinem Platz ist, der ganze Bau verschwindet. Und dann muss man die unsichtbare Kathedrale suchen und sich überlegen, welcher Zahnstocher falsch platziert ist. Debugger machen das ein wenig einfacher, da ein wirklich ausgefeiltes Programm auf dem letzten Stand auch diese Fehler finden kann, weswegen dies der Situation gleicht, dass man nach einem fehlenden Zahnstocher mit einer von einem Schlaganfall gelähmten Hand sucht. Aber da ist doch die Schönheit eines dunklen Traums vom Messer eines Hackers, das gegen eine verborgene Wand stößt, die man nur selbst sehen kann, über die man sich nur als Programmierer mit den ganz neuen Werkzeugen beklagt, die man während der Arbeit entwickelt hat, den speziellen neuen Zahnstocher- und Puzzleteilen und dem Rasierapparat für Fehler – man selbst ganz alleine mit den eigenen wunderbaren Werkzeugen. Hacker sind oft Menschen, die keine gute Beziehungen mit anderen Menschen haben. Sie genießen es, so viel Zeit mit der Interaktion mit einem Computer ohne Gefühlen verbringen zu können. Die Reaktionen des Computers sind klar und objektiv. Anders wie beispielsweise ein Vater oder eine Mutter oder auch ein offizieller Boss teilt der Computer keine Fehlermeldung einfach nur deswegen mit, weil er die eigene Haltung oder Erscheinungsweise nicht mag. Ein Computer hört niemals auf den Bombast der großen Männer in der Universität oder auf das abschätzige Gerede der Cheerleader, er vernimmt nur die logischen Arabesken der ehrlichen Hacker.« In einem Artikel über die Lust am Hacken brachte er sein eigenes Zitat in Bezug auf den modernen Umgang mit Computern auf den Punkt: »Jeder, der einen Computer besitzt, ist notwendigerweise ein bisschen ein Hacker. Selbst wenn man lediglich ein Textverarbeitungsprogramm und ein wenig E-Mail verwendet, erhält man schnell den Eindruck, dass der Raum innerhalb des eigenen Computers ein Ort ist, an dem man gut arbeiten kann. Man ist stolz auf die erlernten Tricks, mit denen man seine Maschine richtig funktionieren lässt. Dank des eigenen Wissens

6

Präambel sind die Dokumente gesichert, kommen die Mitteilungen und gelangen zu ihrem Bestimmungsort. Im Unterschied zur wirklichen Welt ist die Welt des Computers sicher und kontrollierbar. In ihm geschieht alles auf logische Weise. Zumindest geht man davon aus. Der Computer gilt als Schutzburg vor dem unvorhersehbaren Chaos der zwischenmenschlichen Beziehungen und der tyrannischen Irrationalität der Gesellschaft. Wenn etwas mit dem eigenen Computer nicht so richtig funktioniert, wenn man beispielsweise mühsam die Lernkurve für ein neues Programm hinaufklettert oder, noch schlimmer, eine neue Hardware oder ein neues Betriebssystem installiert, können Angst und Ärger über Gebühr wachsen. ›Das sollte der Teil der Welt sein, den ich kontrollieren kann!‹ Aber anders als in der wirklichen Welt erweisen sich alle Probleme als lösbar, manchmal einfach dadurch, dass man andere fragt, oder manchmal, indem man sich ein neues Zubehör kauft oder ein Techniker mit seiner heilenden Hand eingreift. Die Welt der Computer ist ein Platz, an dem alles ein gutes Ende nimmt.«

Wenn Sie Windows 2000 installieren, administrieren und anwenden, sollten Sie sich ein klein wenig wie ein Hacker fühlen. Dieses Buch soll Ihnen helfen, nicht nur an der Oberfläche zu kratzen und sich dem Ärger über Fehlfunktionen hinzugeben. Es soll Sie dazu führen, die Maschine zu verstehen, sie zu verwenden und sie nicht zuletzt bis an die Grenze ihrer Leistungsfähigkeit auszunutzen.

Berlin, im September 2000

Uwe Bünning

Jörg Krause

Inhaltsverzeichnis

7

Inhaltsverzeichnis Präambel..................................................................................................................5 Inhaltsverzeichnis .................................................................................................7

Teil I - Einführung ........................................................................................25 1

Einführung .....................................................................................................29

1.1

Über das Buch .......................................................................................................... 29

1.1.1

Die Buchreihe........................................................................................................ 29

1.1.2

Die Herausforderung ............................................................................................. 30

1.1.3

Die Konzeption...................................................................................................... 30

1.1.4

Zielgruppe ............................................................................................................. 31

1.1.5

Struktur und Aufbau .............................................................................................. 32

1.1.6

Verwendete Symbole............................................................................................. 34

1.1.7

Schreibweise.......................................................................................................... 34

1.1.8

Entstehung ............................................................................................................. 34

1.2 2

Danksagung .............................................................................................................. 35

Die Neuerungen im Überblick...................................................................39

2.1

Active Directory – der neue Verzeichnisdienst ........................................................ 39

2.2

Neue Sicherheitsmechanismen ................................................................................. 41

2.2.1

Sichere Authentifizierung – Kerberos ................................................................... 42

2.2.2

Sicherer Datentransfer – IPSec.............................................................................. 42

2.2.3

Virtuelle Private Netzwerke und L2TP ................................................................. 43

2.2.4

Unterstützung von SmartCards.............................................................................. 43

2.2.5

Das Encrypting File System (EFS)........................................................................ 44

2.3

Neues Datenträgermanagement ................................................................................ 44

2.3.1

Dynamische Datenträger ....................................................................................... 45

2.3.2

Bereitstellungspunkte für Datenträger ................................................................... 46

2.3.3

Datenträgerkontingente (Disk Quotas) .................................................................. 46

2.3.4

Jetzt auch unterstützt: FAT32................................................................................ 47

2.4 2.4.1

Unterstützung neuer Hardware-Technologien.......................................................... 47 Wichtige unterstützte Technologien für Windows 2000 Professional................... 48

8

Inhaltsverzeichnis

2.4.2 2.5

Wichtige unterstützte Technologien für den Notebook-Einsatz ............................ 51 Die Neuerungen der Benutzeroberfläche .................................................................. 52

2.5.1

Der Desktop von Windows 2000 Professional ...................................................... 52

2.5.2

Intelligente Menüs und das Startmenü................................................................... 55

2.5.3

Neue Dateidialogfenster......................................................................................... 56

2.5.4

Weborientierte Ordneransichten ............................................................................ 57

2.5.5

Webinhalte auf dem Desktop................................................................................. 58

2.5.6

Erweiterte Suchfunktionen..................................................................................... 59

2.6

Vereinfachungen für die Administration .................................................................. 62

2.6.1

Die Managementkonsole ....................................................................................... 62

2.6.2

Assistenten ............................................................................................................. 63

2.6.3

Softwareinstallation ............................................................................................... 63

2.7

Die Windows 2000 – Produktpalette ........................................................................ 63

2.7.1

Windows 2000 Professional .................................................................................. 63

2.7.2

Windows 2000 Server............................................................................................ 64

2.7.3

Windows 2000 Advanced Server........................................................................... 64

2.7.4

Windows 2000 Datacenter Server.......................................................................... 64

2.7.5

Die vier Windows 2000-Versionen im Überblick ................................................. 64

2.8

Zur Geschichte von Windows 2000.......................................................................... 65

Teil II – Grundlagen .....................................................................................71 3

Die Windows-Systemarchitektur .............................................................. 75

3.1

Modularer Aufbau..................................................................................................... 75

3.2

Innere Struktur – Windows Executive ...................................................................... 77

3.3

Netzwerkarchitektur.................................................................................................. 81

4

Massenspeicherverwaltung ........................................................................ 87

4.1

Neue Anforderungen................................................................................................. 87

4.2

Das neue Volume Management ................................................................................ 88

4.2.1

Grundlagen ............................................................................................................ 88

4.2.2

Begriffe .................................................................................................................. 89

4.3 4.3.1

Basisfestplatten ......................................................................................................... 91 Partitionen und Partitionstypen.............................................................................. 91

Inhaltsverzeichnis

9

4.3.2

Partitionsgruppen und Fehlertoleranz unter Windows NT .................................... 93

4.3.3

Aufbau einer Basisfestplatte im Detail .................................................................. 95

4.3.4

MBR und Partitionstabelle im Detail .................................................................... 97

4.3.5

Logische Laufwerke und Erweiterte Partitionstabelle......................................... 100

4.3.6

Manipulieren von MBR und Partitionstabelle mit DiskProbe............................. 101

4.3.7

Die Datei BOOT.INI .............................................................................................. 103

4.4

Dynamische Festplatten.......................................................................................... 108

4.4.1

Aufbau und Funktionen dynamischer Festplatten ............................................... 108

4.4.2

Notebooks, Wechseldatenträger und externe Speichermedien ............................ 111

4.4.3

Fehlertolerante Datenspeicherung ....................................................................... 112

4.4.4

Einfache Datenträger und ihre Erweiterung ........................................................ 113

4.4.5

Übergreifende Datenträger .................................................................................. 114

4.4.6

Stripesetdatenträger ............................................................................................. 116

4.5

Konvertieren von Basisfestplatten.......................................................................... 119

4.5.1

Wie die Konvertierung funktioniert..................................................................... 119

4.5.2

Zurückkonvertieren in eine Basisfestplatte ......................................................... 121

4.5.3

Änderungen an konvertierten dynamischen Datenträgern................................... 121

4.5.4

System- und Bootdatenträger konvertieren ......................................................... 122

4.6

Der Indexdienst ...................................................................................................... 123

4.6.1

Überblick zur Indizierung.................................................................................... 124

4.6.2

Der Indizierungsvorgang ..................................................................................... 125

5

Dateisysteme................................................................................................131

5.1

Unterstützte Dateisysteme ...................................................................................... 131

5.2

Vergleich von FAT, FAT32 und NTFS.................................................................. 132

5.2.1

Kompatibilität mit MS-Betriebssystemen ........................................................... 132

5.2.2

Speicherkapazität von Datenträgern .................................................................... 133

5.2.3

Performance......................................................................................................... 137

5.2.4

Dateisystemsicherheit.......................................................................................... 138

5.2.5

Zugriffsrechte für Dateien und Ordner ................................................................ 140

5.3 5.3.1

Fragmentierung....................................................................................................... 140 Was ist Fragmentierung? ..................................................................................... 141

10

Inhaltsverzeichnis

5.3.2

Clustergröße und Fragmentierung ....................................................................... 142

5.3.3

Besonderheiten bei NTFS .................................................................................... 142

5.3.4

Defragmentierungsverfahren und -strategien....................................................... 144

5.3.5

Tipps zur Sicherung der Performance.................................................................. 146

5.3.6

Defragmentierungsprogramme ............................................................................ 148

5.4

NTFS im Detail....................................................................................................... 152

5.4.1

Dateinamen .......................................................................................................... 152

5.4.2

Der interne Aufbau von NTFS............................................................................. 154

5.4.3

Analysepunkte und Bereitstellungen ................................................................... 162

5.4.4

NTFS-Zugriffsrechte für Dateien und Ordner ..................................................... 164

5.4.5

Das verschlüsselnde Dateisystem (EFS).............................................................. 166

5.4.6

Komprimierung.................................................................................................... 168

5.4.7

Datenträgerkontingente........................................................................................ 171

5.4.8

Weitere besondere Merkmale von NTFS............................................................. 172

5.4.9

Zur Kompatibilität von Windows NT 4 mit NTFSv5 .......................................... 174

5.4.10

POSIX-Kompatibilität ......................................................................................... 176

5.5

FAT und FAT32 im Detail ..................................................................................... 176

5.5.1

Die verschiedenen FAT-Dateisysteme................................................................. 177

5.5.2

Layout von FAT16 und FAT32-Datenträgern ..................................................... 178

5.5.3

FAT-Bootsektoren ............................................................................................... 179

5.5.4

Die Dateizuordnungstabelle (FAT)...................................................................... 181

5.5.5

FAT-Dateiattribute............................................................................................... 183

5.5.6

Lange Dateinamen bei FAT-Datenträgern........................................................... 184

6

Netzwerkgrundlagen ................................................................................. 189

6.1

Das ISO/OSI-Referenzmodell................................................................................. 189

6.1.1

Die 7 Schichten des Referenzmodells.................................................................. 189

6.1.2

Die Bedeutung des Schichtenmodells.................................................................. 190

6.2

Die unterstützten Protokolle im Überblick ............................................................. 191

6.3

TCP/IP .................................................................................................................... 191

6.3.1

Die geschichtliche Entwicklung .......................................................................... 192

6.3.2

Bestandteile und verwandte Protokolle................................................................ 192

Inhaltsverzeichnis

11

6.3.3

Die IP-Adresse .................................................................................................... 194

6.3.4

Domain Name System und DNS ......................................................................... 195

6.3.5

Subnetze .............................................................................................................. 196

6.3.6

Netzklassen.......................................................................................................... 196

6.3.7

Adressübersetzung............................................................................................... 198

6.3.8

TCP (Transmission Control Protocol) ................................................................. 200

6.4

Andere Protokolle................................................................................................... 204

6.4.1

NetBIOS .............................................................................................................. 204

6.4.2

NetBEUI.............................................................................................................. 204

6.4.3

IPX/SPX .............................................................................................................. 205

6.4.4

AppleTalk............................................................................................................ 205

6.5

Netzwerkkonzepte .................................................................................................. 206

6.5.1

Netzwerkverbindungen........................................................................................ 206

6.5.2

Strukturierung eines Netzwerks........................................................................... 208

6.6

Einführung in Active Directory .............................................................................. 212

6.6.1

Anwendungsgebiete ............................................................................................ 213

6.6.2

Geschichte der Verzeichnisdienste ...................................................................... 213

6.6.3

Microsoft Active Directory Service .................................................................... 218

6.6.4

Architektur........................................................................................................... 220

6.6.5

Die physikalische Abbildung............................................................................... 223

6.6.6

Konzeptionelle Aspekte....................................................................................... 224

6.6.7

Vergleich mit anderen Verzeichnisdiensten ........................................................ 225

7

Drucken.........................................................................................................231

7.1

Überblick ................................................................................................................ 231

7.2

Der Druckvorgang .................................................................................................. 232

7.2.1

Ablaufschema des lokalen Druckens................................................................... 232

7.2.2

Die Spool-Datenformate...................................................................................... 235

7.2.3

Druckertreiber ..................................................................................................... 236

7.3

Logische und physische Drucker............................................................................ 239

7.4

Lokale Anschlussmöglichkeiten............................................................................. 242

7.4.1

Parallele Schnittstelle .......................................................................................... 242

12

Inhaltsverzeichnis

7.4.2

Universal Serial Bus ............................................................................................ 244

7.4.3

IrDA..................................................................................................................... 244

7.4.4

IEEE 1394............................................................................................................ 245

7.4.5

Seriell................................................................................................................... 245

7.5

Drucken im Netzwerk ............................................................................................. 245

7.5.1

Freigabe und Nutzung im Windows-Netzwerk.................................................... 246

7.5.2

Das Internet Printing Protocol ............................................................................. 247

7.5.3

TCP/IP-Druckunterstützung ................................................................................ 249

7.5.4

AppleTalk-Drucker .............................................................................................. 250

7.6

Farbmanagement..................................................................................................... 251

7.6.1

Einführung ........................................................................................................... 251

7.6.2

Farbe und Farbdruck ............................................................................................ 252

7.6.3

Historische Entwicklung...................................................................................... 254

7.6.4

Prinzip des ICC-Farbmanagements ..................................................................... 256

8

Grundlagen der Systemsicherheit ........................................................... 265

8.1

Einführung .............................................................................................................. 265

8.1.1

Zugriffssicherheit................................................................................................. 265

8.1.2

Der C2-Sicherheitsniveau .................................................................................... 265

8.2

Sicherheitsanforderungen in der Praxis .................................................................. 266

8.3

Absicherung lokaler Daten mittels EFS.................................................................. 267

8.3.1

Das verschlüsselnde Dateisystem ........................................................................ 267

8.3.2

Schlüsselstärke..................................................................................................... 269

8.4

Sicherheit im Netzwerk........................................................................................... 270

8.4.1

Sichere Authentifizierung .................................................................................... 270

8.4.2

Der interaktive Anmeldevorgang......................................................................... 271

8.4.3

Anmeldung mit Zertifikaten und Smartcards....................................................... 271

8.4.4

Vorgang der Netzwerkauthentifizierung.............................................................. 272

8.4.5

Sicherheitsprotokolle für das Netzwerk ............................................................... 273

8.5

Absicherung von Internet- und WAN-Verbindungen ............................................. 276

8.5.1

Kennwortauthentifizierung .................................................................................. 276

8.5.2

Verschlüsselung ................................................................................................... 277

Inhaltsverzeichnis

8.5.3

13

Rückruf................................................................................................................ 278

Teil III – Installation und Administration .............................................279 9

Installation ...................................................................................................283

9.1

Überlegungen zur Hardware................................................................................... 283

9.1.1

Übersicht über die Mindestvoraussetzungen ....................................................... 283

9.1.2

Die Hardware-Kompatibilitäts Liste.................................................................... 284

9.1.3

Prozessor ............................................................................................................. 285

9.1.4

Hauptspeicher ...................................................................................................... 285

9.1.5

Festplattenspeicher .............................................................................................. 285

9.1.6

Netzwerkhardware............................................................................................... 288

9.1.7

Grafikkarte........................................................................................................... 288

9.1.8

Powermanagement und ACPI ............................................................................. 289

9.2

Gedanken zum Installationsverfahren .................................................................... 289

9.2.1

Neuinstallation oder Upgrade ? ........................................................................... 289

9.2.2

Mögliche Installationsverfahren .......................................................................... 293

9.3

Hinweise zur Notebook-Installation ....................................................................... 294

9.3.1

Kompatibilitätscheck........................................................................................... 294

9.3.2

Upgrade von Windows 9x ................................................................................... 295

9.3.3

Software-Upgrade für Spezialhardware .............................................................. 297

9.4

Inhalt der Installations-CD ..................................................................................... 301

9.5

Installation mit bootfähigem CD-Laufwerk ........................................................... 304

9.6

Installation mit Hilfe der Bootdisketten ................................................................. 305

9.7

Installation mit WINNT.EXE/WINNT32.EXE...................................................... 307

9.7.1

Kommandozeilen-Optionen von WINNT.EXE................................................... 307

9.7.2

Kommandozeilen-Optionen von WINNT32.EXE............................................... 309

9.7.3

Installation von einem lokalen Verzeichnis......................................................... 312

9.7.4

Aufruf über das Netzwerk ................................................................................... 314

9.8

Die weiteren Installationsschritte ........................................................................... 315

9.9

Automatisierte Installation ..................................................................................... 316

9.9.1

Übersicht über die Möglichkeiten ....................................................................... 317

9.9.2

Antwortdateien verwenden.................................................................................. 318

14

Inhaltsverzeichnis

9.9.3

Automatisierte Installation mit Disc Images........................................................ 339

9.10

Die Remoteinstallationsdienste............................................................................... 343

9.10.1

Das Grundprinzip................................................................................................. 344

9.10.2

Technische Voraussetzungen............................................................................... 344

9.10.3

Einrichtung des RIS-Servers................................................................................ 346

9.10.4

Erstellen einer RIS-Bootdiskette.......................................................................... 351

9.10.5

Starten der RIS-Installation über das Netzwerk................................................... 352

9.10.6

Der RIS-Installationsprozess ............................................................................... 352

10 Die Managementkonsole (MMC)............................................................ 357 10.1

Das Prinzip der Managementkonsole ..................................................................... 357

10.1.1

Das Programm mmc.exe...................................................................................... 358

10.1.2

Taskpadansichten................................................................................................. 359

10.2

Wichtige Funktionen .............................................................................................. 361

10.2.1

Modi der Benutzung einer Managementkonsole ................................................. 361

10.2.2

Hilfefunktion........................................................................................................ 361

10.2.3

Browser-Unterstützung ........................................................................................ 361

10.2.4

Weiterführende Informationen zur Managementkonsole..................................... 362

10.3

Vorkonfigurierte Managementkonsolen der »Verwaltung« ................................... 362

10.3.1

Benutzerspezifische Managementkonsolen ......................................................... 364

10.3.2

Abspeichern der Managementkonsolen – Speicherorte ....................................... 382

10.4

Wichtige Snap-Ins .................................................................................................. 383

10.4.1

Snap-Ins für die remote Verwaltung .................................................................... 383

10.4.2

Computerverwaltung ........................................................................................... 383

10.4.3

Datenträgerverwaltung......................................................................................... 384

10.4.4

Ereignisanzeige.................................................................................................... 385

11 Administration der Massenspeicher ....................................................... 389 11.1

Die Verwaltungswerkzeuge im Überblick.............................................................. 389

11.1.1

Grafische Verwaltungswerkzeuge ....................................................................... 389

11.1.2

Kommandozeilen-Tools....................................................................................... 390

11.2 11.2.1

Die Datenträgerverwaltung im Detail..................................................................... 391 Funktionsumfang der Datenträgerverwaltung...................................................... 391

Inhaltsverzeichnis

15

11.2.2

Aufbau der Benutzeroberfläche........................................................................... 392

11.2.3

Datenträger aktualisieren und neu einlesen ......................................................... 395

11.3

Basisfestplatten einrichten...................................................................................... 396

11.3.1

Partitionierungswerkzeuge .................................................................................. 396

11.3.2

Anlegen von primären und erweiterten Partitionen ............................................. 398

11.3.3

Logische Laufwerke erstellen.............................................................................. 402

11.4

Dynamische Festplatten einrichten......................................................................... 404

11.4.1

Einfache Datenträger und ihre Erweiterung ........................................................ 405

11.4.2

Übergreifende Datenträger .................................................................................. 413

11.4.3

Stripesetdatenträger ............................................................................................. 420

11.5

Datenträger formatieren ......................................................................................... 424

11.5.1

Wahl des Format-Werkzeuges............................................................................. 425

11.5.2

Formatieren mit einem grafischen Dienstprogramm ........................................... 425

11.5.3

Das Kommandozeilen-Programm format............................................................ 431

11.6

Umwandeln von FAT/FAT32 in NTFS ................................................................. 432

11.6.1

Generelle Hinweis zur Konvertierung ................................................................. 433

11.6.2

Das Tool CONVERT.EXE ...................................................................................... 433

11.7

Datenträgerzugriff ändern ...................................................................................... 435

11.7.1

Laufwerkbuchstabe zuweisen und ändern ........................................................... 435

11.7.2

Laufwerkpfade einrichten und ändern ................................................................. 437

11.7.3

Das Kommandozeilen-Tool Mountvol.exe ......................................................... 440

11.8

Erweiterte NTFS-Attribute..................................................................................... 442

11.8.1

Aktivieren der Komprimierung ........................................................................... 442

11.8.2

Setzen des Index-Attributs .................................................................................. 448

11.8.3

Aktivieren der Verschlüsselung........................................................................... 449

11.9

NTFS-Zugriffsrechte einstellen.............................................................................. 453

11.9.1

Setzen von Benutzerrechten ................................................................................ 453

11.9.2

Erweiterte Einstellungen und Überwachung ....................................................... 455

11.9.3

Das Kommandozeilen-Tool CACLS.EXE .............................................................. 461

11.10 Dateiattribute bei FAT und FAT32 ........................................................................ 463 11.11 Weitere Eigenschaften von Datenträgern ............................................................... 467

16

Inhaltsverzeichnis

11.11.1 Umbennen eines Datenträgers ............................................................................. 468 11.11.2 Bereinigen des Datenträgers ................................................................................ 469 11.11.3 Überprüfung eines Datenträgers auf Fehler ......................................................... 470 11.11.4 Datenträgerkontingente festlegen ........................................................................ 473 11.12 Indexdienst einrichten............................................................................................. 479 11.12.1 Indexdienst aktivieren.......................................................................................... 479 11.12.2 Indexdienst anpassen ........................................................................................... 480 11.12.3 Kataloge einrichten und konfigurieren ................................................................ 484 11.12.4 Dateien, die nicht indiziert werden ...................................................................... 488 11.12.5 Meldungen des Indexdienstes .............................................................................. 489 12 Administration von Netzwerken ............................................................. 495 12.1

Installation von Netzwerkressourcen...................................................................... 495

12.1.1

LAN-Verbindungen ............................................................................................. 496

12.1.2

Dienste ................................................................................................................. 498

12.1.3

Protokolle............................................................................................................. 499

12.1.4

Clients .................................................................................................................. 500

12.1.5

Netzwerkhardware ............................................................................................... 501

12.1.6

Bindungen............................................................................................................ 504

12.1.7

Allgemeine Netzwerkkomponenten..................................................................... 505

12.2

Konfiguration von TCP/IP-Netzwerken ................................................................. 506

12.2.1

DHCP................................................................................................................... 508

12.2.2

APIPA.................................................................................................................. 510

12.3

Namensauflösung ................................................................................................... 513

12.3.1

WINS ................................................................................................................... 513

12.3.2

DNS ..................................................................................................................... 514

12.3.3

HOSTS und LMHOSTS ...................................................................................... 518

12.4

Kommandozeilen-Tools für TCP/IP....................................................................... 518

12.4.1

Nutzung der Befehle ............................................................................................ 518

12.4.2

Die Befehle im Detail .......................................................................................... 519

12.5 12.5.1

WAN-Verbindungen .............................................................................................. 531 Konfiguration für DFÜ-Verbindungen ................................................................ 531

Inhaltsverzeichnis

17

12.5.2

DFÜ-Verbindungen selbst konfigurieren ............................................................ 535

12.5.3

Gemeinsame Internetverbindungen ..................................................................... 542

12.5.4

Remote Verbindungen......................................................................................... 547

12.6

Administration von Peer-To-Peer-Netzwerken ...................................................... 548

12.6.1

Peer-To-Peer-Netzwerk einrichten ...................................................................... 548

12.6.2

Anbindung von Windows 9x-Clients .................................................................. 551

12.6.3

Freigaben im Detail ............................................................................................. 553

13 Drucker einrichten und verwalten ..........................................................559 13.1

Installation lokaler Drucker.................................................................................... 559

13.1.1

Verwaltungsort lokaler Drucker .......................................................................... 559

13.1.2

Druckererkennung durch Plug&Play................................................................... 560

13.1.3

Manuelle Installation eines lokalen Druckers...................................................... 565

13.2

Windows 2000 als Druckserver ............................................................................. 570

13.2.1

Konfiguration des Druckservers.......................................................................... 570

13.2.2

Drucker freigeben und Client-Treiber einrichten ................................................ 575

13.2.3

Einrichten als IPP-Druckserver ........................................................................... 578

13.2.4

Überwachung von Druckleistungen .................................................................... 579

13.3

Netzwerkdrucker einbinden ................................................................................... 580

13.3.1

Drucker im Windows-Netzwerk einbinden ......................................................... 580

13.3.2

Netzwerkdrucker über IPP einbinden.................................................................. 581

13.3.3

Einbinden von TCP/IP-Druckern ........................................................................ 584

13.3.4

UNIX-Druckdienste über LPR ............................................................................ 587

13.3.5

AppleTalk-Druckunterstützung ........................................................................... 590

13.4

Weitere Druckfunktionen ....................................................................................... 594

13.4.1

Drucken aus MS-DOS-Anwendungen ................................................................ 594

13.4.2

Drucken per Drag&Drop ..................................................................................... 595

13.4.3

Trennseiten definieren ......................................................................................... 599

13.5

Farbmanagement einsetzen .................................................................................... 602

13.5.1

Profile speichern und zuweisen ........................................................................... 602

13.5.2

Monitorprofil setzen ............................................................................................ 603

13.5.3

Druckerprofil setzen ............................................................................................ 604

18

Inhaltsverzeichnis

13.5.4

Profile für Scanner und Digitalkameras............................................................... 605

14 Benutzerverwaltung ................................................................................... 609 14.1 14.1.1 14.2

Einführung .............................................................................................................. 609 Sicherheit für Benutzer und Gruppen .................................................................. 609 Benutzerprofile ....................................................................................................... 611

14.2.1

Einsatz.................................................................................................................. 611

14.2.2

Arten von Benutzerprofilen ................................................................................. 611

14.2.3

Erstellen von Benutzerprofilen ............................................................................ 612

14.3

Gruppenrichtlinien.................................................................................................. 613

14.3.1

Richtlinien für lokale Gruppen ............................................................................ 613

14.3.2

Gruppenrichtlinien im Detail ............................................................................... 616

14.4

Benutzer- und Gruppenverwaltung......................................................................... 624

14.4.1

Sicherheitsrichtlinien ........................................................................................... 624

14.4.2

Umgang mit Sicherheitsvorlagen......................................................................... 629

14.4.3

Benutzerkonten einrichten ................................................................................... 633

14.4.4

Gruppen ............................................................................................................... 637

14.4.5

Lokale Benutzer und Gruppen: Weitere Optionen............................................... 637

15 Internet Informationsdienste.................................................................... 647 15.1

Einführung .............................................................................................................. 647

15.2

Der Internet Information Server ............................................................................. 649

15.2.1

Komponenten des IIS 5........................................................................................ 649

15.2.2

Der Internet Information Server 5 im Überblick.................................................. 649

15.2.3

Anwendungsprogramme unter IIS ....................................................................... 653

15.2.4

Webseiten veröffentlichen ................................................................................... 655

15.2.5

FTP-Dienste anbieten .......................................................................................... 659

15.2.6

Verzeichnis- und Dateisicherheit ......................................................................... 661

15.2.7

Active Server Pages ............................................................................................. 667

15.2.8

Verschlüsselung von Websites ............................................................................ 670

15.3

Der SMTP-Server ................................................................................................... 682

15.3.1

Administration ..................................................................................................... 684

15.3.2

Mit Outlook verwenden ....................................................................................... 690

Inhaltsverzeichnis

15.4

19

Der Personal Web Manager ................................................................................... 691

15.4.1

PWM und Windows 2000 ................................................................................... 691

15.4.2

Mit dem Personal Web Manager arbeiten ........................................................... 692

16 Systemsicherheit .........................................................................................699 16.1

Grundlegende Sicherheitsmaßnahmen ................................................................... 699

16.1.1

Typische Sicherheitsanforderungen .................................................................... 699

16.1.2

Standardeinstellungen.......................................................................................... 704

16.1.3

Kurzzeitige Ändern der Ausführungsrechte ........................................................ 714

16.2

Ereignisanzeige ...................................................................................................... 715

16.2.1

Protokollarten ...................................................................................................... 716

16.2.2

Aktivieren und Konfigurieren des Sicherheitsprotokolls .................................... 717

16.2.3

Meldungsarten ..................................................................................................... 719

16.2.4

Die Ereignisanzeige im Detail............................................................................. 720

16.2.5

Einstellungen der Ereignisanzeige....................................................................... 724

16.2.6

Protokolle speichern und weiterverarbeiten ........................................................ 726

16.3

Wiederherstellung verschlüsselter Dateien ............................................................ 728

16.3.1

Der Wiederherstellungsagent .............................................................................. 728

16.3.2

Die Wiederherstellungsrichtlinie ......................................................................... 729

16.3.3

Hinweise zur maximalen Absicherung mit EFS.................................................. 730

17 Reparatur und Wiederherstellung...........................................................737 17.1

Schutz und Überprüfung von Systemdateien ............................................................ 737

17.1.1

Windows-Dateischutz.......................................................................................... 737

17.1.2

Überprüfung von Kernelmodus-Treibern ............................................................ 740

17.1.3

Digitale Signaturen.............................................................................................. 744

17.2

Informations- und Diagnoseprogramme................................................................. 747

17.2.1

Systeminformationen mit MSINFO32................................................................... 747

17.2.2

Dr. Watson........................................................................................................... 752

17.2.3

DirectX-Diagnoseprogramm DXDIAG.EXE .......................................................... 755

17.2.4

Windows-Berichtsprogramm............................................................................... 757

17.3 17.3.1

Die Registrierungsdatenbank ................................................................................. 759 Grundlegende Struktur ........................................................................................ 760

20

Inhaltsverzeichnis

17.3.2

Bearbeiten der Registrierung ............................................................................... 761

17.3.3

Sichern der Registrierung .................................................................................... 766

17.4

Systemwiederherstellung nach Totalausfall ........................................................... 768

17.4.1

Überblick über die Mittel und Wege.................................................................... 768

17.4.2

Startmenü und abgesicherte Modi........................................................................ 769

17.4.3

Wiederherstellungskonsole .................................................................................. 771

17.4.4

Notfallreparaturkonsole ....................................................................................... 783

17.4.5

Wiederherstellen der Registrierung ..................................................................... 786

Teil IV – Praktische Anwendung .............................................................789 18 Struktur der Oberfläche............................................................................. 793 18.1

Arbeitsplatz und Standardordner ............................................................................ 793

18.1.1

Der Arbeitsplatz................................................................................................... 793

18.1.2

Der Windows Explorer ........................................................................................ 795

18.1.3

Die Standardordner .............................................................................................. 796

18.2

Umgang mit Dateien............................................................................................... 801

18.2.1

Dateiverknüpfungen............................................................................................. 801

18.2.2

Der neue Dateidialog ........................................................................................... 802

18.2.3

Umgang mit Druckaufträgen ............................................................................... 804

18.3

Suchfunktionen....................................................................................................... 806

18.3.1

Der Suchassistent................................................................................................. 806

18.3.2

Spezielle Suchfunktionen..................................................................................... 807

18.3.3

Integrierte Suchfunktionen................................................................................... 809

18.3.4

Suche nach Dateien und Ordnern......................................................................... 810

18.3.5

Suche nach Computern ........................................................................................ 811

18.3.6

Suche nach Druckern ........................................................................................... 811

18.3.7

Suche im Internet ................................................................................................. 812

18.4

Die Netzwerkumgebung ......................................................................................... 813

18.4.1

Eigenschaften....................................................................................................... 813

18.4.2

Ressourcen hinzufügen ........................................................................................ 813

19 Anpassung der Oberfläche ....................................................................... 817 19.1

Die Elemente der Oberfläche.................................................................................. 817

Inhaltsverzeichnis

21

19.1.1

Persönliche Menüs im Startmenü ........................................................................ 817

19.1.2

Das Startmenü verändern .................................................................................... 818

19.1.3

Symbolleisten ...................................................................................................... 819

19.2 19.2.1 19.3

Der Active Desktop ................................................................................................ 822 Vorbereitung des Active Desktop........................................................................ 823 Optionen für Behinderte – Eingabehilfen............................................................... 825

19.3.1

Eingabehilfen....................................................................................................... 825

19.3.2

Justage der Eingabegeräte ................................................................................... 825

20 Kommunikationsprogramme ...................................................................833 20.1 20.1.1 20.2

Hyperterminal ........................................................................................................ 833 Einsatzmöglichkeiten .......................................................................................... 833 Faxdienst ................................................................................................................ 836

20.2.1

Übersicht über die Faxfunktionen ....................................................................... 836

20.2.2

Einrichten eines Faxgerätes ................................................................................. 836

20.2.3

Das Faxgerät verwenden ..................................................................................... 839

20.3

Das Adressbuch...................................................................................................... 843

20.3.1

Adressbuch einrichten ......................................................................................... 844

20.3.2

Adressbuch einsetzen .......................................................................................... 845

21 Internet für Benutzer..................................................................................849 21.1

Internetverbindungen ............................................................................................. 849

21.2

Der Internet Explorer ............................................................................................. 850

21.2.1

Einführung........................................................................................................... 850

21.2.2

Konfiguration ...................................................................................................... 850

21.2.3

Benutzung des Internet Explorers........................................................................ 862

21.3

Outlook Express ..................................................................................................... 869

21.3.1

Einrichten eines E-Mail-Kontos .......................................................................... 869

21.3.2

Usenet-News ....................................................................................................... 871

21.3.3

E-Mail mit Outlook Express................................................................................ 872

21.3.4

Andere Mailprotokolle ........................................................................................ 873

21.3.5

Netiquette: Wie man mit E-Mail korrekt umgeht................................................ 879

22 Multimedia...................................................................................................893

22

Inhaltsverzeichnis

22.1

Sound und Video .................................................................................................... 893

22.1.1

Lautstärkeregelung............................................................................................... 893

22.1.2

Audioeigenschaften ............................................................................................. 894

22.2

Aufnahmegeräte...................................................................................................... 895

22.2.1

Audiorecorder ...................................................................................................... 895

22.2.2

Scanner und Kameras .......................................................................................... 896

22.3

Abspielgeräte .......................................................................................................... 896

22.3.1

CD-Player ............................................................................................................ 896

22.3.2

Media Player ........................................................................................................ 897

22.4 22.4.1

Spiele und Spielesteuerungen ................................................................................. 898 Spielesteuerung.................................................................................................... 899

23 Mobiler Einsatz ........................................................................................... 903 23.1

Netzwerkanschluss ................................................................................................. 903

23.1.1

Mobilität ohne Grenzen ....................................................................................... 903

23.1.2

Verbindung aufnehmen: Das DFÜ-Netzwerk...................................................... 904

23.2

Dateisynchronisation .............................................................................................. 907

23.2.1

Offline-Ordner und der Synchronisationsmanager .............................................. 907

23.2.2

Der Aktenkoffer ................................................................................................... 925

23.3 23.3.1 23.4

Stromsparfunktionen .............................................................................................. 930 Effizientes Power-Management........................................................................... 930 Internationaler Einsatz ............................................................................................ 941

23.4.1

Ländereinstellungen............................................................................................. 941

23.4.2

Eingabeoptionen .................................................................................................. 944

23.5 23.5.1 23.6

Hardwarespezifische Einstellungen ........................................................................ 945 Hardwareprofile ................................................................................................... 945 Anschluss von Windows CE .................................................................................. 947

23.6.1

Vorbereiten der Schnittstellen des CE-Gerätes.................................................... 947

23.6.2

Einstellen der Schnittstellen................................................................................. 949

23.6.3

Verbindung einrichten ......................................................................................... 950

24 Systemwerkzeuge und Sicherheit ........................................................... 957 24.1

Datensicherung ....................................................................................................... 957

Inhaltsverzeichnis

23

24.1.1

Sicherung............................................................................................................. 957

24.1.2

Das Sicherungsprogramm ................................................................................... 960

24.1.3

Sicherungsoptionen ............................................................................................. 961

24.1.4

Wiederherstellung ............................................................................................... 965

24.1.5

Notfalldiskette ..................................................................................................... 966

24.1.6

Zeichentabelle ..................................................................................................... 967

24.2

Systeminformationen ............................................................................................. 968

24.3

Taskplaner .............................................................................................................. 969

24.3.1

Überblick ............................................................................................................. 969

24.3.2

Taskplaner im Detail ........................................................................................... 969

24.4

Dateiverschlüsselung.............................................................................................. 971

24.4.1

Das verschlüsselnde Dateisystem........................................................................ 972

24.4.2

Dateien und Ordner verschlüsseln ....................................................................... 973

24.4.3

Verschlüsseln auf Computern im Netzwerk ........................................................ 975

24.4.4

Dateiverschlüsselung und Wiederherstellung...................................................... 975

24.5

Sicherheitsmaßnahmen für Anwender ................................................................... 977

24.5.1

Schutz gegen E-Mail-Viren ................................................................................. 977

24.5.2

Virenschutzprogramme ....................................................................................... 979

Teil V - Anhänge .........................................................................................981 A Hilfe aus dem Internet ...............................................................................983 A.1

Webadressen........................................................................................................... 983

A.2

Newsgroups ............................................................................................................ 986

B Abkürzungsverzeichnis.............................................................................989 C Referenz Kommandozeilenbefehle.........................................................993 C.1

Der Netzwerkbefehl net.......................................................................................... 993

C.2

Kommandozeilenbefehle ...................................................................................... 1008

D Index ............................................................................................................1039 D.1

Erläuterungen zum Index...................................................................................... 1039

D.2

Index..................................................................................................................... 1041

E An die Autoren ..........................................................................................1063

24

Inhaltsverzeichnis

Einführung

25

Teil I - Einführung

I Einführung

1.1 Über das Buch

27

Kapitel 1 Einführung

1.1

Über das Buch...........................................................29

1.2

Danksagung .............................................................35

1.1 Über das Buch

1 Einführung Bücher über Windows 2000 gibt es naturgemäß viele. Ebenso unterschiedlich wie diese Bücher in Aufmachung, Inhalt und Stil erscheinen, unterscheiden sich auch die Ansprüche der Leser. Wir geben deshalb in diesem Kapitel eine möglichst präzise Definition der Zielgruppe und der Überlegungen, die hinter dem Buch standen.

1.1 Über das Buch Dieses Buch ist der erste Teil einer aus insgesamt drei Bänden bestehenden Reihe. Damit soll dem Umstand Rechnung getragen werden, dass Windows 2000 mehr an Leistungsfähigkeit und Einsatzmöglichkeiten mitbringt als jedes andere derzeit verfügbare Betriebssystem. Außer der Produktvielfalt – neben der Professional Version gibt es immerhin drei Server-Versionen – ist es auch der Funktionsumfang des Kernsystems, der hohe Ansprüche an die Einsatzplanung und an die Kenntnisse der Administratoren stellt.

1.1.1 Die Buchreihe Die drei Bände widmen sich bestimmten Einsatzgebieten von Win- Drei Bände dows 2000: •

Band I »Windows 2000 im professionellen Einsatz« behandelt Windows 2000 Professional – alleinstehend und im kleinen Netzwerk

•

Band II »Windows 2000 im Netzwerk. Der Einsatz als Netzwerkund Backoffice-Server« widmet sich dem Einsatz von Windows 2000 Server in typischen Umgebungen.

•

Band III »Internet Information Server 5. Windows Advanced Server als Internet Plattform« behandelt die Internetdienste mit Schwerpunkt auf dem Internet Information Server 5.

Brauchen Sie alle Bände? Die Bücher bauen aufeinander auf und sollen ein Gesamtbild eines außerordentlich komplexen Produkts ergeben – dass der Gesamtumfang dann weit jenseits der 2.000 Seiten liegt, ist kaum zu umgehen – ohne Abstriche am Inhalt oder an der Qualität.

29

30

1 Einführung

1.1.2 Die Herausforderung Zum Vorgängerbuch

Dieses Buch entstand auch unter der Maßgabe, ein ebenbürtiger Nachfolger für die erfolgreiche zweibändige Ausgabe »Windows NT 4.0 im professionellen Einsatz« zu sein. Die Autoren hatten damals versucht, auch hinter die Kulissen der Oberfläche zu schauen und die vielen komplexen Vorgänge transparent werden zu lassen, die im Hintergrund ablaufen. Mangels technischer Referenz ist dabei vieles im »Selbstversuch« und mit hohem persönlichen Aufwand getestet und beschrieben worden. Eine solche persönliche Erfahrung trägt wesentlich zum Erfolg eines Fachbuches bei, denn der künftige Anwender der Software wird zwangsläufig in ähnliche Fallen stolpern und dankbar die Informationen aus dem Buch aufnehmen.

Der Auftrag

Da die Autoren des Vorgängerwerkes aus beruflichen Gründen nicht länger zur Verfügung standen, haben wir den Auftrag mit Freude übernommen – wohl wissend, welche enorme Aufgabe vor uns lag. Zwar stand inzwischen die technische Referenz zur Verfügung, die viele tiefergehende Fragen beantwortet, aber auch dies ist eben ein Handbuch – und kein Fachbuch.

1.1.3 Die Konzeption Ein neues Konzept

Wir haben uns deshalb ein neues Konzept für dieses Buch überlegt. Zum einen sind theoretische Grundlagen enthalten. Administratoren und Anwendern fällt der Umgang mit dem Gesamtsystem erfahrungsgemäß deutlich leichter, wenn die Hintergründe und Motivationen erkennbar werden, die hinter den Funktionen stecken. Wir haben auch versucht, dies kritisch zu sehen und nicht nur die Argumentation von Microsoft zu übernehmen. Offensichtlich sind einige »Erfindungen« nicht nur technisch motiviert. Andere sehr spannende Entwicklungen sind nur wenig bekannt und werden entsprechend auch nur selten verwendet – mit der bekannten Flut von alten und neuen Funktionen war das Marketing sichtlich überfordert.

Theorie muss sein...

Die theoretischen Ausführungen sind dennoch nicht bis zum Exzess getrieben worden. Sie sind allgemeinverständlich und soweit vereinfacht dargestellt, dass die grundlegende Überlegung, die dahinter steckt, sichtbar wird. Darin unterscheidet sich die Darstellung wesentlich von der technischer Handbücher und geht zugleich weit über die bekannten »Oberflächenbeschreibungen« hinaus. Wir hoffen, dass technisch interessierte Leser dies durchaus auch als spannend empfinden.

1.1 Über das Buch Einen mindestens äquivalenten Anteil nehmen die technische Handlungsanleitungen ein. Hier geht es um die konkrete Lösung von Aufgaben. Je nach Grad der Komplexität erfolgt die Darstellung in längeren, streng gegliederten Abschnitten oder in einfachen nummerierten Schrittfolgen. Dabei wurde auch nicht mit Bildmaterial gespart – auch Fachbücher werden nicht immer direkt vor dem Bildschirm gelesen. Das Lesen sollte natürlich auch nicht zu kurz kommen. Das Thema ist sicher ernst, aber dennoch (hoffentlich) so dargestellt, dass ein flüssiges Lesen möglich ist. Sie können dann auch abschnittsweise lesen oder sich gezielt einzelne Kapitel herausziehen. Damit das funktioniert, wurden intensiv Querverweise gesetzt.

31 ...wenn sie von praktischen Ausführungen ergänzt wird

Erwähnenswert ist auch, dass die Form der Darstellungen stark struk- Für Experten: turiert ist. So beginnen wir nach einer kompakten Einführung im ers- Hohes Niveau ten Teil mit den theoretischen Grundlagen (Teil II). In Teil III folgt die Administration, sehr viel praktischer und anschaulicher dargestellt – auch ein Zugriff auf die Registrierung wird dabei nicht ausgelassen. Teil IV zeigt schließlich den praktischen Umgang mit dem laufenden System. Hier wird vor allem Ordnung in die Funktionsvielfalt gebracht. Totale Anfänger sollten sich Windows 2000 genau in dieser Reihenfolge nähern. Sie werden »mehr herausholen«, wenn Sie zuvor die administrativen Hausaufgaben gemacht haben. Windows 2000 hat ein breites Einsatzspektrum. Wir konzentrieren uns Auf das auf die häufigsten Einsatzfälle und typische Probleme. Sie erhalten vor Wesentliche kommt es an allem für die alltägliche Arbeit weitreichende Unterstützung. Zur Konzeption gehört nicht zuletzt auch eine klare Ausrichtung auf In deutscher die deutsche Sprache, die neue Rechtsschreibung in der verlagsübli- Sprache chen Form und die Vermeidung englischer Worte, wo es sinnvoll und möglich ist. Manches Wort hat sich inzwischen aber unseres Erachtens fest etabliert und sollte nicht krampfhaft übersetzt werden. Diese Inkonsequenz ist also gewollt und soll auch nicht diskutiert werden. Wenn es dagegen um die Bezeichnung von Dialogfeldern, Schaltflächen und Systemnamen ging, war unser Leitfaden ganz klar die offizielle Notation von Microsoft. Auch wenn die eine oder andere Übersetzung eher unglücklich erscheint, diese Vorgehensweise erleichtert Ihnen das Auffinden weiterer Informationen in der Dokumentation.

1.1.4 Zielgruppe Es wurde bereits kurz erwähnt, dass dieses Buch im Bücherregal des Wer es lesen sollte Administrators gut aufgehoben ist. Es wendet sich aber an ein größeres Publikum, abhängig von der Motivation:

32

1 Einführung •

Administratoren, die mehr über die Hintergründe der Technologie von Windows 2000 erfahren möchten um schneller und sicherer installieren und administrieren zu können

•

Techniker, die Windows 2000-Computer installieren und nicht nur als Diskjockey arbeiten möchten

•

IT-Leiter, die den Einsatz von Windows 2000 Professional planen und sich über mögliche technische Probleme und auch die Vorteile anhand praktischer Darstellungen informieren möchten

•

Anwender, die einen technische Hintergrund haben und einfach aus »ihrem« Windows 2000 mehr herausholen möchten

Es wird also ein breit gefächertes Publikum angesprochen. Sicher führt das bei dem einen oder anderen Leser dazu, dass er Teile für nicht relevant ansieht oder vom Niveau über- oder unterfordert ist. Vielleicht entschädigt ihn dafür der Umfang. Man mag über dicke Bücher geteilter Meinung sein – für die tägliche Arbeit ist fehlende Information allemal lästiger als eine gewisse Breite der Darstellung.

1.1.5 Struktur und Aufbau Die fünf Teile

Das Buch ist in fünf Teile gegliedert: •

Teil I: Einführung Hier werden überblicksartig die einzelnen Produkte der Windows 2000-Familie dargestellt.

•

Teil II: Grundlagen Theoretische Grundlagen der wichtigsten Windows-Funktionen werden erläutert, ebenso die Hintergründe der meisten verwendeten Standards.

•

Teil III: Installation und Administration In diesem Teil geht es um Vorbereitung und Ausführung der Installation und Administration aller Windows 2000-Funktionen. Besonders umfangreich werden die Massenspeicher- und Netzwerkfunktionen behandelt.

•

Teil IV: Praktische Anwendung Hier geht es um die praktische Nutzung, die Modifikation der Oberfläche und die Nutzung der vielen kleinen Hilfsprogramme in Windows 2000. Hier kommen auch Anwender auf ihre Kosten, die sich von der üblichen Windows 2000 »Was ist eine Maus«-Literatur unterfordert fühlen.

1.1 Über das Buch •

33

Teil V: Anhänge Im letzten Teil finden Sie die üblichen Anhänge, Befehlsbeschreibungen der Kommandozeilenbefehle und weitere Navigationshilfen wie Glossar und Index.

Kapitelübersicht Die folgende Übersicht zeigt alle Kapitel der ersten Ordnung auf einen Blick.

1

Einführung

29

2

Die Neuerungen im Überblick

39

3

Die Windows-Systemarchitektur

75

4

Massenspeicherverwaltung

87

5

Dateisysteme

131

6

Netzwerkgrundlagen

189

7

Drucken

231

8

Grundlagen der Systemsicherheit

265

9

Installation

283

10

Die Managementkonsole (MMC)

357

11

Administration der Massenspeicher

389

12

Administration von Netzwerken

495

13

Drucker einrichten und verwalten

559

14

Benutzerverwaltung

609

15

Internet Informationsdienste

647

16

Systemsicherheit

699

17

Reparatur und Wiederherstellung

737

18

Struktur der Oberfläche

793

19

Anpassung der Oberfläche

817

20

Kommunikationsprogramme

833

21

Internet für Benutzer

849

22

Multimedia

893

23

Mobiler Einsatz

903

24

Systemwerkzeuge und Sicherheit

957

34

1 Einführung

1.1.6 Verwendete Symbole Hinweise kennzeichnen Stellen, die den betrachteten Kontext etwas verlassen oder besonders wichtig sind. Diese Absätze sind zusätzlich grau hinterlegt. An einigen Stellen im Buch wird auf die Software der beiliegenden CD eingegangen. Dies wird durch das CD-Symbol gekennzeichnet.

1.1.7 Schreibweise Hinweise zum Satz

Im Buch werden folgende Schreibweisen verwendet, um Befehle und Anweisungen, Bezeichnungen von Dialogen und selbst gewählte Ersatznamen unterscheiden zu können. Dialogfelder und Schaltflächen werden, wie bei HINZUFÜGEN, in Kapitälchen gesetzt. Befehle, wie net use, werden in nicht proportionaler Schrift gesetzt.

Befehlszeilen

Befehlszeilen, die eingegeben werden können, stehen allein auf einer Zeile und sind grau hinterlegt: c:>ftp Ebenso werden auch Ausschnitte aus Konfigurationsdateien dargestellt. Selbstgewählte Name, wie win98pc, werden dagegen kursiv gesetzt.

1.1.8 Entstehung Den einen oder anderen Leser mag es interessieren, wie dieses Buch entstanden ist. Es ist zugegeben schon faszinierend festzustellen, dass große Bücher über bekannte Textverarbeitungsprogramme unter Windows auf Macintosh-Computern gesetzt werden. Auf der anderen Seite schreiben viele Autoren ihre Linux-Bücher auf Windows. In der Praxis hat es sich als hilfreich erwiesen auf dem Computer zu schreiben, der auch als Informationsquelle und Testumgebung dient. Deshalb entstand dieses Buch auf einer Windows 2000 ProfessionalWorkstation. Als Schreib- und Satzprogramm kam Microsoft Word 2000 zum Einsatz. Lediglich das Aufbereiten der Druckdaten übernahm der Adobe Destiller – die Druckerei wurde direkt mit PDFDateien beliefert. Gegenüber vielen anderen Varianten erwies sich dies als relativ produktiv – auch im Hinblick auf die Zusammenarbeit der Autoren auf dem Weg zum gemeinsamen Dokument. Auch mit guter Kenntnis

1.2 Danksagung anderer Programme, egal ob von Adobe oder Corel, oder anderer Betriebssystem wie Linux oder Solaris, kann diese Plattform als praxistauglich empfohlen werden, auch wenn uns klar ist, dass eine Textverarbeitung nur geringe Ansprüche an ein Betriebssystem stellt.

1.2 Danksagung Unser Dank gilt in erster Linien den Mitarbeitern des Carl Hanser Verlages, die trotz der Verzögerungen nicht die Geduld verloren haben und wie wir an das Buch und seinen Erfolg geglaubt haben. Danken möchten wir auch der Microsoft GmbH Unterschleißheim, speziell Herrn Christian Nern, für die unbürokratische Unterstützung und Bereitstellung der nötigen Software. Danken möchten wir auch unseren Familien für die Geduld und Unterstützung in der Endphase der Fertigstellung, die sich durch 7-TageWochen und viele durchgearbeitete Nächte auszeichnete.

35

1.2 Danksagung

37

Kapitel 2 Die Neuerungen im Überblick

2.1

Active Directory – der neue Verzeichnisdienst .......39

2.2

Neue Sicherheitsmechanismen.............................41

2.3

Neues Datenträgermanagement ...........................44

2.4

Unterstützung neuer Hardware-Technologien .......47

2.5

Die Neuerungen der Benutzeroberfläche ...........52

2.6

Vereinfachungen für die Administration ...........62

2.7

Die Windows 2000 – Produktpalette....................63

2.8

Zur Geschichte von Windows 2000 ......................65

2.1 Active Directory – der neue Verzeichnisdienst

2 Die Neuerungen im Überblick Windows 2000 entstand als direkter Nachfolger von Windows NT 4. Dieses Betriebssystem, mit Hilfe diverser Service-Packs um viele Bugs erleichtert und einiger zusätzlicher Features bereichert, hat sich als stabiles Betriebssystem für Workstations und Server etabliert. Allerdings gibt es inzwischen einen großen Bedarf nach »richtigen« Neuerungen, sei es für den Workstation-Einsatz, die Unterstützung neuer Technologien wie USB und AGP oder die Renovierung des in die Jahre gekommenen Netzwerk-Modells der Domänen. Die Neuerungen in Windows 2000 im Vergleich zum Vorgänger sind umfassend. Ziel von Microsoft war dabei nicht nur eine oberflächliche Renovierung von Windows NT, sondern eine Überarbeitung aller wesentlichen Technologien, um den gestiegenen Anforderungen der Kunden besser gerecht zu werden. In diesem Kapitel werden die wichtigsten Neuerungen kurz vorgestellt.

2.1 Active Directory – der neue Verzeichnisdienst Zentraler Bestandteil der Netzwerkunterstützung von Windows 2000 ist das Active Directory. Das alte Domänen-Konzept von Windows NT landet damit im wohlverdienten Ruhestand, wird aber aus Gründen der Kompatibilität weiterhin unterstützt. Mit einem Verzeichnisdienst kann die logische Organisationsstruktur Abbildung der eines Unternehmens oder einer Einrichtung abgebildet werden. Die OrganisationsObjekte dieser Struktur, das können Benutzer genauso wie Hardware- struktur oder Softwareressourcen sein, werden dabei hierarchisch in einer Baumstruktur organisiert. Benutzer können zu Gruppen zusammengefasst werden, die wiederum bestimmten Abteilungen angegliedert werden. Zu jedem der Objekte sind wiederum Attribute deklarierbar, die dieses näher beschreiben. Ein Benutzer hat dabei neben einem eindeutigen Namen im Verzeichnis noch Attribute. Diese beschreiben seine Rechte und Funktionen, sowie die Kommunikationsmöglichkeiten zu ihm (Telefon, FAX, E-Mail oder vielleicht auch Wege zum direkten Datentransfer). Einem Druckerobjekt dagegen können andere Attribute zugeordnet werden. Leistungsfähige Verzeichnissysteme müssen, um die vorgegebene logische Organisationsstruktur abbilden zu können, sehr flexibel sein und im Bedarfsfall mit bis zu mehreren Millionen Einträgen umgehen können. Das mit Windows 2000 eingeführte Active Directory versucht diesem Aufbauend auf Anspruch gerecht zu werden. Es basiert dabei auf dem X.500- Standards

39

40

2 Die Neuerungen im Überblick Standard, der bereits Ende der 80er Jahre entwickelt worden ist und dem Internet Domain Name System (DNS). Als Protokoll zur Kommunikation im Active Directory wird das Lightweight Directory Access Protocol (LDAP) benutzt. Das Netzwerkprotokoll ist in jedem Fall TCP/IP.

Abbildung größerer Zur Abbildung einer größeren Struktur können mehrere Server für die Strukturen Verwaltung des Verzeichnisses eingesetzt werden. Mit dem Active

Directory gibt es aber keinen primären Domänencontroller mehr wie noch unter Windows NT, sondern alle Domänencontroller sind prinzipiell gleichberechtigt. Die Replikationsmechanismen des Active Directory sorgen dabei dafür, dass die Informationen auf allen Servern identisch sind. Für die Administration von Objekten kann dann jeder Domänencontroller benutzt werden statt wie bisher nur der primäre Domänencontroller unter NT, von dem dann wiederum die Daten auf die Sicherungs-Domänencontroller repliziert wurden. Flexiblere Administration

Die Administration des Active Directory kann jetzt sehr viel flexibler organisiert werden, als das mit dem alten Domänenkonzept möglich war. Nun können Administratoren auch Teilbereiche des Active Directory zur Verwaltung zugewiesen werden (und nicht gleich die ganze Domäne) bzw. können sie für den Vertretungsfall ganz bestimmte Rechte weitergeben (vererben). Mit dem Active Directory hat Microsoft die Netzwerkfähigkeit von Windows auch für die Organisation von größeren Strukturen wieder konkurrenzfähig gemacht. Für die Kommunikation aus Benutzersicht werden mit NDS und LDAP sowie den Sicherheitsfeatures (Internet-) Standards benutzt, die helfen, auch heterogene Netzwerke mit dem Active Directory verwalten zu können. Die interne Kommunikation zwischen den Domänencontrollern hingegen ist mit proprietären Protokollen umgesetzt worden.

Zusammenspiel mit Einen besonderen Fokus hat Microsoft auf die Integration von Novells NDS NDS gelegt. Da dieser Verzeichnisdienst schon länger etabliert ist,

kann er schwerlich über Nacht durch das Active Directory ersetzt werden. Vielmehr wurde eine Synchronisationsmöglichkeit zwischen den beiden Verzeichnisdiensten implementiert, die ein friedliches Nebeneinander sichern soll. Für den Einsatz von Windows 2000 Professional ist das Active Directory aus clientseitiger Sicht wichtig. Das Active Directory selbst kann nur durch einen Windows 2000 Server bereitgestellt werden. Für mehr Informationen zum Aufbau und Verwaltung des Active Directory verweisen wir auf den zweiten Band unserer Windows 2000–Reihe. In Abschnitt 6.6 Einführung in Active Directory ab Seite 212 finden Sie eine Einführung in dieses Thema.

2.2 Neue Sicherheitsmechanismen

41

2.2 Neue Sicherheitsmechanismen Die Umsetzung eines umfassenden Verzeichnisdienstes erfordert natürlich auch eine hohe erreichbare Sicherheit. Das beginnt mit der sicheren Authentifizierung des Benutzers und endet mit einer »abhörsicheren« Übertragung der Daten im Netzwerk (denken Sie dabei nur mal an die mögliche »Abhörung« von Datenflüssen über ein Übertragungsmedium wie Kabel, Lichtwellenleiter oder Funkwellen – das Auslesen von Bildschirminhalten oder Tastaturanschlägen ist ein anderes Thema). Dazu kommen die sichere Authentifizierung von Sendungen (E-Mails oder andere Dokumente) und natürlich auch der Schutz von Daten auf der Festplatte. Mit Windows 2000 wartet das Betriebssystem mit zahlreichen neuen Neue Sicherheitsfunktionen Sicherheits-Funktionen auf. Zu den wichtigsten zählen: •

die Verschlüsselung von Dateien und Ordnern

•

Analysefunktionen für Angriffe

•

automatische Konfiguration sicherheitsrelevanter Einstellungen

Die Sicherheit der eigenen IT-Ressourcen ist besonders im Intranet Angriffsszenarien und bei über das Internet kommunizierenden Unternehmen von großer Bedeutung. Der bloße Einsatz von Firewalls reicht hierzu bei weitem nicht aus: Es ist wichtig, Maßnahmen zu ergreifen, um zum Beispiel die auf Datenspeichern abgelegten Dateien vor Unbefugten zu schützen. Das gilt auch für die vielen mit Notebooks ausgestatteten Mitarbeiter, die oft sensible Daten mit sich führen. Anwendern, denen ihr Notebook einmal während einer Geschäftsreise oder mitsamt dem in der Tiefgarage abgestellten Auto gestohlen worden ist, wird meist erst zu spät bewusst, welche Informationen dem Dieb in die Hände gefallen sind. Ähnlich verhält es sich bei Unternehmen, die von einem ungebetenen Gast heimgesucht wurden, der bei seinem Einbruch aus dem Büro nicht nur Wertsachen, sondern auch gleich die dortigen Computer oder gar einen Server mitgenommen hat. Die Verwendung eines schützenden BIOS-Kennworts, das beim Einschalten einzugeben ist, bietet höchstens Prävention bei einem kurzfristig unbeaufsichtigten Computer, nicht aber beim Diebstahl: Es ist ein Leichtes, die Festplatte aus dem gestohlenen Gerät aus- und in einen anderen Rechner einzubauen, um die Daten dort in Ruhe auszulesen. Die einzig wirksame Maßnahme gegen die unrechtmäßige Weiterverwertung der auf einem Speichermedium wie einer Festplatte oder einer Wechselplatte enthaltenen Daten, stellt die Verschlüsselung einzelner Dateien oder ganzer Ordner dar.

42

2 Die Neuerungen im Überblick

2.2.1 Sichere Authentifizierung – Kerberos Die sichere Authentifizierung des Benutzers wird in Windows 2000 durch die Unterstützung des Kerberos-Protokolls möglich. Kerberos ist als zentraler Sicherheitsstandard in Windows 2000 und das Active Directory implementiert. Bei der Anmeldung eines Benutzers wird zunächst nur dessen Benutzername an den Server gesendet. Das Passwort bleibt lokal gespeichert. Der Benutzername wird in einem speziellen Verfahren auf dem Server mit Hilfe des dort abgelegten Passworts verschlüsselt und wieder zurück gesendet. Vor Ort kann dann dieses Datenpaket (das sogenannte Ticket Granting Ticket – TGT) nur verwendet werden, wenn es durch das Passwort korrekt entschlüsselt wurde. Mit diesem gültigen Ticket können dann wiederum andere Dienste oder der Zugriff auf andere Ressourcen im Netzwerk angefordert werden. Durch Kerberos wird die Sicherheit bei der Authentifizierung erhöht und gleichzeitig effizienter gestaltet. Ein weiterer Vorteil ist die weite Verbreitung von Kerberos als Standard, beispielsweise in professionellen UNIX-Umgebungen. Mit Windows 2000 und zukünftig auch dem Kerberos-Client für Windows 98 und seinem Nachfolger ME kann eine sichere Integration in heterogene Umgebungen erreicht werden. Für Windows NT hingegen wird es keine Kerberos-Unterstützung mehr geben. Angesichts der weiten Verbreitung von Windows NT ist das sicher kaum einzusehen – aber Microsoft muss ja auch leben.

2.2.2 Sicherer Datentransfer – IPSec Was nützt die sicherste Authentifizierung, wenn nachher die Datenströme im Netzwerk abgefangen und gelesen werden können? Insbesondere wenn sie über das Internet geschickt werden, sind diese Ströme anfällig für Abhörangriffe. Hier hilft nur eine wirksame Verschlüsselung der Daten. Mit IPSec (IP Security) ist in Windows 2000 eine Technologie implementiert, die dies leisten kann. Dabei werden die Daten auf IP-Ebene verschlüsselt, d.h. für die Applikationen bleibt dieser Vorgang transparent. Müssen bei der Verwendung anderer Standards, wie beispielsweise SSL, der Internet-Browser und der Webserver beide die Technologie verstehen, um eine sichere Verbindung aufbauen zu können, wird mit IPSec unabhängig von der konkreten Anwendung der Datenstrom zwischen den beiden Punkten vor unerlaubtem Mithören geschützt. Die Technologie IPSec erlaubt also den einfachen Aufbau sicherer Verbindungen auf Betriebssystemebene, ohne dass die Anwendungen dafür speziell ausgelegt sein müssen.

2.2 Neue Sicherheitsmechanismen

2.2.3 Virtuelle Private Netzwerke und L2TP Eine wichtige Rolle im Zusammenhang mit dem verschlüsselten VPN Netzwerktransfer wird in Zukunft das neue Layer 2 Tunneling Protocol (L2TP) spielen. Das Tunneling von Datenpaketen über IP gewinnt immer mehr an Bedeutung für den Aufbau Virtueller Privater Netzwerke (VPN). Über VPNs wird das offene Internet für den Transport der Daten benutzt, das Netzwerk, daher »privat«, bleibt dabei eine in sich abgeschlossene Einheit. Für Benutzer ist dieser Vorgang transparent. Damit die Datenströme über das Medium Internet auch sicher transportiert werden, werden diese in einzelne Pakete verpackt, verschlüsselt und via TCP/IP-Protokoll »getunnelt« auf den Weg gebracht. Bisher wurde in der Microsoft-Welt das Point-to-Point Tunneling Protocol (PPTP) dazu benutzt; da aber die MS-Welt nicht die einzige ist und die Standards manchmal auch außerhalb derselben existieren, unterstützt Microsoft mit Windows 2000 jetzt neben dem PPTP auch das Layer 2 Tunneling Protocol. Dieses Tunneling-Protokoll, das als ein Internet-Standard gilt, unterstützt von sich aus keine Verschlüsselung (anders als PPTP). Als Verschlüsselungstechnologie für L2TP kann IPSec zum Einsatz kommen. Der sichere Aufbau von Virtuellen Privaten Netzwerken über das Internet kann mit Windows 2000 unter Nutzung von internationalen Standards realisiert werden und wird damit weiter zu einer produktiven Nutzung der Internet-Ressourcen für den kostengünstigen Ausbau von privaten Intranets führen.

2.2.4 Unterstützung von SmartCards Die zunehmende Bedeutung von Smartcards zur Absicherung der ITInfrastruktur wird in Windows 2000 mit der direkten Unterstützung dieser Technologie unter Nutzung von internationalen Sicherheitsstandards adressiert. Auf den kleinen scheckkartengroßen Kärtchen, die durch PIN gesichert sein können, lassen sich hervorragend komplexe Zugangsdaten bzw. Sicherheitszertifikate hinterlegen. Unter Windows 2000 kann die Unterstützung dieser Smartcards direkt im Betriebssystem integriert werden. Vorteil bei der Verwendung dieser Technologie ist die stark vereinfachte Authentifizierungsprozedur, besonders wenn im Active Directory die Anmeldung für verschiedenste Dienste so zusammengefasst werden kann. Aber auch bei der Nutzung des Verschlüsselnden Dateisystems (Encrypting File System-EFS; siehe nächster Abschnitt) kann die SmartCard-Technologie zu einer höheren Absicherung lokal gespeicherter Daten beitragen.

43

44

2 Die Neuerungen im Überblick

2.2.5 Das Encrypting File System (EFS) Sicherung der lokalen Daten

Beim Einsatz von Windows 2000 Professional ist auch die Sicherung der lokalen Daten auf der Festplatte (beispielsweise von Notebooks) wichtig. Wird das Notebook gestohlen, können die Daten, seien sie auch auf einer NTFS-Festplatte unter Windows NT 4 abgelegt, wieder ausgelesen werden. Es gibt (beispielsweise NTFSDOS.EXE) Programme, die NTFS-Partitionen unter DOS lesen können. Es genügt aber auch, die Festplatte an ein anderes Windows NT- oder 2000–System anzuschließen und als Administrator die Rechte wieder klarzustellen (Wer ist hier der Herr im Haus ?!) – oder man kann auch den umständlicheren Weg nehmen, Windows NT/2000 neu zu installieren. Das betrifft neben den Daten auf Notebooks oder von anderen ungewollt »mobil gemachten« Arbeitsplatzrechnern auch die Sicherung von Servern in kleineren Netzwerken. Oft wird zwar viel getan, um die Sicherheit bei der Authentifizierung oder auch beim Datentransfer zu gewährleisten – aber dann steht der Server in irgendeiner Ecke oder einem wenig gesicherten Raum und kann mitgenommen werden. Gegen diese einfache Art von Datenklau kann eine neue Verschlüsselungstechnologie in Windows 2000 zum Einsatz kommen – das Encrypting File Systems (EFS). Mit Hilfe des EFS können Daten auf der Festplatte wirksam gesichert werden.

EFS allein nicht ausreichend

Allerding ist der Einsatz der EFS-Verschlüsselung allein keinesfalls ausreichend, um lokale Daten wirklich zu schützen. Solange jemand Ihr Kennwort zurücksetzen kann und sich dann unter Ihrer Benutzerkennung anmeldet, kommt er auch an Ihre EFS-verschlüsselten Dateien heran. Lesen Sie in Abschnitt 8.3 Absicherung lokaler Daten ab Seite 267, welche Möglichkeiten es gibt, das System richtig abzusichern.

2.3 Neues Datenträgermanagement Für die Einbindung und Verwaltung von Festplatten und Wechselmedien besitzt Windows 2000 deutlich mehr Möglichkeiten als das alte NT. Das betrifft zum einen den Aspekt der höheren Sicherheit, der mit dem Encrypting File System (EFS) adressiert wird (siehe Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166), zum anderen die gesteigerte Flexibilität beim Managen von MassenspeicherRessourcen. In diesem Abschnitt werden die neuen Features der Professional-Version von Windows 2000 in Bezug auf das Datenträgermanagement vorgestellt.

2.3 Neues Datenträgermanagement

45

2.3.1 Dynamische Datenträger Bislang arbeitete das Datenträgermanagement von Windows NT, wie Traditionell: auch Windows 9x/ME, mit einem partitionsorientierten Ansatz. Jede Partitionen Festplatte, die im System genutzt werden soll, muss damit zunächst partitioniert werden (mehr dazu siehe Abschnitt 4.3 Basisfestplatten ab Seite 91). Dieser Partition wird dann für den Zugriff ein Laufwerksbuchstabe zugeordnet und muss mit einem Dateisystem formatiert werden. Diese logischen Laufwerke sind also immer direkt mit der physischen Aufteilung (Partitionierung) der Festplatten verbunden. Erweiterungen des Dateisystems bedingen einen relativ hohen administrativen Aufwand und die wenig flexible Einbindung über einen Laufwerksbuchstaben. Andere Betriebssysteme wie beispielsweise UNIX erlauben hier schon lange ein deutlich flexibleres Management der Datenträger. Für Windows 2000 hat Microsoft das Datenträgermanagement gründ- Deutlich flexibler lich renoviert und auf den heutigen technischen Stand gebracht. Ne- mit dynamischen ben der Unterstützung der Partitionierung können Sie nun auch einen Datenträgern oder mehrere sogenannte dynamische Datenträger erstellen. Diese können dabei aus einer physikalischen Festplatte bestehen oder sich sogar über mehrere Laufwerke erstrecken. Das Dateisystem, mit dem dynamische Datenträger formatiert werden, kann sowohl FAT/FAT32 als auch NTFS sein. Dynamische Datenträger können Sie während des laufenden Betriebes konfigurieren und so beispielsweise erweitern, indem Sie einfach eine Festplatte hinzufügen und an einen dynamischen Datenträger anhängen. Für den Anwender geschieht dies völlig transparent – sein logisches Laufwerk ist danach einfach größer geworden. Windows 2000 kümmert sich automatisch dann um die Aufteilung der Daten auf alle eingebundenen Festplatten. In Bezug auf die Sicherheit hat sich verbessert, dass anders als bei par- Höhere Datentitionierten Festplatten alle Laufwerksinformationen nicht in einer sicherheit Partitionstabelle, sondern in einem speziellen reservierten Bereich liegen und auch auf andere Datenträger repliziert werden können. Die Systemsicherheit können Sie damit auf ein höheres Niveau bringen als mit dem bisherigen Ansatz. Dynamische Datenträger werden nur von Windows 2000 unterstützt. Ein Zugriff von Windows 9x/ME oder NT ist nicht möglich. Zusammenfassend lässt sich sagen, dass mit den dynamischen Datenträgern ein deutlich flexibleres Datenträgermanagement bei einer erhöhten Systemsicherheit möglich ist. Außerdem können Sie damit alle Konfigurationsaufgaben an Festplatten durchführen, ohne dass ein Neustart des Systems notwendig wird.

46

2 Die Neuerungen im Überblick

2.3.2 Bereitstellungspunkte für Datenträger Laufwerkbuchstaben

Wenn Sie eine neue Festplatte in Ihr System einbinden, vergeben Sie dieser für den Zugriff normalerweise, sei es für den Anwender oder Software-Applikationen, einen Laufwerkbuchstaben. Anders natürlich bei den dynamischen Datenträgern, die Sie transparent erweitern können (siehe vorigen Abschnitt). Mit dem Festplattenmanager unter NT konnten Sie zumindest diesen Laufwerkbuchstaben jederzeit verändern. Wirklich flexibel war diese Art der Einbindung von Festplatten in das Betriebssystem nicht. Mit Windows 2000 können Sie nun über das neue Verwaltungstool DATENTRÄGERVERWALTUNG neben einem Laufwerkbuchstaben einen oder mehrere sogenannte Bereitstellungspunkte definieren. Ein Bereitstellungspunkt verhält sich dann wie ein ganz normales Verzeichnis im Dateisystem. Dieses in der UNIX-Welt (dort Links genannt) schon lange gebräuchliche Verfahren hat jetzt also auch Eingang in Windows gefunden.

Bereitstellungspunkte in NTFSStruktur

Bereitstellungspunkte können nur im NTFS-Dateisystem angelegt werden, die Zieldatenträger derselben können aber auch mit FAT oder FAT32 formatiert sein. Über Bereitstellungspunkte können Sie das Dateisystem für den Anwender transparent erweitern. Dem Anwender erscheint es oft logischer, wenn er beispielsweise über ein neues Verzeichnis in seiner Verzeichnisstruktur D:\Daten verfügt, als wenn er sich einen neues Laufwerk K: merken muss, dass vielleicht wiederum eine eigene Verzeichnisstruktur mitbringt.

2.3.3 Datenträgerkontingente (Disk Quotas) Wie Sie sicher selbst schon leidvoll erfahren haben, gibt es keine ausreichend großen Festplatten. Jedes mal, wenn eine neue, größere Platte ins System genommen wurde, dauerte es nicht lange, bis diese wieder voll ist. Dabei liegt das oft nicht allein an den immer voluminöseren Programmpaketen, sondern auch an der unstrukturierten Dateiablage vieler Anwender. Egal, wie viel Platz die Festplatte auch hat, sie wird gefüllt. So kann die Notwendigkeit bestehen, auch auf WindowsArbeitsplatzcomputern den Speicherplatz einzuschränken, vor allem, wenn dieser von verschiedenen Anwendern benutzt wird. Dazu bietet Windows 2000 eine in das Betriebssystem integrierte Funktion Datenträger-Kontingente. Mit dieser aus anderen Betriebssystemen auch besser unter Disk Quotas bekannten Funktion können Sie als Administrator je Benutzer und Volume eine Speicherplatzbeschränkung einrichten.

2.4 Unterstützung neuer Hardware-Technologien So erhält beispielsweise der Benutzer Jörg auf dem Volume Gemeinsam eine für ihn nutzbare Kapazität von 1 GB zugewiesen. Sie können dabei bestimmen, dass ab einer erreichten Ausnutzung von 950 MB der Benutzer gewarnt wird. Mit den Datenträger-Kontingenten haben Sie ein leistungsfähiges Instrument in der Hand, auf professionell genutzten Windows 2000Systemen die Speicherplatznutzung gezielt beeinflussen zu können.

2.3.4 Jetzt auch unterstützt: FAT32 Es ist sicher nicht die revolutionärste Neuerung von Windows 2000, dass endlich das schon seit Windows 95 OSR2 eingeführte FAT32Dateisystem unterstützt wird. Mit der weiten Verbreitung von Windows 95 und seinem Nachfolger Windows 98 auf den Arbeitsplatzrechnern vieler Unternehmen ist damit ein Upgrade auf Windows 2000 unter Beibehaltung von alten Datenstrukturen und einer Dualbootmöglichkeit mit dem alten System wesentlich einfacher möglich. Das betrifft natürlich auch die Unterstützung von Wechselplattensystemen, die inzwischen in den Bereich von mehreren GB pro Medium gelangt sind und oft sinnvoller weise auch mit FAT32 formatiert werden. Zu beachten ist jedoch, dass alle neuen Features von Windows 2000, die die Sicherheit auf Benutzerebene und die Verschlüsselung mit dem Encrypting File System betreffen, nur mit dem NTFS respektive dessen Weiterentwicklung in der Version 5 nutzbar sind. Trotzdem ist die Unterstützung von FAT32 ein Fortschritt, wird es so doch die Verbreitung von Windows 2000 auch bei Anwendern fördern, die bislang Windows 95 bzw. 98 eingesetzt haben, aber trotzdem (oder gerade deswegen?) eine stabilere Plattform für die Erledigung ihrer täglichen Arbeit benötigen.

2.4 Unterstützung neuer HardwareTechnologien Die neben dem Active Directory wichtigste Neuigkeit in Bezug auf Windows 2000 ist wohl – im Vergleich zum relativ konservativ auftretenden NT – die Unterstützung für die ganzen schönen HardwareGimmicks unserer modernen Zeit. Die Schlagworte sind dabei USB, FireWire, ACPI u.a. Welche dieser Technologien warum und wie für Windows 2000 bedeutsam sind, soll dieser Abschnitt in einer ersten Übersicht aufzuklären helfen. Dabei wird zwischen der Professionalund den Server-Varianten unterschieden, was sehr wohl Sinn macht,

47

48

2 Die Neuerungen im Überblick da bei diesen beiden Systemwelten zum Teil ganz unterschiedliche Prioritäten in Bezug auf die einzusetzende Hardware gestellt werden.

2.4.1 Wichtige unterstützte Technologien für Windows 2000 Professional In diesem Abschnitt sind die wichtigsten neuen HardwareTechnologien aufgeführt, die Windows 2000 unterstützt und damit mehr als sein Vorgänger NT für den Aufbau eines leistungsfähigen Arbeitsplatzrechners befähigt.

AGP Höhere Grafikperformance

Die für den Aufbau einer leistungsfähigen Grafikworkstation wichtigste Errungenschaft in Windows 2000 ist zweifellos die nun vorhandene Unterstützung für den Accelerated Graphics Port (AGP). Erst damit können die modernen 3D-Grafikbeschleuniger ihre volle Leistungsfähigkeit entfalten. Die Datentransferraten des AGP sind um ein Vielfaches höher als bei PCI (528 und zukünftig > 1 GB/s zu 132 MB/s) und die direkte Hauptspeicherankopplung an den AGP lässt die Auslagerung komplexer Texturen ins RAM des Rechners zu. Wenn mal nicht gerade mit 3D-Programmen gearbeitet wird, kann Windows 2000 dank integrierter DirectX-Schnittstelle auch hervorragend für das 3D-Ballerspiel der neuesten Generation missbraucht werden.

Plug&Play Einfachere Installation

Windows 2000 ist jetzt auch endlich richtig Plug&Play-fähig geworden (schon wieder Spielen?). Das bedeutet, dass jetzt neu installierte Hardware-Komponenten sehr zuverlässig erkannt und falls ein Treiber vorhanden ist, auch gleich automatisch eingebunden werden. Im Workstation-Betrieb, wo öfter mal Hardware erweitert oder getauscht werden muss als bei einem Server (denken Sie nur an die rasante Entwicklung auf dem Grafikkarten-Markt – möchten Sie mit einer 6 Monate alten Karte arbeiten?), macht sich dieses Feature sehr positiv bemerkbar. Sehr wichtig ist Plug&Play natürlich auch in Bezug auf den NotebookEinsatz; die wichtigsten Stichworte sind hier PCMCIA und USB – dazu später aber mehr.

2.4 Unterstützung neuer Hardware-Technologien

49

USB Die komplette Unterstützung des Universal Serial Bus (USB) in Win- Hot Plug dows 2000 (in Windows NT nur rudimentär implementiert) verhilft diesem Port zu einem weiteren Aufschwung. USB ist in der Version 1 vor allem für relativ langsame Peripherie wie Eingabegeräte geeignet (nichtsdestotrotz auch von Druckern, Digitalkameras und Scannern gern benutzt) und wird in der Version 2 ein Vielfaches der Datenmenge transportieren können (12 Mbps zu 480 Mbps). Die Vorteile von USB sind das sehr einfache Handling für den Benutzer, das Zusammenarbeiten mit mehreren Geräten an einem Bus (der durch einfache USB-Hubs problemlos erweitert werden kann) und die Stromzufuhr für die Peripheriegeräte, die, ein ausreichend starkes Netzteil im PC vorausgesetzt, uns in Zukunft den Wust von tausenden externen Netzteilen ersparen können.

IEEE 1394 Eine zweite Technologie für den Anschluss externer Massenspeicher Hohe Bandbreite (das können neben Festplatten beispielsweise auch Videosysteme sein) ist FireWire, auch als IEEE 1394 bekannt. Mit dieser Schnittstelle können unter Windows 2000 solche Anwendungen arbeiten, die einen exklusiven und konstanten Datentransfer mit einer hohen Bandbreite (50 MB/s), beispielsweise beim Videoschnitt, benötigen. Die wesentlich bessere Hardwareausnutzung von Windows 2000 im Vergleich zu Windows 98 (4 GB RAM zu 128 MB nutzbarem RAM) und das stabilere Laufzeitverhalten durch preemptives Multitasking und Mehrprozessorunterstützung (bis zu 2 CPUs) lassen ein weiteres Vordringen von Windows 2000 in den bislang MAC-dominierten Multimediamarkt erwarten.

IDE-Schnittstelle Im Unterschied zum Vorläufer wartet jetzt Windows 2000 mit einem Schnelles IDEumfassenden Support für die IDE-Schnittstelle auf. Ultra-DMA/66 Interface wird ebenfalls unterstützt, sodass im Workstation-Bereich mit dieser deutlich preiswerteren Alternative zu SCSI ohne nennenswerte Performance-Einbußen gearbeitet werden kann.

ACPI/APM Das Advanced Configuration and Power Interface (ACPI) ist eine Ausgefeiltes normierte Schnittstelle, die gemeinsam von den Herstellern Compaq, Powermanagement Intel, Microsoft, Phoenix und Toshiba ausgearbeitet worden ist und ein deutlich besseres Zusammenarbeiten zwischen PC-Hardware und

50

2 Die Neuerungen im Überblick Betriebssystem ermöglicht. ACPI hilft, die Stromsparmechanismen effektiver arbeiten zu lassen. Mit der sogenannten »Suspend to RAM«Funktionalität wird beispielsweise der gesamte Hauptspeicherinhalt gepuffert; der Rest des Computers inklusive der CPU fällt in einen Schlafzustand und kann auf Tastendruck innerhalb weniger Augenblicke wieder zu Leben erweckt werden. Die Festlegungen der ACPISpezifikation sollen dabei sichern, dass die einzelnen Komponenten reibungslos zusammenarbeiten. Ein Nichtwiederaufwachen oder unkontrollierte Abstürze, wie sie noch unter Windows 95/98 mit herkömmlichem Powermanagement (nur via APM – Advanced Power Management) öfter zu beobachten waren, sollen so der Vergangenheit angehören. Aber auch mit ACPI lief es nicht immer problemlos unter Windows 98. Manche Computer, genau genommen die Hauptplatinen der ersten ACPI-Generation, sind mit ihrem BIOS nicht zu 100% ACPIkompatibel. Deshalb geht Windows 2000 bei der Installation kritischer bei der Einrichtung von ACPI vor. Manch vermeintlicher ACPIRechner wird dann gar nicht als solcher erkannt, sondern es wird nur APM aktiviert. Aus Gründen der Stabilität sollte man es dabei belassen; wobei Windows 2000 unter Umständen noch zu ACPI überredet werden kann.

Symmetrisches Multiprocessing (SMP) Mehrere CPUs

Windows 2000 Professional ist wie Windows NT 4 Workstation von Hause aus für den Einsatz auf Computern mit bis zu zwei Prozessoren ausgelegt. Dabei wird das sogenannte Symmetrische Multiprocessing (SMP) unterstützt. Beim SMP werden Prozessoren gleichen Typs und gleicher Taktfrequenz unterstützt, die auf einen gemeinsamen physischen Arbeitsspeicher zugreifen. Moderne Windows-Software, bei der die einzelnen Programmfunktionen in separat ablaufende Teile, sogenannte Threads, zerlegt sind und parallel ablaufen können, werden von Windows 2000 automatisch optimal auf die beiden Prozessoren aufgeteilt. Darüber unterstützen die Windows-APIs die Zuteilung von Prozessen zu einem festgelegten Prozessor. Dabei legt der Programmierer fest, auf welchem Prozessor welche Programmteile ablaufen sollen.

Kein asymmetrisches Multiprocessing

Es gibt auch das asymmetrische Multiprocessing, bei jeder Prozessor einen eigenen Hauptspeicher ansprechen kann und auch nicht vom selben Typ sein muss. Diese Technologie wird von Windows 2000 generell nicht unterstützt.

2.4 Unterstützung neuer Hardware-Technologien

51

2.4.2 Wichtige unterstützte Technologien für den Notebook-Einsatz Insbesondere die Eignung von Windows 2000 für den mobilen Einsatz zeigt sich in der Unterstützung der für diesen Einsatz wesentlichen Features.

ACPI/APM Eines der wichtigsten Features eines Betriebssystems für einen profes- Effektivere sionellen Notebook-Einsatz ist eine effektive Ausnutzung der Akku- EnergiesparKapazitäten. Windows 98 war dafür trotz ACPI-Unterstützung nicht mechanismen sehr berühmt – man denke nur an grundloses regelmäßiges Wiederanlaufen der Festplatte. Windows 2000 geht in dieser Hinsicht, übrigens auch bei APM-Computern, mit der Akku-Kapazität deutlich sparsamer um. Voraussetzung ist aber in jedem Fall genügend Hauptspeicher. Was bei Windows 9x noch mit 32 MB RAM relativ flüssig lief, erfordert bei Windows 2000 mindestens 64 MB. Deutlich weniger Swap-Aktivitäten auf die Festplatte sind aber erst ab 96 MB RAM zu erwarten – damit wird dann auch ein sehr stromsparendes Laufzeitverhalten möglich (mit nicht zu vielen geöffneten Applikationen gleichzeitig).

Ruhezustand (Suspend to Disk) Unabhängig von den Fähigkeiten des Rechner-BIOS kann Windows Beschleunigter 2000 in den Ruhezustand gehen, indem der gesamte Hauptspeicher- Startvorgang inhalt auf die Festplatte geschrieben und der Rechner dann ausgeschaltet wird (bzw. manuell ausgeschaltet werden muss, wenn noch kein ATX-Netzteil im PC seinen Dienst verrichtet). Dieses Feature, das unter Windows NT noch nicht verfügbar war, verhilft zu deutlich schnelleren Ausschalt- und Startzeiten. Dabei wird die alte Sitzung erst dann wieder verfügbar, wenn sich der zuvor angemeldete Benutzer wieder ordnungsgemäß eingeloggt hat. Ein nicht beabsichtigter Zugang zu den Daten bei unbefugtem Einschalten eines solchen Rechners wird damit unterbunden.

PC-Cardbus / PCMCIA Die rudimentäre Unterstützung dieses Standards unter Windows NT Notebook-Erweigehört mit Windows 2000 der Vergangenheit an. Erweiterungskarten terungskarten für Netzwerk, externe Speichermedien wie CD-ROM-Laufwerke oder CDR/RW-Brenner können nun beliebig aktiviert und wieder entfernt werden.

52

2 Die Neuerungen im Überblick Andere Standards Für den Notebook-Einsatz ebenso bedeutsam wie für den Desktop-PC sind natürlich auch die neuen unterstützten Standards wie USB, FireWire oder die komplette Unterstützung der IDE-Schnittstelle. Diese wurden bereits in Abschnitt 2.4.1 Wichtige unterstützte Technologien für Windows 2000 Professional ab Seite 48 vorgestellt.

2.5 Die Neuerungen der Benutzeroberfläche Die Benutzeroberfläche von Windows 2000 wurde gegenüber seinem direkten Vorgänger Windows NT 4.0 überarbeitet, wobei die äußerlichen Veränderungen eher im Detail zu finden sind. Eine gravierende Umstellung des Erscheinungsbildes wie noch beim Wechsel von NT 3.5x auf 4.0 ist nicht zu verzeichnen. Im Mittelpunkt der Bemühungen stand laut Microsoft die Verbesserung der intuitiven Bedienbarkeit des Betriebssystems. Dafür wurden aufwändige »Windows Usability Benchmark«-Tests durchgeführt, bei denen unbedarfte Probanden bestimmte typische Aufgaben ohne fremde Hilfe ausführen mussten. Im Ergebnis der Auswertungen wurde der Windows-Desktop aufgeräumt und viele kleine Verbesserungen implementiert, die möglichst vorausschauend die am häufigsten zu erwartenden Probleme lösen helfen sollen. So verfügt Windows 2000, wie auch schon die Office2000-Suite, über »intelligente« Menüs, die nur die am meisten benutzten Einträge anzeigen. Dazu kommen eine große Anzahl von dienstbaren Assistenten, die die Verwaltungs- und Konfigurationsaufgaben weitgehend vereinfachen sollen. In den folgenden Abschnitten werden die wesentlichen Neuerungen vorgestellt; ab Seite 793 können Sie im Detail erfahren, wie alle diese Elemente benutzt und konfiguriert werden.

2.5.1 Der Desktop von Windows 2000 Professional Nach der Installation erscheint der Desktop von Windows 2000 aufgeräumter als unter Windows 98.

2.5 Die Neuerungen der Benutzeroberfläche

53 Abbildung 2.1: Der Desktop von Windows 2000

Sie finden hier 6 Symbole vor, hinter denen sich die folgenden Funktionen verbergen: •

Arbeitsplatz Das Arbeitsplatz-Symbol beinhaltet alle Laufwerke (Netzwerk- als auch lokale Laufwerke) sowie die Systemsteuerung. Die Symbole »Drucker« und »DFÜ-Netzwerk« dagegen sind verschwunden. »Drucker« befindet sich in der Systemsteuerung. »DFÜ-Netzwerk« ist jetzt logischer Bestandteil des Windows 2000-Netzwerkes.

•

Eigene Dateien Der Verweis auf die eigenen Dateien eines Benutzers erscheint nun auch auf dem Desktop. Unter Windows NT 4.0 war dieser Ordner etwas versteckt im NT-Hauptverzeichnis untergebracht: %Systemroot%\Profiles\benutzername\Eigene Dateien Mit Windows 2000 Professional gibt es einen zentralen Ordner »Dokumente und Einstellungen« im Hauptverzeichnis der Festplatte, unter dem standardmäßig die nutzerspezifischen Daten abgelegt werden. »Eigene Dateien« befindet sich demzufolge in \ Dokumente und Einstellungen\ benutzername\Eigene Dateien Das Programm »Aktenkoffer« für die Synchronisierung von Dateien für die mobile Nutzung ist verschwunden. Stattdessen wird diese Funktionalität mittels der neuen IntelliMirror-Technologie zur Verfügung gestellt und kann direkt innerhalb von »Eigene Dateien« angewandt werden.

54

2 Die Neuerungen im Überblick Im Bereich »Eigene Dateien« gibt es noch einen neuen Ordner »Eigene Bilder«. Dieser ist vor allem im Hinblick auf die zunehmende Verbreitung von digitalen Kameras, die über USB angeschlossen werden, um zu einem großen Teil von Windows 2000 ohne weitere zusätzliche Software gesteuert zu werden, mit zusätzlichen Funktionen versehen. In diesem Ordner abgelegte Bilder werden im linken Fensterbereich angezeigt und können hier direkt zum Betrachten in der Größe verändert und auch ausgedruckt werden. •

Netzwerkumgebung Die Netzwerkumgebung hat sich mit Windows 2000 grundlegend verändert. Waren unter NT die LAN- und Remote Access-Bereiche (RAS – Remote Access Service) verwaltungstechnisch noch strikt getrennt, so werden nun in der »Netzwerkumgebung« alle Verbindungen verwaltet, die mit der Außenwelt kommunizieren. Für die Definition einer neuen Verbindung rufen Sie die Eigenschaften der »Netzwerkumgebung« oder in der Systemsteuerung »Netzwerk- und DFÜ-Verbindungen« auf. Dort werden Sie dann mit Hilfe eines Assistenten bei der Erstellung einer neuen Verbindung geführt. Ob Sie diese für ein LAN, das Internet, ein Virtuelles Privates Netzwerk (VPN) oder eine Direktverbindung via Parallelkabel benötigen, ist dabei gleich. Das Einrichten von Netzwerkverbindungen wird ab Seite 493 ausführlich beschrieben.

•

Papierkorb Der Papierkorb dient dem Löschen von Dateien per Drag&Drop und bewahrt gelöschte Dateien auf. Diese können Sie dadurch wieder zurückholen, falls das Löschen versehentlich erfolgt ist. Die Anzahl beziehungsweise der Umfang der hier aufbewahrten Dateien ist konfigurierbar.

•

Internet Explorer und Verbindung mit dem Internet herstellen Im Lieferumfang von Windows 2000 ist auch der Microsoft Internet Explorer enthalten. Für die Einrichtung einer InternetVerbindung können Sie auf einen Assistenten zurückgreifen, der mit dem Verweis auf dem Desktop Verbindung mit dem Internet herstellen gestartet werden kann. Der Assistent wird übrigens auch dann gestartet, wenn Sie das erste Mal den Internet Explorer oder Outlook Express aufrufen.

Integration des Internet Explorers

Die Integration des Internet Explorers in die Benutzeroberfläche von Windows 2000 ist eine wesentliche Veränderung gegenüber NT 4.0 und führt den mit Windows 98 eingeschlagenen Weg konsequent fort. Ziel der Verschmelzung der Browser-Technologien mit der normalen Benutzung des Computers ist die Vereinheitlichung von Bedienkonzepten. Dabei sollen die Unterschiede, die heute noch normalerweise

2.5 Die Neuerungen der Benutzeroberfläche

55

beim Umgang mit dem Betriebssystem und beim Surfen durchs Web in der Bedienung zu beachten sind, zunehmend aufgehoben werden.

2.5.2 Intelligente Menüs und das Startmenü Wie schon in Office 2000 haben jetzt auch in Windows die »intelligenten« Menüs Einzug erhalten. Das beginnt schon beim Startmenü, in dem nur die am häufigsten benötigten Einträge angezeigt werden. Wollen Sie zu einem Programm, welches versteckt ist, müssen Sie auf den Fortsetzungsbereich des Menüs gehen und einen Moment mit der Maus darauf verharren oder anklicken. Erst dann werden die restlichen Einträge sichtbar. Abbildung 2.2: »Intelligente« Menüs

So lässt sich die Anzahl der angezeigten Einträge minimieren. Falls Sie diese Form der Menüdarstellung nicht mögen, können Sie dies über die Einstellungen für die Taskleiste und das Startmenü auch ausschalten.

56

2 Die Neuerungen im Überblick Wenn Sie mit gedrückter Umschalttaste auf einem Programmeintrag im Startmenü mit der rechten Maustaste klicken, können Sie über das dann erscheinende Kontextmenü das Programm mit einer anderen Benutzerkennung aufrufen.

Abbildung 2.3: Aufruf eines Programms unter einer anderen Benutzerkennung

Somit können Sie auch von einem Arbeitsplatz eines normalen Benutzers als Administrator Managementaufgaben am System aufrufen, ohne sich aus- und wieder einloggen zu müssen und damit Zeit zu verlieren.

2.5.3 Neue Dateidialogfenster Mit der neuen Benutzeroberfläche besitzt Windows 2000 auch ein neues Dialogfenster zum Öffnen und Schließen von Dateien. Dieses ist komfortabler zu bedienen und bietet Ihnen im linken Fensterbereich die wichtigsten Anwahlpunkte der Benutzeroberfläche an. Abbildung 2.4: Neues Dialogfenster

2.5 Die Neuerungen der Benutzeroberfläche

57

2.5.4 Weborientierte Ordneransichten Auffällige Neuerung beim Öffnen eines Fensters sind die Hyperlinks auf der linken Seite, die zu logisch dazugehörenden Bereichen verweisen und die Sie per einfachem Mausklick auf diese aktivieren. Darüber hinaus werden hier auch weiterführende Informationen angezeigt, wenn ein Objekt im Ordner aktiviert wird. So können Sie auf einen Mausklick die Kapazität der Festplatte einzeigen lassen, indem Sie das Laufwerkssymbol anklicken. Abbildung 2.5: Fenster Arbeitsplatz mit Hyperlinks

Diese auch als Webansicht bezeichnete Darstellung der Ordner können Sie über EXTRAS | ORDNEROPTIONEN konfigurieren. Dort können Sie auch einstellen, dass sich Ihre Windows-Oberfläche komplett wie eine Website bedienen lässt. Dann reicht ein einziger Mausklick auf ein Objekt aus, um es zu starten oder zu öffnen. Es hat sich herausgestellt, dass gerade unbedarfte Benutzer mit dieser Art der Bedienung des Betriebssystems intuitiver und schneller zurechtkommen. Für gestandene Windows-Anwender dürfte dies allerdings etwas gewöhnungsbedürftig sein. Die Integration des Browsers geht soweit, dass Sie jederzeit in einem beliebigen Ordnerfenster unter ADRESSE eine Web-Adresse angeben können. Dieses Fenster wird dann automatisch zum Explorer-Fenster und die Seite wird angezeigt. Zum Wiederfinden schon einmal aufgerufener Dateien oder Webseiten wurde eine weitere Technologie aus dem Internet Explorer in Windows 2000 integriert: die Verlaufsfunktion. Über das Symbol VERLAUF im Ordnerfenster erhalten Sie schnell einen Überblick über die Historie aller Dokumente bzw. Webseiten. Dabei ist diese über-

58

2 Die Neuerungen im Überblick sichtlich nach den letzten Tagen bzw. Wochen sortiert. Schon einmal bearbeitete Dokumente oder interessante Webseiten, deren genaue Adresse Sie sich vielleicht nicht gemerkt haben, lassen sich so schnell wieder aufrufen.

2.5.5 Webinhalte auf dem Desktop Durch die Active Desktop-Technologie können Webinhalte direkt auf dem Desktop abgelegt werden, wie beispielsweise die Homepage der eigenen Firma. Dazu werden alle Elemente dieser Webseiten lokal auf den Computer kopiert und sind dann auch offline lesbar. Abbildung 2.6: Active Desktop mit Webseiten

Das Einrichten dieser Webseiten können Sie direkt in den Eigenschaften der Anzeige (über das Kontextmenü zum Desktop) unter dem Eintrag WEB einrichten. Hier legen Sie über die Eigenschaften zum Active Desktop auch fest: •

...ob und wann diese Seiten aktualisiert werden sollen. Dazu können Sie einen detaillierten Zeitplan ausarbeiten. So kann es sinnvoll sein, in einem Unternehmen die Arbeitsplatzcomputer so mit der Firmenhomepage zu verbinden und diese jeden Morgen zu aktualisieren. So können Sie sicherstellen, dass bestimmte Informationen auch wirklich bei allen Mitarbeitern ankommen.

•

...ob für die Aktualisierungen automatisch ein Internet-Zugang angewählt werden soll, falls zu dem Zeitpunkt keine Verbindung besteht;

2.5 Die Neuerungen der Benutzeroberfläche •

...die maximale Verschachtelungstiefe für über Hyperlink verbundene Seiten sowie die maximale Dateigröße (in MB);

•

...ggf. Zugangsdaten mit Benutzernamen und Kennwort, falls in die Seite eingeloggt werden muss;

•

...ob und an wen eine E-Mail gesendet werden soll, wenn sich die Seite durch eine Aktualisierung geändert hat;

59

Abbildung 2.7: Einrichten von Webseiten auf dem Desktop

Die Active Desktop-Technologie bietet umfassende Werkzeuge, um Webinhalte stets aktuell auf dem Desktop zu halten sowie die Aktualisierungsvorgänge individuell konfigurieren zu können. Dabei sind Sie nicht auf Inhalte aus dem Internet beschränkt, sondern können natürlich auch Informationen aus dem Intranet auf den Desktop bringen.

2.5.6 Erweiterte Suchfunktionen Eine wesentliche Funktion eines Betriebssystems ist heute die Verwaltung und das Wiederfinden von Informationen. Reichten früher noch Funktionen zum Auffinden von Dateien über die Angabe des Dateinamens (oder bekannter Fragmente davon wie beispielsweise »U*.TXT«) aus, so müssen die Suchfunktionen heute mehr bieten können. Das beginnt bei der gezielten Suche nach bestimmten Eigenschaften von Dokumenten, über die Suche nach Schlagwörtern aus dem Inhalt bis zur Unterstützung einer weitergehenden Suche im Internet.

60

2 Die Neuerungen im Überblick Die Suchfunktion von Windows 2000 (über das SUCHEN-Symbol in der Symbolleiste oder über STARTKNOPF | SUCHEN) wurde an diese Anforderungen angepasst und ist deutlich leistungsfähiger als seine Vorgänger. Sie können über den Suchdialog direkt nach Dokumenten, Computern, Druckern oder Personen suchen lassen. Dazu kommt der Start der Suchfunktion für das Internet.

Abbildung 2.8: Suchdialog in Windows 2000

Für die Suche nach Dokumenteninhalten kann eine Indizierung aktiviert werden. Dieser Indexdienst katalogisiert dabei regelmäßig im Hintergrund alle Dateien auf den angegebenen Laufwerken. Um auch die Inhalte für die Erstellung eines Index einbeziehen zu können, müssen für die Dokumentenarten geeignete Filter, sogenannte Dokumentfilter, bereitstehen. Über diese Filter werden die durchsuchten Dokumente nach ihrem Inhalt und ihren Eigenschaften katalogisiert. Beim Erstellen des Index über den Inhalt werden die Suchwörter unter Ausschluss von Ausnahmelisten (Wörter wie »über«, »bei«, »betreffs« etc., die mit dem eigentlichen Inhalt wenig zu tun haben) extrahiert. Dabei wird auch die Sprachversion des Dokuments erkannt, um die sprachspezifische Ausnahmeliste zu laden. Die Technologie der Suche über Dokumentfilter hat Microsoft offengelegt, sodass auch andere Software-Hersteller Filter für die Windows-Suchfunktion herstellen können.

2.5 Die Neuerungen der Benutzeroberfläche

61

Die Suche nach Computern und Druckern baut auf die bekannten Netzwerk-Suchfunktionen auf und integriert diese in den WindowsSuchdialog. Wichtiger als im kleinen, übersichtlichen LAN wird die Suchfunktion im Zusammenhang mit dem Active Directory (siehe auch Abschnitt 6.6 Einführung in Active Directory ab Seite 212), wo es darum gehen kann, aus einer Vielzahl von angeschlossenen Computern und Druckern den richtigen zu finden. Das trifft auch für die Suche nach Personen zu. Hier können Sie neben Suche nach der Suche im lokalen Adressbuch auch globale Suchen über das Acti- Personen ve Directory oder Internet-Suchdienste starten. Leider ist hier die Liste der Internet-Suchdienste begrenzt und kann nur durch Eingriff in die Registrierung erweitert werden. Das trifft auch auf die voreingestellten Internet-Suchdienste für die Suche im Internet Suche nach Web-Dokumenten zu. Da diese Liste aus einem ASPSkript erzeugt wird, das auf einem der Microsoft Webserver läuft, besteht keine Möglichkeit, diese zu erweitern. Die Autoren halten diesen Ansatz für bedenklich. Es drängt sich der Verdacht auf, dass mit dem Active Desktop den Benutzer nur noch Inhalte erreichen sollen, die von Microsoft oder einem seiner Partner geliefert werden. Abbildung 2.9: Die voreingestellten Suchdienste für die Internet-Suche

Falls Sie eine Suche mit Yahoo! oder Altavista ausführen möchten, bleibt Ihnen nur der Weg direkt über den Internet Explorer und ggf. die eingerichteten Favoriten.

62

2 Die Neuerungen im Überblick

2.6 Vereinfachungen für die Administration Windows 2000 bringt eine Reihe von neuen Ansätzen für eine einfachere Administration des Betriebssystems mit. Die Administration eines Windows NT-Systems ist gekennzeichnet durch die Verwendung verschiedener Tools, die aufgrund der historischen Weiterentwicklung von NT 4 und seinen Erweiterungen durch diverse Service Packs, nicht immer logisch aufeinander aufgebaut waren. In Windows 2000 wurde nun versucht, dies weitgehend zu vereinheitlichen sowie bestimmte Prozesse durch Assistenten zu vereinfachen. Darüber hinaus wurde ein neues Konzept für die Installation und Wartung von Softwarepaketen implementiert.

2.6.1 Die Managementkonsole Zentrale Administrationsschnittstelle

Die Microsoft Management Konsole (MMC) stellt die zentrale Administrationsschnittstelle für Windows 2000 dar. Ziel ist eine einheitliche Bedienung der Verwaltungswerkzeuge. Die Managementkonsole stellt dabei nur den einheitlichen Ausführungsrahmen für die Werkzeuge dar, welche als sogenannte Snap-Ins ausgeführt sind. Microsoft liefert mit Windows 2000 die Mehrzahl aller Verwaltungswerkzeuge als Snap-Ins mit. Diese sind in mehreren vorgefertigten Managementkonsolen zusammengefasst.

Nutzerspezifische Managementkonsolen

Sie können aber auch Ihre eigenen Managementkonsolen entwerfen und diese benutzerspezifisch anpassen. So können Sie beispielsweise Konsolen zusammenstellen, die nur ganz bestimmte Snap-Ins umfassen und durch sogenannte Taskpadansichten einen begrenzten Funktionsumfang aufweisen.

Remote Administration

Die Managementkonsole bietet auch eine Remote-Funktionalität. Wenn die eingesetzten Snap-Ins es unterstützen, können Sie über ein lokales Netzwerk oder eine Datenfernverbindung einen entfernten Windows 2000-Computer oder auch Server so administrieren, als ob Sie direkt vor ihm sitzen. Das kann die Verwaltung einer Vielzahl von Computern in einem größeren Netzwerk stark erleichtern.

Offene Schnittstellen

Die Schnittstellen zur Managementkonsole sind von Microsoft offengelegt worden und erlauben es anderen Herstellern, so ihre eigenen Werkzeuge in diese einheitliche Administrationsumgebung einzubinden. Das Konzept der Managementkonsole wird ausführlich ab Seite 355 behandelt.

2.7 Die Windows 2000 – Produktpalette

63

2.6.2 Assistenten Die Einrichtung von Systemkomponenten und die Administration von Vielzahl nützlicher Windows 2000 wird durch die Hilfe einer Vielzahl nützlicher Assis- Assistenten tenten erleichtert. Diese Hilfe reicht von der Druckerinstallation bis zum Einrichten des Internetzugangs. Trotzdem sind natürlich damit nicht alle Fallstricke beseitigt, die bei der Administration eines so komplexen Betriebssystems wie Windows 2000 auftauchen können. In diesem Buch werden die wichtigsten Assistenten jeweils bei den Erklärungen zu den einzelnen Administrationsschritten erwähnt und darüber hinaus Tipps gegeben, wie Sie diese jeweils steuern müssen, um das gewünschte Ziel zu erreichen.

2.6.3 Softwareinstallation Die Installation von Software wird über die SYSTEMSTEUERUNG im Programm SOFTWARE detailliert protokolliert. Damit haben Sie jederzeit einen Überblick, welche Applikationen oder auch Service-Packs auf Ihrem System installiert sind. Darüber hinaus wird auch angezeigt, wie häufig eine Software benutzt wird und wann der letzte Aufruf stattgefunden hat.

2.7 Die Windows 2000 – Produktpalette Microsoft unterteilt die Windows 2000-Familie in zwei grundsätzliche Einheiten: Zum einen die Professional-Variante als Desktop- und Notebook-Betriebssystem und zum anderen die Server-Versionen. Daraus abgeleitet ergeben sich heute vier verfügbare Produkte, jeweils zugeschnitten auf die besonderen Einsatzzwecke:

2.7.1 Windows 2000 Professional Diese Version steht im Mittelpunkt des ersten Bandes unserer Windows-2000-Reihe. Als direkten Nachfolger der Windows NT 4 Workstation sieht Microsoft die ideale Positionierung als DesktopBetriebssystem und im Einsatz auf Notebooks. In Windows 2000 Professional wurde die stabile Basis der NT 4-Workstation mit den Konzepten der Benutzerführung und der Unterstützung moderner Hardware (USB, IEEE 1394 etc.) von Windows 98 zusammengeführt. Windows 2000 Professional hat das Potential, sich noch stärker im umkämpften Markt der hochleistungsfähigen Arbeitsplatzcomputer für die Bereiche Grafik und 3D-Design durchzusetzen. Mit der imple-

64

2 Die Neuerungen im Überblick mentierten Unterstützung für den AGP (Accelerated Graphics Port) ist nun auch das Grafiksystem für anspruchsvolle Aufgaben gerüstet (und macht Windows 2000 auch als Spieleplattform einsetzbar). Hinzu kommt, dass im Vergleich zu Windows 98 deutlich mehr Leistung durch die Unterstützung von 2 Prozessoren und 4 GB RAM erreicht werden kann. Nicht zuletzt aufgrund der ausgereiften Power ManagementUnterstützung und der neuen Sicherheitsfeatures wie der sicheren Verschlüsselung von Dateien auf der Festplatte ist Windows 2000 das beste Notebook-Betriebssystem, das momentan verfügbar ist.

2.7.2 Windows 2000 Server Die kleinste Server-Variante von Windows 2000 wird von Microsoft als Netzwerkbetriebssystem für kleinere Arbeitsgruppen positioniert. Dazu kommt die Eignung als Plattform für Webseiten und ECommerce. Für den Einsatz auf Notebooks ist übrigens die gesamte Server-Familie von Windows 2000 nicht vorgesehen.

2.7.3 Windows 2000 Advanced Server Gegenüber der kleineren Server-Variante zeichnet sich der Advanced Server durch eine höhere realisierbare Leistungsfähigkeit und Verfügbarkeit aus. Es werden mehr Prozessoren und Hauptspeicher sowie Loadbalancing (bis zu 32 Server) und Server-Clustering (2 Server) unterstützt.

2.7.4 Windows 2000 Datacenter Server Als High-End-System vorrangig für den Rechenzentrumsbetrieb soll dieses Betriebssystem auch hohen Anforderungen an die Leistungsfähigkeit und Verfügbarkeit gerecht werden. Spezielle Systemkomponenten (wie beispielsweise Tools für Workload-Management) und eine noch weitergehende Unterstützung für Symmetrisches Multiprocessing) sollen eine noch höhere Leistungsfähigkeit ermöglichen.

2.7.5 Die vier Windows 2000-Versionen im Überblick In der Tabelle 2.1 sind die vier Windows 2000-Versionen mit ihren wichtigsten Merkmalen gegenübergestellt.

2.8 Zur Geschichte von Windows 2000 Professional Anz. CPUs

Server

65 Advanced Server

Datacenter Server

2

4

8

32

4 GB

4 GB

8 GB

64 GB

ACPI + APM

Plug & Play

USB, IrDA und IEEE1394, I2O, AGP

Encrypting File System (EFS)

Client

Server

Server

Server

IPSec

Internet Information Server

Active Directory Domänen Server

Netzwerk- und Applikationsserver

Terminal Services

IP-Load Balancing

32 Server

32 Server

FailoverClustering

2 Server

4 Server

RAM bis

Kerberos

2.8 Zur Geschichte von Windows 2000 Die Entwicklung von Microsoft zum heute größten Softwareunternehmen der Welt ist eng verbunden mit der Entwicklungsgeschichte von Windows. In diesem Abschnitt wird die historische Entwicklung vom grafischen DOS-Aufsatz zum richtigen Betriebssystem an den wesentlichen Etappen aufgezeigt.

Historische Entwicklung Die Geschichte von Windows wird immer eng mit der Person Bill Gates verknüpft sein. Bill Gates heißt eigentlich William Henry Gates III. Seinen ersten Schritt in die Welt der Computer unternahm er 1975 mit einer BASIC-Implementierung für den ersten für private Anwender

Tabelle 2.1: Die vier Windows 2000Versionen

66

2 Die Neuerungen im Überblick erschwinglichen Computer, den MITS Altair. Der Altair ist ein Selbstbauset mit dem 8088 als Mikroprozessor. Er verfügte über die damals üppige Speicherausstattung von immerhin 4 KByte. Noch Anfang der 80er Jahre startete der erste echte Homecomputer, der Sinclair ZX-80 mit 1 KByte Hauptspeicher.

1979

Erste Ansätze für grafische Oberflächen werden schon 1979 am PARC (Palo Alto Research Corp.) entwickelt. Namentlich beteiligt ist Steve Jobs, heute – nach einer wechselvollen Geschichte – CEO von Apple. Auch Bill Gates besuchte das PARC und war von der Idee einer grafischen Oberfläche begeistert.

1981

IBM hat die Entwicklung der kleinen Computer lange ignoriert. Erst 1981 wurde die Gefahr für das eigene Geschäft erkannt und schnell ein kleines, »Personal Computer« genanntes Gerät, entwickelt – der PC war geboren. Das Betriebssystem wurde allerdings nicht selbst entwickelt, sondern eingekauft – von Bill Gates. Gates schaffte es allerdings, die Rechte dabei nicht aus der Hand zu geben – statt den Quellcode mit allen Rechten zu verkaufen, kassierte er eine geringe Lizenzgebühr und vermarktete sein »DOS« getauftes Betriebssystem auch an andere Hersteller. In einem Markt, der damals Dutzende Betriebssysteme lieferte, war dies eine unglaubliche Vereinfachung für Programmierer – ein Betriebssystem für verschiedene Computer. Die PC-Architektur selbst setzte sich dagegen vor allem auf Grund der Marktmacht von IBM durch. DOS wurde nicht von Grund auf neu entwickelt – es basierte auf dem glücklosen Vorgänger CP/M von Digital Research. Digital Research war lange Zeit ein Wettbewerber von Microsoft (nicht zu verwechseln mit DEC, der Digital Equipment Corporation, die inzwischen von Compaq geschluckt wurde). CP/M lief auf Intel 8088, Zilog Z80 und mit einer Z80-Karte auch auf dem Apple II. Tim Paterson entwickelt 1978 eine Adaption von CP/M für den Intel 8086-Prozessor, 86DOS, für seine Firma Seattle Computer Products. Von dieser Firma kaufte Bill Gates Ende 1980 den Basiscode für sein DOS, das er bereits an IBM verkauft hatte. Hinzugefügt wurden Dateistrukturen ähnlich wie in Unix mit Dateiattributen und eine Verzeichnisstruktur für Disketten namens FAT (File Allocation Table). 1981 erscheint der erste IBM-PC mit PC-DOS als Betriebssystem. Alternativ war allerdings auch noch CP/M-86 lieferbar. Die ersten Verkaufserfolge waren nicht berauschend. IBM-PCs sind zu teuer, es gibt kaum Software und die Entwickler sind wenig begeistert, immer für zwei Betriebssysteme zu entwickeln. IBM startet eine Entwicklungsinitiative, um schnell native Software auf den Markt zu bringen, bevor ein anderes System das Rennen macht. IBM entscheidet sich für PC-DOS als das primäre Betriebssystem und lässt CP/M-86

2.8 Zur Geschichte von Windows 2000 fallen. Damit beginnt der Siegeszug von Microsoft und ihrem Betriebssystem MS-DOS. 1983 erscheint MS-DOS 2.0 mit hierarchischer Dateistruktur und File 1983 Handles. Kurze Zeit später kommt MS-DOS 2.1 mit der Unterstützung verschiedener Landessprachen auf den Markt. 1983 erscheint auch Windows 1.0, ein grafischer Aufsatz für MS-DOS 2.1. Durchsetzen kann sich diese Oberfläche ebenso wenig wie die vielen anderen Versuche, derartiges an den Markt zu bringen: GEM (von DR), Geoworks (von Geoworks, Inc.) oder DesqView (Quarterdeck). Viele Kernideen von Windows waren allerdings damals schon vorhanden wie aufklappende Menüs, Mausbedienung und ansatzweise eine WYSIWYG-Darstellung. 1984 erscheint der Intel 80286 am Markt und dazu MS-DOS 3.0. 1984 Merkwürdigerweise nutzt DOS 3.0 den 80286 nicht aus. Trotz eines inzwischen adressierbaren Adressraumes von 16 MByte kennt DOS nur die vom 8086 gesteckten Grenzen. Die alten Strukturen bleiben erhalten. Dafür wird der Funktionsumfang erweitert, MS-DOS 3.1 konnte ansatzweise mit Netzwerken umgehen. Einige Jahre später brachte IBM die PS/2-Modelle auf den Markt. IBM 1987 versuchte mit der veralteten PC-Architektur zu brechen und führte zugleich den 80386 von Intel ein. Als Betriebssystem wurde OS/2 entwickelt, das die neuen Features des 386er ausnutzte. Am Markt hatte die Kombination wenig Erfolg. 386er-Klone mit dem schlecht angepassten DOS 3.1 machten das Rennen bei Anwendern und Entwicklern. Der Grund ist in der Politik von Microsoft zu suchen, das Betriebssystem als offenes System zu betrachten. Geräteherstellern und Programmierern werden die Schnittstellen offengelegt. Mit Begeisterung nutzen dies auch Hobbyprogrammierer und kleinere Firmen, die sich die Lizenzgebühren von IBM nicht leisten können und wollen. Eine Invasion von Software setzte ein, die letztlich von den Anwendern honoriert wird – gekauft werden Computer mit DOS, nicht mit dem technisch besseren OS/2.

Windows entsteht OS/2 wurde in den Jahren 1983 bis 1987 von Microsoft und IBM gemeinsam entwickelt. Mangels Anwendungen bleibt der Erfolg aus und 1987 überwerfen sich Microsoft und IBM. Microsoft steigt aus der Entwicklung aus und nimmt den bereits entwickelten Code von OS/2 als Basis für ein eigenes, völlig neues Betriebssystem: NT (New Technology).

67

68

2 Die Neuerungen im Überblick

Abbildung 2.10: Windows auf der Zeitachse

1988

Parallel dazu wird die grafische Oberfläche Windows zur Version 2.0 weiterentwickelt. Mit dem 80386 erscheint eine angepasste Version mit dem Namen »Windows 386«. In Anbetracht der stiefmütterlichen Entwicklung von DOS, das damals noch einen überwältigenden Marktanteil hatte, kann man die bevorzugte Entwicklung von Windows eigentlich als geniale Vision von Bill Gates betrachten. In der Folgezeit kommt es zu Streitigkeiten zwischen den Anbietern anderer grafischer Oberflächen über die Urheberrechte (Apple und IBM), die mit der SAA-Spezifikation für grafische Oberflächen enden – mit der Folge, dass sich Apples OS, OS/2 und Windows 2/386 sehr ähnlich sehen. Ende 1988 holt Bill Gates ein ganzes Entwicklerteam von DEC und lässt Windows 3.0 entwickeln. Teamchef Dave Cuttler entwickelt das neue System mit der Erfahrung aus der Entwicklung von VMS, dem Betriebssystem der legendären PDP-11.

1990

1990 erblickt Windows 3.0 das Licht der Welt. Microsoft ist mit dem richtigen Produkt zur richtigen Zeit am richtigen Ort: Windows 3.0 wird ein durchschlagender Erfolg. Der Markt zieht mit und es entstehen in kurzer Zeit viele Anwendungen – ähnlich wie schon bei DOS ein K.O.-Kriterium für andere Systeme. OS/2 hat sich nie wieder von diesem Schlag erholt.

1991

Nur ein Jahr später bringt Microsoft mit dem LAN Manager 2.1 eine Lösung für heterogene Netzwerke. Eine Brücke zu den erfolgreichen

2.8 Zur Geschichte von Windows 2000 Netzwerkbetriebssystemen NetWare (Novell) und Unix entsteht. Sehr schnell wird auch Windows 3.1 auf den Markt geworfen, vor allem um das unfertige OS/2 2.0 zu torpedieren. Neu sind multimediale Eigenschaften. Während die Stammlinie Windows 3, inzwischen mit Netzwerkfunk- 1993 tionen ausgestattet als Windows für Workgroups 3.11 auf dem Markt, weiter entwickelt wird, ist die erste NT-Version fertig. Sechs Jahre hat Dave Cuttlers Team gebraucht, um Windows NT 3.1 fertig zu stellen. Die Versionsnummer wird der Windows-Linie angepasst, die Version 3.1 ist intern eine 1.0. Die Oberfläche ähnelt der von Windows 3.1. Ein Jahr später erscheint Windows NT 3.5 und kurz danach die Versi- 1994 on 3.51, die sich optisch an Windows 3.11 anpasst. Windows 3.11 wird dagegen kurze Zeit später gegen das lange ange- 1995 kündigte Windows 95 ausgetauscht – einer der weiteren ganz großen Erfolge von Microsoft. Im August 1996 kommt Windows NT 4.0 auf den Markt. Neben vielen 1996 technischen Verbesserungen auch mit der von Windows 95 her bekannten Oberfläche. NT ist deutlich stabiler und ausgereifter als Windows, was sich nicht zuletzt in den viel längeren Produktzyklen widerspiegelt. So erscheint schon 1998 eine weitere Windows-Version: Windows 98. 1998 Es dauert noch einmal zwei Jahre, bis auch Windows NT ein grundlegendes Update erfährt: Windows 2000. Alle Betriebsysteme, die es in dieser langen Zeit mit DOS und Win- 2000 dows aufnahmen, sind inzwischen bedeutungslos. Lediglich in den Schutzzonen der Universitäten wurde Unix gepflegt. Daraus entstand in den letzten Jahren das freie Derivat Linux (ein Kunstwort aus dem Vornamen des Entwicklers Linus Torwalds und Unix). Dieses System dürfte am ehesten eine Alternative zu Windows sein, wenngleich es bis zur Gesamtleistung von Windows 2000 noch ein weiter Weg ist. Denn diese besteht nicht nur aus unzähligen Features, sondern auch aus einer gigantischen Anzahl an Software von Drittherstellern. Trotz Windows 2000 und dem Versprechen, die Entwicklungslinien zusammenzuführen, erschien 2000 ein weiterer Nachfolger der Windows 9x-Reihe, Windows ME. ME steht für Millenium Edition. Die Bezeichnung »Edition« ist Programm, denn die Änderungen sind marginal und der Umstieg lohnt sich kaum. Die Aussagen zu Windows 98 gelten deshalb uneingeschränkt auch für Windows ME.

69

2.8 Zur Geschichte von Windows 2000

Teil II – Grundlagen

II Grundlagen

71

2.8 Zur Geschichte von Windows 2000

Kapitel 3 Die Windows-Systemarchitektur

3.1

Modularer Aufbau...................................................75

3.2

Innere Struktur – Windows Executive.................77

3.3

Netzwerkarchitektur ...............................................81

73

3.1 Modularer Aufbau

75

3 Die Windows-Systemarchitektur Die Systemarchitektur ist wesentlich für die Stabilität eines Betriebssystems verantwortlich. Mit Windows NT wurde deshalb auch bewusst eine neue Architektur gegenüber Windows 3.x/9x entworfen. Insgesamt konnte Windows NT dem Anspruch an hohe Ausfallsicherheit gerecht werden. Ein anderes Problem – das vor allem bei Servern kritisch ist – sind die Down-Zeiten des Systems. Hier hat sich bei Windows 2000 einiges getan. Die Anzahl an Neustarts nach Konfigurationsänderungen ist deutlich zurückgegangen, manche Applikation verlangt dies aber weiterhin.

3.1 Modularer Aufbau Windows 2000 ist stark modular aufgebaut. Der interne Aufbau ist zwar eher für Softwareentwickler interessant, hilft aber beim Verständnis des Gesamtsystems, vor allem auch im Hinblick auf den Einsatz von Treibern. Abbildung 3.1: Aufbau von Windows 2000

Die einzelnen Schichten liegen zwischen Hardware und den Anwendungsprogrammen, die der Benutzer ablaufen lässt. Sie haben folgende Bedeutung: •

Subsysteme Die Subsysteme führen Programme aus, die speziell für Windows 2000 geschrieben wurden und für den Benutzer als Teil des Be-

Subsysteme

76

3 Die Windows-Systemarchitektur triebssystems gelten. Es gibt auch Subsysteme für POSIX und OS/2, die aber nur eine geringe Bedeutung haben.

Dienste

•

Ausführende Dienste Dies ist die oberste Schicht im geschützten Kernel-Modus. Hier werden grundlegende Ein- und Ausgabeprozesse erledigt. Wichtige Bestandteile sind:

Treiber

•

-

Dateisystem- und I/O-Manager

-

Sicherheitsmonitor

-

Powermanagement

-

Speichermanagement

-

Plug&Play-Steuerung

-

IPC-(Interprozess-Kommunikation)-Manager

Gerätetreiber Gerätetreiber sind spezielle Programme, die den Zugriff auf Hardwareerweiterungen erlauben. Sie werden meist von den Hardwareherstellern geliefert. Für viele Standardgeräte bringt Windows Treiber mit.

Kernel

•

Mikrokernel Der Mikrokernel steuert den Prozessor und die elementarsten Abläufe bei der Prozesskommunikation. Hier werden Ausnahmefehler abgefangen (das heißt Blue Screens erzeugt) und die Threads der Programme aufgeteilt.

HAL

•

Hardware-Abstraction-Layer Um möglichst hardwareunabhängig zu sein, ist diese unterste Schicht für eine Abstraktion des Prozessors zuständig. Damit können leichter Windows 2000-Applikationen geschrieben werden, die auf verschiedenen Prozessoren laufen.

Bedeutung der Kernelemente Um zu verstehen, was mit den einzelnen Bezeichnungen gemeint ist, kann ein kleiner Ausflug in die Prozessorwelt helfen. IntelProzessoren lassen sich in verschiedenen Modi betreiben. Der sogenannte Ring-0-Modus ist für privilegierte Anwendungen reserviert. Die Daten in einigen Registern des Prozessors können nicht verändert werden, wenn der Prozessor im normalen Ring-3-Modus betrieben wird, in dem Anwendungsprogramme laufen. So kann ein Programm das System nicht völlig zum Absturz bringen, da der übergeordnete Prozess in den geschützten Ring-0 wechseln kann – Applikationen

3.2 Innere Struktur – Windows Executive können dies nicht. Dies ist übrigens eine der Situationen, in denen Windows die Applikation kontrolliert: die berüchtigte Fehleranzeige »Allgemeine Schutzverletzung« erscheint. Der in Abbildung 3.1 gezeigte Aufbau teilt sich in zwei Bereiche: Der Benutzermodus läuft im Ring-3 ab, der Kernel-Modus in Ring-0. Entsprechend hoch sind die Ansprüche an die Entwickler von Gerätetreibern – verhalten sich diese Programme fehlerhaft, hat das Betriebssystem nur noch wenige Schutzmöglichkeiten. Fehler auf dieser Ebene führen auch zu einer bekannten Erscheinung – dem Blue Screen.

3.2 Innere Struktur – Windows Executive Die innere Struktur des im Kernel-Modus betriebenen Kerns teilt sich in hardwarenahe und hardwareferne Teile. Durch die Teilung ist eine Adaption auf neue Hardware einfacher.

HAL Der Hardware Abstraction Layer ist die unterste Schicht von Windows zur Hardware. Hier wird direkt auf den verwendeten Prozessor und bestimmte Besonderheiten der Hardware bezug genommen – beispielsweise auch auf Abweichungen von der PC-Architektur. HAL selbst ist als DLL mit dem Namen HAL.DLL ausgeführt. Hersteller komplexer Server liefern einen eigenen HAL. Der Vorteil ist die Abstraktion der Gerätetreiber – Anbieter von Steckkarten mit Gerätetreibern müssen diese nur ein Mal entwickeln und können sie auf allen Systemen einsetzen – egal welcher HAL eingesetzt wird. Allerdings ist es möglich, das Gerätetreiber den HAL umgehen und direkt auf Hardware zugreifen.

Der Kernel Der Mikrokernel ist ein Kernbestandteil des Betriebssystems. Damit Der Mikrokernel soll gesichert werden, dass nur ein möglichst kleiner Teil des gesamten Systems im geschützten Modus abläuft. Dies dient der Stabilität. Je mehr Teile in den geschützten Bereich überführt werden, desto unsicherer wird das Gesamtsystem, denn mehr Code bedeutet immer auch mehr Fehlerquellen. Mit dem Mikrokernel werden nun elementare Prozesse geschützt abgewickelt, die große Masse der Vorgänge läuft aber in den Subsystemen ab. Der Kernel steuert den Prozessor. Hier werden die von Applikationen angeforderten Prozessorleistungen aufgeteilt (wenn mehrere Prozessoren verfügbar sind) oder so gesteuert, dass die Verteilung korrekt

77

78

3 Die Windows-Systemarchitektur verläuft (Multitasking). Der Kernel ist dafür verantwortlich, dass alle Prozessoren gleichmäßig beschäftigt werden. Auch die Einhaltung von Prioritäten wird hier entschieden. Der Kernel stellt weiterhin Schnittstellen und bestimmte interne Objekte zur Verfügung, die beispielsweise für die Interruptbehandlung verantwortlich sind. Der Kernel selbst ist für Anwender unsichtbar. Er wird nur aktiv (mit Bildschirmausgaben), wenn der grafische Teil des Startprozesses noch nicht gestartet wurde oder im Fehlerfall (Ausgabe des Blue Screen).

Gerätetreiber Gerätetreiber sind sicher für viele Anwender und Administratoren ein rotes Tuch. Fehler sind nicht durch die Schutzmechanismen des Betriebssystems abfangbar. Leider gibt es hier kaum Selbsthilfe. Vorteile verspricht aber das neue Windows Driver Model (WDM), das in den aktuellen und zukünftigen Windows-Versionen einheitliche Treiber erlaubt. Dadurch können Hersteller sich auf wenige Treiber konzentrieren und diese (hoffentlich) stabiler machen. WDM erlaubt die einfachere Entwicklung von Multimedia-Anwendungen, da spezielle Funktionen für Streaming-Anwendungen (Video, Audio, MPEG etc.) zur Verfügung stehen.

Objekt-Manager Objekte sind im Windows-Kern Abbildungen für Ressourcen. Das Betriebssystem verwaltet diese Objekte, das heißt, sie werden auf Anforderung erzeugt, ein Zeiger (so genanntes Handle) darauf erstellt und nach der Benutzung gelöscht.

Prozess-Manager Der Prozess-Manager verwaltet Prozesse und Threads. Auch dies erfolgt mit Objekten, die folgerichtig Prozess- und Thread-Objekte genannt werden. Jedes Programm, das startet, muss mindestens ein Prozess-Objekt verwenden. Viele Prozesse werden im Task-Manager angezeigt, einige können aber auch unsichtbar ablaufen.

3.2 Innere Struktur – Windows Executive

79 Abbildung 3.2: Die Prozessliste

Speichermanager Der Speichermanager teilt Anwendungen Speicher (RAM) zu und überwacht dessen Verwendung. Falls der physische Hauptspeicher nicht ausreicht, wird Speicher in der Auslagerungsdatei angefordert – sogenannter virtueller Speicher. Der Speichermanager heißt deshalb auch Virtual Memory Manager (VMM).

Prozesskommunikation Die Kommunikation zwischen Prozessen und Applikationen übernimmt die Prozesskommunikation, ausgeführt durch Local Procedure Call (LPC). Dies ist das Gegenstück zum Dienst Remote Procedure Call (RPC) und dient der Vermittlung zwischen externen Programmen und intern ablaufenden Prozessen.

80

3 Die Windows-Systemarchitektur

Abbildung 3.3: Angaben zum Speichermanagement im Taskmanager

I/O-Manager Der I/O-Manager stellt alle Ein- und Ausgabevorgänge zur Verfügung. Hier ist auch das Dateisystem implementiert. Treibern, die darunter liegen, wird eine einheitliche Schnittstelle zur Verfügung gestellt. Ein Gerätetreiber beispielsweise für ein SCSI-Gerät wird deshalb mit allen Dateisystemen funktionieren. Umgekehrt ist die Hardware für den I/O-Manager transparent. Der I/O-Manager selbst ist modular und in Schichten aufgebaut und deshalb sehr flexibel, was den Zugriff auf verschiedene Dateisysteme betrifft. Mit diesem Modell können beispielsweise mehrere Netzwerkprotokolle auf einer Netzwerkkarte ablaufen – der I/O-Manager »zerlegt« die Hardwaretreiber praktisch und setzt dann mehrere Protokolltreiber darauf.

Sicherheitsmonitor Der Sicherheitsmonitor dient der Kontrolle und Steuerung der »inneren« Sicherheit. Sowohl den Kernel- als auch den Benutzerdiensten werden Dienste zur Prüfung der Sicherheit zur Verfügung gestellt. Die Komponente selbst arbeitet im Kernel und führt beispielsweise den Anmeldeprozess aus, der für den Benutzer sichtbare Teil (das Anmeldefenster) wird dagegen im Benutzermodus ausgeführt.

3.3 Netzwerkarchitektur Graphical Device Interface Das Graphical Device Interface (GDI) ist unter anderem der Fenstermanager. Hier werden für Programme Fenster erzeugt und verwaltet. Die Platzierung im Kernel und damit treibernah sorgt unter anderem für die hohe Performance der Oberfläche. Neben der Steuerung der Fenster werden aber auch andere grafische Prozesse vom GDI erledigt, beispielsweise Druckprozesse.

3.3 Netzwerkarchitektur Die Netzwerkarchitektur ist fester Bestandteil des Betriebssystems. Sie ist ebenso wie der Kernel modular aufgebaut und erleichtert so die Integration verschiedenster Protokolle und Systeme. Die Netzwerkfunktionen sind Bestandteil des bereits beschriebenen I/O-Managers, für sich genommen aber so komplex, dass eine gesonderte Beschreibung lohnt. Im Band II der Reihe finden Sie dazu noch tiefergehende Ausführungen.

Schnittstellen Die Integration in den I/O-Manager hat den Vorteil, dass Zugriffe über das Netzwerk für den Nutzer (tatsächlich für die von ihm verwendete Applikation) transparent erfolgen. Wenn Sie beispielsweise in Word eine Datei öffnen, muss Word nicht wissen, ob die Datei über das lokale Netzwerk oder von der Festplatte geladen wird. Die Schnittstelle greift auf mehrere Kommunikationssysteme zurück, die spezielle Netzwerkfunktionen bearbeiten: •

Server; der Serverdienst SERVER.EXE und sein Treiber SRV.SYS emp- Server fängt Anrufe des Redirectors und führt diese dann in dem für ihn lokalen System aus.

•

Redirector; ausgeführt als RDR.SYS sorgt der Redirector für die Aus- Redirector führung von Dateioperationen auf einem entfernten System. Er nimmt dem lokalen Dateisystem also den Aufruf weg und sendet ihn an einen Server-Prozess.

•

Named Pipe File System; Named Pipes dienen dem verbindungsori- Named Pipe File entierten Datentransfer zwischen zwei Prozessen. Auf Named Pi- System pes greift beispielsweise RPC zurück.

•

Mail Slot File System; dies ist eine Weiterentwicklung der Named Mail Slot File System Pipes und dient unter anderem der Versendung von Broadcasts.

•

Programmierschnittstellen; diese dienen als Anlaufpunkt für Appli- Programmierkationen, die explizit Netzwerkfunktionen benötigen. Ein Beispiel schnittstellen

81

82

3 Die Windows-Systemarchitektur dafür sind die Windows Sockets, auf die Internet Browser aufsetzen. Diese Teile laufen im Kernel-Modus.

Transport-Treiber-Schnittstelle Die Transport-Treiber-Schnittstelle TDI (Transport Driver Interface) liegt zwischen den Kommunikationsschnittstellen und den Protokolltreibern. Sie stellt eine einheitliche Schnittstelle zur Verfügung, die die Wahl der Netzwerkprotokolle transparent macht. Aus Sicht der Applikation und auch aus Sicht der Schnittstelle spielt es keine Rolle, ob IPX/SPX oder TCP/IP eingesetzt wird.

Protokolle Unterhalb des TDI werden die Protokolle für den Transport der Daten generiert. Die TDI-Schicht liefert an die Applikation eine einheitliche Schnittstelle. So muss eine Applikation nicht wissen, ob TCP/IP oder NetBIOS für den Datentransport eingesetzt wird. Dritthersteller können eigene Protokolle einsetzen, wenn sie entsprechende Treiber schreiben – alle netzwerkfähigen Programme werden damit sofort laufen. Standardmäßig bringt Windows 2000 folgende Protokolle mit: •

TCP/IP

•

NWLink (Netware IPX/SPX)

•

NetBEUI (Microsoft proprietär, LAN Manager)

•

DLC

•

AppleTalk

Die Protokolltreiber greifen nicht direkt auf Netzwerkhardware, sondern auf eine universelle Treiberschnittstelle zu: NDIS 5.0.

NDIS 5.0 NDIS (Network Device Interface Specification) gilt als Standardschnittstelle für Netzwerkkarten. NDIS-Treiber bilden die unterste Schicht des Modells und kommunizieren direkt mit der Hardware. Zu einer Netzwerkkarte muss deshalb ein NDIS-Treiber für Windows 2000 mitgeliefert werden. Die meisten Karten werden aber von den Windows-eigenen Treibern bedient, denn trotz großer Vielfalt sind nur wenige verschiedene Chips im Einsatz. Vorteile

Die Verwendung von NDIS bietet einige Vorteile:

3.3 Netzwerkarchitektur •

Das Transportprotokoll ist unabhängig von der Hardware. Das heißt sie müssen sich beim Kauf einer Karte keine Gedanken über das später zu nutzende Protokoll machen.

•

Unterstützung mehrerer Protokolle. NDIS erlaubt Multiprotokollbetrieb, Sie können also im Netzwerk TCP/IP und beispielsweise IPX gleichzeitig einsetzen.

•

In einem Computer sind mehrere Netzwerkkarten erlaubt. Die Trennung der Hardware macht auch mehrere Karten für die Applikation transparent.

83

Wenn Netzwerkkarten und Protokolle getrennt werden, wie dies mit Bindung NDIS erfolgt, muss natürlich irgendein Prozess diese wieder so zusammenführen, sodass eine Kommunikation ermöglicht wird. Dieser Vorgang wird Bindung genannt. Wenn Sie sich die entsprechenden Dialoge in der Netzwerksteuerung ansehen, können Sie die Bindungen erkennen (NETZWERK- UND DFÜ-VERBINDUNGEN | ERWEITERT | ERWEITERTE EINSTELLUNGEN). Abbildung 3.4: Anzeige der Bindungen zwischen NDIS und TDI

NDIS 5.0 bietet gegenüber der in Windows NT 4.0 eingesetzten Vari- Erweiterte ante Unterstützung für die neuen Powermanagementfunktionen, für Funktionen Plug&Play und bessere Performance.

84

3 Die Windows-Systemarchitektur Interprozess-Kommunikation Interprozess-Kommunikation (IPC) ist eine Zusammenfassung der bereits beschriebenen Kommunikationswege, die speziell unter Windows zur Verfügung stehen: •

NetBIOS

•

NetDDE (Network DDE)

•

Remote Procedure Calls (RPC)

•

Named Pipes

•

Mailslots

•

Windows Sockets

3.3 Netzwerkarchitektur

85

Kapitel 4 Massenspeicherverwaltung

4.1

Neue Anforderungen ..............................................87

4.2

Das neue Volume Management............................88

4.3

Basisfestplatten ........................................................91

4.4

Dynamische Festplatten .......................................108

4.5

Konvertieren von Basisfestplatten .....................119

4.6

Der Indexdienst......................................................123

4.1 Neue Anforderungen

87

4 Massenspeicherverwaltung Mit Einführung von Windows NT im Jahre 1993 hatten gewöhnliche Arbeitsplatzcomputer nur wenige hundert MegaByte Festplattenkapazität. In erster Linie als Serverbetriebssystem konzipiert, entwickelte sich Windows NT bis zur letzten Version 4.0 zu einer leistungsfähigen Alternative im Bereich der kleineren bis mittleren Netzwerke. Ergänzend kam als Client-Betriebssystem die Workstation-Variante auf den Markt, die wesentlich sicherer und stabiler als seine kleinen Brüder Windows 95 und 98 war und sich vor allem im Firmenkunden-Umfeld durchsetzen konnte. Für die Weiterentwicklung der Massenspeicherverwaltung gab es die größten Impulse aber aus den gestiegenen Anforderungen an ein leistungsfähiges Serverbetriebssystem.

4.1 Neue Anforderungen Microsoft versucht mit Windows 2000 im prestigeträchtigen Enterpri- Server-Markt se-Servermarkt Anteile zu erringen, wo große Datenmengen gehalten werden und sich Betriebssysteme durch permanente Verfügbarkeit und größte Leistungsfähigkeit hinsichtlich der verarbeitbaren Transaktionen pro Zeiteinheit auszeichnen müssen. Dabei reicht eine hohe skalierbare Rechenleistung durch mehrere Prozessoren und gigantische Hauptspeicher im GigaByte-Bereich allein nicht aus, wichtig ist auch ein flexibles und fehlertolerantes Speichersystem. Die Mechanismen von Windows NT sind hier gegenüber seinen größten Konkurrenten aus dem UNIX-Lager klar unterlegen. Es fehlt seitens des Betriebssystems beispielsweise ein logisches Management von Datenträgern, bei dem auch Konfigurationsänderungen ohne Neustart erfolgen können oder die Unterstützung von Fibre Channel-Systemen. Hinzu kommen Forderungen nach einem Hierarchischen Speichermanagement (HSM) oder einem Verteilten Dateisystem (DFS – Distributed File System). Diese Funktionen und darüber hinausgehende wurden in der Windows 2000 Serverfamilie umgesetzt, teilweise mit Integration in das Active Directory (siehe auch Abschnitt 6.6 Einführung in Active Directory ab Seite 212). Von einem Teil dieser Neuerungen profitiert auch Windows 2000 Professional. In diesem Kapitel werden die für diese Version bedeutsamen Veränderungen beim Speichermanagement und die Bedeutung für Sie als Benutzer und Administrator näher betrachtet. Die Funktionen, die ausschließlich durch die Servervarianten unterstützt werden, sind ausführlich Inhalt des Bandes II dieser Buchreihe. Wenn es zum Verständnis des Gesamtsystems beiträgt, werden solche Funktionen aber auch hier kurz beschrieben.

Verbesserungen auch für die ProfessionalVariante

88 Administration in Kapitel 11

4 Massenspeicherverwaltung Wie Sie die beschriebenen Technologien anwenden und die Massenspeicher unter Windows 2000 administrieren, wird in Kapitel 11 behandelt. Die neuen Technologien im Zusammenhang mit Wechselspeichersystemen, im Mittelpunkt die Bandlaufwerke und die Verwaltung der dazugehörigen Medien in sogenannten Medienpools, sind Inhalt des Bandes II.

4.2 Das neue Volume Management Das Volume Management von Windows 2000 beinhaltet alle Verwaltungsfunktionen für die Massenspeicher. Gegenüber dem Vorgänger Windows NT wurde die Architektur des Volume Management und die implementierten Funktionen stark erweitert.

4.2.1 Grundlagen Die grundsätzliche Struktur des Volume Managements ist in der folgenden Abbildung dargestellt. Abbildung 4.1: Bestandteile des Volume Management

4.2 Das neue Volume Management

89

4.2.2 Begriffe Mit dem Volume Management von Windows 2000 werden zwei Basisfestplatten grundlegende neue Begriffe eingeführt: Basisfestplatten und Dynami- und Dynamische sche Festplatten. Dies sind verschiedene Konfigurationstypen für Fest- Festplatten platten. Basisfestplatten sind, vereinfacht gesagt, die Kompatibilitätsschnittstelle zur Partitions-basierten Festplattenverwaltung, wie sie auch unter MS-DOS, Windows 95/98 und Windows NT angewendet wird. Der Konfigurationstyp Dynamische Festplatte ist neu und nur unter Windows 2000 einsetzbar. Er basiert nicht mehr auf dem Partitions-orientierten Ansatz und bringt eine Reihe neuer Eigenschaften mit, die die Verwaltung, Leistung und Systemsicherheit verbessern. Sie können in einem Windows 2000-System beide Typen gemischt einsetzen. Basisfestplatten sind dabei unter Beibehaltung der Datenstrukturen in dynamische Festplatten umwandelbar. Das Zurückkonvertieren einer dynamischen in eine Basisfestplatte ist hingegen nur für eine leere Festplatte möglich (siehe dazu auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119). Als Basisdatenträger werden Datenträger bezeichnet, die auf einer Ba- Basisdatenträger sisfestplatte eingerichtet sind. Das können primäre Partitionen, logische Laufwerke in erweiterten Partitionen sowie übernommene Partitionsgruppen aus Windows NT (Datenträgersätze, Stripe Sets, Mirror Sets) sein. Dynamische Datenträger befinden sich auf Dynamischen Festplatten. Dynamische Wird eine Basisfestplatte mit vorhandenen Basisdatenträgern (bei- Datenträger spielsweise Partitionen) in eine dynamische umgewandelt, werden diese zu dynamischen Datenträgern konvertiert. Basisfestplatten und Dynamische Festplatten werden im Detail in den Abschnitten 4.3 Basisfestplatten ab Seite 91 und 4.4 Dynamische Festplatten ab Seite 108 behandelt. Der aus Windows NT bekannte Fault Tolerant Disk Manager (FT Disk), Aus Windows NT: der dort für die Verwaltung fehlertoleranter Partitionsgruppen ver- FT Disk antwortlich ist, findet sich in veränderter Form in Windows 2000 wieder (siehe Abbildung 4.3). Durch die Funktionalität von FT Disk werden die Basisfestplatten eingerichtet und verwaltet sowie die Kompatibilität zu bestehenden Partitionsgruppen wie Datenträgersätze, Stripe Sets und Mirror Sets gewahrt. Vorhandene Partitionsgruppen aus Windows NT können damit auch in Windows 2000 übernommen und gepflegt werden.

90

4 Massenspeicherverwaltung Eine Neuanlage von Partitionsgruppen (Datenträgersätze, Stripe Sets und Mirror Sets) auf Basisfestplatten ist unter Windows 2000 nicht mehr möglich; dies wird nur noch für Dynamische Datenträger auf Dynamischen Festplatten unterstützt.

Logischer Diskmanager

Der neue Logische Diskmanager (Logical Disk Manager – LDM) verwaltet die Dynamischen Festplatten und stellt die Funktionalität für Einfache Datenträger sowie für Übergreifende, Stripeset- und Gespiegelte Datenträger bereit. Auch werden hier die Fehlertoleranz-Funktionen für übernommene Partitionsgruppen ausgeführt, die durch FT Disk bereitgestellt wurden. Die Schnittstellen, über die der Logische Diskmanager implementiert wurde, sind offen gelegt und damit auch anderen Herstellern zugänglich, die damit eigene professionelle Massenspeicherlösungen für Windows 2000 entwickeln können.

Dateisystem

Über FT Disk und dem Logischen Diskmanager liegt das Dateisystem. Mit dieser Struktur wird deutlich, dass Funktionen für fehlertolerante Datenspeicherung oder übergreifende Datenträger nicht mehr vom verwendeten Dateisystem abhängig sind wie noch unter Windows NT. Jetzt können logische Datenträger mit jedem der unterstützten Dateisysteme FAT16, FAT32 oder NTFS betrieben werden. Für die Nutzung der Sicherheitsfunktionen und eine optimale Performance empfiehlt sich aber der Einsatz von NTFS auch unter Windows 2000 Professional. Insbesondere durch die Erweiterungen der Version 5 sind unter NTFS eine Reihe neuer Merkmale verfügbar, die ein flexibleres Datenmanagement erlauben. Windows 2000 unterstützt jetzt auch das FAT32-Dateisystem, welches mit Windows 95 OSR2 eingeführt worden ist und einen effektiveren Umgang mit großen Datenträgern erlaubt. Beachten Sie, dass Basisdatenträger, die Sie mit dem FAT32-Dateisystem anlegen, nicht mehr unter Windows NT genutzt werden können.

Datenträgerverwaltung

Über das Massenspeicherverwaltungs-Interface greifen Sie als Administrator auf die einzelnen Komponenten des Volume Management zu. Mit dem Snap-In Datenträgerverwaltung für die Managementkonsole (siehe auch Kapitel 10 Die Managementkonsole ab Seite 355) stellt Microsoft dazu ein umfassendes Werkzeug bereit. Sie können damit Basisfestplatten und Dynamische Festplatten erstellen sowie die Datenträger auf ihnen einrichten.

4.3 Basisfestplatten

91

Bestimmte Fehlertoleranz-Funktionen werden nur durch die ServerVarianten von Windows 2000 bereitgestellt. So können Sie Spiegelsätze oder RAID-5 Datenträger (Stripesetdatenträger mit Parität) nur auf einem Serversystem einrichten. Aufgrund der Remote-Unterstützung der Datenträgerverwaltung können Sie aber von einem Windows 2000 Professional-Arbeitsplatz auf diese Funktionen auf einem Server zugreifen. Wie Sie mit Hilfe der Datenträgerverwaltung die Massenspeicher eines Windows 2000-Systems administrieren, ist Inhalt des Kapitels 11 Administration der Massenspeicher ab Seite 387.

4.3 Basisfestplatten Die beiden grundlegenden Festplatten-Konfigurationstypen Basisfestplatten und Dynamische Festplatten stehen Ihnen zur Verfügung, wenn Sie eine neue Festplatte unter Windows 2000 in Betrieb nehmen wollen. Standardmäßig wird dabei eine neue Festplatte als Basisfestplatte eingerichtet.

4.3.1 Partitionen und Partitionstypen Eine leere Festplatte kann normalerweise nicht ohne weiteres durch Aufteilung der ein Betriebssystem benutzt werden. Bis zum Erscheinen von Windows Festplatte durch 2000 mussten Sie, egal ob unter MS-DOS, Windows 9x/ME oder Li- Partitionieren nux, die Festplatte mit einem speziellen Dienstprogramm partitionieren. Dabei wird die Festplatte in einen oder mehrere Bereiche (Partitionen) fest aufgeteilt. Das bedeutet, dass Sie sich vor der Einrichtung einer Festplatte Gedanken machen müssen, wie diese strukturiert werden soll. Die einfachste Variante ist, die gesamte Festplatte am Stück einzurichten und zu formatieren. Das bietet allerdings keine besondere Flexibilität und Sicherheit. Besser ist es, logische Bereiche zu trennen und beispielsweise das Betriebssystem und die Anwendungsprogramme separat in einer Partition zu speichern und die Daten in einer anderen. Bei der Partitionierung wird zwischen zwei verschiedenen Partitionstypen unterschieden: Primäre und Erweiterte Partition. Für Wechseldatenträger wird eine Partitionierung nicht unterstützt. Diese können Sie lediglich vollständig mit einem der unterstützten Dateisysteme formatieren. Auf einer Festplatte können Sie bis zu vier primäre Partitionen anlegen. Primäre Partition Eine primäre Partition kann nicht weiter unterteilt werden. Mit Hilfe Systempartition des Partitionierungstools können Sie auf einer der installierten Fest-

92

4 Massenspeicherverwaltung platten genau eine der primären Partitionen als aktiv markieren. Von dort beginnt der Startvorgang des Betriebssystems. Die aktive primäre Partition nennt man deshalb auch Systempartition.

Erweiterte Partition Reicht die Unterteilung in vier primäre Partitionen nicht aus, können und logische Lauf- Sie statt einer primären eine erweiterte Partition erstellen. Diese ist alwerke lein noch nicht weiter benutzbar. In einer erweiterten Partition können

Sie sogenannte Logische Laufwerke erstellen. Diese sind genau wie primäre Partitionen nicht weiter aufteilbar. Ein logisches Laufwerk kann allerdings nicht als aktiv gekennzeichnet werden und demzufolge auch nicht als Bootpartition dienen. Bootpartition

Als Bootpartition wird die Partition bezeichnet, welche die Betriebssystemdateien enthält. Unter Windows 2000 wird das betreffende Verzeichnis in %SystemRoot% hinterlegt (beispielsweise D:\WINNT) und muss nicht auf der Systempartition liegen. Es kann sich auch auf einer anderen primären oder in der erweiterten Partition in einem logischen Laufwerk befinden. Windows NT und Windows 2000 unterstützen bis zu vier primäre Partitionen oder drei primäre mit einer erweiterten Partition. MS-DOS und Windows 95/98 unterstützen nur genau eine primäre und eine erweiterte Partition. Unter Windows NT/2000 angelegte weitere primäre Partitionen werden nicht erkannt. Sie sollten dies berücksichtigen, wenn Sie Windows NT/2000 zusammen mit MS-DOS oder Windows 95/98 auf einer Festplatte betreiben wollen.

Zugriff über Laufwerksbuchstaben...

Der Zugriff auf primäre Partitionen und logische Laufwerke erfolgt über die Vergabe von Laufwerksbuchstaben. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden und es sind nur Buchstaben des englischen Alphabets erlaubt. Damit ist die maximale Anzahl von Laufwerken, die Sie über Buchstaben ansprechen können, in einem System auf 241 beschränkt. Mit dem Datenträgermanagement können Sie, außer für die Systempartition, die Laufwerksbuchstaben beliebig ändern. Viele Softwarepakete sind nach der Installation auf eine feste Zuordnung von Laufwerksbuchstaben zu ihren Installationsorten angewiesen. Änderungen an den Zuweisungen der Buchstaben zu Laufwerken, auf denen diese Programme oder Teile von ihnen installiert sind, können die korrekte Ausführung stören oder ganz verhindern.

... und Bereitstellungspunkte

Unter Windows 2000 haben Sie eine weitere Möglichkeit, mehr Übersichtlichkeit in Ihre Datenorganisation zu bringen, indem Sie ein Laufwerk als Bereitstellungspunkt innerhalb eines anderen Laufwerkes

1

A und B sind für Diskettenlaufwerke reserviert, die restlichen 24 Buchstaben stehen dann für weitere Datenträger zur Verfügung.

4.3 Basisfestplatten einbinden. Ein Bereitstellungspunkt ist dabei für den Benutzer nichts anderes als ein Ordner, der sich an einer beliebigen Stelle innerhalb eines NTFS-formatierten Laufwerks befinden kann (mehr zum NTFSDateisystem finden Sie in Abschnitt 5.4 NTFS im Detail ab Seite 152).

4.3.2 Partitionsgruppen und Fehlertoleranz unter Windows NT Windows NT zeichnete sich gegenüber dem alten Windows 3.1 auch dadurch aus, dass die Verwaltung von Festplatten neben dem neuen NTFS-Dateisystem Funktionen enthielt, die Datenträgersätze, Stripe Sets und Spiegelsätze direkt auf Betriebssystemebene unterstützen. In diesem Abschnitt werden diese Technologien, wie sie unter NT verfügbar waren, dargestellt. Mit Windows 2000 hat sich hier grundlegendes verändert (siehe auch Abschnitt 4.4 Dynamische Festplatten ab Seite 108).

Datenträgersatz Unter Windows NT 4.0 können Sie freie Partitionen auf einer oder Aufbau unter NT mehrerer physischer (bis zu 32) Festplatten zu einem Datenträgersatz zusammenfassen. Diese Teilbereiche werden durch NT als primäre Partitionen in der Partitionstabelle geführt und unterliegen dadurch auch der Beschränkung auf vier Partitionen pro einzelner Festplatte. Die Bereiche können sich aber auf verschiedenen Laufwerkstypen befinden (beispielsweise SCSI und IDE gemischt) und unterschiedliche Größen aufweisen. Einen Datenträgersatz unter Windows NT können Sie mit dem FAT- oder dem NTFS-Dateisystem formatieren. Wollen Sie einen Datenträgersatz erweitern und dabei die alten Dateien und Ordner behalten, muss dieser mit NTFS formatiert worden sein. Zu beachten ist, dass bei Ausfall einer Festplatte oder einer Teilpartition eines Datenträgersatzes alle enthaltenen Daten gefährdet sind. MS-DOS oder Windows 9x/ME unterstützen keine Datenträgersätze und können solche deshalb nicht erkennen. Unter Windows 2000 wird ein Datenträgersatz jetzt als Übergreifender Windows 2000: Datenträger bezeichnet und kann nur noch auf Dynamischen Festplatten Übergreifender erstellt werden. Von Windows NT übernommene Datenträgersätze Datenträger auf Basisfestplatten können Sie aber weiter verwenden. Mit der neuen DATENTRÄGERVERWALTUNG können Sie diese verwalten und löschen, aber nicht erweitern oder auf Basisfestplatten neu anlegen. Diese Möglichkeiten haben Sie nur auf Dynamischen Festplatten.

93

94

4 Massenspeicherverwaltung Stripe Sets Ein Stripe Set unter Windows NT ist ähnlich aufgebaut wie ein Datenträgersatz. Allerdings müssen sich die freien Bereiche auf verschiedenen Festplatten befinden (mindestens 2; bis zu 32 werden unterstützt). Bei einem Stripe Set sind die zusammengefassten Bereiche alle gleich groß, deshalb werden bei der Erstellung die Größen der Partitionen auf den kleinsten gemeinsamen Nenner gebracht.

Achtung: Keine Fehlertoleranz!

Hauptvorteil eines Stripe Sets ist die gesteigerte Performance, mit der die Daten gelesen und geschrieben werden, da diese gleichmäßig auf alle Festplatten – in sogenannten Streifen, daher der Name – verteilt werden. Dies bedeutet aber auch, dass beim Ausfall einer Festplatte oder einer Teilpartition des Stripe Sets zwangsläufig alle Daten verloren sind.

Fehlertoleranz beim Stripe Set mit Parität (nur Server)

Einen Ausweg daraus bietet das Stripe Set mit Parität, bei dem zusätzliche Fehlerkorrekturdaten gespeichert werden. Dies wird allerdings nur von Windows NT Server bzw. in seiner neuen Implementierung für dynamische Festplatten von Windows 2000 Server unterstützt und wird in Band II näher betrachtet. MS-DOS oder Windows 9x/ME unterstützen keine Stripe Sets und können auf diese nicht zugreifen.

Windows 2000: Stripesetdatenträger

In Windows 2000 werden diese Datenträger mit Stripesetdatenträger bezeichnet. Mit der DATENTRÄGERVERWALTUNG können Sie vorhandene Stripe Sets aus Windows NT übernehmen und verwalten. Neue Stripe Sets können Sie nur auf Dynamischen Festplatten erstellen (siehe auch 4.4 Dynamische Festplatten ab Seite 108).

Spiegelsätze Spiegelsätze werden nur von Windows NT Server unterstützt und bestehen aus gleich großen Partitionen auf genau zwei verschiedenen Festplatten. Es wird zwischen Haupt- und Spiegelpartition unterschieden, wobei die Daten gleichzeitig komplett auf beiden Bereichen gehalten werden. Das bedeutet, dass Sie mit einem Spiegelsatz genau die Hälfte der Kapazität zur Verfügung haben, die die zusammengefassten Partitionen eigentlich ergeben würden. Bei der reinen Softwareimplementierung unter NT leidet auch die Gesamtperformance. Hohe Fehlertoleranz

Vorteil ist aber die hohe Fehlertoleranz die Ihnen auch dann alle Daten erhält, wenn eine Festplatte oder Partition des Spiegelsatzes ausfällt. Hardwarebasierte Festplattenarrays unterstützen den Austausch einer ausgefallenen Festplatte bei laufendem Betrieb, so dass die Verfügbarkeit eines Servers drastisch gesteigert werden kann.

4.3 Basisfestplatten

95 Abbildung 4.2: Spiegelsätze unter Windows NT

Wie bei den Stripe Sets unterstützen MS-DOS oder Windows 9x/ME keine Spiegelsätze und können auf diese nicht zugreifen. Unter Windows 2000 werden diese Spiegelsätze jetzt Gespiegelte Windows 2000: Datenträger genannt. Die DATENTRÄGERVERWALTUNG von Windows Gespiegelte 2000 Server kann Ihre unter NT angelegten Spiegelsätze übernehmen Datenträger und verwalten; neu anlegen können Sie Gespiegelte Datenträger allerdings nur noch auf Dynamischen Datenträgern. Für Windows 2000 Professional wie schon für Windows NT Worksta- Spiegeln nur beim tion ist ein Spiegeln von Festplatten nicht vorgesehen. Dies bleibt den Server Server-Versionen vorbehalten. Das Thema Gespiegelte Datenträger ist in Band II ausführlich beschrieben.

4.3.3 Aufbau einer Basisfestplatte im Detail Der Aufbau einer Basisfestplatte unter Windows 2000 mit der Einteilung in eine oder mehrere primäre und gegebenenfalls eine erweiterte Partition entspricht der einer Festplatte unter Windows NT.

96

4 Massenspeicherverwaltung

Abbildung 4.3: Aufbau einer Basisfestplatte

In Abbildung 4.3 ist das Beispiel einer Basisfestplatte dargestellt, die drei primäre und eine erweiterte Partition enthält, in der zwei logische Laufwerke angelegt sind. Das gewählte Beispiel zeigt eine Festplattenaufteilung, die nur mit Windows NT und Windows 2000 kompatibel ist (siehe dazu auch Abschnitt 4.3.1 Partitionen und Partitionstypen ab Seite 91). Master Boot Record

Der Master Boot Record (MBR) befindet sich im ersten physischen Sektor einer Basisfestplatte. Er enthält den für den Start eines Computers wichtigen Masterbootcode sowie die Partitionstabelle. Beim Systemstart wird der Masterbootcode vom BIOS gestartet und durchsucht als erste Aktion die Partitionstabelle nach einer aktiven Partition . Als aktiv setzen Sie eine primäre Partition mit Hilfe des Partitionstools des Betriebssystems. Unter MS-DOS ist das Fdisk, unter Windows 2000 die Datenträgerverwaltung.

Systempartition

Die aktive primäre Partition wird auch als Systempartition bezeichnet. Wurde beim Start die aktive Partition identifiziert, im Beispiel die primäre Partition 1 (Abbildung 4.3), wird aus dem ersten Sektor dieser Partition der Bootsektor ausgelesen und ausgeführt . Dieser enthält die Information, welches Programm, auch Urlader genannt, von der Systempartition geladen werden soll. Bei Windows 2000 ist dies Ntldr. Dieser installiert ein Minidateisystem, um die Datei BOOT.INI auszulesen und die verfügbaren Betriebssysteme anzeigen zu können.

4.3 Basisfestplatten

97

Über die Datei BOOT.INI wird schließlich das Betriebssystem von der Bootpartition darin spezifizierten Partition gestartet . Im Beispiel ist die primäre Partition 2 die Bootpartition, auf der sich beispielsweise der Ordner \WINNT mit dem Windows 2000-System befindet. Die Bootpartition muss nicht mit der Systempartition übereinstimmen, sie kann sich sogar auf einer anderen physischen Festplatte befinden. Für den Fall, dass auf die Bootfestplatte nicht mit INT 13h über das BIOS des Computers oder des SCSI-Adapters zugegriffen werden kann, ist Ntldr auch für das Laden eines Gerätetreibers verantwortlich. Dieser verbirgt sich in der Datei NTBOOTDD.SYS und ist eine Kopie des entsprechenden Treibers, beispielsweise AIC78XX.SYS für den SCSI-Controller Adaptec 2940 UW. Windows 2000 kann nur auf Festplatten gestartet und installiert werden, die über eine Partitionstabelle verfügen. Damit kommen nur Basisdatenträger auf Basisfestplatten in Frage oder Basisdatenträger auf Dynamischen Festplatten, die aus Basisfestplatten konvertiert worden sind. Mehr zu diesem Konvertieren finden Sie in Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119. Der Aufbau des Bootsektors ist abhängig vom verwendeten Dateisys- Bootsektor tem und wird unter anderem in Kapitel 5 Dateisysteme ab Seite 129 näher beschrieben.

4.3.4 MBR und Partitionstabelle im Detail Der Master Boot Record (MBR) wird durch das Partitionsprogramm in den ersten physischen Sektor der Festplatte geschrieben und besteht aus drei Hauptbestandteilen: •

Masterbootcode

•

Datenträgersignatur

•

Partitionstabelle

Abgeschlossen wird der MBR durch eine 2 Byte große Kennung, die immer den Wert 0x55AA enthält und auch Signaturwort oder Ende der Sektormarkierung genannt wird. Die folgende Tabelle stellt die Bestandteile des MBR und ihre Orte auf der Festplatte durch Angabe des Adressoffsets mit ihren Funktionen vor:

Offset Wert / Bezeichnung 000h

Masterbootcode

Beschreibung Ermittelt die aktiven Partition, auch Systempartition genannt, und lädt von dieser den Bootsektor.

Tabelle 4.1: Aufbau des MBR

98

4 Massenspeicherverwaltung

Offset Wert / Bezeichnung

Beschreibung

1B8h

Datenträgersignatur

eindeutige Nummer zur Identifizierung der Festplatte im System

1BEh

Eintrag für 1. Partition

1CEh

Eintrag für 2. Partition

1DEh

Eintrag für 3. Partition

enthält die vier Einträge für die Partitionstabelle mit je 16 Bytes (insgesamt 64 Bytes)

1EEh

Eintrag für 4. Partition

1FEh

0x55AA Signaturwort, auch Ende der Sektormarkierung genannt

kennzeichnet das Ende des MBR

Die Partitionstabelle im MBR besteht aus einer 64 Byte großen Struktur und folgt einem Betriebssystem-unabhängigen Standard. Jeder der 4 Einträge ist 16 Byte lang. Die Struktur eines Eintrags der Partitionstabelle im MBR ist in der folgenden Tabelle dargestellt: Tabelle 4.2: Aufbau eines Partitionstabelleneintrages

Offset Feldlänge Bezeichnung Erklärung 00h

Byte

Bootanzeige

(8 Bit)

Gibt an, ob die Partition aktiv ist: 0x80

Partition aktiv

0x00

Partition nicht aktiv

01h

Byte

Startkopf

Nummer des ersten Kopfes der Partition

02h

6 Bit

Startsektor

Nummer des ersten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Startzylinder.

10 Bit

Startzylinder

Nummer des Startzylinders Mit den 10-Bit können Werte von 0 bis 1023 (insgesamt 1024 Zustände) gesetzt werden.

04h

Byte

Systemkennung

Mit diesem Feld wird der Partitionstyp definiert. In Tabelle 4.3 sind die Partitionstypen aufgeführt.

05h

Byte

Endkopf

Nummer des letzten Kopfes der Partition

4.3 Basisfestplatten

99

Offset Feldlänge Bezeichnung Erklärung 06h

6 Bit

Endsektor

Nummer des letzten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Endzylinder

10 Bit

Endzylinder

Nummer des Endzylinders Mit den 10-Bit können Werte von 0 bis 1023 (insgesamt 1024 Zustände) gesetzt werden.

08h

DWORD (32 Bit)

0Ch

DWORD

Relative Sekto- Mit dieser 32-Bit-Nummer wird ren der Offset vom Anfang der physischen Festplatte angegeben. Gesamtsektoren

Dieses Feld enthält die Gesamtzahl an Sektoren dieser Partition.

Dieser Aufbau trifft nur für die Partitionstabelle im MBR zu, mit der vier primäre Partitionen oder drei primäre und einer erweiterten Partition definiert werden können. Werden weniger als vier Partitionen angelegt, so ist der Rest der Partitionstabelle mit Nullen überschrieben. Der Aufbau der erweiterten Partitionstabellen der logischen Laufwerke ist in Abschnitt 4.3.5 Logische Laufwerke und erweiterte Partitionstabelle ab Seite 100 beschrieben. Die einzelnen Partitionstypen, die durch MS-DOS, Windows 9x, ME, NT und Windows 2000 verwendet werden, sind in Tabelle 4.3 aufgeführt. Mit ihnen wird festgelegt, mit welchem Dateisystem (siehe auch Kapitel 5 Dateisysteme ab Seite 129) die Partition oder das logische Laufwerk formatiert ist und ob er Teil einer Partitionsgruppe ist.

Typ

Beschreibung

0x01

Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT12-Dateisystem

0x04

Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT16-Dateisystem (bis 32 MB-Partitionen)

0x05

Erweiterte Partition

0x06

Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem BIGDOS FAT16-Dateisystem (32 MB bis 4 GBPartitionen)

0x07

Partition oder logisches Laufwerk unter NTFS

0x0B

Partition oder logisches Laufwerk unter FAT32

0x0C

Partition oder logisches Laufwerk unter FAT32 mit BIOS Int 13h-

Tabelle 4.3: Partitionstypen

100

4 Massenspeicherverwaltung Typ

Beschreibung Erweiterungen (LBA)

0x0E

Partition oder logisches Laufwerk unter BIGDOS FAT16 mit BIOS Int 13h-Erweiterungen (LBA)

0x0F

Erweiterte Partition mit BIOS Int 13h-Erweiterungen (LBA)

0x12

EISA-Partition

0x42

Dynamischer Datenträger

0x86

mit FT Disk verwalteter FAT16-Datenträger, der Teil einer Partitionsgruppe ist

0x87

mit FT Disk verwalteter NTFS-Datenträger, der Teil einer Partitionsgruppe ist

0x8B

mit FT Disk verwalteter FAT32-Datenträger, der Teil einer Partitionsgruppe ist

0x8C

mit FT Disk verwalteter FAT32-Datenträger mit BIOS Int 13hErweiterungen, der Teil einer Partitionsgruppe ist

Andere Betriebssysteme können hiervon abweichende Partitionstypen verwenden.

4.3.5 Logische Laufwerke und erweiterte Partitionstabelle Die logischen Laufwerke in einer erweiterten Partition werden durch eine verkettete Liste von sogenannten erweiterten Partitionstabellen beschrieben. Diese Liste ist so aufgebaut, dass jede erweiterte Partitionstabelle einen Eintrag auf die des nächsten logischen Laufwerkes enthält. Beim letzten logischen Laufwerk endet diese Liste, indem der Zeiger auf das nächste Laufwerk leer bleibt. Die folgende Tabelle zeigt die Grundstruktur einer erweiterten Partitionstabelle. Die vier Einträge sind wie bei der primären Partitionstabelle je 16 Byte groß und enthalten die gleichen Felder wie diese (siehe Tabelle 4.2 auf Seite 98). Es werden allerdings nur die ersten beiden Einträge benutzt, Nummer drei und vier bleiben leer. Tabelle 4.4: Struktur der erweiterten Partitionstabelle

Tabelleneintrag

Inhalt

1

Daten des aktuellen logischen Laufwerks

2

Daten des nächste logischen Laufwerks; ist keins mehr vorhanden, bleibt der Eintrag leer

3

nicht verwendet

4

nicht verwendet

4.3 Basisfestplatten

101

Durch diese Konstruktion können Sie theoretisch beliebig viele logische Laufwerke anlegen – zumindest solange die 24 Buchstaben zur Vergabe eines Laufwerksbuchstabens ausreichen. Unter Windows 2000 haben Sie aber auch die Möglichkeit, auf Laufwerksbuchstaben zu verzichten und die logischen Laufwerke über Bereitstellungspunkte in NTFS-Datenträger einzubinden (siehe dazu auch Abschnitt 5.4.3 Analysepunkte und Bereitstellungen ab Seite 162).

4.3.6 Manipulieren von MBR und Partitionstabelle mit DiskProbe Versierte Systemtechniker können im Fehlerfall durchaus defekte MBRs oder beschädigte Partitionstabellen reparieren und so Systeme vor dem Datengau bewahren oder deutlich schneller wieder in Gang bringen. Eine regelmäßige Datensicherung ist immer noch die sicherste Methode, sich vor Datenverlusten durch Festplattenfehler zu schützen. Wenn eine Festplatte aufgrund eines physischen Schadens (beispielsweise durch einen Kopfaufsetzer) ausfällt, kann auch die Wiederherstellung des Master Boot Record oder der Partitionstabellen verlorene Daten meist nicht zurückbringen. Ein Werkzeug zum Editieren von Festplatten bietet Microsoft mit sei- DiskProbe nem im Windows 2000 Professional Resource Kit enthaltenen Programm DiskProbe. Dieses Programm ist eine 32 Bit-Anwendung mit einer grafischen Oberfläche und läuft unter Windows 2000 und mit eingeschränkter Funktionalität unter Windows 9x. Die folgende Aufstellung enthält die wichtigsten Features und Einschränkungen, die Sie beim Einsatz mit DiskProbe beachten sollten: DiskProbe ist ein Werkzeug für Administratoren, mit dem wichtige Nur für AdminiBereiche auf einer Festplatte manipuliert werden können, auf die über stratoren! das Dateisystem kein direkter Zugriff möglich ist. So können Sie beispielsweise Partitionstabellen oder den Bootsektor verändern oder in Dateien sichern und bei Bedarf zurückschreiben. Sie benötigen dazu die vollen Administratorrechte für den Zugriff auf die Datenträger. Der Einsatz von DiskProbe ist nur dann sinnvoll, wenn alle anderen Wann einsetzen? Reparaturmechanismen des Betriebssystems versagen und ein Zugriff auf Datensicherungen nicht möglich ist oder die gezielte Reparatur direkt an kleinen Strukturen auf der Festplatte einen deutlichen Zeitvorteil verspricht.

102

4 Massenspeicherverwaltung

Abbildung 4.4: Die Benutzeroberfläche von DiskProbe

Windows 9x

DiskProbe ist für den Einsatz unter Windows 2000 konzipiert worden. Unter Windows 9x können Sie mit dem Programm nicht direkt auf physische Festplatten zugreifen. Es ist allerdings möglich, unter Windows 9x/ME in Dateien gesicherte Daten zu editieren.

Kein FAT32

DiskProbe unterstützt in seiner aktuellen Fassung keine FAT32Bootsektoren. Damit kann auf logische Einheiten der Festplatte nicht zugegriffen werden. Das normale sektorweise Editieren ist natürlich möglich.

Keine Dynamischen Festplatten

DiskProbe unterstützt nur Basisfestplatten. Die Datenträgerverwaltungsdatenbank dynamischer Festplatten kann es nicht verwenden. Damit erlaubt das Programm keine Navigation zwischen den logischen Einheiten der Festplattenstruktur. Vorsicht ist auch bei konvertierten dynamischen Festplatten geboten (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119), da hier zwar parallel zur Datenträgerverwaltungsdatenbank noch Partitionstabellen geführt werden, diese aber nicht mehr in vollem Umfang aktualisiert werden. Ein sektorweises Editieren dynamischer Datenträger ist zwar möglich, sollte aber nur bei genauer Kenntnis der Arbeitsweise der Datenträgerverwaltungsdatenbank und den Zusammenhängen zu den noch geführten Partitionseinträgen erfolgen.

4.3 Basisfestplatten

103

DiskProbe verfügt über eine ausführliche Online-Dokumentation mit Online-DokumenErläuterungen zur Bedienung und zu grundlegenden Aspekten der tation Programmnutzung.

4.3.7 Die Datei BOOT.INI Die Datei BOOT.INI liegt auf der Systempartition und wird beim Start durch Ntldr ausgelesen (siehe auch Abschnitt 4.3.3 Aufbau einer Basisfestplatte im Detail ab Seite 95). Sie wird bei der Installation von Windows NT oder Windows 2000 im Stammverzeichnis angelegt und dient dazu, die Liste der verfügbaren Betriebssysteme beim Start anzubieten. Diese Datei ist eine normale Textdatei und lässt sich mit jedem Texteditor bearbeiten. Allerdings ist sie mit den Attributen System und Versteckt versehen, so dass Sie über EXTRAS | ORDNEROPTIONEN | ANSICHT im Explorer-Fenster die Option Alle Dateien und Ordner anzeigen aktivieren müssen, damit die Datei angezeigt wird. [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WIN2000

Abbildung 4.5: Beispiel einer BOOT.INI für Dualboot

[operating systems] multi(0)disk(0)rdisk(0)partition(1)\WIN2000="Microsoft Windows 2000 Professional" /fastdetect C:\="Microsoft Windows 98" Die oben dargestellte BOOT.INI enthält beispielsweise eine Dual-Boot Konfiguration für Windows 98 und Windows 2000. Im Teil [boot loader] der Datei BOOT.INI wird durch timeout die Zeit in [boot loader] Sekunden eingestellt, die das Auswahlmenü auf eine Benutzereingabe warten soll. Wird durch den Benutzer nicht eingegriffen, wird das Betriebssystem gestartet, welches bei default angegeben ist. Wird timeout auf einen Wert von –1 gesetzt, bleibt das Menü solange stehen, bis Sie eine Auswahl treffen und ein System starten. Im zweiten Teil [operating systems] sind die startbaren Betriebssysteme [operating mit ihrer Startposition, dem Verweis auf die Bootpartition, hinterlegt. systems] In Windows 2000 wird die erweiterte RISC-Namenskonvention benutzt, um einen Pfad zu der Windows Bootpartition bzw. -datenträger zu beschreiben. Diese auch ARC-Pfadnamen (ARC = Advanced RISC Computing) ge- ARC-Pfadnamen nannten Verweise werden in drei Syntax-Klassen eingeteilt: •

Multi-Syntax

104

Multi-Syntax

4 Massenspeicherverwaltung •

SCSI-Syntax

•

Signature-Syntax

Die für die Installation eines Windows 2000 Professional-Systems meistgenutzte Syntax ist die Multi-Syntax. multi(a)disk(b)rdisk(c)partition(d) Die einzelnen Parameter haben die folgende Bedeutung:

Tabelle 4.5: Parameter der Multi-Syntax

Parameter Bedeutung a

Nummer des Adapters (beginnend bei 0)

b

bei Multisyntax immer 0

c

Nummer der Festplatte am Adapter (0 bis 3)

d

Nummer der Partition (beginnend mit 1)

Die Multi-Syntax wird für alle Bootfestplatten durch das SetupProgramm von Windows 2000 eingerichtet, die das Booten über einen INT 13h-Aufruf durch das BIOS des Computers beziehungsweise des SCSI-Adapters ermöglichen. Damit wird diese Syntax nur unter den folgenden Bedingungen eingerichtet:

SCSI-Syntax

•

Im Computer wird ein IDE-Festplatteninterface mit bis zu zwei Kanälen und maximal 2 Festplatten pro Kanal benutzt.

•

Benutzen Sie einen Computer mit SCSI-Interface, so wird die Multi-Syntax für die ersten beiden Festplatten am ersten Adapter eingerichtet. Bedingung ist, dass der SCSI-Adapter ein eigenes BIOS mit INT 13h-Erweiterung zum Booten einsetzt.

•

Besitzt Ihr Computer sowohl IDE- als auch SCSI-Adapter, wird die Multi-Syntax nur für die Bootfestplatten eingerichtet, die am ersten IDE-Adapter beziehungsweise am ersten SCSI-Adapter angeschlossen sind.

Die SCSI-Syntax wird für den Zugriff auf die Bootfestplatte mittels Gerätetreiber (ohne INT 13h-Unterstützung) durch das SetupProgramm eingerichtet. scsi(a)disk(b)rdisk(c)partition(d) Die einzelnen Parameter haben die folgende Bedeutung:

Tabelle 4.6: Parameter der SCSI-Syntax

Parameter Bedeutung a

Nummer des SCSI-Adapters (beginnend bei 0)

b

Nummer der physischen Festplatte (beginnend bei 1) Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer).

4.3 Basisfestplatten

105

Parameter Bedeutung c

die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)

d

Nummer der Partition (beginnend mit 1)

Die SCSI-Syntax wird meist dann verwendet, wenn Ihr Computersystem über eine SCSI-Adapter ohne eigenes BIOS verfügt. Von der Systempartition bzw. dem Systemdatenträger oder der Bootdiskette wird zum Zugriff der entsprechende SCSI-Gerätetreiber geladen. Eine spezielle Form des Zugriffs auf Bootfestplatten mit SCSI-Interface Signature-Syntax stellt die Verwendung der Signature-Syntax dar. Dabei wird unabhängig von einer Adapter-Nummer die Bootfestplatte mit Hilfe ihrer eindeutigen Signature identifiziert. Diese Signature ist Bestandteil des Master Boot Records jeder Festplatte (siehe Abschnitt 4.3.4 MBR und Partitionstabelle im Detail ab Seite 97). Der grundsätzliche Aufbau einer Signature-Syntax lautet: signature(a)disk(b)rdisk(c)partition(d) Die einzelnen Parameter haben die folgende Bedeutung:

Parameter Bedeutung a

eindeutige Signatur der Festplatte (als hexadezimale Zahl)

b

Nummer der physischen Festplatte (beginnend bei 1)

Tabelle 4.7: Parameter der Signature-Syntax

Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer). c

die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)

d

Nummer der Partition (beginnend mit 1)

Die Signature-Syntax wird beispielsweise dann durch das SetupProgramm eingerichtet, wenn zwar ein INT 13h-BIOS für IDEFestplatten vorhanden ist, die Installation jedoch auf einer SCSIFestplatte vorgenommen wird. Der SCSI-Controller für diese Festplatte verfügt dabei über kein BIOS (beziehungsweise wurde deaktiviert). Hinter den ARC-Pfadnamen können Sie über Optionen das Startver- Optionen nach den halten von Windows 2000 beeinflussen. Allerdings müssen Sie einige ARC-Pfadnamen der wichtigsten Optionen nicht manuell in der Datei BOOT.INI setzen, sondern können diese über das F8-Menü (PROBLEMBEHEBUNG UND ERWEITERTE WINDOWS 2000-STARTOPTIONEN) aktivieren.

106

4 Massenspeicherverwaltung

Abbildung 4.6 Erweiterte Windows 2000 Startoptionen (F8-Menü)

In der folgenden Tabelle werden die durch das F8-Menü gesetzten Optionen erläutert: Tabelle 4.8: F8 Menü-Optionen in der BOOT.INI

Option

Bedeutung

/SAFEBOOT:

Startet Windows 2000 im abgesicherten Modus. Die folgenden Varianten bestehen durch Setzen eines zusätzlichen Parameters (direkt hinter dem Doppelpunkt):

MINIMAL

NETWORK

MINIMAL (ALTERNATESHELL)

Windows 2000 wird mit einer minimalen Anzahl an Gerätetreibern im VGA-Grafikmodus (16 Farben bei einer Auflösung von 640 x 480) gestartet. Zusätzlich zur MINIMAL-Konfiguration werden die Netzwerktreiber geladen. Es wird zwar in den VGA-Grafikmodus (mit 16 Farben bei einer Auflösung von 640 x 480) umgeschaltet, allerdings als einzige Anwendung nur CMD.EXE in einem Eingabeaufforderungs-Fenster gestartet.

/BOOTLOG

/BASEVIDEO

Beim Start wird eine Protokolldatei im Verzeichnis %SystemRoot%\NTBTLOG.TXT angelegt, in der das Laden aller Treiber festgehalten wird. Dies kann für die Fehlersuche nützlich sein. Lädt beim Umschalten in den Grafikmodus nur den Standard VGA-Treiber mit 16 Farben bei 640 x 480.

4.3 Basisfestplatten Option

Bedeutung

/DEBUG

Startet Windows 2000 im Debug-Modus mit der Standardeinstellung für COM-Port 1 bei einer Übertragungsrate von 19200 Baud.

107

Neben den Optionen, die in Tabelle 4.8 erläutert werden, gibt es weitere, die für die Administration und Fehlersuche für Windows 2000 Professional wichtig sein können und die Sie manuell in der BOOT.INI setzen.

Option /FASTDETECT

Tabelle 4.9: Andere wichtige Optionen Mit /fastdetect wird das Programm NTDETECT.COM, in der Boot.ini

Bedeutung

welches beim Systemstart ausgeführt wird, angewiesen, auf die Erkennung von parallelen und seriellen Geräten zu verzichten, da unter Windows 2000 dies spezielle Plug&Play-Gerätetreiber übernehmen.

Unter Windows NT 4 gibt es diese Plug&Play-Gerätetreiber nicht (ist Aufgabe von NTDETECT.COM) und diese Option hat keine Wirkung. Diese Option wird prophylaktisch durch das SetupProgramm gesetzt und berücksichtigt damit eine eventuelle Dual-Boot-Konfiguration, bei der NTDETECT.COM sowohl von Windows 2000 als auch von Windows NT benutzt wird. /NOGUIBOOT

Veranlasst Windows 2000 ohne grafische Ausgabe über den VGA-Treiber zu starten. Es werden keine Meldungen über den Boot-Fortgang gegeben, allerdings auch keine Blue Screens erzeugt, falls das System beim Start zusammenbricht.

/DEBUGPORT=

Kann alternativ zu /DEBUG angewandt werden, um den Debug-Modus zu starten. Dabei lässt sich der serielle Port angeben, beispielsweise COM2 (Standard bei Verwendung von /DEBUG ist COM1).

/BAUDRATE=

Startet Windows auch im Debug-Modus, dazu kann eine andere Baudrate eingestellt werden (Standard bei Verwendung von /DEBUG ist eine Baudrate von 19200).

/ONECPU

Veranlasst Windows 2000 Professional bei einer Mehrprozessormaschine mit nur einer der beiden Prozessoren zu starten.

/MAXMEM=

Limitiert den Hauptspeicher, den Windows nutzen soll, auf den Wert, den Sie (in MB) hinter dieser Option eintragen.

108

4 Massenspeicherverwaltung Option

Bedeutung

/BURNMEMORY= Limitiert den Speicher wie /MAXMEM, nur dass Sie hier angeben, um wie viel MB der physische Hauptspeicher für die Nutzung durch Windows 2000 reduziert werden soll. /SOS

Gibt die Namen der Treiberdateien aus, die während des Startprozesses geladen werden.

Die in den Tabellen auf den Seiten 106 und 107 dargestellten Optionen sind die wichtigsten, die Sie für den Einsatz mit Windows 2000 Professional vielleicht einmal benötigen könnten. Darüber hinaus gibt es weitere, die teilweise nur für die Serverversionen gelten oder solche, die spezielle Parameter des Betriebssystems beeinflussen, um Softwareentwicklern bei der Applikations- und Treiberprogrammierung zu helfen.

4.4 Dynamische Festplatten Die eigentliche Neuerung im Bereich der Massenspeicherverwaltung von Windows 2000 stellen die dynamischen Festplatten dar. Der bisherige partitionsorientierte Ansatz, der unter dem Begriff Basisfestplatten weiterhin fester Bestandteil des Systems bleibt, wurde zugunsten einer sehr viel flexibleren Struktur aufgegeben. Der Preis dafür ist allerdings Inkompatibilität zu anderen Betriebssystemen, auch zu Windows NT oder 9x aus dem eigenen Hause. Die Art der Einbindung der neuen dynamischen Strukturen von Festplatten und Datenträgern in Windows 2000 scheint im Moment darauf hinzudeuten, dass dieser Prozess noch nicht abgeschlossen ist. Windows 2000 in der vorliegenden Fassung kann beispielsweise noch nicht auf reinen dynamischen Datenträgern installiert (Bootdatenträger) oder von diesen gestartet (Systemdatenträger) werden. Wie Sie trotz der zu beachtenden Einschränkungen die Technologie der dynamischen Festplatten gewinnbringend für den Einsatz unter Windows 2000 Professional nutzen können, wird in diesem und im nächsten Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119 gezeigt.

4.4.1 Aufbau und Funktionen dynamischer Festplatten Wenn Sie eine neue Festplatte in Ihr System einbinden wollen, können Sie sich zwischen den zwei grundlegenden Typen Basisfestplatte und Dynamische Festplatte entscheiden. Standardmäßig richtet Windows 2000 eine neue Platte als Basisfestplatte ein. Über die Datenträgerver-

4.4 Dynamische Festplatten

109

waltung können Sie die neue, leere Basisfestplatte in eine dynamische überführen. Alle hier folgenden Erläuterungen beziehen sich auf leere Festplatten, die erst nach der Überführung in eine dynamische Festplatte in logische Einheiten, die sogenannten Dynamischen Datenträger, eingeteilt worden sind. Sie können über die Datenträgerverwaltung auch bereits bestehende Basisfestplatten mit eingerichteten Partitionen und logischen Laufwerken in dynamische Festplatten konvertieren. Die dabei entstehenden dynamischen Festplatten unterscheiden sich aber in ihren Eigenschaften deutlich von einer neu erstellten. Was Sie alles bei der Konvertierung bestehender Basisfestplatten beachten sollten, ist Inhalt des nächsten Abschnitts 4.5 Konvertieren von Basisfestplatten ab Seite 119. Dynamische Festplatten verfügen zur Verwaltung der auf ihnen eingerichteten dynamischen Datenträger über eine Datenträgerverwaltungsdatenbank. Diese Datenbank ist am physischen Ende der Festplatte untergebracht. In der Abbildung 4.7 ist der prinzipielle Aufbau von dynamischen Festplatten dargestellt. Die Datenträgerverwaltungsdatenbank der im System vorhandenen dynamischen Festplatten wird automatisch repliziert, sodass im Falle einer Beschädigung der Datenträgerinformationen diese durch die Windows 2000-eigenen Mechanismen wiederhergestellt werden können. Heute gebräuchliche Reparaturprogramme für Datenträger von Drittherstellern unterstützen in der Regel keine dynamischen Festplatten. Ihre Anwendung kann zu Datenverlusten führen!

Achtung: Dynamische und konvertierte dynamische Festplatten

110

4 Massenspeicherverwaltung

Abbildung 4.7: Aufbau einer dyamischen Festplatte

Dynamische Datenträger, die Sie auf dynamischen Festplatten mit Hilfe der Datenträgerverwaltung anlegen, können in die folgenden Gruppen eingeteilt werden: •

Einfacher Datenträger Entspricht der kleinsten Einheit eines logischen Laufwerks auf einer dynamischen Festplatte. Einfache Datenträger können erweitert werden. Liegt dabei der neue Bereich auf einer anderen physischen Festplatte, entsteht ein übergreifender Datenträger (siehe auch Seite 113).

•

Übergreifender Datenträger Ein übergreifender Datenträger entsteht, wenn mindestens zwei freie Bereiche zusammengefasst oder ein einfacher Datenträger erweitert wird. Logisch verhält sich dieser Datenträger wie eine einzige größere Einheit (siehe auch Seite 114).

•

Stripesetdatenträger Für eine Erhöhung der Performance können Sie mindestens zwei gleich große freie Bereiche, die sich auf verschiedenen physischen Festplatten befinden müssen, zu einem logischen Stripesetdatenträger verbinden. Die Daten werden zwischen diesen Bereichen aufgeteilt, sodass die Transferraten und Antwortzeiten beider

4.4 Dynamische Festplatten

111

Festplatten gebündelt zur Datenspeicherung genutzt werden können (siehe auch Seite 116). In der folgenden Tabelle finden Sie die Dateisysteme, mit denen diese dynamischen Datenträger formatiert werden können: FAT16

FAT32

NTFS

Einfacher Datenträger

Übergreifender Datenträger

Stripesetdatenträger

Bezeichnung

Die Serverversionen von Windows 2000 unterstützen darüber hinaus noch weitere, fehlertolerante Datenträgertypen (siehe Band II). Einen kurzen Überblick über Fehlertoleranz und Windows 2000 finden Sie im Abschnitt 4.4.3 Fehlertolerante Datenspeicherung ab Seite 112.

4.4.2 Notebooks, Wechseldatenträger und externe Speichermedien Dynamische Festplatten werden für die folgenden Systeme nicht unterstützt: •

Notebooks Wird ein tragbares Computersystem durch Windows 2000 erkannt, können Sie auf diesem mit der Datenträgerverwaltung keine dynamischen Festplatten erstellen. Unter Umständen kann es aber möglich sein, dass Sie auf älteren oder nicht voll ACPI-konformen Notebooks dynamische Festplatten einrichten können. Dies ist von Microsoft aber offiziell nicht vorgesehen und kann zu Datenverlusten führen.

•

Wechseldatenträger Wechseldatenträger wie beispielsweise Medien für große SCSIWechselplattenlaufwerke können Sie nicht als dynamische Festplatten einrichten. Diese unterliegen der Wechselmedienverwaltung von Windows 2000.

•

Externe Speichermedien Festplatten, die beispielweise über den USB oder FireWire an den Computer angeschlossen sind, können Sie nicht als dynamische Festplatten einrichten. Dies betrifft nicht externe SCSI-Festplatten.

Tabelle 4.10: Dynamische Datenträger und die einsetzbaren Dateisysteme

112

4 Massenspeicherverwaltung Unter bestimmten Umständen kann es vorkommen, dass Sie die oben genannten Einschränkungen für die Einrichtung dynamischer Datenträger, beispielsweise auf Wechselmedien, die aufgrund technischer Inkompatibilitäten als Festplatten erkannt werden, umgehen können. Für diese Fälle ist das Verhalten von Windows 2000 allerdings nicht vorhersehbar und kann Datenverluste zur Folge haben.

4.4.3 Fehlertolerante Datenspeicherung Fehlertoleranz

Die Datenspeicherung eines Computersystems wird dann als fehlertolerant bezeichnet, wenn der Ausfall oder die Störung eines Teilsystems des Datenspeichers die Gesamtfunktionalität nicht beeinträchtigt. Umgesetzt wird dies durch den redundanten Einsatz wichtiger Teilsysteme, beispielsweise mit mehreren physischen Festplatten. Bei der Implementierung fehlertoleranter Datenspeicherung folgt Microsoft der systemübergreifenden RAID-Spezifikation. RAID ist die Abkürzung von Redundant Arrays of Inexpensive Disks (Redundante Gruppen von preiswerten Platten) und beschreibt die Funktionen, die durch den Zusammenschluss von Festplatten zu logischen Gruppen erreicht werden. Dabei sind verschiedene Level definiert. Die für Windows 2000 (Server- und Professional-Version) in Frage kommenden Level werden in der folgenden Tabelle dargestellt:

Tabelle 4.11: RAIDLevel im Überblick

Level

Beschreibung

RAID 0

Dieses auch als Disk Striping bezeichnete Level beschreibt den Zusammenschluss von mindestens zwei physischen Festplatten zur Erhöhung der Performance zu einem sogenannten Stripesetdatenträger. Die Daten werden zwischen den Platten durch das Betriebssystem in gleich große Streifen aufgeteilt, wodurch praktisch gleichzeitig die Performance mehrerer Platten gebündelt zur Verfügung steht. Dieses Level bietet allerdings keine Fehlertoleranz. Das bedeutet, dass bei Ausfall einer Festplatte alle Daten des gesamten Stripesetdatenträgers verloren sind. Windows 2000 Professional unterstützt nur dieses RAID-Level.

RAID 1

Level 1 wird auch als Mirroring (Spiegelung) bezeichnet. Dabei werden die Daten parallel auf zwei Festplatten gehalten. Bei Ausfall einer Festplatte wird der Betrieb mit der verbleibenden fortgesetzt. Dieses Level wird nur von den Windows 2000-Serverversionen unterstützt.

4.4 Dynamische Festplatten

113

Level

Beschreibung

RAID 5

Bei Level 5 wird Mirroring und Striping kombiniert. Der Fehlerkorrekturcode wird über alle angeschlossenen Festplatten gleichmäßig verteilt. Damit erreichen Sie wieder den Geschwindigkeitszuwachs von Level 0, gepaart mit der Fehlertoleranz von Level 1. RAID 5 wird auch als Striping mit Parität bezeichnet. Level 5 wird nur von den Windows 2000-Serverversionen unterstützt.

Windows 2000 Professional verfügt standardmäßig über keine fehler- Fehlertoleranz nur tolerante Datenspeicherung. Allerdings haben Sie mit den Übergrei- beim Server fenden Datenträgern und den Stripesetdatenträgern die Möglichkeiten, die Flexibilität und die Performance Ihrer Windows 2000Installation zu erhöhen. Mehr zur Funktionsweise und dem Aufbau fehlertoleranter Speichersysteme im Serverbereich können Sie im Band II nachlesen.

4.4.4 Einfache Datenträger und ihre Erweiterung Einfache dynamische Datenträger können Sie während des laufenden Betriebes über die Datenträgerverwaltung erweitern. Dazu muss ein freier Bereich auf einer dynamischen Festplatte zur Verfügung stehen. •

Einfacher, erweiterter Datenträger Liegt der Bereich auf derselben physischen Festplatte, spricht man von einem Einfachen, erweiterten Datenträger.

•

Übergreifender Datenträger Wird der einfache Datenträger über einen Bereich erweitert, der auf einer anderen physischen Festplatte liegt, entsteht ein Übergreifender Datenträger.

Die Abbildung 4.8 zeigt ein Beispiel, in dem ein einfacher Datenträger, mit E: bezeichnet, um einen freien Bereich auf der gleichen dynamischen Festplatte erweitert wird. Es entsteht ein größeres Laufwerk E: mit jetzt 6 GB. Für den Benutzer ist dieser Vorgang transparent, die alten Datenstrukturen bleiben erhalten. Die Änderung wird durch die Datenträgerverwaltung in die Datenträgerdatenbank eingetragen. Ein Neustart ist nicht notwendig.

114

4 Massenspeicherverwaltung

Abbildung 4.8: Erweiterung eines einfachen Datenträgers

Die folgenden Bedingungen müssen erfüllt sein, damit Sie einen einfachen Datenträger erweitern können:

Löschen von Erweiterungen

•

Nur einfache Datenträger, die neu auf einer dynamischen Festplatte erstellt worden sind, lassen sich erweitern. Aus Basisdatenträgern konvertierte Datenträger sind nicht erweiterbar, das betrifft auch System- und Bootdatenträger (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119).

•

Als Dateisystem für eine Erweiterung wird nur NTFS unterstützt. FAT- und FAT32-formatierte dynamische Datenträger lassen sich nicht erweitern.

Erweiterungen einfacher Datenträger werden durch die Datenträgerverwaltung separat angezeigt. Trotzdem können Sie diese Erweiterungen nicht einzeln löschen, sondern nur den gesamten Datenträger. Möchten Sie den Datenträger nachträglich wieder verkleinern, bleibt nur die Sicherung aller Daten und die Neuerstellung des komplett gelöschten Datenträgers.

4.4.5 Übergreifende Datenträger Nur auf dynamischen Festplatten

Übergreifende Datenträger in Windows 2000 sind wie die Datenträgersätze unter NT über mehrere physische Festplatten verteilt. Unter Windows 2000 können Sie solche Datenträger auf dynamischen Fest-

4.4 Dynamische Festplatten

115

platten erstellen. Auf Basisfestplatten wird diese Funktion nicht unterstützt (zur Kompatibilität zu NT siehe Abschnitt 4.3.2 Partitionsgruppen und Fehlertoleranz unter Windows NT ab Seite 93). Auf zwei verschiedene Arten können Sie übergreifende Datenträger Übergreifenden Datenträger über die Datenträgerverwaltung einrichten: •

Sie erstellen direkt einen übergreifenden Datenträger, indem Sie mehrere freie Bereiche auf mindestens 2 physischen dynamischen Festplatten miteinander verbinden. Als Dateisystem können Sie FAT32 oder NTFS bei der Neuanlage auswählen.

•

Sie erweitern einen Einfachen Datenträger (siehe auch vorigen Abschnitt), indem Sie diesem freien Speicherplatz auf einer anderen dynamischen Festplatte für die Erweiterung zuordnen. Für die Erweiterung gilt die Beschränkung auf das Dateisystem NTFS.

erstellen

Ein übergreifender Datenträger kann sich über maximal 32 physische Festplatten erstrecken. Die Verknüpfung der physischen Teilbereiche zu einem logischen Datenträger wird transparent für den Benutzer in der Datenträgerverwaltungsdatenbank eingetragen. Die Einbindung des neuen Datenträgers erfolgt dynamisch bei laufendem Betrieb, ein Neustart ist nicht notwendig. Boot- und Systemdatenträger von Windows 2000 lassen sich nicht in System- und Booteinen übergreifenden Datenträger einbinden, da sich diese nur auf datenträger Basisfestplatten oder auf aus Basisfestplatten konvertierten dynamischen Festplatten (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119) befinden können. In Abbildung 4.9 ist das Prinzip dargestellt, nach dem aus verschiedenen physischen Bereichen (hier auf 2 Festplatten) eine logische Einheit hergestellt wird. Windows 2000 sorgt dafür, dass die Teilbereiche eines übergreifenden Datenträgers nacheinander mit Daten gefüllt werden.

116

4 Massenspeicherverwaltung

Abbildung 4.9: Prinzip eines übergreifenden Datenträgers

Erweiterung eines übergreifenden Datenträgers

Löschen von Teilbereichen

Einen übergreifenden Datenträger können Sie auch während des laufenden Betriebes erweitern. Die notwendigen Voraussetzungen dazu sind: •

Als Dateisystem des übergreifenden Datenträgers wird NTFS benutzt. FAT32-formatierte Datenträger können nicht erweitert werden.

•

Der freie Speicherplatz, um den der Datenträger erweitert werden soll, befindet sich entweder auf der gleichen oder auf einer anderen dynamischen Festplatte. Freier Speicher von Basisfestplatten kann nicht für eine Erweiterung genutzt werden.

Einmal zu einem übergreifenden Datenträger verbundene Teilbereiche lassen sich nicht wieder einzeln aus dem Verbund entfernen. Sie können in diesem Fall nur die gesamten Daten sichern, den übergreifenden Datenträger komplett löschen und danach nach Ihren Bedürfnissen neu anlegen.

4.4.6 Stripesetdatenträger Aufbau

Stripesetdatenträger in Windows 2000 entsprechen der RAIDSpezifikation Level 0 (siehe Tabelle 4.11 auf Seite 112). Wie übergreifende Datenträger setzt sich ein Stripeset aus Teilbereichen über mehrere physische (maximal 32) Festplatten zusammen. Die Teilbereiche

4.4 Dynamische Festplatten

117

müssen allerdings alle exakt gleich groß sein, da die Bereiche nicht nacheinander, wie beim übergreifenden Datenträger, sondern gleichzeitig mit Daten gefüllt werden. Die Datenpakete werden durch den Logischen Diskmanager in gleich große Stripes (Streifen – daher auch der Name Stripeset) aufgeteilt und nacheinander auf alle verbundenen Festplatten gespeichert. Diese Stripes werden in der Fachliteratur auch chunk size genannt, die chunk size und Anzahl der Festplatten im Set mit stripe width. Eine übliche, auch unter stripe width Windows 2000 verwendete chunk size ist 64 KB groß. Hauptvorteil gegenüber den normalen übergreifenden Datenträgern Vorteil: ist die höhere Performance des Stripesetdatenträgers. Daten, deren Performance Größe die chunk size übersteigen, werden von mehreren der angeschlossenen Festplatten verarbeitet. Beim Schreiben und Lesen dieser Daten kann die Datentransferrate der Festplatten gebündelt werden. Dies macht sich umso mehr bemerkbar, je größer die Daten sind. Insbesondere bei hohen Datenmengen, beispielsweise große Bilddateien bei einem Bildverarbeitungsarbeitsplatz, lassen sich signifikante Performancesteigerungen gegenüber der herkömmlichen Speicherung auf einer Festplatte erzielen. Die Abspeicherung und das Auslesen der chunks erfolgt über die angeschlossenen Festplatten sequentiell. Das erste Teilstück geht zur ersten Platte, das zweite zur zweiten usw. Damit müssen sich die Schreib-/Leseköpfe der einzelnen Festplatten bei einem großen Datenstrom nicht weit bewegen und die Latenzzeiten der Festplatten bleiben sehr klein. Durch die integrierte RAID 0–Unterstützung von Windows 2000 können Sie auch mit preiswerten, durchschnittlichen Festplatten ein Massenspeichersystem hoher Leistung aufbauen. Dabei muss es nicht immer SCSI sein. Moderne Arbeitsplatzcomputer mit einem IDEInterface und Ultra-DMA/66-Unterstützung erreichen heute bereits mit handelsüblichen, preiswerten Festplatten, die Sie in einem Stripesetdatenträger bündeln, sehr hohe Leistungswerte. Durch die neue dynamische Datenträgerverwaltung müssen Sie nach Verfügbar ohne dem Einrichten eines Stripesetdatenträgers keinen Neustart vorneh- Neustart men. Nach der Formatierung (es werden FAT, FAT32 und NTFS unterstützt) ist der Stripesetdatenträger sofort einsetzbar. In der folgenden Abbildung sehen Sie den prinzipiellen Aufbau eines Stripesetdatenträgers unter Windows 2000, der sich über zwei dynamische Festplatten erstreckt.

118

4 Massenspeicherverwaltung

Abbildung 4.10: Prinzip eines Stripesetdatenträgers

So könnte beispielsweise eine Konfiguration aussehen, die aus einer Systemfestplatte von 10 GB Kapazität (die gleichzeitig Bootfestplatte ist) und einer weiteren Festplatte von 9 GB besteht. Für das Betriebssystem Windows 2000 ist ein 3 GB großer Bereich abgeteilt, der jetzt auf einer konvertierten dynamischen Festplatte als ehemalige primäre Partition vorhanden ist (siehe auch Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119). Der Rest von 7 GB wird zusammen mit einem gleich großen freien Bereich auf Festplatte 2 zu einem 14 GB Stripesetdatenträger verbunden. Der für diese Konfiguration nicht nutzbare Rest verbleibt als ein Teilstück von 2 GB, hier eingerichtet als einfacher Datenträger E: Keine Fehlertoleranz!

Die Aufteilung der Daten in chunks über mehrer Festplatten bei RAID 0 erfolgt ohne Fehlertoleranz. Fällt eine der eingebundenen Festplatten eines Stripesetdatenträgers aus, sind alle Daten auf diesem verloren. Zwar zeichnen sich heutige Festplatten durch eine lange durchschnittliche fehlerfreie Funktionsdauer (MTBF – Mean Time Between Failure) aus, allerdings wird durch ein Stripeset mit zwei Festplatten die Ausfallwahrscheinlichkeit schon verdoppelt, bei drei Festplatten verdreifacht usw. Die Datensicherung gewinnt also bei der Verwendung von Stripesets an Bedeutung.

Fehlertoleranz nur beim Server

Fehlertoleranz für ein Stripeset erreichen Sie erst mit RAID Level 5 (siehe auch Tabelle 4.11 auf Seite 112). Dies wird aber nur von den

4.5 Konvertieren von Basisfestplatten

119

Windows 2000 Serverversionen unterstützt und wird ausführlich in Band II betrachtet. Stripesetdatenträger können Sie generell nach ihrer Erstellung nicht Ändern von mehr verändern. Wollen Sie weitere Festplatten zu einem bestehenden StripesetdatenStripesetdatenträger hinzufügen, bleibt Ihnen nur die Sicherung aller trägern Daten, die Löschung und Neuanlage des Stripesetdatenträgers. Das gilt auch, wenn Sie eine der Festplatten aus dem Stripeset entfernen möchten.

4.5 Konvertieren von Basisfestplatten Durch die Nutzung dynamischer Festplatten und Datenträger ergeben sich auch auf einem Windows 2000 Professional-Computer Vorteile hinsichtlich Flexibilität und Arbeitsgeschwindigkeit (beispielsweise durch Stripesetdatenträger). Was aber, wenn Sie diese auch für Festplatten nutzen wollen, die bisher in Ihrem System als Basisfestplatten eingerichtet sind? Sie haben grundsätzlich die Möglichkeit, aus vorhandenen Basisfestplatten mit ihren Partitionen und logischen Laufwerken dynamische Festplatten mit dynamischen Datenträgern zu machen. Allerdings ergeben sich dabei einige Besonderheiten und auch Einschränkungen bei der Konvertierung von Basisfestplatten in dynamische, die in diesem Abschnitt gezeigt werden.

4.5.1 Wie die Konvertierung funktioniert Mit Hilfe der Datenträgerverwaltung können Sie eine Basisfestplatte in eine dynamische Festplatte konvertieren. Aus den angelegten primären Partitionen und den ggf. vorhandenen logischen Laufwerken in einer erweiterten Partition werden Einfache Datenträger (siehe Abbildung 4.11).

120

4 Massenspeicherverwaltung

Abbildung 4.11 Beispiel der Konvertierung einer Basisfestplatte

In der Abbildung sehen Sie, wie die Konfiguration der Basisfestplatte aus dem Beispiel von Seite 96 nach einer Konvertierung aussehen würde. Aus den drei primären Partitionen sind nun drei Einfache Datenträger geworden, ebenso aus den beiden logischen Laufwerken in der vormals vorhandenen erweiterten Partition. Partitionstabelle bleibt erhalten

Eine Besonderheit bei der Umwandlung einer vorhandenen Basisfestplatte in eine dynamische besteht darin, dass die Partitionstabelle erhalten bleibt. Die Partitionseinträge in der Tabelle (siehe auch Seite 97) sind nun hinsichtlich ihres Partitionstyps als Dynamische Datenträger gekennzeichnet und werden unter Windows 2000 auch durch die Datenträgerverwaltungsdatenbank am Ende der physischen Festplatte verwaltet. Andere Betriebssysteme wie MS-DOS, Windows 9x/ME oder NT können nach einer Konvertierung einer Basisfestplatte nicht mehr auf die dynamische Festplatte zugreifen. Dies sollten Sie unbedingt berücksichtigen, bevor Sie beispielsweise eine System- oder Bootpartition, die auch eines der o.g. anderen Betriebssysteme enthält, in eine Konvertierung einbeziehen. Bedenken Sie auch, dass Datenträgerreparaturprogramme von Drittherstellern in der Regel dynamische Datenträger nicht unterstützen oder bei ihrem Einsatz unter Umständen Schaden anrichten können.

4.5 Konvertieren von Basisfestplatten

121

4.5.2 Zurückkonvertieren in eine Basisfestplatte Ein Zurückkonvertieren einer dynamischen in eine Basisfestplatte ist Zurückkonvertieren nur für eine leere Festplatte möglich. Das bedeutet, dass Sie zuerst alle nicht wirklich Daten sichern müssen, alle dynamischen Datenträger löschen und möglich! dann die Zurückkonvertierung vornehmen können. Einen wirklichen Weg zurück gibt es also nicht. Sie sollten sich gut überlegen, ob eine Konvertierung sinnvoll ist.

4.5.3 Änderungen an konvertierten dynamischen Datenträgern Änderungen an den konvertierten dynamischen Datenträgern werden Löschen wird in in der Partitionstabelle der konvertierten dynamischen Festplatte nicht Partitionstabelle mehr vollständig berücksichtigt. Wenn Sie einen konvertierten Basis- berücksichtigt datenträger, der vormals eine primäre Partition oder ein logisches Laufwerk in der erweiterten Partition war, in der dynamischen Festplatte löschen, wird dies in der intern noch vorhandenen Partitionstabelle berücksichtigt. Dies erkennen Sie beispielsweise daran, wenn Sie sich das Beispiel für eine konvertierte Festplatte (siehe Abbildung 4.11 auf Seite 120) mit einer Windows 2000-Installation im einfachen Datenträger 5 vorstellen. Wenn Sie nun den einfachen Datenträger 4 löschen, wird Windows trotzdem noch starten können. Das ist der Beweis, dass Windows für den Fall des Löschens die Partitionstabellen pflegt. Anders sieht es aus, wenn Sie im freien Bereich einer dynamischen Neuanlagen nur Festplatte, der beispielsweise entstanden ist, weil Sie einen konvertier- noch in Datenten Basisdatenträger gelöscht haben, einen neuen einfachen (jetzt rich- trägerdatenbank tig) dynamischen Datenträger erstellen. Dieser wird nicht mehr in den intern noch geführten Partitionstabellen berücksichtigt, sondern nur noch in die Datenträgerverwaltungsdatenbank am Ende der physischen Festplatte eingetragen. Deshalb hat dieser neue Datenträger dann alle Eigenschaften eines richtigen dynamischen Datenträgers. So können Sie diesen beispielsweise zu einem Übergreifenden Datenträger erweitern, was mit einem konvertierten Basisdatenträger nicht möglich wäre (siehe auch Abschnitt 4.4 Dynamische Festplatten ab Seite 108). Dies ist bedeutsam für die Installation und den Betrieb von Windows Achtung bei 2000. Das Betriebssystem kann nur dann auf richtige dynamische Da- System- und Boottenträger zugreifen, das heißt auf solche, die nur noch in der Daten- datenträgern trägerverwaltungsdatenbank gehalten werden, wenn es vollständig gestartet ist. Weder das Setup-Programm noch die Startroutinen von Windows 2000 erkennen vorher dynamische Datenträger.

122

4 Massenspeicherverwaltung Windows 2000 kann nur auf dynamischen Datenträgern installiert oder von diesen ausgeführt werden (System- und Bootdatenträger), die zuvor auf einer Basisfestplatte bestanden haben und von dieser konvertiert worden sind. Das bedeutet, dass Sie vor der Installation von Windows 2000 die Einrichtung der Festplatte gut planen müssen.

4.5.4 System- und Bootdatenträger konvertieren Bei all den Einschränkungen, die Sie beim Konvertieren von Systemoder Bootdatenträgern zu beachten haben, stellt sich Ihnen vielleicht die nicht unberechtigte Frage, warum Sie dies überhaupt vornehmen sollten. Schließlich verhalten sich konvertierte dynamische Festplatten keinen Deut anders als ganz normale Basisfestplatten – solange Sie nicht doch einen neuen dynamischen Datenträger in einem freien Bereich auf ihnen erstellen. Konvertierung eines reinen Windows 2000Systems

Unter folgenden Umständen ist eine Konvertierung von System- und Bootdatenträger bei einem reinen Windows 2000-System sinnvoll: •

Sie möchten auf Ihrem PC nur Windows 2000 betreiben.

•

Das Betriebssystem befindet sich auf einer eigenen Partition.

•

Eine oder mehrere Bereiche auf der Festplatte sind frei und werden als neue dynamische Datenträger nach der Konvertierung angelegt.

Das bedeutet, dass Sie nach der Installation des Betriebssystems auf einem Teil der Festplatte (einer primären Partition) den restlichen Teil nach der Konvertierung dynamisch angelegt und damit sehr viel flexibler verfügbar haben, als wenn Sie klassisch mit weiteren primären oder logischen Laufwerken in einer erweiterten Partition arbeiten würden. Diese neuen dynamischen Datenträger können Sie beispielsweise ebenso leicht zu Übergreifenden Datenträgern erweitern wie zum Teil eines Stripesetdatenträgers machen (siehe auch Abschnitt 4.4 Dynamische Festplatten ab Seite 108). Konvertierung bei einem DualbootSystem

Haben Sie eine Konfiguration im Einsatz, bei der Windows 2000 zusammen mit einem oder mehreren anderen Betriebssystemen wie MSDOS oder Windows 9x installiert ist, macht eine Konvertierung nur unter folgenden Voraussetzungen Sinn: •

Die Windows 2000-Bootpartition liegt auf einer anderen physischen Festplatte als die anderen Betriebssysteme.

•

Die Bootfestplatte von Windows 2000 verfügt neben der Bootpartition über freien Platz, der dann wiederum für neue dynamische Datenträger nach der Konvertierung genutzt werden kann.

4.6 Der Indexdienst •

123

Die anderen Betriebssysteme brauchen keinen Zugriff auf die Daten auf der Bootfestplatte von Windows 2000.

4.6 Der Indexdienst Die steigende elektronische Datenflut auf Arbeitsplatzcomputern und im Netzwerk, auch ausgelöst durch die immer weitere Verlagerung von Brief- und Fax-Schriftverkehr ins Internet, machen effiziente Methoden zum Finden von abgelegten Informationen notwendig. Dabei geht es um mehr als nur die Suche nach Dateinamen – wer erinnert sich schon an den Namen eines Briefes, den er vor Monaten vielleicht an einen Geschäftspartner geschrieben hat? Mit Hilfe des Indexdienstes können Sie Informationen auf Ihrem Win- Suche auch nach dows 2000-System katalogisieren lassen. Mit einbezogen werden dabei Inhalten auch weitergehende Informationen wie der Dateiinhalt. So können Sie auch über Schlüsselworte aus dem Inhalt nach Dateien suchen. Um den Indexdienst effektiv einsetzen zu können, ist es notwendig, Anpassungen diesen benutzerspezifisch anzupassen. Es ist meist wenig sinnvoll, auf notwendig einer Arbeitsstation alle Festplatten pauschal insgesamt zu indizieren. Da der Index selbst Festplattenkapazität benötigt und die Erstellung Rechenzeit in Anspruch nimmt, sollte nur die Dateien und Ordner indiziert werden, für die Suchanfragen auch Sinn machen. Die grundlegende Funktionsweise und die wesentlichen Komponen- Administration des ten des Indexdienstes werden in diesem Abschnitt behandelt. Wie Sie Indexdienstes den Indexdienst als Administrator individuell anpassen können, erfahren Sie in Abschnitt 11.12 Indexdienst einrichten ab Seite 479. Bei der ersten ausgelieferten Version von Windows 2000 (Professional und Server) gab es eine Sicherheitslücke im Zusammenhang mit dem Indexdienst. Bei installiertem Internet Information Server und aktivem Indexdienst kann es dazu kommen, dass Benutzer über die WebSuchmaschine des IIS auch an Daten kommen, die nicht für die Veröffentlichung freigegeben worden sind. Auf der folgenden Webseite können Sie den entsprechenden Patch laden, der die oben genannte Sicherheitslücke schließt: http://www.microsoft.com/windows2000/downloads/critical/ q253934/default.asp Sie müssen daran denken, nach jeder Installation von WindowsKomponenten diesen Patch erneut auszuführen.

Patch

124

4 Massenspeicherverwaltung

4.6.1 Überblick zur Indizierung Was ist Indizierung?

Unter Indizierung von Dateien versteht man die systematische Katalogisierung nach bestimmten Eigenschaften. Diese werden zusammen mit der Angabe des Dokumentenpfades in einem Katalog gespeichert. Bei der Suche wird dann auf diesen Katalog zugegriffen. Die Art des Aufbaus des Kataloges entscheidet darüber, wie effizient die Suche durchgeführt wird und wie viele relevante Informationen zu den verwalteten Daten enthalten sind.

Windows 2000Indexdienst

Der Windows 2000-Indexdienst wird bei der Professional-Version des Betriebssystems standardmäßig mit installiert. Er muss für die Nutzung allerdings aktiviert werden (siehe auch Abschnitt 11.12.1 Indexdienst aktivieren ab Seite 479). Voreingestellt ist ein Katalog System, in dem die Indizes aller Dateien der installierten festen Datenträger zusammengefasst sind. Die Aktivierung und Konfiguration des Indexdienstes ist Administratoren vorbehalten. Über die Gruppenrichtlinie Indexdienst können Sie festlegen, welche Benutzern Zugriff auf die Einstellungen des Indexdienstes über das entsprechende Snap-In gewährt wird.

Indizierung im Hintergrund

Die Indizierung erfolgt unter Windows 2000 Professional als Prozess im Hintergrund. Der Benutzer merkt im Allgemeinen nichts davon. Natürlich hängt dies auch von der Leistungsfähigkeit der eingesetzten Hardware und der Anzahl der zu indizierenden Dateien ab. Deshalb sollte der Indexdienst benutzerspezifisch eingestellt werden (siehe auch Abschnitt 11.12 Indexdienst einrichten ab Seite 479). Der Indexdienst arbeitet nur dann im Hintergrund, wenn ihm ausreichend Ressourcen an Rechenzeit und Speicherkapazität zur Verfügung stehen. Sind beispielsweise gerade Programme mit rechenintensiveren Aufgaben beschäftigt, hält der Indexdienst an und nimmt die Indizierung erst dann wieder auf, wenn der Hauptprozessor weniger zu tun hat. Das Verhalten des Indexdienstes kann angepasst werden. Sie können bestimmen, wie hoch die Performance des Indexdienstes sein soll und wie oft oder wie schnell Veränderungen an Dateien im Index aktualisiert werden sollen.

Was wird indiziert?

Nach Installation des Indexdienstes werden zunächst alle Dateien der existenten Festplatten indiziert. Sie können allerdings selbst bestimmen, welche Dateien und Ordner in die Indizierung einbezogen werden sollen. Meist ist es sinnvoll, nur ausgewählte Verzeichnisse zu indizieren. Das Dateisystem eines zu indizierenden Datenträgers spielt nur eine untergeordnete Rolle.

Vorteil bei Nutzung von NTFS

Die maximale Performance und mehr Einflussmöglichkeiten bietet allerdings NTFSv5 (siehe auch Kapitel 5 Dateisysteme ab Seite 129). Nur hier ist das NTFS-Änderungsjournal verfügbar, mit dem Änderungen an Dateien schnell auf Dateisystemebene erfasst werden. Da-

4.6 Der Indexdienst

125

durch kann der Indexdienst besonders bei großen Datenbeständen sehr schnell auf Änderungen reagieren. Entscheidend für die Performance ist hier nicht mehr, wie viele Dateien auf dem Datenträger existieren, sondern wie viele geändert worden sind. Als zweiter wichtiger Unterschied zu den FAT-Dateisystemen ist das Vorhandensein eines Attributes für die Indizierung (siehe auch Seite 161). Sie können damit beispielsweise bestimmen, welche Dateien und Ordner durch die Indizierung ausgenommen werden, obwohl diese im Katalog zunächst aufgenommen worden sind. Dateien, die durch das verschlüsselnde Dateisystem (EFS; siehe auch Verschlüsselung Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166) chiff- kontra Indizierung riert sind, werden nicht in den Index aufgenommen. Nachträglich verschlüsselte Dateien werden automatisch aus dem Index entfernt. Für eine maximale Sicherheit sollten Sie den Indexdienst deaktivieren. Sie können auch gezielt nur bestimmte Kataloge indizieren beziehungsweise ganze Verzeichnisse aus der Indizierung ausnehmen. Endergebnis der Indizierung ist der aktuelle Katalog System bezie- Kataloge hungsweise ein oder mehrere benutzerspezifische Kataloge, die einen kompletten Index mit den Verweisen und allen gewünschten Informationen zu den entsprechenden Dateien enthalten. Die Suche über das Suchendialogfenster im Windows Explorer wird dann automatisch auf die Kataloge ausgedehnt, die für den oder die betreffenden Datenträger existieren. Für den Benutzer läuft der Vorgang transparent ab; bei einer aufwändigeren Suche wird er nur deutlich schneller ein Ergebnis präsentiert bekommen. Eine Suche nach einem Textauszug aus dem Inhalt beispielsweise wird dann im aktuellen Katalog durchgeführt. Steht kein Katalog zur Verfügung beziehungsweise ist der Indexdienst inaktiv, erfolgt die Suche herkömmlich mit dem Durchforsten jeder einzelnen Datei. Das dauert länger und hat deutlich mehr Datenträgerzugriffe zur Folge.

4.6.2 Der Indizierungsvorgang Die nachfolgende Abbildung zeigt schematisch die einzelnen Schritte beim Indizieren einer Datei:

126

4 Massenspeicherverwaltung

Abbildung 4.12: Indizierung einer Datei

Im Hintergrund liest der Indexdienst, wenn er neu gestartet wurde oder neue Dateien hinzukommen, jedes einzelne Dokument ein. Für die Indizierung werden dann die folgenden Schritte durchgeführt: 1.

Es wird der Typ des Dokuments ermittelt. Existiert ein Dokumentfilter (siehe unten) für das Dateiformat, werden damit der Inhalt sowie die Dokumenteigenschaften extrahiert. Wird kein spezifischer Dokumentfilter gefunden, wird je nach Einstellung für den Katalog die Datei trotzdem in den Index aufgenommen oder davon ausgeschlossen. Bei Aufnahme einer solchen Datei in den Index werden über einen allgemeinen Filter nur die Merkmale extrahiert, die gewonnen werden können. Eine umfassende Volltextsuche kann dann allerdings nur eingeschränkt möglich sein.

2. Die Dokumenteigenschaften sowie der Pfad werden im Index gespeichert. 3. Der Inhalt des Dokuments wird analysiert und die verwendete Sprache ermittelt. Es wird eine Einzelwortliste erstellt, die um die Wörter aus der Ausnahmewortliste (siehe unten) bereinigt wird. Die verbliebene Wortliste zu dem Dokument wird im Index gespeichert.

4.6 Der Indexdienst

127

4.

Die ermittelten Dokumenteigenschaften werden im Eigenschaften- Eigenschaftencache abgelegt. Da die eingesetzten Dateifilter die verschiedensten cache Eigenschaften je Dateityp extrahieren können, gibt es damit die Möglichkeit zu bestimmen, welche Eigenschaften im Suchdialog für Abfragen benutzt werden können1.

5.

Die gewonnenen Informationen zu den Eigenschaften und zum Wortlisten Inhalt werden zunächst temporär im Arbeitsspeicher in so genannten Wortlisten gehalten. Diese werden dann in temporären Indizes auf dem Datenträger abgelegt.

6.

Nach einer definierten Zeitspanne (meist einmal am Tag) oder Zusammenführen einer bestimmten Menge an Wortlisten und temporären Indizes zum Masterindex werden diese zu einem sogenannten Masterindex zusammengeführt. Diese Zusammenführung können Sie auch manuell vornehmen, wenn Sie eine schnellere Aktualisierung des Masterindex wünschen.

Der Masterindex stellt die effizienteste Form des Index dar. Die Daten Masterindex sind hier hochkomprimiert und für die Suchfunktionen optimiert. Die Zusammenführung kann insbesondere bei umfangreichen Indizes einige Zeit in Anspruch nehmen und macht nur Sinn, wenn die Wortlisten beziehungsweise die gespeicherten temporären Indizes aktuell sind. Der Indexdienst in Windows 2000 extrahiert die Eigenschaftswerte Dokumentfilter von Dateien über Dokumentfilter, die auch als IFilter bezeichnet werden. Für die folgenden Dateitypen werden mit Windows 2000 Dokumentfilter mitgeliefert: •

HTML

•

Text (ASCII, ANSI, Unicode)

•

Microsoft Office Dokumente (Word, Excel etc.; ab Office 95)

•

Microsoft Outlook Dokumente (E-Mails, News etc.)

Sollen andere als die oben genannten Dokumente mit in den Index einbezogen werden, so benötigen Sie Dokumentfilter der entsprechenden Hersteller für den Indexdienst. Die Schnittstellen dazu hat Microsoft offen gelegt und bietet die Informationen dazu im Platform Software Development Kit an.

1

Für umfassende Abfragen kann eine hochkomplexe Abfragesprache genutzt werden, wobei die konkreten Eigenschaften der verschiedenen Dokumenttypen einbezogen werden können. Da dies weniger für eine lokale Arbeitsstation, sondern mehr im Netzwerk von Bedeutung ist, wird auf die Abfragesprache näher in Band II eingegangen.

128 Index ohne Dokumentfilter

Ausnahmewortlisten

4 Massenspeicherverwaltung Ist kein spezieller Dokumentfilter verfügbar, können die betreffenden Dokumente trotzdem in den Index aufgenommen werden. Es werden durch einen allgemeinen Filter die maximal möglichen Informationen extrahiert. Allerdings kann die Suche nach bestimmten Eigenschaften und Textinhalten stark eingeschränkt sein. Sie können allerdings auch festlegen, dass ausschließlich Dokumente indiziert werden, für die ein Dokumentfilter verfügbar ist. Für die Extrahierung des Dateiinhaltes in Text-Schlüsselwortlisten macht es sicher wenig Sinn, alle Wörter eines Textes zu erfassen. Es gibt in jeder Sprache allgemeine Wörter wie Artikel, Pronomen oder Verbindungsworte, die natürlich nicht in die Schlüsselwortlisten gehören. Diese sogenannten Ausnahmewörter werden in Textdateien zusammengefasst und je nach unterstützter Sprache angelegt. Die allgemeine Syntax dieser Dateien mit den Ausnahmewortlisten lautet: %Systemroot%\system32\Noise.xxx Für xxx steht die entsprechende Sprachen-Kennung. Die Datei %Systemroot%\system32\Noise.deu beispielsweise enthält die Ausnahmewortliste für die deutsche Sprache. Sie kann als normale Textdatei mit einem Editor bearbeitet und damit einfach erweitert werden.

4.6 Der Indexdienst

129

Kapitel 5 Dateisysteme

5.1

Unterstützte Dateisysteme ...................................131

5.2

Vergleich von FAT, FAT32 und NTFS...............132

5.3

Fragmentierung ......................................................140

5.4

NTFS im Detail ......................................................152

5.5

FAT und FAT32 im Detail....................................176

5.1 Unterstützte Dateisysteme

5 Dateisysteme Für den Zugriff auf Datenträger durch Anwendungsprogramme und Benutzer bietet das Dateisystem eines Betriebssystems eine definierte Schnittstelle. Windows 2000 unterstützt eine Reihe von Dateisystemen für den Zugriff auf Festplatten, Wechseldatenträgern wie CD/DVD, Diskettenlaufwerke u.a.

5.1 Unterstützte Dateisysteme Windows 2000 unterstützt verschiedene Dateisysteme für die Speicherung von Dateien auf Festplatten und Wechseldatenträgern.

FAT, FAT32 und NTFS Das sind die Standarddateisysteme für die Verwaltung von Festplatten und den meisten wiederbeschreibbaren Wechseldatenträgern. Diese drei Dateisysteme werden in diesem Kapitel ab Seite 132 näher betrachtet. Im vorliegenden Buch werden die FAT-Varianten FAT16 und FAT12 wie folgt unterschieden: Das FAT16-Dateisystem (ab Datenträgergrößen von 16 MB verwendet) wird generell mit FAT benannt, es sei denn, eine explizite Benennung ist erforderlich. Das FAT12Dateisystem wird generell als FAT12 bezeichnet.

CDFS Das Compact Disc File System ist das Standardformat nach ISO-9660 für die Verwendung von CD-ROMs unter Windows 2000. Es unterstützt lange Dateinamen entsprechend ISO 9660 Level 2. Die folgenden Einschränkungen gelten bei der Erstellung von CDROMs nach diesem Standard: •

Die Namen von Dateien und Ordnern dürfen höchstens 31 Zeichen lang sein und können nur Grossbuchstaben verwenden.

•

Die Ordnerstrukturen können maximal eine Tiefe von 8 Ebenen vom Hauptverzeichnis aufweisen.

Windows 2000 kann CDFS-Datenträger lesen. Das Erstellen von CDROMs mit diesem Format ist nur mit Zusatzsoftware von Drittherstellern möglich.

131

132

5 Dateisysteme UDF Das Universal Disc Format (ISO 13346) ist ein neues Standardformat für austauschbare Wechseldatenträger allgemein. Mit UDF formatierte CD-ROMs, MOs (Magnetooptische Medien) oder DVDs sollen so zwischen den verschiedensten Plattformen und Betriebssystemen kompatibel sein. Der Standard gilt als Nachfolger des CDFS und ist heute in den Versionen 1.02 und 1.50 verbreitet. Windows 2000 unterstützt von sich aus das Lesen UDF-formatierter Datenträger. Das Erstellen von Datenträgern mit diesem Format ist nur mit Zusatzsoftware von Drittherstellern möglich.

5.2 Vergleich von FAT, FAT32 und NTFS In diesem Abschnitt werden die von Windows 2000 unterstützten Dateisysteme für Festplattenspeicher in den wichtigsten Merkmalen miteinander verglichen. Das soll Ihnen helfen, die Auswahl des für Sie richtigen Dateisystems zu erleichtern. Im Detail werden dann die Dateisysteme NTFS, FAT32 und FAT in den nächsten Abschnitten ab Seite 152 erläutert.

5.2.1 Kompatibilität mit MS-Betriebssystemen Die in der Windows-Welt verbreiteten Dateisysteme FAT, FAT32 und NTFS können nicht von allen Microsoft-Betriebssystemen verwendet werden. Die folgende Tabelle zeigt die Unterstützung der MicrosoftBetriebssysteme für diese Dateisysteme. Tabelle 5.1: Kompatibilität der Microsoft-Betriebssysteme

Betriebssystem

FAT

FAT32

NTFS

NTFSv5

Windows 95

Windows 95 OSR2

Windows 98

Windows NT 3x/4x

Windows NT ab ServicePack 4

Windows 2000

MS-DOS; inkl. Windows (2x,3x)

5.2 Vergleich von FAT, FAT32 und NTFS

133

Windows 2000 ist das einzige Microsoft-Betriebssystem mit einer umfassenden Unterstützung aller in der Windows-Welt verbreiteten Betriebssysteme. Damit eignet sich Windows 2000 deutlich besser zum Upgrade eines Windows 9x-Systems als noch Windows NT 4 Workstation, da hier inzwischen das FAT32-Dateisystem stark verbreitet ist (ab Windows 95 OSR 2 und alle Versionen von Windows 98). Windows NT 4 ist erst ab Installation des Service Packs 4 in der Lage, Windows NT und auf NTFSv5-formatierte Datenträger zuzugreifen. Allerdings ist der NTFSv5 Zugriff unter Windows NT auf die bisher unter NTFSv4 bekannten Funktionen beschränkt. Neue Funktionen und Merkmale wie beispielsweise Datenträgerkontingente oder verschlüsselte Dateien sind nicht verfügbar. Windows 2000 verfügt über zuverlässige Mechanismen, die eine gemeinsame Nutzung NTFS-formatierter Datenträger mit Windows NT 4 ermöglichen. In Abschnitt 5.4.9 Zur Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 174 wird dieses Thema eingehender erörtert. Für das richtige Verständnis der Datenträgerverwaltung von Win- Dynamische dows 2000 unter maximaler Ausnutzung seiner Möglichkeiten emp- Festplatten fiehlt sich die Nutzung von dynamischen Festplatten. Allerdings gibt es gerade im Hinblick auf die Kompatibilität zu anderen Betriebssystemen und zu den Boot- beziehungsweise den Systemdatenträgern einiges zu beachten. In Abschnitt 4.4 Dynamische Festplatten ab Seite 108 wird die dynamische Datenträgerverwaltung von Windows 2000 im Detail behandelt. Für Multiboot-Konfigurationen, die neben Windows 2000 auch noch FAT/FAT32 und andere Betriebssysteme vorsehen, kann die Verwendung von FAT Multibootkonfioder FAT32 für den System- beziehungsweise Bootdatenträger Sinn gurationen machen. Das FAT-Dateisystem wird von vielen älteren Betriebssystemen unterstützt und eignet sich daher für die Formatierung maximal kompatibler Datenträger. FAT32 als Dateisystem für den Boot- beziehungsweise Systemdatenträger ermöglicht eine effiziente Datenverwaltung bei einer Windows 2000/Windows 98-Dualbootkonfiguration (beziehungsweise zusammen mit Windows 95 OSR2).

5.2.2 Speicherkapazität von Datenträgern Die nutzbare Kapazität eines Datenträgers wird erheblich durch das verwendete Dateisystem bestimmt. Zum einen betrifft das die verfügbare Größe des Datenträgers selbst, zum anderen, wie mit dem zur Verfügung gestellten Platz umgegangen wird.

134

5 Dateisysteme Maximale Datenträgergrößen Die maximale Größe eines Datenträgers, die durch ein Dateisystem verwaltet werden kann, hängt von der Anzahl der adressierbaren Cluster ab. Die Dateisysteme FAT, FAT32 und NTFS unterscheiden sich hierbei: FAT16, daher auch der Name, kann mit einem 16 BitDatenwort die Anzahl der Cluster adressieren. Damit beschränkt sich die maximale Anzahl auf 65.535 Cluster. FAT32 verfügt demgegenüber über ein 32 Bit-Feld. Da die ersten 4 Bits reserviert sind, stehen 228 Adressen (268.435.456 Cluster) zur Verfügung. Bei NTFS ist die Datenbreite nochmals auf 64 Bit verdoppelt, was einen Adressraum von 18.446.744.073.709.551.616 Clustern zur Folge hat. Da gemäß des heute etablierten Industriestandards die Sektorgröße eines Datenträgers 512 Byte beträgt, ergibt sich die maximale Datenträgergröße aus Clusteranzahl x Sektorgröße. Die folgenden Tabelle vermittelt einen Überblick über die Größenbeschränkungen für Datenträger und Dateien der Dateisysteme:

Tabelle 5.2: Größenbeschränkungen der Dateisysteme unter Windows 2000

FAT Maximale Datenträgergröße

4 GB

Maximale Dateigröße

Dateien je Datenträger Einträge im Stammverzeichnis

FAT32

NTFSv5

2 TB;

16,7 Mio TB;

praktisch: 32 GB

praktisch: 2 TB

2 GB

4 GB

durch Datenträgergröße begrenzt

216-12

222

232-1

=65.524

=4.194.304

=4.294.967.295

5121

unbegrenzt

unbegrenzt

FAT

Unter dem FAT-Dateisystem stehen maximal 65.524 Cluster (16 Bit = 65.535; abzüglich reservierter Platz) für die Speicherung von Dateien und Verzeichnissen zur Verfügung. Ab 2 GB Datenträgergröße belegen die Cluster hier allerdings 64 KB. Das bedeutet zum einen eine große Verschwendung von Speicherplatz bei vielen kleinen Dateien, zum anderen können MS-DOS und Windows 9x dann nicht mehr auf diesen Datenträger zugreifen.

> 2 GB: besser FAT32 oder NTFS

Um Kompatibilität sicherzustellen, sollten Sie deshalb bei größeren Datenträgern über 2 GB prüfen, ob die Verwendung von FAT32 oder

1

Die Verwendung langer Dateinamen im FAT-Stammordner kann die Anzahl der Einträge zusätzlich reduzieren. 1 Eintrag wird auch durch den Datenträgernamen beansprucht (wenn vorhanden).

5.2 Vergleich von FAT, FAT32 und NTFS NTFS auf dem entsprechenden Datenträger einsetzbar ist. Anderenfalls ist eine Aufteilung (Partitionierung) des Datenträgers in kleinere Einheiten anzuraten. Die Anzahl der verwaltbaren Cluster unter FAT32 ist 228 = 268.435.456. FAT32 Nach Abzug von Verwaltungsplatz verbleiben 268.435.445 Cluster für die Speicherung von Daten. Bei einer Clustergröße von 32 KB errechnet sich eine theoretisch maximale Größe eines Datenträgers von 8 TB. Aufgrund interner Limitierungen von Windows 95 OSR2 und Windows 98 ist die Größe der FAT selbst auf 16 MB beschränkt. Die Limitierung bedeutet eine maximale Anzahl der verwaltbaren Cluster von 4.177.920 (je Cluster 4 Byte). Bei einer maximalen Clustergröße von 32 KB ergibt sich eine nutzbare Kapazität von immerhin noch 127,53 GB. Dies ist auch die Größe, die Sie unter Windows 95 OSR2 und Windows 98 formatieren können. Unter Windows 2000 werden nur Datenträger bis zu 32 GB für FAT32 unterstützt. Für die Wahrung der Kompatibilität kann Windows 2000 auch größere, fremdformatierte FAT32-Datenträger benutzen. Nur neu formatieren können Sie diese dann mit FAT32 nicht. Die maximale Größe eines Datenträgers, den Sie mit NTFS unter Win- NTFS dows 2000 formatieren können, ist derzeit auf die noch recht theoretische Größe von 2 TB begrenzt (wohlgemerkt für einen Datenträger am Stück!). Diese Beschränkung liegt weniger an Windows 2000 oder Microsoft, sondern mehr an der heute üblichen Sektorgröße bei Festplatten von 512 Byte. Hinzu kommt die derzeitige Limitierung der Datenträgertabellen auf 232 Sektoren (als Industriestandard verankert). Damit ergibt sich eine maximale Größe von 232 x 512 Byte = 2 TB. Durch eine Vergrößerung der Sektorgröße beziehungsweise der Datenträgertabelle könnten hier in Zukunft noch Reserven aufgedeckt werden – vielleicht haben wir dann aber schon Speichermodule im TeraByte-Bereich, die sich aus kleinen Kristallwürfeln zusammensetzen...

Größe der Zuordnungseinheiten (Cluster) Die kleinste adressierbare Einheit auf einer Festplatte wird auch Zuordnungseinheit oder Cluster genannt. In Tabelle 5.3 sind die Clustergrößen der einzelnen Dateisysteme gegenübergestellt. Mit Hilfe der Windows 2000-Formatprogramme (siehe auch Abschnitt 11.5 Datenträger formatieren ab Seite 424) können Sie diese Clustergrößen an spezielle Bedürfnisse anpassen. Die Limitierungen, insbesondere des FAT-Dateisystems, können Sie damit natürlich trotzdem nicht überwinden. Das bedeutet auch, dass die minimale Clustergröße ab einer bestimmten Datenträgerkapazität nicht unterschritten werden kann.

135

136

5 Dateisysteme So können Sie keinen FAT16-Datenträger mit 3 GB und einer Clustergröße von beispielsweise 4 KB formatieren.

Tabelle 5.3: StandardClustergrößen der Windows 2000Dateisysteme

FAT

FAT32

NTFS

7 – 16 MB

2 KB (FAT121)

---2

512 Byte

17 – 32 MB

512 Byte

---

512 Byte

33 - 64 MB

1 KB

512 Byte

512 Byte

65 – 128 MB

2 KB

1 KB

512 Byte

129 – 256 MB

4 KB

2 KB

512 Byte

257 – 512 MB

8 KB

4 KB

512 Byte

513 – 1.024 MB

16 KB

4 KB

1 KB

1 GB – 2 GB

32 KB

4 KB

2 KB

2 GB – 4 GB

64 KB

4 KB

4 KB

4 GB – 8 GB

---

4 KB

4 KB

8 GB – 16 GB

---

8 KB

4 KB

16 GB – 32 GB

---

16 KB

4 KB

32 GB – 2 TB

---

---

4 KB

Datenträgergröße

Verschwendung unter FAT

Aus der Tabelle wird deutlich, dass für die Verwaltung großer Datenträger ab 1 GB die Verwendung von FAT als Dateisystem mit einer Clustergröße von 16 KB und mehr zu einer sehr ineffizienten Ausnutzung des Speicherplatzes führt. Dies wird besonders deutlich, wenn Sie auf so einem Datenträger viele kleine Dateien, beispielsweise kurze Texte, speichern, die allesamt nur wenige KB groß sind. Jede Datei belegt dabei mindestens einen Cluster. Bei einer Dateigröße von 2 KB bleiben so mit Clustern von 16 KB glatte 14 KB ungenutzt.

Bessere Ausnutzung bei FAT32 und NTFS

FAT32 erlaubt mit seinen kleineren Clustergrößen eine wesentlich effizientere Speicherung auch kleinerer Dateien. Die sparsamste Verwendung kann hier aber NTFS aufweisen. Kleine Dateien bis ca. 1.500 Bytes werden komplett mit den zugehörigen Indizierungsattributen in der Master File Table (MFT) untergebracht (siehe auch Abschnitt 5.4.2 Der interne Aufbau von NTFS ab Seite 154).

1

Bei kleinen Datenträgern bis 16 MB wird automatisch das FAT12Dateisystem mit einem 12-Bit-Eintrag in der Dateizuordnungstabelle (212 Cluster) benutzt. Für Datenträger ab 17 MB ist es dann FAT16.

2

Mit --- gekennzeichnete Felder in der Tabelle zeigen nicht unterstützte Konfigurationen an.

5.2 Vergleich von FAT, FAT32 und NTFS

137

5.2.3 Performance Neben der Größe eines Datenträgers und Aspekten der Zugriffssicherheit spielt bei einer lokalen Arbeitsstation auch die erreichbare Performance eine Rolle bei der Entscheidung für ein Dateisystem. Oberflächlich betrachtet erscheint NTFS zunächst nicht unbedingt schneller zu sein als FAT oder FAT32.

Kleine Datenträger Die Dateisysteme FAT12/16 und FAT32 haben auf kleineren Daten- FAT/FAT32 ist trägern in Sachen Performance die Nase vorn und sind schneller als schneller NTFS. Dies ist in der wesentlich einfacheren Struktur der FATDateisysteme begründet. Zudem gibt es unter FAT keine erweiterten Zugriffsberechtigungen für Benutzer, die für eine Datei oder einen Ordner mit verwaltet werden müssen. NTFS hat dadurch und durch seine interne Strukturierung einen größeren Overhead zu verwalten – und das kostet eben Zeit. Bis zu einer Datenträgergröße von 256 MB bei einer Clustergröße von 4 KB ist das Dateisystem FAT16 für eine maximale Performance zu bevorzugen. Das betrifft heute vor allem die Formatierung von Wechseldatenträgern mit meist 20, 100 oder 250 MB Kapazität. Aufgrund der größeren notwendigen Verwaltungskapazitäten des Disketten NTFS-Dateisystems wird eine Formatierung von Disketten mit NTFS erst gar nicht unterstützt. Hier ist nach wie vor das FAT12Dateisystem hinsichtlich der Effizienz der Speicherung die beste Wahl.

Große Datenträger Auf großen Datenträgern ab 1 GB mit vielen Dateien sieht die Sache NTFS im Vorteil schon ganz anders aus. Hier kann NTFS seine Trümpfe voll ausspielen. Die Organisation der Dateien in Ordnern in Form von B-Bäumen beschleunigt die Suche nach Dateien erheblich (unabhängig von der zusätzlichen Möglichkeit der Indizierung in Windows 2000). Die Suche nach einer bestimmten Datei wird durch wesentlich weniger Zugriffe möglich – im Gegensatz zu FAT, wobei immer der gesamte Ordner durchsucht wird. Dazu kommen die effizienteren Speichermethoden für kleine Dateien Kleine Dateien im NTFS-Dateisystem gegenüber dem Zeiger-basierten Modell bei FAT/FAT32, die eine deutlich schnellere Bereitstellung der Daten für Anwendungsprogramme ermöglichen. So werden kleine Ordner und Dateien direkt in der Master File Table (MFT) abgelegt. Unter den FAT-Dateisystemen enthalten die File Allocation Tables generell nur Zeiger auf Dateien und Ordner, unabhängig von deren Größe.

138

5 Dateisysteme Performanceverlust durch Fragmentierung Die Fragmentierung von Datenträgern und Dateien wirkt sich mit am stärksten auf die erreichbare Performance unter jedem der unterstützten Dateisysteme aus. Diesem Thema ist der Abschnitt 5.3 Fragmentierung ab Seite 140 gewidmet.

5.2.4 Dateisystemsicherheit Ein wesentliches Merkmal eines Dateisystems ist die Fähigkeit, mit Störungen umzugehen beziehungsweise Daten nach einem Systemausfall wiederherstellen zu können. In diesem Abschnitt werden die Dateisysteme FAT, FAT32 und NTFS in dieser Hinsicht gegenübergestellt.

Dateisystemsicherheit bei FAT Das einfache FAT-Dateisystem ist am anfälligsten gegenüber Datenträgerfehlern: •

Der Bootsektor wird nicht gesichert, sodass bei seiner Beschädigung kein Startvorgang möglich ist.

•

Wird die File Allocation Table (FAT) beschädigt, wird nicht automatisch die Sicherheitskopie benutzt. Diese kann erst ein externes Reparaturprogramm wie beispielsweise Chkdsk aktivieren.

•

Eine integrierte Dateisystemsicherheit wie bei NTFS steht unter FAT nicht zur Verfügung. Eine unterbrochene Schreibaktion, die beispielsweise eine alte Datei durch eine neue ersetzen soll, hat so den Verlust der alten und der neuen Datei zur Folge.

Demgegenüber steht die Möglichkeit, auf FAT-Datenträger mit Hilfe einer einfachen MS-DOS-Bootdiskette zugreifen zu können sowie die breite Palette an verfügbaren Datenträgerwerkzeugen.

Dateisystemsicherheit bei FAT32 Gegenüber FAT12/16 wurden bei FAT32 einige Verbesserungen hinsichtlich der Dateisystemsicherheit vorgenommen: •

Der Stammordner ist eine normale Clusterkette und kann an einer beliebigen Stelle im Dateisystem gespeichert werden. Dadurch ist dieser weniger empfindlich gegen Störungen des Datenträgers an einzelnen bestimmten Sektoren und es entfällt die Limitierung von FAT auf 512 Einträge.

5.2 Vergleich von FAT, FAT32 und NTFS •

139

FAT32 kann bei einer Beschädigung der File Allocation Table (FAT) automatisch die Sicherungskopie implementieren.

Wie auch unter FAT12/16 sind aber eine Reihe von Nachteilen hinsichtlich der Dateisystemsicherheit nicht behoben: •

Der Bootsektor wird auch hier nicht gesichert.

•

Eine integrierte Dateisystemsicherheit wie bei NTFS steht auch hier nicht zur Verfügung.

Dateisystemsicherheit bei NTFS •

Wiederherstellbares Dateisystem Das NTFS-Dateisystem bietet in Sachen Datensicherheit bedeutende Erweiterungen gegenüber FAT und FAT32. NTFS wird darum auch wiederherstellbares Dateisystem genannt.

Wiederherstellbares Dateisystem

Grundlage der Wiederherstellbarkeit ist die Verwendung von Transaktionen Standardmethoden zur Transaktionsprotokollierung, wie sie auch in Datenbanksystemen Anwendung finden. Jeder Datenträgervorgang wird dabei als Transaktion betrachtet. Vor einer Aktion, das kann beispielsweise das Lesen einer Datei oder das Schreiben einer bestimmten Anzahl von Datenblöcken sein, wird ein Starteintrag im Transaktionsprotokoll eingetragen. Dann wird die Transaktion durchgeführt und der erfolgreiche Abschluss wiederum protokolliert. Wird die Transaktion aufgrund eines Hardware-Fehlers oder Programmabsturzes nicht bis zu Ende geführt, wird mit Hilfe des Transaktionsprotokolls und spezieller Prüfpunkte die Datenträgerkonsistenz wiederhergestellt. Die transaktionsorientierte Arbeitsweise unter NTFS entspricht im Journaled File Prinzip der von Journaled File Systems, wie sie auch in verschiede- System nen UNIX-Versionen zum Einsatz kommen. Die Transaktionsprotokollierung ist übrigens nicht zu verwechseln mit dem Änderungsjournal (siehe Seite 173), welches ein neues Merkmal des NTFSv5 darstellt. •

Cluster-Remapping NTFS ist in der Lage, die Auswirkungen von auftretenden Sektorfehlern bei Datenträgern zu minimieren. Wird während des Betriebes ein defekter Sektor entdeckt, wird der entsprechende Cluster als defekt in der Datei $BADCLUS markiert und die zu schreibenden Daten werden auf einen unbeeinträchtigten umgeleitet. Tritt ein Sektorfehler bei einem Lesevorgang auf, können allerdings die betreffenden Daten nicht wiederhergestellt werden und werden, da sie nicht mehr konsistent sein können, verworfen.

Cluster-Remapping

140

5 Dateisysteme Für FAT und FAT32 werden defekte Sektoren nur beim Neuformatieren eines Datenträgers erkannt und berücksichtigt. Treten Sektorfehler hier während des Betriebes auf, können auch Schreiboperationen beeinträchtigt werden beziehungsweise die zu schreibenden Daten verloren gehen.

Defekte Sektoren bei FAT

BootsektorSicherung

•

Bootsektor-Sicherung Für den Bootsektor wird im Gegensatz zu FAT und FAT32 am Ende des Datenträgers eine Sicherungskopie angelegt.

5.2.5 Zugriffsrechte für Dateien und Ordner FAT und FAT32: lediglich Attribute

Für die Dateisysteme FAT und FAT32 lassen sich für Dateien und Ordner lediglich bestimmte Attribute setzen: Schreibgeschützt, Versteckt, Archiv und System. Diese Attribute lassen sich durch alle Benutzer setzen und löschen und stellen damit keinen wirksamen Schutz dar. Zugriffsrechte auf Benutzerebene werden von diesen Dateisystemen nicht unterstützt. Lediglich für die Freigaben in einem WindowsNetzwerk lassen sich verbindliche Attribute festlegen, die dann nicht mehr durch jeden Benutzer über das Netzwerk geändert werden können.

NTFS: Benutzerrechte

Unter NTFS lassen sich Dateiberechtigungen für Dateien und Ordner festlegen, die den Zugriff genau für die angelegten Benutzer und Gruppen regeln. Sie können festlegen, wer überhaupt Zugriff erhält und wenn, welche Aktionen im Detail zugelassen sind. Diese Dateiberechtigungen gelten sowohl lokal als auch für Benutzer, die über das Netzwerk angemeldet sind.

Vererbbare Berechtigungen

Neu unter NTFSv5 sind vererbbare Berechtigungen, die standardmäßig aktiviert sind. Durch die Festlegung der Berechtigungen für übergeordnete Ordner können Sie Berechtigungen für Dateien und Ordner, die in diesem enthalten sind, leicht ändern. Dies führt zu einer erheblichen Zeiteinsparung und zu drastisch verminderten Datenträgerzugriffen bei der Änderung der Berechtigungen für eine hohe Zahl von Dateien und Ordnern.

5.3 Fragmentierung Auswirkung auf Performance

Neben der Effizienz der Speicherung von Daten spielt auch die Fragmentierung hinsichtlich der erreichbaren Performance eine entscheidende Rolle. Bei der Arbeit mit einem Computersystem kommt es mit der Zeit zu einer fortschreitenden Fragmentierung der Dateien und Datenträger. Das ist übrigens unabhängig vom verwendeten Dateisys-

5.3 Fragmentierung

141

tem. Sowohl unter FAT, FAT32 als auch NTFS ist diese performancehemmende Eigenschaft zu verzeichnen. In diesem Abschnitt wird gezeigt, wie es zur Fragmentierung kommt und was Sie dagegen unternehmen können.

5.3.1 Was ist Fragmentierung? Unter Fragmentierung wird die physische Speicherung von Dateien in mehreren Teilstücken (Fragmenten) auf dem Datenträger verstanden. Normalerweise wird eine Datei als zusammenhängende Clusterkette auf dem Datenträger gespeichert. So liegen die Daten übrigens vor, wenn Sie Dateien auf einem leeren Datenträger speichern. Voraussetzung ist allerdings, dass die Dateien hintereinander geschrieben werden und zwischendurch nichts gelöscht wird. In der folgenden Abbildung wird der Vorgang der Fragmentierung deutlich. Abbildung 5.1: Schematische Darstellung der Fragmentierung

Durch ständiges Löschen von Dateien entstehen immer mehr nicht Datenträgerzusammenhängende freie Bereiche auf dem Datenträger. Man spricht Fragmentierung dann von der Fragmentierung des Datenträgers. Dateien werden übrigens nicht nur durch Benutzereingriff gelöscht. Auch viele Anwen-

142

5 Dateisysteme dungsprogramme gehen so vor, dass sie geöffnete Dateien zunächst temporär zwischenspeichern. Beim Sichern wird die Originaldatei dann durch eine neue Kopie ersetzt und die temporären Arbeitsdateien werden gelöscht.

Datei-Fragmentierung

Fragmentierte Dateien entstehen nur bei Schreiboperationen auf einen Datenträger. Steht für das Speichern einer Datei nicht genügend zusammenhängender freier Speicherplatz zur Verfügung, wird der nächste freie Bereich mit benutzt. Eine größerer Datei kann so leicht in vielen Fragmenten über den gesamten Datenträger verteilt liegen.

Performanceverlust

Festplatten erreichen ihren maximalen Datendurchsatz beim Lesen und Schreiben, wenn die betreffenden Daten hintereinander gelesen oder geschrieben werden können. Dann können auch intelligente Cache- und Speichermechanismen der Hardware voll zum Zuge kommen, wie beispielsweise Block-Mode oder Vorausschauendes Lesen. Wird eine fragmentierte Datei gelesen, ist mehr als eine Kopfpositionierung notwendig. Anstelle eines zusammenhängenden Datenstroms, der mit maximaler Geschwindigkeit von der Hardware geliefert werden kann, zerfällt der Transfer in mehrere komplette Teilübertragungen. So wird auch die schnellste Festplatte ausgebremst.

5.3.2 Clustergröße und Fragmentierung Kleine Clustergrößen = mehr Fragmente

Die Geschwindigkeit, mit der ein Datenträger fragmentiert wird, ist neben der Häufigkeit der Veränderung der Dateien auf ihm auch direkt abhängig von der Größe der Cluster. Kleinere Cluster erlauben zwar eine effizientere Ausnutzung des Speicherplatzes gerade für kleinere Dateien, führen aber bei größeren Dateien zu einer Zerlegung derselben in viele Einzelteile. Das begünstigt natürlich die Bildung von Fragmenten, wenn diese Dateien wieder gelöscht beziehungsweise verändert werden.

FAT im Vorteil

Die Clustergröße ist direkt vom verwendeten Dateisystem abhängig. Das Dateisystem FAT ist so auf größeren Datenträgern im Vorteil (siehe auch Tabelle 5.3 auf Seite 136), allerdings zu Lasten der Effizienz der Nutzung des Speicherplatzes. FAT32 und NTFS, welche bei größeren Datenträgern über 2 GB ohnehin nur in Frage kommen, neigen hier durch die Verwendung kleiner Cluster deutlich eher zur Fragmentierung.

5.3.3 Besonderheiten bei NTFS Für NTFS-Datenträger gibt es hinsichtlich der Fragmentierung einige Besonderheiten zu beachten:

5.3 Fragmentierung

143

NTFS-Datenträger fragmentieren auch Mit Einführung von Windows NT und dem Dateisystem NTFS kam NTFS fragmentiert die Mär in Umlauf, dass NTFS nicht fragmentieren würde. Das ist de- auch! finitiv falsch. Richtig ist, dass bei Vorliegen einer geringen Anzahl fragmentierter Dateien aufgrund der effizienten Speicherung mit Hilfe von Datenläufen und B-Baumstrukturen (siehe auch Abschnitt 5.4.2 Der interne Aufbau von NTFS ab Seite 154) weniger Performanceverluste zu verzeichnen sind als unter FAT oder FAT32.

Fragmentierung der MFT Die Master File Table (MFT) ist die wichtigste Datei im NTFSDateisystem (siehe Abschnitt 5.4.2 Der interne Aufbau von NTFS ab Seite 154). Für die MFT wird ein Bereich von ca. 12% auf dem Datenträger reserviert. Füllt sich der Datenträger, wird auch die MFT zunehmend fragmentiert. Das hat deutliche Auswirkungen auf die Performance. Wird die MFT zu stark fragmentiert, kann es sogar dazu kommen, dass Windows 2000 nicht mehr starten kann (siehe auch unter support.micosoft.com die FAQ Q228734). Für die Vermeidung der Fragmentierung der MFT bleibt Ihnen nichts Defragmentierung weiter übrig, als immer genügend Speicherplatz auf dem NTFS- der MFT Datenträger frei zu lassen (ca. 20%) oder eine DefragmentierungsSoftware einzusetzen, die auch die Defragmentierung der MFT beherrscht (siehe auch Abschnitt 5.3.6 Defragmentierungsprogramme ab Seite 148).

NTFS-Komprimierung Die unter NTFS verfügbare Komprimierung hat neben der geringen Effizienz (siehe auch Abschnitt 5.4.6 Komprimierung ab Seite 168) auch den Nebeneffekt, dass dabei zu einer erheblichen Fragmentierung von Dateien kommt.

144

5 Dateisysteme

Abbildung 5.2: Auswirkungen der Komprimierung

Starke Fragmentierung durch blockweises Arbeiten

Nach der Komprimierung kommt es zu einer starken Fragmentierung der Dateien und des Datenträgers. Der Grund dafür liegt in der Arbeitsweise der NTFS-Komprimierung. Es werden immer nur einzelne physische Blöcke auf dem Datenträger für sich genommen komprimiert. Der entstehende freie Platz bleibt dann leer und bildet ein Datenträgerfragment. Da die Komprimierung nicht Datei-orientiert arbeitet, werden auch nicht fragmentierte Dateien auseinandergerissen und liegen danach in einzelnen Fragmenten gespeichert vor.

Ergebnis: Schlechte Performance

Werden durch die Komprimierung auch noch die falschen Dateitypen behandelt, für die keine oder nur eine geringe Kompressionsrate erreicht werden kann, bleibt als einzige Auswirkung ein in der Performance deutlich eingebrochener Datenträger.

5.3.4 Defragmentierungsverfahren und -strategien Für die Wiederherstellung und Sicherung einer hohen Performance Ihrer Datenträger gibt es eine Reihe von Dienstprogrammen. Diese unterscheiden sich hinsichtlich ihrer Strategien und Verfahren sowie der letztlich erreichbaren Optimierung.

Strategien Bei der Defragmentierung kommen unterschiedliche Strategien zum Einsatz, die neben der Wiederherstellung nicht fragmentiert gespeicherter Dateien auch weitere Optimierungen umfassen können. Die folgenden Arbeitsmodi von Defragmentierungsprogrammen können unterschieden werden: Schnell...

•

Zeitoptimierte Zusammenführung fragmentierter Dateien Die Software versucht, innerhalb kürzester Zeit die Fragmente der Dateien zusammenzuführen. Dabei verbleibt immer noch eine ge-

5.3 Fragmentierung

145

wisse Fragmentierung des Datenträgers, was wiederum zu einer baldigen neuen Fragmentierung der Dateien führt. •

Reorganisation der Datenspeicherung

...oder gründlich ?

Für die Herstellung nicht fragmentierter Dateien und die Vermeidung einer baldigen neuen Fragmentierung werden die Datenstrukturen auf dem Datenträger umstrukturiert. Meist wird so vorgegangen, dass alle nicht veränderbaren Dateien wie Anwendungsprogramme, Hilfedateien etc. an den Anfang des Datenträgers verlegt werden. Alle veränderbaren Dateien wie Dokumente, Konfigurationsdateien usw. gelangen an das physische Ende. So kann später eine neue Defragmentierung effektiver arbeiten, da nur noch ein begrenzter Teil des Datenträgers bearbeitet werden muss.

Verfahren Unter MS-DOS ist die Defragmentierung noch verhältnismäßig einfach zu bewerkstelligen. Während die Defragmentierungssoftware arbeitet, kann der PC nicht verwendet werden. Die Software hat vollen Zugriff auf den gesamten Datenträger und kann auch Dateien des Betriebssystems bearbeiten beziehungsweise verschieben. Bei einem modernen Multitasking-Betriebssystem wie Windows 2000 sieht das vollkommen anders aus. Die Defragmentierungssoftware läuft parallel zu anderen Anwendungen und Prozessen. Darüber hinaus gibt es geschützte Dateien, auf die nur das Betriebssystem selbst Zugriff hat. Damit kommen zwei grundsätzlich verschiedene Verfahren in Frage: •

Online-Defragmentierung Der Datenträger bleibt während der Defragmentierung im Zugriff durch andere Anwendungen und das Betriebssystem. Dadurch können sich permanent wieder Dateien ändern, wodurch die Effektivität der Defragmentierung leidet. Dateien, die sich im Zugriff durch andere Anwendungen oder unter Kontrolle des Betriebssystems befinden, sind für den Zugriff gesperrt und können nicht defragmentiert beziehungsweise verschoben werden. Durch die nichtexklusive Verfügung des Datenträgers können immer nur kleinere Datenmengen bewegt werden. Das führt dazu, dass freie Bereiche auf der Festplatte schlechter zusammengefasst werden können. Eine Online-Defragmentierung sollten Sie am besten dann durchführen, wenn keine weiteren Anwendungen oder Benutzer über das Netzwerk auf den Datenträger zugreifen. Damit bieten sich die Nachtstunden oder das Wochenende an, auf die moderne Defrag-

Online

146

5 Dateisysteme mentierungsprogramme zum automatischen Start eingestellt werden können.

Offline

•

Offline-Defragmentierung Bei der Offline-Defragmentierung hat die Defragmentierungssoftware die volle Kontrolle über den Datenträger. Unter Windows 2000 muss diese Software dann vor dem Betriebssystem zum Zuge kommen, beispielsweise während des Bootprozesses. So kann dann neben der Defragmentierung auch eine komplette Optimierung des Datenträgers durch Reorganisation der Datenstrukturen (siehe oben) erfolgen. Nachteil ist die Nichtverfügbarkeit des Systems während des Programmablaufs. Für Server sollte die OfflineDefragmentierung einmal gründlich bei Inbetriebnahme erfolgen (inklusive kompletter Reorganisation) und dann durch regelmäßige Online-Defragmentierung ergänzt werden.

5.3.5 Tipps zur Sicherung der Performance Performanceeinbußen durch Fragmentierung können sich deutlich in einem längeren Bootprozess des Betriebssystems und lästigen Wartezeiten beim Start von Programmen oder beim Laden von Dokumenten bemerkbar machen. Die folgenden Tipps sollen Ihnen helfen, die Performance Ihrer Datenträger dauerhaft zu sichern:

Auslagerungsdateigröße festlegen Hauptspeicher + 11 MB

Die Auslagerungsdatei wird standardmäßig durch das System als eine in der Größe variable Datei PAGEFILE.SYS geführt. Legen Sie die Größe der Datei über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | SYSTEM fest. Als ein guter Richtwert für die Größe der Datei gilt Hauptspeichergröße + 11 MB.

Auslagerungsdatei an Festplattenanfang

Sie erreichen übrigens eine maximale Geschwindigkeit beim Zugriff auf die Auslagerungsdatei, wenn sich diese am physischen Anfang einer Festplatte befindet. Für die Planung einer Installation von Windows 2000 auf einem System mit einer Festplatte kann es sinnvoll sein, eine separate Partition für die Auslagerungsdatei anzulegen, die sich am Anfang der Festplatte befindet. Für die Sicherung einer späteren Erweiterbarkeit der Auslagerungsdatei sollte eine Partitionsgröße von ca. 512 MB für die meisten Fälle ausreichend sein. Haben Sie mehr als eine Festplatte im Computer installiert, können Sie die Auslagerungsdatei auch auf einer anderen als der Bootfestplatte anlegen. Zu empfehlen ist dabei natürlich die Auswahl der schnellsten Festplatte im System.

5.3 Fragmentierung

147

Haben Sie einen Stripesetdatenträger im Einsatz (siehe auch Abschnitt Auslagerungsdatei 4.4.6 Stripesetdatenträger ab Seite 116), können Sie die Auslagerungsda- auf Stripesetdatentei auch auf diesem erstellen. Die hohe Performance dieses dynami- träger schen Datenträgers ist dann auch für die Auslagerungsdatei nutzbar.

Defragmentierung und Optimierung nach der Installation Führen Sie eine grundlegende Optimierung des Datenträgers nach der Installation des Betriebssystems und aller Anwendungsprogramme durch. Dabei sollten mit Hilfe einer Offline- Defragmentierungssoftware statische Dateien wie Anwendungsprogramme, DLLs etc. an den physischen Anfang des Datenträgers verschoben werden.

Regelmäßige Online-Defragmentierung Zur Sicherung der Performance sollten Sie regelmäßig OnlineDefragmentierungen der Datenträger durchführen. Effektiv ist der Einsatz der entsprechenden Defragmentierungssoftware allerdings nur dann, wenn dabei keine Anwendungsdateien offen sind. Als gute Zeitpunkte für eine Defragmentierung können die Mittagspause oder die Nachstunden genutzt werden.

Genug Speicherkapazität freilassen Betreiben Sie insbesondere NTFS-Datenträger nicht an ihrer maximalen Kapazitätsgrenze. Als guter Wert kann 20% der Gesamtkapazität gelten, die frei bleiben sollte.

Protokollierung des letzten Zugriffs deaktivieren Das NTFS-Dateisystem (siehe auch Abschnitt 5.4.2 Der interne Aufbau Alles wird von NTFS ab Seite 154) protokolliert für jede Datei neben dem Erstel- protokolliert... lungs- und Änderungsdatum auch den Zeitpunkt des letzten Zugriffs. Selbst wenn eine Datei nur gelesen wird und unverändert bleibt, wird dies in der MFT verzeichnet. Da NTFS transaktionsorientiert arbeitet, wird vor das Schreiben der Information in einen neuen MFT-Eintrag vorgenommen. Nach erfolgreicher Beendigung des Vorgangs wird der alte MFT-Eintrag gelöscht. Zusätzlich erfolgt ein Eintrag im Änderungsjournal. Diese Vorgänge kosten natürlich Performance, auch wenn dies bei ...und kostet damit modernen PCs kaum ins Gewicht fällt. Zusätzlich wird allerdings die Performance! MFT dadurch wieder eher fragmentiert, insbesondere dann, wenn der Datenträger stark belegt ist.

148

5 Dateisysteme Sie können diese Funktion des NTFS-Dateisystems deaktivieren, indem Sie in der Registrierung den folgenden Eintrag manipulieren: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsDisableLastAccessUpdate=1 Ist dieser Wert in der Registrierung Ihres Systems nicht vorhanden, legen Sie ihn einfach neu an. Als Datentyp wird REG_DWORD erwartet. Wenn Sie die Protokollierung des letzten Zugriffs für NTFS deaktivieren, vermindern Sie die unter Windows 2000 mögliche Systemsicherheit Ihres Computers. Unzulässige Zugriffe auf Ihre Dateien können so beispielsweise unentdeckt bleiben.

5.3.6 Defragmentierungsprogramme Windows 2000 verfügt im Gegensatz zum Vorgänger NT über eine integrierte Defragmentierungs-Software der Firma Executive Software. Daneben gibt es aber auch eine Reihe von Programmen anderer Anbieter. Eines der bekanntesten Programme ist dabei Norton Speedisk (www.symantec.de). Erst seit 1998 auf dem Markt und trotzdem schon sehr erfolgreich ist auch die umfassende Defragmentierungslösung der Berliner Firma O&O Software GmbH (www.oo-software.de). Für das Durchführen des Defragmentierungsprozesses benötigen alle Lösungen genügend freien Speicherplatz auf dem Datenträger. Als Richtwert gilt hier ca. 15% von der Gesamtkapazität. Der konkret benötigte freie Speicherplatz hängt von der jeweiligen Defragmentierungssoftware ab. Steht nicht genügend Platz zur Verfügung, bricht das Programm entweder mit einer Fehlermeldung ab oder kann kein optimales Ergebnis erreichen.

Integrierte Lösung Das in Windows 2000 integrierte Programm von Executive Software (www.diskeeper.com) ist eine im Funktionsumfang beschränkte Version des Produkts Diskeeper. Dieses können Sie erwerben, um beispielsweise auch über das Netzwerk Datenträger auf anderen Windows 2000Systemen defragmentieren zu können.

5.3 Fragmentierung

149 Abbildung 5.3: Integrierte Defragmentierungslösung

Intern arbeitet dieser Online-Defragmentierer nach der Sliding Win- Hohe Geschwindow-Methode. Dabei wird immer nur ein kleiner Teil der Festplatte digkeit behandelt. Vorteil ist die damit erreichbare hohe Geschwindigkeit beim Defragmentieren. Eine weitergehende Optimierung erfolgt allerdings nicht. Möchten Sie eine umfassende Optimierung des Datenträgers vornehmen lassen, benötigen Sie die Vollversion Diskeeper 5.0 oder eine andere Defragmentierungssoftware. ®

O&O Defrag Eine der möglichen Alternativen ist die Softwarelösung der Berliner Firma O&O Software GmbH (www.oo-software.de). Als kostenlose Alternative können Sie hier übrigens ebenfalls eine abgespeckte Variante der Vollversion von O&O® Defrag herunterladen. Vorteil gegenüber der mitgelieferten Lösung von Executive Software ist die schon sehr gute Optimierung auch mit der frei verfügbaren Version O&O® Defrag Free. Der Vorgang nimmt zwar mehr Zeit in Anspruch, es werden aber die fragmentierten Dateien und der Datenträger ganzheitlich betrachtet. Volle Kontrolle über den Defragmentierungsprozess erlangen Sie allerdings auch hier erst mit der Vollversion.

150

5 Dateisysteme

Abbildung 5.4: O&O® Defrag

Offline-Defragmentierung verfügbar

Eine Besonderheit der Lösung ist die Möglichkeit, damit auch eine Offline-Defragmentierung durchführen zu können. Diese wird dann beim Systemstart durchgeführt. Damit hat die Software volle Kontrolle über den Datenträger und kann weitreichende Optimierungen und Umschichtungen der Dateien vornehmen. Neben anderen Tools von O&O-Software finden Sie das frei verfügbare Programm O&O® Defrag Free sowie eine 30-Tage Testversion von O&O® Defrag V.2 auf der beiliegenden CD. ®

O&O Defrag/MFT Eine spezielles Defragmentierungsprogramm für die MFT ist liefert O&O Software mit O&O® Defrag/MFT.

5.3 Fragmentierung

151 Abbildung 5.5: O&O® Defrag/MFT

Das Programm liegt zurzeit (Mitte 2000) als funktionsfähige Beta vor und ist frei verfügbar. Wird die MFT beschädigt, beispielsweise beim Versuch der Defragmentierung, kann das zu umfassenden Datenverlusten auf dem betreffenden Datenträger führen. Beachten Sie deshalb insbesondere bei Defragmentierungssoftware für die MFT die Hinweise des Herstellers. Die derzeit aktuelle Beta-Version von O&O® Defrag/MFT finden Sie auf der beiliegenden CD.

152

5 Dateisysteme

5.4 NTFS im Detail Im folgenden Abschnitt wird das NTFS-Dateisystem näher betrachtet sowie seine internen Zusammenhänge, soweit für den Administrator oder professionellen Benutzer für das Verständnis der Vorteile des Dateisystems nützlich, dargestellt.

5.4.1 Dateinamen Das NTFS-Dateisystem ermöglicht die Nutzung langer Dateinamen bis zu einer Länge von 255 Zeichen. Durch die Verwendung des 16 Bit-Unicode-Zeichensatzes können Sie auch bedenkenlos Umlaute wie ä, ö, ü, ß usw. verwenden. Nicht zulässig sind in Dateinamen die folgenden Zeichen: \/:*?"<>| Leerzeichen sind ebenfalls erlaubt. Wollen Sie über die Eingabeaufforderung auf eine Datei zugreifen, deren Name Leerzeichen enthält, müssen Sie den Namen in Anführungszeichen setzen: type "Das ist eine Beispiel-Textdatei.txt" Groß- und Kleinschreibung

Aufgrund der in NTFS implementierten POSIX-Kompatibilität wird grundsätzlich auch zwischen Groß- und Kleinschreibung unterschieden. Für das Erkennen der Dateien spielt dies aber keine Rolle. Die normalen Windows 32 Bit-Applikationen können die Unterschiede nicht wahrnehmen.

Mitführung kurzer 8.3-Dateinamen

Für die Anzeige der Dateinamen für ältere Anwendungen erstellt Windows 2000 automatisch MS-DOS kompatible Namen im 8.3Format. Diese kurzen Dateinamen werden standardmäßig immer erzeugt und mit den langen Namen gemeinsam für eine Datei abgespeichert. Bei der Bearbeitung von Dateien durch ältere, nur mit Namen im 8.3Format kompatible Software kann es vorkommen, dass die langen Dateinamen zerstört werden. Dies passiert hauptsächlich dann, wenn zum Speichern der Datei eine temporäre neue Datei angelegt wird, die das Anwendungsprogramm dann mit dem alten, kurzen Dateinamen umbenennt.

8.3-Schema

Bei der hauptsächlichen Benutzung von Dateien durch ältere Software, die nur mit den 8.3-Dateinamen umgehen können, empfiehlt sich die konsequente Bezeichnung dieser Dateien nach dem 8.3Schema:

5.4 NTFS im Detail

153

•

Es sind nur die Zeichen des ASCII-Zeichensatzes erlaubt. Die erweiterten Zeichen des Unicode-Zeichensatzes sind nicht zulässig.

•

Leerzeichen sowie Sonderzeichen (\ / : * ? " < > |) sind nicht zulässig.

•

Es ist nur die Verwendung eines Punktes mit einer Dateiendung von bis zu drei Buchstaben zugelassen, die den Dateityp näher spezifiziert (.TXT; .DOC usw.).

Bei der Erzeugung von kurzen Dateinamen in der 8.3-Notation aus Erzeugung von kurzen Dateinamen langen Namen geht Windows 2000 folgendermaßen vor: 1. Es werden alle Leerzeichen und Unicode-Sonderzeichen entfernt. 2. Bis auf den letzten Punkt im Dateinamen entfernt Windows 2000 alle anderen Punkte, falls vorhanden. 3. Ist der verbleibende Name vor einem eventuell vorhandenen Punkt länger als 6 Zeichen, kürzt Windows 2000 diesen Teil auf 6 Zeichen und hängt eine Tilde ~ mit einer Ziffer, beginnend bei 1, an. Danach kommt, falls vorhanden, der Punkt mit einer Dateiendung bis zu drei Zeichen. Alle innerhalb der verbleibenden ersten 6 Buchstaben eindeutigen Dateinamen enden also immer mit einer ~1. Auf der Eingabeaufforderung können Sie mit dem Befehl DIR / X Dateien mit ihren langen und kurzen Dateinamen gemeinsam anzeigen lassen.

Langer Dateiname

Kurzer 8.3-Dateiname

Das ist eine Datei.txt

DASIST~1.TXT

Eine andere Datei.txt

EINEAN~1.TXT

Noch eine Datei.txt

NOCHEI~1.TXT

Tabelle 5.4: Lange Dateinamen mit den erzeugten kurzen Namen

Befinden sich in einem Verzeichnis mehrere Dateien, deren erste 6 Mehrere Dateien Zeichen des erzeugten Kurznamens gleich lauten, wird die Ziffer nach mit gleichlauder Tilde hochgezählt. Dies geschieht aber nur mit den ersten vier Da- tenden Namen teien. Für die fünfte Datei wird der Dateiname auf zwei Buchstaben gekürzt und aus den anderen vier Zeichen nach mathematischen Regeln ein 4-Zeichencode ermittelt, der wieder mit einer Tilde und einer Ziffer beendet wird.

Langer Dateiname

Kurzer 8.3-Dateiname

Datei von Uwe.txt

DATEIV~1.TXT

Datei von Jörg.txt

DATEIV~2.TXT

Datei von Yvonne.txt

DATEIV~3.TXT

Datei von Haide.txt

DATEIV~4.TXT

Tabelle 5.5: Ergebnis bei gleichlautenden Dateinamen

154

Keine Eindeutigkeit!

5 Dateisysteme

Langer Dateiname

Kurzer 8.3-Dateiname

Datei von Janine.txt

DAEE4C~1.TXT

Datei von Clemens.txt

DA1CBE~1.TXT

Entscheidend für die Bildung des kurzen Dateinamens mit Erzeugung eines 4-Zeichencodes beziehungsweise der Auswahl der Ziffer nach der Tilde ist die Reihenfolge der Erzeugung oder Benennung der Dateien. Somit können Sie nicht zwingend davon ausgehen, dass ein kurzer Dateiname aus einem bestimmten langen Namen immer gleich lauten muss. Dies ist nur der Fall, wenn wenigstens vier Dateien im betreffenden Verzeichnis liegen.

Wollen Sie erweiterte Unicode-Zeichen in kurzen Dateinamen zulasErweiterte Unicode-Zeichen in sen, können Sie dies mit einer Änderung des folgenden Schlüssels in 8.3-Namen der Registrierung erzwingen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsAllowExtendedCharacterIn8dot3Name=1 Ist der Schlüssel NtfsAllowExtendedCharacterIn8dot3Name noch nicht in der Registrierung eingetragen, legen Sie ihn einfach neu an. Erzeugung kurzer Dateinamen verhindern

Möchten Sie die Erzeugung kurzer Dateinamen ganz unterdrücken, können Sie dies mit der Änderung des folgenden Eintrags in der Registrierung einstellen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \NtfsDisable8dot3NameCreation=1 Bedenken Sie dabei, dass dann durch alte Software, die diese Namen benötigt, unter Umständen nicht mehr ordnungsgemäß ausgeführt werden kann.

5.4.2 Der interne Aufbau von NTFS Der folgende Abschnitt beschäftigt sich mit dem internen Aufbau von NTFS, soweit dies für die Arbeit eines Administrators oder professionellen Anwenders von Belang sein könnte.

5.4 NTFS im Detail

155

Layout eines NTFS-Datenträgers Die Grundstruktur eines NTFS-Datenträgers wird in der folgenden Abbildung schematisch dargestellt. Abbildung 5.6: Layout eines NTFSDatenträgers

MFT-Datensätze $Mft $MftMirr $LogFile $Volume $AttrDef $ (Stammverzeichnis) $Bitmap $Boot $BadClus $Secure $Upcase $Extended

Bis auf den Bootsektor selbst können alle anderen Organisationsdaten Bis auf Bootsektor des NTFS variabel auf dem Datenträger abgelegt sein. Die Master File ist alles variabel Table – MFT als wichtigste Organisationsstruktur des NTFS-Dateisystems befindet sich an einer Position, deren Adresse im NTFSBootsektor hinterlegt ist. Aufgrund dieser sehr variablen Struktur ist ein NTFS-Datenträger, anders als ein FAT-Datenträger, auch dann brauchbar, wenn am Beginn des physischen Mediums Sektoren fehlerhaft sind. Nur die Daten im Bootsektor selbst dürfen nicht beschädigt sein.

Der NTFS-Bootsektor

Offset Beschreibung

Länge

00h

Sprunganweisung

3 Byte

03h

OEM Name (Hersteller der Festplatte bzw. des Mediums)

8 Byte

0Bh

Bytes pro Sektor (in der Regel 512)

2 Byte

0Dh

Sektoren pro Cluster

1 Byte

0Eh

Anzahl reservierter Sektoren

2 Byte

Tabelle 5.6: Aufbau des NTFS-Bootsektors

156

5 Dateisysteme

Offset Beschreibung

Länge

10h

immer 0 gesetzt

3 Byte

13h

reserviert

2 Byte

15h

Medienbeschreibung (Festplatten: F8h)

1 Byte

16h

immer 0 gesetzt

2 Byte

18h

Sektoren pro Spur

2 Byte

1Ah

Anzahl der Köpfe

2 Byte

1Ch

Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung)

4 Byte

20h

reserviert

4 Byte

24h

reserviert

4 Byte

28h

Anzahl der Gesamtsektoren des Datenträgers

8 Byte

30h

Adresse (log. Clusternummer) der Datei $Mft

8 Byte

38h

Adresse (log. Clusternummer) für $MftMirr

8 Byte

40h

Anzahl der Cluster pro Mft-Datensatz

4 Byte

44h

Anzahl der Cluster pro Indexblock

4 Byte

48h

Seriennummer des Datenträgers (zufällig generiert beim Formatieren)

4 Byte

50h

Prüfsumme

4 Byte

54h

Bootstrapcode

1FEh

Ende der Sektormarkierung 0x55AA

426 Byte 2 Byte

Der Bootstrapcode ist nicht nur auf die 426 Byte im Bootsektor beschränkt, sondern wird auch als Eintrag in der Master File Table (MFT) geführt.

Die Master File Table (MFT) Die logische Organisationsstruktur von NTFS ist sehr flexibel. Es gibt bis auf den Bootsektor keine festen Positionen für bestimmte systemspezifische Daten. Dadurch kann es nicht dazu kommen, dass ein Datenträger aufgrund eines physischen Fehlers an einer bestimmten Stelle unbrauchbar wird. Alle NTFSStrukturen sind Dateien

Alle Strukturbestandteile des NTFS-Dateisystems sind selbst originäre NTFS-Dateien, ohne natürlich durch den Benutzer direkt im Zugriff zu stehen. Wichtigste Organisationseinheit ist die sogenannte MFT – Master File Table. Diese stellt für jede Datei einen Datensatz bereit. Die

5.4 NTFS im Detail

157

ersten 16 Datensätze sind dabei für die Dateien reserviert, welche die Dateisystemstruktur abbilden. Diese Dateien werden auch unter dem Begriff Metadaten zusammengefasst. Der erste Datensatz, die Datei $Mft, beschreibt den Aufbau der MFT selbst. Der zweite MFT-Datensatz enthält eine Sicherung der MFT, allerdings nur mit den wichtigsten Einträgen. Diese Datei hat den Namen $MftMirr. Die Speicherorte dieser beiden Dateien sind im Bootsektor des NTFS-Datenträgers eingetragen, sodass im Falle einer Beschädigung der MFT auf die Sicherungskopie zugegriffen werden kann. Je nach Größe des Datenträgers können übrigens noch weitere Sicherungen der MFT existieren. Die folgende Tabelle enthält die Liste der Metadaten eines NTFSDatenträgers:

Datensatz Dateiname

Beschreibung

0

$Mft

Das ist der Basisdatensatz der Master File Table selbst.

1

$MftMirr

Verweis auf die Sicherungs-MFT

In der Datei $MftMirr werden die ersten vier Datensätze der MFT (0 bis 3) aus Sicherheitsgründen gespiegelt. 2

$LogFile

Transaktions-Protokolldatei

Enthält eine Liste der Transaktionsschritte für die Wiederherstellung eines NTFS-Datenträgers. 3

$Volume

Datenträgerinformationen

Weitergehende Informationen zum Datenträger wie Bezeichnung etc. 4

$AttrDef

Attributdefinitionen

Eine Beschreibungstabelle mit den für den NTFS-Datenträger gültigen Attributen. 5

$

Stammordner

Enthält den Stammordner des Datenträgers (Stamm-Index der Dateinamen) 6

$Bitmap

Volume- oder Clusterbitmap

Zeigt die Cluster-Belegung des Datenträgers an.

Tabelle 5.7: Metadaten der MFT

158

5 Dateisysteme

Datensatz Dateiname 7

$Boot

Beschreibung Bootsektor

Enthält den Bootsektor des NTFSDatenträgers. 8

$BadClus

Fehlerhafte Cluster

Eine Tabelle mit dem Verzeichnis der fehlerhaften Cluster dieses Datenträgers. 9

$Secure

Sicherheitsdatei Enthält die Datenbank mit den eindeutigen Sicherheitsbeschreibungen für alle Dateien und Ordner des Datenträgers.

10

$Upcase

Umwandlung Klein-/Großschreibung

In dieser Tabelle stehen die Vorschriften zur Umwandlung der Kleinbuchstaben in langen Dateinamen in Großbuchstaben der 8.3-Notation. 11

$Extended

NTFS-Erweiterungen

Datei mit dem Verzeichnis der NTFSErweiterungen wie beispielsweise den Datenträgerkontingenten oder Analysepunkten (für Bereitstellungen). 12-15

reserviert

Raum für zukünftige Erweiterungen

ab 16

Beginn der Einträge für Dateien und Ordner

Der Beginn der MFT wird als Verweis im Bootsektor der Festplatte geführt und ist so nicht auf einen bestimmten Sektor festgelegt. Für den Bootsektor selbst gibt es eine Sicherungskopie am Ende des NTFSDatenträgers. MFT-Datensätze für Jeder MFT-Datensatz besitzt eine Größe von 2 KB. Für jede Datei und Dateien und Ordner jeden Ordner auf dem Datenträger wird so ein MFT-Datensatz einge-

richtet. Kleine Dateien bis ca. 1500 Bytes passen dabei direkt in einen einzelnen Datensatz. Das spart Platz und sorgt für einen sehr schnellen Zugriff, da lediglich der erste Datensatz verfügbar sein muss. Man spricht hier auch von der residenten Speicherung der Daten. Die folgende Abbildung zeigt den schematischen Aufbau eines MFT-Datensatzes für eine solche kleine Datei.

5.4 NTFS im Detail

159 Abbildung 5.7: MFT-Datensatz einer kleinen Datei

Für eine Datei, die größer ist als ein Datensatz aufnehmen kann, werden weitere Datensätze zugeordnet. Der erste Datensatz, Basisdatensatz Nichtresidente genannt, speichert die Zeiger auf die Speicherorte der weiteren, zuge- Speicherung ordneten Datensätze. Diese Daten werden auch als nicht resident gespeichert bezeichnet. Abbildung 5.8: Nichtresidente Speicherung einer Datei

Für große oder stark fragmentierte Dateien, für welche die Größe ei- Externe Attribute nes Basisdatensatzes zur Verwaltung der Zeiger nicht ausreicht, werden ein oder mehrere MFT-Datensätze für die Speicherung der entsprechenden Zeiger angelegt. Diese werden als sogenannte externe Attribute im Basisdatensatz bezeichnet, der dann die Funktion eines Stammverzeichnisses im Datenbaum übernimmt. Aufgrund dieser Baumstruktur ist eine Suche nach Dateien auch bei Effektive Suche einer starken Fragmentierung des Datenträgers noch vergleichsweise auch bei Fragmenschnell. Nur der sequenzielle Zugriff auf die Datei kann durch die tierung Fragmentierung verlangsamt werden, da dann viele Kopfneupositionierungen der Festplatte notwendig werden.

160

5 Dateisysteme

Abbildung 5.9: Speicherung großer Dateien

Organisationsstruktur von Verzeichnissen Ordner sind grundsätzlich nichts anderes als spezielle Dateien. Kleine Ordner bis ca. 1.500 Byte Größe belegen ebenso wie kleine Dateien nur einen MFT-Datensatz. Im Datensatz wird der entsprechende (residente) Ordner-Index gehalten. Der Index-Aufbau ist übrigens unter NTFS sehr flexibel. Statt des Dateinamens kann grundsätzlich auch ein anderes Dateiattribut verwendet werden. Neben dem Indizierungsattribut, meist der Dateiname, wird im Index der Zeiger auf den entsprechenden Eintrag der Datei in der MFT gespeichert (auch Dateinummer genannt). Abbildung 5.10: MFT-Datensatz bei kleinen Verzeichnissen

5.4 NTFS im Detail

161

Für größere Verzeichnisse, die nicht komplett in einen MFT-Datensatz B-Bäume bei gröpassen, wird eine B-Baumstruktur aufgebaut. In einem Knoten des ßeren VerzeichnisBaumes, welcher wiederum ein MFT-Record ist, sind dann sowohl sen Indexeintragungen als auch die Zeiger auf weitere Knoten enthalten. Mit diesem Schema können beliebig große Verzeichnisstrukturen aufgebaut werden, bei denen Sie nur bedenken sollten, die logische Übersicht nicht zu verlieren. Eine Suche nach Dateien in dem Baum erfolgt dadurch aber in jedem Fall sehr schnell und effektiv.

NTFS-Dateiattribute Attribute sind auf einem NTFS-Datenträger zentrales Organisations- Alles ist Attribut mittel. Jede Datei oder Ordner wird hier als Gruppierung von Dateiattributen betrachtet. Attribute sind beispielsweise der Datei- oder Ordnername, die Sicherheitsinformationen über Besitzverhältnisse oder Zugriffsmöglichkeiten bis hin zu den Daten selbst. Attribute, die vollständig in den MFT-Datensatz einer Datei passen, Residente und werden auch residente Attribute genannt. Von einer nichtresidenten nichtresidente Speicherung von Attributen wird dann gesprochen, wenn diese in Attribute weiteren MFT-Datensätzen abgelegt werden. In der folgenden Tabelle sind die möglichen Typen von NTFSDateiattributen aufgeführt, die derzeit für NTFSv5 definiert sind. Aufgrund der flexiblen und erweiterbaren Struktur von NTFS können hier zukünftig weitere Attribute hinzu kommen.

NTFS-Attribut

Beschreibung

Standard-Informationen

Enthält Standardattribute wie Zeitstempel, Verbindungszähler (Anzahl der Referenzierungen auf die Datei) sowie Felder für die Sicherstellung von Transaktionen

Attributliste

Liste der Attributdatensätze, die extern, also nichtresident gespeichert sind.

Dateiname

Der Name der Datei oder des Ordners, es werden die normale Lang- als auch die Kurzform in der 8.3-Notation gespeichert.

Sicherheitsbeschreibung

Hier werden die Besitzrechte (Eigentümer der Datei) und die Zugriffsberechtigungen gespeichert.

Daten

Enthält die eigentlichen Daten. Jede Datei kann ein oder mehrere Datenattribute enthalten.

Tabelle 5.8: Dateiattribut-Typen in NTFSv5

162

5 Dateisysteme

NTFS-Attribut

Beschreibung

Objektkennung

Eine vom Dateinamen unabhängige Objektkennung, die beispielsweise vom Überwachungsdienst für verteilte Verknüpfungen benutzt wird.

Logged Tool Stream

Eine spezielle Form eines Datenstroms, der auch der Protokollierung in der NTFSProtokolldatei unterliegt und beispielsweise durch das verschlüsselnde Dateisystem (EFS) benutzt wird.

Analysepunkt

Kennzeichnet die Datei für spezielle Funktionen. Dies wird beispielsweise für Bereitstellungspunkte verwendet, die dadurch spezielle Verzeichnisse für die Einbindung kompletter Datenträgerstrukturen in das Verzeichnissystem darstellen.

Indexstamm,

Dient bei Ordnern der Implementierung des Verzeichnisindex oder anderer Indizes.

Indexzuweisung und Bitmap Datenträgerinformation

Wird nur von der NTFS-Systemdatei $Volume benutzt zur Speicherung von Informationen zum Datenträger.

Datenträgername

Wird nur von der NTFS-Systemdatei $Volume benutzt zur Speicherung der Datenträgerbezeichnung.

5.4.3 Analysepunkte und Bereitstellungen Analyseattribute und Dateisystemfilter

Analysepunkte im NTFS-Dateisystem sind Dateien beziehungsweise Ordner, die über spezielle Analyseattribute verfügen. Diese werden durch spezifische Dateisystemfilter ausgewertet, mit Hilfe derer diese Dateien und Ordner bestimmte besondere Funktionen erhalten können. Der Funktionsumfang des Dateisystems kann so erweitert werden. Dabei werden die Funktionen so implementiert, dass die Nutzung transparent für Benutzer und Anwendungen möglich ist. So können beispielsweise über Ordner ganze Datenträger in eine Verzeichnisstruktur eingebunden werden (über Bereitstellungspunkte), ohne dass Benutzer oder Anwendungen davon etwas merken. Zwei Anwendungen der Analysepunkte im NTFS-Dateisystem sind Bereitstellungspunkte und Remotespeicher.

5.4 NTFS im Detail

163

Bereitstellungspunkte Über einen Bereitstellungspunkt können Sie einen Ordner in einer Verzeichnisstruktur eines NTFS-Datenträgers direkt mit einem anderen Datenträger verbinden. Dabei gibt es keine logischen Begrenzungen. Mit dieser Funktion können Sie theoretisch beliebig viele Datenträger unter einem Verzeichnisbaum miteinander verknüpfen und so über einen einzigen Laufwerksbuchstaben ansprechen. Abbildung 5.11: Über Bereitstellungspunkte verbundene Datenträger

In der Abbildung 5.11 sehen Sie an einem Beispiel, wie drei Datenträ- Beliebige Stelle im ger zu einer Verzeichniseinheit miteinander verbunden worden sind. Verzeichnissystem Dabei spielt es keine Rolle, in welcher Verzeichnistiefe sich die Bereitstellungen befinden. Sie können einen Datenträger an einer beliebigen Stelle im Dateisystem wie einen normalen Ordner einbinden. Als Bereitstellungspunkt kann nur ein leerer NTFS-Ordner eingerich- Alles lässt sich tet werden. Der einzubindende Datenträger kann allerdings mit einem einbinden! beliebigen, von NTFS unterstützten Dateisystem formatiert sein. Somit können Sie auch folgende Datenträger einbinden: •

NTFS, FAT32 und FAT-formatierte Datenträger

•

beliebige Wechseldatenträger (allerdings keine Disketten)

•

CD- und DVD-Laufwerke

Datenträger oder Laufwerke lassen sich ausschließlich mit ihrem Einbindung nur mit Stammverzeichnis über einen Bereitstellungspunkt einbinden. Der Stammverzeichnis Ordner selbst, über den die Bereitstellung erfolgt, kann sich wie ein

164

5 Dateisysteme normaler Ordner an einer beliebigen Stelle in der Verzeichnisstruktur des NTFS-Datenträgers befinden.

Stabil gegenüber Geräteänderungen

Im Falle eines Zugriffs auf einen Bereitstellungspunkt, der auf einen entfernten Datenträger zeigt, erhalten Sie eine Fehlermeldung. Der Bereitstellungspunkt behält allerdings seine logische Zuordnung bei, bis Sie ihn löschen.

Bereitstellungen ändern

Ändern lassen sich Zuordnungen in den Bereitstellungspunkten nicht. Wollen Sie einem Ordner einen anderen Datenträger zuweisen, müssen Sie zuerst über die Datenträgerverwaltung den Laufwerkpfad für den zuerst eingebundenen Datenträger löschen. Zurück bleibt ein leerer Ordner auf dem NTFS-Datenträger, der um sein AnalysepunktAttribut beraubt jetzt wieder ein ganz normales leeres Verzeichnis ist. Dieses können Sie einem anderen Datenträger als neuen Laufwerkpfad zuordnen und damit eine neue Bereitstellung an gleichem Ort erzeugen.

Remotespeicher Eine andere Anwendung der Analysepunkte stellen Remotespeicher dar. Dateien und Ordner, die entsprechend gekennzeichnet sind, können vom Server ausgelagert werden. Zurück bleiben nur Verweise auf die ausgelagerten Daten, die normal durch Benutzer oder Anwendungen gesehen und aufgerufen werden können. Die RemotespeicherMechanismen von Windows 2000 greifen dann automatisch auf die ausgelagerten Dateien zurück. Mit diesem Feature können Server entscheidend entlastet werden. Lange nicht benötigte Daten werden automatisch auf preiswerte Massenspeichermedien wie Streamer ausgelagert und können bei Bedarf transparent für Benutzer und Anwendungen wieder reaktiviert werden. Bis auf die etwas verzögerte Antwortzeit merkt der Benutzer nichts von diesem Vorgang. Nur Windows 2000 Server

Die Nutzung der Remotespeicher, beispielsweise für den Aufbau eines hierarchischen Speichermanagements, ist nur mit einer Serverversion von Windows 2000 möglich und wird eingehender in Band II besprochen.

5.4.4 NTFS-Zugriffsrechte für Dateien und Ordner Unter NTFS können Sie die Zugriffsrechte für Benutzer und Gruppen auf Dateien gezielt festlegen. Die NTFS-Zugriffsberechtigungen gelten sowohl lokal als auch für über das Netzwerk angemeldete Benutzer.

5.4 NTFS im Detail

165

Das NTFS-Dateiattribut Sicherheitsbeschreibung beinhaltet die soge- Attribut Sichernannte Access Control List (ACL). In dieser sind die Access Control Ent- heitsbeschreibung ries (ACE) enthalten, die einzelne Berechtigungen explizit erteilen oder entziehen. Dabei kommt es auf die Reihenfolge der ACE an. So werden die ACE einer Datei ausgewertet: 1. Auswertung der negativen ACE, das heißt welche Berechtigungen sind entzogen? 2. Auswertung der positiven ACE: Welche Berechtigungen sind zugelassen? Das bedeutet, dass das Entziehen von Berechtigungen Vorrang vor Entziehen von dem Zulassen hat. Haben Sie beispielsweise den Vollzugriff auf eine Berechtigungen Datei für alle Benutzer entzogen, können keine anderen Berechtigun- hat Vorrang gen mehr greifen. Das wird auch so durch die neue Oberfläche zur Einstellung der Sicherheitsbeschreibung abgebildet. Ist Vollzugriff erlaubt oder verweigert, können logischerweise keine anderen Optionen mehr gesetzt werden. Abbildung 5.12: Erteilen von Zugriffsberechtigungen

Das erleichtert den Umgang mit der Sicherheitsbeschreibung erheblich, da das Setzen unlogischer Kombinationen verhindert wird (beispielsweise zugelassener Vollzugriff mit verweigertem Leserecht). Neu in NTFSv5 sind die vererbbaren übergeordneten Berechtigungen. Das Vererbbare Übernehmen der übergeordneten Berechtigungen für Dateien ist stan- Berechtigungen dardmäßig aktiv. Wenn Sie neue Dateien erstellen, werden die Berech-

166

5 Dateisysteme tigungen des übergeordneten Ordners übernommen. Das funktioniert auch, wenn Sie Dateien in einen Ordner kopieren. Verschieben Sie Dateien zwischen NTFS-Ordnern desselben Datenträgers, behalten diese ihre ursprünglich eingestellten Sicherheitseinstellungen bei. Beim Verschieben zwischen unterschiedlichen Datenträgern hingegen wird dieser Prozess wiederum wie das Kopieren behandelt und die Berechtigungen werden übernommen. Für das Kopieren von Dateien und Ordnern zwischen NTFSDatenträgern lokal oder über das Netzwerk empfiehlt sich die Nutzung des Tools ROBOCOPY.EXE, welches auf der Begleit-CD der Technischen Referenz zu Windows 2000 Professional zu finden ist. Wie Sie die Sicherheitseinstellungen für Ordner und Dateien auf NTFS-Datenträgern richtig einsetzen, ist Inhalt des Abschnitts 11.9 NTFS-Zugriffsrechte einstellen ab Seite 453.

5.4.5 Das verschlüsselnde Dateisystem (EFS) Für den zuverlässigen Schutz von Daten reicht allein ein Betriebssystem nicht aus. Nicht erst seit dem Auftauchen des DOS-Tools NTFSDOS.EXE ist klar, dass die Sicherheit von auf NTFS-Datenträgern abgelegten Dateien spätestens dann nicht mehr gewährleistet ist, wenn die physischen Datenträger in die Hände unbefugter Personen gelangen. Leider lassen sich Datenträger, gerade in kleineren Unternehmen oder Filialen, nicht immer hundertprozentig verschließen. Server stehen nicht selten wenig abgeschirmt in Großraumbüros oder in kleinen Kammern, die mit normalen Türen gesichert sind. Ganz zu schweigen von Notebooks, die sensible Daten beherbergen können.

Der grundsätzliche Aufbau Dateisystem-Filter

Mit dem verschlüsselnden Dateisystem (EFS – Encrypting File System) können Sie diese Datenschutzprobleme lösen. Das verschlüsselnde Dateisystem ist als eine Erweiterung des NTFS implementiert. Diese Erweiterungen, im übrigen gilt dies auch für die Komprimierungsfunktionalität, werden auch als Dateisystem-Filter bezeichnet.

5.4 NTFS im Detail

167 Abbildung 5.13: Das verschlüsselnde Dateisystem als Dateisystemfilter

Der Dateisystem-Filter des verschlüsselnden Dateisystems arbeitet Transparente völlig transparent. Die Verschlüsselungs- und Entschlüsselungsvor- Verschlüsselung gänge laufen unsichtbar im Hintergrund ab. Der Anwender wird nicht der Dateien mit störenden Unterbrechungen, wie etwa die Aufforderung zur Eingabe von Kennwörtern, konfrontiert. Die direkte Integration in den Windows Explorer gestattet eine einfache Nutzung der Datenverschlüsselungsfunktion: Das Aktivieren des entsprechenden Kontrollkästchens reicht aus, um einen Ordner oder eine einzelne Datei von Windows 2000 verschlüsseln zu lassen. Alternativ steht auf Betriebssystemebene der Befehl Cipher zur Verfügung. Eine verschlüsselte Datei kann nur noch durch den berechtigten Benutzer geöffnet, umbenannt, kopiert oder verschoben werden. Alle anderen Benutzer werden abgewiesen. Der berechtigte Benutzer erhält über das Dateisystem den vollen Zugriff auf die entschlüsselte Datei. Beim Abspeichern einer solchen Datei wird sie automatisch wieder verschlüsselt. Beim Kopieren einer verschlüsselten Datei über das Netzwerk wird sie entschlüsselt und im Zielordner wieder verschlüsselt. Sie ist damit auf dem Transportweg über das lokale Netzwerk oder die Datenfernverbindung prinzipiell lesbar. Für einen sicheren Netztransfer gibt es beispielsweise mit IPSec geeignete Schutzmechanismen (siehe Abschnitt 8.4.5 Sicherheitsprotokolle für das Netzwerk ab Seite 273). Verloren geht die Verschlüsselung einer Datei selbstverständlich auch, Keine Verschlüswenn Sie diese auf einen FAT- oder FAT32-Datenträger kopieren. Das selung: FAT und gilt prinzipiell auch für Datensicherungs-Programme. Nur spezielle FAT32 Windows 2000-Datensicherungssoftware ist in der Lage, die korrekten

168

5 Dateisysteme NTFS-Attribute einschließlich der Verschlüsselung mit abzuspeichern und wiederherzustellen. Wie das verschlüsselnde Dateisystem intern funktioniert, können Sie in Abschnitt 8.3 Absicherung lokaler Daten ab Seite 267 nachlesen.

Arbeiten mit verschlüsselten Offline-Daten Dateien auf externen Datenträgern

Kopieren Sie verschlüsselte Dateien auf einen externen NTFSDatenträger, behalten die Dateien ihr Verschlüsselungs-Attribut bei. Für die Entschlüsselung auf einem anderen Windows 2000-Computer reicht es nicht, sich mit der gleichen Benutzerkennung anzumelden. Sie benötigen den privaten Schlüssel aus dem konkreten Schlüsselpaar, welches für die Verschlüsselung eingesetzt worden ist. Deshalb ist es wichtig, in so einem Fall auf das extern gespeicherte Zertifikat für die Dateiverschlüsselung zurückgreifen zu können, welches den Schlüssel enthält. Wichtig ist in diesem Fall, dass beide Windows 2000-Computer über die gleiche implementierte Schlüsselstärke verfügen. Haben Sie beispielsweise das verschlüsselnde System mit dem Enhanced CryptoPAK auf den 128 Bit-Schlüssel aufgerüstet, können die Dateien auf einem anderen System mit nur 40 Bit- oder 56 Bit-Schlüssel nicht dechiffriert werden. Umgekehrt gilt Abwärtskompatibilität – auf Systemen mit einem höheren Schlüssel können niedriger verschlüsselte Dateien entschlüsselt werden. Wichtigste Voraussetzung für das Entschlüsseln ist natürlich trotzdem immer die Verfügbarkeit des Schlüssels des Anwenders oder des berechtigten Wiederherstellungsagenten. Mehr zu Sicherheitsrichtlinien und Zertifikaten erfahren Sie in Kapitel 8 Grundlagen der Systemsicherheit ab Seite 263.

5.4.6 Komprimierung Unter NTFS können Sie für Dateien die integrierte Komprimierung aktivieren. Diese wird wie ein normales Dateiattribut betrachtet. Damit kann die Komprimierungsfunktion für bestimmte Dateien, Ordner oder ganze Datenträger separat eingestellt werden.

Der grundsätzliche Aufbau Wie das verschlüsselnde Dateisystem (siehe Seite 166) ist auch die Komprimierungsfunktion als Dateisystemfilter implementiert.

5.4 NTFS im Detail

169 Abbildung 5.14: Komprimierung als Dateisystemfilter

Die Kompression der Dateien erfolgt für den Benutzer oder das Anwendungsprogramm transparent. Beim Zugriff auf eine entsprechende Datei wird diese zuerst dekomprimiert und dann an die Anwendung übergeben. Beim Speichern erfolgt vor dem Schreiben auf den Datenträger wiederum die Kompression. Das trifft genauso auf die Nutzung komprimierter Dateien über das Kompression und Netzwerk zu. Vor dem Netzwerktransfer werden die Dateien auf dem Netzwerk Server dekomprimiert und dann versendet. Das bedeutet natürlich einerseits, dass die Leistung für Kompression und Dekompression auf dem Server zu erbringen ist. Andererseits verhilft die NTFSKompression nicht zu einer Verringerung der Netzwerklast – über das Netzwerk bewegen sich immer (NTFS-)unkomprimierte Dateien. Das Kompressionsverfahren ähnelt dem in den Kompressionstools Verfahren unter MS-DOS verwendeten DoubleSpace. Dabei handelt es sich auch um eine Lauflängencodierung, wobei statt des 2-Byte-Minimums ein 3-Byte-Minimumsuchlauf verwendet wird. Dieses Verfahren ist etwa doppelt so schnell wie unter DoubleSpace bei einer minimalen Verschlechterung der Kompressionsrate. Die Komprimierung wird nur für eine Clustergröße bis 4 KB unterstützt.

Erreichbare Kompressionsraten Die durchschnittlichen erreichbaren Kompressionsraten hängen stark von den verwendeten Dateitypen ab. In der folgenden Tabelle sind typische Dateien mit den in der Praxis durchschnittlich erreichbaren Kompressionsraten gegenübergestellt.

170

5 Dateisysteme

Tabelle 5.9: Beispiele Dateityp für erreichbare Kompressionsraten Textdateien

Größe nach Kompression in % 30 – 60 %

Microsoft Word-Dateien

30 – 60 %

Microsoft Excel-Tabellen

30 – 60 %

Layout-Dateien (Pagemaker)

25 – 50 %

Bilddateien

10 – 100 %

Ausführbare Dateien (EXE)

50 – 60 %

Die angegebenen Werte dienen nur als grobe Richtlinie. Generell lässt sich sagen, dass einfache Textdokumente oder Dateien aus Tabellenkalkulationsprogrammen wie Excel eine durchschnittlich gute Kompression ermöglichen. Allerdings sind diese Dateien meist verhältnismäßig klein und belegen damit auch in einer hohen Anzahl relativ wenig Speicherplatz. Schwachstelle: Komprimierung von Bilddateien

Sinnvoller ist der Einsatz einer wirkungsvollen Komprimierung bei großen Dateien, üblicherweise im lokalen Einsatz vor allem Bilddateien. Hier liegt aber genau die Schwachstelle der einfachen Komprimierungsalgorithmen, die bei NTFS zum Einsatz kommen. Hohe Kompressionsraten lassen sich hier nur dann erreichen, wenn die Bilddaten von ihren Inhalten her sehr homogen sind. Bilder mit vielen Details lassen sich so gut wie gar nicht komprimieren. Eine entsprechender Test mit 140 unkomprimierten Bilddateien der Typen TIFF und EPS, wie sie vor allem in Werbeagenturen und der Bildverarbeitung vorkommen, brachte bei einer unkomprimierten Gesamtkapazität von 640 MB keine nennenswerte Ersparnis an Speicherplatz. Ein zum Vergleich herangezogenes ZIP-Komprimierungstool erbrachte bei diesen Dateien immerhin eine Verkleinerung auf 85%. Wesentlich besser sah es hingegen bei einer größeren Sammlung von Screenshots aus. Diese Dateien waren gemischt abgelegt als BMP und TIF-Dateien (ohne LZW-Komprimierung) und brachten unter der NTFS-Komprimierung eine Verringerung auf 20% des ursprünglich benötigten Platzes. Das wieder zum Vergleich benutzte ZIPKomprimierungstool brachte es aber auf 5%.

Fazit

Die Online-Komprimierung, die sich für NTFS-Dateien aktivieren lässt, hat den Vorteil, für den Benutzer und die Anwendungen transparent zu arbeiten. Es werden keine weiteren externen Tools benötigt. Nachteil ist die im Vergleich zu speziellen Komprimierungsprogrammen erheblich schlechtere Leistung. Für komplexe große Bilddateien, wie sie beispielsweise in Werbeagenturen oder Verlagen anfallen, eignet sich die NTFS-Komprimierung kaum. Hinzu kommt, dass moderne Grafikprogramme in der Windows-Welt wie beispielsweise CorelDraw die Dateien selbst effizient komprimieren.

5.4 NTFS im Detail

171

Das trifft im übrigen auch auf Microsoft PowerPoint zu. Die Präsentationsdateien können durch die Verwendung vieler Grafiken und Bilder sehr groß werden. Aufgrund der guten Komprimierung, die in PowerPoint standardmäßig auf alle damit erzeugten Dateien beim Speichern angewandt wird, können diese durch die NTFSKomprimierung nicht weiter verkleinert werden. Diese Tatsachen sowie die stetige Weiterentwicklung im Bereich der Festplattentechnologien, die auch auf professionellen Arbeitsplatzrechnern Kapazitäten von 30 GB und mehr sehr preiswert ermöglichen, lassen den Einsatz der NTFS-Komprimierung als kaum lohnend erscheinen.

5.4.7 Datenträgerkontingente Datenträgerkontingente, in anderen Betriebssystemen schon länger verbreitet und teilweise Disk Quotas genannt, dienen der Zuteilung des verfügbaren Speicherplatzes auf Datenträgern an Benutzer und Gruppen. Unter Windows 2000 ist dieses Feature jetzt auch für die Professional- als auch für die Server-Versionen verfügbar. Der Haupteinsatzbereich wird sicher im Serverbereich zu finden sein, Haupteinsatzwo es darum geht, für eine größere Anzahl von Benutzern die verfüg- bereich: Server baren Serverkapazitäten gerecht aufzuteilen. Aber auch für eine Windows 2000 Arbeitsstation oder ein kleines lokales Netzwerk mit Windows 2000 Professional kann der Einsatz von Datenträgerkontingenten sinnvoll sein. Datenträgerkontingente können Sie beliebig je Benutzer oder Gruppen Kontingente gelten je Datenträger auf NTFS-Datenträgern einrichten. Die Kontingente gelten dabei je logischem Datenträger, unabhängig über wie viele Freigaben dieser verfügt. Ist für einen Benutzer oder eine Gruppe ein Kontingent eingerichtet, Anzeige von erfahren diese nicht mehr die wahre Größe des betreffenden Daten- Speicherplatz trägers. Stattdessen wird als Gesamtspeicherkapazität die Größe des Datenträgerkontingents angezeigt. Als belegter Speicherplatz erscheint die Gesamtsumme der Größe der Dateien, die dem jeweiligen Benutzer oder der Gruppe zugeordnet sind. Datenträgerkontingente haben keine Wirkung auf über Bereitstel- Achtung bei Bereitlungspunkte (siehe Abschnitt 5.4.3 Analysepunkte und Bereitstellungen stellungen! ab Seite 162) eingebundene Datenträger. Das Kontingent gilt nur für die Dateien und Ordner, die sich physisch auf dem betreffenden Datenträger befinden. Bereitgestellte Datenträger, auch wenn sie mit dem NTFS-Dateisystem formatiert sind, werden nicht berücksichtigt. Für diese bereitgestellten Datenträger müssten Sie wiederum eigene Kon-

172

5 Dateisysteme tingenteinträge definieren, wenn Sie eine Beschränkung des verwendeten Speichers benötigen.

NTFS-Komprimierung wirkungslos

Die Nutzung der NTFS-Komprimierung hat keinen Einfluss auf die Ausnutzung eines Kontingents. Bei der Berechnung des verwendeten Speicherplatzes wird immer die Größe der unkomprimierten Datei zugrundegelegt.

Besser: Externe Komprimierung

Anders sieht es aus, wenn Sie externe Komprimierungsprogramme wie beispielsweise WinZIP benutzen. Die damit erstellten Archive, die übrigens wesentlich höhere Komprimierungsraten erreichen, werden als normale Dateien im NTFS-Dateisystem abgelegt und für die Ausnutzung des Kontingents mit ihrer (komprimierten) tatsächlichen Größe berücksichtigt.

Warnschwelle und Verweigerung weiteren Speicherplatzes

Für die Erkennung einer baldigen Erreichung eines Kontingents durch einen Benutzer oder eine Gruppe können Sie eine Warnschwelle definieren, ab der ein Eintrag in das Ereignisprotokoll erfolgen soll. Wird das Kontingent erreicht, kann der Benutzer keine weiteren Dateien auf dem Datenträger speichern. Er kann nur noch Dateien löschen oder durch Bearbeitung verkleinern, oder Sie erhöhen als Administrator die Kontingentgrenze. Zur Verwaltung und Einrichtung von Datenträgerkontingenten erhalten Sie weitergehende Informationen in Abschnitt 11.11.4 Datenträgerkontingente festlegen ab Seite 473.

5.4.8 Weitere besondere Merkmale von NTFS In diesem Abschnitt werden einige weitere Merkmale von NTFS beschrieben, die Auswirkungen auf die Arbeitsweise und den internen Ablauf haben, für den Benutzer aber weitgehend transparent bleiben. Teilweise sind das Features, die erst durch spezielle Anwendungsprogramme ausgenutzt werden können und dann zu einer Erhöhung der Leistungsfähigkeit des Gesamtsystems führen.

Unterstützung für Dateien mit geringer Datendichte Ausschluss von Nulldaten

Eine sogenannte Datei mit geringer Dichte verfügt über ein spezielles Attribut, welches das I/O-System des NTFS-Dateisystems bei der Speicherung der Datei veranlasst, nur nichtleeren Daten physischen Speicherplatz zuzuweisen. Alle Nulldaten werden durch entsprechende Einträge ausgewiesen. Beim Aufruf der Datei durch ein Anwendungsprogramm werden dann die tatsächlichen Datenmengen wiederhergestellt, indem automatisch die Nulldaten als leerer Datenstrom erzeugt und übergeben werden.

5.4 NTFS im Detail

173

Sinn und Zweck dieses Verfahrens ist die drastische Einsparung von Speicherplatz bei dieser Art von Dateien. Die Anwendung ist allerdings sehr speziell und das NTFS-Attribut nur durch entsprechend programmierte Applikationen setzbar. Eine praktische Anwendung ist beispielsweise das Änderungsjournal Anwendung beim (siehe nächster Abschnitt) welches die Änderungen von Dateien mit Änderungsjournal Hilfe der Abbildung der logischen Struktur des gesamten Datenträgers erfolgt. Die hohe Effizienz dieses Journals auch bei sehr großen Datenträgern mit vielen Dateien wird dadurch erreicht, dass eine Datei gebildet wird, welche die gesamte Struktur wiederspiegelt. Die nichtleeren Daten, die physisch gespeichert werden, sind die Änderungseinträge. Der Zugriff auf die Datei erfolgt aber, als wäre die gesamte Struktur abgebildet. Da aber immer nur ein relativ kleiner Teil der Dateien Änderungen unterworfen ist, kann die Speicherung des Journals auf physisch kleinem Raum erfolgen.

Änderungsjournal Über das Änderungsjournal werden im NTFS-Dateisystem die Änderungen an Dateien ständig protokolliert. Die APIs dazu sind von Microsoft offengelegt und können durch Softwareanbieter beispielsweise für die Entwicklung von Programmen für die Datensicherung oder Antivirenchecks genutzt werden. Der Microsoft Indexdienst benutzt als eine der ersten Applikationen das NTFS-Änderungsjournal für die schnelle Aktualisierung der Indizes. Jede Änderung an einer Datei oder einem Ordner wird automatisch Verfahren im NTFS-Änderungsjournal erfasst. Das ermöglicht die effizientere Ausführung von Programmen, die Änderungen am Datenträger auswerten müssen. Pro Änderungsdatensatz fallen ca. 80 bis 100 Byte an Daten an, die dem Journal hinzugefügt werden. Da das Journal in seiner Größe begrenzt ist, verfallen bei dem Erreichen der maximalen Kapazität die ersten Einträge und werden durch neue überschrieben. Hauptvorteil bei der Nutzung des NTFS-Änderungsjournals durch Anwendungsprogramme ist die hohe Performance auch bei sehr großen Datenträgern mit vielen Dateien, mit der Änderungen an Dateien erfasst werden. Die Geschwindigkeit der Bearbeitung der Änderungen hängt nicht von der Anzahl der Dateien ab, sondern von der Anzahl der Änderungen. Technisch ist das Änderungsjournal als Datenstrom geringer Datendichte implementiert (siehe auch Seite 172).

174

5 Dateisysteme Überwachung verteilter Verknüpfungen

Überwachung über Objektkennung

Unter Windows 2000 stellt der Dienst zur Überwachung verteilter Verknüpfungen sicher, dass auf NTFS-Datenträger Änderungen an den Quelldateien verfolgt und bei den Verknüpfungen berücksichtigt werden. Grundlage dieser Überwachung ist die eindeutige Objektkennung, mit der Dateien unabhängig von ihren Dateinamen geführt werden. Der Überwachungsdienst verteilter Verknüpfungen kann Ihnen unter den folgenden Fällen sicherstellen, dass die Verknüpfungen weiterhin korrekt auf die zugeordneten Quelldateien verweisen: •

Sie haben die Quelldatei umbenannt.

•

Sie haben die Quelldatei innerhalb der Datenträger ihres lokalen Computers oder innerhalb der Arbeitsgruppe oder Domäne verschoben.

•

Die Netzwerkfreigabe beziehungsweise der freigebende Computer, der die Quelldatei enthält, wurden umbenannt.

5.4.9 Zur Kompatibilität von Windows NT 4 mit NTFSv5 Wird ein NTFS v5-Datenträger von Windows NT (ab Service Pack 4) und Windows 2000 gemeinsam benutzt, beispielsweise bei einer Dualbootkonfiguration, hat das Auswirkungen auf bestimmte NTFSFunktionen und -Merkmale. Die folgenden Funktionen sind unter Windows NT 4 nicht verfügbar beziehungsweise werden ignoriert: Datenträgerkontingente

•

Datenträgerkontingente Unter Windows 2000 definierte Datenträgerkontingente, die Benutzer und Gruppen zugewiesen sind, werden unter NT nicht erkannt beziehungsweise das entsprechende NTFS-Attribut wird ignoriert. Damit haben alle Benutzer hinsichtlich des Speicherplatzes keine Limitierung auf dem betreffenden Datenträger. Wird das Kontingent überschritten und der Datenträger wieder unter Windows 2000 bereitgestellt, kann der entsprechende Benutzer nur noch Daten verkleinern oder löschen, bis die Kontingentgrenze wieder unterschritten wird.

Objektkennungen für Dateien und Ordner

•

Objektkennungen für Dateien und Ordner Windows NT und 2000 kennen beide eindeutige Objektkennungen für Dateien und Ordner. Unter Windows 2000 wird allerdings zusätzlich die Kennung im Datenträgerindex mit verwaltet. Wird ein entsprechendes Objekt unter Windows NT gelöscht, muss Win-

5.4 NTFS im Detail

175

dows 2000 beim erneuten Bereitstellen des Datenträgers die Objektkennung nachträglich aus dem Index entfernen. •

Änderungsjournal

Änderungsjournal

Windows NT 4 kennt das Änderungsjournal nicht. Damit werden auch die Änderungen an Dateien und Ordnern nicht berücksichtigt, die während der Bereitstellung eines NTFSv5-Datenträgers unter NT vorgenommen werden. Beim erneuten Bereitstellen des Datenträgers unter Windows 2000 wird das Journal verworfen und neu aufgesetzt. •

Analysepunkte und Bereitstellungen Windows NT erkennt keine Analysepunkte. Damit sind auch Bereitstellungen von Datenträgern über Laufwerkpfade, die unter Windows 2000 eingerichtet worden sind, nicht nutzbar.

•

Verschlüsselte Dateien Das verschlüsselnde Dateisystem (EFS) ist als spezieller Dateisystemfilter unter Windows 2000 für die Erweiterung des NTFSDateisystems implementiert und damit unter NT nicht nutzbar. Verschlüsselte Dateien können deshalb hier nicht entschlüsselt werden.

•

Analysepunkte und Bereitstellungen

Verschlüsselte Dateien

Dateien mit geringer Datendichte

Dateien mit geringer Dateien mit geringer Datendichte werden unter Windows NT nicht Datendichte

erkannt und sind dort nicht zugänglich.

Für die Sicherstellung der NTFSv5-Funktionen, die unter Windows Aufräumaktionen NT umgangen werden können, wie beispielsweise das Änderungs- unter Windows journal oder die Datenträgerkontingente, werden unter Windows 2000 2000 automatisch Aufräumaktionen durchgeführt. Als Benutzer brauchen Sie sich deshalb um die Konsistenz der Datenträger, auch wenn sie zeitweise unter NT eingesetzt werden, keine Sorgen zu machen. Die Festplattentools von Windows NT 4 ab Service Pack 4, Chkdsk und Autochk, arbeiten nicht auf NTFSv5-Datenträgern. Reparatur- und Wiederherstellungsarbeiten sollten deshalb nur unter Windows 2000 durchgeführt werden. Aufgrund der Einschränkungen für NTFSv5 hinsichtlich des Funkti- Nicht empfohlen: onsumfangs und bei Wiederherstellungsoperationen nach einem Sys- Dauereinsatz unter temausfall wird ein Dauerbetrieb mit einer Dualkonfiguration von NT NT und 2000 und Windows 2000 nicht empfohlen. Die begrenzte NTFSv5Kompatibilität von NT ab Service-Pack 4 ist von Microsoft vorrangig für die Migration in der Übergangsphase von NT zu 2000 vorgesehen.

176

5 Dateisysteme

5.4.10 POSIX-Kompatibilität Portable Operating System Interface for UNIX

Für die Kompatibilität mit dem POSIX-Standard (Portable Operating System Interface for UNIX) nach IEEE 1003.1 muss unter Windows 2000 das NTFS-Dateisystem benutzt werden. Hier sind entsprechende Erweiterungen vorgenommen worden, um die Abarbeitung beziehungsweise Portierung von POSIX-Programmen zu gewährleisten:

Berücksichtigung von Groß- und Kleinschreibung bei Dateinamen

•

Berücksichtigung von Groß- und Kleinschreibung bei Dateinamen POSIX-Programme unterscheiden, wie in der UNIX-Welt üblich, zwischen Groß- und Kleinschreibung bei Dateinamen. Mit normalen Windows-Programmen können Sie keine gleichlautenden Dateinamen, die sich nur in der Schreibweise unterscheiden, erstellen. Wurden diese jedoch durch ein POSIX-Programm erstellt, kann es zu ungewollten Ergebnissen kommen. Bestehen beispielsweise die Dateien Beschreibung.txt BESCHREIBUNG.TXT, so löscht der Befehl

und

del Beschreibung.txt beide Dateien. Prüfen Sie in solchen Fällen immer erst mit dem Befehl dir, welche Dateien angezeigt und damit erkannt werden. Feste Verküpfungen (Links)

•

Zusätzliche Zeitstempel

•

Feste Verknüpfungen (Links) Die in der UNIX-Welt verbreiteten Links auf Dateien werden auch unter NTFS unterstützt. Eine physisch vorhandene Datei kann so über mehrere Namen von verschiedenen Orten auf Datenträgern angesprochen und normal verwendet werden. Zusätzliche Zeitstempel Zusätzlich zum Zeitpunkt der letzten Änderung wird auch der Zeitpunkt des letzten Zugriffs auf eine Datei angezeigt.

5.5 FAT und FAT32 im Detail Das Dateisystem FAT wurde ursprünglich für die Verwaltung von damals relativ kleinen Festplatten und einfachen Ordnerstrukturen entwickelt. In diesem Abschnitt werden die wichtigsten internen Zusammenhänge und Strukturen zu den FAT-Varianten, die unter Windows 2000 einsetzbar sind, dargestellt. Der Vergleich der FAT-Dateisysteme mit NTFS wird in Abschnitt 5.2 Vergleich von FAT, FAT32 und NTFS ab Seite 132 behandelt.

5.5 FAT und FAT32 im Detail

177

5.5.1 Die verschiedenen FAT-Dateisysteme Es gibt heute drei Varianten des FAT-Dateisystems, die Sie in Windows 2000 nutzen können: FAT12, FAT16 und FAT32.

FAT12 Die ursprünglich entwickelte Version des FAT-Dateisystems ist Kleine Datenträger FAT12. Die Anzahl der verwaltbaren Cluster in der Dateizuordnungstabelle beträgt 212 = 4.096. Damit ist nur die Verwaltung sehr kleiner Datenträger (bei 16 Sektoren á 512 Bytes pro Cluster ca. 16 MB) möglich und sinnvoll. Windows 2000 setzt das FAT12-Dateisystem automatisch beim Formatieren von Disketten und sehr kleinen Datenträgern bis ca. 16 MB ein.

FAT16 Das FAT16-Dateisystem ist die Weiterentwicklung von FAT12. Durch theoretisch bis zu die 16 Bit-Adressierung sind theoretisch 216 = 65.536 Cluster in der 4 GB verwaltbar Dateizuordnungstabelle verwaltbar. Für die Speicherung von Dateien verbleiben nach Abzug des Platzes für das Dateisystem selbst 65.524 Cluster. Theoretisch können Sie damit Datenträger bis zu 4 GB verwalten. große Datenträger: Dann wäre allerdings eine Clustergröße von 64 KB notwendig. Das Verschwendung bedeutet nicht nur eine große Verschwendung von Speicherplatz bei von Speicherplatz kleinen Dateien, auch Slack genannt, sondern führt auch zu Kompatibilitätsproblemen mit anderen Betriebssystemen und Anwendungssoftware. Aus Kompatibilitätsgründen sollten Sie nur Datenträger bis 2 GB mit FAT16 formatieren (bei einer Clustergröße von 32 KB). FAT16 ist bei großen Datenträgern bei der Ausnutzung des Speicher- bis 512 MB effizient platzes sehr ineffizient. Bei Datenträgern bis ca. 512 MB (dann bei einer Clustergröße von 8 KB) ist FAT16 als einfaches und sehr schnelles Dateisystem empfehlenswert.

FAT32 Das FAT32-Dateisystem wurde bei der zweiten überarbeiteten Win- Windows 95 OSR2 dows 95-Version OSR2 eingeführt und für die Verwaltung großer Festplatten stark erweitert. Für die Adressierung der Cluster sind jetzt 4 Byte (32 Bit) verfügbar, sodass mit kleinen Clustergrößen auch große Datenträger formatiert werden können.

178 FAT32 ab 32 MB

5 Dateisysteme Ein FAT32-Datenträger muss mindestens 65.527 Cluster aufweisen. Damit lassen sich erst Datenträger ab ca. 32 MB mit FAT32 formatieren. Diesen Wert erhalten Sie, wenn Sie die kleinste Clustergröße (entspricht der Größe eines Sektors = 512 Byte für heute gängige Festplatten) mit Mindestanzahl der verwaltbaren Cluster (65.527) multiplizieren. Die maximale Datenträgergröße, die durch Windows 2000 bereitgestellt werden kann, beträgt 127,53 GB. Formatieren können Sie Datenträger allerdings nur bis 32 GB mit FAT32 (siehe dazu auch Abschnitt 5.2.2 Speicherkapazität von Datenträgern ab Seite 133).

5.5.2 Layout von FAT16- und FAT32-Datenträgern Die FAT16- und FAT32-Datenträger sind prinzipiell ähnlich aufgebaut und unterscheiden sich nur in kleinen Details. In der folgenden Abbildung sind die beiden Dateisysteme in ihrer Grundstruktur gegenübergestellt. Abbildung 5.15: Layout von FATDatenträgern

Stammverzeichnis bei FAT16

Das Stammverzeichnis eines FAT16-Datenträgers befindet sich in einem festen Bereich nach den beiden Dateizuordnungstabellen (Original und Sicherungskopie) und ist auf 512 Einträge begrenzt. Wird ein Datenträgername vergeben, reduziert sich die Anzahl auf 511 Einträge. Eine weitere Reduktion findet statt, wenn Sie lange Dateinamen im Stammverzeichnis benutzen (siehe auch Abschnitt 5.5.6 Lange Dateinamen bei FAT-Datenträgern ab Seite 184).

5.5 FAT und FAT32 im Detail

179

Unter FAT32 wurde das Stammverzeichnis als ganz normale Cluster- Stammverzeichnis kette realisiert und kann sich mit beliebig vielen Einträgen irgendwo bei FAT32 auf der Festplatte befinden. Der Startpunkt des Stammverzeichnisses ist an einer bestimmten Adresse im Bootsektor hinterlegt.

5.5.3 FAT-Bootsektoren Der Bootsektor, auch Bootrecord genannt, liegt im ersten physischen Sektor eines Datenträgers. Der Aufbau des Bootsektoren unterscheidet sich zwischen FAT16 und FAT32.

FAT16-Bootsektor

Offset Beschreibung

Länge

00h

Sprunganweisung

3 Byte

03h

OEM Name (Hersteller der Festplatte bzw. des Mediums)

8 Byte

0Bh

Bytes pro Sektor (in der Regel 512)

2 Byte

0Dh

Sektoren pro Cluster

1 Byte

0Eh

Anzahl reservierter Sektoren

2 Byte

10h

Anzahl der FAT-Kopien (in der Regel 1)

1 Byte

11h

Maximale Anzahl der Stammverzeichniseinträge

2 Byte

13h

Anzahl der Sektoren (Datenträger kleiner 32 MB mit bis zu 216 = 65535 Sektoren); ist bei größeren Datenträgern 0)

2 Byte

15h

Medienbeschreibung (Festplatten: F8h)

1 Byte

16h

Sektoren pro FAT

2 Byte

18h

Sektoren pro Spur

2 Byte

1Ah

Anzahl der Köpfe

2 Byte

1Ch

Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung des Stammverzeichnisses und des Datenbereichs)

4 Byte

20h

Anzahl der Sektoren (Datenträger größer 32 MB mit mehr als 216 = 65.535 Sektoren); ist bei kleineren Datenträgern 0)

4 Byte

24h

Laufwerksnummer; relevant nur beim Bootdatenträger (typische Werte: Festplatten 80h/81h)

1 Byte

Tabelle 5.10: Aufbau des FAT16Bootsektors

180

5 Dateisysteme

Offset Beschreibung

Länge

25h

Reserviert

1 Byte

26h

Erweiterte Signatur (Wert 29h)

1 Byte

27h

Seriennummer des Datenträgers (zufällig generiert beim Formatieren)

4 Byte

2Bh

Datenträgerbezeichnung

11 Byte

36h

Dateisystemtyp (enthält den Bezeichner FAT16)

8 Byte

3Eh

Bootstrapcode (ausführbarer Code)

448 Byte

1FEh

Ende der Sektormarkierung 0x55AA

2 Byte

FAT32-Bootsektor Tabelle 5.11: Aufbau des FAT32Bootsektors

Offset Beschreibung

Länge

00h

Sprunganweisung

3 Byte

03h

OEM Name (Hersteller der Festplatte bzw. des Mediums)

8 Byte

0Bh

Bytes pro Sektor (in der Regel 512)

2 Byte

0Dh

Sektoren pro Cluster

1 Byte

0Eh

Anzahl reservierter Sektoren

2 Byte

10h

Anzahl der FAT-Kopien (in der Regel 1)

1 Byte

11h

unbenutzt

4 Byte

15h

Medienbeschreibung (Festplatten: F8h)

1 Byte

16h

unbenutzt

2 Byte

18h

Sektoren pro Spur

2 Byte

1Ah

Anzahl der Köpfe

2 Byte

1Ch

Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung des Stammverzeichnisses und des Datenbereichs)

4 Byte

20h

Anzahl der Sektoren des Datenträgers

4 Byte

24h

Anzahl der Sektoren pro FAT

4 Byte

28h

Erweiterte Flags:

2 Byte

Bits 0 bis 3:

Anzahl aktiver FAT (Die Zählung startet bei 0)

Bits 4 bis 6:

Reserviert

5.5 FAT und FAT32 im Detail

Offset Beschreibung Bits 7:

181

Länge 0 = FAT wird gespiegelt; 1 = nur eine FAT aktiv

Bits 8 bis 15: reserviert 2Ah

Versionsnummer des FAT32-Dateisystems; Höheres Byte = Hauptversionsnummer; Niedrigeres Byte = Untergeordnete Versionsnummer

2 Byte

2Ch

Startadresse des Stammverzeichnisses

4 Byte

30h

Nummer des Sektors, der die FSINFO-Struktur enthält (Dateisystem-Informationen); meist mit dem Wert 1 belegt (zweiter Sektor; Zählung beginnt bei 0)

2 Byte

32h

Nummer des Sektors, der den Sicherungsbootsektor enthält

2 Byte

34h

reserviert

12 Byte

40h

Laufwerksnummer; relevant nur beim Bootdatenträger (typische Werte: Festplatten 80h/81h)

1 Byte

41h

reserviert

1 Byte

42h

Erweiterte Signatur (Wert 29h)

1 Byte

43h

Seriennummer des Datenträgers (zufällig generiert beim Formatieren)

4 Byte

47h

Datenträgerbezeichnung

11 Byte

52h

Dateisystemtyp (enthält den Bezeichner FAT32)

8 Byte

5Ah

Bootstrapcode (ausführbarer Code)

420 Byte

1FEh

Ende der Sektormarkierung 0x55AA

2 Byte

5.5.4 Die Dateizuordnungstabelle (FAT) Zentraler Bestandteil eines FAT-Datenträgers ist die Dateizuordnungstabelle, auch File Allocation Table (FAT) genannt. In dieser werden die Zuordnungseinheiten (Cluster) des gesamten Datenträgers verwaltet.

Cluster-Kennzeichnung Jeder Cluster wird in der FAT durch eine der folgenden vier Eigenschaften gekennzeichnet:

182 Tabelle 5.12: Eigenschaften von Clustern

Markierung fehlerhafter Cluster

5 Dateisysteme

Eigenschaft

Beschreibung

Nicht verwendet

Dieser Cluster ist frei und kann für die Speicherung von Daten verwendet werden.

Verwendet

Der Cluster ist bereits durch Daten belegt.

Fehlerhaft

Der Cluster wurde aufgrund eines Sektorfehlers beim Formatieren als fehlerhaft gekennzeichnet. Auf ihm werden keine Daten gespeichert.

Letzter Cluster

Das ist der letzte Cluster einer Datei bzw. einer Clusterkette. Dieses Feld wird auch End Of File (EOF)-Kennung genannt und besitzt immer den Wert FFFFh.

Beim Kennzeichnen der fehlerhaften Sektoren beziehungsweise des davon betroffenen Cluster gibt es einen deutlichen Unterschied zu NTFS. Das FAT-Dateisystem kann defekte Sektoren ausschließlich beim Neuformatieren erkennen und betroffene Cluster markieren. Unter NTFS werden auch während des laufenden Betriebes auftretende defekte Sektoren des Datenträgers erkannt und die entsprechenden Cluster in der Systemdatei $BADCLUS erfasst (siehe auch Abschnitt 5.2.4 Dateisystemsicherheit ab Seite 138).

FAT16-Einträge für Dateien und Ordner Für jede Datei oder Ordner wird in der FAT ein Eintrag mit 32 Byte angelegt. Werden lange Dateinamen erzeugt, so kann sich ein Eintrag über mehrere FAT-Tabelleneinträge erstrecken. Tabelle 5.13: Offset Beschreibung FAT16-Eintrag für Dateien und Ordner 00h Dateiname (im 8.3-Format)

Länge 11 Byte

0Bh

Attribut

1 Byte

0Ch

Reserviert

1 Byte

0Dh

Erstellungszeit

3 Byte

10h

Erstellungsdatum

2 Byte

12h

Datum des letzten Zugriffs

2 Byte

14h

Reserviert

2 Byte

16h

Zeitpunkt der letzten Bearbeitung

4 Byte

18h

Startclusternummer

2 Byte

1Ah

Dateigröße in Bytes

4 Byte

5.5 FAT und FAT32 im Detail

183

Die Startclusternummer zeigt auf den ersten durch die Datei oder den Ordner verwendeten Cluster. Jeder verwendete Cluster verweist wiederum auf den nächsten Cluster beziehungsweise weist sich als letzter der Clusterkette aus (mit EOF – FFFFh).

FAT32-Einträge für Dateien und Ordner Die Einträge unter FAT32 unterscheiden sich von denen unter FAT16 kaum. Wichtigste Änderung ist natürlich die Umstellung von der 16 Bit-Adressierung der Cluster auf 32 Bit. Dazu werden die bisher bei FAT16 reservierten Bytes (Offset 14h) als höherwertige 2 Byte der 32 Bit-Adresse benutzt.

Offset Beschreibung

Länge

00h

Dateiname (im 8.3-Format)

11 Byte

0Bh

Attribut

1 Byte

0Ch

Reserviert

1 Byte

0Dh

Erstellungszeit

3 Byte

10h

Erstellungsdatum

2 Byte

12h

Datum des letzten Zugriffs

2 Byte

14h

Höherwertige Bytes der Startclusternummer

2 Byte

16h

Zeitpunkt der letzten Bearbeitung

4 Byte

18h

Niederwertige Bytes der Startclusternummer

2 Byte

1Ah

Dateigröße in Bytes

4 Byte

Wenn ein Cluster für die Speicherung nicht ausreicht, wird wie auch bei FAT16 für jede Datei eine Clusterkette gebildet, deren Ende der letzte Cluster mit FFFF FFFFh (EOF) markiert. In der Dateizuordnungstabelle werden die Einträge aller Dateien und Ordner erfasst.

5.5.5 FAT-Dateiattribute Das Attributbyte dient unter FAT der Verschlüsselung der Attribute der betreffenden Datei beziehungsweise Ordners.

Tabelle 5.14: FAT32-Eintrag für Dateien und Ordner

184 Tabelle 5.15: DateiAttribute bei FAT / FAT32

5 Dateisysteme

Attribut

Wert

Auswirkung

Schreibgeschützt

01h

Verhindert das Überschreiben der Datei.

Versteckt

02h

Verhindert die Anzeige der Datei mit Standardanzeigeprogrammen für Verzeichnisse (beispielsweise mit dir).

System

04h

Versteckt die Datei bei gleichzeitigem Schreibschutz. Soll als besonderer Schutz für Betriebssystemdateien dienen.

Volume-ID

08h

Dient der Kennzeichnung dieses Eintrags als Datenträgername.

Verzeichnis

10h

Kennzeichnet den Eintrag als Ordner.

Archiv

20h

Schränkt den Zugriff auf die Datei gar nicht ein. Wird beispielsweise von Datensicherungsprogrammen genutzt, um die Datei als gesichert zu markieren.

Zur Kodierung des Attributes werden nur die letzten 6 Bits des Attributbytes benutzt. Die beiden höchstwertigen Bits bleiben immer 0. Da die Attribute Schreibgeschützt, Versteckt und System durch jeden Benutzer einfach über den Windows Explorer gesetzt beziehungsweise gelöscht werden können, sind sie als wirksamer Schutz von Dateien unbrauchbar. Für einen wirkungsvollen Schutz von Dateien empfiehlt sich die Nutzung des NTFS-Dateisystems. Nur hier können Sie Benutzerrechte auf Dateien und Ordner differenziert festlegen.

5.5.6 Lange Dateinamen bei FAT-Datenträgern Ursprünglich war es unter FAT nur möglich, kurze Dateinamen nach der 8.3-Notation zu benutzen. Durch einen kleinen Trick wurde aber die Verwendung langer Dateinamen dennoch möglich: Lange Dateinamen über Tricks

Werden die Attribute Schreibgeschützt, Versteckt, System und Volume-ID für einen FAT-Eintrag gleichzeitig gesetzt (Wert 0Fh), wird dieser als normale Datei ignoriert und kann als Erweiterung für einen Teil eines langen Dateinamens dienen. Jeder sogenannte sekundäre Ordnereintrag eines langen Dateinamens kann 13 Zeichen im Unicode (16 Bit pro Zeichen) speichern. Mit bis zu 20 dieser versteckten Einträge können so lange Dateinamen im Unicode mit bis zu 255 Zeichen auch unter FAT benutzt werden.

5.5 FAT und FAT32 im Detail

185

Bei den langen Dateinamen dürfen prinzipiell alle Zeichen des 16 Bit- FAT-NamenskonUnicode-Zeichensatzes benutzt werden. Ausgenommen sind die fol- ventionen genden: " / \ [ ] : ; | = , Hinzu kommen die folgenden Datei-Bezeichner, die für interne Systemgeräte des Betriebssystems reserviert sind und daher nicht für normale Dateien verwendet werden dürfen: CON, AUX, COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, PRN, NUL Bei der Nutzung eines FAT-Datenträgers unter einer früheren MSDOS–Version (dann aber nur mit FAT12/16) werden diese Einträge ignoriert und nur der kurze Dateiname wird angezeigt. Bei Verwendung älterer Reparaturprogramme für Datenträger können Sie mit den Einträgen für lange Dateinamen Probleme bekommen, wenn diese Programme die Einträge als Fehler interpretieren und reparieren. Dadurch können lange Dateinamen auf FAT12/16Datenträgern verloren gehen. Die Algorithmen der Erzeugung langer Dateinamen unter FAT unter- Unterschiede zwischeiden sich zwischen Windows NT/2000 und Windows 9x. Aller- schen den Windings berührt das nicht den Benutzer, da die Betriebssysteme unter- dows-Versionen einander kompatibel sind und die Dateinamen dadurch trotzdem richtig angezeigt werden. Wollen Sie die Erzeugung von langen Dateinamen unter Windows Lange Dateinamen 2000 für FAT-Datenträger dennoch deaktivieren, ändern Sie den fol- deaktivieren genden Eintrag in der Registrierung: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \FileSystem \Win31FileSystem=1 Nach dem Setzen dieses Parameters werden keine neuen langen Dateinamen mehr erzeugt. Vorher bestandene lange Dateinamen bleiben jedoch unberührt.

5.5 FAT und FAT32 im Detail

Kapitel 6 Netzwerkgrundlagen

6.1

Das ISO/OSI-Referenzmodell.............................189

6.2

Die unterstützten Protokolle im Überblick......191

6.3

TCP/IP ......................................................................191

6.4

Andere Protokolle..................................................204

6.5

Netzwerkkonzepte ................................................206

6.6

Einführung in Active Directory ..........................212

187

6.1 Das ISO/OSI-Referenzmodell

189

6 Netzwerkgrundlagen Die Netzwerkfunktionen sind in Windows 2000 gegenüber den Vorgängerversionen nicht nur ausgebaut worden, sondern insgesamt auch konsistenter und logischer strukturiert. Trotzdem ist die korrekte Konfiguration, egal ob für den Einzelplatz mit Internetzugang oder als Client im lokalen Netz, nicht trivial. Die folgenden Grundlagen helfen, die Arbeitsweise der Netzwerkumgebung in Windows 2000 zu verstehen und sachgerechte Einstellungen vornehmen zu können. Sie sollten sich diese Ausführungen ansehen, wenn Sie vorher noch keine Netzwerke konfiguriert oder aufgebaut haben. Denn häufig sind Verständnisprobleme die Ursache für Konfigurationsfehler.

6.1 Das ISO/OSI-Referenzmodell Das ISO/OSI-Referenzmodell (reference model for open systems interconnection of the international organization for standardization) teilt Netzwerkverbindungen in sieben logische Schichten ein, die jeweils eine eigene Aufgabe übernehmen. Die Schichten werden nachfolgend beschrieben. Bei den Protokollbeschreibungen wird auf diese Schichten Bezug genommen.

6.1.1 Die 7 Schichten des Referenzmodells •

Schicht 1: Bitübertragungsschicht (physical layer). Hier wird die Bitübertragung physikalische Übertragung (elektrisch sowie mechanisch) definiert: das Medium (Kabel, Funk, Infrarot), die gesendeten Signale usw.

•

Schicht 2: Sicherungsschicht (data link layer, auch Verbindungs- Sicherung schicht oder MAC-Layer genannt). Hier werden die Daten in einzelne Rahmen aufgeteilt und gesichert übertragen. Beispiele für diese Schicht sind PPP, SLIP und HDLC.

•

Schicht 3: Netzwerkschicht (network layer, auch Vermittlungs- Vermittlung schicht). Zentrale Aufgabe ist die Bestimmung eines optimalen Weges durch ein Netzwerk. Ein wichtiges Protokoll auf dieser Ebene ist IP.

•

Schicht 4: Transportschicht (transport layer). Diese Schicht stellt ei- Transport nen gesicherten Kanal zwischen zwei Stationen her, sodass die Daten einfach seriell geschrieben bzw. gelesen werden können. Auf dieser Ebene ist TCP zu finden.

190

6 Netzwerkgrundlagen

Sitzung

•

Schicht 5: Sitzungsschicht (session layer, auch Kommunikationssteuerungsschicht). Diese Schicht synchronisiert das Zusammenspiel mehrerer Stationen. Es wird beispielsweise festgelegt, wie eine Sitzung zeitlich abzulaufen hat (Aufforderung zum Senden eines Kennwortes, Senden des Kennwortes, Bestätigung des Kennwortes usw. Hier arbeitet beispielsweise HTTP.

Darstellung

•

Schicht 6: Darstellungsschicht (presentation layer). Hier werden die Daten in ein einheitliches Format transformiert, zum Beispiel durch Alphabetumwandlungen oder Datenkompression. An dieser Stelle gehen oft die Umlaute verloren, wenn die Übertragung mit 7 Bit statt 8 Bit erfolgt. Verschiedene Kodierungsarten sichern dann die Übertragung, beispielsweise MIME.

Anwendung

•

Schicht 7: Anwendungsschicht (application layer). Diese Schicht beschreibt die Schnittstelle, über die Anwendungen auf Dienste eines anderen Systems zugreifen können. CGI-Programme beispielsweise nutzen diese Schicht.

6.1.2 Die Bedeutung des Schichtenmodells Kommunikationsprozesse

Jede Schicht kommuniziert mit der entsprechenden Schicht auf dem anderen System (logischer Datenfluss), indem sie Daten entweder an die darüber oder darunter liegende Schicht weiterleitet (physikalischer Datenfluss). Jede Schicht verfügt über Schnittstellen, die folgende Abläufe ausführen können: •

Austausch von Daten mit der darüber liegenden Schicht

•

Austausch von Daten mit der darunter liegenden Schicht

•

Entscheidung darüber, welche Daten an dieselbe Schicht im anderen System übermittelt werden

Wenn die Sitzung auf Schicht 5 ihre Daten an die Schicht 4 übergeben hat, wartet sie, bis die Antwort von Schicht 5 des anderen Systems zurückkommt. Wie diese Nachricht auf das andere System kommt, ist es Sache der Schicht 4, die sich wiederum nur mit Schicht 3 in Verbindung setzt, usw. Der wirkliche Datenaustausch findet nur auf Schicht 1 statt. Durch dieses Verfahren sind höhere Schichten völlig unabhängig von den physikalischen Gegebenheiten (Funknetz, ISDN, Glasfaser usw.). Andererseits können über eine funktionierende physikalische Verbindung (Schicht 1) alle Arten von Daten und Protokollen (höhere Schichten) benutzt werden.

6.2 Die unterstützten Protokolle im Überblick

191

6.2 Die unterstützten Protokolle im Überblick Die in Windows 2000 verfügbaren Protokolle werden nachfolgend vorgestellt. Dies kann und soll kein Netzwerklehrbuch ersetzen, gibt aber einen Einblick vor allem in TCP/IP und ist damit auch für den Administrator eines kleinen Netzwerks geeignet, der bislang auf den Einsatz dieses Protokolls verzichtet hat. Die von Windows 2000 standardmäßig unterstützten Netzwerkprotokolle werden in der folgenden Tabelle dargestellt:

Seite

Protokoll

Kurzbeschreibung

TCP/IP

TCP/IP ist ein Protokollpaar, das heute die Grundlage des Internet und lokaler Netzwerke bildet.

191

NetBEUI

Dies ist ein proprietäres Protokoll von Microsoft für Windows-Netzwerke.

204

IPX/SPX

Dies ist ein proprietäres Protokoll von Novell, das sich auch außerhalb weit verbreitet hat.

205

AppleTalk

Fehler! Ein von Apple entwickeltes proprietäres Netzwerkprotokoll, womit unter Windows 2000 Pro- Textmarke nicht fessional ausschließlich AppleTalk-Drucker im definiert. Netzwerk angesteuert werden können.

Mit dem modularen Aufbau von Windows 2000 können auch weitere Netzwerkprotokolle aufgesetzt werden, die in einer speziellen Umgebung verlangt werden. Bei einem neu zu errichtenden Netzwerk besteht jedoch kein Grund, andere Protokolle außer TCP/IP oder NetBEUI einzusetzen. Diese wichtigsten Protokolle für die Einbindung einer Windows 2000 Professional Arbeitsstation werden in den nachfolgenden Abschnitten vorgestellt.

6.3 TCP/IP TCP/IP ist spätestens seit der Verbreitung des World Wide Web weit bekannt, auch bei technisch weniger bewanderten Nutzern. Doch die Entwicklung ist älter und die korrekte Konfiguration keineswegs trivial.

Tabelle 6.1: Netzwerkprotokolle im Überblick

192

6 Netzwerkgrundlagen

6.3.1 Die geschichtliche Entwicklung TCP/IP ist das wichtigste Netzwerkprotokoll, das heute sowohl in großen, internationalen Netzwerken als auch in lokalen Netzen zum Einsatz kommt. Es ist auch das Protokoll des Internet. Die Zeit vor Windows

•

1976: Grundsteinlegung zu TCP/IP durch die International Federation of Information Processing.

•

1983: Das ARPANET wird endgültig auf das TCP/IP umgestellt. Die TCP/IP-Protokolle werden als MIL-Specs veröffentlicht.

•

1987: IBM unterstützt TCP/IP als optionalen Kommunikationsstandard.

•

1988: Das Simple Gateway Monitoring Protocol (SGMP) wird vollständig überarbeitet und als Simple Network Management Protocol (SNMP) veröffentlicht.

•

1990: DEC unterstützt TCP/IP unter VMS als Kommunikationsstandard.

•

1991: Das Netzwerk-Betriebssystem von Novell enthält ab Version 3 optionale TCP/IP-Unterstützung.

6.3.2 Bestandteile und verwandte Protokolle Die einzelnen Bestandteile und verwandten Protokolle von TCP/IP werden nachfolgend näher vorgestellt.

Von IP... IP, das auf der Ebene 3 des ISO/OSI-Referenzmodells angesiedelt ist, kümmert sich darum, dass Datenpakete von einem Rechner zu einem anderen gelangen. Es stellt den höheren Schichten im ISO/OSIReferenzmodell unter anderem folgende Dienste zur Verfügung: •

Adressfunktion: Jedes Datenpaket wird mit einer Absender- und Empfänger-Adresse versehen.

•

Routing zwischen Netzwerken: Es ist möglich, ein Datenpaket nicht nur in das eigene Netzwerk, sondern auch in benachbarte und weiter entfernte Netzwerke zu schicken.

•

Fragmentierung und Reassemblierung von Paketen: Bestimmte Netzwerke können nur bestimmte Größen von Datenpaketen bearbeiten. Das IP kann diese Datenpakete aufteilen und wieder zusammenfügen.

6.3 TCP/IP •

Vorrangsteuerung: Es besteht die Möglichkeit, bestimmte Arten von Daten vorrangig zu behandeln.

Das IP ist ein unzuverlässiger verbindungsloser Paketübermittlungs- Paketdienst (send and pray). Alle übertragenen Daten werden in (evtl. meh- übermittlungsrere) Pakete verpackt. Dadurch ist es möglich, über eine Verbindung dienst mehrere Datenströme gleichzeitig laufen zu lassen, indem Pakete von verschiedenen Datenströmen gemischt werden. Die Datenpakete müssen nicht in der Reihenfolge beim Empfänger ankommen, in der sie abgeschickt wurden. Es kann auch zur Doppelung oder zum Verlust von Datenpaketen kommen. Diese Fehler können vom IP nicht festgestellt oder korrigiert werden. Jedes Datenpaket wird unabhängig von den anderen übertragen. Dadurch ist kein einheitlicher Weg zwischen Sender und Empfänger festgelegt, er kann sich von Paket zu Paket ändern. Um die vorhandenen Unzulänglichkeiten auszugleichen, wird das IP meist in Verbindung mit dem TCP (Transmission Control Protocol) eingesetzt. Auf dieser Ebene gibt es mehrere Protokolle.

... bis TCP, UDP und ICMP TCP (Transmission Control Protocol) ist das bekannteste Protokoll auf TCP dieser Ebene. Es setzt auf IP auf und ist verbindungsorientiert. Bevor die eigentliche Datenübertragung beginnt, wird zunächst eine Verbindung zum Empfänger aufgebaut. Dann erst werden die Datenpakete abgeschickt und vom Empfänger quittiert. Bleibt diese Empfangsbestätigung aus, so wird das entsprechende Paket erneut versendet. Hierdurch wird sichergestellt, dass die Datenpakete in der richtigen Reihenfolge und vollständig beim Empfänger ankommen. Die Reihenfolge kann beim Versand verändert werden, da sich IP für jedes Paket einen anderen Weg durchs Netz suchen kann, mit eventuell unterschiedlichen Laufzeiten. Nach erfolgreicher Datenübertragung wird die Verbindung zwischen den Rechnern wieder abgebaut. Die Verwaltung der Verbindung kostet natürlich Zeit und Übertragungskapazität. Daher gibt es für weniger sensible Verbindungen weitere Protokolle. UDP (User Datagramm Protocol) ist ein verbindungsloses Protokoll. Es UDP dient zum Übertragen von kurzen Nachrichten. Eine NameserverAnfrage gehört beispielsweise zu den Dingen, die über UDP abgewickelt werden. Wenn keine Antwort kommt, dann wird einfach eine neue Anfrage gestellt, eventuell an einen anderen Nameserver. Auch Streaming-Video und Netzwerkspiele arbeiten oft mit UDP. Hier geht es vor allem um Performance. Dabei kann es toleriert werden, wenn vereinzelt Daten verloren gehen. Die Videowiedergabe würde lediglich an Qualität einbüßen.

193

194 ICMP

6 Netzwerkgrundlagen ICMP (Internet Control Message Protocol) dient zum Transport von Fehler- und Diagnosemeldungen im Netz. Versucht ein Rechner auf einen Port zuzugreifen, der nicht belegt ist, so wird die Fehlermeldung »Port unreachable« per ICMP zurückgeschickt. Auch RoutingInformationen und der bekannte Ping werden über ICMP weitergeleitet.

6.3.3 Die IP-Adresse Damit eine Verbindung von einem Rechner zu einem anderen aufgebaut werden kann, muss jedem Rechner eine eindeutige IP-Adresse zugewiesen werden.

Das heutige IPv4 Internet Protocol Version 4

Im derzeitigen Standard IPv4 (Internet Protocol Version 4) besteht diese Adresse aus 4 Oktetts. Jedes Oktett entspricht einem Byte (0-255). Damit lassen sich 2564 = 232 = 4.294.967.296 verschiedene Adressen darstellen. Langsam wird dieser Adressraum aber knapp. Im zukünftigen IPv6-Standard ist die Adresse deshalb vergrößert. Zur besseren Lesbarkeit der Oktetts werden sie dezimal ausgeschrieben und durch Punkte getrennt. Eine typische IP-Adresse sieht zum Beispiel so aus: 195.145.212.138

Die Zukunft: IP-Version 6 Internet Protocol Version 6

Das IP-Protokoll Version 6 (IPv6) steht kurz vor der Einführung. Erste Geräte unterstützen es bereits, der Großteil des Internets läuft aber noch unter der alten Version 4. Einige der wichtigsten Unterschiede zur alten Version sind hier aufgeführt.

Erweiterte Adressierungsmöglichkeiten

IPv6 erweitert die Größe einer IP-Adresse von 4 auf 16 Oktetts. Damit wird der derzeitigen Adressenverknappung massiv entgegengetreten (2128 statt 232 Adressen; 2128 entspricht etwa 3,4 x 1038). Außerdem gibt es zusätzliche Funktionen im Bereich des Multicastings, beispielsweise die Möglichkeit, bestimmte Gerätegruppen anzusprechen.

Genauer differenziertere Datentypen

Es lassen sich unterschiedliche Datentypen spezifizieren (zum Beispiel Video- oder Ton-Übertragungen), die gegenüber weniger zeitkritischen Datentypen (zum Beispiel E-Mails) bevorzugt bearbeitet werden, um Echtzeitanwendungen mit der nötigen Bandbreite ausführen zu können.

Sicherheit

IPv6 bietet Funktionen, mit denen sensible Daten sicher übertragen werden können. Erreicht wird dies durch Einbindung der IPsec-

6.3 TCP/IP Architektur (siehe RFC 2401). Durch das IPsec-Verfahren wird das Tunneling, also das Benutzen eines Protokolls innerhalb eines anderen (beispielsweise IPX über TCP/IP), möglich, was für den Aufbau von Virtuellen Privaten Netzwerken benutzt werden kann. •

www.isi.edu/in-notes/rfc2401.txt

Adressvergabe Jede IP-Adresse ist weltweit eindeutig und wird von der IANA an die drei Organisationen APNIC, ARIN und RIPE vergeben, die diese dann wiederum an Endkunden (Firmen oder Internetprovider) verteilen. Weitere Informationen gibt es bei den entsprechenden Organisationen unter folgenden Adressen: •

IANA (Internet Assigned Numbers Authority): http://www.iana.net

•

APNIC (Asia-Pacific Network Information Center): http://www.apnic.net

•

ARIN (American Registry for Internet Numbers): http://www.arin.net

•

RIPE NCC (Reseau IP Europeens): http://www.ripe.net

6.3.4 Domain Name System und DNS Sie kennen sicher Internet-Adressen in der Form www.microsoft.com. Für die Übertragung von Datenpaketen müssen diese aber mit IPAdressen versehen werden. Die Anwahl eines Servers kann also nur über Adressen erfolgen. Der DNS (Domain Name Service) setzt die Namen von der Form Nameserver www.microsoft.com in eine IP-Adresse der Form 207.46.130.45 um. Dazu wird ein sogenannter Nameserver benutzt. Alle Adressen liegen einer großen hierarchischen, weltweit verteilten Datenbank. Wenn ein Nameserver eine Adresse nicht umsetzen kann, gibt er die Anfrage an einen ihm übergeordneten Nameserver weiter. Durch dieses Verfahren sind die Adressen leichter zu merken (aussagekräftige Namen statt Zahlenkolonnen) und leichter zu administrieren. Wenn ein Rechner eine andere IP-Adresse bekommt, muss nur der Eintrag auf dem Nameserver geändert werden; der Name, unter dem er zu erreichen ist, bleibt gleich.

195

196

6 Netzwerkgrundlagen In Windows müssen Sie deshalb einen Nameserver angeben oder eine Möglichkeit des Zugriffs darauf schaffen. Mehr Details zur Administration im Zusammenhang mit DNS finden Sie im Abschnitt 12.3.2 DNS ab Seite 514 bei der Beschreibung der entsprechenden Windows 2000-Funktionen.

6.3.5 Subnetze Jede Adresse wird in einen Netzwerk- und einen Rechnerbereich (auch Hostbereich) aufgeteilt. Dafür wird eine so genannte Subnetzmaske eingerichtet, die angibt, wie viele Bits einer Adresse zum Netz und wie viele zum Rechner gehören. Hier ein Beispiel in dezimaler und binärer Notation. Tabelle 6.2: Netzwerk- und Hostadresse in dezimaler und binärer Form

Dezimal

Binär

Dez. Binär

Subnetzmaske:

255.255.255

11111111.11111111.11111111

000

00000000

IPAdresse:

192.168.000

11000000.10101000.00000000

101

01100101

Dieses Beispiel würde 254 Rechner im Netzwerk 192.168.0.x erlauben. Von den theoretisch verfügbaren 256 Werten geht eine (255) als Broadcast-Adresse weg, während die 0 das Netzwerk bezeichnet und als Hostadresse unzulässig ist. So kann für jede beliebige Adresse festgestellt werden, ob sie im eigenen Netzwerk oder in einem anderen Netzwerk liegt (wichtig für Router, Bridges und Internet-Gateways). Die Subnetzmaske muss aus einem durchgängigen Bereich von binären Einsen bestehen. Es hat sich eingebürgert, die Einsen zu zählen und in der Kurzform /n aufzuschreiben (n ist die Anzahl der Einsen). Eine Angabe von 192.168.0.0/24 bedeutet also Netzadressen im Bereich von 192.168.0.x mit einer Subnetzmaske von 255.255.255.0 (24 Einsen).

6.3.6 Netzklassen Bestimmte Standard-Subnetzmasken werden verschiedenen Netzklassen zugeordnet. Für jede dieser Klassen gibt es Bereiche, die nicht zentral vergeben werden und für jedermann frei verfügbar sind (zum Beispiel für das kleine Privatnetz zu Hause).

6.3 TCP/IP

197

Klasse-A-Netz Ein Klasse-A-Netz hat standardmäßig die Subnetzmaske 255.0.0.0. Das erste Bit der Adresse (ganz links) muss auf 0 gesetzt sein. Der Bereich 10.0.0.0/8 kann von jedermann frei verwendet werden. Abbildung 6.1: Aufbau eines Klasse-A-Netzes

Klasse-B-Netz Ein normales Klasse-B-Netz hat die Subnetzmaske 255.255.0.0. Die ersten beiden Bits der Adresse müssen 10 sein. Mit den Bereichen 172.16.0.0 bis 172.31.255.255 stehen 16 Klasse-B-Subnetze für jedermann zur Verfügung. Abbildung 6.2: Aufbau eines Klasse-B-Netzes

Klasse-C-Netz Ein Klasse-C-Netz hat die Subnetzmaske 255.255.255.0. Die ersten drei Bits der Adresse müssen 110 sein. Die 256 Klasse-C-Netze von 192.168.0.0/24 bis 192.168.255.0/24 sind frei verfügbar und sehr häufig in kleineren lokalen Netzen anzutreffen. Abbildung 6.3: Aufbau eines Klasse-C-Netzes

Klasse-D- und -E-Netze Daneben gibt es noch Klasse-D- (beginnt mit 1110) und Klasse-E-Netze (beginnend mit 1111). Diese dienen aber Spezialfällen und deshalb wird hier nicht weiter auf sie eingegangen.

198

6 Netzwerkgrundlagen Spezialadressen

BroadcastAdressen

Eine Broadcast-Adresse teilt dem Rechner mit, wie er alle Rechner in seinem Netz auf einmal erreichen kann (sog. Broadcast). Dabei werden einfach alle Bits im Rechnerbereich der Adresse auf Eins gesetzt (allgemeingültige Definition für ALL-ONE-Broadcasts). Die StandardBroadcast-Adresse für einen Rechner aus dem Netz 192.168.0.0/24 wäre demnach 192.168.0.255. Sie können deshalb Adressen, die auf 255 enden, nicht als reguläre Netzwerkadresse angeben.

Loopback

Mit einer Adresse, die im ersten Oktett eine 127 enthält, adressiert sich jeder Rechner selbst (Loopback), was zu Tests der Netzwerksoftware benutzt werden kann. Eine solche Adresse kann daher niemals auf dem Kabel zu sehen sein.

Reservierte Adressen

Adressen aus den Klasse-D- und -E-Netzen sind für bestimmte Zwecke reserviert. Die Adressen 224.x.x.x bis 255.x.x.x sollten deshalb nicht benutzt werden. Genauere Informationen dazu stehen im RFC 2236: •

www.isi.edu/in-notes/rfc2236.txt

6.3.7 Adressübersetzung Um Datenpakete aus Netzwerken weiterleiten zu können, werden Router eingesetzt. Wird in einem solchen Netzwerk ein privater Adressraum eingesetzt, muss die Adresse vor dem Weitertransport in das externe Netz übersetzt werden.

Routing Das Weiterleiten von Daten von einem in ein anderes Netzwerk wird Routing genannt. Zwangsläufig benötigt jeder Router deshalb wenigstens zwei verschiedene (logische) Netzanschlüsse. Die folgende Abbildung zeigt das:

6.3 TCP/IP

199 Abbildung 6.4: Position eines Routers im Netz

Der Gateway-Rechner (Router) home-win besitzt zwei Netzwerkgeräte: eine Netzwerkkarte zum lokalen Netz und eine ISDN-Karte zum Internet. Wenn jetzt ein Datenpaket bei home-win vorbeikommt, wird anhand des Vergleiches von Ziel-Adresse und Subnetzmaske entschieden, ob das Datenpaket für das lokale Netzwerk oder für das Internet bestimmt ist und dementsprechend weitergeleitet (über die Netzwerkkarte oder die ISDN-Karte). Wenn viele Rechner (oder viele Netze) zusammengeschlossen sind, gibt es mehrere Möglichkeiten, das Ziel zu erreichen. Deshalb wird anhand eines bestimmten Kriteriums (Leitungsauslastung, Übertragungskosten, Priorität der Daten usw.) eine Route ausgesucht. Die Aktualisierungshäufigkeit dieser Aktion bestimmt die Art des Routings: beim dynamischen Routing werden die Daten ständig automatisch aktualisiert (teilweise alle 30 Sekunden), beim statischen Routing werden die Daten von einem Systemadministrator gepflegt und beispielsweise halbjährlich überarbeitet. Durch die redundanten Wege zu einem bestimmten Ziel können partielle Ausfälle des Netzes umgangen werden.

Adressübersetzung Da die lokalen Adressräume wie 192.168.0.0/24 von jedermann be- NAT nutzt werden und mehrfach vergeben sind, stößt der Zusammen- Network Adress schluss von mehreren dieser Netzwerke zwangsläufig auf Probleme. Translation Gerade im Internet muss jeder Rechner eindeutig adressierbar sein. Man bedient sich der NAT (Network Address Translation), um dieses Problem zu beheben. Dabei wird ein Teilnetz versteckt und nach außen hin unsichtbar gemacht. In unserem Beispiel erhält home-win nun eine zweite, echte IP-Adresse, mit der er im Internet angesprochen werden kann:

200

6 Netzwerkgrundlagen

Abbildung 6.5: Router als Adressübersetzer

home-win tritt nun als Übersetzer in Aktion: Er übernimmt Verbindun-

gen aus dem lokalen Netz ins Internet und tut so, als ob er sie selber aufbaut. Damit tritt das gesamte Netz 192.168.0.0/24 nach außen hin nur als die eine Adresse 195.234.113.11 auf. win98pc und myPC sind von außen nicht direkt erreichbar.

6.3.8 TCP (Transmission Control Protocol) Wie bereits in Abschnitt 6.3.3 Die IP-Adresse ab Seite 194 gezeigt, ist die Ebene des IP unzuverlässig und verbindungslos. Damit eine sinnvolle und funktionierende Datenübertragung aufgebaut werden kann, kommt auf der Ebene 4 des ISO/OSI-Referenzmodells das TCP zum Einsatz. Auf dieser Schicht wird nicht mehr von Paketen, sondern von Segmenten gesprochen. Ein IP-Paket kann einem TCP-Segment entsprechen, dies muss aber nicht sein, denn das IP kann Segmente fragmentieren.

Eigenschaften Das TCP stellt eine bidirektionale, gesicherte Verbindung mit den folgenden Eigenschaften her: Fehlerkontrolle

•

Fehlerkontrolle. Um eine verlustfreie Übertragung zu erreichen, wird der Empfang aller Pakete quittiert (Acknowledgement).

Zeitüberwachung

•

Zeitüberwachung. Wird der Datenempfang nicht innerhalb einer bestimmten Zeit quittiert, so wird ein Übertragungsfehler vermutet und die Datenpakete werden automatisch noch einmal gesendet.

Flusskontrolle

•

Flusskontrolle. Durch Pufferbereiche kann zwischen verschieden schnellen Systemen vermittelt werden, ohne dass es zu Datenver-

6.3 TCP/IP

201

lust kommt. Dazu werden alle Datenpakete fortlaufend mit Sequenznummern nummeriert. Über einen Fenstermechanismus (Windowing) in Kombination mit den AcknowledgementMeldungen wird dafür gesorgt, dass nicht mehr Daten verschickt werden, als der Empfänger verarbeiten kann. •

Multiplexing. Ein Rechner kann mehrere TCP-Verbindungen Multiplexing gleichzeitig bearbeiten. Dafür werden verschiedene Ports definiert.

Multiplexing Damit ein Rechner gleichzeitig mehrere Verbindungen (Multiplexing) bearbeiten kann, müssen diese unterschieden werden. Dazu bedient sich das TCP der sogenannten Ports. Jeder Anwendung, die das TCP benutzen will, wird ein Port zugeordnet. Es gibt 65.536 verschiedene Ports, fortlaufend nummeriert. An dieser Stelle ist die Kenntnis folgender Definitionen sinnvoll: •

Ein Paar aus IP-Adresse und Port wird Socket genannt.

•

Eine Verbindung zwischen zwei Rechnern ist wiederum eindeutig durch zwei Sockets definiert.

Definitionen

Eine Portbezeichnung wird normalerweise hinter einem Doppelpunkt an die IP-Adresse oder den DNS-Namen gehängt: 192.168.0.101:80 oder home-win:80. Wenn Sie (home-win, Adresse 192.168.0.101) einen Webserver auf Port 80 laufen lassen und sowohl myPC (192.168.0.104) als auch win98pc (192.168.0.102) jetzt mit einem Browser über ihre lokalen Ports 80 Daten vom Webserver abrufen wollen, kommen die folgenden drei Sockets vor:

Rechner Adresse

Port

home-win 192.168.0.101 80 win98pc

192.168.0.102 80

myPC

192.168.0.104 80

home-win kommt auch dann nicht durcheinander, wenn beide Rechner

auf denselben Socket zugreifen. Dafür kommt das Multiplexing zum Einsatz: Es wird zwar auf denselben Socket zugegriffen, aber da eine Verbindung durch zwei Sockets definiert wird, kann home-win die beiden folgenden Verbindungen getrennt voneinander bearbeiten:

Tabelle 6.3: BeispielSockets

202

6 Netzwerkgrundlagen

Tabelle 6.4: Trennung der Socketadressen

Rechner Adresse

Port Rechner Adresse

Port

home-win 192.168.0.101 80

win98pc

192.168.0.102 80

home-win 192.168.0.101 80

myPC

192.168.0.104 80

Das ist aber noch nicht alles. myPC könnte in diesem Fall nur eine einzige Verbindung zu home-win aufbauen. Daher benutzt der Client (myPC) nicht den Standardport 80, um die Verbindungen zu einem Server aufzubauen. Vielmehr werden dynamische Portnummern verwendet, die für jede Verbindung neu erzeugt werden. So können beispielsweise im WWW gleichzeitig mehrere Bilder von einem Server geladen werden, indem die Verbindungen parallel bestehen. Das folgende Beispiel zeigt dies. Es sind folgende Sockets im Spiel, während myPC gleichzeitig eine HTML-Seite und zwei darin enthaltene Grafiken von home-win herunterlädt: Tabelle 6.5: Portadressierung

Rechner Adresse

Port

home-win 192.168.0.101 80 myPC

192.168.0.104 1111

myPC

192.168.0.104 1112

myPC

192.168.0.104 1113

Jetzt hat myPC also diese drei Verbindungen zu home-win geöffnet: Tabelle 6.6: Offene Verbindungen

Rechner Adresse

Port Rechner Adresse

Port

home-win 192.168.0.101 80

myPC

192.168.0.104 1111

home-win 192.168.0.101 80

myPC

192.168.0.104 1112

home-win 192.168.0.101 80

myPC

192.168.0.104 1113

Durch diese Verfahrensweise ist es einem Server möglich, durch einen definierten Port (also eine eindeutige, immer gleiche Adressangabe) gleichzeitig mit mehreren Clients in Verbindung zu stehen (und das auch noch mit mehreren Verbindungen pro Client).

Wichtige Ports Die Portnummern sind in der RFC 1700 aufgelistet, die Sie unter der folgenden Adresse finden: •

www.isi.edu/in-notes/rfc1700.txt

6.3 TCP/IP

203

Auf den meisten Systemen sind die Ports über 1024 für jede Anwendung offen, während die Ports 1 – 1024 nur Systemprozessen (oder Anwendungen, die über entsprechende Privilegien verfügen) zur Verfügung stehen. Die folgende Tabelle zeigt die wichtigsten Ports, mit denen Sie auch bei der Arbeit mit Windows 2000 konfrontiert werden können.

Dienst

Port

Erklärung

ftp-data

20

File Transfer [Default Data]

ftp

21

File Transfer [Control]

telnet

23

Telnet

smtp

25

Simple Mail Transfer

domain

53

Domain Name Server

finger

79

Finger

www-http

80

World Wide Web HTTP

pop3

110

Post Office Protocol - Version 3

uucp-path

117

UUCP Path Service

nntp

119

Network News Transfer Protocol

ntp

123

Network Time Protocol

netbios-ns

137

NETBIOS Name Service

netbios-dgm 138

NETBIOS Datagram Service

netbios-ssn

139

NETBIOS Session Service

imap2

143

Interim Mail Access Protocol v2

irc

194

Internet Relay Chat Protocol

ipx

213

IPX

imap3

220

Interactive Mail Access Protocol v3

uucp

540

uucpd

Tabelle 6.7: Wichtige Portnummern

204

6 Netzwerkgrundlagen

6.4 Andere Protokolle Neben TCP/IP existieren weitere Protokolle, die von verschiedenen Herstellern eingeführt wurden, um ihre Produkte netzwerkfähig zu machen. Die wichtigsten werden nachfolgend vorgestellt.

6.4.1 NetBIOS Network Basic Input/Output System

Das NetBIOS (Network Basic Input/Output System) war Grundlage des ersten lokalen Netzwerksystems von IBM und Microsoft. Es wurde 1984 für DOS vorgestellt. NetBIOS allein hat heute keine Bedeutung mehr, ist aber für viele spätere Entwicklungen die geistige Basis.

6.4.2 NetBEUI NetBIOS Extended User Interface

NetBIOS und NetBEUI (NetBIOS Extended User Interface) waren jahrelang die Grundlage der Netzwerkstrategie von Microsoft. Bisher war NetBEUI das Standardprotokoll auf allen Windows-Installationen. Das Protokoll TCP/IP konnte erst nachträglich installiert werden. Erst mit Windows 98 ist auch bei Microsoft TCP/IP das Standardprotokoll, ebenso wie bei Windows 2000. Dieser Umschwung hat damit zu tun, dass NetBEUI nicht für größere Netzwerke geeignet ist, da es kein Routing-Protokoll gibt und das ganze System mit Broadcasts arbeitet, was die Weiterleitung in größeren Netzen behindert. Mit NetBIOS über TCP/IP steht dieses Protokoll auch zur Verfügung, wenn NetBEUI nicht mehr eingesetzt wird. Die Besonderheit von NetBEUI sind:

Besonderheiten von NetBEUI

•

Name Support: In NetBEUI-Netzen wird jeder Rechner über einen Namen angesprochen. Dieser Name darf 16 Zeichen lang sein und muss im Netz eindeutig sein. Wird ein Rechner ans Netz gebracht, so schickt er per Broadcast seinen Namen an alle anderen Rechner und bittet um Registrierung. Wenn kein Rechner protestiert (beispielsweise weil er den Namen schon benutzt), dann kann der Rechner ins Netz und den Namen benutzen.

•

SMB-Protokoll: Das Service Message Block Protokoll (SMB) dient der Strukturierung der gesendeten und empfangenen Daten. Diese werden dann mittels NetBIOS übertragen.

•

Redirector: Der Redirector stellt Anwendungen Dienste wie Netzlaufwerke und Netzdrucker zur Verfügung. Greift der Anwender beispielsweise auf ein Netzlaufwerk zu, so wird diese Anfrage vom Redirector abgefangen und in eine SMB-Anfrage an den entsprechenden Dateiserver weitergeleitet.

6.4 Andere Protokolle

205

Diese Funktionen bietet TCP/IP indes auch. So gibt es auch keinen technischen Grund mehr NetBEUI einzusetzen.

6.4.3 IPX/SPX Während TCP/IP als offener Standard gilt, ist IPX/SPX ein proprietä- Internet Packet res Protokoll. Im Gegensatz zu anderen Standards ist es dem Erfinder eXChange / Sequenced Packet Novell gelungen, dieses Protokoll weitreichend zu etablieren. IPX/SPX steht für »Internet Packet eXChange/Sequenced Packet eXchange«. Es ist ein zweigeteiltes Protokoll. SPX basiert auf dem »Sequenced Packet Protocol« (SPP) der Firma Xerox und wurde von Novell weiterentwickelt. IPX ist in der Schicht 3 des OSI-Modells definiert. SPX kann dagegen der Schicht 4 zugeordnet werden.

eXchange

Für die Zukunft hat IPX keine Bedeutung, da Novell in seinen neueren Produkten Netware 4 und 5 TCP/IP als Standardprotokoll einsetzt.

6.4.4 AppleTalk Das AppleTalk beschreibt nicht nur die Software-Seite (das Protokoll), AppleTalk sondern auch einen Hardware-Standard. AppleTalk hat sich praktisch Software nur im Macintosh-Bereich durchgesetzt und ist in der PC-Welt quasi nicht vorhanden. Es gibt jedoch für fast alle Plattformen (Windows, Linux und UNIX) diverse Software-Emulationen, die es erlauben, AppleTalk in ein anderes, von der jeweiligen Plattform »verstandenes« Protokoll umzusetzen. AppleTalk (als Hardware) war sehr weit verbreitet, vor allem wegen AppleTalk der geringen Verkabelungskosten (serielles Kabel, Telefonkabel), da Hardware die Hardware im Rechner selbst (serielle Schnittstelle) bereits vorhanden war und die Software mit dem Betriebssystem automatisch installiert wurde. Es war also eine kostengünstige, einfache und komplette Lösung zur Datenübertragung zwischen Macintosh-Rechnern und Peripheriegeräten bzw. anderen Macintosh-Computern. Wird AppleTalk über die serielle Schnittstelle des Macintosh betrieben, so spricht man von LocalTalk, bei der Verwendung von Ethernet spricht man von EtherTalk. EtherTalk wird heute überwiegend verwendet, da es deutlich schneller als LocalTalk ist. Die ursprüngliche AppleTalk-Hardware war die serielle Schnittstelle Hardware des Macintosh, eine Connector Box und Kabel. Ein Kabel wurde von der Connector Box zur seriellen Schnittstelle (Drop Cable), je ein weiteres Kabel in die und aus der Connector Box geführt (Trunk Cables). Jeder Computer (serielle Schnittstelle) ist ein Knoten (node). AppleTalk Phase 1 unterstützt Kabellängen von bis zu 300 Metern, maximal

206

6 Netzwerkgrundlagen 256 Knoten (in der ersten Version maximal 32) und eine Übertragungsrate von etwa 230 kbps. AppleTalk Phase 2 schließt die Verwendung von Ethernet ein und hebt zugleich die Beschränkung auf 256 Rechner auf: Einem Ethernet-Subnetz wird eine Network Number Range zugeteilt, wodurch in jedem Subnetz 256 Rechner (Knoten) möglich sind. Die in dieser Bus-Topologie verwendeten Connector Boxes stellen sicher, dass auch beim Abstecken eines Rechners das Netzwerk immer noch intakt ist.

Protokolle

In der Schichten-Modell-Darstellung des AppleTalk-Protokoll stellt die oberste Schicht, der Presentation Layer, den interessantesten Teil für den Benutzer dar: Das AppleTalk Filing Protocol (AFP) und der Printer-Access über PostScript. AFP wird realisiert über File Sharing (Kontrollfelder »File Sharing« in Systemversionen vor 9 auch noch »Benutzer & Gruppen«; die Auswahlerweiterung »AppleShare« und die Systemerweiterung »File Sharing Erweiterung« mit dem zugehörigen Library). Das Drucken über AppleTalk wird realisiert über entsprechende Auswahlerweiterungen (Druckertreiber; etwa »LaserWriter 8«). Jeder Macintosh in einem AppleTalk-Netzwerk prüft in Abständen von zehn Minuten, ob noch alle Geräte vorhanden bzw. ob neue hinzugekommen sind. Dadurch hat jeder Rechner eine aktuelle Liste (entspricht den »Routing tables« beim Router) mit allen verfügbaren Geräten.

6.5 Netzwerkkonzepte Dieser Abschnitt zeigt die wichtigsten Netzwerkkonzepte, die in Windows 2000 Professional zum Einsatz kommen. Den Schwerpunkt unserer Betrachtungen bilden dabei kleine Netze, die auf einen Windows 2000 Server verzichten.

6.5.1 Netzwerkverbindungen Mit Hilfe von Netzwerkverbindungen können Sie Ihren Computer mit anderen Computern oder einem privaten Netzwerk verbinden. Wenn Sie Ihren Computer mit einem Netzwerk oder einem anderen Computer verbinden, stehen Ihnen folgende Möglichkeiten zur Verfügung: •

Sie können auf Dateien oder Ordner auf anderen Computern zugreifen.

•

Sie können anderen Personen den Zugriff auf Ihre eigenen Dateien und Ordner ermöglichen.

•

Sie können Drucker und andere Geräte verwenden, die an andere Computer angeschlossen sind.

6.5 Netzwerkkonzepte •

207

Sie können anderen Personen den Zugriff auf alle Drucker oder Geräte ermöglichen, die an Ihren eigenen Computer angeschlossen sind.

Es gibt viele unterschiedliche Methoden zum Herstellen einer Verbindung zwischen Ihrem Computer und einem anderen Computer oder einem Netzwerk. In Windows 2000 können Sie folgende Verbindungen herstellen: •

Verbindung mit einem anderen Computer über eine Direktverbindung mittels Link-Kabel

•

Verbindung mit einem privaten Netzwerk über ein Modem, eine ISDN-Karte oder eine Netzwerkkarte

•

Verbindung mit einem Netzwerk über ein virtuelles privates Netzwerk (VPN)

•

Verbindung mit einem anderen Computer über den Anruf eines anderen Computers per Modem

Die Herstellung dieser Verbindungen sowie die Konfiguration der Netzwerkprotokolle und -einstellungen erfolgen in der Systemsteuerung über die Option NETZWERK- UND DFÜ-VERBINDUNGEN. Verbindungen mit News-Servern, Netzwerken und anderen Computern können auch über die Dienstprogramme Telnet oder HyperTerminal hergestellt werden.

Anwendungsformen Windows 2000 wird heute in vielfältiger Weise vernetzt eingesetzt. Der private Nutzer wird sich in der Regel auf den Internetzugang beschränken (siehe Abschnitt 12.5.1 Konfiguration für DFÜ-Verbindungen ab Seite 531); der professionelle Nutzer dagegen verfügt über ein lokales Netzwerk, ein virtuelles privates Netz und zusätzlich über eine Internetverbindung. Die Arbeitsstation kann dabei selbst als kleiner Server dienen oder die Leistungen eines zentralen Servers nutzen. Die Netzwerkunterstützung ist in Windows 2000 fest ins Betriebssys- Feste Integration tem integriert. Die Funktionen des Netzwerks stehen deshalb überall ins Betriebssystem zur Verfügung, beispielsweise in allen vom Betriebssystem generierten Dateiauswahldialogen. Fast alle Ressourcen, die dem Betriebssystem zur Verfügung stehen, können auch über das Netzwerk genutzt werden.

208

6 Netzwerkgrundlagen Leistungsmerkmale Vor der Nutzung der technischen Möglichkeiten sollte sich der Administrator über die zur Verfügung stehenden Leistungen im Klaren sein. Nur so können die Funktionen optimal eingesetzt werden. Oft wird teure Software von Drittanbietern nur genutzt, weil die Funktionen in Windows nicht bekannt sind, deren Nutzung unklar ist oder einfach nicht gefunden wurden. Dies ist auch der in Windows NT spürbaren nachträglichen Integration einiger Funktionen anzurechnen, die nicht unbedingt logisch angeordnet wurden. In dieser Beziehung ist Windows 2000 nicht optimal aber deutlich verbessert.

Windows 2000 Professional

Die wesentlichen Leistungsmerkmale der Professional-Version sind: •

Komplette Unterstützung für Peer-to-Peer-Netzwerke einschließlich Benutzerverwaltung ohne Server oder Domänencontroller

•

Zusammenarbeit mit allen heute üblichen Netzwerkprotokollen, beispielsweise TCP/IP, NWLink/IPX, AppleTalk und DLC.

•

Optimierte Unterstützung von Internetfunktionen durch feste Integration des Browsers und der Nachrichtenfunktionen (Outlook Express) in das Betriebssystem.1

•

Software erhält vollen Zugriff auf Netzwerkfunktionen über Standard-API-Funktionen.

•

Strenges Sicherheitsmanagement zur Absicherung aller Funktionen

•

Alle Einstellungen lassen sich auf der grafischen Oberfläche vornehmen

•

Die Nutzung verteilter Applikationen ist möglich, DCOM und COM+ werden unterstützt.

6.5.2 Strukturierung eines Netzwerks Je nach Aufgabenstellung ist eine Strukturierung des Netzwerks notwendig oder zumindest sinnvoll. Der Administrator sollte sich vor der Installation der Arbeitstationen darüber Gedanken machen. Einige Begriffe sind aber vorab zu klären: •

Arbeitsgruppe (siehe ab Seite 209)

•

Domäne (siehe ab Seite 212)

1

Man mag das politisch verdammen; technisch ist das ein signifikanter Fortschritt und für den Anwender ungemein hilfreich.

6.5 Netzwerkkonzepte •

209

Active Directory (siehe ab Seite 212)

Arbeitsgruppen Ein Windows 2000-System kann entweder zu einer Arbeitsgruppe oder zu einer Domäne gehören, nicht aber zu beiden gleichzeitig. Im kleinen Netz werden Sie kaum auf einen Domänencontroller stoßen. Hier ist die Arbeitsgruppe von zentraler Bedeutung. Der einfachste Weg ist die Einrichtung einer Arbeitsgruppe für alle Computer. Aber warum sollte überhaupt mit Arbeitsgruppen gearbeitet werden? Nimmt man den Namen »Arbeitsgruppe« wörtlich, ergibt sich schon der erste Anwendungsfall. Teilen Sie den einzelnen Arbeitsgruppen des Unternehmens auch auf Seiten der Netzwerkkommunikation Teilnetze zu. Teilnetze entstehen durch Vergabe von Arbeitsgruppennamen. Abbildung 6.6 zeigt die Aufteilung nach Abteilungen. Auch eine Zuordnung nach Projekten wäre denkbar. Die Zuordnung vereinfacht den Zugriff auf Ressourcen der jeweiligen Arbeitsgruppe. Eine grundsätzliche, unüberbrückbare Trennung gibt es aber nicht. Auf die Sicherheitseinstellungen müssen Sie dennoch achten. Abbildung 6.6: Logische Struktur eines Netzwerks ohne Server

Eine Arbeitsstation mit Windows 2000 Professional ist keineswegs ein Client/Server dummes Terminal, sondern verfügt über eine ganze Reihe von Funktionen, die man eher bei einem Server vermutet. Entsprechend an-

210

6 Netzwerkgrundlagen spruchsvoll ist dann auch die Einrichtung im Netz. Wenn man die klassischen Begriffe Client und Server nimmt, so ist diese Zuordnung im Peer-to-Peer-Netz nicht gegeben. Jede Station kann die Position eines Clients oder eines Servers einnehmen – jederzeit und gleichzeitig.

Ressource

Die häufigste Anwendung ist die Freigabe lokaler Ressourcen, in Windows als Freigabe bezeichnet. Freigegeben werden können Drucker, Verzeichnisse und Modems. Drucker und Verzeichnisse sind über den Windows Explorer erreichbar und natürlich über den Arbeitsplatz. Dort kann auch eine Freigabe eingerichtet werden. Zuvor sollten Sie sich aber über die Sicherheitsbedingungen im Klaren sein.

Mitglieder der Arbeitsgruppe

Mitglieder der Arbeitsgruppe müssen nicht Windows 2000-Computer besitzen. Folgende Betriebssysteme unterstützten das Windows-Netzwerk: •

MS-DOS mit Netzwerkanbindung

•

LAN Manager-Client für DOS oder Windows

•

OS/2 über LAN-Manager

•

Windows 3.1 mit Netzwerkerweiterung

•

Windows for Workgroups 3.11

•

Windows 95

•

Windows 98

•

Windows NT 4 Workstation

•

Windows NT 3.51 Server

•

Windows NT 4 Server

•

Windows 2000 Professional

•

Windows 2000 Server, Advanced Server und Datacenter Server

Das ist schon eine beachtliche Auswahl, die Einbindung älterer Computer muss also nicht mit der Aufrüstung von Software – die ja oft auch eine Hardwareaufrüstung nach sich zieht – verbunden sein. Der Begriff »Peer-to-Peer« steht für »Gleicher unter gleichen«, wobei damit nicht gemeint ist, dass alle Computer identisch sein müssen, sondern sowohl die Rolle des Clients als auch des Servers übernehmen können. Nachteile der Arbeitsgruppen

Um die Probleme beim Einsatz der Arbeitsgruppen im Netzwerk erkennen zu können, sollten Sie sich ein bestimmtes Szenario ansehen. Wenn beispielsweise jeder Computer im Netzwerk jedem anderen Ressourcen zur Verfügung stellt, laufen im Falle eines Zugriffs vielfäl-

6.5 Netzwerkkonzepte

211

tige Authentifizierungsprozesse ab. Abgesehen von einem kleinen lokalen Netz, in dem jeder Nutzer Administratorrechte hat, stellt dies ein Problem dar. Abbildung 6.7 zeigt die gegenseitigen Authentifizierungsprozesse in einem kleinen Netzwerk. Jeder Rechner kommuniziert direkt mit dem anderen. Da auf jedem System die lokalen Benutzerrechte gespeichert sind, kann eine einfache Abfrage von Ressourcen zu einer Mehrfachbelastung des Netzes führen. Wenn einem Benutzer Rechte entzogen werden sollen und dieser Benutzer zuvor auf mehreren Computern Zugriffsrechte hatte, muss der Administrator diese Einstellung an jeder Station vornehmen. Auch die Einstellung der Rechte selbst, beispielsweise die Trennung von Schreib- und Leserechte ist möglich. Ändern sich hier die Bedingungen kann der Aufwand zur Pflege exponentiell steigen. Abbildung 6.7: Authentifizierungsprozesse im Peer-toPeer-Netz

Die dezentrale Verwaltung wirkt sich auch bei anderen typischen Bedingungen negativ aus. Ändert ein Benutzer sein lokales Kennwort, so muss dies in allen im Netzwerk für ihn verfügbaren Ressourcen bekannt sein. Sind im Netz mehrere freigegebene Ordner oder Drucker vorhanden, ist das ein hoher Aufwand, zumal der Benutzer immer wieder auf die Hilfe des Administrators angewiesen ist. Die beste Lösung ist der Einsatz eines zentralen Servers, der Nutzer Vorteile mit Hilfe des Domänenmodells oder Active Directory verwaltet. Dies setzt jedoch den Einsatz eines Windows 2000 Servers voraus. Neben den höheren Kosten ist aber auch ein gewisser Einarbeitungsaufwand in den weitaus komplexeren Server zu beachten, der je nach Vorkenntnissen erheblich sein kann.

212

6 Netzwerkgrundlagen Domäne Eine Domäne in einem Windows-Netzwerk ist eine logische Gruppierung von Computern, die über eine gemeinsame Datenbank mit Ressourceninformationen verfügen. Dazu gehören auch Benutzerkonten und Sicherheitsinformationen. Die Domäne entsteht, indem ein Computer als Domänencontroller installiert wird. Dies kann entweder ein Windows NT 4 Server oder ein Windows 2000 Server sein. Bei NT 4 muss die Entscheidung, den Computer als Domänencontroller einzusetzen, vor der Installation gefällt werden. Bei Windows 2000 ist dies auch nachträglich möglich. In beiden Systemen kann die Einrichtung nicht rückgängig gemacht werden. Auch wenn sich Windows 2000 Domänen im Netz als solche anbieten, basieren Sie dennoch intern auf Active Directory, das die gesamte Sicherheitsdatenbank enthält.

Active Directory Service Der Verzeichnisdienst

Active Directory Service (ADS) ist ein Verzeichnisdienst, der einen Ort zum Speichern von Informationen über netzwerkbasierte Ressourcen enthält. Dies können Anwendungen, Drucker, Speicher oder Benutzer sein. ADS bietet ein standardisiertes Verfahren für den Zugriff auf diese Ressourcen im Netzwerk und auf Informationen über diese. ADS ist die Implementierung eines Verzeichnisdienstes von Microsoft. Es gibt noch andere Verzeichnissysteme, wie NDS von Novell. ADS kann nur verwendet werden, wenn ein Windows 2000 Server als Domänencontroller eingerichtet wurde. Als Clients kommen dagegen Computer mit Windows 95, Windows 98, Windows ME, Windows 2000 Professional oder Unix in Frage. Eine ausführlichere Einführung in das Active Directory finden Sie im nächsten Abschnitt. Detailliert wird der Aufbau des Active Directory sowie seine Administration in Band II beschrieben.

6.6 Einführung in Active Directory Active Directory (AD) ist eine zentrale Komponente in Windows 2000. Das Verständnis über den Sinn und die Anwendung von Verzeichnisdiensten ist von großer Bedeutung für die Planung eines auf Windows basierenden Netzwerks.

6.6 Einführung in Active Directory 6.6.1

213

Anwendungsgebiete

Die Komplexität von Netzwerkarchitekturen, verteilter Anwendungen Komplexität in unternehmensweiten Umgebungen usw. stieg seit Anfang der Neunziger Jahre stetig an. Früher genügte es, wenn eine E-MailAnwendung Textnachrichten versenden konnte, heute muss sie Adressbücher verwalten, Verteilerlisten auflösen und die verschiedensten Protokolle unterstützen. Am Anfang wurden die hierfür benötigten Informationen in Dateien gespeichert. Diese Form der Speicherung und Verwaltung von Informationen erweist sich in größeren Umgebungen zunehmend als kritischer Faktor. Die Datenbestände sind isoliert, Inkonsistenzen treten auf, Systeme und Netze werden immer schwerer durchschaubar und administrierbar. Immer mehr unternehmensweite Dienste etablieren sich, ohne dass die von einem Dienst geführten Informationen einem anderen Dienst zugänglich sind oder administrative Vorgaben in einfacher Weise für mehrere Dienste gesetzt werden können. Es existiert keine gemeinsame »Informationsinfrastruktur«, die als Basisdienst von Anwendungen genutzt werden kann.

Was ist ein Verzeichnisdienst? Ein Verzeichnisdienst ist eine hierarchische Datenstruktur, die zur Eine hierarchische Darstellung komplexer Daten dient. Diese Struktur enthält Informati- Dateistruktur onen über im Netzwerk verfügbare Ressourcen, beispielsweise Anwendungsprogramme, Drucker, Personen, Dateien usw. Er liefert einen konsistenten Weg zum Benennen und Beschreiben, zum Suchen und Finden, zur Zugriffssteuerung und Administration und zur Speicherung sicherer Informationen über individuelle Ressourcen. Ein Verzeichnisdienst ist ein zentraler Informationspool im Netzwerk. Zentraler Er ist die zentrale Autorität zum Managen von Identitäten und zum Informationspool Verteilen von Beziehungen zwischen Ressourcen, sodass sie zusammen arbeiten können. Der Verzeichnisdienst ist idealerweise eng mit den Sicherheitsfunktionen des Betriebssystems verbunden, um Integrität und Sicherheit zu gewährleisten.

6.6.2 Geschichte der Verzeichnisdienste Obwohl mit dem X.500-Standard bereits 1988 ein vielversprechender Erste Ansätze Ansatz existierte, wurde das Konzept eines allgemeinen und offenen bereits 1988 Verzeichnisdienstes nur langsam angenommen. Ursprünglich als globales Routingverzeichnis für X.400 gedacht, fand es schließlich als leistungsfähiges, unternehmensweites Verzeichnis Anwendung, ohne dass jedoch Applikationen und Dienste X.500 als Basisdienst effektiv

214

6 Netzwerkgrundlagen hätten nutzen können. Die geringe Verbreitung, die höheren Kosten und ineffiziente Zugriffsstandards haben dies verhindert. Mit der Verbreitung des Verzeichniskonzeptes und insbesondere mit dem Durchbruch von LDAP als schlankes, offenes Zugriffsprotokoll gewannen offene Verzeichnisdienste wieder an Bedeutung.

Verzeichnisse in Standardprodukten

Die Hersteller von IT-Produkten sind nie in der Lage gewesen, einen gemeinsamen Standard zu etablieren. X.500 als technische Implementierung wird von einigen Herstellern (auch von Microsoft) mit der Begründung abgelehnt, dass die Verwendung des OSI-Stacks nicht gerade im Trend läge und OSI-Protokolle viel Overhead erzeugen. Schlankere LDAP-Verzeichnisse wären zwar besser, doch dann beschränkt man sich wieder auf den kleinsten gemeinsamen Nenner und verschenkt viele proprietäre Funktionalitäten. Die Hersteller gingen nun dazu über, eigene Verzeichnisdienste mit offenem Zugang in ihre Produkte zu integrieren. Dabei orientierten sie sich bei der Gestaltung des Verzeichnisses überwiegend am X.500Standard und unterstützen heute außer ihren proprietären Protokollen und APIs auch offene Ansätze wie beispielsweise LDAP.

Microsofts Weg

Als Hersteller vieler IT-Produkte in verschiedenen Ebenen hat Microsoft mit AD einen Verzeichnisdienst geschaffen, in dem alle Ebenen Informationen ablegen und verwalten können. Dies betrifft neben Windows 2000 auch Microsoft Exchange, Microsoft SQL Server und den Internet Information Server. Es kann über LDAP, HTTP und UNC zugegriffen werden. Als API propagiert Microsoft ADSI, eine abstrakte Schnittstelle, über die auf Verzeichnisse vieler Hersteller zugegriffen werden kann. Daneben werden die LDAP C-API und MAPI unterstützt.

Anwendungsbereiche Wie oben beschrieben, wurde der Grundstein für allgemeine Verzeichnisdienste mit X.500 gelegt. Der Anwendungsbereich bestand in einem Benutzerverzeichnis (organizational DIT) und einem Teilbaum für das Mailrouting (Routing tree). Daneben war es möglich, Organisationsstrukturen (Organigramme) im Verzeichnis abzubilden. Für lange Zeit verband sich mit dem Begriff Verzeichnisdienst die Anwendung des elektronischen Adressbuchs. Erst nach und nach entwickelten sich weitere Anwendungen, die jedoch vorwiegend in der Integration von Datenquellen bestanden, da existierende Applikationen nicht in der Lage waren, mit dem Verzeichnis zu kommunizieren. Single Sign On Konzept

So bestand der Wunsch nach einem Single Sign On Konzept, bei dem sich ein Benutzer nur noch einmal gegenüber dem Verzeichnis authentifiziert und dann Zugriff auf alle ihm zugeordneten Systeme besitzt.

6.6 Einführung in Active Directory

215

Der Verzeichnisdienst ist für diese Aufgabe prädestiniert. Es muss jedoch auch gewährleistet werden, dass alle angeschlossenen Systeme die Information aus dem Verzeichnisdienst beziehen können. Trotz dieser Schwierigkeiten fanden sich viele sinnvolle Einsatzgebiete für einen unternehmensweiten Verzeichnisdienst, etwa als E-Mail Masterdirectory für die mitunter vielen verschiedenen E-Mail Systeme in einem großen, heterogenen Unternehmen oder für die Realisierung eines Call-Centers. Mit der Integration der Verzeichnisdienste in infrastrukturelle Produkte verschiebt sich dieser Anwendungsbereich sehr deutlich. Durch das offene LDAP-Protokoll werden die meisten Applikationen in der Lage sein, auf den Verzeichnisdienst zuzugreifen. Durch directory enabled applications wird der Verzeichnisdienst fester Bestandteil von ITProdukten sein, wobei es unerheblich ist, welches Verzeichnisprodukt zum Einsatz kommt. Nicht nur auf der Applikationsebene, besonders auch auf der Betriebssystem- und Netzwerkebene hält der Verzeichnisdienst Einzug. Das Management von großen Netzwerkstrukturen, Ressourcen und Konfigurationen wird über den Verzeichnisdienst abgewickelt, nicht nur mit Hilfe grafisch orientierter Tools, sondern auch webbasiert über den Internet-Browser. Das Verzeichnis wird auch zur Schaltzentrale für das Sicherheitsmanagement. Einzelne Dienste und Systeme werden nicht mehr isoliert betrachtet, sondern in einen Anwendungszusammenhang gebracht. Sicherheitsdefinitionen werden, auf Richtlinien basierend für alle betroffenen Elemente gesetzt. Der Verzeichnisdienst dringt auch in das IT-Management ein, dient dort als Datengrundlage für das Management des Inventars und führt Benutzer- und Architekturinformationen zusammen.

Der Weg zum Internetverzeichnis: LDAP Version 3 Die gestiegene und weiterhin steigende Komplexität speicherungswürdiger Informationen in Netzwerk- und Anwendungsumgebungen jeglicher Skalierung erfordert einen angemessenen Speicherungs- und Distributionsmechanismus. Dies kann in heterogenen Umgebungen nur mit standardisierten und offengelegten Protokollen und Informationsmodellen erreicht werden. Der Client-Zugriff auf Verzeichnisdienste erfolgte bislang, wenn dies Der ursprüngliche standardisiert geschah, über ein einfaches TCP/IP-basierendes Inter- Ansatz: RFC 1487 netprotokoll. Das Lightweight Directory Access Protocol (LDAP) hatte zu Beginn der 90er Jahre zunächst seine Rechtfertigung aus der Tatsache gewonnen, dass der Zugriff auf den Verzeichnisdienst (damals rein X.500) mit handelsüblichen Clients über das X.500-DAP nicht sinnvoll und zu vertretbaren Kosten zu bewerkstelligen war. Die Abbildung des DAP auf eine einfache, den verwandten Protokollen SMTP oder FTP ähnliche Internet-Kommunikation bildete das Kern-

216

6 Netzwerkgrundlagen stück des Lightweight Directory Access Protocols. Das RFC, das LDAP spezifiziert ist RFC 1487 »X.500 Lightweight Directory Access Protocol«. Für die Implementation von LDAP war insbesondere gewollt, dass die eigentliche Verzeichnisimplementation nicht verändert werden sollte, dass also durch Zufügung einer weiteren Komponente, die über vorhandene Protokolle kommuniziert, neue Funktionalität zugefügt wird. LDAP in dieser Version (LDAPv2) korrespondiert direkt mit dem Entwicklungsstand des OSI-Verzeichnisses X.500 zu diesem Zeitpunkt. Eine Änderung und Erweiterung am Standard X.500 zieht auch die Weiterentwicklung am Lightweight Directory Access Protocol nach sich. Die Änderungen, die das Verzeichnis mit der zweiten Revision 1993 erfuhr, waren jedoch so umfassend, dass auch für LDAP eine Erweiterung notwendig wurde.

Abbildung 6.8: Der Verzeichnisstammbaum von X.500 und LDAP

LDAPv3 Details

Der fortschreitende Siegeszug von LDAP und die Unterstützung durch alle relevanten Softwareanbieter veranlasste die ASIDArbeitsgruppe (Access, Searching and Indexing of Directories) der IETF,

6.6 Einführung in Active Directory den Rahmen für LDAP zu erweitern und eine Emanzipation von der zugrundeliegenden Verzeichnisarchitektur X.500 zu betreiben. Diese Entwicklung war bereits bei der freien Implementation des Lightweight Directory Access Protocols (Version 2) durch die University of Michigan abzusehen. Schon diese wurde, ohne formale Definition durch ein Standarddokument der IETF, mit einem sogenannten SLAPD (Standalone LDAP Server) ausgeliefert. Der Wechsel des maßgeblichen Autoren Tim Howes von der University of Michigan zu Netscape gemeinsam mit der Tatsache, dass eben dieser Tim Howes der Chairman der IETF-ASID-Working Group ist, sind die Grundlage für den Weg, den die Entwicklung des Lightweight Directory Access Protocols genommen hat. Dazu gehört auch die Tatsache, dass der erste Anbieter mit LDAP-Produkten Netscape war, interessanterweise vor Verabschiedung des Standards im Dezember 1997. Hieraus lässt sich direkt eine der Neuerungen ableiten, nämlich die Loslösung von X.500 als Protokollbasis und die Ermöglichung des Einsatzes des LDAP auf Fremdverzeichnissen und dedizierten LDAPVerzeichnisservern. Hand in Hand mit dieser Aussage geht aber auch die Beantwortung der Frage, welches eigenständige Verzeichniskonzept LDAP zugrunde liegt – nämlich keines. Das Lightweight Directory Access Protocol verlässt sich bei der Verwendung auf die Implementation des zugrunde liegenden Dienstes. Diese Dienste umfassen heute natürlich weiterhin X.500, aber auch ursprünglich proprietäre Verzeichnisse, wie etwa das Namens- und Adressbuch von Lotus Notes, das Microsoft Exchange-Verzeichnis, Novell Directory Services oder dedizierte LDAP-Verzeichnisserver, wie etwa der Netscape Directory Server oder der IBM DSSeries LDAP Directory Server. Das bei der ursprünglichen Konzeption als gegeben vorausgesetzte X.500-Informationsmodell ist aber bei der Behandlung von solcherart Fremdverzeichnissen immer gegenwärtig.

Auswirkungen Die Auswirkungen, die sich aus der Metamorphose von LDAP vom reinen Zugriffsprotokoll zum vollständigen Verzeichnisentwurf unter rücksichtsloser »Wiederverwendung« von X.500-Konzepten ergeben, sind auf mehreren Ebenen zu betrachten. Die Unterstützung eines einheitlichen Zugriffsprotokolls als Basis für einheitliche Kommunikation durch alle relevanten Anbieter ist für den Anwender uneingeschränkt positiv zu beurteilen. Auch wenn LDAP ursprünglich für das X.500-Informationsmodell konzipiert wurde, reduziert es für den Nutzer von heterogenen Umgebungen den Implementations- und Ausbildungsaufwand, wenn etwa Informationen aus einem Lotus Notes Namens- und Adressbuch ohne einen dedizierten

217

218

6 Netzwerkgrundlagen Notes Client abfragbar werden. Mit einfachen, für Verzeichnisdienste vorbereiteten Applikationen, lässt sich nun auf Informationen aus vormals abgeschotteten Bereichen einheitlich zugreifen. Dies ist um so mehr der Fall, wenn es sich um Informationsquellen handelt, die so in die Anwendungsumgebungen integriert sind, dass sie sich auch auf längere Sicht nicht durch ein wie auch immer geartetes, offenes Verzeichnis integrieren lassen. Problematischer wird es, wenn man den Protokollkomplex Lightweight Directory Access Protocol als Gegenentwurf zum 1993er X.500 positioniert und betrachtet. Macht dies in einer kleinen Organisation noch Sinn, so ergeben sich durch die Prozesse großer und potentiell stark verteilter und internationaler Unternehmen Anforderungen in Bezug auf Verwaltbarkeit, Lastverteilung und Sicherheit, deren Erfüllung nur mit einem leistungsfähigen Verzeichnis-Backbonesystem gewährleistet werden kann. Der auf den ersten Blick verführerisch wirkende Ansatz, viele LDAPServer zu haben, die bei Nachfrage nach ihnen nicht verfügbaren Informationen auf den korrekten Server per client-side referral verweisen, birgt unabschätzbare Datenmanagement-Probleme. Solange man von disjunkten Datenmengen ausgehen kann, mag das eine angemessene Strategie sein, aber in der Realität sind Informationen etwa zu ein und derselben Person in unterschiedlichen Systemen hinterlegt (Datenbanken, Benutzerverwaltung, Messaging System, Personalwesen). Wie ein Client die jeweils für ihn relevanten Informationen finden soll und wie er bei Inkonsistenzen die korrekte Information identifiziert, ist unklar und ohne zusätzlichen Verwaltungs- und Regelaufwand nicht handhabbar.

6.6.3 Microsoft Active Directory Service Microsofts Implementierung eines Verzeichnisdienstes ist eng an Standards angelehnt, verzichtet aber dennoch nicht auf proprietäre Erweiterungen. Konzepte und Ideen dahinter werden nachfolgend vorgestellt.

Bedeutung und Auswirkungen Auf die gestiegenen Anforderungen und das breitere Anwendungsspektrum von Verzeichnisdiensten reagierte Microsoft mit der Entwicklung des Active Directory Services. Ziel war es, einen integrierten Verzeichnisdienst zur Verfügung zu stellen, mit dessen Hilfe Informationen auf verschiedenen Ebenen (Netzwerk, Betriebssystem, Dienste, Anwendungen) zugänglich werden. Der Verzeichnisdienst ist durch die Ablage und Verknüpfung von Informationen aus den angeschlos-

6.6 Einführung in Active Directory

219

senen Komponenten zum Dreh- und Angelpunkt der Systemadministration, des Netzwerkmanagements und einigen Bereichen des ITManagements (Architektur- und Inventarmanagement, Helpdesk) geworden.

Konzepte Mit ADS sind die folgenden Konzepte möglich:

Die Konzepte

•

Einmalige Netzwerkanmeldung. Der Benutzer meldet sich nur einmal Einmalige im Netzwerk an und hat dann aufgrund der Zugriffsrechte, die im NetzwerkVerzeichnis gespeichert sind, Zugang zu allen für ihn freigegebe- anmeldung nen Netz-Ressourcen, Diensten und Anwendungen. Durch Replikation wird dabei ein Zugriff auch dann möglich, wenn ein Verzeichnisknoten ausfällt.

•

Zentraler Administrationspunkt. Da das Verzeichnis die zentrale Ab- Zentraler lage darstellt, müssen Änderungen nur an einer Stelle vorgenom- Administrationsmen werden. Dies gilt nicht nur für die Administration der Kom- punkt ponenten im Netzwerk, sondern auch für Dateien, Verbindungen, Datenbanken, Web-Access, Benutzer, Netzwerknamen, E-Mail Adressen, Zertifikate und andere Objekte, Dienste oder Ressourcen.

•

Veröffentlichung von Teilbereichen. Einige Informationen können ge- Veröffentlichung zielt freigegeben werden, so dass sie aus anderen Netzen, auch aus von Teilbereichen dem Internet, über ein offenes Zugriffsprotokoll abrufbar sind. Dieses Protokoll ist LDAP.

•

Einheitliches Sicherheitsmodell. Alle Informationen im Verzeichnis Einheitliches werden durch ein unteilbares, konsistentes Sicherheitssystem ge- Sicherheitsmodell schützt.

ADS ist ein sinnvolles Konzept zur Skalierbarkeit von Windows NTNetzarchitekturen. Aufgrund der hohen Marktmacht von Microsoft und der Zusammenarbeit mit bedeutenden Partnern wie beispielsweise Cisco ist eine hohe Verbreitung und Anwendung von ADS abzusehen. Trotz der propagierten Offenheit und der Unterstützung vielfältiger Protokolle und Mechanismen bleiben aber Schwächen. So ist beispielsweise das Replikationssystem von ADS proprietär und nicht mit standardisierten Replikationsverfahren wie X.500 interoperabel.

Das neue Domänenmodell Eine Domäne im Kontext von Windows NT ist ein Windows NTNetzwerk mit gemeinsamen Sicherheitsdefinitionen, das sich unter Umständen auch über mehrere, physikalische Standorte erstrecken kann. Mehrere Domänen mit einem gemeinsamen Schema können in ADS durch Vertrauensbeziehungen (trusts) zu einem Domänenbaum

220

6 Netzwerkgrundlagen verbunden werden. Die Domänen im Domänenbaum bilden eine vollständige Baumstruktur. Mehrere Domänenbäume mit einem gemeinsamen Schema, die aber keine vollständige Baumstruktur bilden, können zu einem Wald (forest) zusammengefasst werden.

Abbildung 6.9: Domäne, Domänenbaum und Wald

Zwischen den Domänenbäumen in einem Wald bestehen, wie innerhalb des Domänenbaumes auch, Vertrauensbeziehungen auf der Basis des Kerberos-Sicherheitsprotokolls. In ADS wird eine Domäne durch eine Partition des Verzeichnisses abgebildet. Eine Domäne kann dabei weiter in einzelne organizational Units (OU) unterteilt werden. Diese entsprechen jedoch nicht der gleichnamigen Objektklasse in X.500. Einfache Migration

Bestehende NT 4-Domänen werden auf Windows 2000 migriert, indem zunächst ein Upgrade des Primary Domain Controllers (PDC) durchgeführt wird. Es existiert nun eine gemischte NT 4/Windows 2000-Domäne, der PDC verhält sich nach außen jedoch wie ein NT 4System. Anschließend werden alle Backup Domain Controller (BDC) nach und nach migriert. Nun liegt eine vollständige Windows 2000Domäne vor. Mehrere migrierte Domänen können dann zu einem Domänenbaum verbunden werden.

6.6.4 Architektur Um ADS besser zu verstehen, sollten Sie sich die Struktur ansehen. Diese wird im folgenden Abschnitt beschrieben.

Logische Struktur Alle Ressourcen, die Active Directory verwaltet, werden in einer logischen Struktur untergebracht. Damit wird der tatsächliche Standort im

6.6 Einführung in Active Directory

221

Netzwerk in seiner Bedeutung zurückgedrängt und die Adressierung erfolgt mit Hilfe des Namens und komfortabler Suchfunktionen. Die bereits angesprochenen Gruppierungen lassen sich bis auf Objektebene auflösen. Eine vollständige Liste finden Sie nachfolgend: •

Wald (forest)

•

Baum (tree)

•

Domäne (domain)

•

Organisatorische Einheit (organizational unit)

•

Objekt (object)

Die englischen Bezeichnungen sind in der Literatur gebräuchlich, so dass Sie mit beiden Begriffswelten umgehen können sollten. Der Wald ist die Gesamtstruktur eines Active Directory. Er enthält Wald (forest) mehrere Domänenbäume. Durch die Integration mehrerer Domänen wird zwar kein einheitlicher Namensraum erreicht, dies ist aber auch nicht immer sinnvoll. Gerade in größeren Unternehmen sind oft verschiedene Einheiten zu finden, die sich auch namentlich unterscheiden und trotzdem einheitlich organisiert werden können. Die Einheit wird durch bestimmte Merkmale erreicht, die für Wälder gelten: •

Die Bäume haben eine einheitliche Struktur

•

Alle Domänen greifen auf einen globalen Katalog zu

So sind die Domänen einerseits unabhängig voneinander, können aber miteinander kommunizieren. Ein Baum ist eine hierarchische Anordnung einer Domänenstruktur. Baum (tree) Er besitzt also – wie in der Natur auch – einen Stamm, Äste und Blätter. Die Blätter bilden die Domänen. Alle Domänen eines Baumes haben ein identisches Schema und einen gemeinsamen globalen Katalog. Die Domäne bildet den eigentlichen Grundbereich innerhalb des Acti- Domäne (domain) ve Directory. Innerhalb einer Domäne werden Objekte definiert und nur in dieser Domäne werden sie gespeichert. Domänengrenzen sind nur schwer zu überwinden: sie gelten auch als Sicherheitsgrenze. Innerhalb der Domäne werden die Zugriffsrechte gesteuert. Jede Domäne kann einen eigenen Domänenadministrator haben, der in anderen Domänen keine Rechte besitzt. Eine organisatorische Einheit ist eine willkürlich festgelegte Gruppe von Objekten. Dabei müssen die Objekte nicht miteinander in irgendeiner Beziehung stehen. Es ist sinnvoll, hier logische Zusammenhänge zu bilden. So gehören die Computer, Benutzer, Drucker und Scanner einer Abteilung zusammen. Sie bilden eine organisatorische Einheit. Solche Einheiten können in beliebiger Zahl gebildet werden. Die

Organisatorische Einheit OU (organizational unit)

222

6 Netzwerkgrundlagen Struktur ist frei wählbar, sowohl innerhalb einer Domäne als auch im gesamten Kontext. Jede Einheit kann weitere enthalten und diese können beliebig tief geschachtelte Hierarchien bilden. Allerdings gibt es Probleme mit der Performance, wenn die Verschachtelung sehr weit geht. Idealerweise ist die Struktur flach. In mittleren Netzwerken wird die Objektzahl ohnehin keinen Anlass zu einer tiefen Struktur geben.

Objekt (object)

Jede organisatorische Einheit besteht aus Objekten oder weiteren organisatorischen Einheiten. Objekte repräsentieren Ressourcen, beispielsweise Computer oder Benutzer. Objekte bestehen dabei nicht nur aus einem Namen, sondern auch aus Attributen, die das Objekt näher beschreiben. Deshalb kann man auch nach Objekten suchen, deren Namen man nicht kennt – die Auswahl erfolgt durch Angabe bestimmter Eigenschaften. Für Benutzer kann es beispielsweise ein Attribut »E-Mail-Adresse« geben, für einen Drucker dagegen wird das Attribut »Color« von Interesse sein.

Objektklassen (classes)

Da sich bestimmte Arten von Objekten immer wieder finden, wäre es mühevoll, immer dieselben Attribute zu definieren. Um eine hohe Fehlerquote zu vermeiden, werden Objektklassen definiert. Die Klasse »Printer« enthält dann das Attribut »Color«, das mit 1 (Farbdrucker) oder 0 (S/W-Drucker) belegt werden kann. Ohne Klassen würde der Administrator vielleicht einmal das Attribut »Color« und ein andermal »No-Color« mit gegensätzlicher Bedeutung nennen – was ein Auffinden fast unmöglich macht. Typische Objektklassen sind beispielsweise Benutzer oder Gruppen. So lassen sich die bereits ohne Active Directory im Netzwerk existierenden Objekte leicht abbilden. Wenn man über Gruppen und Benutzer nachdenkt, fällt auch dort eine Abhängigkeit auf – Gruppen können Benutzer enthalten. Um solche Abhängigkeiten mit Active Directory-Objekten einfacher zu definieren, werden weitere Strukturelemente benötigt, sogenannte Behälter (container).

Behälter (container)

Ein Behälter entspricht einer Gruppe – er kann weitere Objekte, beispielsweise Benutzer enthalten. Die Einführung ist zur logischen Strukturierung notwendig. Denn organisatorische Einheiten können ohnehin weitere Elemente enthalten. Um dies nun gezielt erlauben oder verbieten zu können, werden die Behälter eingeführt. Nur Objekte, die Behälter sind, dürfen andere Objekte enthalten. Ein Druckerobjekt dürfte beispielsweise kein Behälter sein, ein Druckerpool dagegen ist nur als Behälter sinnvoll.

Namen (names)

Jedes Objekt im AD besitzt einen eindeutigen Namen. Dieser Name qualifiziert es im gesamten Verzeichnis – gegebenenfalls weltweit. Der Name entspricht den LDAP-Spezifikationen. Er ist naturgemäß relativ lang. Dies gilt für andere Verzeichnisdienste auch. Im Active Directory hat jedes Objekt außerdem eine GUID (global unique identifier), die es eindeutig repräsentiert. Programme, die damit umgehen können, er-

6.6 Einführung in Active Directory

223

reichen Objekte so auch ohne Kenntnis des Namens. Die GUID ist eine 128-Bit-Zahl.

6.6.5 Die physikalische Abbildung Das Active Directory wird zwar anhand der logischen Struktur des Unternehmens aufgebaut, die eigentliche Speicherung der Kataloge erfolgt jedoch zwangsläufig in einer physikalischen Form. Denn wenn ein AD ein weltweites Unternehmen verwaltet, kann nicht jeder Computer auf einen zentralen Katalog zugreifen. Der Administrator muss sich deshalb auch über die physikalische Struktur im Klaren sein. Eine Einheit der physikalischen Struktur sind Standorte. Diese Namen Standorte (sites) werden nicht im Namensraum des AD abgebildet, ein Zugriff auf Ressourcen über den Standort widerspräche dem Konzept. Wenn Sie den Namen dennoch verwalten möchten, fügen Sie ihn als Attribut den Objekten hinzu. Ein Standort wird als ein oder mehrere zusammenhängende Subnetze definiert, wobei die Ressourcen des Netzwerks mit einer Hochgeschwindigkeitsverbindung zusammengeschlossen sind. Es gibt zwar keine allgemeingültige Definition, was dies in der Praxis bedeutet, aber vereinfachend gesprochen bildet ein lokales Netzwerk (LAN) normalerweise einen Standort. Domänen können durchaus mehrere Standorte umfassen, beispielsweise die Filialen eines Unternehmens. Zu jedem Standort werden zusätzlich Computer- und Kommunikati- Replikation onsobjekte gespeichert. Mit Hilfe dieser Objekte wird die Replikation gesteuert – die Synchronisation der Kataloge. Das Active Directory wird auf einem Domänencontroller gespeichert. Da sich jeder Computer schnell orientieren soll, wird der Anmelde- und Auswahlprozess kaum über WAN-Verbindungen geführt. Jedes lokale Netz erhält deshalb einen eigenen Domänencontroller. Diese verteilten Datenbanken müssen permanent synchronisiert werden – der dazu notwendige Vorgang wird Replikation genannt. AD enthält dazu entsprechende Mechanismen. Jeder Domänencontroller enthält eine Kopie des AD. Diese Kopie wird Domänencontroller Replik genannt. Es gibt in AD kein zentrales Verzeichnis, von dem alle Domänencontroller ihre Kopie beziehen. Alle Kopien sind administrierbar und Änderungen werden sofort in alle anderen Controller repliziert. Es ist auch leicht möglich, an einem Standort mehrere Domänencontroller parallel zu betreiben und damit die Ausfallsicherheit zu erhöhen. Immerhin kann ein Ausfall des AD ein Unternehmen zum Erliegen bringen. Die Domänencontroller übernehmen auch die Authentifizierungsaufgaben, prüfen also beispielsweise Benutzernamen und Kennwörter.

224

6 Netzwerkgrundlagen Um die Replikation koordiniert ablaufen lassen zu können, errichtet AD einen Ring aus Domänencontrollern. Dieser Ring legt fest, in welcher Richtung repliziert wird. Der Ring ist aber so konstruiert, dass ein Ausfall eines Domänencontrollers nicht zur Unterbrechung führt. Beim Hinzufügen oder Entfernen von Domänencontrollern wird der Ring automatisch rekonfiguriert.

6.6.6 Konzeptionelle Aspekte Bei der Installation und Konfiguration des AD sind einige Begriffe von Bedeutung. Sie werden nachfolgend kurz aufgezeigt. Im Detail werden diese Konzepte im Band II der Reihe zu Windows 2000 behandelt.

Schema des Active Directory Das Schema (schema)

Die grundlegende Definition des AD erfolgt über ein sogenanntes Schema. Dort werden folgenden Einheiten beschrieben: •

Klassen

•

Attribute

•

Attribute der Klassen

Alle Objekte werden normalerweise aus Klassen abgeleitet. Damit es nicht zu kompliziert wird, erzeugt Windows 2000 Server bei der Installation des Active Directory ein Beispiel-Schema. Einmal definierte Klassen und Attribute eines Schemas können nicht wieder gelöscht werden. Statt dessen besteht die Möglichkeit, die betroffenen Schemen zu deaktivieren.

Der globale Katalog Der globale Katalog (global catalog)

Der globale Katalog ist ein spezieller Dienst des ADS, der alle Einträge verwaltet. Über den globalen Katalog werden die Suchfunktionen ausgeführt. Dies ist notwendig, um auch Objekte in anderen Domänen finden zu können, die normalerweise nicht sichtbar sind. Ob der Zugriff anschließend überhaupt möglich ist, ist dabei nicht interessant – die Sicherheitsgrenzen können mit dem globalen Katalog nicht übergangen werden. Globale Kataloge werden auf speziellen Katalogservern ausgeführt – diese können mit den Domänencontrollern übereinstimmen – müssen aber nicht.

6.6 Einführung in Active Directory Namensräume Als Namensraum wird eine Definition für die Bildung von Namen Namensraum bezeichnet, die so ausgeführt wird, dass anhand eines Namens er- (namespace) kannt werden kann, zu welcher Domäne der Name gehört. Dies gilt in ganz besonderem Maß auch für ADS. ADS-Namen basieren auf DNSNamen, wie Sie sie aus dem Internet kennen. Zwei Arten von Namensräumen kann man unterscheiden: •

Benachbarte Namensräume

•

Getrennte Namensräume

Getrennte Namensräume bilden einen Wald, benachbarte dagegen distinguished einen Baum. Die Identifizierung von Objekten innerhalb des Namens- name (DN) raumes erfolgt durch sogenannte vollständig qualifizierte Namen (distinguished name), die mit DN abgekürzt werden. Der DN wird durch eine Liste von Bezeichnungen dargestellt, die dem Pfad in der Hierarchie des Verzeichnisses entsprechen: /DC=net/DC=icon/OU=private/CN=users/CN=Joerg Krause Diese Adressen mögen gegenüber einer E-Mail-Adresse unhandlich erscheinen, für die Adressierung einer großen Anzahl von Objekten ist es jedoch von Vorteil. Wichtig ist zu wissen, dass AD keine doppelten Namen erlaubt, der DN muss eindeutig sein. Neben den DN gibt es noch eine Variante, die relative distinguished na- relative me (RDN). Damit können Namen auch dann adressiert werden, wenn distinguished nur ein Teil bekannt ist. Als RDN wird immer ein Teil des DN ver- name (RDN) wendet, meist der Name (CN). Die dritte Variante ist der user principal name (UPN). Darunter wird user principal eine Kombination aus Nutzernamen und Domäne verstanden. name (UPN) Normalerweise entstehen daraus Gebilde, die E-Mail-Adressen sehr ähnlich sehen und oft auch dafür verwendet werden. Dies ist von Vorteil, wenn administrative Prozesse automatisiert werden. Der UPN wird dann anhand der Stammdaten des Nutzers erstellt und als EMail-Adresse verwendet. Da die DN eindeutig sind, gilt dies implizit auch für die daraus abgeleiteten UPN.

6.6.7 Vergleich mit anderen Verzeichnisdiensten Microsofts AD wurde von Anfang an als großer Fortschritt gegenüber dem alten Domänenmodell gefeiert – meist nicht ohne den Hinweis, dass Novells NDS fortschrittlicher und effizienter sei. Falls die Frage des Einsatzes des einen oder anderen Systems steht, sollten Sie sich die Vor- und Nachteile genau anschauen. Völlig unkritisch kann man nämlich auch die Kritik nicht stehen lassen.

225

226

6 Netzwerkgrundlagen Arbeitsweise der Replikation Durch die Replikation kann ein AD sehr ineffizient erscheinen, da die Datenbanken relativ groß werden. Das zu übertragende Datenvolumen ist auch für schnelle Netzwerke erheblich. In der Praxis ist das Verhältnis zwischen Anfragen an das AD – die von der Verteilung profitieren – und Replikationen etwa 100:1. In Novells NDS kann man sich damit behelfen, Standorte in Partitionen zu unterteilen. Ändert sich ein Objekt, wird nur die Partition repliziert. Das vermindert das Datenvolumen signifikant. Allerdings bietet AD die Möglichkeit, mehrere Domänen zu verwalten und diesen jeweils einen Teil der Struktur zuzuordnen. Bei der Replikation wird dann nur eine Domäne repliziert. Der Nachteil ist die Notwendigkeit zusätzlicher Domänencontroller. Die Vorteile überwiegen jedoch in der Praxis. Die Domänenbäume können verschieden strukturiert sein – Partitionen können es nicht. Mehr Server bedeutet auch mehr Fehlertoleranz. Will man dies mit NDS erreichen, muss man auch mehr Server einsetzen, eine echte Einsparung an Hardware ist also nicht gegeben. Übrigens verwendet die Replikation ein proprietäres Protokoll. Damit ist die Zusammenarbeit mit anderen Verzeichnisdiensten nicht gegeben. Die Migrationswerkzeuge sind »One-Way«, es gibt also keinen Weg zurück. In Anbetracht der Komplexität einer solchen theoretisch denkbaren heterogenen Umgebung ist dies aber kaum von Bedeutung.

Funktionsweise der Update-Steuerung Ein anderer Kritikpunkt ist der Verzicht auf Zeitstempel für die Synchronisation. Wenn die Domänencontroller nicht exakt die gleiche Zeit haben, kommt es zu schweren Defekten in einem Verzeichnis bei der Replikation. Unter Unix ist das nicht unbedingt ein Problem, da durch Atomuhren gesteuerte Zeitsender oft standardmäßig im Netzwerk verfügbar sind. Zeitserver sind unter Windows aber wenig verbreitet und auf PC-Hardware nicht so bekannt. Microsoft verwendet deshalb Update-Sequence-Numbers (USN) zur Kontrolle. Dies funktioniert ähnlich den Seriennummern im DNS (domain name system). Jedes Objekt bekommt eine Nummer und bei jedem Update wird diese erhöht. Jeder Domänencontroller speichert die USN und kann später feststellen, ob ein Objekt neuer oder älter ist – je nach dem, ob die USN sich erhöht hat oder nicht. Die Zeit spielt dabei keine Rolle. Die USN wird übrigens auch für jedes Attribut gespeichert, sodass auch Änderungen an den kleinsten Einheiten des AD nicht verloren gehen. Dies führt – um auch die Nachteile zu erwähnen – zu einem größeren Overhead und ist damit möglicherweise langsamer als die Replikationssteuerung über Zeitstempel.

6.6 Einführung in Active Directory Definitionen der Schemas Kritisiert wird an AD auch die Tatsache, dass sich die Definitionen eines Schemas nicht wieder löschen lassen. Was nicht benötigt wird, stört aber auch wenig und kann auch jederzeit deaktiviert werden. Darüber hinaus wird die Bedeutung eines »perfekten« Schemas oft überschätzt. Eine Klasse mehr oder weniger spielt nicht wirklich eine Rolle – Schemata definieren eher eine Obermenge von Möglichkeiten.

Zusammenfassung Insgesamt bestehen nur wenige Bedenken gegen den Einsatz eines AD im Unternehmen. Die Integration in die Microsoft-Welt ist eng und gelungen. So lassen sich beispielsweise Exchange-Verzeichnisse dort abbilden. Wird ein neuer Benutzer angelegt, erhält er implizit eine Mailbox – eine drastische Einsparung an Administrationsaufwand. Wird der Benutzer gelöscht, verschwindet auch sein Postfach. Dies lohnt sich unter Umständen sogar bei kleineren Unternehmen, die nur wenige Dutzend Arbeitsplätze haben. Üppig ausgestattete Server und schnelle Netzwerke sind dabei immer noch die geringste Investition.

227

6.6 Einführung in Active Directory

Kapitel 7 Drucken

7.1

Überblick.................................................................231

7.2

Der Druckvorgang .................................................232

7.3

Logische und physische Drucker .......................239

7.4

Lokale Anschlussmöglichkeiten.........................242

7.5

Drucken im Netzwerk ..........................................245

7.6

Farbmanagement....................................................251

229

7.1 Überblick

231

7 Drucken Drucken ist eine der wichtigsten Aufgaben bei der täglichen Arbeit mit Windows 2000. Die Möglichkeiten des Druckens wurden gegenüber dem Vorgänger NT deutlich erweitert. Der Umgang mit Druckern ist sowohl für den Benutzer als auch für den Administrator einfacher geworden. In diesem Kapitel werden die Grundlagen der Druckunterstützung von Windows 2000 Professional behandelt. Im Kapitel 13 Drucker einrichten und verwalten ab Seite 556 finden Sie alles, was Sie zum Einrichten und Administrieren von Druckern lokal und im Netzwerk benötigen.

7.1 Überblick Das Drucken unter Windows 2000 wurde um einige neue Funktionen erweitert. Einige sind den Serverversionen vorbehalten und werden hier nur vorgestellt. Eine ausführliche Darstellung finden Sie in Band II. Die folgende Tabelle zeigt die wichtigsten neuen Druckfunktionen im Überblick:

Funktion Plug&Play

Tabelle 7.1: Neue Druckfunktionen in Drucker werden nun wie unter Win- Professional Windows 2000

Beschreibung

Version

dows 9x beim Start beziehungsweise Server durch den Hardwareassistenten erkannt und bei Verfügbarkeit eines Treibers automatisch eingebunden. Internet Printing Protocol (IPP)

Via IPP bereitgestellte Drucker können Professional direkt über eine URL angesteuert wer- Server den.

Unidriver 5

Der universelle Druckertreiber (Unidri- Professional ver) liegt nun in der Version 5 vor und Server bietet unter anderem erweiterte Möglichkeiten für den Farbdruck.

Postscript-Treiber

Der neue Postscript-Treiber bietet jetzt Professional Postscript 3-Unterstützung sowie Kom- Server patibilität zu Adobes PPDs (Version 4.3).

232

7 Drucken

Funktion

Beschreibung

Version

Farbmanagement ICM 2.0

Das in Windows 2000 ICC-konforme Professional integrierte Farbmanagement ICM Server (Image Color Management) bietet in der Version 2.0 verbesserte Leistungsmerkmale für qualitativ hochwertige Farbdrucke.

DruckserverClustering

Im Rahmen der Clustering- Server Möglichkeiten für Server können auch Druckserver zusammengefasst werden, um bei einem Ausfall eines Systems die Druckfunktionalität im Netzwerk aufrechtzuerhalten.

Integration in Active Directory

Drucker können direkt als Objekte ins Server Active Directory integriert werden.

Neben den neuen Funktionen, die Windows 2000 gegenüber dem Vorgänger NT auszeichnet, sind in der folgenden Tabelle weitere wichtige Merkmale aufgeführt: Tabelle 7.2: Weitere Druckfunktionen

Funktion

Beschreibung

Version

DruckerserverFunktionen

Einfache Druckserverfunktionen bietet Professional bereits Windows 2000 Professional. Bis Server zu 10 Netzwerkbenutzer können gleichzeitig bereitgestellte Druckdienste nutzen.

Logische Drucker Mehrere logische Drucker können einen Server und Druckerpools physischen ansteuern sowie mehrere (gleichartige) Drucker können zu einem Pool zusammengefasst werden.

7.2 Der Druckvorgang Die Druckdienste sind in Windows 2000, wie viele andere Systembestandteile, modular aufgebaut. Jeder Teil übernimmt eine spezifische Funktion bei der Abwicklung des Druckauftrages.

7.2.1 Ablaufschema des lokalen Druckens Das Zusammenspiel der einzelnen Komponenten soll die folgende Abbildung verdeutlichen.

7.2 Der Druckvorgang

233 Abbildung 7.1: Ablauf beim lokalen Drucken

Das Graphical Device Interface (GDI) ist die zentrale universelle Schnitt- GDI stelle für die Aufbereitung der Daten der Anwendung für die Ausgabe auf dem Bildschirm oder einem Drucksystem. Für die Druckaufbereitung kommuniziert die Graphics Engine über das GDI mit dem Druckertreiber. Diese enge Verbindung zwischen den technischen Merkmalen des Druckertreibers und der Bildschirmdarstellung können Sie immer dann registrieren, wenn nach dem Wechsel des aktuellen Dru-

234

7 Drucken ckertreibers beispielsweise eine Anwendung wie Microsoft Word beginnt, das Dokument neu umzubrechen1. Andere Anwendungen, etwa professionelle Satzprogramme wie Quark XPress oder Adobe Pagemaker, kennen diese Probleme nicht, indem sie für die Aufbereitung der Daten für die Bildschirmanzeige eigene Routinen zwischenschalten.

Verbesserte Grafik- In Windows 2000 ist ein gegenüber NT weiterentwickeltes GDI impausgabe auch auf lementiert worden. Verbesserungen betreffen beispielsweise die Perdem Bildschirm formance und Funktionalität, auch für die Grafikausgabe auf dem

Bildschirm. So können unter anderem Cursor in Echtfarben oder TextAntialising hardwareunterstützt programmiert werden. Ein deutliches Erkennungszeichen des neuen GDI ist übrigens der schattiert dargestellte Cursor. Hier wird eine Alpha-Blending-Technologie des neuen GDI genutzt. Installieren Sie Grafiktreiber von Drittherstellern, die noch nicht diese Funktion des GDI nutzen, erscheint der WindowsCursor wie gewohnt ohne Schatten. GDI+

Für die nächste Generation von Betriebssystemen nach Windows 2000 ist von Microsoft eine GDI+ genannte Weiterentwicklung des GDI geplant. Ziel soll eine deutliche Verbesserung beim Zusammenspiel von 2D- und 3D-Grafik mit einer Erhöhung der Performance sein. So sollen sowohl aufwändige Multimediaanwendungen als auch neue Benutzeroberflächen möglich werden, die weit über das heute gewohnte Look and Feel von grafisch orientierten Betriebssystemen hinausgehen.

DDI

Zurück zum Drucken: Die Anwendung übergibt die zu druckenden Daten über GDI-Aufrufe an das Device Driver Interface (DDI), welches für den Druckprozess natürlich mit dem Druckertreiber (siehe auch Abschnitt 7.2.3 Druckertreiber ab Seite 236) verbunden ist. Über den Druckertreiber erfolgt dann die Umsetzung der anwendungsspezifischen Daten in die geräteabhängigen Daten, die das jeweilige Drucksystem versteht. So werden beispielsweise die GDI-Aufrufe in Postscript-Code für Belichter oder PCL-Code für Bürolaserdrucker umgesetzt.

Der Druckspooler

Die nächste Stufe ist die Übergabe der über das DDI generierten Druckdaten an den Spooler. Dieser ist als typische Client-ServerAnwendung implementiert und besteht aus zwei Teilen. Clientseitig arbeitet Winspool.drv, der die fertigen Druckdaten entgegennimmt. Serverseitig wird Spoolsv.exe eingesetzt, um die gespoolten Daten zu

1

Es gibt eine Funktion in MS Word 2000, die dieses Problem ein wenig minimiert, aber nicht vollständig beseitigt: Über EXTRAS | OPTIONEN KOMPATIBILITÄT deaktivieren Sie in den Optionen den Eintrag Druckermaße für Dokumentlayout verwenden.

7.2 Der Druckvorgang

235

übernehmen. Wird lokal gearbeitet, laufen beide Programme auf dem gleichen Windows 2000-System. Wenn der Spooler auf dem Server die Daten übernommen hat, sorgt der Druckrouter für die Weiterleitung an die Schnittstellen. Die Schnittstellen werden aber auch hier noch nicht direkt angesprochen, sondern von einer logischen Schicht verwaltet – dem Local Print Provider (LPP). Falls sich der Drucker im Netzwerk befindet, stellt der Netzwerkserver den LPP bereit. Der LPP verwaltet die Druckprozessoren, dass sind niedere Treiber für spezielle Druckformate. Der Druckprozessor sorgt auch für den Einbau von Trennseiten oder das Hinzufügen der abschließenden Seitenumbrüche beim Datentyp RAW [FF APPENDED]. Ist der Druckauftrag vom Druckprozessor fertiggestellt, wird er an die Portmonitore weitergeleitet. Diese Komponenten überwachen die physikalische Schnittstelle zum Drucker. Falls es sich um eine bidirektionale Schnittstelle handelt, wird der Druckauftrag mit dem Sprachmonitor (Print Job Language Monitor) bedient. So kann er mit dem Drucker kommunizieren und dessen Status abfragen. Fallen Daten an, werden diese bis zum Druckerdialog weitergereicht und stehen dort zur Verfügung oder werden als Popup-Dialog angezeigt. Wird eine unidirektionale Schnittstelle verwendet, werden die Daten einfach zum Port gesendet, auch das übernimmt der Portmonitor.

7.2.2 Die Spool-Datenformate Für die Übergabe der Druckaufträge an den Spooler stehen die folgenden Formate unter Windows 2000 zur Verfügung:

EMF EMF (Enhanced Metafile) ist das Standardformat. Hierbei wird der Enhanced Metafile Druckauftrag beim Client zusammengestellt. Die eigentliche Verarbeitung, beispielsweise das Erzeugen von Kopien oder die Umdrehung der Druckreihenfolge, erfolgt im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet. Wenn Sie nur unter Windows 2000 arbeiten, sollten Sie die Grundeinstellung (EMF) nicht ändern. Die Steuerung erfolgt dann vom Druckertreiber und ist normalerweise ideal.

Raw-Druckformat Raw ist das Standardformat für alle Clients, die nicht unter Windows Raw 2000 laufen. Die Daten werden im Spooler nicht verändert und direkt

236

7 Drucken an den Drucker weitergeleitet. Es gibt zwei Modifikationen des Datentyps:

Raw [FF appended]

•

Raw [FF appended]. Hierbei wird bei jedem Druckauftrag ein Seitenvorschub angehängt. Laserdrucker und andere Seitendrucker geben die letzte Seite nicht aus, wenn sie nicht vollständig ist. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch.

Raw [FF auto]

•

Raw [FF auto]. Mit dieser Option prüft der Spooler, ob die letzte Seite bereits mit einem Seitenumbruch abgeschlossen wird. Ist das der Fall, unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehängt.

PSCRIPT1 Apple Macintosh

Hinter diesem Datentyp verbirgt sich ein einfacher PostscriptInterpreter, der in Windows 2000 vor allem für die Verarbeitung von Druckaufträgen von Apple Macintosh-Clients vorgesehen ist. Es wird nur einfarbiges Postscript Level I unterstützt. Seitens des Apple Clients können Sie einen standardmäßigen Laserwriter-Postscripttreiber mit der entsprechenden PPD verwenden. Damit wird die Ausgabe von Postscript-Code auch auf Nicht-Postscriptdruckern ermöglicht. Die Qualität des Interpreters beschränkt die Möglichkeiten auf Text und einfache Strichgrafiken, Halbtonbilder werden nur sehr grob umgesetzt.

Windows 2000 Server

Die Druckserver-Funktionen von Windows 2000 Professional lassen allerdings keine direkte Freigabe von Druckern für Apple-Clients zu. Es wird zwar das AppleTalk-Protokoll selbst unterstützt, dieses kann aber nur für die Anbindung externer AppleTalk-Netzwerkdrucker an einen Windows 2000 Client verwendet werden.

Text Text

Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die nicht vom Spooler modifiziert werden. Der Drucker druckt in seiner Standardschriftart.

7.2.3 Druckertreiber Die Funktion von Druckertreibern wurden schon im vorhergehenden Abschnitt kurz beschrieben: Die Umwandlung der geräteunabhängigen GDI-Aufrufe in die Befehle oder Codes, die das jeweilige Drucksystem versteht. Dabei werden mehrere Grundtypen von Druckertrei-

7.2 Der Druckvorgang

237

bern unterschieden, deren drei wichtigste in den folgenden Abschnitten beschrieben sind.

Universeller Druckertreiber Der Universelle Druckertreiber wird für die meisten Druckertypen Unidriver eingesetzt, die sich im typischen Geschäfts- oder Heimumfeld befinden. Dieser Treibertyp wird auch als Rastertreiber bezeichnet, da er das Drucken von Rastergrafiken direkt übernehmen kann. Für den Farbdruck werden verschiedene Farbtiefen und eine Reihe von Rasterverfahren unterstützt. Für den Druck von reinem Text sind druckerspezifische Schriftarten einsetzbar. Diese haben aber heute mit Truetype und Opentype nahezu an Bedeutung verloren, garantieren doch diese unabhängigen Formate erst einen gleichartigen Ausdruck auf den verschiedensten Druckern mit einer weitgehenden Übereinstimmung zum Bildschirm (What you see is what you get – WYSIWYG). Der Unidriver unterstützt diese drei Arten von Schriften. Als eine Untermenge der durch den Unidriver unterstützten Drucker- PCL sprachen findet sich auch die von Hewlett Packard entwickelte Printer Control Language (PCL) wieder, heute neben Postscript ein Standard für viele Drucksysteme im geschäftlichen Umfeld. Der Unidriver wird mit einer Beschreibungsdatei für das jeweilige BeschreibungsDruckmodell vom Druckerhersteller versorgt, in der die druckerspezi- datei *.gpd fischen Merkmale wie beispielsweise Papierformate, Farbfähigkeit oder Auflösung vermerkt sind. Daneben wird es sicher nach wie vor auch komplexe Druckertreiber Treiber mit Signavon Herstellern geben, die über die standardmäßig gebotenen Fea- tur verwenden! tures des Unidriver hinausgehen wollen und eigene weitergehende Komponenten mitliefern. Dabei sollten Sie auch hier das oberste Gebot für Treiber in Windows 2000 durchaus ernst nehmen: Niemals ohne Signatur! Sonst kann es durchaus passieren, dass eine Reihe der neuen Eigenschaften wie beispielsweise das Internet-Drucken auf einmal nicht mehr nutzbar sind. Haben Sie keinen entsprechenden Druckertreiber für Ihr konkretes Drucksystem, ist es für die Sicherstellung eines reibungslosen Betriebes besser, einen in Windows 2000 enthaltenen, kompatiblen Treiber zu wählen als auf einen älteren Treiber des Herstellers zurückzugreifen.

Postscript-Druckertreiber Der Standard in der grafischen Industrie schlechthin ist heute Post- Postscript script. Die bislang eher mäßige Unterstützung dieser Seitenbeschreibungssprache in Windows NT wurde jetzt deutlich verbessert. So ist ein in Zusammenarbeit mit Adobe entwickelter moderner Postscript-

238

7 Drucken Treiber in Windows 2000 enthalten, der unter anderem auch Postscript 31 unterstützt. Der Postscript-Treiber bildet das universelle Grundsystem für die Generierung der Befehle dieser Seitenbeschreibungssprache.

Applikationsabhängig

Die Qualität des Postscriptcodes wird aber keineswegs allein durch den Postscript-Treiber bestimmt. Vielmehr muss die Anwendung entsprechend die Ausgabe der Daten für Postscript optimiert steuern können. Moderne Grafik- oder Satzprogramme bieten deshalb für die Ausgabe auf einem Postscript-Drucksystem erweiterte Einstellmöglichkeiten an und greifen ihrerseits auch direkt auf die PPD-Dateien zurück.

PPD-Dateien

Diese PPD-Dateien (Postscript Printer Description) enthalten die druckerspezifischen Merkmale wie Auflösung, Farbfähigkeit oder Papierformate. In diesen Textdateien sind die entsprechenden DruckerParameter in spezieller Postscript-Syntax eingebettet.

PostscriptSchriften

Wollen Sie neben den standardmäßig in Windows 2000 unterstützten Truetype und Opentype-Schriftarten auf die heute erhältliche breite Palette von Postscript-Schriften zurückgreifen, müssen Sie diese mit Hilfe erhältlicher spezieller Schriftartenverwaltungsprogramme wie beispielsweise Adobe TypeManager einbinden.

HPGL/2-Druckertreiber HPGL/2

Der Ausgabe auf Plottern mit der Beschreibungssprache HPGL (Hewlett Packard Graphics Language) dient dieser Druckertreibertyp. Dabei wird nur noch die Version HPGL/2 unterstützt.

Druckertreibertypen und ihre Systemdateien In der folgenden Tabelle finden Sie die drei Grundtypen in einer Übersicht mit ihren wesentlichen Windows-Systemdateien.

1

Im Gegensatz zu Postscript Level I und II spricht man bei der neuen Version 3 nicht mehr von einem Level. Diese Postscript 3 genannte und geschützte Terminologie hat Adobe eingeführt, damit Postscript-CloneHersteller bei der Bezeichnung ihrer Produkte nicht mehr mit einer Level-Kompatibilität werben können. Sei´s drum – jeder weiß trotzdem, was mit PS Level 3 gemeint ist.

7.3 Logische und physische Drucker

Treibertyp Systemdatei

Funktion

Unidriver

UNIDRV.DLL

Druckertreiber

UNIDRV.HELP

Hilfedatei

UNIDRVUI.DLL

Benutzeroberfläche (User Interface)

< DRUCKER>.GPD

Drucker-Beschreibungsdatei

PSCRIPT5.DLL

Druckertreiber

PSCRIPT.HLP

Hilfedatei

PS5UI.DLL

Benutzeroberfläche (User Interface)

.PPD

Postscript Printer Description

.BPD

enthält die benutzerspezifischen Einstellungen wie ausgewähltes Papierformat etc.

PLOTTER.DLL

Druckertreiber

PLOTTER.HLP

Hilfedatei

PLOTUI.DLL

Benutzeroberfläche (User Interface)

.PCD

Plotter-Beschreibungsdatei

Postscript

HPGL/2

Je nach Druckermodell können hier noch weitere Dateien benötigt werden.

7.3 Logische und physische Drucker Windows 2000 kennt die Unterscheidung in logische und physische Drucker.

Logischer Drucker Den Drucker, den der Benutzer in seinem Anwendungsprogramm auswählt und an den er letztlich den Druckauftrag sendet, bezeichnet man als logischen Drucker. Die Einstellmöglichkeiten für den Benutzer wie Papierformat, Auflösung etc. werden dabei durch den dem logischen Drucker zugeordneten Druckertreiber bereitgestellt.

Physischer Drucker Den logischen Drucker, den Sie mit Hilfe der Druckerverwaltung von Windows 2000 einrichten und administrieren, können Sie wiederum einen oder mehreren physischen Druckern oder auch einem virtuellen Port, beispielsweise für die Ausgabe in eine Datei oder die Übergabe

239 Tabelle 7.3: Systemdateien der Treibertypen

240

7 Drucken an eine Faxsoftware, zuordnen. Als physischer Drucker wird das konkrete technische Gerät bezeichnet, auf dem der Druck hergestellt wird.

Hohe Flexibilität

Diese konsequente Trennung von physischen Geräten und der Benutzerschnittstelle, dem logischen Drucker, verhilft zu einer hohen Flexibilität bei der Einbindung und Organisation von Druckressourcen. Bei einem Computersystem mit einem lokal angeschlossenen Arbeitsplatzdrucker ist meist ein logischer Drucker mit dem lokalen Anschlussport LPT1 verbunden, über den der physische Drucker mit Daten versorgt wird.

Abbildung 7.2: Logischer und physischer Drucker

Offline drucken

Einen logischen Drucker können Sie auch dann für die Druckausgabe benutzen, wenn der physische Drucker nicht vorhanden ist. So haben Sie die Möglichkeit, den Anschlussport des logischen Druckers auf FILE umzustellen und den Druckdatenstrom in eine Datei umzuleiten und dann bei einem anderen, kompatiblen Drucksystem zu laden. Oder Sie stellen den logischen Drucker auf Offline verwenden. Im zugeordneten Spooler werden die Druckdaten dann solange aufbewahrt, bis Sie den logischen Drucker wieder Online schalten. So können Sie beispielsweise mit einem Notebook unterwegs Unterlagen aufbereiten und auch schon fertig an den Drucker senden, um sie dann bei Verfügbarkeit des physischen Druckers auszugeben.

Mehrere logische Drucker verwenden Für bestimmte Anwendungsfälle kann es auch sinnvoll sein, für einen physischen Drucker mehrere logische Drucker einzurichten. Sie sind da in der Entscheidung völlig frei. Unter Windows 2000 können Sie beliebig viele logische Drucker einrichten, die einzige Bedingung ist die eindeutige Unterscheidbarkeit durch den gewählten Namen.

7.3 Logische und physische Drucker

241 Abbildung 7.3: Zwei logische Drucker für ein physisches Gerät

In Abbildung 7.3 sehen Sie einen möglichen Anwendungsfall für die Verwendung mehrerer logischer Drucker für den Betrieb eines physischen Gerätes. Das angenommene Drucksystem versteht zwei Druckersprachen: PCL und Postscript. Der PCL-Druckertreiber verfügt gegenüber dem Postscript-Treiber über mehr Funktionen, beispielsweise um aus einem mehrseitigen Dokument elektronisch eine fertige Broschüre zu erstellen und auszugeben. Mit dem Postscript-Treiber können Sie wiederum aus Layout-Programmen wie PageMaker oder Quark XPress zum Offsetdruck standverbindliche Probedrucke herstellen. Um die Vorteile beider Druckertreiber jeweils nutzen zu können, installieren Sie diese und erhalten im Ergebnis zwei logische Drucker, die mit einem physischen Gerät verbunden sind.

Druckerpools Eine weitere Anwendungsmöglichkeit dieses flexiblen Konzepts der Druckerpools Druckereinbindung ist die Bildung sogenannter Druckerpools. Darun- fassen mehrere ter versteht man die Zusammenfassung mehrerer physischer Geräte Geräte zusammen für die Ansteuerung über einen logischen Drucker. Das kann beispielsweise dann sinnvoll sein, wenn ein hohes Druckvolumen abgedeckt werden soll, mit dem ein Drucker überfordert wäre.

242

7 Drucken

Abbildung 7.4: Druckerpool

In einem kleineren Netzwerk können Sie so eine Windows Professional-Arbeitsstation als Druckserver einrichten, die einen freigegebenen logischen Drucker den anderen Netzwerkarbeitsplätzen zur Verfügung stellt. Anfangs kann hier beispielsweise ein physischer Drucker dahinter stehen. Steigt das zu bewältigende Druckvolumen, ist es ein einfaches, einen weiteren physischen Drucker, der allerdings mit dem ersten Modell kompatibel sein muss, hinzuzunehmen und nun die Ausgabe des logischen Druckers auf dem Druckerpool vornehmen zu lassen. Der Windows Druckmanager steuert dabei automatisch die Verteilung der Druckaufträge auf das jeweils freie Gerät. Für den Client ändert sich nichts, er sieht nach wie vor einen einzigen (logischen) Drucker.

7.4 Lokale Anschlussmöglichkeiten Für den physischen Anschluss eines normalen lokalen Arbeitsplatzdruckers gibt es heute praktisch drei Möglichkeiten: Parallelport, USB oder die Infrarot-Schnittstelle (IrDA), wie sie viele moderne Notebooks mitbringen.

7.4.1 Parallele Schnittstelle Parallelport

Der klassische Parallelport erlebte in den letzten Jahren mit EPP/ECP und DMA-Datentransfer noch einmal eine Renaissance. Neben einer verbesserten Datentransferrate ist nun auch eine einfache bidirektionale Kommunikation mit dem Drucker möglich. Entsprechende Drucksysteme können sich bei der Abfrage durch das Betriebssystem identifizieren und damit die Treibereinbindung vereinfachen. Zudem über den Abarbeitungsstand des Druckauftrages gegeben werden.

7.4 Lokale Anschlussmöglichkeiten

243

Die wichtigsten Standards, die heute den Parallelport kennzeichnen, werden in den folgenden Abschnitten vorgestellt.

Standard Parallel Port Der Standard Parallel Port (SPP) wurde in den ersten XT-Computern SPP eingeführt und bringt es auf eine vergleichsweise bescheidene Datentransferrate von 50 bis 150 KB pro Sekunde.

Enhanced Parallel Port Der Enhanced Parallel Port (EPP) ist gekennzeichnet durch eine gestei- EPP gerte Performance bei der Datenübertragung gegenüber SPP. Aktuelle Implementierungen erreichen durch bidirektionalen BlockmodusDatentransfer 2 MB pro Sekunde, was in der Praxis etwa mit einer Geschwindigkeit in einem 10 MBit Netzwerk vergleichbar ist. Zu älteren, nicht EPP-fähigen Drucksystemen wird Kompatibilität sichergestellt, sodass diese problemlos an diesem Port funktionieren sollten.

Extended Parallel Port Gegenüber EPP verfügt der Extended Capabilities Port (ECP), wie der ECP Name schon verspricht, über erweiterte Funktionen. Um eine höhere Bandbreite für anspruchsvolle Endgeräte zu erreichen, wurden gemäß den Konventionen des Standards IEEE P1284 die folgenden Erweiterungen implementiert: •

Hochgeschwindigkeitskanäle in beiden Richtungen (jeweils halbduplex)

•

Protokolldefinitionen für höchstmöglichen Datentransfer, unter anderem für Datenkompression (Single Bit RLE-Kompression)

•

Eingebaute Peer-to-Peer Netzwerkfähigkeiten

Wichtig ist, dass die angeschlossenen Drucker ebenfalls diese erwei- Möglichkeiten der terten EPP- beziehungsweise ECP-Funktionen beherrschen, um von Drucker den Fortschritten zu profitieren. Die meisten Geräte sind derzeit nicht in der Lage, die Druckdaten in der maximal möglichen Transferrate von 1 bis 2 MB pro Sekunde abzunehmen. In der Praxis sind aber Beschleunigungen gegenüber dem Standard-Parallelport um den Faktor 2 bis 15 realisierbar. Eine Weiterentwicklung wird es in diesem Bereich angesichts der überlegenen Möglichkeiten des Universal Serial Bus’ (USB) aber nicht mehr geben (siehe weiter unten in diesem Abschnitt).

244 Erkennung durch Windows 2000

7 Drucken Windows 2000 erkennt und konfiguriert EPP/ECP-Parallelports weitgehend automatisch. Für die Erkennung und Einbindung eines Druckers, der ebenfalls Plug&Play-Fähigkeiten mitbringt, muss allerdings entweder Windows 2000 neu oder die Hardwareerkennung manuell gestartet werden. Allein durch einen physischen Anschluss an den Port des laufenden Computers, anders als bei USB, passiert noch nichts.

7.4.2 Universal Serial Bus USB

Der eigentliche Fortschritt beim Anschluss eines Arbeitsplatzdrucker zeigt sich, wenn Sie ein modernes Gerät an einen USB-Port anschließen. Das Peripheriegerät wird sofort erkannt und kann auch bei laufendem Betrieb wieder problemlos entfernt werden. Neben dieser auch Hot Plug bezeichneten Fähigkeit des USB ist für das Drucken vor allem interessant, dass Sie ohne weiteres mehrere Geräte gleichzeitig anschließen können. Moderne PC verfügen von Hause aus meist über zwei Schnittstellen, über einfache USB-Hubs können leicht 4 oder mehr (theoretisch bis zu 127) gemeinsam betrieben werden. Die auf dem USB erreichbare Transferrate von ca. 1,2 MB pro Sekunde wird dann aber unter den Systemen aufgeteilt, wenn sie gleichzeitig Daten übertragen wollen. Trotzdem ist das ganze so flexibel ausgelegt, dass Peripherie mit verschiedenen Transferraten und sowohl asynchroner aus auch synchroner Übertragungsart koexistieren können.

7.4.3 IrDA Infrarot

Die Infrarot-Schnittstelle eignet sich für die schnurlose Anbindung von Druckern, vor allem im Hinblick auf das Drucken aus Notebooks heraus. IrDA steht für Infrared Data Association, einer internationalen Organisation mit Sitz in Walnut Creek, Kalifornien (USA). Sie wurde 1993 zur Entwicklung von Standards für die InfrarotDatenübertragung gegründet (Siehe auch www.irda.org). Das sind die wesentlichen Merkmale der IrDA-Schnittstelle: •

Abdeckung eines Bereichs von ca. 1 m (2 m in der Praxis erreichbar); Voraussetzung ist natürlich, dass sich Sender und Empfänger direkt gegenüber befinden (sehen können).

•

Eine Variante, die besonders sparsam mit Energie umgeht (verbraucht etwa 10 mal weniger Strom), erreicht laut Spezifikation eine Entfernung von ca. 20 cm zwischen zwei gleichartigen LowPower-Geräten.

7.5 Drucken im Netzwerk •

Die erreichbare Datentransferrate beträgt momentan maximal 4 MegaBit pro Sekunde; in der Praxis sind damit Werte zu erzielen, die einer EPP/ECP-Parallelschnittstelle kaum nachstehen.

Die IrDA-Schnittstelle ist wie auch USB voll Plug&Play-tauglich. Ein Drucker, der durch das Betriebssystem am aktiven IrDA-Port erkannt wird, kann damit automatisch eingebunden werden (passende Druckertreiber vorausgesetzt).

7.4.4 IEEE 1394 Der Vollständigkeit halber sei hier noch der auch FireWire genannte FireWire Anschlussport genannt. Diese Hochgeschwindigkeitsschnittstelle ist momentan auf Standard-PCs noch selten anzutreffen. Allerdings wird sie zunehmend in Geräte implementiert, wo sie durch ihre geringe Baugröße der Anschlüsse und die trotzdem gegebene hohe Transferrate von bis zu 50 MB/s punkten kann: In Notebooks und digitale Camcorder. Bei Druckern hingegen ist sie noch kaum vertreten. Trotzdem würde sie, insbesondere bei Farbdruckern, wo es beim Ausdruck von Bitmaps eine hohe Menge an Daten zu verarbeiten gibt, einen enormen Geschwindigkeitsvorteil gegenüber anderen lokalen Schnittstellen bringen. Bei Anschluss eines Gerätes an den FireWire-Port wird dieses, wie auch bei USB, sofort erkannt und bei Vorhandensein von Treibern auch automatisch installiert.

7.4.5 Seriell Als weiterer möglicher Anschluss für einen Drucker kann theoretisch Seriell der serielle Port eines PC genutzt werden. Dieser hat jedoch heute aufgrund seiner geringen möglichen Datentransferrate für die Druckausgabe keine Bedeutung mehr. Das praktische Einrichten lokaler Arbeitsplatzdrucker ist Inhalt des Abschnittes 13.1 Installation lokaler Drucker ab Seite 559.

7.5 Drucken im Netzwerk Bereits Windows 2000 Professional bringt eine umfassende Unterstüt- Clientseite im zung für die Ansteuerung von Netzwerkdruckern mit. Die clientseiti- Vordergrund ge Einbindung dieser Netzwerkressourcen steht in diesem Abschnitt dabei im Vordergrund. Daneben wird auf die Druckserverfunktionen der Professional-Version eingegangen.

245

246

7 Drucken

7.5.1 Freigabe und Nutzung im Windows-Netzwerk Die gemeinsame Nutzung von einem oder mehreren Druckern ist die am weitesten verbreitete Ressourcenteilung im Netzwerk. Für die einfache Vernetzung weniger Computer, beispielsweise in einem kleineren Büro, wird dazu noch nicht einmal ein dedizierter Server benötigt. Mit einem Windows 2000 Professional-System haben Sie die Möglichkeit, einen leistungsfähigen Druckserver für ein kleineres Netzwerk zu implementieren. Windows 2000 Professional als Druckserver

Dabei wird, wie auch schon seit den Zeiten von Windows for Workgroups oder Windows 9x, ein Drucker auf dem System freigegeben und so den anderen Nutzern im Netzwerk sichtbar gemacht. Für die Verwendung von Windows 2000 Professional als Druckserver gilt es allerdings zu beachten, dass der Zugriff auf den freigegeben Drucker auf gleichzeitig 10 Clients beschränkt ist. Haben Sie ein höheres Netzwerkdruckaufkommen zu bewältigen, sollten Sie auf eine der Windows 2000 Servervarianten umsteigen. Bei der Nutzung eines Windows 2000 Systems als Druckserver können Sie bei der Verwendung von Windows 9x, NT oder 2000 Clients von den folgenden technischen Merkmalen profitieren:

Installation per Mausklick Wie bereits beim Vorgänger NT können Sie bei einem freigegebenen Drucker alle notwendigen Windows-Clienttreiber mit installieren. Möchten Sie einen neuen Netzwerkdrucker auf einem WindowsClient zur Nutzung einrichten, reicht es, diesen über NETZWERKUMGEBUNG zu finden und per Doppelklick die Installation zu starten. Alle notwendigen Treiberdateien werden dann vom Druckserver übertragen und auf den Client kopiert.

Suchen nach Druckern im Netzwerk Die Suche im Windows-Netzwerk kann auch nach Druckern erfolgen. Haben Sie Active Directory (AD) im Einsatz, können Sie, einen ADClient vorausgesetzt, auch nach ganz speziellen Merkmalen von Drucksystemen suchen. So ist es beispielsweise möglich, auch in einem großen Unternehmensnetz einen Farbdrucker zu finden oder ein Drucksystem, welches eine ausreichend hohe Geschwindigkeit für einen umfangreichen Druckjob aufweist.

7.5 Drucken im Netzwerk Einsicht in die Druckerwarteschlange Die Liste der Druckjobs, die sich auf einem freigegebenen Netzwerkdrucker befinden, wird den Clients direkt angezeigt. Die entsprechenden Rechte vorausgesetzt, können Benutzer Jobs aus dieser Liste wieder entfernen oder die Druckreihenfolge ändern.

Beschleunigung des Druckvorgangs Bei Verwendung des Druckdatenformats EMF für das Spoolen im Windows-Netzwerk erfolgt eine Entlastung für den Client (siehe auch Seite 235). Die Einrichtung von Windows 2000 Professional als Druckserver ist in Abschnitt 13.2 Windows 2000 als Druckserver ab Seite 570 beschrieben.

7.5.2 Das Internet Printing Protocol Neu in Windows 2000 ist die Implementierung des Internet Printing Protocol (IPP). Damit ergeben sich neue Möglichkeiten, Druckdienste über Betriebssystemgrenzen, und über das Internet als Übertragungsmedium auch über Ländergrenzen hinweg einsetzen zu können.

Historisches Das Internet Printing Protocol (IPP) wurde von der Internet Engineering Task Force (IETF) entwickelt, um auch Druckvorgänge über das Internet ausführen zu können. Vor allem Dienstleister des Druckgewerbes könnten davon profitieren. Die Initiative zu IPP stammt schon aus dem Jahre 1996, in dem die Printer Working Group (PWG) erste Vorschläge dazu machte. An der PWG waren alle großen Hersteller beteiligt. Zu den Gründern gehörten IBM, Novell und Xerox. Mehr Informationen sind unter folgenden Links zu finden: •

Zu IPP: www.pwg.org/ipp

•

Zur PWG: www.pwg.org

•

Zur IETF: www.ietf.org

Grundsätzlich erlaubt IPP das Drucken über eine Webverbindung, also über HTTP. Bestimmte Funktionen werden durch das darauf aufsetzendes IPP realisiert: •

Erlaubt Nutzern herauszufinden, welche Druckparameter der Drucker hat

•

Erlaubt Nutzern, Druckaufträge an den Drucker zu senden

247

248

7 Drucken •

Ermittelt den Status des Druckers

•

Nutzer können gesendete aber noch nicht gedruckte Aufträge stornieren

Die praktische Umsetzung wurde vor allem von Microsoft und Hewlett Packard vorangetrieben, die diese Arbeiten im Simple Web Printing-Papier (SWP) veröffentlichten. Die Erfüllung dieses Papiers liegt nun mit den Internetdruckdiensten in Windows 2000 vor.

Aktueller Status RFC zu IPP

IPP/1.1

IPP liegt derzeit in der offiziellen Version 1.0 vor. Die Version 1.1 ist als Draft veröffentlicht. IPP/1.0 ist bereits im Status der RFCs. Folgende RFCs geben detaillierte Auskunft: •

RFC 2568: Rationale for the Structure of the Model and Protocol for the Internet Printing Protocol

•

RFC 2567: Design Goals for an Internet Printing Protocol

•

RFC 2566: Internet Printing Protocol/1.0: Model and Semantics

•

RFC 2565: Internet Printing Protocol/1.0: Encoding and Transport

•

RFC 2569: Mapping between LPD and IPP Protocols

•

RFC 2639: Internet Printing Protocol/1.0: Implementers Guide

IPP/1.1 ist in Windows 2000 noch nicht implementiert. Erwartet werden folgende Erweiterungen: •

Spezielle Funktionen für die Administration

•

Nachrichtenübertragung vom Server zum Client

•

Abrechnungsfunktionen, beispielsweise Feststellung von Druckvolumen

•

Kopplung mit kommerziellen Transaktionen, beispielsweise Bezahlvorgängen

Anwendungen Benutzer aus dem Internet können per Browser direkt auf Drucker zugreifen. Hotels könnten ihren Gästen Drucker zur Verfügung stellen, die diese Dokumente empfangen. Copyshops können ihre Kapazitäten im Internet anbieten und Druckaufträge nach Bezahlung direkt vom Kunden ausführen lassen. Im Intranet können auch Benutzer exotischer Betriebssysteme auf Drucker zugreifen, was die Migration erleichtert. Zusammen mit den Sicherheitsfunktionen unter Windows

7.5 Drucken im Netzwerk

249

2000 ist der Druck sehr sicher möglich – jeder Drucker ist so abgesichert wie ein klassisches Windows 2000-System. Umgekehrt ist IPP ein offener Standard, der beispielsweise auch in Linux implementiert werden kann. So können auch Drucker an anderen Systemen angesprochen werden, ohne die üblichen Probleme beim Umgang mit heterogenen Systemen in Kauf nehmen zu müssen. Gerade Unix, bei dem die Druckerunterstützung eher unterentwickelt ist, dürfte am stärksten von IPP profitieren.

Verfügbare Clients Derzeit ist ein IPP-Client nur für Windows 2000 verfügbar. Weitere Clients Clients für Windows 9x werden in Kürze von Microsoft folgen. Für Linux und Apples MAC OS sind ebenfalls Clients angekündigt beziehungsweise schon im Betateststadium.

Einrichtung eines IPP-Servers Windows 2000 Professional bringt bereits alle notwendigen Tools und Windows 2000 Treiber mit, damit Sie IPP einrichten können. Notwendige Vorausset- Professional IPPServer zungen dazu sind: •

Installation der Internet Information Services

•

TCP/IP als Netzwerkprotokoll

•

Freigabe eines Druckers

Die konkreten Installations- und Administrationsschritte zum Einrichten von IPP unter Windows 2000 Professional können Sie in Abschnitt 13.2.3 Einrichten als IPP-Druckserver ab Seite 578 nachlesen.

7.5.3 TCP/IP-Druckunterstützung Für die Einbindung von Netzwerkdrucksystemen über das TCP/IPProtokoll bietet Windows 2000 zwei grundlegende Möglichkeiten:

Standard TCP/IP Port Monitor Mit Hilfe des Standard TCP/IP Port Monitors (SPM) können Sie Drucker SPM und SNMP einbinden, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und sich dabei an die Standards gemäß RFC 1759 halten. Dieser auch Simple Network Management Protocol (SNMP) genannte Standard definiert, wie entsprechende Drucker im Netzwerk kommunizieren. Ziel ist eine möglichst einfache Einbindung auf Clientseite und eine

250

7 Drucken einfache Administration. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Typische Geräte, die über SMP in Windows 2000 eingebunden werden können, sind moderne Drucksysteme von HP (inklusive der HP JetDirect-Karten) oder auch Netzwerkports von Intel (Intel NetPort). Die Einrichtung von TCP/IP-Druckern finden Sie in Abschnitt 13.3.3 Einbinden von TCP/IP-Druckern ab Seite 584.

LPR-Anschlussmonitor (Line Printer) UNIX-Druckserver

Der LPR-Anschlussmonitor dient in erster Linie zum Einbinden von Druckern, die auf Unix-Druckservern bereitgestellt werden. Gegenüber SMP ist die Einbindung weniger komfortabel und es werden weniger detaillierte Rückmeldungen zum Druckerstatus geliefert. Für die Einrichtung eines über LPR ansprechbaren Druckers muss dessen Hostname oder IP-Adresse sowie der Name des Druckers (standardmäßig meist lp) angegeben werden. Zusätzlich kann es notwendig sein, dass das Zugriffsrecht auf den Drucker am UNIX-System explizit für den Benutzer eingerichtet werden muss.

Windows 2000 als LPR-Druckserver

Mit Installation der UNIX-Druckdienste sind automatisch auch alle freigegebenen Drucker unter Windows 2000 über LPR von anderen Unix-Computern über das Netzwerk erreichbar. Als Druckername dient exakt der Name der entsprechenden Druckfreigabe. Die Einrichtung der UNIX-Druckdienste finden Sie Abschnitt 13.3.4 UNIX-Druckdienste über LPR ab Seite 587.

7.5.4 AppleTalk-Drucker AppleTalk-Drucker

Unter Windows 2000 Professional können Sie als Netzwerkprotokoll AppleTalk installieren. Damit sind alle Drucksysteme einbindbar, die im Netzwerk mit diesem Protokoll kommunizieren. Allerdings ist AppleTalk als Netzwerkprotokoll ziemlich ineffizient und langsam und erreicht aufgrund seines hohen Protokolloverheads nicht einmal die Hälfte der Übertragungsrate von TCP/IP. Es sollte für die Druckereinbindung wirklich nur dann verwendet werden, wenn der Drucker kein anderes Protokoll beherrscht.

AppleTalkDruckserver

Freigegebene Drucker über AppleTalk im Netzwerk bereitstellen können Sie nur mit einer der Windows 2000 Serverversionen. Unter Windows 2000 Professional sind die Macintosh-Druckdienste nicht verfügbar.

7.6 Farbmanagement

251

Die Einbindung von AppleTalk-Druckern ist Inhalt des Abschnitts 13.3.5 AppleTalk-Druckunterstützung ab Seite 590.

7.6 Farbmanagement Mit Windows 2000 sind alle Voraussetzungen gegeben, die Farbausgabe auf den Monitor und auf Drucksysteme optimal steuern zu können. In diesem Abschnitt soll Ihnen ein Überblick über das moderne Farbmanagement an sich sowie über die Technologien und Standards gegeben werden, die dazu in Windows 2000 implementiert worden sind. Eine umfassende Behandlung eines so komplexen Themas wie Farbmanagement würde allerdings den Rahmen dieses Buches sprengen. Deshalb müssen bestimmte Grundlagen wie elementare Kenntnisse in der Farbenlehre vorausgesetzt werden. Trotzdem kann diese Einführung in das Farbmanagement einige Fragen klären helfen, die sich immer wieder im Zusammenhang mit dem Farbdruck allgemein ergeben, wie beispielsweise die, warum Bildschirmfarben oft von den Druckfarben abweichen.

7.6.1 Einführung Die Verarbeitung von Bilddaten, aufwändigen Vektorgrafiken und Traditionell: komplexen Layouts stellt hohe Anforderungen an Hard- und Software Apple Macintosh eines Computersystems. Bis heute sind in diesem Bereich vorrangig Macintosh-Computer der Firma Apple zu finden. Das hat seine Begründung in der traditionellen Verbreitung dieser Rechner bei den kreativen Werbeleuten und in der Verfügbarkeit der professionellen Grafiksoftware, die bis vor wenigen Jahren nur auf dieser Plattform zu finden war. Hinzu kommt, dass bestimmte Systemwerkzeuge für das Farbmanagement zunächst ausschließlich für das MacintoshBetriebssystem MacOS entwickelt worden sind. Diese Gründe bestehen heute nicht mehr. Der Windows-PC unter Heute: WindowsWindows 98 oder 2000 kann heute, eine richtige Systemkonfiguration PCs gleichwertig vorausgesetzt, leistungsmäßig durchaus mit den Apple Macintosh mithalten. Praktisch die gesamte Softwarepalette für Bildbearbeitung, Grafik und Layout ist inzwischen auch für Windows verfügbar. Das betrifft auch die Erweiterung des Betriebssystems für professionelles Farbmanagement, die Microsoft erstmals in Windows 98 vollständig umsetzte. In diesem Abschnitt sollen Macintosh-Computer nicht schlecht gemacht werden, aber es ist Zeit, mit alten Vorurteilen aufzuräumen. Kreativität ist nicht abhängig vom benutzten Werkzeug. Sie sind heute aber in der Auswahl des Werkzeuges freier. So musste es früher oft

252

7 Drucken ein verhältnismäßig teurer Macintosh-Computer sein. Professionelles Farbmanagement können Sie heute auch ohne Abstriche auf einer Windows 2000-Arbeitsstation einsetzen. Die folgenden Abschnitte geben zu den theoretischen Grundlagen des Farbmanagements eine Einführung.

7.6.2 Farbe und Farbdruck Licht und Farbe

Für das Verstehen des Prinzips eines Farbmanagementsystems ist es wichtig, sich über die Entstehung von Farbe Gedanken zu machen. Farbe ist nämlich keine physikalische Eigenschaft eines Gegenstandes, sondern entsteht im Auge des Betrachters. Die wesentliche Rolle dabei spielt das Licht. Licht, das von der Sonne kommend die Erde erreicht, hat eine ganz bestimmte Zusammensetzung. Die Licht-Wellenlängen werden in Nanometer (nm) angegeben und reichen von 400 nm (Violett) bis zu 700 nm (Rot). Man nennt das auch den sichtbaren Teil des elektromagnetischen Spektrums. Sichtbar bezieht sich hierbei auf uns, den Durchschnittsmenschen. Es gibt bekanntlich Tiere, die einen ganz anderen sichtbaren Bereich haben, wie beispielsweise viele Nachttiere, die im Dunkeln deutlich besser sehen als wir.

Weißes Licht

Sonnenlicht oder das Licht einer Lampe wird meist auch als Weißes Licht bezeichnet. Weiß ist es deshalb, weil alle Bestandteile des sichtbaren Spektrums zusammengefasst unserem Auge weiß beziehungsweise sehr hell erscheinen. Dass es dabei meist Unterschiede zwischen unserer Bürobeleuchtung, die manchmal eher kalt wirkt, und dem Sonnenlicht gibt, ist der abweichenden Zusammensetzung des Lichtes künstlicher Quellen zum Sonnenlicht geschuldet.

Farbe entsteht aktiv...

Farbe wird an einem Monitor aktiv erzeugt. Dabei regt beispielsweise ein Kathodenstrahl drei nebeneinander liegende Farbpigmente Rot, Grün und Blau zum Leuchten an. Werden alle drei Punkte gleich stark angesteuert, entsteht im Ergebnis ein weißer Punkt. Bei keiner Ansteuerung der Punkte bleibt der Ort auf dem Bildschirm schwarz. Die Färbung der Bildröhrenoberfläche bestimmt dabei allein die Tiefe dieser Schwärzung. Rot und Grün zusammen angesteuert ergibt dann Gelb, Blau und Rot den Farbton Magenta usw. Je nach Verhältnis der Grundfarben zueinander entstehen dabei die Mischfarben. Dieses Prinzip wirkt übrigens genauso auch bei Flachdisplays, nur dass hier kein Kathodenstrahl mehr notwendig ist, sondern, wie beim TFTDisplay, die Farbpunkte wie eigenständige Transistoren selbst geschaltet werden können. Diese aktive Farberzeugung wird auch additive Farbmischung genannt, da durch Addition der Grundfarben Rot, Grün und Blau die Mischfarben erzeugt werden.

7.6 Farbmanagement

253

Papier hat leider keine selbstleuchtenden Eigenschaften, die uns die ...oder passiv Farben als Lichtstrahlen erzeugen könnten. Deshalb muss die Farbinformation hier anders entstehen. Das zugrundliegende Prinzip funktioniert genau entgegengesetzt zur aktiven Farberzeugung auf dem Monitor. Während am Monitor Farbe als Ergebnis der Ansteuerung aktiv entsteht, müssen dem auf das Papier auftreffenden (weißen) Licht Bestandteile entzogen werden, bevor sie unser Auge wieder erreichen. Das erreicht man, indem als Grundfarben die Komplementärfarben von Rot, Grün und Blau eingesetzt werden: Cyan, Magenta und Gelb. Schwarz wird deshalb noch als separate Farbe für den Druck hinzugenommen, weil Cyan, Magenta und Gelb auf einem Punkt zusammen kein reines Schwarz ergeben würden. Der Grund dafür ist, dass die Druckfarben nicht 100% chemisch rein herstellbar sind und somit keine vollständige Absorbtion der gewünschten Lichtbestandteile erreicht werden kann. Schwarz wird auch als Key (K) bezeichnet, womit sich die Abkürzung CMYK für das Farbmodell ergibt. Die Umwandlung von RGB nach CMYK erfolgt auf Basis mathemati- Transformation scher Berechnungen. Allerdings ist der darstellbare Farbumfang mit RGB CMYK CMYK stark abhängig vom verwendeten Druckverfahren und dem Bedruckstoff (Papier). Mit den vier Standarddruckfarben Cyan, Magenta, Gelb und Schwarz, die auch in der Druckindustrie1 und vielen Bürofarblaserdruckern verwendet werden, kann nur ein Teil des Monitorfarbraumes RGB abgebildet werden. Das bedeutet, dass Sie grundsätzlich auf dem Monitor mehr Farben in einer höheren Leuchtkraft darstellen können, als der Drucker aufs Papier bringen kann. Damit sind eine Reihe von Problemen vorprogrammiert. Die am Mo- CMYK-Farbraum nitor entworfene farbenfrohe und leuchtende Präsentation verliert im kleiner als RGB Ausdruck deutlich an Brillanz, oft werden sogar die Farbtöne verfälscht. Geben Sie die Daten auf zwei verschiedenen Farbdruckern aus, werden Sie feststellen, dass Sie dann auch noch zwei verschiedene Druckergebnisse in der Hand halten. Haben Sie keine anderen Technologien zur Verfügung, bleibt dann nur der Weg über manuelles Feintuning an Einstellungen am Drucker, an den Bilddaten oder am Druckertreiber. Bis zur Schaffung eines einheitlichen Standards wurde auch in der Farbmanagement professionellen Druckindustrie viel mit »Trial and Error« gearbeitet als Ausweg ? und Werkzeuge verwendet, die speziell bestimmte Probleme lösen halfen. Um einen einheitlichen Lösungsansatz zu finden, wurde unter

1

Für die Druckindustrie in Europa sind die Grundfarben Cyan, Magenta und Gelb nach der sogenannten Euroskala standardisiert. Ein anderer Standard sind beispielsweise die amerikanischen Specifications for Web Offset Publications (SWOP), die im Vergleich zur Euroskala leuchtendere Farben definieren.

254

7 Drucken Mitwirkung namhafter Firmen das International Color Consortium (ICC) gegründet (siehe nächster Abschnitt). Das Prinzip, was dem ICC-konformem Farbmanagementansatz zugrunde liegt, wird in seinen Grundzügen in Abschnitt 7.6.4 Prinzip des ICC-Farbmanagements ab Seite 256 vorgestellt.

7.6.3 Historische Entwicklung 1193: Gründung des ICC

Im Jahre 1993 wurde auf Initiative der Münchner Forschungsgesellschaft Druck e.V. (FOGRA) und unter Beteiligung der folgenden Firmen das International Color Consortium (ICC) gegründet: •

Adobe Systems Incorporated

•

Agfa-Gevaert N.V.

•

Apple Computer, Inc.

•

Eastman Kodak Company

•

Microsoft Corporation

•

Silicon Graphics Inc.

•

Sun Microsystems, Inc.

•

Taligent, Inc.

Link: www.color.org

Mittlerweile umfasst das ICC 77 Mitglieder, Firmen und Organisationen auf der ganzen Welt. Aufgabe des Gremiums ist die Schaffung allgemeingültiger technischer Standards und Richtlinien für die Farbreproduktion. In der Spec ICC.1:1998-09 finden Sie die ICCSpezifikation für die Farbreproduktion mittels sogenannter Farbprofile. Der Aufbau dieser Profile ist ein offener Standard und kann von allen Firmen dazu benutzt werden, darauf aufbauend Farbmanagementlösungen zu entwickeln.

Colorsync

Eine ICC-konforme Farbmanagementlösung sieht die Implementierung der wesentlichen Transformationsfunktionen in das Betriebssystem vor. Erstmals wurde das auf dem Apple-Betriebssystem MacOS mit dem Einzug von Colorsync umgesetzt.

ICM

Microsoft implementierte Farbmanagement als sogenanntes Image Color Management (ICM) das erste Mal unter Windows 98. Die Profile sind dabei mit den unter Colorsync verwendeten voll kompatibel. Das bedeutet, dass Sie Profile, die beispielsweise mit einer Profilierungssoftware auf dem MAC erstellt worden sind, auch unter Windows 2000 einbinden können.

1996: Gründung der ECI

1996 wurde die European Color Initiative (ECI) ins Leben gerufen, auf Initiative dieser vier bedeutenden deutschen Verlagshäuser:

7.6 Farbmanagement •

Heinrich Bauer Verlag

•

Hubert Burda Media Gruppe

•

Gruner+Jahr

•

Axel Springer Verlag

255

Die Expertengruppe unter Vorsitz von Prof. Dr. Stefan Brües befasst Link: www.eci.org sich mit der medienneutralen Verarbeitung von Farbdaten in digitalen Publikationssystemen unter Beachtung der ICC-Spezifikationen. Die ECI-Richtlinien liegen als sogenanntes ECI White Paper allgemein zugänglich zum Download bereit. Die wichtigsten Ziele der ECI1 sind: 1. Medienneutrale Aufbereitung, Verarbeitung und Austausch von Farbdaten auf der Basis der Color-Management-Standards des International Color Consortiums (ICC). 2. Harmonisierung von Datenaustauschformaten zwischen Kunden und Dienstleistern im Publikationsprozess. 3. Festlegung von Richtlinien (beispielsweise Farbraum, Datenformat) zum Austausch von Farbdaten für Printmedien. 4. Kooperation mit nationalen und internationalen Organisationen und Standardisierungsgruppen; das beinhaltet beispielsweise Formulierungen von Praxisanforderungen für das ICC oder die International Standardization Organisation (ISO). 5. Verpflichtung aller Mitglieder zur Veröffentlichung für sie gültiger Farbprofile, Unterstützung des ICC-Standards und der ECIEmpfehlungen. 6. Veröffentlichung der ICC-Farbprofile von ECI-Mitgliedern und interessierter Unternehmen sowie von Tools und zielkonformen Informationen. 7. Etablierung von ICC-basierten Proofprozessen. 8. Erfahrungsaustausch, Schulungsmaßnahmen, Unterstützung und Verbreitung von ICC-basierten Color-Management-Prozessen. 9. Zusammenarbeit mit relevanten Hard- und Softwareherstellern, insbesondere Herstellern von Standard-Applikationen (beispielsweise Adobe, Quark, Macromedia, Anbieter von ColorManagement-Tools).

1

Quelle: ECI

256

7 Drucken Die Bestrebungen der ECI als auch des ICC sind darauf gerichtet, die Standards für das professionelle Farbmanagement weiter zu verbreiten und in die Werkzeuge und Verfahrensweisen in der Praxis zu verankern.

7.6.4 Prinzip des ICC-Farbmanagements In diesem Abschnitt sollen die Grundprinzipien des ICCFarbmanagements übersichtsweise vorgestellt werden. Es wird dabei versucht, diese Prozesse auch dem Nicht-Reprofachmann näher zu bringen. Für weitergehende Informationen muss auf spezielle Fachliteratur beziehungsweise auf die entsprechenden Quellen im Internet hingewiesen werden: •

www.fogra.org

•

www.color.org

•

www.eci.org

Anforderungen an den Farbreproduktionsprozess Die Anforderungen, die an einen Farbreproduktionsprozess gestellt werden, können in den folgenden Punkten zusammengefasst werden: •

Beim Digitalisieren eines Bildes (Scanner, Digitalkamera) sollen die Farbinformationen nicht verfälscht werden.

•

Die Anzeige der Bildinformationen soll auf allen Monitoren gleich erscheinen. Das betrifft auch am Computer erzeugte Farbinformationen, beispielsweise mit Vektor- oder Präsentationsgrafikprogrammen.

•

Der Ausdruck von Bild- und anderen Farbinformationen soll auf allen Drucksystemen gleich sein.

Probleme bei der Farbreproduktion Leider sind aber nicht alle Geräte in ihren technischen Merkmalen hinsichtlich der Erfassung von Farbe oder bei der Farbwiedergabe gleich. Selbst zwischen zwei baugleichen Monitoren oder Scannern kann es Abweichungen geben, die zu unterschiedlichen Ergebnissen führen. Hinzu kommen die Probleme bei der Umrechnung der RGBFarben in die Druckfarben CMYK (siehe Abschnitt 7.6.2 Farbe und Farbdruck ab Seite 252). Aber nicht nur die Geräte zur Farberfassung und –ausgabe sind Ursachen für Farbverfälschungen. Auch die Anwendungsprogramme, wenn sie ohne Farbmanagementunterstützung

7.6 Farbmanagement

257

arbeiten, benutzen für die Anzeige und Ausgabe ihre eigenen Routinen. So kann es passieren, dass ein und dasselbe Bild, geladen in zwei verschiedene Anwendungsprogramme, unterschiedlich angezeigt und ausgedruckt wird. Abweichungen zur Originalfarbe der gescannten Bildvorlage und zu Abweichungen: den in der Software erzeugten entstehen an den folgenden Stellen: •

Im Scanner bei der Bilddigitalisierung aufgrund technischer Ab- Scannen weichungen und Alterung der CCD-Elemente und der Lampe, welche die Vorlagen beleuchtet;

•

Bei der Anzeige am Monitor durch technische Abweichungen von Anzeige am der eigentlich zugrunde liegenden Norm und unterschiedlichen Monitor Einstellungen am Monitor für Farbtemperatur, Helligkeit und Kontrast etc. sowie durch unterschiedliche Darstellungsweisen der Anwendungsprogramme bei Verwendung eigener Anzeigeroutinen;

•

Beim Ausdruck auf einem Farbdrucksystem bei nicht genormter Ausdruck Umrechnung der RGB-Farbinformationen in die Druckfarben CMYK. Das betrifft auch Unterschiede zwischen zwei verschiedenen Farbdrucksystemen.

ICC-Profile Abhilfe schafft hier nur ein Farbmanagementsystem, in das alle Kom- Geräteabhängig: ponenten, Hardware und Software, integriert sind. Grundlage dabei RGB und CMYK ist ein allgemein gültiger Bezugspunkt für die Definition der Farbdarstellung. RGB und CMYK sind zunächst geräteabhängige Farbbeschreibungsmodelle. Der RGB-Farbraum eines Monitors kann beispielsweise zu einem anderen Monitor abweichend sein. Das trifft natürlich auch auf die Farbräume von Druckern zu. Als geräteunabhängige Instanz wird beim Farbmanagement auf den Geräteunabhängig: in seinen Grundzügen bereits 1931 definierten CIE-Farbraum zurück- CIE-Farbraum gegriffen. Die Variante CIELAB ist heute die Grundlage für die Bestimmung und Umrechnung der Farbräume im ICCFarbmanagement. Das Farbverhalten jedes Ein- und Ausgabegerätes wird in einem so- ICC-Profile genannten ICC-Profil erfasst. Dieses Profil beschreibt genau, wie sich das System im CIE-Farbraum verhält. Die Definition des Profilformats ist offengelegt und kann beim ICC (www.color.org) abgerufen werden. Ein Profil kann mit einer speziellen Profilierungssoftware, beispielsweise ProfileMaker von Gretag Macbeth, erstellt werden. Dabei werden Messwerte mit den tatsächlichen Sollwerten verglichen. So werden für die einzelnen Geräteklassen ICC-Profile erzeugt:

258 ICC-Profile erzeugen

7 Drucken •

Scanner Ein Scanner wird profiliert, indem unter Standardbedingungen ein exakt vermessenes Referenz-Testchart eingelesen wird und die ermittelten Farbwerte mit den gemessenen Originalwerten verglichen werden.

•

Drucker Für die Profilierung eines Drucksystems erfolgt die Ausgabe eines Referenzdruckes. Dieser wird dann mit Hilfe eines Spektralphotometers vermessen.

•

Monitore Monitore kann man mit einem speziellen Messgerät vermessen. Eine Software erzeugt dabei Referenzfarbfelder, die durch das Messgerät, welches auf der Monitoroberfläche angebracht wird, erfasst werden.

Aus der Differenz zwischen Soll und Ist errechnet die Software dann das jeweilige Profil. Mitgelieferte Profile Die Erzeugung von Profilen setzt Messtechnik und spezielle Software

voraus. Diese individuell erzeugten Profile haben natürlich die höchste Genauigkeit für die Farbwiedergabe. Für die meisten Benutzer, die im Büro- oder Heimumfeld mit Farbe arbeiten wollen, ist die Erstellung von ICC-Profilen allerdings derzeit nicht praktikabel. Deshalb liefern viele Hersteller Profile für ihre Systeme mit oder stellen diese im Internet zum Download bereit. Sie sollten bei Verwendung dieser Profile allerdings bedenken, dass diese nur eine Annäherung an Ihre konkreten Bedingungen darstellen. Für die Farbwiedergabe müssen Sie dabei mit Kompromissen leben.

Interne Arbeitsweise Die entscheidenden Funktionen beim ICC-konformen Farbmanagement spielen sich im Betriebssystem ab. Die folgende Abbildung soll dies verdeutlichen:

7.6 Farbmanagement

259 Abbildung 7.5: Farbmanagement intern

Zentrale Schaltstelle ist das Color Matching Module (CMM), welches CMM die Umrechnung der Eingangsfarbdaten in die Ausgangsdaten über die zugrunde liegenden ICC-Profile vornimmt. Das CMM ist als Bestandteil des Betriebssystems für alle Anwendungen erreichbar. Eine Anwendung ruft das CMM auf, um die Farben auf dem Bildschirm über das richtige Monitorprofil optimal darstellen zu können. Das gilt auch für die Druckausgabe. Für die richtige Umrechnung der Farbbilder in die Zielprofile müssen dabei die jeweiligen Quellprofile bekannt sein. Bei der Umrechnung von Farbdaten von einem Quellprofil in ein Ziel- Rendering Intents profil stehen vier grundlegende Umrechnungsmethoden zur Verfügung, auch Rendering Intents genannt: •

Wahrnehmung (Perceptual)

Fotos

Diese Einstellung eignet sich vor allem für die Wiedergabe von Fotos. Bei der Umwandlung durch das CMM wird darauf geachtet, dass die relativen Bezüge zwischen den Farbanteilen eines Bildes gewahrt bleiben, auch wenn beispielsweise der Drucker den Farbumfang nicht genau wiedergeben kann. Farben können sich, absolut gesehen, verändern. Der Zusammenhang zwischen den Farben im Bild bleibt aber bestmöglich erhalten. Die Einstellung Wahrnehmung versucht, unsere Sehgewohnheiten bei der Farbwiedergabe mit einzubeziehen und kann als Standard für die Umrechnung von Fotos und Bildern eingesetzt werden. •

Sättigung (Saturation) Bei der Wiedergabe von Farbgrafiken stehen meist weniger die absoluten Farbwerte als mehr die Farbigkeit an sich im Mittelpunkt. Bei dieser Einstellung werden die Sättigungswerte erhalten. Farbwerte, die im Farbraum des Ausgabeprofils nicht mehr enthalten

Grafiken

260

7 Drucken sind, werden durch Farbwerte ersetzt, die darstellbar sind und die gleiche Sättigung aufweisen. Damit ist diese Einstellung vor allem für die Wiedergabe von Präsentationsgrafik geeignet. •

Relativ farbmetrisch (Relative Colorimetric) Diese Einstellung verändert Farben in ihren Absolutwerten nicht. Farben, die im Farbraum des Ausgabeprofils nicht mehr enthalten sind, werden durch die nächstgelegene enthaltene ersetzt, welche die gleiche Helligkeit aufweist. Diese Einstellung kann manchmal helfen, eine absolut gesehen etwas exaktere Übereinstimmung zu den Originalfarbdaten zu erhalten als mit der Methode Wahrnehmung.

•

Absolut farbmetrisch (Absolute Colorimetric) Bei dieser Einstellung wird durch das CMM versucht, eine größtmögliche absolute Übereinstimmung zwischen Original- und Reproduktion zu erhalten. Maßstab ist dabei aber nicht die menschliche Sehgewohnheit, sondern dass messtechnisch die geringsten Abweichungen feststellbar sind. Der Weißpunkt einer gescannten Vorlage bleibt dabei auch unverändert, sodass beispielsweise die Farbe des Fotopapiers einer gescannten Aufsichtsvorlage auch wiedergegeben wird – der Bildhintergrund sieht dann in der Regel etwas gelblich oder bläulich aus.

Die beiden letztgenannten Methoden haben in der Praxis meist eine untergeordnete Bedeutung. Welche für Ihre Zwecke am besten geeignet ist, hängt neben den konkreten Farbdaten nicht zuletzt auch von Ihrem persönlichen Empfinden ab. Hersteller-spezifische CMM

Die Integration des CMM ist modular ausgeführt und kann durch das eines anderen Herstellers ersetzt oder ergänzt werden. In Windows 2000 ist die LinoColorCMM integriert. Eine andere CMM wird beispielsweise durch den Hersteller Kodak bereitgestellt und könnte zusätzlich in Windows eingebunden werden.

Profile richtig einsetzen FarbmanagementVoraussetzungen

Um von den Vorteilen des modernen ICC-Farbmanagements profitieren zu können, müssen die folgenden Voraussetzungen gegeben sein: •

Sie verfügen über die richtigen Profile für alle relevanten Ein- und Ausgabesysteme.

•

Die Anwendungen, die Sie für die Erstellung und Ausgabe von Farbdokumenten verwenden, müssen sich an die ICCSpezifikationen für die Farbausgabe halten und damit auf die Betriebssystemfunktionen zurückgreifen.

7.6 Farbmanagement •

261

Externe Farbdaten, die Sie bekommen, bringen die benötigten Profile mit, die für Ihre Erzeugung benutzt worden sind (beispielsweise die richtigen Scanner-Profile) oder liegen in einem standardisierten Format vor.

Insbesondere der letzte Punkt ist im Zusammenhang mit der Einbin- Problem: Externe dung externer Daten in der Praxis oft besonders problematisch. Wenn Daten kein Profil vom erzeugenden System (in der Regel Scanner) verfügbar ist, kann die Weiterverarbeitung nur noch mit Näherungswerten erfolgen – mit den bekannten Folgen für die Genauigkeit der Reproduktion. Es gibt zwei Möglichkeiten, dieses Problem zu entschärfen: 1. Einbettung der Profile

Profileinbettung

Gemäß ICC-Standard können Profile auch in Bilddateien (beispielsweise im Tagged Image Format, TIFF) eingebettet werden. Beim Öffnen oder Weiterverarbeiten solcher Daten muss die Applikation allerdings in der Lage – also richtig konfiguriert – sein, damit die korrekte Umrechnung in den Zielfarbraum erfolgen kann. 2. Bilddaten im standardisierten Format weitergeben

Standard-RGB

Einfacher ist es natürlich, wenn alle Bilddaten bereits in einem allgemein anerkannten Standard-Farbformat vorliegen. Ein solches international anerkanntes Format ist Standard-RGB, auch mit sRGB bezeichnet. Windows 2000 unterstützt standardmäßig sRGB. Für die Weitergabe eines Bildes muss dieses nach dem Scannen durch die entsprechende Bildverarbeitungssoftware unter Nutzung des speziellen Scanner-Profils in das sRGB-Format konvertiert werden. Dieser zweite Weg scheint sich in der Praxis als erfolgversprechender sRGB durchzusetzen. sRGB ist auch mittlerweile das Standard-Farbformat für die Ausgabe im Internet auf den Webseiten und in Adobes Portable Document Format (PDF) und somit universell einsetzbar. Für die professionelle Druckvorstufe wurde von der European Color ECI-RGB Initiative (ECI; siehe auch Abschnitt 7.6.3 Historische Entwicklung ab Seite 254) das Standard-RGB-Format ECI-RGB entwickelt und veröffentlicht. Vorteil ist der gegenüber sRGB größere Farbraum und damit die Eignung für die Erstellung hochwertiger Druckvorlagen. Hinweise zur praktischen Anwendung von ICM, der in Windows 2000 Praktische integrierten ICC-konformen Farbmanagementunterstützung, finden Anwendung Sie in Abschnitt 13.5 Farbmanagement einsetzen ab Seite 602.

7.6 Farbmanagement

263

Kapitel 8 Grundlagen zur Systemsicherheit

8.1

Einführung ..............................................................265

8.2

Sicherheitsanforderungen in der Praxis............266

8.3

Absicherung lokaler Daten mittels EFS ............267

8.4

Sicherheit im Netzwerk........................................270

8.5

Absicherung von Internet- und WANVerbindungen ........................................................276

8.1 Einführung

8 Grundlagen der Systemsicherheit Die Ansprüche an die Systemsicherheit sind in den letzten Jahren deutlich gestiegen. Windows 2000 trägt dem Rechnung, indem das gesamte Sicherheitskonzept umfassender und konsistenter gemacht wurde.

8.1 Einführung Einen großen Anteil am Sicherheitskonzept nehmen digitale Zertifikate ein. Damit können Benutzer sicherer autorisiert werden als nur mit Benutzername und Kennwort. Zertifikate bilden aber nur ein Teil des Sicherheitsgerüstes von Windows 2000.

8.1.1 Zugriffssicherheit Für den Einsatz im Netzwerk und auch als lokaler Computer ist die Zugriffssicherheit von zentraler Bedeutung. Grob gesagt geht es um die Kontrolle des Zugriffs durch autorisierte Benutzer. Nicht autorisierten Benutzern soll dagegen unter allen Umständen der Zugriff auf Daten verweigert werden. Das betrifft sowohl den Zugang zum System über das Netzwerk als auch die lokale Anmeldung.

8.1.2 Der C2-Sicherheitsniveau C2 ist ein Sicherheitstandard der NSA (National Security Agency), der als Anforderung vieler amerikanischer Behörden an die Systemsicherheit dient. Windows 2000 besitzt die C2-Zertifizierung. Daraus kann aber primär nicht abgeleitet werden, dass allein der Einsatz von Windows 2000 zu einem sicheren System führt. Die C2-Definitionen sind in zwei Büchern zusammengefasst, die Sie unter folgenden Adressen finden: •

www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html

•

www.radium.ncsc.mil/tpep/library/rainbow/NCSC-TG-005.html

Die gesamte Bibliothek der sogenannten Rainbow-Series finden Sie unter: •

www.radium.ncsc.mil/tpep/library/rainbow/

Spannender ist die praktische Umsetzung mit Windows 2000. Denn C2-Sicherheit besteht nicht nur aus der Wahl des Betriebssystems, sondern betrachtet den gesamten Komplex aus Hardware, Software,

265

266

8 Grundlagen der Systemsicherheit Anwendungsprogrammen und Netzwerkdiensten. Zu den wesentlichen Merkmalen des C2-Sicherheitsniveaus gehören unter anderem: •

Zugriffskontrolle. Damit wird die Möglichkeit definiert, das Besitzer von Daten den Zugriff auf diese kontrollieren können.

•

Objektverwendung. Werden Objekte, wie beispielsweise Benutzerkonten, gelöscht, so darf zwischen den alten und neuen Objekten kein Zusammenhang bestehen. Auch Speicherobjekte werden so vor Zugriffen anderer Prozesse geschützt. Objekte im Speicher werden nach der Verwendung zuverlässig gelöscht, ein »Scannen« des Speichers darf nicht dazu führen, dass bereits deaktivierte Objekte Daten freigeben. Eine endgültig gelöschte Datei darf sich nicht wieder herstellen lassen.

•

Authentifizierung. Jeder Benutzer muss eindeutig identifiziert werden können. Anhand der Anmeldung kann das System alle Aktivitäten protokollieren und Rechte kontrollieren

•

Überwachung. Jede Aktion kann durch den Administrator des Systems überwacht werden. Alle Prozesse sind später nachvollziehbar. Zugriff auf Protokolle haben nur autorisierte Personen.

8.2 Sicherheitsanforderungen in der Praxis Die C2-Anforderungen in ihrer gesamten Breite dürften für viele Anwender zu hoch gesteckt sein. In der Praxis werden nicht alle Ansprüche erfüllbar oder sinnvoll sein. Dennoch ist ein einfach installiertes Windows 2000-System keinesfalls vollkommen sicher. In jedem Fall sind Gedanken zu den Sicherheitskonzepten notwendig. Der nächste Abschnitt geht auf theoretische Überlegungen zur Sicherheit ein. Die praktische Umsetzung finden Sie in den folgenden Abschnitten.

Planung der Sicherheitsanforderungen Zuerst sollten Sie sich natürlich über die Sicherheitsanforderungen Ihres Unternehmens im Klaren sein. Verwenden Sie Windows 2000 privat, müssen Sie selbst einschätzen, wie wertvoll Ihre Daten für andere Nutzer sind.

Fragen zur Sicherheit •

Hardware Konfiguration und Installation

•

Installation des Betriebssystem

8.3 Absicherung lokaler Daten mittels EFS •

Auswahl des Dateisystems

•

Entfernen der nicht benötigten Subsysteme

•

Deaktivierung von DirectX

•

Deaktivierung des Gastkontos

•

Sicherheitskonfiguration für Benutzer

•

Verzeichnisse und wichtige Dateien absichern

•

Sicherung temporärer Daten

267

8.3 Absicherung lokaler Daten mittels EFS Für die Absicherung gespeicherter Daten, sei es auf einem Server, einer Arbeitsstation oder einem mobilen Computer, wurde von Microsoft das verschlüsselnde Dateisystem (EFS) entwickelt. Über einen Dateisystemfilter werden damit die Dateien verschlüsselt auf dem Datenträger abgelegt. In diesem Abschnitt geht es darum zu zeigen, wie dieses Verfahren intern funktioniert. Allein die Anwendung der EFS-Verschlüsselung bietet noch keinen ausreichenden Schutz vor unbefugtem Zugriff. Lesen Sie in Abschnitt 16.3.3 Hinweise zur maximalen Absicherung mit EFS ab Seite 730, wie Sie Ihr System wirksam absichern können. Die Einbettung von EFS in das NTFS-Dateisystem ist unter anderem Inhalt des Grundlagen-Abschnittes 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166.

8.3.1 Das verschlüsselnde Dateisystem Das verschlüsselnde Dateisystem (EFS) basiert auf einem Hybridverfahren, bei dem nacheinander mehrere Verschlüsselungsverfahren nacheinander zum Einsatz gelangen. Zusätzlich zu einer symmetrischen Verschlüsselung findet auch eine Chiffrierung mit öffentlichenprivaten Schlüsseln statt. Betrachten wir zunächst den Verschlüsselungsvorgang: Dabei wird Verschlüsselung die betreffende Datei zunächst mit Hilfe eines DES-Algorithmus symmetrisch verschlüsselt. Der Schlüssel dazu, FEK – File Encryption Key genannt, wird per Zufallsgenerator erzeugt. Die Verschlüsselung der Datei mit einem generierten symmetrischen Schlüssel als FEK wird aus Performancegründen einer Verschlüsselung durch öffentlich zertifizierte Schlüssel vorgezogen.

268

8 Grundlagen der Systemsicherheit

Abbildung 8.1: Die Verschlüsselung

Data Decryption Field - DDF

Der FEK selbst wird wiederum mit dem öffentlichen Schlüssel aus dem öffentlichen/privaten Schlüsselpaar des Anwenders verschlüsselt. Der so chiffrierte FEK wird als EFS-Attribut der Datei im Data Decryption Field – DDF abgelegt.

Data Recovery Field - DRF

Um eine Wiederherstellung verschlüsselter Daten auch ohne den privaten Schlüssel des Anwenders zu ermöglichen, beispielsweise nach einem Verlust des Schlüssels oder um an Daten ausgeschiedener Mitarbeiter zu gelangen, wird der zufällig generierte FEK auch mit dem öffentlichen Schlüssel des öffentlichen/privaten Schlüsselpaars des Wiederherstellungsagenten verschlüsselt. Dieser so chiffrierte FEK wird dann als EFS-Attribut im Data Recovery Field – DRF abgelegt.

Entschlüsselung

Bei der Abspeicherung im NTFS-Dateisystem werden also zur symmetrisch verschlüsselten Datei noch zwei chiffrierte Schlüssel mit abgespeichert. Diese mit den öffentlichen Schlüsseln des Anwenders beziehungsweise des Wiederherstellungsagenten chiffrierten Schlüssel müssen für eine Entschlüsselung zunächst selbst wieder mit den dazugehörigen privaten Schlüsseln dechiffriert werden. Zugriff erhalten also nur der berechtigte Anwender sowie der Wiederherstellungsagent.

8.3 Absicherung lokaler Daten mittels EFS

269 Abbildung 8.2: Die Entschlüsselung

Als Wiederherstellungsagent wird standardmäßig unter Windows Wiederherstel2000 Professional der Administrator eingesetzt. Dieser besitzt das Zer- lungsagent tifikat mit dem dazugehörigen privaten Schlüssel, um auf die verschlüsselten Dateien aller Benutzer des seiner Verwaltung unterstehenden Systems zugreifen zu können. Für eine höhere Sicherung von verschlüsselten Dateien vor dem Sicherheit vor dem Zugriff des Administrators (standardmäßig der Wiederherstellungs- Administrator agent) könnten Sie das Wiederherstellungs-Zertifikat des Administrators löschen. Dann sind die verschlüsselten Dateien eines Benutzers nur noch mit dessen Zertifikat zu entschlüsseln. Geht dieses verloren, bleiben auch die Daten für immer verschlossen. Da der Administrator aber Benutzerkennwörter jederzeit zurücksetzen kann, ist dieser Weg untauglich. Lesen Sie in Abschnitt 16.3.3 Hinweise zur maximalen Absicherung mit EFS ab Seite 730, wie Sie Ihre Daten wirksam schützen können.

8.3.2 Schlüsselstärke Wann immer es um die Kryptographie in Verbindung mit Schlüsseln geht, stellt sich die Frage nach der Stärke der Verschlüsselung – je größer ein Schlüssel ist, desto schwerer fällt es einem Angreifer, den Code zu knacken. Durch die Gesetzeslage in den USA hinsichtlich des Exports von Verschlüsselungsalgorithmen tritt auch beim EFS die

270

8 Grundlagen der Systemsicherheit Problematik der kleineren Schlüssellänge in allen Ländern außerhalb der USA auf. Während das Verschlüsselnde Dateisystem innerhalb der USA mit 56-Bit-Schlüsseln arbeitet, kommen bislang in der internationalen Ausführungen von Windows 2000 lediglich schwächere 40Bit-Schlüssel zum Einsatz.

Enhanced CryptoPAK

Allerdings sind seit Anfang 2000 die Exportbestimmungen gelockert und auch die stärkeren Schlüssel für den Export nach Westeuropa freigegeben worden. Dementsprechend können Sie das sogenannte Enhanced CryptoPAK nachinstallieren, mit dem die Verschlüsselung über einen 128 Bit-Schlüssel durchgeführt wird. Das Enhanced CryptoPAK ist den meisten Windows 2000-Paketen (Professional wie Server-Varianten) beigelegt oder kann über das Internet von der Microsoft Homepage geladen werden. Mit der Verschlüsselung über einen 128 Bit-Schlüssel ist es heute praktisch unmöglich, mit einem vertretbaren Aufwand gesicherte Daten zu dechiffrieren.

8.4 Sicherheit im Netzwerk In Bezug auf die Netzwerksicherheit wurde Windows 2000 konsequent weiterentwickelt. Sowohl der Anmeldevorgang als auch die Übertragungswege können mit allen heute technisch realisierbaren Mitteln geschützt werden.

8.4.1 Sichere Authentifizierung Bei der Anmeldung eines Nutzers an einem Windows 2000-System können zwei verschiedene Vorgänge ausgeführt werden. Zum einen wird ein interaktiver Anmeldevorgang ausgeführt, um den Nutzer und seine zur Identifizierung eingesetzten Daten zu kontrollieren. Dies erfolgt durch einen entsprechend eingerichteten Windows 2000Server oder -Professional oder durch Active Directory und den Domänencontroller. Alternativ erfolgt eine Netzwerkauthentifizierung, bei der sich Benutzer direkt an einer Ressource anmelden und von dieser der Zugriff autorisiert wird. Da die Authentifizierung über das Netzwerk kritisch ist – immerhin können Kennwörter über öffentliche Leitungen geleitet werden – sind hier umfangreiche Sicherheitsmaßnahmen möglich. Zu den einsetzbaren Maßnahmen gehören Kerberos 5, SSL (Secure Socket Layer) und aus Kompatibilitätsgründen LAN Manager-Sicherheit.

8.4 Sicherheit im Netzwerk

271

8.4.2 Der interaktive Anmeldevorgang Bei diesem Anmeldevorgang erfolgt die Bestätigung eines Benutzers Interaktiver durch ein Domänenkonto auf einem Domänencontroller oder durch Anmeldevorgang die lokale Benutzerdatenbank eines Windows 2000-Computers. Dabei spielt es primär keine Rolle, ob der Domänencontroller mit oder ohne Active Directory arbeitet. Wie dieser Vorgang abläuft, wird nachfolgend beschrieben, auf die technischen Grundlagen der eingesetzten Protokolle wird anschließend eingegangen.

Anmeldung an einem Domänenkonto Wenn sich ein Benutzer an einem Domänenkonto anmelden möchte, kann er dies technisch auf zwei Wegen tun: •

Durch Eingabe von Benutzername und Kennwort im LoginBildschirm

•

Durch Einlesen einer Smartcard

Die Anmeldeinformationen werden im Active Directory gespeichert. Durch die Anmeldung erlangt der Benutzer Zugriff auf die Ressourcen dieser Domäne. Ist ein Kennwort erforderlich – was normalerweise der Fall sein dürfte – wird Kerberos 5 zur Authentifizierung eingesetzt. Kerberos stellt sicher, dass das Kennwort nicht im Klartext übertragen wird. Wird eine Smartcard eingesetzt, basiert Kerberos auf Zertifikaten, die auf der Smartcard gespeichert werden.

Anmeldung an einem lokalen Computer Auf Windows 2000-Computern werden die Anmeldeinformationen in der Sicherheitskontenverwaltung SAM (Security Accounts Manager) gespeichert. SAM ist eine Datenbank, in der die Informationen abgelegt sind, die zur Authentifizierung benötigt werden. Diese Datenbank kann auf jedem lokalen Computer existieren. Eine solche einfache Form der Anmeldeüberwachung wird in Peer-to-Peer-Netzwerken verwendet. Für den Zugriff auf einen anderen Computer im Netzwerk ist dann allerdings eine erneute Authentifizierung erforderlich.

8.4.3 Anmeldung mit Zertifikaten und Smartcards Zertifikate werden in einem speziellen Speicher gehalten: dem Zertifikatspeicher. Falls dies der Fall ist oder Smartcards eingesetzt werden, kann das Extensible Authentication Protocol (EAP) eingesetzt werden, um die Anmeldung zu Verschlüsseln. Smartcards verhalten sich dabei

272

8 Grundlagen der Systemsicherheit für das System weitestgehend transparent – sie sind lediglich ein elegant handhabbarer Speicher für Zertifikate.

Das Zertifikat Ein Zertifikat beschreibt seinen Besitzer in einer für die Authentifizierung geeigneter Weise. Zertifikate für Webserver enthalten beispielsweise Daten über die Identität des Betreibers der Site – gekoppelt mit dem Domainnamen. Auch Personen können sich durch Zertifikate authentifizieren. Solche Zertifikate enthalten neben dem Namen und Kennwort auch eine Signatur des Herausgebers. Diese Signatur ist mit dem Inhalt gekoppelt. So sind Zertifikate verfälschungssicher – jede Änderung an den Daten macht die Signatur unbrauchbar. Andererseits kann sich ein Benutzer ohne Hilfe des Herausgebers kein neues Zertifikat beschaffen. Im Rahmen der Authentifizierung sendet der Benutzer (bzw. das Anmeldeprogramm des Computers) das Zertifikat an den Server, der die Authentifizierung bestätigen muss. Der Server sendet nun seinerseits ein Zertifikat an den Computer des Benutzers. Dort wird die Signatur anhand eines Schlüssels geprüft. Dieser Schlüssel ist in einem Stammzertifikat gespeichert, dass die Echtheit der Herausgeber sicher stellt. Stammzertifikate können nur von vertrauenswürdigen Herausgebern geliefert werden. Wer »vertrauenswürdig« ist, muss jeder Systembetreiber natürlich selbst festlegen – dieser Vorgang kann nur vom Administrator ausgeführt werden. Einige solcher Stammzertifikate sind bereits standardmäßig installiert.

Smartcards Smartcards sind checkkartengroße Plastikkarten mit einem Chip. Dieser Chip kann Daten speichern. Da Zertifikate auch nur »Daten« sind, können diese auch auf Smartcards gespeichert werden. Der Computer muss dann über ein passendes Lesegerät verfügen. Lesegeräte gibt es einzeln, mit Anschluss an die serielle Schnittstelle oder als Teil der Tastatur. Es ist möglich, externe Verbindungen so einzurichten, dass eine Authentifizierung mit Smartcard erzwungen wird.

8.4.4 Vorgang der Netzwerkauthentifizierung Bei der Netzwerkauthentifizierung werden die Benutzerinformationen dem Netzwerkdienst gegenüber bestätigt, auf den der Benutzer zugreifen möchte. Für diese Art der Authentifizierung werden verschiedene Authentifizierungsmechanismen unterstützt, beispielsweise

8.4 Sicherheit im Netzwerk

273

Kerberos 5, SSL und TLS (Secure Socket Layer, Transport Layer Security) sowie LAN Manager. Wird die normale Authentifizierung verwendet, ist die Netzwerkauthentifizierung nicht sichtbar. Sind dennoch Netzwerkressourcen vorhanden, sie selbst eine Authentifizierung verlangen, muss den Benutzer immer wieder seinen Namen und das Kennwort eingeben.

8.4.5 Sicherheitsprotokolle für das Netzwerk Neu in Windows 2000 sind zwei Sicherheitsprotokolle, die Übertragungswege und Anmeldeprozesse schützen: IPSec und Kerberos. Beide werden nachfolgend vorgestellt.

IPSec IP Security (IPSec) ist eine neuere Technik, die PPTP langfristig als RFC 1825 - 1829 VPN-Standard ablösen soll, da sie ein höheres Maß an Sicherheit als PPTP (Point-to-Point-Tunneling Protocol) garantieren kann. IPSec arbeitet auf IPv4 und soll fester Bestandteil von IPv6 werden. Bei IPSec handelt es sich um ein Paket von Protokollen, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb des VPN zuständig sind. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus. Im Tunnelmodus (siehe Abbildung 8.3) wird das komplette IP-Paket Tunnelmodus verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket größer als im Transportmodus. Der Vorteil besteht hier darin, dass in den LANs, die zu einem VPN verbunden werden sollen, je ein Gateway so konfiguriert werden kann, dass es IP-Pakete annimmt, sie in IPSec-Pakete umwandelt und dann über das Internet dem Gateway im Zielnetzwerk zusendet, dass das ursprüngliche Paket wiederherstellt und weiterleitet. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den Gateways IPSec implementiert sein muss. Außerdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen. Der IPSec-Kopf wird hinter dem IP-Kopf eingefügt. Er kann zwei Komponenten enthalten, die einzeln, unabhängig voneinander oder zusammen eingesetzt werden können: den Authentifizierungskopf (Authentification Header, AH) und den Encapsulating Security Payload (ESP). Der AH sichert die Integrität und Authentizität der Daten und der statischen Felder des IP-Kopfes. Er bietet jedoch keinen Schutz der Vertraulichkeit. Der AH benutzt eine kryptographische Hashfunktion (keyed-hash function) und keine digitale Signatur, da diese Technik zu langsam ist und den Datendurchsatz im VPN stark

274

8 Grundlagen der Systemsicherheit reduzieren würde. Der ESP schützt die Vertraulichkeit, die Integrität und Authentizität von Datagrammen. Er schließt aber die statischen Felder des IP-Headers bei einer Integritätsprüfung nicht ein.

Abbildung 8.3: Aufbau von IPSecPaketen im Tunnelmodus

Transportmodus

Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu transportierenden IP-Paketes. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt (siehe Abbildung 8.4).

Abbildung 8.4: Aufbau von IP-SecPaketen im Transportmodus

Der Vorteil dieser Betriebsart ist, dass jedem Paket nur wenige Bytes hinzugefügt werden. Dem gegenüber steht, dass jede Station im VPN IPSec beherrschen muss, was eine Neukonfiguration von bestehenden Netzen nötig macht. Außerdem ist es für Angreifer möglich, den Datenverkehr im VPN zu analysieren, da die IP-Header nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, so dass man nur feststellen kann, welche Stationen wie viele Daten austauschen, aber nicht welche Daten. Verwendete Verschlüsselungsverfahren

IPSec verwendet das Diffie-Hellman Schlüsselaustauschverfahren zur Identitätsprüfung. Die benutzten kryptographischen Hashfunktionen sind unter anderem HMAC, MD5 und SHA. Als Verschlüsselungsalgorithmen dienen zum Beispiel DES und IDEA, Blowfish und RC4.

8.4 Sicherheit im Netzwerk

275

Kerberos Kerberos ist ein Protokoll, das am MIT (Massachusetts Institute of Technology) entwickelt wurde. Es ist in der RFC 1510 definiert: •

www.ietf.org/rfc/rfc1510.txt

RFC 1510

Eine etwas anschaulichere Darstellungen finden Sie auf der »Kerberos Homepage des MIT«: •

web.mit.edu/kerberos/www/index.html

Speziell für die in Windows 2000 eingesetzte Version gibt es ein Draft: •

www.ietf.org/internet-drafts/draft-brezak-win2k-krb-rc4-hmac01.txt

Der Einsatz erfolgt, damit Kennwörter nicht offen über das Netzwerk übertragen werden. Normalerweise ist dies notwendig, denn vor der ersten Authentifizierung können sich Sender und Empfänger noch nicht auf ein gemeinsames Verschlüsselungsverfahren und die passenden Schlüssel verständigt haben. Kerberos verwendet zum einen ein Verschlüsselungsverfahren für Schlüssel, zum anderen sogenannte Zeittickets, die den Ablauf der Übertragung kontrollieren. Microsoft hat den Kerberos-Standard weiter entwickelt, so dass nun auch Zertifikate mit öffentlichen Schlüsseln eingesetzt werden können. Diese Schlüssel werden mit dem Zertifikatserver erstellt, der nur in der Windows 2000 Server-Familie verfügbar ist. Vorteil ist der mögliche Verzicht auf die Beschaffung von Zertifikaten von einem öffentlichen Herausgeber, der in der Regel Geld für die Dienstleistung verlangt. Kerberos baut im Wesentlichen auf einen zentralen Schlüsselserver auf. Wenn nun ein Benutzer A mit einem Server B Kontakt aufnehmen möchte, setzt er einen privaten Schlüssel K ein. Damit wendet er sich an den Schlüsselserver S. A und S können nun verschlüsselt kommunizieren. Der Schlüsselserver versieht die Nachricht nun mit einem Zeitstempel und einem Schlüssel für die Kommunikation mit B. Diese Information kann jedoch von A nicht entziffert werden, da nur B über den entsprechenden Schlüssel zur Entschlüsselung verfügt. A kann diesen Schlüssel auch nicht selbst erzeugen, weil er den privaten Schlüssel von B nicht kennt. Dieses Paket sendet A nun an B. B entschlüsselt es (denn er verfügt über den passenden privaten Schlüssel). Nun weiß B, das A Nachrichten senden will und auch dazu in der Lage ist. B versieht deshalb die Nachricht mit einem neuen Zeitstempel, verschlüsselt sie erneut und sendet sie an A zurück. A prüft nur noch, ob der zweite Zeitstempel größer als der erste ist, der Weg also tatsächlich über B ging. Außerdem ist der gesamte Vorgang zeitlich begrenzt, die Tickets für den Austausch sind nur eine begrenzte Zeit gültig. Nachteilig ist, dass die Partner über exakt die gleiche Zeit verfügen müssen, sonst stimmen die Zeitstempel nicht. Vor allem im WAN ist

Nachrichtenübertragung über einen zentralen Schlüsselserver

276

8 Grundlagen der Systemsicherheit dies unter Umständen problematisch. Außerdem wird immer ein Server benötigt, der die Benutzer mit dem Tickets versorgt. Als Verschlüsselungsalgorithmus selbst wird beispielsweise DES benutzt. Der Vorteil ist die Verwendung immer neuer Schlüssel, die Decodierung macht nicht sehr viel Sinn. Wird Kerberos zur Authentifizierung eingesetzt, ist der Inhalt der Nachricht die Anmeldeinformation.

8.5 Absicherung von Internet- und WANVerbindungen Im WAN (Wide Area Network) sollten höhere Sicherheitsansprüche erfüllt werden als im LAN. Der Übertragungsweg kann nur selten überwacht werden und Angriffe auf solche Wege sind nicht selten. Betrachten Sie die Welt außerhalb Ihres Computers als feindliche Umgebung und sichern Sie sich so, als ob Sie angegriffen werden.

8.5.1 Kennwortauthentifizierung Eine Ebene ist die Kennwortauthentifizierung und die Übertragungsverschlüsselung. Die folgenden möglichen Sicherheitsprotokolle sind für die Authentifizierung zuständig: •

PAP. Password Authentication Protocol

•

SPAP. Shiva Password Authentication Protocol

•

CHAP. Challange Handshake Authentication Protocol

•

MS-CHAP. Microsoft-spezifische Version von CHAP

•

EAP. Extensible Authentication Protocol

PAP PAP

PAP (Password Authentication Protocol). Kennwörter werden im Textformat und unverschlüsselt übertragen. Das ist einfach und schnell, aber nicht sicher. PAP wird oft verwendet, wenn die Gegenstelle nicht bekannt ist und ein sicheres Protokoll nicht ausgehandelt werden kann.

8.5 Absicherung von Internet- und WAN-Verbindungen SPAP SPAP (Shiva Password Authentication Protocol). Dies ist eine Modifikati- SPAP on von PAP für die Verbindung mit Shiva-Clients. Shiva ist ein Hersteller von Netzwerkgeräten (www.shiva.com). SPAP verwendet eine entschlüsselbare Zweiwege-Verschlüsselung für das Kennwort.

CHAP CHAP (Challange Handshake Authentication Protocol). Dieses Protokoll CHAP nutzt eine sichere Übertragung der Kennwörter. Verwendet wird der Hash-Algorithmus MD 5 (Message Digest 5). MD 5 ist ein Datentransformationsalgorithmus, der nur in einer Richtung arbeitet, also nicht wieder entschlüsselt werden kann. Beide Seiten transformieren das Kennwort mit MD 5 und vergleichen es dann. Wird das Kennwort abgefangen, ist es wertlos, weil nur der transformierte Code über den Übertragungsweg geht.

MS-CHAP MS-CHAP. Dies ist eine spezielle Implementierung von CHAP, die MS-CHAP über dieselben Eigenschaften verfügt, dem Nutzer aber den Komfort einer LAN-basierten Anmeldung innerhalb einer reinen MicrosoftUmgebung erlaubt. Aktuell in Windows 2000 ist die Version 2.

EAP EAP (Extensible Authentication Protocol) ist eine Erweiterung von PPP EAP (Point-to-Point Protocol). EAP bietet zusätzliche Sicherheitsfunktionen innerhalb von PPP. Die Definition erfolgt in RFC 2284. Eine Erweiterung ist TLS (Transport Layer Security), definiert in der RFC 2716. PPP selbst stellt nur die Verbindung her, besitzt also keinen Authentifizierungsmechanismus, wie Sie in dieser Auflistung beschrieben werden.

8.5.2 Verschlüsselung Ist das Kennwort erfolgreich ausgetauscht, beginnt die Datenübertragung. Auch hier gilt – je länger die Verbindung, um so unsicherer der Weg. Eine Verschlüsselung der Übertragung ist immer zu empfehlen. Windows 2000 bietet dafür zwei Wege: •

MPPE. Microsoft Point-To-Point Encryption

•

IPSec. Internet Protocol Security

277

278

8 Grundlagen der Systemsicherheit MPPE MPPE (Microsoft Point-To-Point Encryption). Diese Version unterstützt 40-, 56- und 128-Bit-Schlüssel und nutzt den RSA-RC4-Algorithmus über PPP. RSA steht für Rivest, Shamir und Adlemen – die Namen der Erfinder.

IPSec IPSec (Internet Protocol Security). Diese Dienstesammlung basiert auf der DES- oder 3DES (Triple DES)-Verschlüsselung. DES steht für Data Encrpytion Standard. IPSec kann auch auf getunnelte Verbindungen aufsetzen, wie beispielsweise auf L2TP (siehe oben).

8.5.3 Rückruf Der Rückruf ist eine ebenso einfache wie wirkungsvolle Sicherheitsmaßnahme. Bei der Verwendung einer direkten Verbindung zu einem entfernten Computer, beispielsweise per Telefon, kann der Rückruf feindliche Zugriffe massiv erschweren. Der entfernte Computer, der sich mit einem Server verbinden möchte, meldet sich dort an und bittet um Rückruf. Der Server trennt sofort die Verbindung und baut nun seinerseits die Verbindung – basierend auf der Nummerninformation. Ein Anruf von einem nicht zuvor autorisierten Telefonanschluss ist daher zwecklos.

8.5 Absicherung von Internet- und WAN-Verbindungen

Teil III – Installation und Administration

III Installation und Administration

279

8.5 Absicherung von Internet- und WAN-Verbindungen

Kapitel 9 Installation

9.1

Überlegungen zur Hardware...............................283

9.2

Gedanken zum Installationsverfahren..............289

9.3

Hinweise zur Notebook-Installation .................294

9.4

Inhalt der Installations-CD..................................301

9.5

Installation mit bootfähigem CD-Laufwerk ....304

9.6

Installation mit Hilfe der Bootdisketten...........305

9.7

Installation mit WINNT.EXE/WINNT32.EXE.......307

9.8

Die weiteren Installationsschritte ......................315

9.9

Automatisierte Installation..................................316

9.10 Die Remoteinstallationsdienste..........................343

281

9.1 Überlegungen zur Hardware

283

9 Installation Die Installation von Windows 2000 ist heute dank ausgeklügelter Hardwareerkennungsmechanismen und einer im Vergleich zu Windows NT deutlich breiteren Unterstützung gängiger Technologien und Systemkomponenten eigentlich sehr schnell und einfach zu bewerkstelligen. Es gibt aber trotzdem einige Fallen, die es durch gute Planung und Vorbereitung zu vermeiden gilt. Deshalb sollten Sie sich vor der Installation ein wenig Zeit nehmen und die folgenden Gedanken und Anregungen prüfen, die wir und befreundete Kollegen durch viele praktische Erfahrungen mit dem System gewonnen haben.

9.1 Überlegungen zur Hardware Windows 2000 ist hinsichtlich seiner Anforderungen an die Hardware Ihres PC ähnlich anspruchsvoll wie Windows NT 4 Workstation. In diesem Abschnitt werden wir uns einige Gedanken machen zur optimalen Hardwarekonfiguration einer professionellen Arbeitsstation. Das Hauptaugenmerk legen wir dabei auf den Einsatz in kommerziellen Umgebungen.

9.1.1 Übersicht über die Mindestvoraussetzungen Die folgende Tabelle zeigt die Mindestvoraussetzungen, die Microsoft definiert sowie die Empfehlungen für eine Konfiguration, die ein flüssiges Arbeiten gewährleistet.

Hardware

Minimum

Empfohlen

CPU

133 MHz Pentium

233 MHz Pentium II

RAM

64 MB

128 MB

Festplatte

1 GB; min. 700 MB Frei

ab 2 GB

Netzwerk

ISA 10 MBit

PCI 100 MBit

Grafikkarte

PCI-Grafikkarte

AGP-Grafikkarte

CD-ROM

12-fach

32-fach

Floppy

1.44 MB

1.44 MB

Tabelle 9.1: Hardware-Voraussetzungen

Die Maus als Zeigegerät zu erwähnen ist aus unserer Sicht überflüs- Maus erforderlich sig – Windows 2000 ist ohne praktisch unbedienbar.

284

9 Installation

9.1.2 Die Hardware-Kompatibilitätsliste HCL im Internet

Microsoft hat eine Hardware-Kompatibilitätsliste veröffentlicht, die Sie auf der Installations-CD finden (siehe auch Abschnitt 9.4 Inhalt der Installations-CD ab Seite 301). Deutlich aktueller und bequemer zum Suchen finden Sie die HCL im Internet unter www.microsoft.com/hcl.

Abbildung 9.1: Die HCL im Internet

Auf dieser Seite können Sie für jede Produktgruppe alle von Microsoft getesteten und bewerteten Produkte übersichtlich mit der Angabe der Kompatibilität zu den gängigen Microsoft-Betriebssystemen ab Windows 95 finden. Für weitergehende Hinweise können auch die folgenden Links empfohlen werden: windows.microsoft.com/windows2000/reskit/webresources www.microsoft.com/windows2000/upgrade/compat/search/devices.asp HCL als Textdatei

Die HCL lässt sich aber auch komplett als Textdatei win2000hcl.txt herunterladen. Unter der folgenden FTP-Adresse steht die Datei zum Download bereit: ftp.microsoft.com/services/whql/win2000hcl.txt Vor der Installation von Windows 2000, insbesondere vor einem Upgrade von Windows 9x, empfiehlt sich ein Studium der HCL. Allerdings ist die HCL immer noch sehr beschränkt. Würde Sie nur die hier gefundene Hardware zum Einsatz bringen, hätten Sie zwar sicherlich

9.1 Überlegungen zur Hardware

285

ein sagenhaft stabiles System (zumindest nach Microsoft-Kriterien), wären aber auf eine kleine Anzahl von Herstellern festgelegt und könnten womöglich bestimmte Aufgaben gar nicht mit Windows 2000 erledigen. Neben der HCL von Microsoft ist deshalb auch ein Blick auf die Web- Hersteller-Websites sites der betreffenden Hardwarehersteller hilfreich, die zunehmend zu Windows 2000 explizit Stellung nehmen oder bereits aktuelle Treiber anbieten. Theoretisch gibt es heute im Hinblick auf die Treiberverfügbarkeit WDM einen verlockenden Standard – das universelle Windows Device Driver Model. Derart entwickelte Treiber sollten sowohl unter Windows 98 als auch unter Windows 2000 lauffähig sein. Bevor Sie allerdings solche Treiber einzusetzen versuchen, sollten Sie sicherheitshalber nach einer expliziten Versicherung des Herstellers Ausschau halten, die auch die Lauffähigkeit unter Windows 2000 beinhaltet. Die Praxis hat gezeigt, dass es mit der Kompatibilität solcher Treiber oft noch nicht zum besten bestellt ist.

9.1.3 Prozessor Windows 2000 unterstützt wie Windows NT erst Prozessoren ab dem Intel 80486. Allerdings ist ein sinnvolles Arbeiten erst mit einem Pentium oder einem vergleichbaren Prozessor, beispielsweise von AMD, möglich. Interessanterweise heißt das Verzeichnis, welches die Installationsdateien auf der CD enthält, noch immer i386. Auf einem Intel 80386 laufen Windows NT und auch 2000 allerdings definitiv nicht... Windows 2000 unterstützt im übrigen wie auch schon NT 4 bis zu zwei Prozessoren für symmetrisches Multitasking.

9.1.4 Hauptspeicher Viel hilft viel – gerade beim RAM trifft das zu. Hier sehen Sie auch Nichts geht über eine der Stärken von Windows 2000 gegenüber den kleineren Brüdern Hubraum! der 9x-Reihe: Während bei diesen eine RAM-Kapazität von mehr als 128 MB nichts mehr bringt, beginnt sich Windows 2000 da gerade erst wohl zu fühlen. Für den professionellen Einsatz in der grafischen Bildverarbeitung können Sie problemlos bis zu 4 GB in Ihrem System einsetzen, vorausgesetzt, Ihre Hardware hält da mit.

9.1.5 Festplattenspeicher Windows 2000 neigt insbesondere bei weniger RAM zu ständigem Auslagern auf die Festplatte – allerdings brächte dann mehr Haupt-

286

9 Installation speicher mehr als eine besonders schnelle Platte wieder hereinholen könnte. Für den Workstation-Einsatz reichen heutige schnelle IDEFestplatten vollkommen aus, allerdings empfehlen sich hier moderne Modelle ab 7.200 Umdrehungen je Minute. SCSI-Festplatten ab 10.000 Umdrehungen erreichen allerdings noch höhere Leistungswerte bei gleichzeitig geringerer Belastung für die CPU, sind aber auch teurer.

Gedanken zur Partitionierung sind wichtig!

Neben der eigentlichen Geschwindigkeit und Größe der Festplatte (heute, Stand Mitte 2000, sind Festplatten unter 15 GB praktisch nicht mehr zu bekommen) sollte vor allem die Aufteilung, sprich Partitionierung, eine Rolle in Ihren Überlegungen spielen. Hier können Sie aufgrund der professionellen Features, die bereits in Windows 2000 implementiert sind, einiges an Flexibilität und Geschwindigkeit gewinnen, wenn Sie sich vor der Installation Gedanken über die Aufteilung Ihrer Festplatten machen.

Neu: Dynamische Erweiterbarkeit von Datenträgern Windows 2000 unterstützt eine neue Art der Festplattenverwaltung – die dynamische Datenträgerverwaltung. Dynamische Datenträger können Sie jederzeit durch die Hinzunahme weiterer physischer Festplatten erweitern. Wird beispielsweise Ihr Datenlaufwerk D: zu klein, könnten Sie durch Installation einer weiteren Festplatte den logischen Datenträger D: vergrößern. Dabei spielt das Dateisystem noch nicht einmal die entscheidende Rolle, das wird sowohl für FAT, FAT32 als auch für NTFS unterstützt. Viel wichtiger ist allerdings, dass ein Datenträger, der später einmal unter Beibehaltung aller bisher gespeicherten Dateien erweiterbar sein soll, neu auf einer sogenannten dynamischen Festplatte erstellt worden sein muss. Dabei ist zu beachten, dass sich der System- als auch der Bootdatenträger von Windows 2000 grundsätzlich nicht dynamisch erweitern lassen. Frühzeitig Voraus- Eine Abtrennung einer ausreichend großen Bootpartition, welche das setzungen schaffen Betriebssystem selbst enthält, empfiehlt sich allein schon deshalb. Mit

ca. 2 GB ist eine solche Partition für die meisten Anwendungsfälle ausreichend dimensioniert. Sie sollten später nur darauf achten, dass dann die Anwendungsprogramme auf einem anderen logischen Datenträger installiert werden. Wie Sie vielleicht merken, vermeiden wir für den Rest der logischen Laufwerke, wenn wir von dynamischer Erweiterbarkeit sprechen, den Begriff Partition. Dynamische Datenträger auf einer dynamischen Festplatte sind nämlich keine Partitionen mehr. Deshalb sollten Sie diese dann auch nicht schon während der Installation anlegen. Vorgehen bei der Installation

Während der Installation legen Sie ausschließlich eine ausreichend dimensionierte Bootpartition für Windows 2000 an. Den Rest der Festplatte, so sie noch nicht mit Daten belegt ist, lassen Sie zunächst

9.1 Überlegungen zur Hardware

287

unpartitioniert. Erst wenn Windows 2000 läuft, wandeln Sie die Festplatte mit Hilfe der Datenträgerverwaltung in eine dynamische Festplatte um und erstellen dann einen oder mehrere neue dynamische (logische) Datenträger auf diesen. Warum müssen diese dynamischen Datenträger neu installiert werden? Sie haben sicherlich schon gehört oder gelesen, dass Sie auch bisherige normale sogenannte Basisfestplatten mit Partitionen in dynamische Festplatten umwandeln können. Das ist vollkommen richtig. Sie haben dann eine dynamische Festplatte mit logischen Datenträgern auf dieser, die in ihrem früheren Leben einmal ganz normale Partitionen oder logische Laufwerke in einer erweiterten Partition waren. Der Witz ist nur – erweiterbar sind diese nicht. Alles, was einmal über eine Partitionstabelle geführt worden ist, kann auch auf einer dynamischen Festplatte nachher nicht mehr direkt erweitert werden. Warum dies so ist und was die technischen Grundlagen der neuen Wo es im dynamischen Datenträgerverwaltung sind, können Sie im Kapitel 4 Buch steht Massenspeicherwaltung ab Seite 85 nachlesen. Die Einrichtung und Administration von Datenträgern sind Inhalt des Kapitels 11 Administration der Massenspeicher ab Seite 387.

Erhöhung der Festplattenleistung durch Stripe Sets In Bereichen, in denen es um die Bearbeitung großer lokaler Datenmengen geht, beispielsweise in der Bild- und Videobearbeitung, werden sehr hohe Anforderungen an das Festplattenspeichersystem gestellt. Windows 2000 bietet hier eine implementierte und damit kostengünstige Softwarelösung zur Verbindung mehrerer physischer Festplatten zu sogenannten Stripe Sets. Die Grundlagen dazu sind Inhalt des Abschnitts 4.4.6 Stripesetdatenträger ab Seite 116. Wie auch schon bei den dynamisch erweiterbaren Datenträgern wird Neuanlage nur auf die Neuanlage von Stripe Sets, in der Windows 2000 Terminologie dynamischen dann Stripesetdatenträger genannt, nur über freie Bereiche auf dynami- Festplatten schen Festplatten ermöglicht. System- und Bootdatenträger können dabei grundsätzlich nicht einbezogen werden. Für die Neuinstallation von Windows 2000 empfiehlt es sich auch hier, Vorgehen bei der nur eine ausreichend große Bootpartition für das Betriebssystem anzu- Installation legen und den Rest aller anderen Festplatten unpartitioniert zu lassen. Erst nach dem Start von Windows 2000 können Sie die Bootfestplatte in eine dynamische Festplatte umwandeln und mit der Implementierung des Stripesetdatenträgers beginnen. Das Vorgehen dabei wird in Abschnitt 11.4.3 ab Seite 420 erklärt.

288

9 Installation

9.1.6 Netzwerkhardware Windows 2000 kommt mit den meisten moderneren ISA Plug&Play Netzwerkadaptern zurecht. Allerdings empfiehlt sich bei einer Umstellung auf Windows 2000 der konsequente Einsatz von PCI-Karten, auch für die Netzwerkhardware. Vorsicht bei ACPI

Hinsichtlich des Einsatzes mehrerer PCI-Karten auf einem ACPISystem ist insbesondere zu beachten, dass es durch unsaubere Treiber, die heute noch gar nicht so selten trotzdem mit einem Windows 2000 Kompatibel! – Aufkleber ausgeliefert werden (dann aber ohne Signatur), zu einem sehr instabilen System kommen kann. Die ACPIImplementierung von Microsoft in Windows 2000 erzwingt einen gemeinsamen Interrupt für alle PCI-Geräte und benötigt damit absolut sicher laufende Treiber. Schert nur ein Gerätetreiber hier aus, und meist sind die der Netzwerkkarten dabei nicht ganz unbeteiligt, kommt es zu seltsamen Phänomenen bis hin zu plötzlichen Neustarts (natürlich immer vor dem Sichern des wichtigen Dokuments). Für einen sicheren Betrieb, der vielleicht ein wenig mehr Strom kostet, empfiehlt sich beim Einsatz mehrerer PCI-Erweiterungskarten heute eher ein Verzicht auf ACPI.

9.1.7 Grafikkarte AGP empfohlen

Windows 2000 unterstützt im Gegensatz zu Windows NT den Accelerated Graphics Port (AGP) vollständig und profitiert direkt von der höheren Geschwindigkeit gegenüber PCI. Falls noch nicht geschehen, sollten Sie bei der Überlegung für den Umstieg auf Windows 2000 gleich Ihre Grafikhardware auf den neuesten Stand bringen, wenn man einmal davon absieht, dass auch dieser in 6 Monaten wieder völlig veraltet sein wird...

Hohe 3D-Leistung

Wichtig übrigens auch für 3D-Grafikentwickler und Spielefreaks: Windows 2000 verfügt mit DirectX 7 und einer hardwarenahen Grafikansteuerung über die besten Voraussetzungen, moderne 3DAnwendungen mit maximaler Geschwindigkeit ausführen zu können. Zusammen mit der deutlich besseren Hauptspeicherausnutzung ab 128 MB aufwärts und der Möglichkeit, mit Stripesetdatenträgern eine viel höhere Festplattenleistung erreichen zu können, wird hier Windows 9x abgehängt. Voraussetzung dazu sind allerdings neueste Grafikkartentreiber der großen 3D-Chiphersteller. Die in Windows 2000 mitgelieferten sind in der Hinsicht noch wenig optimiert und lassen auch bei den unterstützten 3D-Features noch einige Wünsche offen.

9.2 Gedanken zum Installationsverfahren

289

9.1.8 Powermanagement und ACPI Windows 2000 unterstützt neben dem Advanced Power Management (APM) das modernere Advanced Configuration and Power Interface (ACPI) – im Gegensatz zu Windows 98 angeblich richtig. Allerdings empfiehlt es sich dringend, einen gründlichen Blich in die HCL (siehe Abschnitt 9.1.2) zu werfen und zu überprüfen, ob die eingesetzte Hardware dazu in der Lage ist. Windows 2000 checkt beim Installieren zwar selbst und installiert bei den kleinsten Zweifeln automatisch nur APM, allerdings haben sich in der Praxis die Klagen über unzuverlässig laufende ACPI-Systeme gehäuft. Die Vorteile eines sauber laufenden ACPI-Systems sind allerdings bes- Nur bei modernsere Plug&Play- und Stromsparfähigkeiten. Der Einsatz empfiehlt sich sten Systemen mit aber nur dann, wenn Sie über neueste Hardware und saubere Treiber sauberen Treibern mit Signatur verfügen. Anderenfalls fahren Sie besser, wenn Sie während der Installation auch einen durch Windows 2000 erkannten ACPI-PC auf APM umstellen.

9.2 Gedanken zum Installationsverfahren Bevor es konkret an die Installation von Windows 2000 geht, sollten noch ein paar Gedanken den Möglichkeiten gewidmet werden, die Sie zur Installation haben. Das betrifft die Frage nach den Upgrademöglichkeiten oder wie Sie die Installation möglichst schnell und effizient durchführen können.

9.2.1 Neuinstallation oder Upgrade ? Entscheidend für den Erfolg einer Windows 2000 Installation ist die gründliche Überlegung, ob eine Neuinstallation oder ein Upgrade einer bestehenden Windows-Installation der bessere Weg ist. In diesem Abschnitt wollen wir einige Gedanken darüber diskutieren, beispielsweise welche Hürden bei einem Upgrade auftauchen können oder wann eine komplette Neuinstallation der bessere Weg sein kann.

Upgrademöglichkeiten für Windows 2000 Windows 2000 Professional können Sie von einer Reihe alter Microsoft-Windows-Betriebssysteme upgraden. Die folgende Tabelle zeigt Ihnen alle Windows-Versionen, die dafür in Frage kommen:

290 Tabelle 9.2: Upgrademöglichkeiten für Windows 2000

9 Installation

Windows-Version

Upgrade möglich

Windows 3.x

Windows 9x

Windows NT 3.1

Windows NT Workstation 3.51/4.0

Ein Upgrade von der ersten Windows NT-Version ist generell nicht möglich. Es bleibt Ihnen nur der Weg des umständlichen Updates auf NT 3.51 oder 4.0 oder die Neuinstallation, welche dringend zu empfehlen ist. Upgrade: Kein Weg Sie sollten beachten, dass Windows 2000 kein Uninstall kennt. Einmal zurück! als Upgrade installiert, gibt es keinen Weg mehr zurück. Im schlimms-

ten Fall kann so eine zuvor gut funktionierende Konfiguration zerstört werden. Sichern Sie deshalb besser Ihre alte Bootpartition mit einem Tool wie beispielsweise Norton Ghost (www.symantec.de) oder Drive Image von PowerQuest (www.powerquest.com). Im Falle eines fehlgeschlagenen Upgrades können Sie so die alten Strukturen vollständig wieder herstellen und sich dann doch an eine Neu- oder Parallelinstallation machen.

Upgrade von Windows 9x Windows 2000 bietet sich mit seiner Unterstützung des FAT32Dateisystems (siehe auch Kapitel 5 Dateisysteme ab Seite 129) und der im Vergleich zu Windows NT breiteren Treiberverfügbarkeit geradezu an, Windows 9x im professionellen Umfeld direkt abzulösen. Upgrade-Voraussetzungen

Überprüfen mit APCOMPAT.EXE

Ein Upgrade empfiehlt sich allerdings nur, wenn die folgenden Voraussetzungen gegeben sind: •

Sie haben Windows 9x nur zusammen mit normaler WindowsStandardsoftware auf Ihrem System im Einsatz.

•

Sie haben sich vergewissert, dass für Ihre installierten Hardwarekomponenten Windows 2000-Treiber existieren (siehe auch Abschnitt 9.1.2 Die Hardware-Kompatibilitätsliste ab Seite 284).

•

Eventuell im Einsatz befindliche ältere DOS-Software haben Sie zuvor praktisch auf seine Lauffähigkeit unter Windows 2000 überprüft. Gerade alte Software, die vom DOS Protected Mode Interface (DPMI) regen Gebrauch macht, kann sich unerwartet als inkompatibel erweisen.

Für die Überprüfung Ihres Systems steht ein Dienstprogramm auf der Installations-CD zur Verfügung. Mit diesem lassen sich die installierten Anwendungen auf Kompatibilität mit Windows 2000 kontrollie-

9.2 Gedanken zum Installationsverfahren

291

ren. Anwendungen, die als inkompatibel erkannt werden, sollten Sie, wenn Sie dennoch ein Upgrade durchführen wollen, zuvor deinstallieren und nach dem erfolgreichen Upgrade in einer aktuellen, Windows 2000 konformen Version neu installieren. Haben Sie diese Gegebenheiten Ihrer Windows 9x-Installation zu be- Wann ein Upgrade vermeiden? rücksichtigen, sollte ein Upgrade vermieden werden: •

Sie benutzen Tools wie beispielsweise Schriftverwaltungsprogramme oder spezielle Kommunikationssoftware, auf die Sie angewiesen sind und nicht verzichten können.

•

Sie haben Multimedia-Hardware im Einsatz wie beispielsweise Video-Framegrabber oder DVD-Dekoderhardware, für die momentan nur wenig Windows 2000-Treiber existieren.

•

Sie benutzen CD-Brenner, für die Sie nicht explizit Angaben zu neuen Treibern für Windows 2000 und vor allem Updates zur Brennersoftware vom Hersteller bekommen. So werden beispielsweise noch immer modere USB-Brenner zu einfachen CD-Readern degradiert, weil die Entwicklung passender Treiber und Brennsoftwareupdates hinterherhinkt.

Besser ist es dann, Windows 2000 parallel zu installieren. Mit der Un- Parallele Installaterstützung des FAT32-Dateisystems kann es, ausreichend Speicher- tion statt Upgrade platz vorausgesetzt, in einem anderen Verzeichnis oder auf einem anderen logischen Datenträger zusammen mit Windows 9x auf dem Computer gehalten werden. Das automatisch von Windows 2000 installierte Bootmenü erlaubt dann wahlweise den Start eines der Betriebssysteme. So können Sie übergangsweise die fehlenden Funktionen von Windows 2000 durch Start Ihrer alten Windows 9xKonfiguration ersetzen.

Upgrade von Windows NT Ein Upgrade von Windows NT ist im Vergleich zu Windows 9x deutlich einfacher. Hier wird es deutlich weniger der Fall sein, dass Programme oder Hardwarekomponenten, die unter NT liefen, mit Windows 2000 Probleme machen. Für die Überprüfung Ihres Systems sollten Sie auch hier das Dienst- Überprüfen mit programm APCOMPAT.EXE von der Installations-CD ausführen. Mit APCOMPAT.EXE diesem lassen sich die unter NT installierten Anwendungen auf Kompatibilität mit Windows 2000 kontrollieren. Anwendungen, die als inkompatibel erkannt werden, sollten Sie, wenn Sie dennoch ein Upgrade durchführen wollen, zuvor deinstallieren und nach dem erfolgreichen Upgrade in einer aktuellen, Windows 2000 konformen Version neu installieren.

292 Achtung bei Kommunikationstreibern

Parallele Installation statt Upgrade

9 Installation Besondere Aufmerksamkeit verdienen Kommunikationstreiber wie beispielsweise für ISDN-Geräte. Diese wurden unter NT umständlich über den Remote Access Service (RAS) eingebunden und werden unter Windows 2000 endlich richtig unterstützt. Allerdings sollten Sie sich vergewissern, dass es aktuelle Treiber für Ihr Gerät gibt, anderenfalls kann es nach dem Upgrade ein böses Erwachen geben, wenn Sie plötzlich aus der Internet- und E-Mailwelt ausgesperrt sind. Auch mit Windows NT können Sie eine Parallelinstallation durchführen. Haben Sie als gemeinsames Dateisystem NTFS (Windows NT ab Service Pack 4 notwendig!), sollten Sie allerdings den möglichen Aufwand berücksichtigen, den Windows 2000 bei jedem Neustart für die Aktualisierung des NTFSv5-Eigenschaften aufwenden muss (siehe auch Abschnitt 5.4.9 Zur Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 174).

Vorteile einer Neuinstallation Besser: Neuinstallation

Vorteile von NTFS berücksichtigen

Falls irgend möglich, sollten Sie einer Neuinstallation von Windows 2000 den Vorzug geben. Dabei macht es Sinn, gleich die bisher verwendete Hardware einer kritischen Prüfung zu unterziehen (siehe auch Seite 283) und hoffnungslos veraltete Komponenten wie beispielsweise ISA-Karten auszutauschen. Für das sichere und problemlose Arbeiten von Windows können die folgenden optimalen Bedingungen gelten, denen Sie über eine Neuinstallation meist am besten gerecht werden können: •

Prüfen Sie, ob Ihr PC den Mindestvoraussetzungen für die Hardware genügt; achten Sie vor allem auf ausreichend Hauptspeicher.

•

Verwenden Sie für alle Hardwarekomponenten wie Erweiterungskarten oder externe Geräte neueste Treiber, die explizit für Windows 2000 geeignet sind. Am besten sind natürlich Geräte und Treiber, die Sie in der HCL (siehe Seite 284) wiederfinden.

•

Machen Sie sich vor der Installation Gedanken über die (Neu-)Aufteilung der Bootfestplatte. Eine Bootpartition von 500 MB macht genauso wenig Sinn wie ein Bereich am physischen Ende einer Festplatte.

•

Wollen Sie eine spätere dynamische Erweiterbarkeit Ihrer Datenträger schon heute berücksichtigen, müssen Sie diese neu auf dynamischen Festplatten anlegen. Übernommene Partitionen und logische Laufwerke in erweiterten Partitionen sind dazu prinzipiell nicht geeignet (siehe dazu auch Seite 286).

•

Berücksichtigen Sie, dass erst das Dateisystem NTFS (siehe auch Kapitel 5 Dateisysteme ab Seite 129) in der Version 5 jetzt mit mehr Möglichkeiten Ihnen alle Vorteile bringt, die Windows 2000 bieten

9.2 Gedanken zum Installationsverfahren

293

kann. Erst mit NTFS arbeitet beispielsweise der Indexdienst (siehe Seite 123) richtig effizient oder funktioniert die Wiederherstellung nach einem Systemabsturz deutlich zuverlässiger. Nicht zu vergessen die Möglichkeit, mit dem verschlüsselnden Dateisystem (EFS; siehe Seite 166) Daten wirkungsvoll schützen zu können. •

Sie können zwar jederzeit FAT- oder FAT32-Datenträger nach Nachteile bei nachNTFS konvertieren, allerdings gibt Microsoft für diese Datenträger träglicher Umwaneine geringere Leistungsfähigkeit im Vergleich zu direkt mit NTFS dlung in NTFS erstellten an.

9.2.2 Mögliche Installationsverfahren Für die Installation von Windows 2000 Professional haben Sie verschiedene Möglichkeiten. Diese reichen von einer einfachen Installation über ein bootfähiges CD-ROM-Laufwerk bis hin zum vollautomatisierten Setup über einen RIS-Server (Remote Installation Service) mit einer bootfähigen Netzwerkkarte. In diesem Abschnitt wollen wir Ihnen diese Möglichkeiten vorstellen, um Ihnen eventuell bei der Auswahl des für Sie optimalen Verfahrens helfen zu können.

Installation über ein bootfähiges CD-ROM-Laufwerk Windows 2000 wird auf einer bootfähigen CD geliefert. Kann Ihr Computersystem den Bootvorgang über eine CD durchführen, steht der einfachen Installation meist nichts mehr im Wege. Nach Aktivierung der entsprechenden Boot-Sequenz im BIOS-Setup wird beim Systemstart das Setup direkt von der CD geladen und die Installation kann beginnen. Weitere Hinweise zum Installationsvorgehen über ein bootfähiges CDROM-Laufwerk finden Sie in Abschnitt 9.5 Installation mit bootfähigem CD-Laufwerk ab Seite 304.

Installation mit den Windows 2000 Bootdisketten Für Konfigurationen ohne bootfähigem CDROM-Laufwerk gibt es auch Windows 2000 Startdisketten. Diese vier Disketten sind nicht im Lieferumfang enthalten, können aber mit einem Dienstprogramm, welches sich auf der Windows 2000 Professional-CD befindet, einfach erstellt werden. Wie Sie diese Disketten erzeugen können und was es dabei sonst noch zu beachten gibt, können Sie in Abschnitt 9.6 Installation mit Hilfe der Bootdisketten ab Seite 305 nachlesen.

294

9 Installation Installation über den Aufruf von WINNT.EXE / WINNT32.EXE Diese eigentlichen Setup-Programme für Windows 2000 befinden sich im Ordner der Installationsdateien, auf der CD unter \I386 (siehe auch Abschnitt 9.4 Inhalt der Installations-CD ab Seite 301). Bei einer PCKonfiguration, die nicht über ein bootfähiges CDROM-Laufwerk verfügt oder bei der die Installationsdateien lokal auf der Festplatte vorliegen, können Sie Setup über der Aufruf von WINNT.EXE beziehungsweise WINNT32.EXE starten. Diese Programme können über eine Reihe von zusätzlichen Optionen für ein angepasstes Setup beeinflusst werden. Die Optionen und weitere Hinweise zum Ausführen dieser Programme finden Sie in Abschnitt 9.7 Installation mit WINNT.EXE/WINNT32.EXE ab Seite 307.

Installation über das Netzwerk Für die Installation von Windows 2000 auf NetzwerkArbeitsplatzrechnern bieten sich verschiedene Wege an. In Abschnitt 9.7.4 Aufruf über das Netzwerk ab Seite 314 werden Ihnen diese vorgestellt und Hinweise für deren effektive Nutzung gegeben.

Automatisierte Installation Sind eine große Anzahl von Arbeitsplatzrechnern mit Windows 2000 zu versehen oder sollen möglichst effiziente Methoden implementiert werden, die bei einem Ausfall eines Rechners einen schnellstmöglichen Ersatz gewährleisten können, bieten sich verschiedene Werkzeuge und Wege für ein automatisiertes Setup an. Die wichtigsten werden in Abschnitt 9.9 Automatisierte Installation ab Seite 316 vorgestellt.

9.3 Hinweise zur Notebook-Installation Um alle Möglichkeiten zu nutzen, die Windows 2000 bietet, sollte das Notebook bestimmte technische Merkmale aufweisen. Beim Kauf eines Notebooks kann jedoch aus vielfältigen Gründen darauf selten Rücksicht genommen werden. Dieser Abschnitt beschreibt, wie Sie Windows 2000 trotzdem erfolgreich installieren können.

9.3.1 Kompatibilitätscheck Wichtig: aktuelles BIOS

Es ist sinnvoll, das BIOS des Notebooks auf den neuesten Stand zu aktualisieren. Bei allen modernen Notebooks ist das BIOS in einem

9.3 Hinweise zur Notebook-Installation

295

Flash-Speicherbaustein untergebracht, dessen Inhalt zwar permanent ist, von außen aber überschrieben werden kann. Es geht im wesentlichen um die Unterstützung der Stromsparfunktionen APM und ACPI. Es lohnt, einen Blick auf die Hardwarekompatibilitätsliste (siehe auch Abschnitt 9.1.2 Die Hardware-Kompatibilitätsliste ab Seite 284) zu werfen.

9.3.2 Upgrade von Windows 9x Notebooks werden häufig mit einem vorinstallierten Windows 98 oder Windows 95 geliefert. Wenn Sie Windows 2000 Professional später als Update oder Vollversion kaufen, ist eine Strategie zum Upgrade gefragt. Moderne Notebooks verfügen über eine ganze Palette von Leistungs- Zusätzliche merkmalen, wie sie auf vielen Desktop-Computern nicht bekannt Leistungsmerksind. Dazu gehören spezielle Treiber für das Mousepad, Sondertasten male für schnellen Funktionszugriff oder das integrierte Sound- und DVDSystem. Es gibt kaum einen sicheren Weg, die Lauffähigkeit der Notebook- Sicher: Parallele Software unter Windows 2000 vorher festzustellen. Am sichersten ist Installation deshalb eine Installation parallel zu Windows 9x. Dann können Sie in Ruhe eine Applikation nach der anderen nachinstallieren und sich gegebenenfalls im Internet neuere Versionen beschaffen, die auch Windows 2000 unterstützen. Abschnitt 9.3.3 Software-Upgrade für Spezialhardware ab Seite 297 geht speziell auf Treiber für spezielle Notebook-Hardware ein.

Das sichere Upgrade Das sicherste Upgrade ist eine Neuinstallation von Windows 2000 auf den Notebook. Um jedoch ein laufendes System dabei nicht zu verlieren, ist folgende Upgrade-Strategie zu empfehlen: •

Partitionieren Sie die Festplatte in mindestens zwei Bereich

•

Belassen Sie Windows 98 auf der einen Partition

•

Installieren Sie Windows 2000 Professional auf der anderen

Sie können so ohne Rücksicht auf Windows 98 alle Treiber und Software beschaffen und installieren und Funktionen der Hardware trotzdem weiter verwenden. Auch die Formatierung der Partition für Windows 2000 mit NTFS bereitet keine Probleme, bei einer gemeinsamen Partition mit Windows 98 müssten Sie bei FAT32 bleiben.

296 Partition Magic

9 Installation Zum Partitionieren bietet sich beispielsweise das Werkzeug Partition Magic 5.0 an. Der einfachste Weg besteht aus folgenden Schritten: 1.

Verringern Sie die Größe der bestehenden Partition

2.

Erstellen Sie in dem frei gewordenen Platz eine neue Partition

Nach der Eingabe der Änderungen wird der Vorgang gestartet. Ist die Festplatte sehr voll und fragmentiert, kann das einige Zeit dauern. Bei Festplattengrößen von 12 GByte und mehr sind Repartitionierungszeiten von mehr als 1 Stunde keine Seltenheit. Abbildung 9.2: Schritt 1: Reduzieren Sie den Platz der alten Partition

Nach dem Reduzieren der ursprünglichen Partition legen Sie in dem frei gewordenen Bereich eine neue Partition an. Abbildung 9.3: Schritt 2: Erstellen einer neuen Partition

9.3 Hinweise zur Notebook-Installation

297

Den Dateityp können Sie gleich als NTFS festlegen oder später vom Windows 2000-Setup verändern lassen. Partition Magic eignet sich übrigens nicht nur für die Vorbereitung einer Installation von Windows 2000. Wenn Sie beim Umstieg auch eine Blick auf Linux werfen möchten, können Sie das im gleichen Arbeitsgang tun. Abbildung 9.4: Multiple Persönlichkeit: Computer mit drei Betriebssystemen

Nach dieser Prozedur installieren Sie Windows 2000 Professional ganz normal. Sie müssen natürlich auf die Auswahl der richtigen Partition achten und – das ist ganz wichtig – mehrfach den Vorschlag wegklicken, Windows 98 zu aktualisieren. Diese von Microsoft mit dem netten Hinweis (EMPFOHLEN) gekennzeichnete Option ist bei modernen Notebooks nur selten so erfolgreich, wie man es erwarten könnte.

9.3.3 Software-Upgrade für Spezialhardware Notebooks zeichnen sich oft durch eine besonders aufeinander abge- Probleme bei der stimmte Komposition aus Hard- und Software aus. Die mitgelieferten Installation auf Softwarepakete sind meist OEM-Versionen, die für Windows 98 ent- Notebooks wickelt worden sind. Abgesehen davon sind auch die installierten Programme nur selten auf CD separat verfügbar. Eine nachträgliche Installation kann oft nur aus einem vorbereiteten Backup-Verzeichnis heraus erfolgen.

298

9 Installation Dieser Abschnitt zeigt, mit welcher Strategie Sie Ihr Notebook dennoch unter Windows 2000 Professional zur Höchstform auflaufen lassen. Gezeigt wird das exemplarisch an einem Notebook1, welches standardmäßig mit Windows 98 geliefert wird und für den vom Hersteller momentan keine Upgrademöglichkeit auf Windows 2000 Professional vorgesehen ist.

Erkennen von Komponenten Generell sollten Sie nicht erst Windows 98 löschen und dann mit installiertem Windows 2000 auf Treibersuche gehen. Analysieren Sie zuerst die Komponenten des Computers. Standardbausteine

Auch ein Notebook wird aus Standardbausteinen zusammengebaut. Der Fakt, dass die Chips der einzelnen Bauteile nicht auf Steckkarten sitzen und nicht ausgetauscht werden können, ändert nichts an der Tatsache, dass Standardtreiber eingesetzt werden. Der erste Schritt besteht also in einer Analyse der vorhandenen Hardware.

Windows 98 analysiert die Hardware

Starten Sie dazu den GERÄTEMANAGER (über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | SYSTEM). Öffnen Sie hier alle Einträge und analysieren Sie die Anzeige. Abbildung 9.5 zeigt diese Liste für das BeispielNotebook.

1

Als Testobjekt diente ein Compaq Presario 1800.

9.3 Hinweise zur Notebook-Installation

299 Abbildung 9.5: Anzeige der Komponenten im Gerätemanager von Windows 98

Bei allen Einträgen, in denen Angaben wie »Standard...« oder »GENERIC« stehen, können Sie normalerweise davon ausgehen, dass auch Windows 2000 geeignete Standard-Treiber mitbringt. Wenn Sie sich nicht sicher sind, doppelklicken Sie den Eintrag und suchen Sie in dem folgenden Dialog nach den Eintrag HERSTELLER.

300

9 Installation

Abbildung 9.6: Standardkomponenten haben keinen Hersteller

Ist dort nichts, der Eintrag MICROSOFT oder, wie in Abbildung 9.6 (Standardanschlusstypen) angegeben, brauchen Sie sich um diese Elemente nicht weiter kümmern. Windows 2000 wird diese Bausteine erkennen und den richtigen Treiber installieren. Wenn bei Hersteller ein anderer Name eingetragen ist, konsultieren Sie noch die Registerkarte Treiber. In der folgenden Abbildung sehen Sie die Treiber-Angabe für eine Intel-Netzwerkkarte. Der Treiber-Hersteller ist hier Microsoft.

9.4 Inhalt der Installations-CD

301 Abbildung 9.7: Eigenschaften-Anzeige für eine Netzwerkkarte

Anders sieht es mit den Bausteinen aus, für die der Hersteller des No- Spezielle Treiber tebooks spezielle Treiber mitliefert. Standardtreiber genügen zwar oft, notwendig nutzen aber die Leistungen nicht unbedingt bis zuletzt aus. Für die Suche nach geeigneten Treibern und Informationen über deren Verfügbarkeit helfen oft die Websites der Notebook-Hersteller. Darüber hinaus empfehlen sich die folgenden Sites: www.driverguide.com www.driverzone.com www.drivershq.com www.heise.de/ct/treiber/ www.treiber.de www.treiber-shop.de Auf diesen Seiten finden Sie meist nicht direkt die Treiber, sondern Links zu den Herstellern der Bauteile. Mit den bereits aus dem Gerätemanager gewonnenen Angaben können Sie oft die richtigen Treiber finden und herunterladen.

9.4 Inhalt der Installations-CD Die Installations-CD der aktuellen deutschen Professional-Version von Windows 2000 enthält neben den Dateien für das Setup einige weitere recht interessante Informationsquellen und Hilfsprogramme. Die fol-

302

9 Installation gende Tabelle zeigt ein Abbild der aktuellen Microsoft-CD der Vollversion:

Tabelle 9.3: Inhalt der Windows 2000 Professional-CD

Verzeichnis

Inhalt

\BOOTDISK

Enthält Images der vier Bootdisketten von Windows 2000 sowie die dazugehörigen Dienstprogramme, mit denen die Images auf Disketten übertragen werden können: MAKEBOOT.EXE (16 Bit) und MAKEBT32.EXE (32 Bit)

\DISCOVER

Die Entdeckungstour durch Windows 2000; erstellt als HTML-Werbesite und aufrufbar über einen Webbrowser (Datei DEFAULT.HTM).

\I386

Das eigentliche Installationsverzeichnis; enthält alle benötigten Windows 2000-Installationsdateien.

\SETUPTXT

Enthält zwei Textdateien, die Hinweise zur Installation geben: PRO1.TXT und PRO2.TXT. Es sind nur deshalb zwei Dateien, damit sie mit dem Texteditor Notepad.exe von Windows 9x geöffnet werden können.

\SUPPORT

Unterverzeichnis TOOLS Enthält verschiedene Support-Tools; diese können mit dem enthaltenen Programm SETUP.EXE installiert werden. Diese Tools stellen eine Untermenge der Tools des Windows 2000 Professional Ressource Kit dar. Programm APCOMPAT.EXE Ein Dienstprogramm zum Auffinden inkompatibler Applikationen unter Windows NT 4 (ab Service Pack 3) und Windows 9x. Textdatei HCL.TXT Enthält die Hardware Compatibility List für Windows 2000; die aktuelle Fassung ist auf der Website von Microsoft zu finden.

\VALUEADD

Enthält zusätzliche Tools und Infos von Drittherstellern und von Microsoft (siehe nächste Tabellen). Datei VALUEADD.HTM HTML-Datei mit Hinweisen zu diesen Programmen.

Die zusätzlichen Tools und Informationen im Verzeichnis \VALUEADD verdienen Beachtung und sind in der folgenden Tabelle in einer Übersicht zusammengefasst:

9.4 Inhalt der Installations-CD

Verzeichnis CA_ANTIV

Tabelle 9.4: Tools und Infos in Enthält die Antivirensoftware InoculateIT AntiVirus \VALUEADD\ AVBoot 1.1 der Firma Computer Associates Internatio- 3DPARTY\

Inhalt

nal, Inc. Beachten Sie die Hinweise der Datei README.TXT in diesem Verzeichnis. Das Programm ist ausgelegt zum Erkennen der wichtigsten Bootsektor- und speicherresidenter Viren. Es bietet keine Suchfunktionen zum Erkennen infizierter Dateien auf einem Datenträger und stellt keinen Ersatz für professionelle Antivirensoftware dar. Link: www.cai.com LEVEL8

Enthält das Programm Message Queuing Connector der Firma Level 8 Systems, Inc. Das Programm dient der Implementierung der Microsoft Message Queue (MSMQ) API in heterogenen Systemwelten zur Verbindung mit Betriebssystemen anderer Hersteller. Link: www.level8.com

MGMT\AGENTS

Die Datei README.HTM ist eine HTML-Seite und enthält einen Link auf Agenten, welche die Windows Management Instrumentarien über das Web unterstützen.

MGMT\CITRIX

Enthält die Citrix ICA-Clients für Windows 3x, Windows 9x, Windows NT und 2000. Diese erlauben die Ausführung von Programmen über den Windows Terminal Server mit Citrix MetaFrame. Link: www.citrix.com

MGMT\INTELDMI Tools für Intels Desktop Management Interface (DMI) zur Inventarisierung und Systemüberwachung über das Netzwerk Link: www.intel.de MGMT\WINSTLE

303

Enthält den WinInstall LE (Limited Edition) von Veritas Software, mit dem sich normale WindowsSetupprogramme in das Windows 2000 InstallerFormat bringen lassen. Link: www.veritas.com/products/wile

In der letzten Tabelle zum CD-Inhalt wird das Verzeichnis \VALUEADD\MSFT betrachtet, in welchem Microsoft zusätzliche Tools und Informationen liefert:

304 Tabelle 9.5: Inhalt in \VALUEADD\ MSFT\

9 Installation

Verzeichnis

Inhalt

FONTS

Enthält zwei zusätzliche TrueType-Fonts: Arial Alternative Symbol und Arial Alternativ Regular.

MGMT\ADC

Enthält den Active Directory Connector, mit welchem Sie Microsoft Exchange Server 5.5 MailKonten, Benutzereinstellungen und Verteilungslisten mit Windows 2000-Benutzern, -Gruppen und -Kontakten synchronisieren können.

MGMT\IAS

Hier finden Sie das Snap-In für den Windows NT 4 Internet Authentication Service (IAS), den Sie so direkt von Windows 2000 über eine Managementkonsole administrieren können.

MGMT\MS_SMS

Enthält das Systems Management Installationsprogramm, mit welchem Sie ein Windows 2000 Professional-System zu einem Client des Systems Management Servers machen können.

MGMT\MSTSC_HPC

Enthält den Microsoft Terminal Server Client für Handheld PC (HPC), Version 2.11 und 3.0

MGMT\PBA

Enthält den Telefonbuchadministrator von Windows 2000

MGMT\WBEMODBC Enthält einen Adapter für das Windows Management Instrumentarium (WMI), mit welchem Sie über eine Standard-API mit ODBC-basierten Programmen auf die Daten der WMI Common Information Management (CIM) zugreifen können, als wäre es eine relationale Datenbank. XTRADOCS\SCRIPTS Vier zusätzliche Hilfedateien, die Dokumentationen enthalten zu

XTRADOCS\SERK

•

JScript

•

VBScript

•

Windows Scripting Components

•

Windows Scripting Host

Das Frontpage 2000 Server Extensions Ressource Kit. Die HTML-Datei DEFAULT.HTM ist der Ausgangspunkt für das Lesen und Benutzen der Dokumentation für die Installation.

9.5 Installation mit bootfähigem CD-Laufwerk Windows 2000 wird auf einer startfähigen CD-ROM geliefert. Die Installation sollte somit auf Standard-PCs heute kein Problem sein.

9.6 Installation mit Hilfe der Bootdisketten

305

Installation auf PCs mit IDE-Interface Verfügt Ihr PC ausschließlich über CD-ROM und Festplatten mit IDEInterface sowie ein moderneres BIOS, steht einer einfachen Installation nichts im Weg. Das BIOS muss lediglich die Einstellung der Systemstartreihenfolge ermöglichen auf 1. CD-ROM 2. Laufwerk C Dann sollte der Start direkt von den Installations-CD mit Aufruf des Windows 2000 Setups funktionieren.

Installation auf PCs mit SCSI-Interface Verfügt Ihr System über ein SCSI-Hostadapter für die Ansteuerung Reine SCSIder Festplatten und des CDROM-Laufwerks, bleibt nur der Weg über Umgebung das BIOS des Adapters. Unterstützt dieses das Booten von CD, haben Sie gewonnen. Auf den verbreiteten NCR-Adaptern, die über eine SMS-BIOSErweiterung des Mainboards angesprochen werden, gibt es diese Möglichkeit leider meist nicht. Manchmal verfügt dann aber das BIOS des PC über eine entsprechende Auswahlmöglichkeit. Eine weit verbreitete Konfigurationsvariante bei professionellen PCs CD am IDE-Kanal ist der Anschluss preiswerter CD-ROM-Laufwerke an einem der heute standardmäßig auf den meisten Mainboards vorhandenen IDE-Kanäle und der Betrieb der Festplatten an einem SCSI-Adapter. In einem solchen Fall haben Sie es wieder besonders leicht. Sie brauchen nur im BIOS des PC die Startreihenfolge einstellen auf: 1. CD-ROM 2. SCSI Das weitere Vorgehen bei der Installation ist Inhalt des Abschnittes 9.8 Die weiteren Installationsschritte ab Seite 315.

9.6 Installation mit Hilfe der Bootdisketten Verfügen Sie nicht über ein bootfähiges CD-ROM-Laufwerk beziehungsweise gibt es keine Möglichkeit zu einer entsprechenden Konfiguration im BIOS des Mainboards oder des eventuell verwendeten SCSI-Adapters, können Sie die Installation mit Hilfe der Windows 2000 Bootdisketten versuchen. Mitgeliefert werden diese nicht physisch, sind aber als Image-Dateien auf der Installations-CD nebst dazugehörigem Kopierprogramm vorhanden.

306 Langsamster Weg!

9 Installation Der Weg über die Bootdisketten ist so ziemlich der aufwändigste, über den Sie Windows 2000 installieren können und empfiehlt sich nur dann, wenn es keine Möglichkeit gibt, die Installationsdateien aus dem Verzeichnis \I386 auf den PC zu bekommen.

Voraussetzungen zum Erstellen der Bootdisketten Für die Erstellung der Bootdisketten benötigen Sie Zugriff auf die Installations-CD sowie eines der Betriebssysteme MS-DOS (beziehungsweise kompatibel) oder Windows 3.x/9.x/ME/NT/2000. Dazu brauchen Sie vier leere, formatierte 1.44 MB, 3.5"-Disketten. CD am Installations-PC lesbar?

Haben Sie an Ihrem PC, auf den Windows 2000 installiert werden soll, bereits Zugriff auf die CD, können nur nicht von ihr starten, ist es einfacher, direkt von der CD oder nach dem Kopieren aller relevanten Dateien das Setup lokal von der Festplatte zu starten (siehe Abschnitt 9.7 Installation mit WINNT.EXE/WINNT32.EXE ab Seite 307).

Die Tools MAKEBOOT.EXE und MAKEBT32.EXE Microsoft liefert für die Erstellung der Bootdisketten zwei Tools mit, die sich auf der Installations-CD im Verzeichnis \BOOTDISK befinden: 1. MAKEBOOT.EXE Das ist ein einfaches DOS-Programm für 16 Bit-Umgebungen und eignet sich so für die Erstellung direkt unter MS-DOS. 2. MAKEBT32.EXE Dieses Programm arbeitet völlig identisch, ist allerdings als 32 BitAnwendung geschrieben. Beide Programme verfügen nicht über eine grafische Oberfläche, sondern arbeiten rein textorientiert. Die Bedienung ist denkbar einfach: 4 Disketten 3.5" 1.44 MB

Rufen Sie eines der Programme über den Windows Explorer oder direkt an der Kommandozeile auf. Sie können als einzige Option den Laufwerkbuchstaben des entsprechenden Diskettenlaufwerks angeben. Haben Sie das nicht getan, können Sie dies nach dem Start des Tools auch noch eingeben. Danach kopiert das Tool die vier ImageDateien nacheinander auf die Disketten. Sie sollten nicht vergessen, diese von 1 bis 4 zu nummerieren, da das Setup sich nachher auf die Disketten bezieht. Für den Start des Setups brauchen Sie nur den PC mit eingelegter erster Diskette neu starten. Vergewissern Sie sich aber, ob in der Startreihenfolge im BIOS des PC das Diskettenlaufwerk an erster Stelle steht.

9.7 Installation mit WINNT.EXE/WINNT32.EXE

307

Das schrittweise Vorgehen bei einer normalen Installation wird in Abschnitt 9.8 Die weiteren Installationsschritte ab Seite 315 behandelt.

9.7 Installation mit WINNT.EXE/WINNT32.EXE Haben Sie kein bootfähiges CDROM-Laufwerk zur Verfügung oder wollen Sie das Setup lokal aus dem Installationsverzeichnis \i386 starten, haben Sie dazu die Möglichkeit über den Aufruf von WINNT.EXE und WINNT32.EXE. Diese beiden Applikationen sind die eigentlichen Setup-Programme von Windows 2000. Die Verwandtschaft mit Windows NT wird dabei nicht geleugnet. Haben Sie direkten Zugriff auf das Installationsverzeichnis, ist der Zugriff auf die Aufruf des Setups über eines der beiden Programme kein Problem. Installationsdateien Wie Sie die Installationsdateien auf die lokale Festplatte des zu installierenden PCs bekommen, wenn auf diesem noch kein Betriebssystem installiert ist, können Sie in Abschnitt 9.7.3 Installation von einem lokalen Verzeichnis ab Seite 312 erfahren. Die Installation mit WINNT.EXE beziehungsweise WINNT32.EXE über einen Netzwerkpfad ist unter anderem Inhalt des Abschnitts 9.7.4 Aufruf über das Netzwerk ab Seite 314. WINNT.EXE ist die 16 Bit-Version des Setups und lässt sich so aus 16 Bit: WINNT.EXE MS-DOS oder Windows 3.x heraus aufrufen. Ein Upgrade einer bestehenden Windows-Konfiguration (siehe Tabelle 9.2 ab Seite 290) ist mit WINNT.EXE grundsätzlich nicht möglich; Sie können nur eine Neuinstallation durchführen. WINNT32.EXE ist das 32 Bit-Gegenstück und für den Start aus Win- 32 Bit: WINNT32.EXE dows 9x und NT gedacht. Es eignet sich sowohl zum Upgrade eines bestehenden Windows-Systems als auch zur Neuinstallation.

9.7.1 Kommandozeilen-Optionen von WINNT.EXE Die Kommandozeilen-Optionen, mit denen Sie das Verhalten des Setups über WINNT.EXE von der MS-DOS Kommandozeile oder bei einem Aufruf von Windows 3.x beeinflussen können, finden Sie in der folgenden Tabelle.

Option /a

Tabelle 9.6: Optionen für Aktiviert für das Setup die Eingabehilfen für WINNT.EXE

Bedeutung

behinderte Menschen

308

9 Installation Option

Bedeutung

/e:

Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise: /e:befehle.txt

/r:

Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows 2000Stammverzeichnis erhalten.

/rx:

Entspricht exakt der Option /r:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.

/s:

Sie können die Position des Verzeichnisses der Windows 2000-Installationsdateien \i386 explizit angeben. Der Pfad muss vollständig angegeben werden, beispielsweise C:\INSTALL\I386 und kann sich auch auf Netzwerkfreigaben beziehen, beispielsweise \\DISTSERV\INSTALL\I386.

/t:

Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.

/u:

Geben Sie eine Textdatei an, welche die Antwort-Konfiguration für ein unbeaufsichtigtes Setup enthält. Diese Option erfordert auch die Angabe der Option /s.

9.7 Installation mit WINNT.EXE/WINNT32.EXE Option

309

Bedeutung

/udf:[,] Mit dieser Option können Sie die unter /u angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.

Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installa- Unbeaufsichtigtes tion einrichten können, erfahren Sie in Abschnitt 9.9.2 Antwortdateien Setup ab Seite 318.

9.7.2 Kommandozeilen-Optionen von WINNT32.EXE Die Kommandozeilen-Optionen von WINNT32.EXE entsprechen in großen Teilen denen für WINNT.EXE. Zusätzlich haben Sie Optionen, die für das Upgrade Bedeutung haben.

Option /checkupgradeonly

Tabelle 9.7: Optionen für Setup führt nur eine Überprüfung auf Kompati- WINNT32.EXE

Bedeutung

bilität Ihres Systems für ein Upgrade durch. Das Ergebnis finden Sie im Installationsordner in der Datei UPGRADE.TXT (Windows 9x) beziehungsweise WINNT32.LOG (Windows NT). /cmd:

Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise: /e:befehle.txt

/cmdcons

Fügt dem Bootmenü in der Datei BOOT.INI (siehe auch Abschnitt 4.3.7 Die Datei Boot.ini ab Seite 103) einen Eintrag für den Start der Wiederherstellungskonsole hinzu.

/copydir:

Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows 2000Stammverzeichnis erhalten.

310

9 Installation Option

Bedeutung

/copysource:

Entspricht exakt der Option /copydir:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.

/debug:

Erstellt während der Installation ein Protokoll in der Datei mit dem angegebenen Level. Die möglichen Level sind: 0 – Schwere Fehler 1 - Fehler 2 - Warnungen 3 - Informationen 4 – Detaillierte Informationen Beispiel: /debug3:C:\INSTALL.LOG

/m:

Sie können einen alternativen Ordner für die Installationsdateien angeben. Dort sucht Setup nach seinen Dateien dann zuerst, dann im Ursprungsverzeichnis \I386. Damit können Sie beispielsweise im unter /m angegebenen Verzeichnis Dateien des aktuellen Service Packs ablegen, welche so immer garantiert installiert werden. Alle anderen Dateien, die nicht im Service Pack enthalten sind, übernimmt Setup aus dem Ursprungsverzeichnis.

/makelocalsource

Setup kopiert alle Installationsdateien auf die lokale Festplatte, sodass die eventuell benutzte Installations-CD nach dem ersten Neustart nicht mehr benötigt wird.

/noreboot

Setup wird veranlasst, nach der ersten Initialisierungsphase nicht automatisch neu zu starten, so dass Sie eventuell weitere Einstellungen manuell vornehmen beziehungsweise Befehle ausführen können.

/s:

Mit können Sie eine oder mehrere alternative Quellen der Installationsdateien angeben; der Parameter kann mehrfach verwendet werden. Die Pfadangabe muss dabei vollständig erfolgen mit :\ beziehungsweise der kompletten Netzwerkangabe: \\<server> \ So kann die Netzwerkinstallation beispielsweise beschleunigt werden, wenn verschiedene Installationsdateien von mehreren Servern bereitgestellt werden.

9.7 Installation mit WINNT.EXE/WINNT32.EXE Option

Bedeutung

/syspart:

Präpariert eine mit angegebene Festplatte für eine anschließende Montage in einen anderen PC, um dort die Installation zu beenden. Die Bootpartition dieser Festplatte wird als aktiv gekennzeichnet und alle für das Setup benötigten Dateien werden temporär abgelegt. Dann wird die erste Phase des Setups ausgeführt. Nach dem Umbau der Festplatte kann der neue PC direkt von dieser starten und führt die Installation zu Ende.

311

Das Setup mit dieser Option kann nur auf einem Windows NT oder 2000-System ausgeführt werden und erfordert zusätzlich die Angabe der Option /tempdrive: (siehe unten). /tempdrive:

Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSISystemen erreichen Sie dann ein schnelleres Setup.

/unattend

Startet das Setup im unbeaufsichtigten Modus. Ohne eine weitere Angabe wird ein Upgrade unbeaufsichtigt durchgeführt; mit Optionen können Sie das Verhalten während einer Neuinstallation festlegen: <sec>:

/unattend [optionen]

<sec>

Wartesekunden vor Neustart beim Setup

Name der Antwortdatei /udf:[, Mit dieser Option können Sie die unter ] /unattend angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.

Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installa- Unbeaufsichtigtes tion einrichten können, erfahren Sie in Abschnitt 9.9.2 Antwortdateien Setup ab Seite 318.

312

9 Installation

9.7.3 Installation von einem lokalen Verzeichnis Sie können das komplette Verzeichnis \I386 auf die Festplatte in ein lokales Installationsverzeichnis kopieren und von hier aus die Installation mit dem Aufruf von WINNT.EXE oder WINNT32.EXE starten. Kopieren von \i386 auf die Festplatte

Das Kopieren dieses Verzeichnisses auf die lokale Festplatte von der CD kann sich dabei manchmal als recht hinderlich erweisen, insbesondere dann, wenn es sich um ein nacktes System handelt, auf dem weder MS-DOS mit CD-Zugriff noch Windows installiert sind. Nützlich kann dann eine MS-DOS-Startdiskette sein, mit welcher Sie den Computer starten und danach auf das CDROM-Laufwerk zugreifen können. Da sich in diesen Momenten die wenigsten an die genaue Konfiguration einer solchen Diskette erinnern können (abgesehen von einigen DOS-Freaks), hier ein paar Tipps, wie Sie an eine solche Diskette kommen und was Sie dabei beachten sollten:

Festplatte einrichten

1. Richten Sie die Festplatte mit FDISK und FORMAT ein, falls dies noch nicht geschehen ist. Denken Sie an eine ausreichend große Bootfestplatte für Windows 2000. Um das Dateisystem (nur FAT oder FAT32 sind je nach DOS-Version möglich) brauchen Sie sich noch keine Gedanken machen, während des Setups können Sie dann entscheiden, ob dieses in NTFS umgewandelt werden soll.

Windows 98Startdiskette

2. Eine Startdiskette, die einen Zugriff auf die meisten CD-ROMLaufwerke ermöglicht, ist die von Windows 98! Haben Sie eine solche zur Verfügung, brauchen Sie nur von dieser zu starten. Wenn Sie nur ein Windows 98-System auf einem anderen Computer laufen haben, können Sie auch eine solche Diskette selbst erzeugen. Gehen Sie dazu in das Verzeichnis \WINDOWS\COMMAND und starten Sie die Stapelverarbeitungsdatei BOOTDISK.BAT. oder

Eigene Startdiskette

2. Eine eigene MS-DOS-Startdiskette sollte die folgenden Programmdateien enthalten und könnte über diese Einträge in der Autoexec.bat und Config.sys verfügen: ASPICD.SYS

ASPIDOS.SYS

CDROM.SYS

FDISK.EXE

FORMAT.COM

HIMEM.SYS

KEYB.COM

KEYBOARD.SYS

MSCDEX.EXE

SMARTDRV.EXE

XCOPY.EXE

CDROM.SYS und ASPIDOS.SYS/ASPICD.SYS stehen symbolisch für die konkreten Treiber für das CDROM-Laufwerk beziehungsweise den SCSI-Controller. Config.sys

Hier das Beispiel einer CONFIG.SYS für eine IDE-Konfiguration:

9.7 Installation mit WINNT.EXE/WINNT32.EXE device=himem.sys dos=high device=cdrom.sys /D:cdrom1 Haben Sie einen SCSI-Controller im Einsatz, könnte die Config.sys folgendermaßen aussehen: device=himem.sys dos=high device=aspidos.sys device=aspicd.sys /D:cdrom1 Die dazugehörige Autoexec.bat könnte für beide Konfigurationen Autoexec.bat gelten und diesen Aufbau haben: @echo off prompt $p$g keyb gr,,keyboard.sys mscdex.exe /D:cdrom1 /L:E smartdrv.exe 4000 c+ Mit der Option /L: bei mscdex.exe vergeben Sie den Laufwerkbuchstaben für das CD-ROM-Laufwerk. Es empfiehlt sich übrigens dringend, für ein schnelleres Kopieren auch den DOSFestplattencache smartdrv.exe mit einzubinden. Mit c+ ist im obigen Beispiel der Schreibcache auf die Festplatte C: aktiviert. Haben Sie noch weitere Laufwerke auf der Festplatte, fügen Sie einfach deren Buchstaben dahinter an. 3. Haben Sie nach dem Booten von der Startdiskette Zugriff auf das xcopy.exe CD-ROM-Laufwerk, können Sie alle Dateien und Ordner in ein Installationsverzeichnis auf der Festplatte kopieren. Auf der Kommandozeile eignet sich dazu am besten das Programm xcopy.exe. Hier das Beispiel für den Aufruf, mit dem Sie das Verzeichnis \i386 vom CD-ROM-Laufwerk E: nach C:\INSTALL kopieren: xcopy e:\i386 c:\install /E Nach erfolgtem Kopieren können Sie Setup mit dem Aufruf von Setup starten WINNT.EXE aus dem Installationsverzeichnis starten. Die möglichen Optionen für das Programm können Sie der Tabelle 9.6 auf Seite 307 entnehmen. Das weitere Vorgehen bei einer Installation wird in Abschnitt 9.8 ab Seite 315 behandelt.

313

314

9 Installation

9.7.4 Aufruf über das Netzwerk WINNT.EXE beziehungsweise WINNT32.EXE können Sie auch aus einem freigegebenen Netzwerkverzeichnis heraus starten. Die Installationsdateien des \I386-Ordners befinden sich dann einfach nicht lokal auf der Festplatte (siehe auch Abschnitt 9.7.3), sondern in einer durch einen Server oder anderen Windows-Computer freigegebenen Netzwerkressource. Distributionsserver

So ein Server wird auch Distributionsserver genannt und kann prinzipiell unter einem beliebigen Betriebssystem laufen. Voraussetzung ist nur, dass ein entsprechender Client für eines der Betriebssysteme MS-DOS, Windows 3x/9x/ME/NT/2000 zur Verfügung steht. Für den Zugriff auf die Installationsdateien brauchen neben einem Laufwerkbuchstaben nur Leserechte definiert sein.

32 Bit: WINNT32.EXE

WINNT32.EXE können Sie als 32 Bit-Anwendung unter Windows 9x sowie Windows NT und 2000 starten. Die Frage des passenden Netzwerk-Clients stellt sich meist nicht und so ist die Installation von Windows 2000 Professional über diesen Weg genauso einfach wie über ein lokales Installationsverzeichnis.

16 Bit: WINNT.EXE

Windows for Workgroups ab Version 3.11 lieferte schon eine passable Netzwerkeinbindung in die Windows Welt. Auch für Novells Netware gab es einen leistungsfähigen Client, so dass der Aufruf von WINNT.EXE über das Netzwerk auch hier kein Problem darstellen sollte.

Problemfall DOS

Anders kann das bei einem Computer aussehen, der ohne Betriebssystem ausgestattet ist oder auf dem nur MS-DOS installiert ist. In diesem Fall können Sie folgendermaßen vorgehen: 1. Richten Sie zuerst die Festplatte des PC mit einem ausreichend großen Bootdatenträger ein. Ein ca. 1-2 GB großer Datenträger auf der Festplatte ist für die meisten Fälle ausreichend. Als Dateisystem sind FAT oder FAT32 zulässig, während des Setups können Sie später dann entscheiden, ob dieses in NTFS umgewandelt werden soll. 2. Starten Sie über eine entsprechend präparierte Startdiskette einen geeigneten Netzwerk-Client und richten den Zugriff auf das Serverlaufwerk über einen Laufwerkbuchstaben ein. 3. Starten Sie nun aus dem Installationsverzeichnis vom Server das Programm WINNT.EXE (siehe auch Abschnitt 9.7 Installation mit WINNT.EXE/WINNT32.EXE ab Seite 307).

Windows NT MSDOS-Client

Für den Zugriff auf einen NT-Server gibt es von Microsoft einen MS-DOS Client. Die Installationsdateien für diesen Client befinden sich auf der Windows NT 4.0 Server-CD im Verzeichnis H:\CLIENTS\MSCLIENT. Entsprechende Hinweise, wie Sie direkt

9.8 Die weiteren Installationsschritte unter Windows NT 4.0 Server eine entsprechende Startdiskette herstellen und den Server einrichten können, finden Sie unter http://www.microsoft.com/TechNet/msdos/technote/dosnet.asp Für Windows 2000 Server gibt es diesen DOS-Client nicht, ein Zugriff auf das Active Directory ist mit diesem auch nicht möglich. Für Windows 2000 Server setzt Microsoft auf die Remoteinstallationsdienste (siehe dazu Abschnitt 9.10 Die Remoteinstallationsdienste ab Seite 343). Das weitere generelle Vorgehen bei einer Installation wird im nächsten Abschnitt behandelt.

9.8 Die weiteren Installationsschritte Die Windows 2000 Installation geschieht dank ausgeklügelter Assistenten und Plug&Play-Technologie weitgehend automatisch. Sie läuft in den folgenden Schritte bei der Standardinstallation von CD ab. Dabei wird zwischen dem Textmodusabschnitt und dem des grafischen Teils des Setups, auch GUI-Modus (Graphical User Interface) genannt, unterschieden. Im Textmodus des Setups werden alle grundlegenden Systemtreiber Textmodus geladen und die Treiber für die Festplattenansteuerung des Computers erkannt. Die Lizenzbestimmungen von Microsoft sind durch den Benutzer zu lesen und er muss ihnen zustimmen. Danach können Sie die Partition wählen, auf der Windows 2000 installiert werden soll. Das Auswählen oder Umkonfigurieren der Partitionen wird durch ein Partition leistungsfähiges Tool ermöglicht. Sie können sämtliche bestehende auswählen Partitionen löschen und neue erstellen. Nach Auswahl der Installationspartition können Sie noch bestimmen, ob das bestehende Dateisystem beibehalten werden soll oder nach NTFS konvertiert werden soll. Beachten Sie, dass Windows 9x nur FAT beziehungsweise FAT32Datenträger erkennen kann. Weitergehende Informationen zu Dateisystemen finden Sie in Kapitel 5 Dateisysteme ab Seite 129. Nach Auswahl beziehungsweise Formatieren einer neu angelegten Partition werden Installationsdateien auf die Festplatte übertragen und der Computer neu gestartet. Nach dem Neustart wird die Installation im grafischen Modus (GUI- GUI-Modus Modus) fortgesetzt. Es werden die folgenden Informationen von Ihnen benötigt: •

Seriennummer Ihres Windows 2000 Professional Systems

•

Erweiterte Einstellungen wie die verwendeten Sprachen und eventuell notwendige Eingabehilfen für Behinderte

315

316

9 Installation •

Gebietsschema und Ländereinstellungen

•

Name der Person und der Organisation der lizensierten WindowsVersion

•

Name des Computers und Administratorkennwort

•

Einstellen beziehungsweise Bestätigen von Datum und Uhrzeit

•

Netzwerkeinstellungen Die Standardvoreinstellungen für das Netzwerk sind mit Windows 2000 für viele Anwendungsfälle die richtige Wahl. Es wird TCP/IP als alleiniges Protokoll mit automatischem Bezug der IP-Adresse eingerichtet. Sie können aber auch eine abweichende Einstellung vornehmen, um beispielsweise die Einbindung in ein Novell Netzwerk zu ermöglichen.

•

Arbeitsgruppe oder Domäne Sie können sich bereits während des Setups entscheiden, ob Sie den Computer in eine Domäne oder eine Arbeitsgruppe einbinden wollen. Diese Einstellung können Sie aber bei Bedarf jederzeit wieder ändern.

9.9 Automatisierte Installation Zeit ist Geld!

Albtraum jedes Administrators ist die komplette Installation vieler identischer Computer. Immer wieder müssen Fragen des Setups beantwortet oder Lizenznummern eingegeben werden. Das bedeutet einen hohen zeitlichen Aufwand mit entsprechend hohen Kosten.

Ersatz bei Ausfall

Ein anderer Aspekt ist der schnellstmögliche Ersatz bei Ausfall eines Computersystems in einem Unternehmen. Hier kann es darum gehen, den ausgefallenen PC schnellstmöglich durch einen Ersatz-PC zu ersetzen, der bestenfalls über die gleiche Windows-Installation und identische Anwendungsprogramme verfügen sollte. Darüber hinaus wäre es natürlich optimal, wenn der Benutzer seine gewohnte Benutzeroberfläche wiederfindet. Windows 2000 verfügt über eine breite Palette an Technologien und Werkzeugen, mit denen diese Anforderungen adressiert werden können. In diesem Abschnitt werden wir Ihnen diese vorstellen und im Rahmen der Betrachtungen zu Windows 2000 Professional soweit ins Detail gehen, wie es für die lokale Einrichtung des Betriebssystems sinnvoll erscheint.

Windows 2000 Server

Eine Reihe von Werkzeugen stehen allerdings ausschließlich in einer Windows 2000 Server-Umgebung zur Verfügung. Diese werden detailliert in Band II betrachtet.

9.9 Automatisierte Installation

317

9.9.1 Übersicht über die Möglichkeiten In einer Windows 2000 Professional-Umgebung haben Sie die folgenden Möglichkeiten, ein automatisiertes Setup durchzuführen:

Antwortdatei für WINNT.EXE/WINNT32.EXE Über Kommandozeilen-Optionen lässt sich das Setup durch den Start Antwortdatei von WINNT.EXE beziehungsweise WINNT32.EXE steuern. Dabei können Sie auch den Modus für das unbeaufsichtigte Setup wählen und eine zuvor erstellte Antwortdatei angeben. Die praktische Anwendung von Antwortdateien ist Inhalt des Abschnitts 9.9.2 Antwortdateien ab Seite 318.

Verteilung von Disk-Images Für die Erstellung einer Standardkonfiguration von Windows 2000 Disk-Images Professional eignet sich das Microsoft-Tool Sysprep. Diese Konfiguration können Sie dann über Drittsoftware in ein binäres Disk-Image, ein bitweises Abbild des logischen Datenträgers, überführen und auf dem Zielrechner wieder auf die Festplatte übertragen. Zum Verteilen der Imagedatei gibt es verschiedene Möglichkeiten, wie beispielsweise über das Netzwerk oder CD. Die Erstellung und Verteilung von Disk Images wird in Abschnitt 9.9.3 Automatisierte Installation mit Disc Images ab Seite 339 näher betrachtet.

Remoteinstallationsdienste von Windows 2000 Server Die Windows 2000 Serverversionen verfügen mit den Remoteinstalla- Remoteinstallatiosdiensten (Remote Installation Services – RIS) über ein leistungsfähi- tionsdienste ges Werkzeug für die automatisierte Installation über das Netzwerk. Der zu installierende Client-PC wird über eine bootfähige Netzwerkkarte oder eine spezielle Bootdiskette gestartet und kann nach Verbindung mit dem RIS-Server mit Windows 2000 installiert werden. Die gesamte Installationsvorgang selbst läuft dabei vollautomatisch ab. Die Einrichtung des Remoteinstallationsdienstes sowie weitergehende Hinweis finden Sie in Abschnitt 9.10 Die Remoteinstallationsdienste ab Seite 343. Nicht betrachtet werden in diesem Zusammenhang die erweiterten Nicht näher Möglichkeiten des Systems Management Server (SMS). Als Bestandteil betrachtet: SMS der Backoffice Suite für Applikationen würde es den Rahmen des vorliegenden Bandes sprengen.

318

9 Installation Zusammenfassung der Möglichkeiten In der folgenden Tabelle sind die Möglichkeiten dieser oben genannten Methoden für eine Neuinstallation oder ein Upgrade auf Windows 2000 zusammengefasst:

Tabelle 9.8: Methode Möglichkeiten für Neuinstallation und WINNT.EXE mit Antwortdatei Upgrade

Neuinstallation

Upgrade

WINNT32.EXE mit Antwortdatei

Verwendung von Disk Images

Remoteinstallation

9.9.2 Antwortdateien verwenden Vorgefertigte Antworten

Über Antwortdateien steuern Sie das Setup von Windows 2000. In diesen normalen Textdateien tragen Sie in einer bestimmten Syntax die Antworten ein, die während des Setups normalerweise durch den Benutzer eingegeben werden. Ein automatisch ablaufendes Setup verkürzt die benötigte Zeit für die Installation erheblich und bedarf keiner weiteren Beaufsichtigung. Durch den Administrator können so bei Bedarf automatisierte Installationen gleichzeitig auf mehreren Computern vorgenommen werden. Eine andere Anwendung kann beispielsweise die Vorbereitung einer Installation von Windows 2000 Professional für in EDV-Fragen unbedarfte Anwender oder Konsumenten sein.

Arten von Antwortdateien Windows 2000 kennt zwei verschiedene Arten von Antwortdateien, die Sie für bestimmte Einsatzzwecke nutzen können: Automatisierte CD-Installation

•

WINNT.SIF für CD-Installation Für die unbeaufsichtigte Installation von der Windows 2000 Professional CD über den CD-ROM-Bootprozess nutzen Sie eine Diskette, auf der sich die Textdatei WINNT.SIF befinden muss. Dieser Dateiname ist festgelegt und kann nicht geändert werden. Achten Sie nur darauf, dass die Diskette während des Bootprozesses mit anschließendem Start des Windows 2000-Setups in Laufwerk A: verfügbar ist. Das Setup liest diese dann aus und fährt gemäß den Einstellungen in der Antwortdatei mit der Installation selbständig fort.

9.9 Automatisierte Installation •

UNATTEND.TXT im Installationsverzeichnis

319 WINNT.EXE und

Starten Sie die Installation über den Aufruf von WINNT.EXE be- WINNT32.EXE ziehungsweise WINNT32.EXE, können Sie die Antwortdatei, die sich mit im Installationsverzeichnis befindet, explizit angeben. Damit können Sie ihr natürlich auch prinzipiell einen anderen Namen geben als UNATTEND.TXT. Der Aufbau dieser beiden Arten von Antwortdateien ist vollkommen Aufbau identisch identisch. Wollen Sie eine unbeaufsichtigte Installation mit Hilfe der Windows 2000 Installations-CD durchführen, können Sie nur den Weg über WINNT.SIF gehen. Für den Start des unbeaufsichtigten Windows 2000-Setups über Start mit WINNT.EXE aus einer 16 Bit-Umgebung wie MS-DOS oder Windows WINNT.EXE 3.x heraus verwenden Sie die folgende Syntax: winnt /s:E:\INSTALL\I386 /u:UNATTEND.TXT Es empfiehlt sich, den genauen Ort der Quelldateien mit dem Parameter /s mit anzugeben. Die genaue Beschreibung der Syntax für WINNT.EXE finden Sie in Tabelle 9.6 auf Seite 307. Starten Sie das Windows 2000-Setup hingegen über eine 32 Bit- Start mit Umgebung wie Windows 9x oder NT, verwenden Sie WINNT32.EXE WINNT32.EXE mit der folgenden Option: winnt32 /s:E:\INSTALL\I386 /unattend:UNATTEND.TXT Es empfiehlt sich, den genauen Ort der Quelldateien mit dem Parameter /s mit anzugeben. Die genaue Beschreibung der Syntax für WINNT32.EXE finden Sie in Tabelle 9.7 auf Seite 309.

Anpassungen von Antwortdateien während des Setups Für ein unbeaufsichtigten Setup auf einem Computersystem kann es UDF-Dateien notwendig sein, dass Sie dennoch individuelle Konfigurationseinstellungen, beispielsweise für den konkreten Benutzer des Systems, vornehmen wollen. Über den Schalter /udf beim Start des Setups über WINNT.EXE beziehungsweise WINNT32.EXE können Sie eine spezielle UDF-Textdatei (Uniqueness Database File) angeben, in der für einen bestimmten Parameter in der Antwortdatei alternative Werte stehen. Die korrekte Syntax dieses Schalters lautet: winnt ... /udf:[,] ist der eindeutige Identifikator eines Schlüsselwertes in der Antwortdatei, der durch den entsprechenden Wert in der UDF-Datei ersetzt werden soll. Geben Sie beispielsweise UserData als ID an, wird die UserData–Sektion in der Antwortdatei durch die aus der entsprechenden UDF-Datei ersetzt. Voraussetzung für ein Gelingen der Er-

320

9 Installation setzung sind Schreibrechte auf das Verzeichnis der Installationsdateien. Ein Setup von CD ist damit nicht möglich.

$UNIQUE$.UDB

Geben Sie zum ID-Wert keine UDF-Datei an, wird der Benutzer aufgefordert, während der Installation eine Diskette einzulegen, auf der sich die Datei $UNIQUE$.UDB befinden muss. Diese wird dann ausgelesen und für die Ersetzung des entsprechenden Schlüsselwertes in der Antwortdatei benutzt. So können Sie beispielsweise StandardKonfigurationen für automatische Setup-Prozeduren entwickeln, die über individuelle Anpassungen auf Diskette personalisiert werden.

Das Dienstprogramm SETUPMGR.EXE \SUPPORT\TOOLS\ DEPLOY.CAB

Im Verzeichnis \SUPPORT\TOOLS befindet sich die Datei DEPLOY.CAB. In dieser Kabinett-Datei, die Sie durch Doppelklick öffnen können, finden Sie unter anderem das Dienstprogramm SETUPMGR.EXE. Hier finden Sie auch weitere Informationen zum unbeaufsichtigten Setup in der Datei UNATTEND.DOC.

Assistent

Das Programm SETUPMGR.EXE ist ein leistungsfähiger Assistent zur Erstellung einer Antwortdatei. Darüber hinaus hilft es, diese Antwortdatei interaktiv so zu gestalten, dass die Installation lokal von CD oder über eine Netzwerkressource beziehungsweise von einer lokalen Quelle erfolgen kann.

Abbildung 9.8: Assistent für Erstellung einer Antwortdatei

Nach dem Start des Assistenten bestimmen Sie das weitere Vorgehen: Neue Antwortdatei

•

NEUE ANTWORTDATEI ERSTELLEN Mit diese Option führt Sie der Assistent Schritt für Schritt interaktiv durch die Beantwortung aller relevanten Fragen zur Installation

9.9 Automatisierte Installation

321

von Windows 2000 Professional und generiert daraus eine neue Antwortdatei. •

EINE ANTWORTDATEI ZUM DUPLIZIEREN ... ERSTELLEN Mit dieser Option können Sie eine Antwortdatei erstellen, welche die Konfiguration der aktuellen Windows 2000 Installation berücksichtigt. Um eine wirkliche Duplizierung Ihres gesamten Systems einschließlich der Anwendungsprogramme handelt es sich demzufolge nicht. Das ist Inhalt des Abschnitts 9.9.3 Automatisierte Installation mit Disc Images ab Seite 339.

•

VORHANDENE ANTWORTDATEI ÄNDERN Haben Sie bereits Antwortdateien angelegt, können Sie diese auch wieder mit Hilfe des Assistenten überarbeiten. Dabei werden bisher getroffene Einstellungen berücksichtigt und zur Änderung angeboten.

Duplizieren der Konfiguration

Vorhandene Antwortdatei

Bei der Erläuterung des Vorgehens des Assistenten wird sich hier auf die Erstellung einer neuen Antwortdatei beschränkt. Das Überarbeiten einer vorhandenen Antwortdatei beziehungsweise das Einbeziehen aktueller Konfigurationsdaten durch den Assistenten ist wenig spektakulär und entspricht dem folgenden weitgehend.

Eine neue Antwortdatei erstellen Nach dem Start des Assistenten für die Erstellung einer neuen Antwortdatei über das Programm SETUPMGR.EXE müssen Sie sich für eine der für Windows 2000 Professional in Frage kommenden Installationsarten entscheiden. Abbildung 9.9: Auswahl der Installationsart

322 Lokale Neuinstallation

9 Installation •

Unbeaufsichtigte Windows 2000-Installation Die Antwortdatei dient für die Neuinstallation eines Windows 2000-Systems über die System-CD oder den Aufruf von WINNT.EXE oder WINNT32.EXE (siehe auch Seite 318). Das weitere Vorgehen mit dem Assistenten für diese Installationsart erfahren Sie weiter unten in diesem Abschnitt.

Duplizieren von Imagedateien

•

Remoteinstallation über das Netzwerk

•

Systemvorbereitungsinstallation Bei der Systemvorbereitung wird eine Konfigurationsdatei SYSPREP.INF für das Dienstprogramm SYSPREP.EXE erzeugt, mit welchem eine vorhandene Windows 2000-Installation für das Duplizieren vorbereitet werden kann. Dieses Dienstprogramm wird unter anderem im Abschnitt 9.9.3 Automatisierte Installation mit Disc Images ab Seite 339 behandelt. Remoteinstallationsdienste Für die automatische Installation über das Active Directory mit Hilfe der Remoteinstallationsdienste können Sie hier eine entsprechende Antwortdatei erstellen. Die Remoteinstallationsdienste sind Inhalt des Abschnitts 9.10 Die Remoteinstallationsdienste ab Seite 343.

Für das weitere Vorgehen bei Auswahl der ersten Installationsart im Assistenten geben Sie nun an, für welche Windows 2000-Plattform Sie die Antwortdatei erstellen wollen. Abbildung 9.10: Auswahl der Windows-Plattform

Meist wird dies wohl Windows 2000 Professional sein. Dass man auf einen Streich mehrere hundert Server zu installieren hat (welches EDV-Systemhaus träumt nicht davon?), die mit diesen Mitteln effektiver über die Bühne zu bringen sind, wird sicher seltener der Fall sein.

9.9 Automatisierte Installation

323

Im nächsten Dialogfenster des Assistenten können Sie definieren, in- Benutzereingriff wieweit der Benutzer, der die Installation durchführt, noch in den Prozess eingreifen soll oder nicht. Abbildung 9.11: Benutzereingriff definieren

Der Benutzer kann während der Installation alle Standardeinstellun- Standardeinstelgen wie Zeitzone, Computername etc. angeben. Diese Variante stellt lungen angeben praktisch keine automatische Installation dar. Auch Werte, die Sie in der Antwortdatei belegt haben, werden angezeigt und können durch den Benutzer überschrieben werden. Diese Option eignet sich aber beispielsweise für den Fall, dass Sie keine restriktive Richtlinie für die Installation eines Windows 2000-Systems verfolgen und stattdessen dem weniger erfahrenen Benutzer bestimmte Werte vorschlagen wollen, die dieser aber bei Bedarf noch ändern kann. Das ist die Standardeinstellung für die häufigsten Konfigurationen Vollautomatisiert einer unbeaufsichtigten Installation. Der Benutzer wird während des Setups generell nicht zu irgendeiner Eingabe aufgefordert. Das setzt aber voraus, dass Sie auch wirklich alle relevanten Einstellungen in der Antwortdatei vorgenommen haben. Lesen Sie dazu unbedingt die Hinweise im Abschnitt Notwendige manuelle Eingriffe in die Antwortdatei auf Seite 335. Diese Option entspricht der Einstellung zu VOLLAUTOMATISIERT. Dar- Seiten ausblenden über hinaus werden die Anzeigen des Setups während des Installationsprozesses auf ein Minimum reduziert. Diese weitgehend überflüssige Option sichert nur, dass während des Schreibgeschützt Setups auftretende Dialogfenster auch wirklich nicht durch den Benutzer überschrieben werden können. Für die Vorbereitung einer möglichst reibungslosen Installation, bei GUI gesteuert der nur die Hardware-Installation ohne Eingriffe automatisch durch-

324

9 Installation geführt werden sollen, wählen Sie diese Option. Der Benutzer soll dann aber die Abfragen, die im grafischen Teil des Setups kommen, selbst beantworten.

Weiter: Vollautomatische Installation

Im folgenden Teil dieses Abschnittes werden die weiteren Einstellungen des Assistenten für die Erstellung einer Antwortdatei für eine VOLLAUTOMATISCHE INSTALLATION behandelt.

Lizenzvertrag

Im nächsten Dialogfenster geht es um den Endbenutzer-Lizenzvertrag (EndUser License Agreement - EULA) von Microsoft. Da die Installation vollautomatisch vonstatten gehen soll, kann der installierende Benutzer diesen ja nicht selbst bestätigen.

Abbildung 9.12: Microsoft-Lizenzvertrag annehmen

Hier müssen Sie als einrichtender Administrator sozusagen im Voraus stellvertretend für den Endbenutzer des Windows 2000 den Bestimmungen des Lizenzvertrages zustimmen, anderenfalls können Sie mit dem Assistenten nicht fortfahren. Übrigens juristisch gesehen eine interessante Frage, was passiert, wenn besagter Endbenutzer gegen den Vertrag verstößt und nicht haftbar gemacht werden kann, weil er diesem ja nicht persönlich zugestimmt hat... Im nächsten Fenster bestimmen Sie Standard-Namen und -Organisation für die zu installierenden Windows 2000-Systeme.

9.9 Automatisierte Installation

325 Abbildung 9.13: Standard-Name und -Organisation

Da diese Angaben meist nicht wichtig sind, geben Sie am besten einfache unverbindliche Angaben ein, die für alle PC gleichermaßen gelten können. Das darauf folgende Dialogfenster des Assistenten hat für die Vorbe- Computernamen reitung für die Installation vieler Windows-Systeme dagegen eine wichtige Bedeutung: Abbildung 9.14: Definition der Computernamen

Hier können Sie alle Computernamen eingeben, für die diese Antwortdatei für die automatische Installation gelten soll. Für eine große Zahl an zu installierenden Systemen haben Sie die bequemere Möglichkeit des Imports der Namen über eine Textdatei. In dieser müssen die Namen untereinander fortlaufend eingegeben worden sein.

326

9 Installation Von der automatischen Vergabe der Computernamen während des Setups kann nur abgeraten werden. Hier würden dann basierend auf dem Organisationsnamen teilweise seltsam anmutende Namen kreiert werden, unter denen man sich im allgemeinen wenig vorstellen kann.

Anlage einer UDFDatei

Für die Installation der Systeme mit vordefinierten Computernamen legt der Assistent nach Abschluss aller Einstellungen eine entsprechende UDF-Datei für die benutzerspezifischen Installationsvorgänge an. Lesen Sie dazu weiter hinten in diesem Abschnitt ab Seite 335, wie diese aufgebaut ist und von Hand modifiziert wird.

Administratorkennwort

Anschließend definieren Sie für das neue Windows 2000-System das Administratorkennwort.

Abbildung 9.15: Administratorkennwort festlegen

Darüber hinaus können Sie hier festlegen, ob die erste Anmeldung an dem betreffenden PC automatisch mit dem Administratorkonto erfolgen soll. Das Administratorkennwort wird unverschlüsselt im Klartext in der Antwortdatei abgelegt und kann damit potenziell in falsche Hände geraten. Legen Sie deshalb hier kein sicherheitsrelevantes reales Passwort fest, sondern definieren nur eines für den jeweiligen lokalen Zugriff auf die Computer. Für die Wahrung der Sicherheit im Active Directory sollten Sie die entsprechende primäre Netzwerkanmeldung, verbunden mit den betreffenden Gruppenrichtlinien, konfigurieren. Anzeigeeinstellungen

Weiter geht es mit der Voreinstellung für die Einstellungen von Auflösung, Farbtiefe und Bildwiederholfrequenz für die Ausgabe auf dem Monitor.

9.9 Automatisierte Installation

327 Abbildung 9.16: Festlegen der Anzeigeeinstellungen

Ist die verfügbare Hardware bereits bekannt, sind hier sinnvolle Werte den Windows-Standardeinstellungen unbedingt vorzuziehen. Im nächsten Assistenten-Dialogfenster können Sie die Einstellungen Netzwerk für die Netzwerkkonfiguration der zu installierenden Computer festlegen. Abbildung 9.17: Festlegen der Netzwerkeinstellungen

Die Voreinstellung unter Standardeinstellungen bietet eine Konfiguration, mit der ein problemloses Einbinden in ein Windows Netzwerk in den meisten Einsatzfällen möglich ist. Hier erkennen Sie die Ausrichtung von Microsoft auf das Active Directory, bei welchem DHCP und das Protokoll TCP/IP zum Standard gehören. Allerdings können Sie über die BENUTZERDEFINIERTEN EINSTELLUNGEN auch problemlos eine alternative Netzwerkkonfiguration festlegen.

328 Art der Netzwerkeinbindung

9 Installation Legen Sie dann die Art der Einbindung des Computers in das Netzwerk fest. Meist wird es sich um den Anschluss an eine Windows 2000 Domäne im Active Directory handeln.

Abbildung 9.18: Einbindung ins Netzwerk festlegen

Dabei wird der Computer im Active Directory registriert. Auch dazu ist nur ein berechtigter Benutzer oder Administrator zugelassen. Sie können aber, da auch dieses Passwort im Klartext in der Antwortdatei hinterlegt wird, einen speziellen Benutzer anlegen, der lediglich neue Computer zur Domäne hinzufügen darf und sonst keine weiteren Rechte zugewiesen bekommt. Das Vorgehen dazu ist unter anderem im Abschnitt 9.10.3 Einrichtung des RIS-Servers auf Seite 350 beschrieben. Zusätzliche Einstellungen:

Nach Festlegung der korrekten Zeitzone für die neuen Computersysteme können Sie entscheiden, ob weitere zusätzliche Konfigurationseinstellungen in der Antwortdatei vorgenommen werden sollen. Diese Einstellungen werden im folgenden Text behandelt. Wollen Sie diese nicht definieren, können Sie ab Seite 331 weiterlesen.

Wahleinstellungen

•

Wahleinstellungen für Modem oder Telefon Da im Netzwerk meist nicht direkt mit einem Modem von einem Arbeitsplatz-PC nach außen kommuniziert wird, kann diese Einstellung meist unbeachtet bleiben. Ausnahmen können aber beispielsweise spezielle Netzwerk-Faxlösungen bilden, welche die Festlegung der Wahlparameter am lokalen PC verlangen.

Ländereinstellungen •

Ländereinstellungen Die Ländereinstellungen werden in der Regel standardmäßig durch die lokalisierte Sprachversion von Windows 2000 richtig voreingestellt und brauchen meist nicht geändert zu werden.

9.9 Automatisierte Installation •

Zusätzliche Sprachen

329 Sprachen

Windows 2000 ist multilingual ausgelegt. So können Sie über die installierten Sprachen jederzeit Tastaturlayout und andere Anzeigeeigenschaften bequem umschalten. •

Einstellungen zum Internet Explorer Wollen Sie den mit Windows 2000 gelieferten Internet Explorer beispielsweise für die richtige Netzwerkeinstellung vorkonfigurieren, haben Sie hier eine günstige Gelegenheit dazu. So wird nicht jeder Benutzer separat über den Internet-Verbindungsassistenten zur Angabe der richtigen Werte aufgefordert.

Internet Explorer einrichten

Abbildung 9.19: Festlegen der ExplorerKonfiguration

Haben Sie feste Einstellungen für den verwendeten Proxy sowie Proxy und die Startseite, die für alle Benutzer der neu installierten Computer Startseite gelten sollen, tragen Sie diese über die dritte Option dieses Assistenten-Dialogfensters ein. •

Einen anderen Installationsordner anstelle \WINNT

Installationsordner

Bei der automatischen Installation verwendet das Windows 2000 Setup standardmäßig die erste verfügbare Bootfestplatte. Das können Sie auch leider nicht beeinflussen. Sie können aber festlegen, in welchen Ordner Windows 2000 seine Systemdateien ablegt, beispielsweise in \Win2000 anstelle in \WINNT. •

Eingabe von Netzwerkdruckern Sie können bereits hier die Netzwerkdrucker angeben, die beim ersten Start automatisch installiert werden sollen.

Netzwerkdrucker

330

9 Installation

Abbildung 9.20: Netzwerkdrucker angeben

Achten Sie darauf, dass der Netzwerkpfad und die Bezeichnung wirklich korrekt sind, da keine Gegenprüfung erfolgt. Der Benutzer muss übrigens auch die erforderlichen Rechte besitzen, wenn er die Drucker dann bei der ersten Anmeldung installieren können soll. Weitere Befehle

•

Weitere Befehle nach der ersten Anmeldung Für die erste Anmeldung eines Benutzers nach der automatischen Installation können Sie Befehle beziehungsweise Skripte angeben, die hier einmalig abgearbeitet werden sollen.

Abbildung 9.21: Befehle für einmalige Ausführung definieren

9.9 Automatisierte Installation

331

Der Assistent fügt hier beispielsweise auch die Einrichtung der Drucker über den Befehl ADDPRINTER hinzu, die Sie eventuell im vorhergehenden Dialogfenster eingegeben haben. Nach dem Definieren zusätzlicher Einstellungen, oder wenn Sie diese Distributionsordner überspringen, können Sie festlegen, von welcher Quelle die Installation ausgeführt werden soll. Abbildung 9.22: Auswahl Distributionsordner oder CD-Installation

Wenn Sie die Option DISTRIBUTIONSORDNER wählen, kopiert der Assistent alle erforderlichen Installationsdateien in ein von Ihnen bestimmtes Verzeichnis auf einem beliebigen Datenträger. Abbildung 9.23: Distributionsordner erstellen

Der Assistent schlägt einen Ort für einen neuen Distributionsordner vor, im allgemeinen C:\WIN2000DIST mit der dazugehörenden Netz-

332

9 Installation werkfreigabe. In diesen Ordner werden alle Installationsdateien des Verzeichnisses \I386 von der Windows 2000 Installations-CD kopiert.

OEM SCSI-Treiber

Zuvor können Sie noch über den Assistenten eventuell benötigte SCSITreiber oder andere Massenspeichertreiber von Drittherstellern einbinden. Benutzen Sie nur Standardtreiber, übergehen Sie dieses Dialogfenster des Assistenten mit WEITER.

HAL

Für bestimmte Computer, beispielsweise bei speziellen Mehrprozessormaschinen, wird die HAL (Hardware Abstraction Layer – Hardwareabstraktionsschicht, siehe auch Kapitel 3 Die WindowsSystemarchitektur ab Seite 75) vom Hersteller mitgeliefert und sollte anstelle der Standard-HAL von Windows 2000 verwendet werden. Im entsprechenden Dialogfenster des Assistenten können Sie die HAL angeben, die dann beim automatischen Setup installiert werden soll. Für die meisten Windows 2000 Professional Installationen, welche hier im Vordergrund der Betrachtungen stehen, werden Sie diese Option nicht benötigen und können sie mit WEITER übergehen.

Zusätzliche Befehle Sie können nach der automatischen Installation weitere Befehle aus-

führen lassen, für die keine Anmeldung am System notwendig ist. Das bedeutet, dass diese Befehle oder Dienstprogramme ohne Benutzerinteraktion über das Systemkonto abgearbeitet werden. Beispielsweise sind damit abschließende Kopier- oder Sicherungsaktionen realisierbar. OEM Branding

Für OEMs (Original Equipment Manufacturer), die über das automatische Setup eigene PC-Systeme vorinstallieren lassen wollen, besteht die Möglichkeit, das eigene Logo sowie den während der Installation angezeigten Bildschirmhintergrund anzupassen. Dazu müssen nur die entsprechenden Bilddateien im Windows BMP-Format angegeben werden. Dabei sollte nur die VGA-Bildschirmauflösung von 640 x 480 Punkten beachtet werden, unter der die grafischen Teile des Setups ausgeführt werden.

Zusätzliche Dateien Abschließend können Sie über den Assistenten noch weitere Kopierund Ordner vorgänge für Dateien und Ordner einrichten, die für das Setup benö-

tigt werden oder nach der Installation dem Benutzer zur Verfügung stehen sollen.

9.9 Automatisierte Installation

333 Abbildung 9.24: Zusätzliche Daten kopieren

Unter BENUTZERDATEIEN befinden sich drei Untergeordnete Verzeichnisse für zu kopierende Dateien und Ordner: •

Systemlaufwerk Geben Sie hier Dateien oder Ordner an, die in das Systemlaufwerk der neuen Windows 2000 Installation kopiert werden sollen. Haben Sie beispielsweise bestimmte DLL-Dateien (Dynamic Link Library), die für die korrekte Arbeitsweise einer bestimmten Software erforderlich sind, können Sie diese schon durch das automatische Setup in den System32-Ordner kopieren lassen. Markieren Sie dazu den Eintrag SYSTEM32 und geben Sie über Hinzufügen die Dateien an, die durch das Setup in diesen Windows Systemordner kopiert werden sollen. Die gleiche Verfahrensweise können Sie auch anwenden, wenn Sie spezielle Plug&Play-Hardware verwenden, für die Windows 2000 keine eigenen Treiber mitbringt. So können Sie Ihre Windows 2000 Installation auch zukünftigen Neuerungen anpassen. Achten Sie beim Hinzufügen von Treibern von Drittherstellern, dass diese über die entsprechende Microsoft-Signatur verfügen. Ältere Treiber, die signiert in Windows 2000 enthalten sind, können während des Setups nicht durch unsignierte neuere Treiber ersetzt werden. Unsignierte neue zusätzliche Treiber können Sie durch das Setup hinzufügen lassen, indem Sie in die Antwortdatei in der Sektion [UNATTENDED] folgenden Schlüssel hinzufügen:

334

9 Installation [Unattended] ... DriverSigningPolicy = ignore ... Neben Treibern und Systemdateien können Sie selbstverständlich auch andere Dateien und Ordner auf den neuen PC in das Windows-Systemlaufwerk kopieren lassen. Beispielsweise haben Sie so die einfache Möglichkeit, allgemeine Benutzerdateien und -vorlagen, die sich lokal auf jedem neuen Arbeitsplatzcomputer befinden sollen, mitzugeben. Prüfen Sie aber, ob sich diese Aufgabenstellungen nicht eleganter mit Hilfe der IntelliMirror-Technologien umsetzen lassen. Dabei können Sie beispielsweise ein Netzwerkverzeichnis auch als offline verfügbar deklarieren, womit diese Daten nur einmal zentral gepflegt werden müssen und trotzdem immer aktuell auch lokal auf den Arbeitsplätzen vorliegen.

Achtung: IntelliMirror

Alle hier angegebenen Dateien werden durch den Assistenten beim Erstellen des Distributionsordners mit in diesen kopiert, sodass sie auch während des Setups zur Verfügung stehen. •

Andere Laufwerke Hier können Sie weitere Dateien und Ordner hinzufügen, die nach Abschluss der Installation auf den neuen Computer übertragen werden sollen. Standardmäßig werden vom Assistenten allerdings nur zwei Festplattenlaufwerke auf den Zielcomputern angenommen, C: und D:. Wollen Sie auch Kopiervorgänge zu anderen Datenträger einrichten, müssen Sie die zum Schluss erstellte Antwortdatei manuell editieren.

•

Temporäre Dateien In dieser Verzeichnisstruktur können Sie Dateien und Ordner angeben, die nur für die automatische Installation selbst benötigt werden. Nach der Installation werden diese wieder vom Datenträger auf dem Zielcomputersystem gelöscht. Im Abschnitt TEXTMODUS legen Sie Dateien wie SCSI-Treiber oder HAL ab, die nur im ersten Teil des Setups benötigt werden.

Name und Ort der Antwortdatei

Nach Abschluss der oben beschriebenen Einstellungen im Assistenten geben Sie den Namen und den Ort der Antwortdatei an, die durch den Assistenten erstellt wird.

Geben Sie abschließend die Quelle der Windows 2000Quelle für Installationsdateien Installationsdateien an. Diese können sich auf einem entsprechenden (Netzwerk-)Laufwerk oder auf der Windows 2000 CD befinden. Der

9.9 Automatisierte Installation Assistent wird dann die Antwortdatei sowie gegebenenfalls die UDFDatei erzeugen und alle benötigten Dateien in den Distributionsordner kopieren. Zum Kopieren der Dateien in den Distributionsordner muss der Netzwerkzugriff über den Freigabenamen des Distributionsordners möglich sein. Anderenfalls bricht der Assistent mit einer Fehlermeldung den Vorgang ab. Nach erfolgreichem Kopieren aller Daten müssen Sie normalerweise noch ein wenig Hand an die erstellte Antwortdatei legen, damit die Installation auch wirklich vollautomatisch abläuft.

Notwendige manuelle Eingriffe in die Antwortdatei Die durch den Assistenten erstellte Antwortdatei ist in der Regel schon recht brauchbar. Für eine vollautomatische Installation ohne Benutzereingriff müssen Sie aber noch die folgenden Ergänzungen vornehmen: •

Produkt-Seriennummer integrieren Wenn schon vollautomatisiert, muss natürlich auch die Eingabe der Produkt-Seriennummer dem Benutzer abgenommen werden. Dies können Sie in der Sektion [UserData] der Antwortdatei vornehmen: [UserData] ... ProductID="XXXXX-XXXXX-XXXXX-XXXXX-XXXXX" ...

•

Unsignierte Treiber zulassen Installieren Sie zusätzliche Treiber, die nicht signiert sind, durch das automatische Setup, kommt es bei standardmäßiger Einstellung der Antwortdatei zu einer Unterbrechung. Diese vermeiden Sie durch Angabe des folgenden Parameters: [Unattended] ... DriverSigningPolicy = ignore ... Beachten Sie aber, dass signierte ältere Treiber nicht durch unsignierte neuere ersetzt werden können.

•

Partitionen erweitern und mit NTFS-formatieren

335

336

9 Installation Für die automatische Neuinstallation eines Computersystems kann man selten vorhersehen, welche konkrete Festplattenkonfiguration installiert wird. Die verfügbaren Kapazitäten wachsen heute permanent, so dass hier die Installation flexibel gestaltet werden sollte. Mit den folgenden beiden Optionen in der Antwortdatei stellen Sie sicher, dass die Partition auch bei Vorliegen einer größeren Festplatte auf dem Zielsystem automatisch vergrößert wird. Diese Vergrößerung funktioniert aber nur bei NTFS-Partitionen, womit die Konvertierung nach NTFS sicherheitshalber mit aktiviert werden sollte: [Unattended] ... FileSystem=ConvertNTFS ExtendOemPartition=1 ...

Verwendung von UDF-Dateien Uniqueness Database File

Über eine UDF-Datei können Sie die automatische Installation von Windows 2000 beeinflussen. UDF hat hier nichts zu tun mit gleichnamigem Format für DVD-Datenträger, sondern bedeutet Uniqueness Database File. In dieser Datei können Sie über eindeutige Identifikatoren Teile der Antwortdatei zur Laufzeit des automatischen Setups anpassen. So sind beispielsweise spezifische Angaben für Benutzernamen oder Netzwerkeinstellungen anpassbar. Sehen Sie sich ein einfaches Beispiel einer UDF-Datei näher an:

Beispiel UDF-Datei

[UniqueIds] ws1 = UserData,params.MS_TCPIP.Adapter1 ws2 = UserData,params.MS_TCPIP.Adapter1 [ws1:UserData] FullName = "Jörg Krause" ComputerName = GF_1 ProductID = 12345-12345-12345-12345-12345 [ws1:params.MS_TCPIP.Adapter1] IPAddress=192.168.1.10

9.9 Automatisierte Installation

337

[ws2:UserData] FullName = "Uwe Bünning" ComputerName = GF_2 ProductID = 54321-54321-54321-54321-54321 [ws2:params.MS_TCPIP.Adapter1] IPAddress=192.168.1.11 Mit dieser UDF-Datei legen Sie individuelle Einstellungen für jeden zu installierenden Computer fest. Die dazugehörige Antwortdatei für ein vollautomatisches Setup könnte folgendermaßen aussehen: [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=No TargetPath=\WINNT [GuiUnattended] … [UserData] FullName=PC-Arbeitsplatz OrgName="Muster AG" ComputerName=* … [SetupMgr] ComputerName0=GF_1 ComputerName1=GF_2 …

Beispiel Antwortdatei

338

9 Installation [Identification] JoinDomain=DOMÄNE DomainAdmin=AddPCAdmin DomainAdminPassword=admin [Networking] InstallDefaultComponents=No … [params.MS_TCPIP] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=192.168.1.10 SubnetMask=255.255.255.0 WINS=No NetBIOSOptions=0 In dieser Darstellung sind für eine bessere Übersichtlichkeit diverse Zeilen in der Antwortdatei weggelassen worden.

Aufruf mit Antwortdatei und UDF

Den Aufruf dieser Antwortdatei mit der zugehörigen UDF-Datei über WINNT.EXE könnten Sie wie folgt ausführen: winnt /s:E:\I386 /u:ANTW.TXT /udf:ws1,ANTW.UDF Für WINNT32.EXE müsste der Aufruf dann entsprechend so aussehen: winnt32 /s:E:\I386 /unattend:ANTW.TXT /udf:ws1,ANTW.UDF

UDF auf Diskette

Geben Sie keine UDF-Datei explizit an, wird diese auf Diskette während des Setups verlangt. Auf dieser Diskette muss die UDF-Datei dann als $UNIQUE$.UDB im Stammverzeichnis abgelegt sein.

9.9 Automatisierte Installation

339

Weitergehende Informationen zum automatisierten Setup Sie finden eine ausführliche Beschreibung aller möglichen Einträge in UNATTEND.DOC der Antwortdatei in der Datei UNATTEND.DOC in der Kabinettdatei \SUPPORT\TOOLS\DEPLOY.CAB.

9.9.3 Automatisierte Installation mit Disc Images Eine bequeme Möglichkeit, zu einem voll installierten Windows 2000 Disc Images System inklusive aller notwendigen Anwendungsprogramme zu kommen, besteht im Duplizieren einer fertigen Installation auf andere Computer. Dafür gibt es spezielle Programme von Herstellern wie Symantec oder Powerquest. Diese erzeugen ein bitweises Abbild (Image) der spezifizierten Partition und können es auf einem anderen Computersystem wieder auf der Festplatte implementieren. Das Ergebnis ist ein vollkommen identisches System mit allen Programmen, Dateien und Einstellungen des Ursprungscomputers. Wichtige Voraussetzung ist bei diesem Vorgehen zunächst eine Über- Übereinstimmung einstimmung der verwendeten Hardwarekomponenten bei Ur- bei der Hardware sprungs- und Zielcomputern. Zwar verfügt insbesondere Windows 2000 über ein ausgefeiltes Plug&Play-Management, um neue oder geänderte Komponenten zuverlässig zu erkennen, aber es gibt auch hier Grenzen, denen wir uns später noch widmen werden. Zunächst geht es um die wichtigste Einschränkung, die Sie im Um- Security IDentifier gang mit Festplattenduplizierern und Windows 2000 kennen sollten: bei Windows 2000 Windows 2000 benutzt zur Identifikation eines Computersystems eine eindeutige Identifikation, auch SID (Security Identifier) genannt. Diese ID kennzeichnet jeden Computer und damit auch seine Benutzer und deren Rechte eindeutig im Netzwerk. Solange Sie beispielsweise einen duplizierten PC standalone betreiben, werden Sie keine Probleme beim Betrieb feststellen können. Existieren allerdings zwei Windows 2000 Computer im Netzwerk, die sich eine SID teilen, kann es zu schwerwiegenden Sicherheitsproblemen kommen. Das gilt übrigens genauso in Bezug auf Windows NT.

Das Tool Sysprep Um dieses Problem zu adressieren, haben Hersteller von Software für das Duplizieren von Festplatten mittlerweile zusätzliche Tools im Programm, die für eine korrekte neue Vergabe einer SID nach Neustart eines durch Duplizieren entstandenen Systems sorgen. Mit Windows 2000 wird auch ein entsprechendes Dienstprogramm von Microsoft mitgeliefert, das Programm Sysprep.exe.

340 Funktionen:

9 Installation Sysprep kann die folgenden Aufgaben für die Installation von Windows 2000 erfüllen: •

Sie können zuverlässig die Festplattenduplizierung, natürlich unter Beachtung der Microsoft-Lizenzbestimmungen, zum Vervielfältigen einer vollständig vorinstallierten Windows 2000 Installation benutzen. Dazu generiert Sysprep eine eindeutige SID für den neuen Computer, so dass dieser problemlos ins Netzwerk eingebunden werden kann.

Festplattenduplizierung

•

Mini-Setup Sysprep erlaubt die Generierung eines Mini-Setups, welche einen neuen Benutzer, der beispielsweise ein vorinstalliertes Windows 2000 inklusive einer Reihe von Anwendungsprogrammen nach dem Einschalten vorfindet und nur noch ergänzende Angaben wie die Eingabe der Seriennummer oder seines Namens tätigen muss.

Mini-Setup

• Auslieferungszustand herstellen

Festplattenduplizierung

Auslieferungszustand herstellen Eine dritte Funktion von Sysprep besteht darin, dass es sich auch eignet, eine fertige Windows 2000 Installation zu überprüfen und zurück in den Auslieferungszustand zu versetzen. Dabei kommt es nicht auf das Generieren einer neuen SID an, was in einem solchen Fall unterdrückt wird, sondern darauf, dass der Benutzer beim Inbetriebnehmen des Computers über das Mini-Setup (siehe oben) nur noch vervollständigende Angaben zur Installation vornimmt.

Bei den folgenden Ausführungen geht es hier um die Betrachtung von Sysprep im Zusammenhang mit dem Duplizieren von Festplatten. Weitergehende Hinweise entnehmen Sie bitte der Quellenangabe auf Seite 343.

Wo liegt Sysprep auf der Installations-CD? DEPLOY.CAB

Das Programm finden Sie auf der Installations-CD von Windows 2000 Professional in der Datei DEPLOY.CAB im Verzeichnis \SUPPORT\TOOLS. Diese Kabinett-Datei können Sie unter Windows 2000 durch Doppelklick öffnen. Die folgenden Komponenten gehören zum Programm Sysprep:

9.9 Automatisierte Installation

Komponente Sysprep.exe

341

Tabelle 9.9: Komponenten von Das eigentliche Tool, welches Sie für den Aufruf ver- Sysprep

Funktion

wenden. Für die Beeinflussung der Abarbeitung sollten Sie die Kommandozeilenoptionen beachten, welche weiter unten in diesem Abschnitt aufgeführt sind. Setupcl.exe

Ein fester Bestandteil des Tools, der nicht selbständig funktioniert. Sysprep benötigt dieses Programm zwingend im selben Verzeichnis, um korrekt arbeiten zu können.

Sysprep.inf

Eine Konfigurationsdatei, mit der Sie das Verhalten von Sysprep für die automatische Ausführung beeinflussen können.

Allgemeine Voraussetzungen für das Festplattenduplizieren Bevor Sie an das Duplizieren einer Windows 2000 Installation gehen, sollten Sie prüfen, ob die folgenden Voraussetzungen gegeben sind: •

Keine Unterstützung für Domänen Sysprep kann nicht auf einem Windows 2000 Computer ausgeführt werden, der Mitglied einer Domäne oder selbst Domänencontroller ist. Falls nicht gegeben, sollten Sie Ihr Windows 2000 Professional aus der Domäne entfernen und zeitweise einer beliebigen Arbeitsgruppe zuordnen. Öffnen Sie dazu das Kontextmenü des Arbeitsplatz-Symbols und ändern die entsprechenden Einstellungen im Bereich Netzwerkidentifikation.

Keine Domäne!

342

9 Installation

Abbildung 9.25: Netzwerkidentifikation ändern

Nach Inbetriebnahme des neuen PC können sie dann auf die gleiche Art und Weise die Verbindung zur Domäne wieder aufnehmen. Hardware

•

Identische Hardware Das Duplizieren von Festplattenpartitionen funktioniert nur bei weitgehend identischer Hardware zwischen Ursprungs- und Zielcomputersystem. Hier die wichtigsten Punkte dazu: -

Die zu verwendende HAL (Hardware Abstraction Layer) der Computersysteme muss übereinstimmen beziehungsweise kompatibel zueinander sein. So sind die HAL APIC und HAL MP (Multiprozessorsysteme) zueinander kompatibel, wohingegen eine verwendete HAL PIC (Programmierbarer Interruptcontroller) auch eine HAL PIC auf dem Zielsystem erfordert.

-

Der Typ des verwendeten Festplattencontrollers, IDE oder SCSI, muss auf beiden Computersystemen übereinstimmen.

-

Die Partition beziehungsweise die Festplatte des Zielcomputersystems muss mindestens genau so groß sein wie die auf dem Ursprungscomputer. Zum Umdefinieren der Größe können heute in der Regel die Duplizierprogramme selbst helfen, es lässt sich aber auch der Parameter ExtendOemPartition in der Datei Sysprep.inf setzen.

9.10 Die Remoteinstallationsdienste

343

Aufruf von Sysprep Der Aufruf des Programms Sysprep gestaltet sich unspektakulär. Be- Festplatte reiten Sie zuerst Ihre Windows Installation entsprechend vor. Löschen aufräumen Sie dabei alle unbenötigten Dateien, insbesondere die folgenden: •

HIBERFIL.SYS Diese Datei wird für den Ruhezustand benötigt und belegt genau- Datei für Ruheso viel Platz auf dem Systemlaufwerk wie Hauptspeicher im Com- zustand puter installiert ist. Ist der Ruhezustand auf Ihrem System eingestellt, deaktivieren Sie ihn über START | SYSTEMSTEUERUNG | ENERGIEOPTIONEN. Damit wird auch die Datei Hiberfil.sys gelöscht.

•

PAGEFILE.SYS Entfernen Sie die Auslagerungsdatei vom zu duplizierenden Sys- Auslagerungsdatei temlaufwerk (über START | SYSTEMSTEUERUNG | SYSTEM). Da Windows 2000 insbesondere bei relativ wenig Hauptspeicher ohne Auslagerungsdatei nicht richtig arbeiten kann, können Sie diese auch einfach auf einen anderen Datenträger verlagern. Eine nicht durch Windows 2000 selbst gelöschte Auslagerungsdatei wird übrigens beim nächsten Systemstart selbständig wieder hergestellt.

Nachdem die Festplatte für das Duplizieren vorbereitet ist, brauchen Sie nur noch Sysprep.exe aufrufen. Danach können Sie das Disk Image herstellen und auf dem Zielcomputer wieder implementieren. Sysprep sorgt dort dann dafür, dass das System eine neue, eindeutige SID zugewiesen bekommt.

Weitergehende Hinweise zu Sysprep Sie finden weitere Hinweise zu Sysprep in der Word-Datei UNATTEND.DOC UNATTEND.DOC, welche sich zusammen mit dem Programm in der Kabinettdatei \SUPPORT\TOOLS\DEPLOY.CAB befindet.

9.10 Die Remoteinstallationsdienste Die Remoteinstallationsdienste (Remote Installations Services – RIS) sind Windows 2000 Bestandteil der Serverfamilie von Windows 2000 (Server und Advan- Server ced Server). In diesem Abschnitt werden diese vorgestellt und die Implementierung einer einfachen RIS-Konfiguration praktisch gezeigt. In Band II werden die Remoteinstallationsdienste tiefergehend behandelt. Die weitreichenden Konfigurationsmöglichkeiten, mit denen Sie zusammen mit anderen Microsoft-Technologien wie IntelliMirror automatisierte und hocheffiziente Verfahren zur benutzerdefinierten In-

344

9 Installation stallation und Datenhaltung umsetzen können, würden den Rahmen des vorliegenden Bandes sprengen. Dieser Abschnitt wird die Installation und Konfiguration der Remoteinstallationsdienste soweit erklärt, dass es Ihnen möglich sein wird, diese auf einem bestehenden Windows 2000 Server in einem Active Directory zu implementieren und für die einfache Installation von Windows 2000 Professional über das Netzwerk zu nutzen.

9.10.1 Das Grundprinzip Neuinstallation über das Netzwerk

Über die Remoteinstallationsdienste können Sie Windows 2000 Professional auf einem neuen Computer über das Netzwerk installieren. Die Hardwareanforderungen sind hinsichtlich der Speichermedien bei Verfügbarkeit einer bootfähigen Netzwerkkarte minimal. So können gerade in Unternehmen die Netzwerk-Arbeitsplatzcomputer ohne Floppy und CD-ROM-Laufwerk ausgestattet werden. Der Clientcomputer benötigt für den Installationsprozess kein eigenes Betriebssystem. Befinden sich Daten auf der Festplatte werden diese durch das Setup-Programm allerdings gelöscht.

Start über Netzwerkkarte oder Diskette

Beim Startvorgang des Clients über eine bootfähige Netzwerkkarte oder eine spezielle RIS-Diskette wird über DHCP eine IP-Adresse vom Windows 2000 DHCP-Server bezogen (welcher nicht mit dem RISServer identisch sein muss) und die Verbindung mit dem RIS-Server hergestellt.

Anmeldung eines berechtigten Benutzers

Nach der Anmeldung eines für die Installation berechtigten Benutzers im Active Directory kann die Installation beginnen. Die Bootfestplatte des Clientcomputers wird neu eingerichtet und alle Installationsdateien werden vom RIS-Server bezogen. Nach der Installation steht ein neu eingerichteter Arbeitsplatzcomputer mit Windows 2000 Professional zur Verfügung. Für die benutzerspezifischen Anpassungen des Installationsprozesses kann der RISServer weitreichend konfiguriert werden. Der Installationsprozess selbst kann so automatisiert werden beziehungsweise es können beispielsweise weitere Anwendungsprogramme mit installiert werden.

9.10.2 Technische Voraussetzungen Serverseitige Voraussetzungen

Die folgenden Voraussetzungen müssen serverseitig erfüllt sein, damit Sie die Remoteinstallationsdienste für die Einrichtung von neuen Clientcomputern über das Netzwerk nutzen können:

9.10 Die Remoteinstallationsdienste •

DNS-Server

345 DNS-Server

Die Remoteinstallationsdienste benötigen einen verfügbaren DNSServer (Domain Name Service) für die Lokalisierung des Active Directory (AD). •

DHCP-Server

DHCP-Server

Für den Installationsprozess wird ein aktiver DHCP-Server (Dynamic Host Configuration Protocol) benötigt. Dieser weist den Clientcomputern während des Bootprozesses die entsprechende IP-Adresse zu. •

Active Directory

Active Directory

Die Remoteinstallationsdienste müssen auf einem Windows 2000 Server installiert sein, welcher Zugriff zum Active Directory hat. Der RIS-Server kann ein Domänencontroller oder einfach ein Mitglied einer Domäne im Active Directory sein. •

Speicherplatz für Remoteinstallationsdateien Auf dem RIS-Server muss neben dem Systemdatenträger ein weiterer ausreichend groß dimensionierter Datenträger existieren, der die Remoteinstallationsdateien beherbergt. Eine Speicherung dieser Daten auf dem Systemdatenträger ist grundsätzlich nicht möglich, auch wenn dort vielleicht noch genug Platz vorhanden ist.

Speicherplatz für RIS-Dateien

In einem lokalen Netzwerk mit nur einem Windows 2000 Server kann dieser die Funktionen des DNS-, DHCP- und RIS-Servers in sich vereinigen. Für den Clientcomputer sollten die folgenden Voraussetzungen erfüllt Clientseitige Voraussetzungen sein, um auf einen RIS-Server zugreifen zu können: •

Netzwerkkarte

Netzwerkkarte

Für den Bootprozess wird eine PXE-kompatible Netzwerkkarte benötigt, die über ein entsprechendes BIOS zum Booten über das Netzwerk verfügt. Dazu muss das BIOS des Computers explizit den Netzwerkbootprozess unterstützen. Je nach Hersteller stellen Sie im BIOS-Setup die Startsequenz entsprechend auf Netzwerkboot ein. •

Floppy-Laufwerk Haben Sie keine entsprechende Netzwerkkarte, können Sie über die Remoteinstallationsdienste eine spezielle Bootdiskette erstellen, welche eine Reihe der wichtigsten Netzwerkkarten unterstützt.

Floppy-Laufwerk

346 Festplatte

9 Installation •

Festplatte Der Clientcomputer muss über eine ausreichend dimensionierte Festplatte verfügen, welche durch das Windows 2000-Setup neu eingerichtet und formatiert wird. Dabei spielt es keine Rolle, ob es sich um eine IDE- oder eine SCSI-Festplatte handelt.

Prüfen Sie vor einer Installation über die Remoteinstallationsdienste, ob sich noch wichtige Daten auf der Festplatte des Clientcomputers befinden. Die Boot- und Systemfestplatte wird durch das Setup grundsätzlich neu eingerichtet und formatiert.

9.10.3 Einrichtung des RIS-Servers Die Einrichtung des RIS-Servers erfolgt auf einem Windows 2000 Server, indem Sie über das Windows-Setup die Remoteinstallationsdienste hinzufügen. Abbildung 9.26: Remoteinstallationsdienste hinzufügen

Assistent

Nach dem Installieren des Dienstes und Neustart des Servers können Sie über den entsprechenden Assistenten den Remoteinstallationsdienst für die erste Konfiguration starten. Diesen bekommen Sie automatisch über die Startseite Windows 2000 Server konfigurieren angeboten, wenn Sie sich lokal am Server als Administrator anmelden.

RISETUP.EXE

Sie können diesen Assistenten auch manuell über START | AUSFÜHREN mit dem Aufruf des Programms Risetup starten. Zuerst fragt der Assistent nach dem Speicherort für die Remoteinstallationsdateien.

9.10 Die Remoteinstallationsdienste

347 Abbildung 9.27: Remoteinstallations ordner angeben

Da die Remoteinstallationsdateien gewöhnlich viel Speicherplatz einnehmen, wird aus Sicherheitsgründen zwingend verlangt, dass diese auf einem anderen Datenträger als dem Systemdatenträger installiert werden. Nach der Angabe des Speicherortes können Sie schon über den Assistenten definieren, wie sich der RIS-Server bei Clientanfragen verhalten soll. Abbildung 9.28: Clientunterstützung festlegen

Soll generell auf Clientanfragen geantwortet werden, aktivieren Sie das entsprechende Kontrollkästchen. Lassen Sie dieses hier inaktiv, wird der RIS-Server solange nicht einsetzbar sein, bis Sie ihn über die entsprechende Managementkonsole aktiviert haben. Für einer erhöhte Sicherheit kann es sinnvoll sein, nur im Active Di- Unbekannte Clients rectory registrierte Clientcomputer für eine Remote Installation zuzulassen. Dazu müssen Sie allerdings schon vorher die Clientcomputer

348

9 Installation mit ihrer Hardware-ID, der Netzwerk-MAC-Adresse, im Active Directory eintragen. Meist sind diese Informationen vorher nicht bekannt, da es sich die wenigsten Unternehmen leisten wollen, für einen eventuellen Ausfall Ersatzcomputer ins Lager zu stellen. Somit ist es für den Standard-Einsatzfall ausreichend, diese Option deaktiviert zu lassen. Die Sicherheit wird auch dann gewährleistet, da die Installation generell nur durch einen dafür autorisierten Benutzer durchgeführt werden kann.

Mehrere RIS-Server Anders kann das aussehen, wenn mehrere RIS-Server im Netzwerk

verfügbar sind. Es gibt leider keine Möglichkeit für den ClientComputer, einen spezifischen RIS-Server auszuwählen. Eine Möglichkeit zur Kontrolle besteht in der Definition der berechtigten Clients im Active Directory mit logischer Zuordnung zu den betreffenden RISServern. Installationsquelldateien

Geben Sie dann den Pfad zu den Installationsquelldateien für das betreffende Windows 2000 Professional an. Im Normalfall werden Sie die Installations-CD am RIS-Server einlegen und den Pfad dazu eingeben (beispielsweise E:\). Von dieser Quelle werden dann die Installationsdateien in den entsprechenden Installationsabbildordner auf dem RIS-Server kopiert.

Installationsabbildordner

Die Bezeichnung für den Installationsabbildordner geben Sie dann im nächsten Eingabefenster des Assistenten an. Der Ordner wird durch den Assistenten dann automatisch in der Verzeichnisstruktur des RISServers angelegt.

Beschreibung und Hilfetext

Für das Installationsabbild auf dem RIS-Server können Sie eine erklärende Beschreibung und einen Hilfetext angeben. Haben Sie mehrere Installationen auf dem RIS-Server abgelegt, kann der betreffende Nutzer, der die Remote Installation über das Netzwerk auswählt, so eine Hilfestellung zur Unterscheidung der betreffenden Installationen erhalten.

Letzter Check

Nach Abschluss der Einstellungen erhalten Sie eine Übersicht über die Konfiguration für den RIS-Server. Brechen Sie hier ab, wird der Assistent keinerlei Änderungen am System vornehmen.

9.10 Die Remoteinstallationsdienste

349 Abbildung 9.29: Letzter Check der Einstellungen

Nach Bestätigung der Einstellungen werden die Konfigurationsänderungen vorgenommen und alle Installationsdateien auf den RIS-Server kopiert. Das kann je nach verfügbarer Hardware und gegebenenfalls Geschwindigkeit des CD-ROM-Laufwerks einige Zeit in Anspruch nehmen. Bevor der RIS-Server überhaupt im Netzwerk aktiv werden kann, RIS-Server müssen Sie ihn im Active Directory autorisieren. Dies können Sie über autorisieren das DHCP-Snap-In an einem Domänencontroller oder remote von einer Arbeitsstation durchführen. Im Kontextmenü zum Wurzeleintrag DHCP finden Sie die entsprechende Option. Damit ein Benutzer einen Computer über RIS installieren kann, muss Benutzerrechte dieser mit den notwendigen Rechten versehen werden. Diese können vergeben Sie als Domänenadministrator über die Managementkonsole ACTIVE DIRECTORY BENUTZER UND GRUPPEN einrichten. Im Kontextmenü des Wurzeleintrags der betreffenden Domäne wählen Sie den Punkt OBJEKTVERWALTUNG ZUWEISEN.

350

9 Installation

Abbildung 9.30: Benutzerrechte für Objektverwaltung einrichten

Ein Assistent führt Sie dann durch die weitere Einrichtung. Geben Sie zuerst die Benutzer oder Gruppen an, für die Sie das Recht zur Objektverwaltung vergeben wollen. Abbildung 9.31: Benutzer und/oder Gruppen bestimmen

Soll jeder registrierte Benutzer in dieser Domäne grundsätzlich das Recht bekommen, Computer über die Remoteinstallationsdienste einzurichten, geben Sie die Gruppe JEDER an.

9.10 Die Remoteinstallationsdienste

351

Im nächsten Dialogfenster des Assistenten bestimmen Sie, dass die betreffenden Benutzer oder Gruppen Computer zur Domäne hinzufügen dürfen. Abbildung 9.32: Aufgabe Computer hinzufügen zuweisen

Nach Abschluss des Assistenten können die betreffenden Benutzer grundsätzlich die Installation von Windows 2000 Professional über den RIS-Server durchführen.

9.10.4 Erstellen einer RIS-Bootdiskette Für Clientcomputer ohne bootfähige Netzwerkkarte können Sie eine RBFG.EXE spezielle RIS-Bootdiskette erstellen. Diese simuliert einen PXEBootprozess für Computer ohne ein entsprechendes Boot-ROM auf der Netzwerkkarte. Das Dienstprogramm zum Erzeugen der entsprechenden Bootdiskette heißt RBFG.EXE und befindet sich im folgenden Verzeichnis auf dem RIS-Server: \RemoteInstall\admin\i386\RBFG.EXE Nach dem Start des Programms vergewissern Sie sich zunächst, ob Unterstützte Ihre betreffende Netzwerkkarte auch unterstützt wird. Die Liste der Netzwerkkarten unterstützten Adapter ist nicht sehr lang und kann derzeit auch nicht erweitert werden.

352

9 Installation

Abbildung 9.33: Das Programm RBFG.EXE

Nach Erstellung der Diskette können Sie diese benutzen, um vom Laufwerk A: des Clientcomputers zu starten und auf den RIS-Server zuzugreifen.

9.10.5 Starten der RIS-Installation über das Netzwerk Einstellungen auf der Netzwerkkarte

Einfacher und bequemer als über eine Bootdiskette ist das Starten über den PXE-Boot-ROM der Netzwerkkarte. Stellen Sie dazu im BIOSSetup des Clientcomputers die Bootsequenz auf die Netzwerkkarte an erster Stelle ein. Hinzu kommen eventuell noch weitere Einstellungen auf der Netzwerkkarte. Je nach Modell und Hersteller unterschiedlich implementiert sind die Zugriffsmöglichkeiten auf das eigene Setup der Karten. Hier sollten Sie, falls einstellbar, das PXE-Protokoll installieren sowie den Netzwerkbootprozess aktivieren.

Nach Start: F12

Nach dem Starten des Computers sendet die Netzwerkkarte zunächst unter anderem ihre eigene eindeutige Identifikationsnummer, auch MAC-Adresse genannt, aus. Über den RIS-Server bekommt der Client dann eine eigene IP-Adresse vom DHCP-Server zugewiesen. Dann beginnt die Kommunikation mit dem RIS-Server mit Übertragen der Bezeichnungen der verfügbaren Installationsabbilder. Vor dem Start des Installationsassistenten wird vom Benutzer ein Druck auf die Funktionstaste F12 verlangt.

9.10.6 Der RIS-Installationsprozess Vor der eigentlichen Installation wird zunächst der Benutzername sowie die Domäne abgefragt. Nur entsprechend eingerichtete Benutzer und Administratoren können Computer über die Remoteinstallationsdienste einrichten.

9.10 Die Remoteinstallationsdienste

353 Abbildung 9.34: Abfrage der Benutzerinformationen

Danach wird die Festplatte des Clientcomputers neu eingerichtet und formatiert. Eine entsprechende Meldung wird durch das Setup abgegeben. Der Remoteinstallationsservice ist generell für die Neuinstallation von Windows 2000 vorgesehen und löscht damit alle bestehenden Daten auf der Bootfestplatte des Clientcomputers. Durch Druck auf F3 können Sie letztmalig den Vorgang abbrechen Abbruch mit F3 und den Computer neu starten. Vor dem Start der eigentlichen Installation erfolgt eine Meldung mit Angabe der eindeutigen ID des Computers. Nach Bestätigung beginnt die Installation von Windows 2000 auf dem Clientcomputer. Unterbrochen wird diese nur durch die Eingabe der Seriennummer. Eintrag der S/N in Diese Unterbrechung können Sie vermeiden, indem Sie die entspre- die TXTSETUP.INF chende Seriennummer in der Datei TXTSETUP.INF im Verzeichnis der Installationsdateien auf dem RIS-Server eintragen. Der Rest der Installation läuft automatisiert ab. Nach erfolgreichem Abschluss steht Ihnen ein Windows 2000 Professional-Computer in Ihrem Netzwerk zur Verfügung. Die Nutzeranmeldung erfolgt dabei über die zugrunde liegende Domäne im Active Directory.

9.10 Die Remoteinstallationsdienste

Kapitel 10 Die Managementkonsole

10.1 Das Prinzip der Managementkonsole ...............357 10.2 Wichtige Funktionen.............................................361 10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«..........................................................362 10.4 Wichtige Snap-Ins .................................................383

355

10.1 Das Prinzip der Managementkonsole

10 Die Managementkonsole (MMC) Die Administration von Windows 2000 hat sich gegenüber Windows NT 4.0 grundlegend geändert. Windows NT 4.0 wird mit Hilfe einer Vielzahl verschiedener Administrationstools verwaltet. So gibt es einen Benutzermanager, einen Festplattenmanager, einen Dienstemanager usw., die alle mit einer anderen Bedienoberfläche ausgestattet sind. Falls Sie als Administrator an Windows NT gewöhnt sind, werden Sie eventuell von der neuen Logik der Verwaltung eines Windows 2000–Systems verwirrt sein. Aber bei genauer Betrachtung werden Sie feststellen, dass Windows 2000 endlich über ein (fast) einheitliches Verwaltungsmodell verfügt. Die meisten der bisher verschiedenartig aufgebauten Administrationswerkzeuge von NT wurden in Windows 2000 modular als sogenannte Snap-Ins aufgebaut. Diese Snap-Ins können über eine einheitliche Bedienoberfläche, der sogenannten Managementkonsole (Microsoft Management Console – MMC), arrangiert und von dieser aus aufgerufen werden. Ziel ist eine Vereinheitlichung in der Benutzung der Werkzeuge bei gleichzeitig hoher Flexibilität und Erweiterbarkeit. Für die wichtigsten Verwaltungsarbeiten sind in Windows 2000 bereits eine Reihe von Managementkonsolen vorkonfiguriert, so zum Beispiel für wesentliche Teile der Computerverwaltung und das Benutzermanagement. Es gibt aber noch Raum für Anpassungen und Erweiterungen. Sie können dabei frei bestimmen, welche Managementwerkzeuge Sie wem mit welchen Zugriffrechten zuordnen. In den folgenden Abschnitten werden wir von dem grundlegenden Aufbau bis hin zur individuellen Konfiguration die Technologie der Managementkonsolen näher betrachten.

10.1 Das Prinzip der Managementkonsole Die Managementkonsole ist eine Windows-Anwendung, die einen einheitlichen Rahmen für verschiedene Verwaltungstools bildet. Die einzelnen Verwaltungstools von Windows 2000 sind als Snap-Ins aufgebaut, die nicht selbständig aufgerufen werden können. Die Snap-Ins können dabei selbst wieder aus mehreren Objekten, eigenständigen Snap-Ins oder von Snap-Ins abhängigen Erweiterungen, bestehen. Die Schnittstellen der Snap-Ins und ihrer Erweiterungen sind von Microsoft offengelegt und erlauben es auch Drittherstellern, Administrationstools für ihre Hard- bzw. Software zu entwickeln, die sich so nahtlos in das Konzept der Managementkonsole einfügen. Die Bedienung und Konfiguration von Hard- und Software kann dadurch unter Windows 2000 vereinheitlicht werden.

357

358

10 Die Managementkonsole (MMC) In einer Managementkonsole werden übrigens nicht die Snap-Ins selbst abgespeichert, sondern nur Verweise auf diese. Dadurch sind die Managementkonsolen an sich nur sehr kleine Konfigurationsdateien (mit der Endung MSC), die Sie beispielsweise leicht via E-Mail austauschen oder verteilen können.

10.1.1 Das Programm mmc.exe Wenn Sie über START | AUSFÜHREN das Programm MMC starten, erhalten Sie eine leere Managementkonsole. Abbildung 10.1: Eine leere Managementkonsole

Eine leere Managementkonsole besteht zunächst nur aus dem Konsolenrahmen. Über das Menü KONSOLE können Snap-Ins hinzugefügt oder gelöscht werden, Konsolen geladen oder gespeichert und grundlegende Optionen festgelegt werden. Das Fenster Konsolenstamm stellt den eigentlichen Ausführungsrahmen Ihrer Managementkonsole dar. Unter dem Konsolenstamm werden wie in einem hierarchischen Verzeichnis die Snap-Ins verwaltet, die Sie in dieser Managementkonsole anordnen. Baumstruktur

Im linken Teil des Fensters einer Managementkonsole befinden sich die in einer hierarchischen Baumstruktur organisierten Snap-Ins bzw. Ordner, im rechten Teil dann die Einstellungen bzw. Ausgaben (beispielsweise bei Protokollen) der einzelnen Komponenten. Über das Kontextmenü (erreichbar über die linke Maustaste oder das Menü VORGANG) können die jeweiligen Aktionen für die betreffende Komponente ausgelöst werden.

10.1 Das Prinzip der Managementkonsole

359 Abbildung 10.2: Managementkonsole Benutzer und Gruppen; geöffnetes Kontextmenü zur Komponente »Benutzer«

Die Komponente BENUTZER des Snap-Ins LOKALE BENUTZER UND GRUPPEN bietet mit seinem Kontextmenü folgerichtig den Eintrag NEUER BENUTZER. Im rechten Teil des Fensters können Sie die einzelnen Benutzer wiederum über das entsprechende Kontextmenü umbenennen, Kennwörter festlegen oder auch löschen. Wie ein Benutzer die Managementkonsole sieht, können Sie festlegen. Das Aussehen Im oben abgebildeten Beispiel der Managementkonsole LOKALE kann verändert BENUTZER UND GRUPPEN sieht der Benutzer nur das gleichnamige werden Snap-In mit den beiden Objekten BENUTZER und GRUPPEN. Den äußeren Ausführungsrahmen mit den Menüoptionen KONSOLE und FENSTER, mit dem weitere Fenster mit Ansichten geöffnet werden könnten, hat er nicht im Zugriff. Ebenso stellt das Snap-In den Ursprung (vergleichbar mit der Verzeichniswurzel) in dieser Managementkonsole dar; der Konsolenstamm selbst erscheint nicht. Wie Sie das für Ihre Managementkonsolen konfigurieren können ist Inhalt des Abschnitts 10.3.1 Benutzerspezifische Managementkonsolen ab Seite 364. Zuvor sollten Sie jedoch eine Möglichkeit kennen lernen, wie Sie Ihre Managementkonsolen optisch attraktiver und übersichtlicher gestalten können: die Taskpadansichten.

10.1.2 Taskpadansichten Managementkonsolen können durch den Einsatz von Taskpadansich- Ansichten sind ten noch einfacher bedienbar werden. In diese Ansichten integrieren definierbar Sie alle die Komponenten, die für den beabsichtigten Funktionsbereich oder einen bestimmten Benutzer beziehungsweise Gruppe notwendig sind. Dabei können Sie die Konsole so konfigurieren, dass der Benutzer nur auf die für ihn wichtigen Komponenten zugreifen kann.

360

10 Die Managementkonsole (MMC)

Abbildung 10.3: Managementkonsole mit Taskpadansicht

Verweise

Diese auch Tasks bezeichneten Verweise müssen nicht nur Komponenten aus der Managementkonsole sein. Es lassen sich beispielsweise auch Verweise auf Webadressen, Assistenten, Menübefehle oder der Aufruf von Eigenschaftsseiten bestimmter Komponenten einbauen. Dabei können diese Verweise auch Funktionen ansprechen, die außerhalb der eigentlichen Managementkonsole liegen. Stark vereinfachen lassen sich auch Prozesse, die aus mehreren einzelnen Programmen oder Scripten zusammengesetzt sind und regelmäßig von einem Benutzer ausgeführt werden müssen. Sie können dafür einen einzigen Eintrag in einer Taskpadansicht einrichten. Es lassen sich für eine Managementkonsole auch mehrere Taskpadansichten erstellen, die gruppiert nach Funktionen oder Benutzer, organisiert sein können. Somit können Sie auch komplexe Managementkonsolen übersichtlicher strukturieren, als wenn alle Snap-Ins in ihrer herkömmlichen Anordnung eingebunden wären. Mit den Taskpadansichten haben Sie ein mächtiges Werkzeug in der Hand, mit dem Sie die Administration eines Computers oder eines Netzwerkes ganz spezifisch nach Ihren Bedürfnissen und vor allem auch den konkreten Kenntnisständen von Benutzern gestalten können. Eine ausführliche Beschreibung, wie Sie Managementkonsolen, auch mit Taskpadansichten, anlegen und konfigurieren, finden Sie im Abschnitt 10.3.1 Benutzerspezifische Managementkonsolen ab Seite 364.

10.2 Wichtige Funktionen

361

10.2 Wichtige Funktionen Der folgende Abschnitt befasst sich mit speziellen Funktionen der Managementkonsole und deren Einsatz für eigene Erweiterungen.

10.2.1 Modi der Benutzung einer Managementkonsole Über die Optionen zu einer Managementkonsole lassen sich verschiedene Modi für eine Managementkonsole festlegen: •

Im AUTORENMODUS können alle Änderungen an einer Manage- Autorenmodus mentkonsole vorgenommen werden, einschließlich der Möglichkeit, Snap-Ins hinzuzufügen oder zu entfernen.

•

In den drei verschiedenen Stufen des BENUTZERMODUS können die Benutzermodus Rechte für die Anwendung der Managementkonsole so weit eingeschränkt werden, dass keine inhaltlichen Änderungen vorgenommen werden können bzw. der Benutzer nur Zugriff auf für ihn vorgesehene Snap-Ins mit speziellen Einstellungen hat.

Durch diese Modi können Sie sicherstellen, wie Managementkonsolen durch den Anwender beeinflusst werden können und welche Sicht er auf die Werkzeuge erhält.

10.2.2 Hilfefunktion Die Hilfefunktion für eine Managementkonsole erreichen Sie über das jeweilige Kontextmenü (oder mit Druck auf F1). Dabei enthält die Online-Hilfedatei neben der allgemeinen Beschreibung der Bedienung einer Managementkonsole auch die speziellen Hilfethemen zu dem speziellen Snap-In, wenn der Hersteller desselben damit einen Hilfetext verbunden hat.

10.2.3 Browser-Unterstützung Die Managementkonsole selbst kann nicht aus einem Internet-Browser Web-based heraus aufgerufen werden. Dazu dienen andere Technologien wie das Enterprise Web-based Enterprise Management (WBEM). Allerdings können Management Snap-Ins so erstellt werden, dass diese auch über einen Browser zu steuern sind. Die standardmäßig mit Windows 2000 gelieferten SnapIns sind leider nicht fähig, über einen Browser zu laufen. Microsoft begründet dies damit, dass die heutigen Browser noch nicht die Fülle an Funktionen bereitstellen kann, die die Managementkonsole für die Administration mitbringt.

362

10 Die Managementkonsole (MMC) Da doch aber die Snap-Ins die eigentliche Funktionalität mitbringen, erscheint dieses Argument den Autoren nicht ganz schlüssig und soll, so scheint es, vielmehr wieder ausschließlich eine von Microsoft bestimmte Sicht auf die Dinge, hier bezüglich der Administration von Computern, etablieren.

10.2.4 Weiterführende Informationen zur Managementkonsole Im Internet hat Microsoft ein umfassendes Informationsangebot zu seiner Managementkonsolen-Technologie: •

www.microsoft.com/management/MMC/

Hier finden sich umfassende Informationen sowohl für Anwender und Entwickler als auch für Administratoren. In der SNAP-IN GALLERY stehen Ihnen Infos und Downloads von Snap-Ins für die Managementkonsole zur Auswahl bereit. Microsoft ist bestrebt, hier auch externen Softwareentwicklern für die Windows 2000/NT-Plattform ein Forum geben, die eigenen Verwaltungs-Snap-Ins zum Download anzubieten. Damit soll sich die Managementkonsole als StandardKonfigurationswerkzeug in der gesamten Windows-Welt etablieren.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung« In Windows 2000 sind eine Reihe von Managementkonsolen bereits vorkonfiguriert, mit denen Sie die wichtigsten Administrationsaufgaben erledigen können. Sie finden diese in SYSTEMSTEUERUNG | VERWALTUNG. Diese Auswahl ist keinesfalls vollständig. Windows 2000 wird mit viel mehr Werkzeugen und Konsolen geliefert, als in der Systemsteuerung zu sehen ist. Wenn Sie an anderen Stellen im Buch Hinweise auf die Installation von solchen Snap-Ins finden, ist dies normal – diese Komponenten werden bei der Standardinstallation nicht automatisch verfügbar sein.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

363 Abbildung 10.4: Werkzeuge der Verwaltung

Wie Sie sehen können, sind diese Bestandteile der VERWALTUNG nur Verknüpfungen; im Falle der Managementkonsolen Verweise auf Konfigurationsdateien (mit der Endung MSC). In der folgenden Tabelle sehen Sie die Komponenten der VERWALTUNG in einer Übersicht, welche Managementkonsolen darstellen:

Managementkonsole Komponentendienste

Tabelle 10.1: ManagementkonDient der Konfiguration der Dienste, die die solen der COM- und COM+-Komponenten für die VERWALTUNG

Beschreibung

gemeinsame Nutzung auf einem Server bereitstellen; vor allem für Programmierer wichtig Computerverwaltung

Funktionen für die Verwaltung des Computers wie Systemtools (Ereignisanzeige, Protokolle, Gerätemanager), Konfiguration und Wartung der Massenspeicher und die Betriebssystem-Dienste

Dienste

Allein für die Konfiguration der Betriebssystem-Dienste; auch enthalten in der MMC COMPUTERVERWALTUNG

Ereignisanzeige

Eine MMC ausschließlich mit dem Snap-In EREIGNISANZEIGE, auch in der MMC COMPUTERVERWALTUNG enthalten

364

10 Die Managementkonsole (MMC) Managementkonsole

Beschreibung

Lokale Sicherheitsrichtlinie MMC für die individuelle Anpassung der lokalen Sicherheitsrichtlinien für den Computer; wichtig ist bei einem Netzwerkeinsatz nur zu beachten, dass diese durch die Sicherheitsrichtlinien der übergeordneten Domäne wieder aufgehoben werden können. Systemmonitor

Eine MMC mit den Snap-Ins SYSTEMMONITOR und die LEISTUNGSDATENPROTOKOLLE; können Aufschluss über die Ressourcenauslastung und die Optimierung der Rechnerperformance geben

Leider hat Microsoft das MMC-Konzept nicht bis zum Ende durchgehalten, so sind die Konfiguration der ODBC (Open Database Connectivity) und des Telnet-Servers aus unerfindlichen Gründen als eigenständige Applikationen umgesetzt, dazu im Falle des Telnet-Servers auch noch mit einer anachronistisch anmutenden zeichenorientierten DOS-Oberfläche. Bei ODBC ist zumindest zu vermuten, dass sich die Implementierung als Snap-In wegen der Ablösung des Datenbankzugriffes durch OLE-DB nicht mehr lohnt. Abbildung 10.5: TelnetserverVerwaltung und ODBC aus »Verwaltung« der Systemsteuerung

Wie Sie eigene Managementkonsolen einrichten oder bestehende verändern können, ist Inhalt des folgenden Abschnitts.

10.3.1 Benutzerspezifische Managementkonsolen Die vorkonfigurierten Managementkonsolen (siehe vorigen Abschnitt) decken nur einen begrenzten Teil der Administrationsaufgaben ab.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

365

Windows 2000 bietet die Möglichkeit, eigene Konsolen anzulegen und mit den Funktionen zu versehen, die auch wirklich benötigt werden.

Eine eigene Managementkonsole anlegen Um eigene Managementkonsolen zusammenzustellen, können Sie folgendermaßen vorgehen: Starten Sie eine leere Managementkonsole, indem Sie über START |AUSFÜHREN das Programm MMC ausführen. Über SNAP-IN HINZUFÜGEN/ENTFERNEN des Hauptmenüpunkts KONSOLE können Sie aus den verfügbaren Snap-Ins das gewünschte aussuchen. Abbildung 10.6: Leere Managementkonsole

Im dann folgenden Dialogfenster erreichen Sie über HINZUFÜGEN die Liste der verfügbaren Snap-Ins. Für das folgende Beispiel wird eine Managementkonsole mit dem Snap-In COMPUTERVERWALTUNG angelegt und individuell eingerichtet.

366

10 Die Managementkonsole (MMC)

Abbildung 10.7: Die verfügbaren SnapIns

Wählen Sie aus der Liste das gewünschte Snap-In, für unser Beispiel COMPUTERVERWALTUNG, aus. Viele Snap-Ins für die Administration bieten die Funktionalität, auch entfernte Arbeitsstationen mit Windows 2000 zu verwalten. Sie werden dazu nach Auswahl eines SnapIns aufgefordert, den zu verwaltenden Computer anzugeben. Abbildung 10.8: Auswahl zur Verwaltung eines lokalen oder entfernten Computers

Remote Administration möglich

Für eine Reihe von Snap-Ins können Sie diese Zuordnung zum lokalen oder einem entfernten Computer auch innerhalb der Managementkonsole jederzeit ändern, allerdings nicht bei allen. Großer Vorteil dieser Technologie ist, dass Sie so ein Netzwerk von Windows 2000Arbeitsstationen remote administrieren können

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

367

Im Fenster für die Konfiguration der zu dieser Managementkonsole gehörenden Snap-Ins können Sie für bestimmte Snap-Ins noch weitere Konfigurationen vornehmen. Snap-Ins können aus mehr als einer Komponente bestehen. Diese werden dann im Fenster unter ERWEITERUNGEN aufgeführt. Abbildung 10.9: Erweiterungen des Snap-Ins Computerverwaltung

Erweiterungen benötigen zum Funktionieren ein zugehöriges Basis- Erweiterungen von Snap-In oder stellen selbst ein eigenständiges Snap-In dar. In unserem Snap-Ins Beispiel enthält die COMPUTERVERWALTUNG mehrere eigenständige Snap-Ins wie das DEFRAGMENTIERUNGSPROGRAMM oder LOKALE BENUTZER UND GRUPPEN. Durch das Konzept der Erweiterbarkeit können auch Dritthersteller Erweiterbarkeit von Hard- bzw. Software für Windows 2000 ihre Erweiterungen für durch existierende Snap-Ins liefern und diese so mit den benötigten Funktio- Dritthersteller nen versehen. In diesem Beispiel wird das Defragmentierungsprogramm deaktiviert, um vielleicht dem Programm eines anderen Herstellers den Vorzug zu geben. Die so konfigurierte Managementkonsole präsentiert sich zunächst wie in der folgenden Abbildung dargestellt:

368

10 Die Managementkonsole (MMC)

Abbildung 10.10: Die erstellte Managementkonsole

Im linken Bereich sehen Sie die Baumstruktur der eingebundenen Snap-Ins, ausgehend vom Konsolenstamm, in unserem Fall die COMPUTERVERWALTUNG mit all ihren Komponenten (allerdings jetzt ohne das Defragmentierungsprogramm). Im rechten Teil werden die Objekte der gerade aktivierten Komponente eingeblendet. Es ist ratsam, Managementkonsolen mit nicht zu vielen Snap-Ins zu versehen, da sonst die Übersichtlichkeit stark leiden kann. Vereinfachen können Sie den Zugriff für komplexere Managementkonsolen dennoch mit zwei Mitteln: Favoriten

•

Favoriten Häufig benutzte Komponenten fügen Sie einfach über das Kontextmenü zu den Favoriten hinzu, so haben Sie diese ähnlich wie mit den Favoriten im Internet-Explorer immer im schnellen Zugriff.

Taskpadansichten

•

Taskpadansichten Mit den Taskpadansichten können Sie wichtige Komponenten oder andere Tasks über einfache grafische Symbole verfügbar machen.

Wie Sie das Aussehen einer Managementkonsole noch weiter beeinflussen können, welche Menüeinträge sichtbar sein sollen oder ob die Konsolenstruktur überhaupt angezeigt wird, ist Inhalt des nächsten Abschnitts.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

369

Erstellen von Taskpadansichten Taskpadansichten lassen sich für die Managementkonsolen recht einfach mit Hilfe von Assistenten einrichten. Am Beispiel der im vorangegangenen Abschnitt erstellten Managementkonsole soll für die Komponente BENUTZER eine Taskpadansicht erstellt werden, die die folgenden Funktionen zur einfachen Benutzerverwaltung enthält: •

Neuen Benutzer anlegen

•

Benutzer löschen

•

Kennwort ändern

Aktivieren Sie in der Konsolenstruktur im linken Teil der MMC die Komponente BENUTZER und klicken Sie im Kontextmenü, welches sich mit der rechten Maustaste öffnen lässt, auf NEUE TASKPADANSICHT. Daraufhin startet ein hilfreicher Assistent, der Sie bei der Erstellung der Taskpadansicht unterstützt. Nach dem obligatorischen Willkommen-Fenster gelangen Sie in ein erstes Konfigurationsfenster: Abbildung 10.11: Definieren der Taskpadanzeige

Hier bestimmen Sie zunächst das grundsätzliche Aussehen der Taskpadansicht. Die zu setzenden Optionen haben dabei die folgende Bedeutung: •

Format für Detailfenster Sollen die einzelnen Komponenten des betreffenden Snap-Ins (in Listenform) angezeigt werden, so können Sie zwischen einer vertikalen oder horizontalen Anordnung der Liste auswählen. Die

Format für Detailfenster

370

10 Die Managementkonsole (MMC) Ausdehnung der Liste in der Ansicht lässt sich dabei über das Auswahlmenü LISTENGRÖßE einstellen. Möchten Sie hingegen in der Taskpadansicht ausschließlich mit selbst definierten Symbolen den Zugriff auf bestimmte Funktionen (»Tasks«) definieren, wählen Sie KEINE LISTE aus.

Format für Taskbeschreibung

•

Format für Taskbeschreibung Hierbei können Sie bestimmen, wie die Taskbeschreibungen, wenn Sie welche angelegt haben, angezeigt werden sollen. Eine elegante Variante stellt INFOTIPP dar, da dann der Beschreibungstext automatisch über dem Symbol eingeblendet wird, wenn die Maus darüber verharrt. Wählen Sie TEXT, wenn die Beschreibung neben dem Symbol fest angezeigt werden soll.

Nach dem Definieren des grundsätzlichen Aussehens der Taskpadansicht bestimmen Sie, wieweit diese in Ihrer Managementkonsole verwendet werden soll: Abbildung 10.12: Taskpadziel bestimmen

Sie können in diesem Auswahlfenster festlegen, ob Ihre Taskpadansicht nur auf das ausgewählte Strukturelement oder auf alle desselben Typs angewendet werden soll. Haben Sie beispielsweise in Ihrer Managementkonsole mehrmals eine bestimmte Komponente verwendet, für die Sie in dieser eine Taskpadansicht entworfen haben, würde diese Ansicht automatisch immer wieder für diese Komponente angezeigt werden. Gleichzeitig können Sie in diesem Fenster einstellen, dass diese definierte Taskpadansicht generell als Standardanzeige verwendet werden soll, wenn die Komponente ausgewählt wird.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

371

Jetzt fehlen in Ihrer Taskpadansicht nur noch die Tasks. Sie werden dazu beim Erstellen einer neuen Ansicht vom Assistenten gleich weiter geführt. Abbildung 10.13: Auswahl des Befehlstyps für den neuen Task

Es gibt drei Befehlstypen für Tasks: •

Menübefehl

Menübefehl

Sie können einen Task definieren, der einen Menübefehl abbildet. Dabei können Sie einen Befehl aus dem Kontextmenü zu einem Element der Detailansicht (hier zum Kontextmenü eines Benutzers, wie KENNWORT FESTLEGEN) oder zur ganzen Komponente (hier zur Komponente BENUTZER; beispielsweise NEUER BENUTZER) auswählen. •

Shellbefehl

Shellbefehl

Es lassen sich auch Aufrufe von externen Programmen in Ihre Taskpadansicht einsetzen. So können Sie bestimmte Funktionen in Ihre Managementkonsole integrieren, die Sie allein durch das Snap-In und seine Erweiterungen vielleicht nicht realisieren könnten. •

Navigation Für den schnelleren Zugriff auf häufig benötigte Funktionen können Sie diese in die Liste der Favoriten aufnehmen. Mit einem Navigationstask lässt sich ein Favorit direkt in Ihre Ansicht einsetzen.

Navigation

372

10 Die Managementkonsole (MMC) Für das Beispiel, für das der Task NEUER BENUTZER benötigt wird, setzen Sie mit der Definition eines Tasks als MENÜBEFEHL fort.

Abbildung 10.14 Kontextmenübefehl für einen Task auswählen

Als Befehlsquelle wird dabei STRUKTURELEMENTTASK benötigt, da sich dieser Menübefehl auf die Komponente BENUTZER bezieht (und nicht auf den einzelnen Benutzer). Haben Sie hier den Befehl NEUER BENUTZER ausgewählt, geht es mit WEITER zur Auswahl eines geeigneten grafischen Symbols für diesen Task. Leider sind die von Microsoft hier angebotenen Symbole nur schwarz-weiß verfügbar und bislang nicht erweiterbar.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

373 Abbildung 10.15 Grafische Symbole für Tasks

Jetzt haben Sie eine Taskpadansicht, die die Benutzer in einer Liste zur Auswahl anzeigt und über einen Task verfügt, mit dem Sie einen neuen Benutzer hinzufügen können. Weitere Tasks können Sie hinzufügen, wenn Sie über das Kontextmenü zu BENUTZER den Menüpunkt TASKPADANSICHT BEARBEITEN gehen. TASKPADANSICHT BEARBEITEN ist nur dann verfügbar, wenn für die betreffende Komponente die Taskpadansicht sichtbar ist. Ist nur die normale Strukturansicht im Vordergrund, können nur neue Taskpadansichten definiert werden. Wenn Sie nun auf die gleiche Weise noch die zwei fehlenden Tasks KENNWORT ÄNDERN und LÖSCHEN hinzufügen, beachten Sie, dass Sie bei der Auswahl des Kontextmenübefehls als Befehlsquelle Im DETAILFENSTER AUFLISTEN auswählen. Sie können für ein Element in einer Managementkonsole mehrere Taskpadansichten definieren. Das Wechseln der Ansichten wird dann über die Navigationsregisterkarten ermöglicht.

374

10 Die Managementkonsole (MMC)

Abbildung 10.16: Die neue Taskpadansicht für BENUTZER

Möchten Sie diese Taskpadansicht als alleinige Ansicht für die Managementkonsole einrichten, können Sie folgendermaßen vorgehen:

Abbildung 10.17: Optionen für eine eingeschränkte Konsole

•

Öffnen Sie über das Kontextmenü zu BENUTZER ein NEUES FENSTER.

•

Schließen Sie das dahinter liegende Fenster, welches die komplette Managementkonsole enthält.

•

Nehmen Sie über KONSOLE | OPTIONEN die folgenden Einstellungen vor (siehe Abbildung 10.17):

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung« •

Vergrößern Sie das Fenster mit der Taskpadansicht auf die volle verfügbare Größe innerhalb der Konsole und blenden Sie die Konsolenstruktur auf der linken Seite aus.

•

Deaktivieren Sie über ANSICHT | ANPASSEN alle Ansichtsoptionen zu dieser Managementkonsole.

375

Detailliert werden die Ansichtsoptionen und Benutzermodi in den folgenden beiden Abschnitten erläutert. Speichern Sie über KONSOLE | SPEICHERN die Konsole unter einem eigenen Namen ab; als Standardverzeichnis wird Ihnen dabei das STARTMENÜ | PROGRAMME | VERWALTUNG angeboten (zu den Speicherorten für Managementkonsolen siehe auch Seite 382). Wenn Sie diese Managementkonsole aus dem Startmenü wieder aufrufen, erscheint diese nun nur noch mit Ihrer Taskpadansicht. Abbildung 10.18: Die neue Managementkonsole

Mit dieser Managementkonsole können nur noch die angezeigten Funktionen ausgeführt werden, um neue Benutzer anzulegen, Kennwörter zu ändern oder Benutzer zu löschen. Voraussetzung dazu ist natürlich, dass der Benutzer dieser Konsole die erforderlichen Rechte dazu hat. Ein normaler Benutzer kann auch mit dieser Konsole lediglich sein eigenes Kennwort ändern. Dieses Beispiel soll aber zeigen, wie Sie eigene Managementkonsolen mit Hilfe der Taskpadansichten zu übersichtlichen, spezifischen Werkzeugen verwandeln können.

376

10 Die Managementkonsole (MMC) Taskpadansichten miteinander verknüpfen Wollen Sie mehrere Taskpadansichten miteinander verknüpfen, also eine Managementkonsole anlegen, die dem Benutzer ausschließlich die Bedienung über Taskpadansichten erlaubt, gehen Sie folgendermaßen vor: 1. Erstellen Sie zuerst für jedes betreffende Strukturelement eine eigene Taskpadansicht mit allen erforderlichen Tasks. Die Taskpadansicht muss dabei als Standardansicht für das Strukturelement eingerichtet sein. 2. Fügen Sie diese Taskpadansichten zu den Favoriten hinzu. Achten Sie dabei darauf, dass die Taskpadansicht aktiv ist (und nicht die normale Strukturansicht). 3. Erstellen Sie nun eine Start-Taskpadansicht für Ihre Konsole. Dies sollte das Wurzel-Strukturelement Ihrer Konsole sein. In diese Startansicht sollten Sie keine Liste für das Detailfenster anlegen, sondern nur Navigationstasks zu den angelegten Favoriten. Über diese Tasks kommen Sie dann direkt in die Taskpadansichten der anderen Strukturelemente. 4. Sie benötigen jetzt noch einen ZURÜCK-Task für die Strukturelemente-Ansichten, um damit immer wieder in das Startfenster zurück zu kommen. Dazu fügen Sie die Startansicht zu den Favoriten hinzu und erstellen in jeder untergeordneten Ansicht einen Navigationstask, den Sie ZURÜCK nennen können. Benutzen Sie als Navigationstasks die Favoriten, die Sie aus den Taskpadansichten generiert haben, nicht die der Strukturelemente selbst. Beachten Sie das nicht, wird der Verweis immer wieder in der normalen Ansicht landen, anstatt die Taskpadansicht aufzurufen, auch wenn Sie zuvor die Taskpads als Standardansichten definiert haben.

Anpassen von Managementkonsolen-Ansichten Das Aussehen der Managementkonsole können Sie weiter beeinflussen, indem Sie im Hauptmenü ANSICHT | ANPASSEN auswählen. Sie erhalten ein Fenster mit einer Auflistung der Ansichts-Optionen für das Erscheinungsbild der Managementkonsole.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

377 Abbildung 10.19: Ansicht einer MMC anpassen

Das Verhalten der einzelnen Optionen können Sie sehr gut erkennen, da die im Hintergrund geöffnete Managementkonsole gleich auf die Änderungen reagiert. In der folgenden Abbildung sehen Sie die einzelnen Bestandteile der Bedienoberfläche einer Konsole im Überblick. Abbildung 10.20: Die Ansichtsobjekte einer MMC

Im Bereich MMC des Optionsfensters ANSICHT ANPASSEN bestimmen Sie das Aussehen der Managementkonsole selbst, das heißt des äußeren Rahmens, in den die Snap-Ins eingebettet sind (siehe Abbildung 10.20):

378 Konsolenstruktur

10 Die Managementkonsole (MMC) •

Konsolenstruktur Diese Option bestimmt, ob im linken Teil des Konsolenfensters die Konsolenstruktur angezeigt wird. Ist diese Option deaktiviert, bleiben hier nur die Favoriten, wenn angelegt, sichtbar.

Standardmenüs

•

Standardmenüs (Vorgang und Ansicht) Mit dieser Option lassen sich die beiden Standardmenüeinträge VORGANG und ANSICHT ausblenden.

Standardsymbolleiste

•

Standardsymbolleiste Die Standardsymbolleiste dient zum Navigieren und dem schnellen Aufruf von Funktionen zur aktivierten Komponente der Managementkonsole. Diese Funktionen lassen sich über die folgenden Symbole aufrufen: Orientierungspfeile – dienen zum Vorwärts- und Rückwärtsblättern zwischen schon einmal aufgerufenen Seiten bzw. Ansichten Geht in der Verzeichnis- bzw. Baumstruktur der Komponenten eine Ebene höher Blendet in der Fensteransicht die Strukturansicht (mit Favoritenliste) ein- oder aus Öffnet die Eigenschaften der ausgewählten Komponente Druckt die Ausgabe der betreffenden Komponente aus Aktualisiert die Ansicht, beispielsweise wichtig, um die Ausgaben des Ereignisprotokolls aufzufrischen Exportiert die Liste der Komponenten, die in der aktuellen Ansicht sichtbar sind Ruft die Hilfefunktion auf; ggf. mit Auswahl des entsprechenden Hilfetextes zur ausgewählten Komponente

Statusleiste

•

Statusleiste In dieser Leiste erscheinen Meldungen der Konsole zum Programmablauf, beispielsweise wenn Komponenten längere Auswertungen ausführen.

Beschreibungsleiste

•

TaskpadNavigationsregisterkarten

•

Beschreibungsleiste Es werden hier Hinweise gegeben, welche Komponente gerade aktiv ist; insbesondere dann wichtig, wenn die Struktur der Komponenten rechts ausgeblendet ist. Taskpad-Navigationsregisterkarten Diese Register dienen der Umschaltung der Ansichten im rechten Fensterbereich, wenn mehrere definiert worden sind, beispielsweise mit Hilfe der Taskpadansichten.

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

379

Im SNAP-IN-Bereich des Optionsfensters ANSICHT ANPASSEN definieren Sie zwei Ansichtsoptionen für das Verhalten der Snap-Ins in der Managementkonsole: •

Menüs

Menüs

Snap-Ins können eigene Menüerweiterungen mitbringen, die dann neben den Standardmenüs VORGANG und ANSICHT erscheinen. Wird diese Option deaktiviert, werden diese Menüs nicht eingeblendet. •

Symbolleisten

Symbolleisten

Wie schon bei den Erweiterungen für Menüs können Snap-Ins auch ihre eigenen Symbole mitbringen, die dann neben oder unter der Standardsymbolleiste sichtbar werden. Deaktivieren Sie diese Option, wenn sich diese nicht zeigen sollen. Umfangreiche Detailansichten von Strukturelementen als Liste im rechten Teil der Managementkonsole können Sie ebenfalls in ihrem Darstellungsumfang beeinflussen. So gewinnen Detailansichten an Übersichtlichkeit, wenn nur die Spalten angezeigt werden, die Sie für den konkreten Zusammenhang als wichtig erachten. Über ANSICHT | SPALTEN wählen erhalten Sie ein Auswahlfenster, mit dem Sie die gewünschten Spalten der Anzeige beeinflussen können. Abbildung 10.21 Spaltenanzeige beeinflussen

ENTFERNEN Sie einfach alle in dieser Ansicht nicht benötigten Spalten. Diese erscheinen dann im linken Bereich unter AUSGEBLENDETE SPALTEN. Die Reihenfolge der Spalten können Sie im übrigen auch leicht ändern, indem Sie im rechten Teil eine Spalte markieren und mit NACH OBEN und NACH UNTEN neu positionieren. Bestimmte Spalten lassen sich nicht verschieben oder entfernen, das hängt von der Programmierung des jeweiligen Snap-Ins ab.

380

10 Die Managementkonsole (MMC) Benutzermodi für Managementkonsolen Managementkonsolen, die Sie für den Zugriff durch normale Benutzer erstellen, möchten Sie natürlich auch absichern. Benutzer sollen schließlich nur die Werkzeuge in die Hand bekommen, die sie auch benötigen und beherrschen. Damit das gewährleistet werden kann, gibt es Zugriffsoptionen, die Sie für jede Konsole individuell einstellen können. Über das Hauptmenü KONSOLE | OPTIONEN erhalten Sie ein Auswahlfenster, mit dem Sie den beabsichtigten Benutzermodus für die Konsole einstellen können.

Abbildung 10.22: Auswahl des Konsolenmodus für eine MMC

Sie können für Ihre Managementkonsole einen der vier Modi für die Benutzung auswählen: Autorenmodus

•

Autorenmodus Dieser Modus ist der Standard für eine neue Konsole. Sie können, auch als Benutzer, beliebig Änderungen an der Konsole vornehmen, Snap-Ins hinzufügen oder löschen bzw. die Erweiterungen für Snap-Ins anpassen. Möchten Sie angepasste Managementkonsolen Ihren Benutzern zur Verfügung stellen, sollten Sie diese auf keinen Fall im Autorenmodus belassen.

Benutzermodus – Vollzugriff

•

Benutzermodus – Vollzugriff In diesem Modus ist die Managementkonsole an sich geschützt. Benutzer können keine weiteren Snap-Ins aufnehmen oder vorhandene modifizieren bzw. löschen. Es ist aber erlaubt, für Komponenten andere Fensteransichten zu starten oder sich frei in allen

10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung«

381

installierten Komponenten zu bewegen. Dieser Modus eignet sich für erfahrene Benutzer, denen Sie bestimmte Administrationsaufgaben vollständig übertragen haben. •

Benutzermodus – beschränkter Zugriff, mehrere Fenster

Benutzermodus – beschränkter Sie können für eine Komponente einer Managementkonsole ein Zugriff, mehrere weiteres Sichtfenster öffnen (über das Kontextmenü). Schließen Sie Fenster

jetzt alle weiteren Fenster außer das soeben erzeugte, stellen Sie mit diesem Benutzermodus sicher, dass der Anwender beim nächsten Öffnen der Konsole nur das zuletzt geöffnete sehen kann. Die anderen, übergeordneten Komponenten bleiben ihm verborgen. So können Sie gezielt Verwaltungsaufgaben für einen beschränkten Bereich, beispielsweise eines komplexen Snap-Ins wie die »Computerverwaltung«, an Benutzer übertragen bzw. diesen zugänglich machen. Der Benutzer kann jedoch noch weitere Fenster für die Komponenten öffnen, die Sie ihm zugeteilt haben. •

Benutzermodus – beschränkter Zugriff, Einzelfenster

Benutzermodus – beschränkter Dieser Modus einer Managementkonsole bietet die meiste Absi- Zugriff, cherung vor Veränderungen durch den Benutzer. Es bleibt nur ge- Einzelfenster

nau das Fenster sichtbar, welches beim Abspeichern sichtbar bzw. bei mehreren Fenstern der Konsole aktiv war. Weitere Fenster für eine Komponente können benutzerseitig nicht erzeugt werden. Für die drei Benutzermodi können Sie noch weitere Einstellungen vornehmen: •

Kontextmenüs auf Taskpads dieser Konsole aktivieren Kontextmenüs für Komponenten erhalten Sie mit Druck auf die rechte Maustaste. Wenn Sie nicht wünschen, dass diese in der Taskpadansicht aufgerufen werden können, deaktivieren Sie diese Option.

•

Änderungen für diese Konsole nicht speichern Falls die betreffende Managementkonsole immer im gleichen Erscheinungsbild sichtbar sein soll, aktivieren Sie diese Option. Damit werden Änderungen, die ein Benutzer der Konsole vornimmt, beim Schließen der Konsole nicht gespeichert.

•

Anpassen von Ansichten durch Benutzer zulassen Deaktivieren Sie diese Option, wenn es dem Benutzer nicht erlaubt werden soll, das Aussehen der Managementkonsole zu beeinflussen.

Wenn Sie die Konsole abspeichern und das nächste Mal aufrufen, dann sehen Sie diese nur noch im eingestellten Modus, auch wenn Sie als Administrator angemeldet sind. Möchten Sie nachträglich Ände-

382

10 Die Managementkonsole (MMC) rungen an der Konsole vornehmen, öffnen sie diese einfach wieder mit dem folgenden Aufruf von der Eingabeaufforderung: mmc /a Sie können auch zuerst nur MMC / A starten und über das Hauptmenü KONSOLE | ÖFFNEN die gewünschte Konfigurationsdatei laden.

10.3.2 Abspeichern der Managementkonsolen – Speicherorte Wenn Sie die individuell konfigurierte Managementkonsole abspeichern, wird als Standard das Verzeichnis STARTMENÜ / PROGRAMME / VERWALTUNG des aktuellen Benutzers angeboten. Dort befinden sich auch die Verweise zu den vorkonfigurierten Managementkonsolen (siehe auch Abschnitt 10.3 Vorkonfigurierte Managementkonsolen der »Verwaltung« ab Seite 362), die Sie, wenn nötig, durch Ihre eigenen ersetzen können. Managementkonsolen für andere Benutzer anlegen

Wenn Sie als Administrator Managementkonsolen für andere Benutzer anlegen, müssen Sie diese auch in deren persönlichen Startmenüs unterbringen. Die Startmenüs befinden sich unter \DOKUMENTE UND EINSTELLUNGEN des entsprechenden Laufwerks in den folgenden Verzeichnissen: •

ALL USERS\STARTMENÜ Das Startmenü, welches die Standardeinträge für alle Benutzer enthält. Alle Programme und Managementkonsolen, die auch wirklich allen Benutzern zur Verfügung stehen sollen, können Sie hier unterbringen. Managementkonsolen werden dabei üblicherweise im Startmenü unter PROGRAMME\VERWALTUNG abgelegt.

•

ADMINISTRATOR\STARTMENÜ Das Startmenü des Administrators. Es empfiehlt sich, hier alle für das System relevanten Werkzeuge unterzubringen. Über die Eigenschaft des Startmenüs, mit gedrückter Umschalttaste und Klick auf die rechte Maustaste ein Programm mit einer anderen Benutzerkennung aufzurufen, können Sie aber auch Verwaltungswerkzeuge vom Arbeitsplatz eines normalen Nutzers aus dessen Startmenü benutzen.

•

\STARTMENÜ Das individuelle Startmenü des Benutzers . Bringen Sie hier unter PROGRAMME\VERWALTUNG die Managementkonsolen unter, die dieser Benutzer allein benötigt.

10.4 Wichtige Snap-Ins

383

10.4 Wichtige Snap-Ins Hier werden Ihnen die wichtigsten Snap-Ins für die Verwaltung vorgestellt, die in der Professional-Version von Windows 2000 enthalten sind. Die Server-Varianten bringen noch eine Reihe zusätzlicher SnapIns mit, die in diesem Band nicht Gegenstand der Betrachtung sind.

10.4.1 Snap-Ins für die remote Verwaltung Eine ganze Reihe der Snap-Ins können Sie auch für die Verwaltung eines entfernten Computers einsetzen. Gehen Sie dabei über das Menü VORGANG der Managementkonsole oder das Kontextmenü zum jeweiligen Snap-In und wählen den Punkt VERBINDUNG ZU ANDEREM COMPUTER HERSTELLEN. Abbildung 10.23 Verbindung zu anderem Computer herstellen

Wählen Sie hier einen Computer aus, der im Netzwerk erreichbar sein muss (im lokalen Netzwerk oder über eine Fernverbindung). Nicht alle Snap-Ins lassen sich mit ihrer vollen Funktionalität für einen entfernten Computer einsetzen. Bestimmte Funktionen, beispielsweise Änderungen an der Hardwarekonfiguration, lassen sich nur lokal vornehmen.

10.4.2 Computerverwaltung Dieses Snap-In enthält die wichtigsten Komponenten, mit denen Sie Windows 2000 Professional konfigurieren können. Dieses Snap-In besteht selbst aus einer ganzen Reihe von Snap-Ins und zusätzlichen Erweiterungen. Die Komponenten werden hier vorgestellt; die genaue Beschreibung eines Snap-Ins finden Sie dann in dessen separatem Abschnitt weiter unten.

384

10 Die Managementkonsole (MMC) Mit der EREIGNISANZEIGE, den SYSTEMINFORMATIONEN und den LEISTUNGSPROTOKOLLEN verfügen Sie über ausgefeilte und umfassende Werkzeuge, mit denen Sie das Leistungsverhalten und das Zusammenspiel der vielfältigen Hard- und Softwarekomponenten des gesamten Systems kontrollieren können. Über FREIGEGEBENE ORDNER sehen Sie, welche Freigaben zurzeit aktiv sind und wer welche Dateien im Zugriff hat. Sie können hier auch neue Freigaben einrichten und bestehende verändern oder löschen. Im GERÄTE-MANAGER finden Sie alle installierten Hardwarekomponenten des Systems und können diese hier verwalten (beispielsweise neue Treiber für ein Gerät installieren). LOKALE BENUTZER UND GRUPPEN erlaubt die Verwaltung von Benutzerund Gruppenkonten. Die Komponente DATENSPEICHER beinhaltet alle wichtigen Werkzeuge für das Konfigurieren und Warten von Fest- und Wechselspeichermedien wie Funktionen zum Partitionieren und Formatieren oder das Organisieren von Datenbeständen auf externen Datenträgern. In DIENSTE UND ANWENDUNGEN sehen Sie unter anderem die Dienstesteuerung, die unter Windows NT noch als alleinige Anwendung in der Systemsteuerung integriert war. Das Snap-In COMPUTERVERWALTUNG finden Sie auch in der gleichnamigen vorgefertigten Managementkonsole unter START | PROGRAMME | VERWALTUNG, die lediglich aus diesem Snap-In besteht.

10.4.3 Datenträgerverwaltung Die Datenträgerverwaltung ersetzt den alten Festplattenmanager von Windows NT. Dieses Dienstprogramm wurde von der Firma VERITAS Software Corporation (www.veritas.com) hergestellt und in Windows 2000 integriert. Hier finden Sie auch die Konfigurationsmöglichkeiten für die neuen Features von Windows 2000 wie beispielsweise logische und dynamische Laufwerke. Ein weiteres Merkmal dieses neuen Dienstprogramms ist, dass Sie nach den meisten Änderungen an den Datenträgern Ihres Systems dieses nicht mehr neu starten müssen, wie es oft noch unter NT erforderlich war. Dazu kommt, dass Sie jetzt auch entfernte Computer über dieses Tool administrieren können. Eine ausführliche Beschreibung aller notwendigen administrativen Werkzeuge zum Thema Massenspeicher, deren Bestandteil auch die Datenträgerverwaltung ist, finden Sie ab Seite 387.

10.4 Wichtige Snap-Ins

10.4.4 Ereignisanzeige Die Ereignisanzeige können Sie als Snap-In für Ihren lokalen Computer oder für einen im Netzwerk befindlichen einbinden, auf dem Windows 2000 (auch als Server-Version) läuft. Die Meldungen zu Systemereignissen werden in die folgenden Kategorien eingeteilt: •

Anwendungsprotokoll Hier werden Meldungen aufgezeichnet, die von Anwendungsprogrammen ausgegeben werden. Das können beispielsweise Meldungen zu bestimmten Problemen sein, die Anwendungen haben oder es werden erfolgreich abgeschlossene Installations- oder Deinstallationsvorgänge protokolliert. Was alles aufgezeichnet wird, bestimmt der Entwickler der Anwendungssoftware. Das Anwendungsprotokoll kann durch jeden normalen Benutzer eingesehen werden. Die Ereignisse löschen kann jedoch ausschließlich der Administrator (oder ein autorisierter Benutzer).

•

Systemprotokoll Im Systemprotokoll finden Sie alle Meldungen, die WindowsKomponenten, wie beispielsweise Gerätetreiber und Dienstprogramme, ausgeben. Sie finden hier auch Informationen, die die Systemsicherheit betreffen können. So wird aufgezeichnet, wann der Ereignisprotokolldienst gestartet oder beendet worden ist (wann also im Normalfall der Computer hoch- beziehungsweise heruntergefahren wurde) oder wann welcher Benutzer wie lange eine Verbindung mit dem Internet über eine Fernverbindung hatte. Auch dieses Protokoll kann normalerweise durch jeden Benutzer eingesehen werden, das Löschen von Einträgen ist jedoch nur dem Administrator oder einem autorisierten Benutzer vorbehalten.

•

Sicherheit In diesem Protokoll werden sicherheitsrelevante Ereignisse aufgezeichnet, die Sie nur als Administrator (oder autorisierter Benutzer) einsehen können. Sie können beispielsweise ungültige Anmeldeversuche oder bestimmte Ressourcennutzungen zurückverfolgen.

Die Meldungen für alle Protokollarten werden eingeteilt in: •

Informationen

•

Warnungen

•

Fehler

385

386

10 Die Managementkonsole (MMC) Als Administrator können Sie aus diesen Meldungen wertvolle Hinweise erhalten, wie Sie Ihr System optimal einrichten müssen. Eine ausführliche Beschreibung aller Funktionen der Ereignisanzeige finden Sie in Abschnitt 16.2 Ereignisanzeige ab Seite 715.

10.4 Wichtige Snap-Ins

387

Kapitel 11 Administration der Massenspeicher

11.1 Die Verwaltungswerkzeuge im Überblick.......389 11.2 Die Datenträgerverwaltung im Detail...............391 11.3 Basisfestplatten einrichten...................................396 11.4 Dynamische Festplatten einrichten....................404 11.5 Datenträger formatieren .......................................424 11.6 Umwandeln von FAT/FAT32 in NTFS ..............432 11.7 Datenträgerzugriff ändern ...................................435 11.8 Erweiterte NTFS-Attribute...................................442 11.9 NTFS-Zugriffsrechte einstellen ..........................453 11.10 Dateiattribute bei FAT und FAT32 ...................463 11.11 Weitere Eigenschaften von Datenträgern ........467 11.12 Indexdienst einrichten.........................................479

11.1 Die Verwaltungswerkzeuge im Überblick

11 Administration der Massenspeicher In diesem Kapitel wird detailliert die Einrichtung und Verwaltung von Festplatten unter Windows 2000 behandelt. Dabei werden die Administrationswerkzeuge vorgestellt und die einzelnen Schritte bei der Einrichtung von Festplatten praxisnah erläutert. Wichtig für das volle Verständnis dieser Administrationsfunktionen sind genaue Kenntnisse über die neue Datenträger-Technologie von Windows 2000 für Basisfestplatten und Dynamische Festplatten. Es empfiehlt sich, vor einer Einrichtung der Festplatten die Grundlagen im Kapitel 4 Massenspeicherverwaltung ab Seite 85 zu lesen. Die Erläuterung der Einrichtung und Verwaltung von Wechselmedien in sogenannten Medienpools, vor allem im Hinblick auf hierarchisches Speichermanagement und Streamer-Backup, ist vor allem für den Server-Einsatz relevant und wird in Band II behandelt.

11.1 Die Verwaltungswerkzeuge im Überblick Für die Verwaltung der Massenspeichersysteme wie Festplatten oder Wechseldatenträger sowie für Einrichtung und Wartung der logischen Datenträger bringt Windows 2000 eine Reihe von Systemwerkzeugen mit. Dabei können Sie den größten Teil der Aufgaben mit komfortablen grafischen Werkzeugen erledigen. Einige Tools gibt es auch als Kommandozeilenprogramme, die sich insbesondere für den Einsatz in Stapelverarbeitungsdateien eignen.

11.1.1 Grafische Verwaltungswerkzeuge Unter Windows 2000 sind die grafischen Verwaltungswerkzeuge für die Speichersysteme Ihres Computers wie Festplatten und Wechseldatenträger in der vorgefertigten Managementkonsole COMPUTERVERWALTUNG integriert (mehr zur Managementkonsole siehe Seite 355). Am einfachsten erreichen Sie die COMPUTERVERWALTUNG, indem Sie im Kontextmenü von ARBEITSPLATZ (über die rechte Maustaste) den Punkt VERWALTEN wählen. Sie können aber auch über das Startmenü PROGRAMME | VERWALTUNG | COMPUTERVERWALTUNG gehen. In der Computerverwaltung finden Sie in der Strukturansicht unter DATENSPEICHER eine Reihe wichtiger Snap-Ins, die Sie für die Administration der Speichermedien nutzen können:

389

390

11 Administration der Massenspeicher •

DATENTRÄGERVERWALTUNG Die Datenträgerverwaltung ist das zentrale Werkzeug für die Einrichtung und Wartung der physischen und logischen Datenträger.

•

DEFRAGMENTIERUNGSPROGRAMM Mit Hilfe dieses integrierten Programms des Herstellers Executive Software International Inc. können Sie Datenträger defragmentieren. Die Defragmentierung von Datenträgern wird in Abschnitt 5.3.4 Defragmentierungsverfahren und -strategien ab Seite 144 behandelt.

•

LOGISCHE LAUFWERKE Dieses Snap-In ermöglicht einen beschränkten Zugriff auf die definierten logischen Laufwerke. Sie können damit nur Datenträgerbezeichnungen und Sicherheitseinstellungen ändern.

•

WECHSELMEDIEN Unter Wechselmedien ist eine Reihe nützlicher Werkzeuge für die Verwaltung aller Arten von Wechselspeichermedien (wie Magnetbänder und optischer Speichermedien) und der dazugehörigen Hardwarekomponenten vereinigt.

11.1.2 Kommandozeilen-Tools Die folgende Tabelle enthält alle Kommandozeilen-Tools für die Verwaltung und Einrichtung von Datenträgern beziehungsweise für die Nutzung spezieller Funktionen des NTFS-Dateisystems. Nicht alle Tools sind nur für die Nutzung durch Administratoren bestimmt; allerdings werden die wenigsten normalen Benutzer sich mit Kommandozeilenoptionen herumschlagen wollen. Deshalb sind hier alle wichtigen Tools aufgeführt, die Sie unter Windows 2000 für Administrationsarbeiten auf Datenträgern nutzen können. Dazu gibt es für jedes Tool den Verweis auf die Seite, auf der dieses näher erläutert wird. Tabelle 11.1: KommandozeilenTools im Überblick und wo sie beschrieben werden

Seite

Name

Funktion

cacls.exe

Ändert Zugriffsberechtigungen von Dateien und Ordnern (NTFS)

461

chkdsk.exe

Dient der Fehlersuche und –behebung auf Datenträgern

472

cipher.exe

Ermöglicht die Ver- und Entschlüsselung von Dateien und Ordnern (NTFS)

451

11.2 Die Datenträgerverwaltung im Detail

391

Seite

Name

Funktion

compact.exe

Ermöglicht die Komprimierung und Dekomprimierung von Dateien und Ordnern (NTFS)

446

convert.exe

Konvertiert einen FAT-Datenträger zu NTFS

433

mountvol.exe

Ermöglicht die Erstellung und Löschung von Bereitstellungspunkten

440

11.2 Die Datenträgerverwaltung im Detail Das grafische Dienstprogramm DATENTRÄGERVERWALTUNG erlaubt Ihnen die Administration der Datenträger Ihres Computersystems oder eines Fremdsystems, welches über eine Netzwerk- oder DFÜVerbindung erreichbar ist. Die Anwendung ist als Managementkonsolen-Snap-In aufgebaut und ersetzt den alten Festplattenmanager von Windows NT.

11.2.1 Funktionsumfang der Datenträgerverwaltung Die folgenden Administrationsaufgaben können Sie mit Hilfe der Da- Direkt am tenträgerverwaltung auf einem Windows 2000 Professional-System Computer durchführen: •

Abruf von Informationen über alle physischen und logischen Datenträger

•

Neu einlesen der Datenträgerkonfiguration nach Entfernen oder Hinzunahme externer Geräte ohne Neustart

•

Überprüfung und Reparatur von Datenträgern

•

Einrichtung und Änderung von Sicherheitseinstellungen für den Zugriff auf Datenträger

•

Einrichtung und Löschung von Partitionen und logischen Laufwerken auf Basisfestplatten

•

Umwandlung von Basisfestplatten in dynamische Festplatten und umgekehrt

•

Erstellung, Erweiterung und Löschung von Einfachen Datenträgern auf dynamischen Festplatten

•

Erstellung, Erweiterung und Löschung von Übergreifenden Datenträgern auf dynamischen Festplatten

392

Remote auf dem Server

11 Administration der Massenspeicher •

Erstellung und Löschung von Stripesetdatenträgern auf dynamischen Festplatten

•

Löschung von unter Windows NT erstellten Datenträgersätzen, Stripe Sets und Mirror Sets

Sind Sie remote mit einem Windows 2000 Server verbunden, können Sie diese zusätzlichen Administrationsaufgaben, vorausgesetzt Sie haben die erforderlichen Administratorrechte, erledigen: •

Erstellung und Löschung von Spiegelsätzen auf dynamischen Festplatten des Servers

•

Erstellung und Löschung von RAID-5-Datenträgern auf dynamischen Festplatten des Servers

Diese Server-Administrationsaufgaben sind Inhalt des Bandes II und werden an dieser Stelle nicht näher betrachtet.

11.2.2 Aufbau der Benutzeroberfläche Die grafische Oberfläche der Datenträgerverwaltung erlaubt Ihnen eine sehr einfache Anwendung der vielfältigen Funktionen dieses Programms (siehe auch Kapitel 10 Die Managementkonsole ab Seite 355). Abbildung 11.1: Benutzeroberfläche der Datenträgerverwaltung

11.2 Die Datenträgerverwaltung im Detail

393

Im oberen Fensterteil werden standardmäßig die logischen Datenträ- Ansichten ger dargestellt, im unteren erscheint die grafische Ansicht der physi- einstellen schen Datenträger. Diese Anordnung können Sie aber frei nach Ihren Bedürfnissen verändern. Über ANSICHT | ANZEIGE OBEN und ANZEIGE UNTEN lassen sich die Fensterbereiche einrichten als: •

Liste der Festplatten

•

Liste der Datenträger

•

Grafische Ansicht

Die Größe der Anzeigenbereiche lassen sich einfach mit Hilfe der Maus einstellen. Der untere Bereich kann auch ganz ausgeblendet werden. Über ANSICHT | ALLE LAUFWERKPFADE sehen Sie die eingerichteten Laufwerkpfade Bereitstellungspunkte, auch Laufwerkpfade genannt, über die logische anzeigen Datenträger in einem anderen NTFS-formatierten Datenträger eingebunden sind (siehe auch Abschnitt 11.7 Datenträgerzugriff ändern ab Seite 435). Abbildung 11.2: Anzeige der Laufwerkpfade

Die grafische Ansicht eignet sich hervorragend zur Einrichtung und Grafische Ansicht Verwaltung der physischen und logischen Datenträger. Sie sehen hier anpassen auf einen Blick, welchen Typ die Festplatte hat und welche Arten von Datenträgern eingerichtet oder wo freie Bereiche verfügbar sind. Die grafische Ansicht können Sie über das Hauptmenü ANSICHT | EINSTELLUNGEN hinsichtlich der verwendeten Farben und grafischer Skalierung frei anpassen.

394

11 Administration der Massenspeicher

Abbildung 11.3: Ändern der Farben und Muster für die grafische Anzeige

Über dieses Auswahlmenü können Sie jedem Objekttyp auf einem Datenträger eine beliebige Farbe und ein Hintergrundmuster zuordnen. Abbildung 11.4: Ändern der Skalierungseigenschaften

Im Bereich SKALIERUNG beeinflussen Sie, wie die Größenverhältnisse der Festplatten und Datenträger untereinander dargestellt werden sollen:

11.2 Die Datenträgerverwaltung im Detail •

395

LOGARITHMISCHE SKALIERUNG Diese Skalierung erlaubt eine übersichtliche Darstellung der Größenverhältnisse auch bei sehr unterschiedlich großen Festplatten. Würden Sie beispielsweise eine 1 GB- und eine 36 GB-Festplatte in Ihrem System betreiben, wäre bei einer linearen Darstellung die kleinere kaum noch zu sehen.

•

LINEARE SKALIERUNG Bei der linearen Skalierung werden Festplatten und Datenträger stets in ihren tatsächlichen Größenverhältnissen zueinander dargestellt. Diese Einstellung empfiehlt sich, wenn die Festplatten beziehungsweise Datenträger in ihren Größen nicht zu sehr differieren.

•

GLEICHE GRÖßE Bei dieser Einstellung werden die Festplatten oder Datenträger unabhängig von ihren tatsächlichen Größenverhältnissen zueinander gleich groß dargestellt.

Alle Skalierungsoptionen können Sie unabhängig voneinander für Festplatten und Datenträger getrennt einstellen. So kann es beispielsweise Sinn machen, für die Festplattenanzeige die logarithmische Skalierung zu wählen. Für die Anzeige der Datenträger in dieser kann dann eine lineare Skalierung die Übersichtlichkeit verbessern. Die Funktionen für die Administration eines Objekts erreichen Sie ü- Objektfunktionen ber das entsprechende Kontextmenü (rechte Maustaste) oder über das Hauptmenü VORGANG | ALLE TASKS. Abbildung 11.5: Objektfunktionen über das Kontextmenü

Es werden nur die für den konkreten Kontext gültigen Funktionen angezeigt, nicht verfügbare Funktionen sind hellgrau dargestellt.

11.2.3 Datenträger aktualisieren und neu einlesen Haben Sie in ein Wechselplattenlaufwerk einen neuen Datenträger Aktualisieren eingelegt oder nur über den Auswurfknopf des Laufwerks entfernt, wird dies nicht sofort automatisch in der Datenträgerverwaltung be-

396

11 Administration der Massenspeicher rücksichtigt. Über das Hauptmenü VORGANG | AKTUALISIEREN lösen Sie manuell den Aktualisierungsvorgang der Software aus und die Liste der Datenträger entspricht wieder dem momentanen Stand.

Festplatten neu einlesen

Wird die Datenträgerkonfiguration während des Betriebes geändert, kommen beispielsweise externe SCSI-Datenträger hinzu oder werden entfernt, können Sie ohne Neustart die Datenträgerliste aktualisieren. Gehen Sie dazu im Hauptmenü auf VORGANG | FESTPLATTEN NEU EINLESEN. Dieser Vorgang führt neben der oben beschriebenen Aktualisierung auch ein Neueinlesen aller verfügbaren Bussysteme (SCSI, IDE etc.) durch und dauert dadurch etwas länger.

11.3 Basisfestplatten einrichten AdministratorRechte erforderlich

Basisfestplatten unter Windows 2000 entsprechen in Ihrem Aufbau den Festplatten in anderen Betriebssystemen. Sie können diese Festplatten in Partitionen und logische Laufwerke einteilen. Alle Konfigurationsarbeiten an Partitionen und logischen Laufwerken sind auf Administratoren oder Benutzer mit entsprechenden Rechten beschränkt. Ausführlich wird der Aufbau von Basisfestplatten und ihre Unterschiede zu den dynamischen Festplatten in Abschnitt 4.2 auf Seite 88 behandelt.

11.3.1 Partitionierungswerkzeuge fdisk format

Abbildung 11.6: Partitionieren mit Fdisk unter DOS und Windows 9x

Partitionen legen Sie unter MS-DOS oder Windows 95/98 mit dem Programm FDISK an, einem wenig komfortablen Werkzeug, das noch ohne grafische Oberfläche auskommen muss.

11.3 Basisfestplatten einrichten

397

Einer der größten Nachteile bei der Anwendung von FDISK ist, dass nach jeder Änderung an der Partitionstabelle ein Neustart erforderlich ist. Danach muss die neue Partition mit einem Dateisystem formatiert werden, entweder mit dem noch aus DOS-Zeiten bekannten Dienstprogramm FORMAT oder über den Explorer von Windows 9x. Mit Windows NT trat der Festplattenmanager auf den Plan. Dieser ist Der Festplattendank seiner grafischen Oberfläche nicht nur deutlich komfortabler zu manager bedienen, sondern umfasst neben der Partitionierung auch weitere Funktionen wie beispielsweise das Formatieren oder das Umbenennen der Laufwerksbuchstaben. Abbildung 11.7: Festplattenmanager von NT 4.0

Mit Hilfe des Festplattenmanagers von NT können Sie Partitionen und Logische Laufwerke in erweiterten Partitionen anlegen, ohne dass ein Neustart erforderlich wird. Möchten Sie allerdings Partitionsgruppen wie Datenträgersätze oder Stripe Sets einrichten, erfordert auch Windows NT einen Neustart.

398

11 Administration der Massenspeicher

Abbildung 11.8: Die Windows 2000Datenträgerverwaltung

Kein Neustart mehr Das hat sich unter Windows 2000 geändert. Sie können mit der Datenunter Windows trägerverwaltung, die als Snap-In für die Microsoft Management Kon2000! sole ausgeführt ist, Partitionen anlegen sowie Datenträgersätze auf

dynamischen Festplatten einrichten, ohne dass dazu ein Neustart notwendig wäre. Partitionen oder logische Laufwerke können unter Windows 2000 nur auf Basisfestplatten eingerichtet werden. Für die Anlage von Partitionen gelten, auch im Hinblick auf die Kompatibilität zu eventuell anderen parallel installierten Betriebssystemen, die folgenden Einschränkungen:

Kompatibilität zu MS-DOS uns Windows 9x

•

Sie können maximal 4 primäre Partitionen pro Festplatte anlegen. Wenn Sie noch mehr Teilbereiche benötigen, müssen Sie statt einer primären eine erweiterte Partition (statt 4 primäre dann 3 primäre und eine erweiterte) anlegen, in der Sie logische Laufwerke definieren können.

•

Wenn Sie eine Konfiguration benötigen, die auch kompatibel zu Windows 9x oder MS-DOS sein soll, dürfen Sie die Festplatte maximal in eine primäre und eine erweiterte Partition mit logischen Laufwerken aufteilen.

11.3.2 Anlegen von primären und erweiterten Partitionen Zum Anlegen einer Partition auf einem leeren Datenträger oder in einem freien Bereich wählen Sie im Kontextmenü dieses Datenträgers PARTITION ERSTELLEN.

11.3 Basisfestplatten einrichten

399 Abbildung 11.9: Kontextmenü einer leeren Basisfestplatte

Es wird der Assistent zum Erstellen von Partitionen gestartet, der Sie durch die Einrichtung führt. Abbildung 11.10: Assistent zum Erstellen von Partitionen

Wählen Sie hier aus, ob Sie eine primäre oder eine erweiterte Partition Partitionstyp erstellen wollen. In der folgenden Tabelle sehen Sie, wann Sie welchen wählen Partitionstyp einsetzen sollten:

Partitionstyp

Beschreibung / Einsatzzweck

Primäre Partition

Nicht weiter teilbare Einheit, in die Sie eine Festplatte gliedern können. Wollen Sie den gesamten Speicherplatz einer Festplatte am Stück nutzen, richten Sie eine primäre Partition ein. Nur eine primäre Partition kann im übrigen als Systempartition eingerichtet werden, von der ein Betriebssystem starten kann (siehe auch Seite 91).

Erweiterte Partition

In weitere logische Laufwerke teilbare Einheit auf einer Festplatte. Sie können theoretisch beliebig viele logische Laufwerke einrichten.

Nach Auswahl des Partitionstyps können Sie im nächsten Fenster bestimmen, wie viel Speicherplatz der Partition oder dem logischen Laufwerk zugeordnet werden soll.

Tabelle 11.2: Partitionstypen

400

11 Administration der Massenspeicher

Abbildung 11.11: Partitionsgröße festlegen

Teilen Sie die maximale Datenträgergröße zu, kann die Festplatte danach nicht weiter partitioniert werden. Nach der Einstellung der Datenträgergröße können Sie den Zugriff auf den neuen Datenträger festlegen. Abbildung 11.12: Laufwerkszugriff einstellen

Für den Zugriff auf einen Datenträger haben Sie unter Windows 2000 die folgenden zwei Möglichkeiten: Zugriff über Laufwerkbuchstaben

•

Laufwerkbuchstaben Die traditionelle Art, auf einen Datenträger zuzugreifen, stellen Laufwerkbuchstaben dar. Es sind alle 24 Buchstaben des engli-

11.3 Basisfestplatten einrichten

401

schen Alphabets erlaubt. Zwischen Groß- und Kleinschreibung wird nicht unterschieden. •

Laufwerkpfade In anderen Betriebssystemen wie beispielsweise UNIX sind sogenannte Verzeichnis-Links schon lange verbreitet; in Windows 2000 werden sie Laufwerkpfade genannt. Mit einem Laufwerkpfad können Sie einen Datenträger innerhalb einer Ordnerstruktur eines anderen Datenträgers einbinden. Voraussetzung dazu ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundenen Datenträgers kann allerdings auch FAT oder FAT32 sein.

Zugriff über Laufwerkpfade

Beachten Sie, dass bei Einbindung eines FAT oder FAT32formatierten Datenträgers in einen NTFS-Datenträger die erweiterten Benutzerrechte und Eigenschaften wie Verschlüsselung oder Komprimierung für diesen nicht gelten. Die Einstellung der Zugriffsmöglichkeiten auf das Laufwerk können Sie über die Datenträgerverwaltung nachträglich wieder ändern. Außer für den Boot- und den Systemdatenträger, wo ein unveränderbarer Laufwerkbuchstabe erforderlich ist, können Sie für jeden anderen Datenträger die Buchstaben jederzeit ändern, ganz entfernen und beliebig viele Laufwerkpfade einrichten.

Nachträgliches Ändern der Zugriffsmöglichkeiten

Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers. Abbildung 11.13: Partition formatieren

Direkt nach dem Erstellen der Partition kann der neue Datenträger durch den Assistenten formatiert werden. Möchten Sie die Formatierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESE

402

11 Administration der Massenspeicher PARTITION NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den Windows-Arbeitsplatz oder die Datenträgerverwaltung formatieren. Das genaue Vorgehen beim Formatierprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 ab Seite 424.

Letzte Kontrollmöglichkeit!

Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen der Partition noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird.

Abbildung 11.14: Zusammenfassung des Assistenten

Hier können Sie die getroffenen Einstellungen überprüfen. Haben Sie einen Fehler festgestellt, können Sie den Prozess mit Klick auf ABBRECHEN stoppen und die Festplatte bleibt unverändert

11.3.3 Logische Laufwerke erstellen Für die weitere Unterteilung eines Datenträgers können Sie auf einer Basisfestplatte eine erweiterte Partition erstellen (siehe auch Abschnitt 11.3.2) und in dieser logische Laufwerke definieren. Über das Kontextmenü zu einer erweiterten Partition oder das Hauptmenü VORGANG | ALLE TASKS | LOGISCHES LAUFWERK ERSTELLEN starten Sie den entsprechenden Assistenten. Abbildung 11.15: Kontextmenü einer erweiterten Partition

11.3 Basisfestplatten einrichten

403

Solange noch freier Platz in der erweiterten Partition existiert, können Sie logische Laufwerke definieren. Theoretisch ist die Zahl der logischen Laufwerke unbegrenzt (siehe dazu auch Abschnitt 4.3.1 auf Seite 91). Der Assistent ist derselbe, den Sie auch für das Erstellen von primären und erweiterten Partitionen benutzen. Innerhalb einer erweiterten Partition sind nur logische Laufwerke definierbar, sodass die Menüpunkte für die Partitionen deaktiviert sind (siehe Abbildung 11.16). Abbildung 11.16: Assistent zur Erstellung von Partitionen und logischen Laufwerken

Der nächste Schritt ist die Definition der Größe des neuen logischen Laufwerks. Sie können den gesamten zur Verfügung stehenden freien Speicherplatz in der erweiterten Partition benutzen oder nur einen Teil davon. Abbildung 11.17: Größe des logischen Laufwerks festlegen

404

11 Administration der Massenspeicher Nach der Einstellung der gewünschten Größe des neuen logischen Laufwerks können Sie die Zugriffsmöglichkeiten auf den Datenträger einstellen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.

Letzte Kontrollmöglichkeit!

Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des logischen Laufwerks noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird.

Abbildung 11.18: Zusammenfassung des Assistenten

Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit Druck auf ABBRECHEN noch stoppen. An der Festplatte werden dann keine Änderungen vorgenommen.

11.4 Dynamische Festplatten einrichten Administratorrechte erforderlich

Um die neuen Funktionen und Vorteile dynamischer Datenträger unter Windows 2000 nutzen zu können, müssen Sie die Festplatten entsprechend einrichten. Alle Konfigurationsarbeiten an Datenträgern sind auf Administratoren oder Benutzer mit entsprechenden Rechten beschränkt. Nur diese können vorhandene dynamische Datenträger erweitern und löschen oder neue Datenträger erstellen. Standardmäßig werden Festplatten unter Windows 2000 zunächst als Basisfestplatten eingerichtet. Über die Datenträgerverwaltung können Sie eine Basisfestplatte in eine dynamische Festplatte umwandeln.

11.4 Dynamische Festplatten einrichten

405

Vor der Umwandlung sollten Sie berücksichtigen: •

Dynamische Festplatten können von anderen Betriebssystemen wie beispielsweise MS-DOS, Windows 9x und Windows NT nicht erkannt und genutzt werden.

•

Das Umwandeln einer Basisfestplatte in eine dynamische Festplatte lässt sich nur bedingt rückgängig machen. Während sich eine Basisfestplatte mit vorhandenen Daten in eine dynamische umwandeln lässt, ist die Rückumwandlung in eine Basisfestplatte nur für eine leere dynamische Festplatte möglich.

Mehr zu den Grundlagen zu Basisfestplatten und dynamischen Festplatten finden Sie in Kapitel 4 Massenspeicherverwaltung ab Seite 85. Die Umwandlung starten Sie in der Datenträgerverwaltung über das Kontextmenü zur Festplatte oder über das Hauptmenü VORGANG | ALLE TASKS | IN DYNAMISCHE FESTPLATTE UMWANDELN. Abbildung 11.19: Dynamische Festplatte erstellen

Befinden sich Daten auf der Basisfestplatte wie Partitionen und logi- Umwandlung bei sche Laufwerke, werden diese bei der Umwandlung in Datenträger vorhandenen Daten auf der dynamischen Festplatte konvertiert. Konvertierte Datenträger auf einer dynamischen Festplatte verfügen gegenüber neu erstellten dynamischen Datenträgern über einige Einschränkungen. Beachten Sie dazu bitte unbedingt die Hinweise in Abschnitt 4.5 ab Seite 119. Die folgenden Abschnitte befassen sich mit den dynamischen Datenträgern, die Sie neu auf dynamischen Festplatten mit Windows 2000 Professional einrichten können. Spezielle Datenträgertypen wie Spiegelsätze oder Stripesetdatenträger mit Parität, die nur von den Windows 2000–Serverversionen unterstützt werden, werden in Band II erläutert.

11.4.1 Einfache Datenträger und ihre Erweiterung Ein einfacher Datenträger besteht auf einer physischen dynamischen Festplatte und ist zunächst mit einer primären Partition oder einem logischen Laufwerk auf einer Basisfestplatte vergleichbar. Gegenüber diesen verfügt ein einfacher dynamischer Datenträger über die folgenden Eigenschaften:

406

11 Administration der Massenspeicher •

Erweiterbarkeit Einfache Datenträger können Sie während des laufenden Betriebes erweitern. Voraussetzung dazu sind das Dateisystem NTFS und freier Speicherplatz auf der dynamischen Festplatte. Die Grundlagen dazu sind Inhalt des Abschnitts 4.4.4 Einfache Datenträger und ihre Erweiterung ab Seite 113, das Vorgehen beim Erweitern erfahren Sie weiter unten in diesem Abschnitt.

•

Erweiterung zu einem übergreifenden Datenträger Einfache Datenträger können zu übergreifenden Datenträgern (zu den Grundlagen siehe Abschnitt 4.4.5 Übergreifende Datenträger ab Seite 114) erweitert werden. Voraussetzung dazu sind das Dateisystem NTFS und freier Speicherplatz auf einer anderen physischen dynamischen Festplatte. Das Vorgehen dazu ist Inhalt des Abschnitts 11.4.2 Übergreifende Datenträger ab Seite 413.

Erstellen eines einfachen Datenträgers Einen einfachen Datenträger auf einer dynamischen Festplatte erstellen Sie mit Hilfe eines komfortablen Assistenten. Diesen starten Sie über das Kontextmenü der dynamischen Festplatte oder über das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.20: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps.

11.4 Dynamische Festplatten einrichten

407 Abbildung 11.21: Auswahl des Datenträger-Typs

Wählen Sie hier den Typ EINFACHER DATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physische dynamische Festplatte, auf welcher der einfache Datenträger erstellt werden soll. Abbildung 11.22: Festplatte für einfachen Datenträger auswählen

Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatte, die ausgewählt worden ist. Es kann hier nur genau eine Festplatte erscheinen. Möchten Sie ihre Auswahl ändern und die angezeigte Festplatte aus der Liste löschen, markieren Sie diese und klicken auf ENTFERNEN. Eine andere Festplatte können Sie in die Auswahl aufnehmen, indem Sie diese markieren und über HINZUFÜGEN gehen.

408

11 Administration der Massenspeicher Für die Erstellung eines einfachen Datenträgers können Sie im Assistenten nur genau eine Festplatte angeben. Solange im rechten Fensterbereich ein Eintrag steht, bleibt die Schaltfläche HINZUFÜGEN ohne Funktion. Dynamische Datenträger können sich aber auch auf mehrere Festplatten ausdehnen, so beispielsweise die unter Windows 2000 Professional unterstützten Übergreifenden Datenträger oder die Stripesetdatenträger. Wie Sie diese über den Assistenten erstellen, ist Inhalt der entsprechenden Abschnitte auf den Seiten 413 und 420.

Größe bestimmen

Im Dialogfenster des Assistenten bestimmen Sie neben der Zielfestplatte auch die Größe, die der einfache Datenträger einnehmen soll. Wählen Sie die maximal verfügbare Größe, können Sie den Datenträger auf dieser Festplatte nachträglich nicht mehr erweitern. Es bleibt dann aber noch der Weg, den einfachen Datenträger über Hinzufügen von freiem Speicherplatz auf einer anderen Festplatte zu einem Übergreifenden Datenträger zu erweitern (siehe Seite 413).

Zugriffsmöglichkeiten

Nach der Einstellung der gewünschten Größe können Sie die Zugriffsmöglichkeiten auf den Datenträger einstellen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.

Abbildung 11.23: Zugriffsmöglichkeiten einstellen

Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers.

11.4 Dynamische Festplatten einrichten

409 Abbildung 11.24: Datenträger formatieren

Direkt nach dem Erstellen des einfachen Datenträgers können Sie den Optional: Format neuen Datenträger durch den Assistenten formatieren lassen. Dieser direkt nach der Schritt kann auch ausgelassen werden. Möchten Sie die Formatierung Erstellung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESEN DATENTRÄGER NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den WindowsArbeitsplatz oder die Datenträgerverwaltung neu formatieren. Das genaue Vorgehen beim Formatprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 Datenträger formatieren ab Seite 424. Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des einfachen Datenträgers noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird.

410

11 Administration der Massenspeicher

Abbildung 11.25: Zusammenfassung des Assistenten

Letzte Kontrollmöglichkeit!

Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An der Festplatte werden dann keine Änderungen vorgenommen.

Datenträger erweitern

Den erstellten einfachen Datenträger können Sie jederzeit erweitern. Bedingung ist dabei das Dateisystem NTFS sowie freier Speicherplatz auf einer dynamischen Festplatte. Die genaue Beschreibung des Vorgehens dazu finden Sie im nächsten Abschnitt beziehungsweise für einen übergreifenden Datenträger in Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Kapitel 4.4 Dynamische Festplatten ab Seite 108 nachlesen.

Erweitern eines einfachen Datenträgers Einen einfachen dynamischen Datenträger können Sie jederzeit mit freiem Speicherplatz auf einer dynamischen Festplatte erweitern. Dieser Vorgang erfordert keinen Neustart des Computers. Die folgenden Voraussetzungen müssen dazu gegeben sein: Keine konvertierten • Datenträger!

Der einfache Datenträger wurde ursprünglich auf einer dynamischen Festplatte erstellt und ist nicht Ergebnis einer Konvertierung einer Basisfestplatte mit Partitionen beziehungsweise logischen Laufwerken in eine dynamische Festplatte. Mehr zu den Einschränkungen, die eine Konvertierung einer Basisfestplatte mit vorhandenen Datenstrukturen in eine dynamische Festplatte bedeuten, können Sie in Abschnitt 4.5 Konvertieren von Basisfestplatten ab Seite 119 nachlesen.

11.4 Dynamische Festplatten einrichten

411

•

Das Dateisystem des einfachen Datenträgers ist NTFS. Datenträger, Dateisystem NTFS die mit den Dateisystemen FAT oder FAT32 formatiert worden sind, lassen sich nicht erweitern.

•

Es steht kein freier Speicherplatz auf der gleichen physischen Festplatte zur Verfügung. Sie können den einfachen Datenträger aber auch mit freiem Speicherplatz auf einer anderen dynamischen Festplatte erweitern. Dann entsteht ein Übergreifender Datenträger (siehe Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413). Dynamische Datenträger können nicht mit freiem Speicherplatz auf Basisfestplatten erweitert werden.

Den Assistenten für die Erweiterung eines einfachen Datenträgers starten Sie über das entsprechende Kontextmenü des Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERWEITERN. Abbildung 11.26: Kontextmenü eines einfachen Datenträgers

Nach dem Einführungsfenster des Assistenten gelangen Sie in das Dialogfenster zur Auswahl der physischen Festplatten, durch die der Datenträger erweitert werden soll. Abbildung 11.27: Festplatte für die Erweiterung auswählen

412

11 Administration der Massenspeicher Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Wollen Sie den einfachen Datenträger nur mit freiem Speicherplatz auf der gleichen physischen Festplatte erweitern, wählen Sie nur eine entsprechende Festplatte aus. Wenn Sie eine oder mehrere andere physische Festplatten in die rechte Liste über HINZUFÜGEN eintragen, erzeugen Sie einen Übergreifenden Datenträger. Möchten Sie ihre Auswahl ändern und bestimmte Festplatten aus der rechten Auswahlliste löschen, markieren Sie diese und klicken auf ENTFERNEN.

Größe der Erweiterung

Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, die vom jeweils verfügbaren Speicherplatz für die Erweiterung genommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GESAMTGRÖßE DES DATENTRÄGERS können Sie die endgültige Größe nach der Erweiterung ablesen.

Sehr flexible Erweiterungsmöglichkeiten

Um einen einfachen Datenträger zu erweitern, können Sie also beliebig viele freie Bereiche auf der gleichen oder auf bis zu 31 anderen physischen Festplatten zusammenfassen. Alle diese Erweiterungsvorgänge erfordern keinen Neustart des Computers. Nach erfolgter Auswahl der physischen Festplatten für die Erweiterung zeigt der Assistent abschließend die getroffenen Einstellungen an.

Abbildung 11.28: Zusammenfassung des Assistenten

11.4 Dynamische Festplatten einrichten

413

Hier können Sie die getroffenen Einstellungen überprüfen und, falls Letzte Kontrollnotwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An möglichkeit! der Festplatte werden dann keine Änderungen vorgenommen. Einen einmal erweiterten Datenträger können Sie mit dem geschilderten Verfahren immer weiter vergrößern (siehe auch Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413). In der Datenträgerverwaltung wird die Erweiterung in der grafischen Anzeige durch die Unterteilung in die einzelnen physischen Teile deutlich. Abbildung 11.29: Erweiterter Datenträger Der erweiterte Datenträger verhält sich für den Benutzer wie eine einzige große Festplatte. Die einzelnen Teile sind dabei nicht sichtbar. Der logische Diskmanager von Windows 2000 stellt sicher, dass intern die Speicherung der Daten auf die einzelnen neuen Teile ausgedehnt wird. So einfach und flexibel Sie einen dynamischen Datenträger auch er- Unmöglich: weitern können, so unmöglich ist es, leider, Erweiterungen wieder zu Erweiterungen entfernen. Wenn Sie die physische Struktur eines dynamischen Daten- entfernen trägers nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Abschnitt 4.4 Dynamische Festplatten ab Seite 108 nachlesen.

11.4.2 Übergreifende Datenträger Einen übergreifenden Datenträger in Windows 2000 kennzeichnet die Zusammenfassung von Speicherbereichen auf mindestens zwei physischen dynamischen Festplatten. Ein übergreifender Datenträger mit praktisch beliebig vielen Teilen kann sich maximal auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem für einen übergreifenden Datenträger können Sie FAT, FAT32 oder NTFS verwenden. Erweitert werden kann ein Datenträger allerdings nur dann, wenn er mit NTFS formatiert worden ist.

414

11 Administration der Massenspeicher Unter Windows NT können Sie Datenträgersätze erstellen, die sich als Partitionsgruppe über mehrere Basisfestplatten erstrecken. Diese Datenträgersätze können Sie auch in Windows 2000 übernehmen und nutzen. Es ist allerdings nicht möglich, solche Datenträgersätze neu zu erstellen oder zu erweitern. Das ist nur mit neu erstellten Übergreifenden Datenträgern auf dynamischen Festplatten möglich. Einen übergreifenden Datenträger können Sie auf zwei verschiedene Arten erzeugen: 1. Sie erzeugen den Datenträger komplett neu über die Datenträgerverwaltung, indem Sie freien Speicherplatz auf mindestens zwei physischen dynamischen Festplatten zusammenführen. 2. Sie erweitern einen einfachen Datenträger (siehe auch Seite 405) um mindestens einen freien Bereich auf einer anderen physischen dynamischen Festplatte. Bedingung für die Erweiterung ist das Dateisystem NTFS.

Einen neuen übergreifenden Datenträger erstellen Den Assistenten für die Erstellung eines neuen übergreifenden Datenträgers starten Sie über das entsprechende Kontextmenü eines freien Bereichs einer dynamischen Festplatte oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.30: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps.

11.4 Dynamische Festplatten einrichten

415 Abbildung 11.31: Auswahl des Datenträger-Typs

Wählen Sie hier den Typ ÜBERGREIFENDER DATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physischen dynamischen Festplatten, über die sich der übergreifende Datenträger erstrecken soll. Abbildung 11.32: Festplatten für übergreifenden Datenträger auswählen

Im linken Fensterbereich werden nur die dynamischen Festplatten Festplatte angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfest- auswählen platten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Für einen übergreifenden Datenträger müssen Sie mindestens zwei Festplatten bestimmen. Möchten Sie ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und klicken auf

416

11 Administration der Massenspeicher ENTFERNEN. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und auf HINZUFÜGEN klicken.

Größe bestimmen

Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, die vom jeweiligen verfügbaren Speicherplatz für die Erstellung des übergreifenden Datenträgers genommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GESAMTGRÖßE DES DATENTRÄGERS können Sie die endgültige Größe nach der Erstellung ablesen. Um einen übergreifenden Datenträger zu erstellen, können Sie beliebig viele freie Bereiche auf bis zu insgesamt 32 physischen Festplatten zusammenfassen. Der Erstellungsvorgang erfordert keinen Neustart des Computers.

Zugriffsmöglichkeiten

Nach der Auswahl der Festplatten und der Einstellung der gewünschten Größe des Datenträgers können Sie die Zugriffsmöglichkeiten bestimmen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.

Abbildung 11.33: Zugriffsmöglichkeiten einstellen

Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers.

11.4 Dynamische Festplatten einrichten

417 Abbildung 11.34: Datenträger formatieren

Direkt nach dem Erstellen des übergreifenden Datenträgers können Optional: Format Sie den neuen Datenträger durch den Assistenten formatieren lassen. direkt nach der Dieser Format-Schritt kann auch ausgelassen werden. Möchten Sie die Erstellung Formatierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESEN DATENTRÄGER NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den WindowsArbeitsplatz oder die Datenträgerverwaltung neu formatieren. Das genaue Vorgehen beim Formatprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 Datenträger formatieren ab Seite 424. Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des übergreifenden Datenträgers noch einmal zusammen. Abbildung 11.35: Zusammenfassung des Assistenten

418 Letzte Kontrollmöglichkeit!

11 Administration der Massenspeicher Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An den Festplatten werden dann keine Änderungen vorgenommen.

Einen übergreifenden Datenträger erweitern Erweiterung nur bei NTFS möglich

Einen übergreifenden Datenträger können Sie jederzeit erweitern. Voraussetzung ist dafür das Dateisystem NTFS sowie freier Speicherplatz auf mindestens einer dynamischen Festplatte. Den Assistenten für die Erweiterung starten Sie über das Kontextmenü eines übergreifenden Datenträgers oder über das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERWEITERN.

Abbildung 11.36: Kontextmenü eines übergreifenden Datenträgers

Nach dem Einführungsfenster des Assistenten gelangen Sie in das Dialogfenster zur Auswahl der physischen Festplatten, durch die der übergreifende Datenträger erweitert werden soll. Abbildung 11.37: Festplatte für die Erweiterung auswählen

Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfest-

11.4 Dynamische Festplatten einrichten

419

platten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden ist. Möchten Sie ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und klicken auf ENTFERNEN. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und auf HINZUFÜGEN klicken. Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede Größe der ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, Erweiterung die vom jeweiligen verfügbaren Speicherplatz für die Erweiterung genommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GRÖßE FÜR ALLE AUSGEWÄHLTEN FESTPLATTEN können Sie die endgültige Größe nach der Erweiterung ablesen. Um einen übergreifenden Datenträger zu erweitern, können Sie also Sehr flexible beliebig viele freie Bereiche von bis zu 30 anderen physischen Festplat- Erweiterungsten hinzufügen. Alle diese Erweiterungsvorgänge erfordern keinen möglichkeiten Neustart des Computers. Nach erfolgter Auswahl der physischen Festplatten für die Erweiterung zeigt der Assistent abschließend die getroffenen Einstellungen an. Abbildung 11.38: Zusammenfassung des Assistenten

Hier können Sie die getroffenen Einstellungen überprüfen und, falls Letzte Kontrollnotwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An möglichkeit! den betreffenden Festplatten und dem bestehenden übergreifenden Datenträger werden dann keine Änderungen vorgenommen.

420

11 Administration der Massenspeicher Lassen Sie die Erweiterung durch den Assistenten durchführen, werden die neuen Teile mit dem bestehenden übergreifenden Datenträger verbunden und automatisch mit dem bestehenden Dateisystem formatiert. Einen übergreifenden Datenträger können Sie mit dem geschilderten Verfahren immer weiter vergrößern.

Abbildung 11.39: Der erweiterte übergreifende Datenträger

Unmöglich: Erweiterungen entfernen

Einmal getätigte Erweiterungen eines dynamischen Datenträgers können leider nicht mehr entfernt werden. Wenn Sie die physische Struktur eines dynamischen Datenträgers nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Abschnitt 4.4 Dynamische Festplatten ab Seite 108 nachlesen.

11.4.3 Stripesetdatenträger Einen Stripesetdatenträger in Windows 2000 kennzeichnet die Zusammenfassung von gleich großen Speicherbereichen auf mindestens zwei physischen dynamischen Festplatten. Durch die Aufteilung des Datenstroms in kleine Einheiten gleicher Größe und die parallele Speicherung wird ein teilweise sehr hoher Performancegewinn bewirkt. Mehr zu den Grundlagen können Sie in Abschnitt 4.4.6 Stripesetdatenträger ab Seite 116 nachlesen. Ein Stripesetdatenträger kann sich auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem können Sie FAT32 oder NTFS verwenden, nicht jedoch FAT. Erweitert werden kann ein Stripesetdatenträger generell nicht. Unter Windows NT können Sie Stripe Sets erstellen, die sich als Partitionsgruppe über mehrere Basisfestplatten erstrecken. Diese Stripe Sets können Sie auch in Windows 2000 übernehmen und nutzen. Es ist allerdings nicht möglich, solche Stripe Sets neu zu erstellen. Stripesetdatenträger erstellen

Den Assistenten für die Erstellung eines neuen Stripesetdatenträgers starten Sie über das entsprechende Kontextmenü eines freien Bereichs

11.4 Dynamische Festplatten einrichten

421

einer dynamischen Festplatte oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.40: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps. Abbildung 11.41: Auswahl des Datenträger-Typs

Wählen Sie hier den Typ STRIPESETDATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physischen dynamischen Festplatten, über die sich der Stripesetdatenträger erstrecken soll. Im linken Fensterbereich (siehe Abbildung 11.42) werden nur die dy- Festplatte namischen Festplatten angezeigt, die freien Speicherplatz zur Verfü- auswählen gung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Für einen Stripesetdatenträger müssen Sie mindestens zwei Festplatten bestimmen. Möchten Sie ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und drücken auf den Knopf Entfernen. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und über den Knopf Hinzufügen gehen.

422

11 Administration der Massenspeicher

Abbildung 11.42: Festplatten für übergreifenden Datenträger auswählen

Größe bestimmen

Ein Stripesetdatenträger besteht aus exakt gleich großen physischen Teilen auf verschiedenen Festplatten. Im Feld GRÖSSE des AssistentenDialogfensters wird die kleinste gemeinsame Größe der freien Speicherbereiche angezeigt. Sie können diese Größe der Anteile auf einen gewünschten Wert reduzieren. Auf einzelnen Festplatten des Stripesetdatenträgers, die mehr freien Speicherplatz zur Verfügung haben, verbleibt jeweils ein Rest. Diese Reste können Sie jedoch nutzen, indem Sie diese beispielsweise zu einem übergreifenden Datenträger zusammenfassen (siehe dazu Abschnitt 11.4.2 Übergreifende Datenträger ab Seite 413). Um einen Stripesetdatenträger zu erstellen, können Sie also jeweils einen freien Bereich auf bis zu insgesamt 32 physischen Festplatten zusammenfassen Der Erstellungsvorgang erfordert keinen Neustart des Computers.

Zugriffsmöglichkeiten

Nach der Auswahl der Festplatten und der Einstellung der gewünschten Größe des Datenträgers können Sie die Zugriffsmöglichkeiten bestimmen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 400 beschrieben.

11.4 Dynamische Festplatten einrichten

423 Abbildung 11.43: Zugriffsmöglichkeiten einstellen

Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers. Abbildung 11.44: Datenträger formatieren

Direkt nach dem Erstellen des Stripesetdatenträger können Sie den Optional: Format neuen Datenträger durch den Assistenten formatieren lassen. Dieser direkt nach der Format-Schritt kann auch ausgelassen werden. Möchten Sie die For- Erstellung matierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESEN DATENTRÄGER NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den WindowsArbeitsplatz oder die Datenträgerverwaltung neu formatieren. Das genaue Vorgehen beim Formatprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.5 Datenträger formatieren ab Seite 424.

424

11 Administration der Massenspeicher Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen des Stripesetdatenträgers noch einmal zusammen.

Abbildung 11.45: Zusammenfassung des Assistenten

Letzte Kontrollmöglichkeit!

Hier können Sie die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit Druck auf ABBRECHEN noch stoppen. An den Festplatten werden dann keine Änderungen vorgenommen.

Keine Erweiterungsmöglichkeiten

Stripesetdatenträger können nicht erweitert werden. Wenn Sie die physische Struktur eines Stripesetdatenträger nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers. Mehr zu den Grundlagen der dynamischen Speicherverwaltung von Windows 2000 können Sie in Abschnitt 4.4 Dynamische Festplatten ab Seite 108 nachlesen.

11.5 Datenträger formatieren Um Datenträger, dazu zählen u.a. Partitionen und logische Laufwerke auf Basisfestplatten, dynamische Datenträger und Wechselspeichermedien, nutzen zu können, müssen diese zuerst mit einem Dateisystem formatiert werden. In diesem Abschnitt geht es darum, die konkreten Administrationsschritte dazu zu zeigen. Die Grundlagen der Dateisysteme, die durch Windows 2000 unterstützt werden, sind Inhalt des Kapitels 5 Dateisysteme ab Seite 129. Administratorrecht erforderlich zum Formatieren!

Datenträger können Sie mit einem Dateisystem formatieren, wenn Sie als Administrator angemeldet sind beziehungsweise die erforderli-

11.5 Datenträger formatieren

425

chen Rechte besitzen. Eine Ausnahme bildet das Formatieren von Disketten, für welches Sie keine gesonderten Rechte benötigen. Generell ist es nicht möglich, System- oder Bootdatenträger zu formatieren. Wollen Sie das Dateisystem von FAT oder FAT32 auf NTFS ändern, ohne Windows 2000 neu zu installieren, bleibt ihnen der Weg über das Dienstprogramm CONVERT (siehe Seite 433).

11.5.1 Wahl des Format-Werkzeuges Unter Windows 2000 können Sie Datenträger auf drei verschiedene Arten formatieren: •

im Windows-Explorer

•

in der Datenträgerverwaltung

•

mit dem Kommandozeilen-Programm FORMAT

Bei den beiden ersten Varianten wird jeweils ein grafisches FormatDienstprogramm von Windows 2000 gestartet. Diese erlauben durch ihre einfache Bedienoberfläche eine problemlose Einstellung aller notwendigen Parameter. Die Datenträgerverwaltung unterstützt nicht das Formatieren von Disketten nicht in Disketten. Das können Sie nur im Windows-Explorer oder mit dem der DatenträgerKommandozeilen-Programm FORMAT erledigen. Andere Wechsel- verwaltung datenträger werden allerdings auch in der Datenträgerverwaltung direkt unterstützt. Das Kommandozeilen-Programm FORMAT ist ohne grafische Oberfläche zur Bedienung ausgestattet und eignet sich auch für die Einbindung in Stapelverarbeitungsdateien. Die Bedienung dieses Programms und die Parameter dazu werden auf Seite 431 ausführlich erklärt.

11.5.2 Formatieren mit einem grafischen Dienstprogramm Ein grafisches Dienstprogramm zum Formatieren starten Sie über das Kontextmenü eines Datenträgers unter Arbeitsplatz oder in der Datenträgerverwaltung (siehe auch Abschnitt 11.1.2 auf Seite 390).

426

11 Administration der Massenspeicher

Abbildung 11.46: Formatsoftware im Windows-Explorer

Das Formatprogramm aus der Datenträgerverwaltung unterscheidet sich ein wenig von dem aus dem Windows Explorer. Abbildung 11.47: Formatsoftware in der Datenträgerverwaltung

Option Speicherkapazität für Disketten

Nur über den Windows Explorer haben Sie die Option SPEICHERKAPAZITÄT zur Verfügung. Diese dient ausschließlich dem Formatieren von Disketten, um beispielsweise neben dem normalen 1.44 MB Disketten auch 2.88 MB oder 720 KB-Datenträger erstellen zu können. Für andere Datenträger hat diese Option keine Bedeutung. Teilweise können Sie hier die Kapazität des Datenträgers sehen, manchmal wird auch nur Unbekannte Kapazität angezeigt.

Dateisystem auswählen

Für die Formatierung wählen Sie dann das gewünschte Dateisystem aus. Windows 2000 unterstützt die drei Dateisysteme FAT, FAT32 und NTFS. In der folgenden Tabelle sehen Sie die Merkmale dieser Systeme gegenübergestellt:

11.5 Datenträger formatieren

427

FAT

FAT32

NTFSv5

mittel

hoch

sehr hoch

schlecht

gut

sehr gut

nicht integriert

nicht integriert

integriert; auf Benutzerebene und Dateiebene

Maximale Datenträgergröße

4 GB

2 TB1

16,7 Mio TB2

Maximale Dateigröße

2 GB

4 GB

nur durch Datenträgergröße begrenzt

Kompatibilität

MS-DOS

Performance Unterstützung großer Medien Sicherheit

Windows 9x

Windows 95 SR2 Zugriff für Windows NT (jedoch Windows 98 keine neuen Windows 2000Features nutzbar) ab Service Pack 4

Für eine reine Windows 2000 Arbeitsstation empfiehlt sich uneingeschränkt der Einsatz des Dateisystems NTFS. Nur auf Systemen, die neben Windows 2000 noch andere Betriebssysteme beherbergen, ist FAT oder FAT32 auf den System- beziehungsweise Bootpartitionen sinnvoll. Datenträger größer als 2 GB, die Sie mit dem FAT16-Dateisystem unter Windows 2000 formatieren, können von Betriebsystemen wie MSDOS, Windows 9x und vieler anderer Hersteller nicht erkannt werden. Für diese Datenträger sollten Sie FAT32 vorziehen oder die Festplatte in kleinere Einheiten bis 2 GB partitionieren. Die Grundlagen der Dateisysteme sind ausführlich Inhalt des Kapitels 5 Dateisysteme ab Seite 129.

1

In Windows 2000 können Sie Datenträger nur bis zu einer Größe von 32 GB mit dem FAT32-Dateisystem formatieren. Größere FAT32Datenträger, die mit anderen Betriebssystemen erstellt worden sind, sind aber unter Windows 2000 normal les- und beschreibbar.

2

Das ist kein Schreibfehler: Aufgrund der Verwendung einer 64-BitAdressierung ist die maximale Datenträgergröße Sechzehn Millionen Terabyte (= 264 Byte; auch EB oder ExaByte genannt). Allerdings unterstützt Windows 2000 derzeit nur Datenträger bis zu 2 TB (siehe auch Kapitel 1 ab Seite 129).

Tabelle 11.3: Übersicht über die Dateisysteme

428

11 Administration der Massenspeicher Für das Formatieren können Sie neben der Auswahl des Dateisystems eine Reihe von weiteren Optionen festlegen (siehe Abbildung 11.13):

Zuordnungseinheit

•

Größe der Zuordnungseinheit Die Verwendung des Standardwertes wird empfohlen. Sie können bei Bedarf aber den Wert selbst festlegen. Die Zuordnungseinheit, auch Cluster genannt, ist die kleinste Einheit, die für die Speicherung von Daten verwendet wird. Je kleiner der Wert ist, desto effizienter kann der Speicherplatz für eine Datei ausgenutzt werden, es sinkt aber auch die Performance und die Fragmentierung des Speicherplatzes wird gefördert. Große Cluster erlauben eine hohe Performance, da die Daten in großen Blöcken gelesen und geschrieben werden können. In Tabelle 5.3 auf Seite 136 sind die Standard-Clustergrößen für die Dateisysteme FAT, FAT32 und NTFS zusammengefasst. Die manuelle Einstellung kleiner Clustergrößen zwischen 1 und 4 KB für eine Partition kann für Datenträger sinnvoll sein, die viele kleine Dateien beherbergen sollen, beispielsweise Textdateien oder kleine Tabellen ohne die Verwendung eingesetzter Grafiken. Große Cluster von 16 KB bis 64 KB oder darüber hinaus kann die Performance beispielsweise von Bildverarbeitungscomputern steigern. Erstellen Sie mit diesen Clustergrößen aber nur spezielle Arbeitsdatenträger, auf die große Bilddateien abgelegt werden oder die als temporäre Speicher für Bildverarbeitungssoftware dienen.

Anwendungsbeispiel eigener Clustergrößen

Die Komprimierungsfunktionalität von NTFS wird nur für Clustergrößen bis 4 KB unterstützt. Für NTFS-Datenträger mit größeren Clustern steht die Komprimierung nicht zur Verfügung. Nur die Dateisysteme FAT32 und NTFS erlauben auch die manuelle Einstellung sehr kleiner Cluster für große Datenträger. FAT ist hier aufgrund seiner internen Adressierung sehr begrenzt (siehe auch Kapitel 5 Dateisysteme ab Seite 129).

Beschränkungen für FAT

Quickformat

•

Formatieren mit Quickformat Die Quickformatierung war schon unter MS-DOS ab Version 6 eingeführt worden und beschleunigte den Formatiervorgang deutlich. Voraussetzung war hier jedoch, dass der Datenträger bereits mit dem gleichen Dateisystem einmal formatiert worden war.

Risiko beachten

Unter Windows 2000 ist das jetzt komfortabler geworden. Egal ob der Datenträger nagelneu oder bereits mit irgendeinem anderen Dateisystem formatiert ist, können Sie die Quickformatierung einsetzen. Bei der Quickformatierung wird auf eine Überprüfung der Sektoren auf physische Fehler verzichtet. Das bedeutet aber auch ein erhöhtes Risiko, da eventuelle Defekte nicht erkannt werden und später zur Beeinträchtigung oder dem Verlust von Daten füh-

11.5 Datenträger formatieren

429

ren können. Allerdings hält sich das Risiko bei modernen Festplatten in Grenzen, da IDE-Festplatten beispielsweise automatisch defekte Sektoren ausblenden können. Zeigt eine IDE-Festplatte trotzdem nach einer Formatierung defekte Sektoren an, sollten Sie diese schnellstens austauschen, da dies auf ernstere Beschädigungen des Laufwerks hinweisen kann. Zusammenfassend kann gesagt werden, dass die Quickformatierung Ihnen nur dann einen Vorteil bringt, wenn Sie sicher sein können, dass der Datenträger keine Defekte aufweist. •

Datenträgerbezeichnung festlegen Die Datenträgerbezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf einen Datenträger werden nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe Seite 400).

Datenträgerbezeichnung

FAT-Datenträger können Sie mit einer bis zu 11 Zeichen umfassenden Bezeichnung versehen. Ausgenommen sind die folgenden Zeichen: * ? / \ | . , ; : + = [ ] < > " Die Datenträgerbezeichnung für NTFS-Datenträger hingegen kann 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen. •

Komprimierung für Dateien und Ordner Nur dem Dateisystem NTFS vorbehalten ist eine integrierte Komprimierungsfunktion für die gespeicherten Daten. Aktivieren Sie diese schon beim Formatieren für einen Datenträger, werden standardmäßig alle Dateien und Ordner, die Sie auf diesem anlegen oder kopieren, komprimiert. Komprimierte Dateien können nicht für einen abgesicherten Zugriff verschlüsselt werden. Ebenso lassen sich verschlüsselte Daten nicht nachträglich komprimieren. Die Komprimierung auf Ebene des Dateisystems macht nur für Dateien Sinn, die eine hohe Kompressionsrate erlauben. Das sind beispielsweise Textdateien und Dateien von Tabellenkalkulationsprogrammen oder unkomprimierte Bilddaten (BMP, TIF ungepackt etc). Nicht oder nur schlecht komprimieren lassen sich hingegen ausführbare Programmdateien (EXE, COM, DLL). Dazu kommen spezielle Dokumentenformate wie PDF, Corel Draw oder Microsofts Powerpoint-Dateien, die an sich schon hoch komprimiert abgespeichert werden und für die eine weitere Komprimierung nichts bringt.

Komprimierung

430

11 Administration der Massenspeicher Da die Komprimierung neben der Nichtverschlüsselbarkeit auch einen kleinen Performanceverlust bedeutet, empfiehlt sich die Einstellung nur auf Ordnerebene oder für ausgewählte einzelne Dateien.

Zurücksetzen der Bereitstellungen

Durch das Formatieren werden alle gesetzten Bereitstellungen für den Datenträger über Laufwerkpfade zurückgesetzt. Nach Ende des Formatiervorgangs werden die Bereitstellungen automatisch wiederhergestellt. Der Fortschritt des Formatiervorganges wird in der Datenträgerverwaltung direkt in der grafischen Anzeige für den Datenträger angezeigt.

Abbildung 11.48: Anzeige des Fortgangs Ist der Vorgang beendet, erfolgt keine separate Meldung mit Angabe des Formatiererfolges. Beim Formatieren über den Windows Explorer sehen Sie den Fortgang mit einem grafischen Balken im Fenster des Formatprogramms. Nach erfolgter Formatierung werden Sie in jedem Fall benachrichtigt. Diese Nachricht sehen Sie auch, wenn Sie die Formatierung im Hintergrund vornehmen (modales Dialogfenster). Parallel mehrere Datenträger formatieren

Haben Sie den Formatprozess über die Datenträgerverwaltung gestartet, können Sie in dieser keinen weiteren Datenträger formatieren, solange der letzte nicht abgeschlossen ist. Das ist insofern unlogisch, da diese Software sonst andere Prozesse parallel ausführen kann. Möchten Sie einen anderen Datenträger dennoch in der Datenträgerverwaltung formatieren, erhalten Sie nur eine Fehlermeldung.

Abbildung 11.49: Fehlermeldung beim Versuch des parallelen Formatierens Leider hilft es auch nicht, zwei Managementkonsolen für die Datenträgerverwaltung parallel zu starten. Einen Ausweg gibt es dennoch, indem Sie die Formatierung über den Windows Explorer benutzen. Hier können Sie mehrere Formatprozesse parallel laufen lassen.

11.5 Datenträger formatieren

431 Abbildung 11.50: Parallel formatieren im Windows Explorer

Zusätzlich können Sie natürlich auch mehrere Eingabeaufforderungen öffnen und das Kommandozeilenprogramm FORMAT mehrfach parallel starten (siehe nächster Abschnitt).

11.5.3 Das Kommandozeilen-Programm FORMAT Das Kommandozeilen-Programm FORMAT.COM starten Sie über die Eingabeauforderung, erreichbar über START | PROGRAMME | ZUBEHÖR. Die Syntax für den Aufruf des Programms lautet: format

/FS:<sys> [/V:] [/Q] [/A:Größe] [/C] [/X] Für das Formatieren von Disketten gibt es spezielle Optionen, die Sie in diesen Zusammenstellungen benutzen können: format

[/V: ] [/Q] [/F:] format

[/V: ] [/Q] [/T:<spuren> /N:<sektoren>] format

[/V: ] [/Q] [/1] [/4] format

[/Q] [/1] [/4] [/8] Unter

geben Sie den Laufwerkbuchstaben, den Laufwerkpfad oder die Datenträgerbezeichnung an. Sie müssen, außer beim Formatieren von Disketten, immer die /FS-Option mit dem gewünschten Dateisystem angeben. Alle Optionen für FORMAT.COM sind in der folgenden Tabelle aufgeführt:

Formatieren von Disketten

432 Tabelle 11.4: Optionen von format.com

11 Administration der Massenspeicher

Option

Bedeutung

/FS:<sys>

Für <sys> geben Sie das Dateisystem an: FAT, FAT32 oder NTFS.

/V:

Datenträgerbezeichnung, die zugewiesen werden soll. Für eine FAT-Datenträger kann diese 11 Zeichen, bei NTFS 32 Zeichen lang sein.

/Q

Führt die Formatierung mit Quickformat durch. Dies geschieht sehr viel schneller als die Standardformatierung, da auf eine sektorweise Überprüfung verzichtet wird.

/C

Schaltet die standardmäßige Komprimierung für den Datenträger ein.

/X

Führt die zeitweise Aufhebung der Laufwerkpfade ohne Rückfrage für den zu formatierenden Datenträger durch.

/A:

Ändert die Standardgröße für die Zuordnungseinheiten (siehe auch Tabelle 5.3 auf Seite 136).

/F:

Diskettenkapazität: 160, 180, 320, 360, 640, 720, 1.2, 1.23, 1.44, 2.88 oder 20.8.

/T:<spuren> Anzahl der Spuren (Tracks) je Seite der Diskette /N:Sektoren Anzahl der Sektoren pro Spur /1

Nur die erste Seite der Diskette wird formatiert.

/4

Dient der Formatierung von 360 KB-Diskette in einem 1.2 MB-Laufwerk.

/8

Jede Spur wird mit 8 Sektoren formatiert.

Eine genauere Beschreibung der einzelnen Formatoptionen wie Dateisystem, Quickformat oder Komprimierung finden Sie in Abschnitt Formatieren mit einem grafischen Dienstprogramm ab Seite 425.

11.6 Umwandeln von FAT/FAT32 in NTFS Komfortabler Übergang möglich

FAT und FAT32-Datenträger können Sie in das NTFS-Dateisystem überführen. Dabei bleiben alle bisher gespeicherten Dateien und Ordner erhalten. Die dazu notwendigen Schritte sowie wichtige Hinweise, die Sie vor der Konvertierung beachten sollten, sind Inhalt dieses Abschnitts. Das NTFS-Dateisystem wird im Detail in Abschnitt 5.4 ab Seite 152 behandelt.

11.6 Umwandeln von FAT/FAT32 in NTFS

433

11.6.1 Generelle Hinweis zur Konvertierung Die Konvertierung eines bestehenden FAT- oder FAT32-Datenträgers können Sie mittels des Kommandozeilen-Tools CONVERT.EXE durchführen. Die bisher auf dem Datenträger gespeicherten Daten bleiben dabei zwar unberührt, allerdings sollten Sie folgendes beachten: •

Kompatibilität zu Windows 9x und MS-DOS Auf einen NTFS-Datenträger können Sie von Windows 9x oder Kompatibilität MS-DOS sowie von den meisten anderen Betriebssystemen aus beachten nicht zugreifen. Das ist insbesondere für den System- und Bootdatenträger dieser Betriebssysteme bedeutsam. Die Systemdateien von Windows 9x oder MS-DOS werden zwar ordnungsgemäß mit konvertiert, ein Starten dieser Betriebssysteme ist dann allerdings nicht mehr möglich.

•

Keine Rückumwandlung Für die Umwandlung in das FAT- oder FAT32-Dateisystem gibt es Kein Weg zurück! keinen Rückweg – eine Rückumwandlung unter Beibehaltung aller Dateien ist nicht möglich. Es bleibt Ihnen dann nur der Weg der Datensicherung und der Neuformatierung des Datenträgers.

11.6.2 Das Tool CONVERT.EXE Die Konvertierung in das NTFS-Dateisystem ist unter Windows 2000 Exklusiver Zugriff nur mittels des Kommandozeilen-Tools CONVERT.EXE möglich. Das erforderlich Programm benötigt für die Konvertierung exklusiven Zugriff auf den Datenträger. Das bedeutet, dass während der Konvertierung keine weiteren Programme oder Betriebssystembestandteile auf den Datenträger zugreifen können. Beachten sollten Sie das insbesondere bei Partitionen, auf denen im Netzwerk freigegebene Verzeichnisse eingerichtet sind. Datenträger, auf die durch CONVERT.EXE nicht exklusiv zugegriffen Besonderheit: werden kann, werden nicht sofort konvertiert. Stattdessen wird ein System- bzw. Vermerk gesetzt, der CONVERT.EXE automatisch beim nächsten System- Bootdatenträger start ausführt. Insbesondere System- beziehungsweise Bootdatenträger, auf die das Betriebssystem den ständigen Zugriff braucht, können nur auf diese Weise konvertiert werden. CONVERT.EXE

benötigt für die Konvertierung ausreichend freien Spei- Freier Speichercherplatz auf dem Datenträger. Sie sollten sicherheitshalber noch ca. platz 20-25 % der Kapazität zur Verfügung haben.

434

11 Administration der Massenspeicher Microsoft gibt an, dass konvertierte NTFS-Datenträger über eine geringere Leistungsfähigkeit als direkt mit NTFS erstellte Datenträger verfügen. Somit empfiehlt es sich, vor einer Installation von Windows 2000 zu prüfen, ob nicht NTFS von Anfang an konsequent eingesetzt werden sollte.

Aufruf von convert.exe

Das Tool CONVERT.EXE starten Sie direkt von der Kommandozeile. Dabei ist die folgende Aufrufsyntax zu beachten: convert /FS:NTFS [/V] Die Optionen für CONVERT sind in der folgenden Tabelle aufgeführt:

Tabelle 11.5: Optionen von convert.exe

Option

Bedeutung

Der zu konvertierende FAT oder FAT32-Datenträger; gültig sind die Angabe von:

- Laufwerksbuchstaben, gefolgt von Doppelpunkt - Bereitstellungspunkt1 - Datenträgername /FS:NTFS /V /NAMETABLE

Fehlschlag der Konvertierung beim Systemstart

Gibt lediglich nochmals zusätzlich an, dass der Datenträger auf NTFS konvertiert werden soll. Es werden ausführliche Meldungen während der Konvertierung angezeigt. Wichtige Option für eine Umwandlung, falls diese zuvor wegen unzulässiger Dateinamen fehlgeschlagen ist (siehe weiter unten im Text).

Schlägt die automatische Konvertierung beim Systemstart durch CONVERT.EXE fehl, wird dies mit einem Eintrag in der Ereignisanzeige im Anwendungsprotokoll unter WINLOGON festgehalten. Falls die Ursache des Abbruchs auf unzulässige oder ungewöhnliche Dateinamen zurückzuführen ist, kann ein Neustart von CONVERT.EXE mit der Option /NAMETABLE veranlasst werden. Das Programm benutzt dann beim nächsten Systemstart die beim ersten Mal angelegte Namentabelle und wird damit die Konvertierung meist erfolgreich zu Ende bringen können.

1

Zur Einrichtung der Zugriffsmöglichkeiten auf Datenträger siehe auch Abschnitt 11.7 Datenträgerzugriff ändern ab Seite 435.

11.7 Datenträgerzugriff ändern

435

11.7 Datenträgerzugriff ändern Für den Zugriff auf eingerichtete Datenträger auf dynamischen oder Basisfestplatten haben Sie unter Windows 2000 verschiedene Möglichkeiten: •

Laufwerkbuchstaben Die traditionelle Art, auf einen Datenträger zuzugreifen, stellen Laufwerkbuchstaben dar. Dies war schon seit den ersten Versionen von MS-DOS möglich und wurde bis in die heutigen WindowsVersionen hinübergerettet.

Laufwerkbuchstaben

Es sind alle 24 Buchstaben des englischen Alphabets erlaubt. Zwischen Groß- und Kleinschreibung wird nicht unterschieden. Für einen Datenträger kann nur jeweils genau ein Laufwerkbuchstabe definiert werden. Das genaue Vorgehen zum Einrichten und Ändern von Laufwerkbuchstaben ist Inhalt des nächsten Abschnitts. •

Laufwerkpfade Mit einem Laufwerkpfad können Sie einen Datenträger innerhalb einer Ordnerstruktur eines anderen Datenträgers einbinden. Voraussetzung dazu ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundene Datenträgers kann allerdings auch FAT oder FAT32 sein. Beachten Sie, dass bei Einbindung eines FAT oder FAT32formatierten Datenträgers in die Verzeichnisstruktur eines NTFSDatenträgers die erweiterten Benutzerrechte und Eigenschaften wie Verschlüsselung oder Komprimierung von NTFS für diesen nicht gelten. Das genaue Vorgehen zum Definieren und Ändern von Laufwerkpfaden ist Inhalt des Abschnitts 11.7.2 Laufwerkpfade einrichten und ändern ab Seite 437.

11.7.1 Laufwerkbuchstabe zuweisen und ändern Den Laufwerkbuchstaben definieren oder ändern Sie in der Datenträgerverwaltung über das Kontextmenü des entsprechenden Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | LAUFWERKBUCHSTABEN UND –PFAD ÄNDERN.

Laufwerkpfade

436

11 Administration der Massenspeicher

Abbildung 11.51: Kontextmenü eines Datenträgers

Sie gelangen dann zu einem Dialogfenster für die Definition und Änderung der Zugriffsmöglichkeiten zu diesem Datenträger. Abbildung 11.52: Zugriffsmöglichkeiten zu einem Datenträger

Hier werden, falls vorhanden, der aktuell eingestellte Laufwerkbuchstabe und die eventuell definierten Laufwerkpfade angezeigt. Ist noch kein Laufwerkbuchstabe für den Datenträgerzugriff eingerichtet, können Sie über Hinzufügen einen definieren. Zum Ändern eines Laufwerkbuchstaben markieren Sie den bisher gesetzten (siehe Abbildung 11.53) und gehen über die Schaltfläche ÄNDERN. Sie kommen in ein weiteres Dialogfenster, in dem nur die Option LAUFWERKBUCHSTABEN ZUORDNEN aktiv ist. Abbildung 11.53: Ändern des Laufwerkbuchstaben

Wenn schon eingerichtet, wird der aktuell zugewiesene Laufwerkbuchstabe angezeigt. Ist noch kein Buchstabe für diesen Datenträger definiert, wird der nächste freie angeboten. Ändern Sie den Buchstaben nach Ihren Bedürfnissen durch Auswahl aus der Liste.

11.7 Datenträgerzugriff ändern

437

Das Ändern von Laufwerkbuchstaben kann weitreichenden Einfluss auf installierte Anwendungen haben. Führen Sie Änderungen an Datenträgern, die installierte Programme enthalten, deshalb nur mit Bedacht durch. Anderenfalls kann es zu Störungen in Programmfunktionen von Anwendersoftware oder zur generellen Nichtausführbarkeit von Programmen kommen. Windows 2000 schützt sich übrigens wirkungsvoll gegen ungewollte Eingriffe. Für System- und Bootdatenträger lassen sich Laufwerkbuchstaben nachträglich nicht mehr ändern. Es werden nur die Buchstaben zur Auswahl angeboten, die noch verfügbar sind. Wollen Sie einen Laufwerkbuchstaben einem Datenträger zuordnen, der schon verwendet wird, müssen Sie erst bei diesem anderen Datenträger den Buchstaben ändern. Bevor die Änderung des Laufwerkbuchstabens für den Datenträgers in Kraft tritt, werden Sie mit einer Sicherheitsabfrage daran erinnert, dass Auswirkungen an Anwendungsprogrammen auftreten können. Abbildung 11.54: Sicherheitsabfrage

Sind Sie sich über eventuelle Auswirkungen nicht sicher, sollten Sie besser hier mit Klick auf NEIN abbrechen. Wird der Laufwerkbuchstabe des Datenträgers geändert, wird dies gleich durch die Datenträgerverwaltung aktiviert. Ein Neustart des Betriebssystems ist nicht erforderlich.

11.7.2 Laufwerkpfade einrichten und ändern Einen Laufwerkpfad können Sie für beliebige Datenträger, die FAT-, FAT32- oder NTFS-formatiert sein können, einrichten. Nur der Bereitstellungsordner muss sich auf einem NTFS-Datenträger befinden, d.h. der Laufwerkpfad kann nur in eine NTFS-Struktur eingebunden werden. Laufwerkpfade definieren oder ändern Sie in der Datenträgerverwaltung über das Kontextmenü des entsprechenden Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | LAUFWERKBUCHSTABEN UND –PFAD ÄNDERN.

438

11 Administration der Massenspeicher

Abbildung 11.55: Kontextmenü eines Datenträgers

Sie gelangen dann zu einem Dialogfenster für die Definition und Änderung der Zugriffsmöglichkeiten zu diesem Datenträger. Abbildung 11.56: Anzeige der Zugriffsmöglichkeiten zu dem Datenträger

Neuen Laufwerkpfad einrichten Einen neuen Laufwerkpfad erzeugen Sie über HINZUFÜGEN im Dialogfenster. Im folgenden Dialogfenster können Sie den Laufwerkpfad zu einem NTFS-Datenträger eingeben. Abbildung 11.57: Laufwerkpfad hinzufügen

Zu beachten ist, dass Sie hier einen leeren Ordner innerhalb eines anderen, NTFS-formatierten Datenträgers, angeben müssen. Sie können sich die Arbeit ein wenig erleichtern, indem Sie über DURCHSUCHEN komfortabler diesen Ordner aussuchen beziehungsweise erstellen können.

11.7 Datenträgerzugriff ändern

439 Abbildung 11.58: Durchsuchen nach Bereitstellungsordner

Es werden hier nur die NTFS-Festplattendatenträger Ihres Computers angeboten. Wählen Sie einen beliebigen leeren Ordner aus. Sie können über NEUER ORDNER auch einen neuen leeren Ordner erstellen. Eine kleine Falle hat Microsoft bei den Laufwerkpfaden gelegt. Sie Achtung Falle! können einen Laufwerkpfad für einen NTFS-Datenträger innerhalb desselben physischen Datenträgers erstellen. Verzweigen Sie dann rekursiv innerhalb der (sinnlos) verknüpften Datenstrukturen und ändern Dateien, so kann es zu unerwünschten Effekten kommen. Eben geänderte Dateien werden beispielsweise plötzlich nicht mehr wiedergefunden. Abbildung 11.59: Laufwerkpfad eines Datenträgers auf sich selbst

Im Dateisystem NTFS-formatierter Wechseldatenträger können keine WechseldatenLaufwerkpfade anderer Datenträger eingebunden werden. Allerdings träger können Sie für Wechseldatenträger Laufwerkpfade innerhalb anderer NTFS-Datenträger definieren. Nach Abschluss der Definition steht der Laufwerkpfad sofort zur Verfügung. Für den Benutzer oder Applikationen geschieht dies völlig transparent. Es ist praktisch nur ein Ordner hinzugekommen, hinter dem sich real ein weiterer Datenträger mit seiner gesamten Dateistruktur verbirgt.

440

11 Administration der Massenspeicher Beachten Sie, dass die Sicherheitseinstellungen, die Sie für NTFSDatenträger definieren können, sich nicht auf durch Laufwerkpfade eingebundene Datenträger ausdehnen, die mit dem FAT- oder FAT32Dateisystem formatiert sind. Das Erstellen von Laufwerkpfaden erfordert keinen Neustart des Systems.

Laufwerkpfad löschen Einen gesetzten Laufwerkpfad löschen Sie über ENTFERNEN im Dialogfenster für die Änderung der Zugriffsmöglichkeiten. Abbildung 11.60: Sicherheitsabfrage vor dem Löschen

Bevor der Vorgang durch die Datenträgerverwaltung ausgeführt wird, erhalten Sie eine letzte Sicherheitsabfrage. Die Löschung des Laufwerkpfads eines Datenträgers kann Auswirkung auf das richtige Funktionieren von Anwendungsprogrammen haben. Die Löschung des Laufwerkpfades wird sofort – ohne einen Neustart zu benötigen – wirksam. Dabei wird der Bereitstellungsordner nicht physisch gelöscht, sondern steht weiterhin als jetzt leerer Ordner zur Verfügung.

Laufwerkpfad ändern Einmal gesetzte Laufwerkpfade können nachträglich leider nicht geändert werden. Es bleibt Ihnen nur der Weg, den Laufwerkpfad zu löschen und einen neuen zu definieren (siehe oben).

11.7.3 Das Kommandozeilen-Tool Mountvol.exe Alternativ zu den grafischen Tools über die Datenträgerverwaltung können Sie Bereitstellungspunkte auch mit dem Programm MOUNTVOL.EXE ändern.

11.7 Datenträgerzugriff ändern

441

mountvol [] mountvol [] /D mountvol [] /L Der Aufruf von MOUNTVOL ohne eine weitere Angabe bringt eine kurze Erklärung der Syntax sowie eine Liste aller eingerichteten Bereitstellungspunkte auf den Bildschirm. Die folgende Tabelle enthält die Erklärung aller Optionen:

Option

Erklärung Gibt den Laufwerksbuchstaben an, unter dem der Datenträger verfügbar sein soll (siehe Hinweis unten)

Tabelle 11.6: Optionen von Mountvol.exe

oder Gibt den Laufwerksbuchstaben des Datenträgers an, auf dem die Bereitstellung in dem unter abgegebenen Ordner eingerichtet werden soll.

Angabe des Laufwerkspfades, der als Bereitstellungsort eingerichtet werden soll. Dieser muss bereits als leerer Ordner auf dem NTFS-Datenträger bereitstehen.

Ist die eindeutige Bezeichnung des Datenträgers, für den die Bereitstellung erzeugt werden soll. /D

Löscht den angegebenen Bereitstellungspunkt. Zurück bleibt ein normaler leerer Ordner.

/L

Zeigt den Namen des bereitgestellten Datenträgers an.

Die folgenden Beispiele zeigen die praktische Nutzung des Pro- Beispiele gramms MOUNTVOL: mountvol d:\laufwerkc\ \\?\Volume{0e856d12-bd ... 07-2696f}\ Hier wird auf dem NTFS-Datenträger D: im Verzeichnis \laufwerkc der Datenträger C: eingebunden. Die genaue Datenträgerbezeichnung entnehmen Sie einfach der Ausgabe, die Sie mit dem Aufruf von MOUNTVOL ohne Optionen erhalten. Der folgenden Aufruf löscht den eingerichteten Bereitstellungspunkt wieder: mountvol d:\laufwerkc /D Das nächste Beispiel richtet für den angegebenen Datenträger den Laufwerkbuchstaben H: ein: mountvol h: \\?\Volume{70b58f1b- … -404e57434431}\ Für jeden Datenträger lässt sich nur genau ein Laufwerkbuchstabe einrichten. Wollen Sie den Zugriff für einen Datenträger über einen

442

11 Administration der Massenspeicher anderen Laufwerkbuchstaben ermöglichen, müssen Sie zuvor den vorhandenen Laufwerkbuchstaben entfernen. mountvol H: /D Dieser Aufruf entfernt den Zugriff über den Laufwerkbuchstaben für den entsprechenden Datenträger.

11.8 Erweiterte NTFS-Attribute Die folgenden erweiterten NTFS-Attribute können Sie für Dateien und Ordner und teilweise auch für ganze Datenträger setzen: Tabelle 11.7: Erweiterte NTFSAttribute

Attribut

Beschreibung

zu setzen für

Komprimierung

Komprimiert Dateien mit dem NTFS- Datenträger, Kompressionsalgorithmus (siehe auch Dateien und Abschnitt 5.4.6 Komprimierung ab Seite Ordner 168).

Indizierung

Bezieht gekennzeichnete Dateien und Datenträger, Ordner mit in den Indexdienst ein Dateien und (siehe auch Abschnitt 4.6 Der Index- Ordner dienst ab Seite 123).

Verschlüsselung

Verschlüsselt gekennzeichnete Datei- Dateien und en über das Verschlüsselnde Dateisys- Ordner tem (siehe auch Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166).

In den folgenden Abschnitten wird erläutert, wie Sie diese Attribute setzen und entfernen können und was es dabei zu beachten gilt.

11.8.1 Aktivieren der Komprimierung Für Datenträger, die mit dem Dateisystem NTFS formatiert sind, können Sie eine integrierte Komprimierungsfunktion für Dateien nutzen. Diese Komprimierung ist als Dateiattribut transparent für Anwendungen implementiert. Dabei können Sie entscheiden, ob nur für bestimmte Dateien beziehungsweise Ordner oder den gesamte Datenträger die Komprimierungsfunktion des Dateisystems eingesetzt werden soll. Die Komprimierung können Sie, immer ausreichend Speicherplatz vorausgesetzt, auch jederzeit teilweise oder ganz rückgängig machen. Grafisch oder mit compact.exe

Die Komprimierung von Dateien beziehungsweise das Setzen des Attributs für ganze Ordner wird über die entsprechenden Eigenschaften-

11.8 Erweiterte NTFS-Attribute

443

Fenster der Datenträger, Dateien und Ordner ermöglicht oder mit dem Kommandozeilen-Tool COMPACT.EXE (siehe Seite 446). Für mehr Übersichtlichkeit lassen sich komprimierte Dateien und Farbige Anzeige Ordner im Windows Explorer farbig hervorgehoben darstellen. Öff- komprimierter nen Sie dazu im Explorerfenster über das Hauptmenü EXTRAS die Dateien Ordneroptionen und aktivieren Sie dort im Abschnitt ANSICHT den Eintrag KOMPRIMIERTE DATEIEN UND ORDNER IN ANDERER FARBE ZEIGEN. Abbildung 11.61: Einstellen der andersfarbigen Anzeige komprimierter Objekte

Aktivieren der Komprimierung über das EigenschaftenFenster Der einfachste Weg für das Aktivieren der Komprimierung ist das Setzen des entsprechenden Kontrollkästchens im EigenschaftenFenster. Die folgende Abbildung zeigt das Fenster für einen Datenträger. Bei Dateien und Ordner finden Sie das Kontrollkästchen in den erweiterten Eigenschaften.

444

11 Administration der Massenspeicher

Abbildung 11.62: Allgemeine Eigenschaften eines NTFS-Datenträgers

Aktivieren Sie die Komprimierung für einen Datenträger als Ganzen oder in einem Verzeichnis, erscheint ein Dialogfenster, um das weitere Vorgehen zu bestimmen. Abbildung 11.63: Einstellen des Komprimierungsziels

Bestimmen Sie, ob das Komprimierungsattribut nur für das Stammverzeichnis des Datenträgers beziehungsweise des aktuelle Verzeichnis gesetzt werden soll oder ob die darunter liegenden Objekte gleich mit einbezogen werden sollen. •

Übernehmen der Änderung für das (Stamm-)verzeichnis Es werden keine bisher in dem Verzeichnis befindlichen Dateien oder Ordner komprimiert. Neue Dateien oder Ordner, die Sie darin speichern beziehungsweise kopieren, werden hingegen standardmäßig mit dem Komprimierungsattribut versehen und komprimiert.

11.8 Erweiterte NTFS-Attribute •

445

Übernehmen der Änderung für alle Dateien und Verzeichnisse Für alle bisher bestehenden Dateien und Unterverzeichnisse werden die Attribute gesetzt und die Dateien komprimiert. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen. Abbildung 11.64: Fortschrittsanzeige beim Komprimieren bestehender Daten

Nach dem Komprimieren der bestehenden Daten werden auch zukünftig alle neu in das betreffende Verzeichnis gespeicherten oder kopierten Daten komprimiert.

Nachteile der Komprimierung für einen ganzen Datenträger Die Aktivierung der Komprimierung für den gesamten Datenträger kann auch Nachteile mit sich bringen: •

Sind viele Dateien dabei, die sich nur schlecht oder gar nicht weiter komprimieren lassen, kosten die Komprimierungsanstrengungen des Betriebssystems lediglich Performance, ohne einen Nutzen zu erbringen. Beispielsweise lassen sich diese Dateitypen meist nur schlecht bis gar nicht komprimieren, da sie durch die Anwendungsprogramme, die sie erzeugt haben, bereits komprimiert worden sind:

•

Adobe PDF

•

CorelDraw (DRW)

•

Microsoft Powerpoint (PPT) Hinzu kommen ausführbare Programme (EXE, DLL).

•

Komprimierte Dateien können durch das Verschlüsselnde Dateisystem (siehe auch Abschnitt 11.8.3 Aktivieren der Verschlüsselung ab Seite 449) nicht für einen geschützten Zugriff verschlüsselt werden. Ebenso lassen sich verschlüsselte Dateien nicht nachträglich komprimieren.

Zu empfehlen ist die Prüfung, inwieweit eine Aktivierung der Komp- Teilweise rimierung nur für bestimmte Ordner, die vorrangig gut komprimier- Komprimierung bare Dateien enthalten, der bessere Weg ist.

446

11 Administration der Massenspeicher Überprüfung der Kompressionsrate Die erreichte Kompressionsrate können Sie dem Eigenschaften-Fenster der entsprechenden Datei oder des Ordners entnehmen.

Abbildung 11.65: Angabe der komprimierten Größe

Im Feld GRÖßE AUF DATENTRÄGER wird der Speicherplatz angegeben, den die Datei tatsächlich auf dem Datenträger einnimmt. Dekomprimierung

Die Dekomprimierung erfolgt analog zur Komprimierung, nur dass dann das Attribut gelöscht wird. Ebenso können Sie wieder entscheiden, ob dieser Vorgang für das Stammverzeichnis oder für den gesamten Datenträger (entspricht Abbildung 11.63 auf Seite 444) gelten soll. Bereits vorhandene, komprimierte Daten werden dabei nicht komprimiert, neue dagegen werden schon.

Aktivieren der Komprimierung mit compact.exe Das Kommandozeilen-Tool COMPACT.EXE erlaubt die Aktivierung beziehungsweise Deaktivierung der NTFS-Komprimierung über die Kommandozeile. Damit haben Sie eine einfache Möglichkeit, die Komprimierung über eine Stapelverarbeitungsdatei zu steuern. Der Aufruf von COMPACT ohne weitere Angaben listet den Status der Komprimierung der Dateien und Ordner im aktuellen Verzeichnis auf. Weitere mögliche Varianten des Aufrufs sind die folgenden: compact [/C | /U] compact [/C | /U] compact [/C | /U] [/S[:]] Die ersten Variante des Aufrufs setzt das Komprimierungsattribut für die spezifizierten Dateien. Dabei werden diese entsprechend gleich komprimiert beziehungsweise dekomprimiert. Die zweite Variante setzt oder löscht das Komprimierungsattribut für ein Verzeichnis. Eventuell in diesem Verzeichnis enthaltene Dateien werden so aber nicht berührt. Wird das Komprimierungsattribut akti-

11.8 Erweiterte NTFS-Attribute

447

viert, so werden alle Dateien, die in das Verzeichnis neu aufgenommen werden, automatisch komprimiert. Die dritte Variante setzt das Komprimierungsattribut für das spezifizierte Verzeichnis und bearbeitet dabei alle darin enthaltenen Dateien mit. Dateien, bei den die Attribute Versteckt, System oder Schreibgeschützt gesetzt sind, werden beim Abarbeiten von COMPACT trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /A erreichen. In der folgenden Tabelle finden Sie alle Optionen des Programms compact.exe in einer Übersicht:

Option /C

Tabelle 11.8: Optionen von Setzt das Komprimierungsattribut für die angegebenen Compact.exe

Erklärung

Dateien oder Verzeichnisse. /U

Löscht das Komprimierungsattribut für die angegebenen Dateien oder Verzeichnisse.

/S

Führt die Komprimierungs- beziehungsweise Dekomprimierungsvorgänge für alle Dateien des aktuellen (ohne Angabe) oder des spezifizierten Verzeichnisses durch (bei Angabe hinter /S).

Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen.

Name des entsprechenden Verzeichnisses oder Pfades. /A

Anzeige auch der Dateien, die über die Attribute Versteckt oder System verfügen.

/I

Ignoriert auftretende Fehler und setzt Komprimierungen oder Dekomprimierungen trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.

/F

Es werden bei einem Komprimierungsvorgang auch die Dateien neu komprimiert, die schon komprimiert vorliegen. Standardmäßig würde diese übersprungen werden.

/Q

Die Anzeige des Programms Compact.exe wird auf wenige Details beschränkt.

Das Komprimierungsattribut lässt sich natürlich auch mit COMPACT Rechte beachten nur für die Datenträger, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer die Zugriffsrechte besitzen.

448

11 Administration der Massenspeicher

11.8.2 Setzen des Index-Attributs Im NTFS-Dateisystem haben Sie die Möglichkeit, mit einem speziellen Attribut eine Datei, ein Verzeichnis oder einen ganzen Datenträger als indizierbar oder nicht indizierbar zu markieren. Dieses NTFS-Attribut bestimmt allerdings lediglich, dass die betreffenden Dateien und Verzeichnisse explizit durch den Indexdienst erfasst werden dürfen oder nicht. Um diese Dateien in den Index aufnehmen zu können, müssen Sie zuerst natürlich die entsprechenden Kataloge mit dem Indexdienst einrichten. Die Konfiguration des Indexdienstes ist Inhalt des Abschnitts 11.12 Indexdienst einrichten ab Seite 479. Index-Attribut nur bei NTFS

Dateien und Ordner auf anderen Datenträgern, die nicht mit NTFS formatiert sind, können natürlich trotzdem durch den Indexdienst bearbeitet werden. Es steht dort allerdings kein derartiges IndexAttribut zur Verfügung, mit dem Sie den Indexdienst gezielt steuern können. Die Einbeziehung eines Datenträgers, eines Verzeichnisses oder einer Datei durch den Indexdienst können Sie über das entsprechende Eigenschaften-Fenster aktivieren.

Abbildung 11.66: Indizierung aktivieren

Setzen Sie das Attribut für einen Datenträger oder ein Verzeichnis, können Sie bestimmen, ob bisher darin untergeordnet gespeicherte Daten mit einbezogen werden sollen. •

Übernehmen der Änderung für das (Stamm-)verzeichnis

11.8 Erweiterte NTFS-Attribute

449

Es werden keine bisher gespeicherten Dateien oder Ordner in den Vorgang einbezogen. Neue Dateien oder Ordner, die Sie auf den Datenträger oder in das betreffende Verzeichnis speichern beziehungsweise kopieren, werden hingegen standardmäßig indiziert (bei Setzen des Attributs) oder nicht mehr im Index berücksichtigt (beim Löschen). •

Übernehmen der Änderung für alle Dateien und Verzeichnisse Für alle bisher bestehenden Dateien und Unterverzeichnisse wird das Indexattribut gesetzt beziehungsweise entfernt. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen.

Nur wenn der Indexdienst auch ausgeführt wird, können das NTFSAttribut der entsprechenden Dateien und Ordner ausgewertet und die Vorteile der Indizierung genutzt werden. Der Indexdienst und seine Einrichtung sind Inhalt des Abschnittes 11.12 Indexdienst einrichten ab Seite 479.

11.8.3 Aktivieren der Verschlüsselung Jeder Benutzer kann seine Dateien und Ordner auf einem NTFSDatenträger über das Verschlüsselnde Dateisystem (EFS) vor unerlaubtem Einblick durch Verschlüsselung schützen. Diese Funktion ist als Dateiattribut transparent für Anwendungen implementiert und kann nicht zusammen mit der Komprimierung eingesetzt werden (siehe Abschnitt 11.8.1 Aktivieren der Komprimierung ab Seite 442). Sie können entscheiden, ob das Attribut nur für bestimmte Dateien oder ganze Ordner beziehungsweise Datenträger gesetzt werden soll. Bedenken Sie, dass die Verschlüsselung letztendlich auch Performance kostet und nur für Dokumente Sinn macht, die auch wirklich geschützt werden müssen. Mehr zu den Grundlagen des Verschlüsselnden Dateisystems erfahren Sie in Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 166. Allein das Setzen des EFS-Verschlüsselungsattributs reicht für eine EFS anwenden wirklich sichere Ablage von Dateien noch nicht aus. Lesen Sie in Ab- reicht nicht! schnitt 8.3 Absicherung lokaler Daten ab Seite 267, wie Sie Ihr System maximal absichern können. Die Verschlüsselung von Dateien beziehungsweise das Setzen des Att- Grafisch oder mit ributs für ganze Ordner wird über die entsprechenden Eigenschaften- cipher.exe Fenster ermöglicht. Alternativ dazu können Sie auch das Kommandozeilen-Tool CIPHER.EXE (siehe Seite 451) benutzen.

450

11 Administration der Massenspeicher Setzen der Verschlüsselung über das Eigenschaften-Fenster Der einfachste Weg für das Setzen des Verschlüsselungsattributs ist über das entsprechende Kontrollkästchen im Eigenschaften-Fenster. Die folgende Abbildung zeigt das Fenster für einen Ordner.

Abbildung 11.67: Setzen der Verschlüsselung für einen Ordner

Aktivieren Sie die Verschlüsselung für einen Ordner über das Eigenschaften-Fenster und bestätigen mit OK oder ÜBERNEHMEN, erscheint das folgende Dialogfenster, um das weitere Vorgehen zu bestimmen: Abbildung 11.68: Optionen zum Setzen des Verschlüsselungs-Attributs

Sie können entscheiden, ob das Setzen des Attributs nur für den angegebenen Ordner oder auch für alle darin bisher enthaltenen Objekte übernommen werden soll. Funktionen verschlüsselter Ordner

Ordner, die über das gesetzte Verschlüsselungsattribut verfügen, verschlüsseln automatisch alle Dateien und Ordner, die in diese kopiert oder verschoben werden. Komprimierte Dateien werden dabei dekomprimiert und ebenfalls verschlüsselt. Dies kann je nach Größe der

11.8 Erweiterte NTFS-Attribute

451

Datei auch einen Moment dauern, da das EFS dann eine temporäre Datei anlegt, in welche die dekomprimierte Datei übertragen und verschlüsselt wird. Die Entschlüsselung der entsprechenden Dateien und Ordner ge- Entschlüsselung schieht für den Benutzer transparent. Beim Öffnen einer Datei wird diese automatisch entschlüsselt und dann an die Anwendung übergeben. Das betrifft auch das Kopieren einer verschlüsselten Datei zwischen Datenträgern. Vor dem Kopieren wird diese entschlüsselt und in Abhängigkeit von der Fähigkeit des Dateisystems des Zieldatenträgers wieder verschlüsselt. Auf einem FAT- oder FAT32-Datenträger wird die Datei also unverschlüsselt abgelegt. Für den Netzwerktransport trifft dies allerdings auch zu. Über das EFS heißt nicht Netzwerktransportmedium (beispielsweise Kabel oder Funk) wan- sicherer Netzwerkdern nur die unverschlüsselten Daten. Wollen Sie eine sichere Verbin- transport! dung aufbauen, die für eine Chiffrierung des Datenstroms sorgt, müssen Sie andere Tools wie beispielsweise IPSec zum Einsatz bringen (siehe auch Kapitel 12 Administration von Netzwerken ab Seite 493). Das Löschen des Verschlüsselungs-Attributs erfolgt analog dem Set- Löschen des zen. Sie können das über die erweiterten Eigenschaften des Eigen- Verschlüsselungsschaften-Fenster der betreffenden Dateien oder Ordner oder mit Hilfe Attributs des Kommandozeilen-Tools CIPHER.EXE vornehmen. Mit dem Löschen des Attributs werden die betreffenden Dateien gleich entschlüsselt.

Aktivieren der Verschlüsselung mit CIPHER.EXE Das Kommandozeilen-Tool CIPHER.EXE erlaubt die Aktivierung beziehungsweise Deaktivierung des Verschlüsselungsattributs über die Kommandozeile. Damit haben Sie eine einfache Möglichkeit, die Verschlüsselung über eine Stapelverarbeitungsdatei zu steuern. Der Aufruf von CIPHER ohne weitere Angaben listet den Status der Verschlüsselung der Dateien und Ordner im aktuellen Verzeichnis auf. Die möglichen Varianten des Aufrufs sind die folgenden: cipher cipher [/E | /D] /S: [] cipher [/E | /D] [] cipher [/E | /D] /A [] cipher /K Die zweite Variante setzt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Dateien und Unterordner.

452

11 Administration der Massenspeicher Die dritte Variante setzt die Verschlüsselung nur für das angegebene Verzeichnis. Die vierte Variante setzt die Verschlüsselung für die angegebene Datei; Sie können auch mehrere Dateien oder Platzhalter wie *.* angeben. Beachten Sie, dass Sie die Option /A angeben, damit der Vorgang für Dateien überhaupt durchgeführt wird. Dateien, bei denen die Attribute VERSTECKT, SYSTEM oder SCHREIBGESCHÜTZT gesetzt sind, werden beim Abarbeiten von CIPHER trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /H erreichen.

Neuen Schlüssel erzeugen

Die Option /K in der fünften Variante erzeugt einen neuen Schlüssel für den Benutzer, der aktuell angemeldet ist und CIPHER aufruft. Dies macht eigentlich nur dann Sinn, wenn Sie den alten Schlüssel mit dem bisherigen Zertifikat aus Sicherheitsgründen entfernen möchten. Beachten Sie, dass Sie zuvor alle mit dem alten Schlüssel verschlüsselten Dateien entschlüsseln, da Sie sonst nicht mehr in der Lage sein werden, diese Dateien zu dechiffrieren. In der folgenden Tabelle finden Sie alle Optionen des Programms CIPHER in einer Übersicht:

Tabelle 11.9: Optionen von cipher.exe

Option

Erklärung

/E

Setzt das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.

/D

Löscht das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.

/S: Setzt oder entfernt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Objekte.

Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen.

Name des entsprechenden Verzeichnisses oder Pfades.

/A

Setzt oder entfernt das Verschlüsselungsattribut sowohl bei Verzeichnissen als auch bei Dateien.

/I

Ignoriert auftretende Fehler und setzt den Vorgang trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.

/F

Es werden bei einem Verschlüsselungsvorgang auch die Dateien neu verschlüsselt, die schon verschlüsselt vorliegen. Standardmäßig würden diese übersprungen werden.

11.9 NTFS-Zugriffsrechte einstellen

Option

453

Erklärung

/Q

Die Anzeige des Programms cipher wird auf wenige Details beschränkt.

/H

Zeigt während der Abarbeitung auch versteckte oder Dateien an, für die das Systemattribut gesetzt ist.

/K

Es wird ein neuer EFS-Schlüssel für den aktuellen Benutzer erstellt.

Das Verschlüsselungsattribut lässt sich natürlich auch mit CIPHER nur Rechte beachten für die Datenträger, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer die Besitzrechte besitzen.

11.9 NTFS-Zugriffsrechte einstellen Unter Windows 2000 können Sie für Dateien und Ordner die entsprechenden NTFS-Sicherheitsattribute setzen und Überwachungen von Dateien und Ordnern aktivieren.

11.9.1 Setzen von Benutzerrechten Nur mit dem NTFS-Dateisystem können Sie gezielt Benutzerrechte für Dateien und Ordner vergeben. Im Attribut SICHERHEITSBESCHREIBUNG einer Datei oder eines Ordners sind die Zugriffsrechte hinterlegt. Diese sogenannte Access Control List (ACL) legt genau fest, wer in welchem Umfang welche Rechte besitzt. Mehr zu den Grundlagen zur NTFS-Zugriffsrechten erfahren Sie in Abschnitt 5.4.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 164. Sie können diese Sicherheitseinstellungen über das EigenschaftenFenster einer Datei oder eines Ordners oder über das Kommandozeilen-Tool CACLS.EXE (siehe Seite 461) setzen. Im Eigenschaften-Fenster, erreichbar über das Kontextmenü zu einer Datei oder einem Ordner, finden Sie die gesetzten Zugriffsberechtigungen.

454

11 Administration der Massenspeicher

Abbildung 11.69: Ändern der Sicherheitseinstellungen

Im Feld NAME sind die Benutzer und Gruppen aufgelistet, für die Zugriffsrechte definiert worden sind. Im Feld BERECHTIGUNGEN sehen Sie die aktuellen Einstellungen für den oben ausgewählten Eintrag. Vererbte Berechtigungen

Bevor Sie mit dem Ändern der Berechtigungen beginnen, ist es wichtig, die Sicherheitsprinzipien richtig verstanden zu haben. Standardmäßig werden im NTFS-Dateisystem die Berechtigungen vom übergeordneten Verzeichnis geerbt. Damit können Sie Änderungen an Berechtigungen deutlich einfacher und schneller durchführen. Sie müssen lediglich die oberste Organisationseinheit ändern. Alle enthaltenen Verzeichnisse und Dateien erben dann diese Einstellungen und brauchen nicht separat geändert zu werden.

Vererbte Berechtigungen ändern

Das bedeutet aber auch, dass Sie dies bei der spezifischen Änderung von Zugriffsrechten an bestimmten Dateien und Ordnern beachten müssen. Werden die Kontrollkästchen grau schattiert dargestellt (siehe Abbildung 11.69), sind diese Berechtigungen vom übergeordneten Objekt geerbt worden. Möchten Sie diese ändern, aktivieren Sie das entsprechende Kontrollkästchen für die Verweigerung der bestimmten Rechte. Verweigerungen haben immer Vorrang vor der Zulassung eines Rechts. Entziehen Sie beispielsweise der Gruppe Jeder alle Zugriffsrechte, kann niemand mehr, auch nicht der Administrator, auf die betreffende Datei zugreifen. Lediglich der Besitzer kann die Zugriffsrechte dann wieder ändern. Möchten Sie generell ein geerbtes Zugriffsrecht entfernen, beispielsweise den Eintrag JEDER, um einer bestimmten Gruppe den Zugriff zu

11.9 NTFS-Zugriffsrechte einstellen

455

erteilen, so müssen Sie die Vererbung vom übergeordneten Objekt deaktivieren. Beim Deaktivieren der Vererbung, stellt sich die folgende Frage: Sollen Vererbung alle bisher geerbten Sicherheitseinstellungen entfernt werden, das Ob- deaktivieren jekt also enterbt werden? Oder ist es besser, die geerbten Sicherheitseinstellungen zu behalten, um sie dann entsprechend zu modifizieren? Das Dialogfenster, was sich beim Deaktivieren des Kontrollkästchens für die Vererbung öffnet, weist Sie auf diese Problematik hin. Abbildung 11.70: Entfernen übergeordneter Berechtigungen

Meist ist es besser, die bisher geerbten Sicherheitseinstellungen auf das Objekt zu kopieren, um sie dann entsprechend anzupassen. So können Sie beispielsweise aus dem übernommenen Vollzugriff für Jeder eine Leseberechtigung und einen Vollzugriff für die Benutzer der Gruppe Management machen. Sie sollten dabei aber vorrangig mit Zulassungen arbeiten, da Verwei- Verweigerungen gerungen immer Vorrang haben. Verweigern Sie beispielsweise expli- haben Vorrang zit das Schreibrecht für Jeder, so kann niemand mehr, auch nicht der Administrator, die Datei ändern.

11.9.2 Erweiterte Einstellungen und Überwachung Über die Schaltfläche ERWEITERT der Sicherheitseinstellungen können Sie die erweiterten Zugriffseinstellungen und die Überwachung festlegen sowie die Besitzrechte für Dateien und Ordner ändern.

Erweiterte Zugriffseinstellungen Die erweiterten Zugriffseinstellungen erlauben Ihnen eine sehr differenzierte Festlegung aller Benutzerrechte zum aktuellen Objekt.

456

11 Administration der Massenspeicher

Abbildung 11.71: Erweiterte Einstellungen

Die folgenden Punkte finden Sie auf der ersten Seite BERECHTIGUNGEN dieses Dialogfensters: •

BERECHTIGUNGSEINTRÄGE Hier sehen Sie die Liste der Benutzer und Gruppen, für die explizite Zugriffsrechte beziehungsweise -verweigerungen definiert sind. Sie können bestehende entfernen oder ändern (siehe auch Seite 457) sowie neue hinzufügen. Entfernen Sie alle Einträge aus der Liste, sind die betreffenden Daten durch niemanden mehr erreichbar. Lediglich der Besitzer kann dann die Zugriffsrechte neu definieren.

•

VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN Aktivieren Sie diese Option, wenn Sie für das aktuelle Objekt die Rechte des übergeordneten Objekts erben wollen (siehe auch weiter oben im Text).

•

BERECHTIGUNGEN IN ALLEN UNTERGEORDNETEN OBJEKTEN... Wollen Sie für alle untergeordneten Objekte die eventuell individuell gesetzten Zugriffsrechte wieder zurücksetzen, aktivieren Sie diese Option. Dazu muss das aktuelle Objekt ein Verzeichnis sein. Dabei wird nach dem Zurücksetzen bei allen untergeordneten Objekten die Vererbung der Zugriffsrechte vom aktuellen, übergeordneten Objekt aktiviert.

11.9 NTFS-Zugriffsrechte einstellen

457

So können Sie beispielsweise für alle Dateien und Ordner, die sich unterhalb des aktuellen Verzeichnisses befinden, die Zugriffsrechte wieder auf einheitliche Werte setzen. Die Berechtigungseinträge in den erweiterten Zugriffseinstellungen Erweitert: können Sie sehr differenziert konfigurieren. Sie haben die Möglichkeit, Berechtigungsfür jeden Benutzer und jede Gruppe explizit Rechte zuzulassen oder einträge ändern zu verweigern. Abbildung 11.72: Erweiterte Berechtigungseinträge

Die folgenden Parameter können Sie für einen Berechtigungseintrag setzen: •

NAME Legen Sie die Gruppe oder den Benutzer fest, für den der Eintrag erstellt werden soll.

•

ÜBERNEHMEN FÜR Legen Sie fest, inwieweit die eingestellten Berechtigungen für diesen Eintrag auch auf untergeordnete Objekte übertragen werden sollen. Wollen Sie beispielsweise einen Berechtigungseintrag nur durch die untergeordneten Verzeichnisse erben lassen, so ändern Sie hier die Option auf DIESEN ORDNER, UNTERORDNER. Dateien bleiben dann von diesem Eintrag unberührt.

•

BERECHTIGUNGEN

458

11 Administration der Massenspeicher Die Liste der Berechtigungen ist hier ausführlicher in die einzelnen Unterberechtigungen zerlegt. Sicher ist es wenig sinnvoll, diese alle speziell für einzelne Dateien einzustellen. Aber für einen übergeordneten Ordner, der diese Berechtigungen dann vererbt, können Sie so sehr genau festlegen, was erlaubt ist und was nicht. •

BERECHTIGUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER... Aktivieren Sie diese Option, wenn die gesetzten Sicherheitseinstellungen nur auf die erste Ebene der direkt in diesem Verzeichnis befindlichen weiteren Verzeichnisse oder Dateien vererbt werden sollen. Wollen Sie hingegen, dass sich die Einstellungen auf alle anderen untergeordneten Dateien und Verzeichnisse des ganzen Baumes vererben, was im Normalfall gewünscht wird, lassen Sie diese Option deaktiviert.

Überwachung von Dateien und Ordnern definieren Überwachungseinträge im Ereignisprotokoll

Für NTFS-Dateien und Ordner können Sie Überwachungen einrichten. Dabei wird der Zugriff auf die spezifizierten Objekte im EREIGNISPROTOKOLL (siehe auch Abschnitt 16.2 Ereignisanzeige ab Seite 715) unter SICHERHEIT protokolliert. Da dies auch Performance kostet, sollten Sie gut überlegen, welche Dateien und Ordner wirklich überwacht werden müssen. Damit die Überwachung überhaupt stattfinden kann, muss die Überwachungsrichtlinie OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN entsprechend aktiviert werden.

Abbildung 11.73: Überwachungsrichtlinie aktivieren

Mit Doppelklick auf OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN aktivieren Sie die lokale Sicherheitsrichtlinie.

11.9 NTFS-Zugriffsrechte einstellen

459 Abbildung 11.74: Objektszugriffsversuche überwachen

Für die Überwachung lässt sich definieren, ob diese bei erfolgreicher oder fehlgeschlagener Aktion (oder beides) auf die zu überwachenden Objekte eine entsprechende Ereignismeldung generieren soll. Für die Überwachung von hochsensiblen Dateien und Ordnern kann beides wichtig sein. Für die Einrichtung einer Überwachung fügen Sie einfach einen neuen Eintrag zu der Liste der Überwachungen hinzu. Abbildung 11.75: Überwachungen einrichten

Geben Sie zunächst das Konto des Benutzers, der Gruppe oder ein Systemkonto an, für welches die Überwachung gelten soll. Danach spezifizieren Sie die zu überwachenden Aktionen.

460

11 Administration der Massenspeicher

Abbildung 11.76: Festlegen der Überwachungsaktion

Legen Sie bei der Aktion fest, ob eine erfolgreiche Durchführung oder ein fehlgeschlagener Versuch (oder beides) protokolliert werden soll. Weitere Einstellungen in diesem Dialogfenster sind: •

ÜBERNEHMEN FÜR Legt fest, inwieweit die eingestellten Überwachungen für diesen Eintrag auch auf untergeordnete Objekte übertragen werden sollen. Wollen Sie beispielsweise einen Überwachungseintrag nur durch die untergeordneten Verzeichnisse erben lassen, so ändern Sie hier die Option auf DIESEN ORDNER, UNTERORDNER. Dateien bleiben dann von diesem Eintrag unberührt.

•

ÜBERWACHUNGEN Die Liste der Überwachungen ist dabei ausführlicher in die einzelnen Unter-Überwachungen zerlegt. Sicher ist es wenig sinnvoll, alle speziell für einzelne Dateien einzustellen. Aber für einen übergeordneten Ordner, der diese Überwachungen dann vererbt, können Sie so sehr genau festlegen, was erlaubt ist und was nicht.

•

ÜBERWACHUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER... Aktivieren Sie diese Option, wenn die gesetzten Überwachungseinstellungen nur auf die erste Ebene der direkt in diesem Ver-

11.9 NTFS-Zugriffsrechte einstellen

461

zeichnis befindlichen weiteren Verzeichnisse oder Dateien vererbt werden sollen. Wollen Sie hingegen, dass sich die Überwachungseinstellungen auf alle anderen untergeordneten Dateien und Verzeichnisse des ganzen Baumes vererben, was im Normalfall gewünscht wird, lassen Sie diese Option deaktiviert.

Besitzrechte ändern Grundlage der Zugriffssteuerung im NTFS-Dateisystem über Benut- Besitz ist alles zerberechtigungen sind die Eigentumsverhältnisse an Dateien und Ordnern. Die Besitzrechte sowie die Vergabe des Rechtes auf Übernahme des Besitzes sind strikt geregelt. Haben Sie die Berechtigung zum Ändern der Besitzrechte, können Sie über das EigenschaftenFenster und die erweiterten Zugriffseinstellungen den Besitz an dem betreffenden Objekt übernehmen. Abbildung 11.77: Übernahme des Besitzes

Sie können den Besitz nur jeweils auf sich selbst übertragen, das heißt, auf den aktuell angemeldeten Benutzer. Dieser muss dazu allerdings das Recht auf Besitzübernahme haben.

11.9.3 Das Kommandozeilen-Tool CACLS.EXE Mit dem Kommandozeilen-Tool CACLS.EXE können Sie die Zugriffsberechtigungen (Access Control List – ACL) von Dateien und Ordnern

462

11 Administration der Massenspeicher setzen oder ändern. Nicht beeinflussen können Sie damit allerdings Überwachungen oder Besitzverhältnisse. Die Syntax für den Aufruf des Programms lautet: cacls cacls [] /G <user>: cacls [] /P <user>: cacls /E [] /R <user> cacls [] /D <user> In der folgenden Tabelle finden Sie die Erläuterungen zu den Bestandteilen der Syntax:

Tabelle 11.10: Optionen von cacls.exe

Option

Bedeutung

Die zu bearbeitenden Dateien oder Ordner; es sind auch Platzhalter wie *.* zulässig. Der Aufruf allein mit zeigt die gesetzten ACLs für die betreffenden Dateien und Ordner an.

/G <user>:

Die folgenden Optionen beeinflussen CACLS: /T

Änderung der ACLs im aktuellen und in allen untergeordneten Verzeichnissen

/E

Bearbeitet die bestehende ACL der betreffenden Dateien und Ordner, ohne sie zu ersetzen

/C

Fährt mit der Abarbeitung von cacls fort, auch wenn Fehler aufgetreten sind (beispielsweise Zugriffsverletzungen); eignet sich damit für den Einsatz in Stapelverarbeitungsdateien

Gewährt einem Benutzer oder einer Gruppe bestimmte in festgelegte Benutzerrechte; kann die folgenden Werte annehmen: R

Read-Only (Lesezugriff)

C

Change (Ändern; Schreiben); beinhaltet R

F

Full (Vollzugriff); beinhaltet R und C

11.10 Dateiattribute bei FAT und FAT32

Option /P <user>:

463

Bedeutung Ersetzt die Zugriffsrechte eines Benutzers oder einer Gruppe; die folgenden Rechte könne bei angegeben werden: N

None (keine Rechte)

R

Read-Only (Lesezugriff)

C

Change (Ändern; Schreiben); beinhaltet R

F

Full (Vollzugriff); beinhaltet R und C

/R <user>

Entfernet (Remove) komplett eine Zugriffsberechtigung für einen Benutzer oder eine Gruppe; muss immer zusammen mit /E angegeben werden

/D <user>

Verweigert explizit den Zugriff für einen bestimmten Benutzer oder eine Gruppe

Um CACLS in Stapeldateien zum automatisierten Abarbeiten von Auf- Einsatz in Stapelgaben einsetzen zu können, benötigen Sie eine Möglichkeit, auftreten- dateien de Bestätigungsfragen mit J (Ja) beantworten zu können. CACLS bietet dazu leider keine entsprechende Option. Sie können dazu aber den Befehl ECHO oder eine ja-Textdatei einsetzen: echo j|cacls … type ja.txt|cacls … Die Datei ja.txt hat nur einen einzigen Buchstaben J als Inhalt sowie einen Zeilenvorschub. Beachten Sie, dass sich vor und nach dem PipeSymbol (|) keine Leerzeichen befinden.

11.10 Dateiattribute bei FAT und FAT32 Die erreichbare Sicherheit für Dateien und Ordner ist auf FAT- bezie- Keine Sicherheit hungsweise FAT32-Datenträgern minimal. Generell können alle Attri- auf FAT/FAT32 bute durch alle Benutzer gesetzt und gelöscht werden. Lediglich bei Netzwerkfreigaben auf FAT/FAT32-Datenträgern sind für alle Benutzer gültige Restriktionen anwendbar. Es lassen sich die folgenden Attribute setzen:

Attribut SCHREIBGESCHÜTZT

Tabelle 11.11: Attribute bei Verhindert das Überschreiben der Datei. Viele An- FAT/FAT32

Auswirkung

wendungsprogramme setzen aber nach einer Rückfrage einfach das Attribut außer Kraft und können dann trotzdem die Datei überschreiben.

464

11 Administration der Massenspeicher

Attribut

Auswirkung

VERSTECKT

Verhindert die Anzeige der Datei mit Standardanzeigeprogrammen für Verzeichnisse (beispielsweise mit DIR). Über manche Anwendungsprogramme oder über eine entsprechende Einstellung des Windows Explorer können diese Dateien aber trotzdem sichtbar werden.

SYSTEM

Versteckt die Datei bei gleichzeitigem Schreibschutz. Soll als besonderer Schutz für Betriebssystemdateien dienen. Vorteil dieses Attributs ist, dass es sich nicht über das Eigenschaften-Fenster der Datei deaktivieren lässt (siehe weiter unten im Text).

ARCHIV

Hat keine Auswirkung auf den Zugriff; wird beispielsweise von Datensicherungsprogrammen genutzt, um die Datei als gesichert zu markieren.

Diese Attribute lassen sich in Windows 2000 über das EigenschaftenFenster oder mittels des Kommandozeilen-Tools ATTRIB.EXE setzen.

Setzen der FAT-Attribute über das Eigenschaften-Fenster Im Eigenschaften-Fenster zu einer Datei oder einem Verzeichnis können Sie die folgenden Attribute setzen oder löschen:

Attribut System

•

SCHREIBGESCHÜTZT

•

VERSTECKT

•

ARCHIV

Eine Ausnahme bildet das Attribut SYSTEM. Da dieses dem besonderen Schutz von Betriebssystemkomponenten dienen soll, wird es dem normalen Benutzer etwas schwerer gemacht, dieses zu ändern. Das ist nur mit dem Kommandozeilen-Tool ATTRIB.EXE möglich und damit dem Gesichtskreis des normalen mausverwöhnten Benutzers zunächst entzogen.

11.10 Dateiattribute bei FAT und FAT32

465 Abbildung 11.78: Setzen der FAT/ FAT32-Attribute

Das Kommandozeilen-Tool attrib.exe Das Dienstprogramm ATTRIB.EXE ermöglicht das Setzen und Löschen von FAT-Attributen von der Kommandozeile aus und ist damit auch für den Einsatz in Stapelverarbeitungsdateien geeignet. Das Tool ATTRIB.EXE funktioniert ausschließlich auf FAT/FAT32Datenträgern. NTFS-Attribute können Sie mit dem Tool CACLS.EXE setzen oder entfernen. Der Aufruf von ATTRIB ohne eine weitere Angabe zeigt die gesetzten Attribute aller Dateien im aktuellen Verzeichnis. Für das Setzen und Entfernen von Attributen gilt die folgende Syntax: attrib ± [[] [] ] [/S [/D]] In der folgenden Tabelle finden Sie die möglichen Optionen zu ATTRIB.EXE:

466 Tabelle 11.12: Optionen zu attrib.exe

11 Administration der Massenspeicher

Option ±

Erklärung Folgende Attribute sind möglich; ein »+« vor dem Attribut setzt dieses, ein »–« entfernt es: R

- Schreibschutz (Read-Only)

A

- Archiv

S

- System

H

- Versteckt (Hidden)

Geben Sie kein Attribut an, werden die aktuell gesetzten Attriburte der entsprechenden Dateien oder Verzeichnisse angezeigt. Beachten Sie die Hinweis auch weiter unten im Text.

Der Datenträger, angegeben über seinen Laufwerkbuchstaben, gefolgt von einem Doppelpunkt

Das Verzeichnis, für das ein Attribut gesetzt werden soll.

Die zu ändernde Datei; Sie können auch Platzhalter wie beispielsweise *.* oder *.txt einsetzen.

/S

Setzt oder entfernt Attribute in untergeordneten Verzeichnissen

/D

Setzt oder entfernt Attribute auch für Ordner selbst

Beim Entfernen von Attributen spielt die Reihenfolge eine Rolle. So ist Reihenfolge beim Entfernen beachten es nicht möglich, für eine Datei, die VERSTECKT und SCHREIBGESCHÜTZT gesetzt ist, allein das Attribut SCHREIBGESCHÜTZT zurückzusetzen. Beispiel

Für die Datei Dokument.txt werden mit ATTRIB.EXE alle Attribute gesetzt: attrib +R +S +H dokument.txt Beim Setzen spielt die Reihenfolge, mit der Sie die Attribut-Optionen angeben, noch keine Rolle (Sie hätten auch +H +R +S eingeben können). Beim Löschen müssen Sie beachten: •

SYSTEM geht vor alle anderen Attribute und muss zuerst entfernt werden

•

VERSTECKT geht vor SCHREIBGESCHÜTZT und muss davor entfernt werden

Für das Entfernen aller Attribute unserer Datei Dokument.txt müssen Sie den Aufruf in der Reihenfolge tätigen:

11.11 Weitere Eigenschaften von Datenträgern

467

attrib -S dokument.txt attrib -H dokument.txt attrib -R dokument.txt Alternativ können Sie auch folgendes schreiben: attrib -S -H -R dokument.txt Wenn Sie alle drei Attribute auf einmal entfernen, ist auch folgende Reihenfolge möglich: attrib -S –R -H dokument.txt Im letzten Beispiel ist darauf zu achten, dass –S am Anfang steht.

11.11 Weitere Eigenschaften von Datenträgern Eigenschaften eines Datenträgers definieren oder ändern Sie in der Datenträgerverwaltung über das entsprechende Kontextmenü oder das Hauptmenü VORGANG | ALLE TASKS | EIGENSCHAFTEN. Sie können die Eigenschaften auch über das Kontextmenü im Windows Explorer aufrufen. Abbildung 11.79: Eigenschaften eines Datenträgers aufrufen

Es öffnet sich das Eigenschaften-Dialogfenster. Hier sind neben allgemeinen Informationen zum Datenträger weitere Funktionen für das Datenträgermanagement erreichbar.

468

11 Administration der Massenspeicher

Abbildung 11.80: EigenschaftenDialogfenster

Die folgenden Funktionen können Sie über das EigenschaftenDialogfenster ausführen: •

Umbenennen eines Datenträgers

•

Bereinigen des Datenträgers von temporären Dateien und Deinstallation von Software

•

Aktivieren der generellen Komprimierung für den Datenträger

•

Indizierung für schnellere Dateisuche aktivieren

•

Überprüfung des Datenträgers auf logische und physische Datenfehler

•

Start der Datensicherung

•

Start des Defragmentierungsprogramms

•

Änderung von Hardwareeinstellungen zu Datenträgern und Hilfe für die Problembehandlung

•

Einrichten der Netzwerkfreigaben und Offline-Verfügbarkeit von Daten

•

Einstellen von benutzerorientierten Sicherheitseinstellungen

•

Aktivieren und Konfigurieren von Datenträgerkontingenten

11.11 Weitere Eigenschaften von Datenträgern Alle diese Funktionen verbergen sich hinter den sechs Registerkarten des Eigenschaften-Fensters und werden in den folgenden Abschnitten detailliert erklärt. Das Ändern der Eigenschaften eines Datenträgers ist dem Administra- AdministratorRechte tor oder einem entsprechend berechtigten Benutzer vorbehalten.

11.11.1

Umbennen eines Datenträgers

Die Datenträgerbezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf einen Datenträger werden allerdings nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe auch Abschnitt 11.7 Datenträgerzugriff ändern auf Seite 435). Eine Datenträgerbezeichnung können Sie über die folgenden Verfahren ändern: •

Im Windows Explorer über Arbeitsplatz Gehen Sie über die Option UMBENENNEN des Kontextmenüs des Datenträgers, wird die Datenträgerbezeichnung zu einem editierbaren Feld und kann geändert werden.

•

Im Eigenschaften-Dialogfenster (siehe Seite 467) In der Allgemeinen Übersichtsseite des Eigenschaften- Dialogfenster des Datenträgers können Sie die Datenträgerbezeichnung direkt ändern.

FAT-Datenträger können Sie mit einer bis zu 11 Zeichen umfassenden Bezeichnung versehen. Ausgenommen sind die folgenden Zeichen: * ? / \ | . , ; : + = [ ] < > " Die Datenträgerbezeichnung für NTFS-Datenträger hingegen kann 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen.

11.11.2

Bereinigen des Datenträgers

Über den Punkt LAUFWERK BEREINIGEN in der allgemeinen Auswahl zu den Datenträgereigenschaften können Sie ein nützliches Werkzeug aufrufen, welches Ihnen hilft, überflüssige Daten zu finden. Dies können beispielsweise temporäre Internet-Dateien oder offline abgelegte Datenbestände sein, auf die Sie vielleicht verzichten könnten. Sinnvoll ist der Einsatz dieser Bereinigung insbesondere dann, wenn Sie nur noch wenig Speicherplatz auf dem Datenträger zur Verfügung haben.

469

470 cleanmgr.exe

11 Administration der Massenspeicher Das eigentliche Dienstprogramm für die Datenträgerbereinigung ist CLEANMGR.EXE, welches Sie auch direkt über START | AUSFÜHREN aufrufen können. Geben Sie hier den gewünschten Datenträger für die Bereinigung an.

Abbildung 11.81: Auswahl des Datenträgers bei cleanmgr.exe

Nach der Auswahl des Datenträgers oder dem direkten Start über das Eigenschaften-Fenster erfolgt eine Überprüfung des Datenträgers auf entfernbare Dateien, die je nach Datenumfang relativ lange dauern kann. Nach erfolgter Überprüfung wird das Ergebnis präsentiert. Bei intensiver Internetnutzung wird bei vielen Nutzern der Eintrag mit den temporären Internetdateien einen größeren Umfang einnehmen. Abbildung 11.82: Ergebnis der Überprüfung

Vorsicht bei temporären Internetdateien

Insbesondere die temporären Internetdateien können Sie bedenkenlos löschen. Gegenüber solchen Dateien ist sowieso Vorsicht geboten. Unter den durch den Internet Explorer temporär abgelegten Dateien können sich auch Webseiten befinden, die beispielsweise Kontostände oder andere vertrauliche Informationen enthalten. Sicherer ist es, keine Speicherung von Webseiten und Webelementen temporär zuzulas-

11.11 Weitere Eigenschaften von Datenträgern

471

sen. Das kann allerdings ein wenig Performance kosten, da bestimmte Elemente wiederholt über das Web geladen werden müssen. Aktivieren Sie die Einträge (siehe Abbildung 11.82), die gelöscht werden sollen. Über DATEIEN ANZEIGEN haben Sie die Möglichkeit, noch einmal zu überprüfen, ob die ausgewählten Daten auch wirklich gelöscht werden können.

11.11.3

Überprüfung eines Datenträgers auf Fehler

Unter Windows 2000 haben Sie Dienstprogramme, mit denen Sie die Datenträger auf Fehler untersuchen beziehungsweise Fehlerbehebung durchführen können. Dabei haben Sie die Auswahl zwischen einem grafischen und einem textorientierten Programm. Damit eine Fehlerbehebung durchgeführt werden kann, ist generell Exklusiver Zugriff exklusiver Zugriff auf den entsprechenden Datenträger notwendig. notwendig Das bedeutet, dass keine Dateien geöffnet sein dürfen. Während der Fehlerprüfung und –korrektur im exklusiven Zugriff können keine anderen Anwendungen oder Benutzer, die beispielsweise über Netzwerkfreigaben Zugang haben, den Datenträger benutzen. Für den Bootdatenträger von Windows 2000, auf dem sich ständig Überprüfung mit eine ganze Reihe von wichtigen Systemdateien im Zugriff durch das chkdsk.exe beim Betriebssystem befinden, kann damit keine direkt Fehlerbehebung Systemstart erfolgen. Datenträger, auf die nicht exklusiv zugegriffen werden kann, werden durch das jeweilige benutzte Dienstprogramm für die Fehlerbehebung markiert. Beim nächsten Systemstart erfolgt dann automatisch die Überprüfung und Fehlerkorrektur mittels des Kommandozeilen-Tools CHKDSK.EXE.

Grafisches Programm für die Fehlersuche und -behebung Über den Punkt EXTRAS des Eigenschaften-Fensters eines Datenträgers können Sie das grafische Dienstprogramm für die Überprüfung auf Fehler starten. Abbildung 11.83: Auswahl zur Art der Überprüfung

472

11 Administration der Massenspeicher Für den Umfang und die Art der Überprüfung können Sie dabei aus zwei Voreinstellungen auswählen: •

DATEISYSTEMFEHLER AUTOMATISCH KORRIGIEREN Es werden auftretende Fehler im Dateisystem automatisch korrigiert. Es erfolgt jedoch keine sektorenweise Überprüfung des Datenträgers. Diese Option spart Zeit und reicht für eine normale Prüfung aus, wenn Sie sicher sein können, dass das Speichermedium keine physischen Defekte aufweist.

• Vorteil bei NTFS

NACH FEHLERHAFTEN SEKTOREN SUCHEN UND WIEDERHERSTELLUNG ... Diese Option können Sie alternativ zur ersten benutzen und enthält bereits die Überprüfung auf Dateisystemfehler. Zusätzlich erfolgt aber auch eine sektorweise Überprüfung des Speichermediums. Nur das NTFS-Dateisystem ist in der Lage, auftretende Sektorfehler durch Kennzeichnung und Umadressierung von Clustern wirksam zu beheben.

Das Auftreten von Sektorfehlern, die sich mit der Zeit eventuell häufen, deutet auf ein ernstes Problem mit dem Speichermedium hin. Es empfiehlt sich ein baldiger Austausch des Mediums. Die Merkmale und Eigenschaften des NTFS-Dateisystems werden unter anderem näher in Kapitel 5 Dateisysteme ab Seite 129 behandelt.

Das Kommandozeilen-Programm chkdsk.exe Mit Hilfe des Kommandozeilen-Programms CHKDSK.EXE können Sie mit Einstellung verschiedener Parameter die Überprüfung eines Datenträgers mehr beeinflussen als mit dem grafischen Tool. NTFS-Datenträger

Die Syntax für den Aufruf der Überprüfung eines NTFS-Datenträgers lautet: chkdsk

FAT-Datenträger

[] [/F] [/V] [/R] [/X] [/I] [/C] [/L[:]]

Für die Prüfung und Fehlerbehebung eines FAT beziehungsweise FAT32-Datenträgers können Sie folgende Syntax benutzen: chkdsk

[ [[]]]] [/F] [/V] [/R] [/X]

In der folgenden Tabelle finden Sie alle Optionen zu CHKDSK.EXE:

11.11 Weitere Eigenschaften von Datenträgern Tabelle 11.13: Optionen von Der zu überprüfende FAT oder FAT32-Datenträger; gül- chkdsk.exe

Option

Erklärung

tig sind die Angabe von: - Laufwerksbuchstaben, gefolgt von Doppelpunkt - Bereitstellungspunkt - Datenträgername und

Sie können ein bestimmtes Verzeichnis oder ausgewählte Dateien überprüfen lassen (nicht bei NTFS).

/F

Es wird die Fehlerbehebung mit durchgeführt. Das ist allerdings nur dann möglich, wenn der Datenträger für den exklusiven Zugriff durch chkdsk.exe gesperrt werden kann. Anderenfalls erfolgt eine Meldung mit der rückfrage, ob beim nächsten Systemstart eine automatische Prüfung mit Fehlerbehebung veranlasst werden soll. Ohne diese Option wird der Datenträger lediglich überprüft.

/V

Es werden ausführliche Meldungen während der Konvertierung angezeigt.

/R

Es wird auch eine Überprüfung auf fehlerhafte Sektoren vorgenommen und versucht, Daten wieder herzustellen. Diese Option bedingt den Schalter /F.

/L:

Verändert die Größe der NTFS-Protokolldatei. Ohne Größenangabe wird die aktuelle Größe angezeigt.

/X

Beendet selbständig vorübergehend die Bereitstellung des Datenträgers in einem NTFS-Ordner; damit zum vollautomatischen Ablauf in Stapelverarbeitungsdateien geeignet.

/I

Überprüfung ohne Berücksichtigung von NTFSIndexeinträgen; damit schnellerer Durchlauf möglich

/X

Überprüfung ohne Berücksichtigung von Zyklen innerhalb der NTFS-Ordnerstruktur; damit wie bei /I ein schnellerer Durchlauf möglich

11.11.4

Datenträgerkontingente festlegen

Die Einrichtung von Datenträgerkontingenten können Sie lokal auch unter Windows 2000 Professional benutzen, um Speicherplatz auf Datenträgern für bestimmte Benutzer zu beschränken. Die folgenden Voraussetzungen müssen gegeben sein, damit Datenträgerkontingente erstellt werden können:

473

474 AdministratorenRecht Nur für NTFSDatenträger!

11 Administration der Massenspeicher •

Diese Einrichtungsfunktion ist nur Administratoren oder entsprechend autorisierten Benutzern gestattet.

•

Es können nur für NTFS-Datenträger Kontingente eingerichtet werden, die sich auf dynamischen oder Basisfestplatten befinden.

Datenträgerkontingente sind Bestandteil der Eigenschaften eines logischen NTFS-Datenträgers (siehe Seite 467). Sie können im Eigenschafts-Dialogfenster unter KONTINGENT die allgemeinen Einstellungen zu den Datenträgerkontingenten bestimmen. Abbildung 11.84: Allgemeine Einstellungen zu Kontingenten

Die folgenden Optionen stehen hier zur Verfügung: •

KONTINGENTVERWALTUNG AKTIVIEREN Hier bestimmen Sie, ob die Datenträgerkontingente für diesen Datenträger überhaupt verwaltet werden sollen. Ist diese Option deaktiviert, stehen alle weiteren Optionen nicht zur Verfügung.

•

SPEICHER BEI KONTINGENTÜBERSCHREITUNG VERWEIGERN Legen Sie fest, was bei einer Kontingentüberschreitung durch einen Benutzer, für den ein Datenträgerkontingent eingerichtet wurde, passieren soll. Lassen Sie diese Option deaktiviert, kann der Benutzer weitere Daten speichern. Sie können aber die Überschreitung im Ereignisprotokoll registrieren lassen (siehe weiter unten in diesem Abschnitt).

11.11 Weitere Eigenschaften von Datenträgern

475

Ist diese Option aktiv, kann bei Kontingentüberschreitung der betreffende Benutzer keine weiteren Daten mehr auf diesem Datenträger abspeichern. •

SPEICHERPLATZ BESCHRÄNKEN Geben Sie hier an, ob eine Standardbeschränkung für diesen Da- Standardbetenträger eingerichtet werden soll. Diese Standardbeschränkung schränkung gilt dann automatisch für alle neuen Benutzer des Datenträgers. Eine Standardbeschränkung muss nicht definiert werden, wenn Sie für jeden Benutzer individuell eine Beschränkung einrichten. Für die übersichtlichere Darstellung können Sie als Speichermaß zwischen den folgenden Einheiten auswählen: KB = 1.024 Byte MB = 1.024 KB GB = 1.024 MB TB

= 1.024 GB

PB

= 1.024 TB

EB

= 1.024 PB

Zusätzlich zur Standardbeschränkung können Sie auch eine Warnstufe festlegen, bei der Sie eine Speichergröße angeben, mit deren Erreichen ein Eintrag im Ereignisprotokoll vorgenommen werden soll. •

ANMELDEOPTIONEN DES KONTINGENTS Hier können Sie festlegen, dass ein Eintrag bei Überschreitung des Eintrag in das Kontingents beziehungsweise der Warnstufe in das Ereignisproto- Ereignisprotokoll koll vorgenommen werden soll. Eine Meldung auf den Bildschirm hingegen erfolgt nicht, auch wenn dies die Option missverständlich suggeriert.

Neben den allgemeinen Einstellungen können Sie auch die Kontingente für jeden Benutzer individuell einrichten. Öffnen Sie dazu die Kontingentverwaltung über die Schaltfläche KONTINGENTEINTRÄGE. Abbildung 11.85: Kontingenteinträge verwalten

476

11 Administration der Massenspeicher Es werden alle eingerichteten Kontingente angezeigt. Mit Hilfe der Pfeiltasten können Sie in der Liste der Einträge nach oben und nach unten scrollen.

Ein neues Kontingent einrichten Über das Hauptmenü oder in der Symbolleiste fügen Sie einen neuen Kontingenteintrag hinzu. Es öffnet sich ein Dialogfenster für die Erstellung von Kontingenteinträgen. Abbildung 11.86: Neuen Kontingenteintrag definieren

Suchen in...

Unter SUCHEN IN können Sie den lokalen Computer oder ein anderes Netzwerk-Containerobjekt bestimmen, für welches Kontingente eingerichtet werden sollen. Hier werden wir uns nur auf die lokalen Einstellungen für eine Windows 2000 Professional-Arbeitsstation beschränken. Die für Netzwerk relevanten Einstellungen werden ausführlich in Band II beschrieben.

Hinzufügen von Benutzern

Im oberen Bereich des Fensters sehen Sie die Benutzer, die für diese Arbeitsstation eingerichtet sind. Markieren Sie einen oder mehrere Benutzer, für die ein Kontingenteintrag für diesen Datenträger eingerichtet werden soll. Über HINZUFÜGEN erscheint der oder die betreffenden Benutzer im unteren Teil des Fensters.

Namen überprüfen

Sie können einen Benutzernamen inklusive Netzwerk-Notation auch per Hand in den unteren Auswahlbereich eintragen. Mit NAMEN ÜBERPRÜFEN werden die Einträge dann durch Windows 2000 auf Richtigkeit kontrolliert. Dies macht vor allem für Netzwerkobjekte Sinn,

11.11 Weitere Eigenschaften von Datenträgern

477

die nur über langsame Fernverbindungen erreichbar sind oder bei umfangreichen Benutzerlisten. Nach der Bestimmung der Benutzer können Sie die Größe des beschränkten Speicherplatzes festlegen. Abbildung 11.87: Speicherplatzbeschränkung festlegen

Haben Sie mehrere Benutzer bestimmt, erscheint unter BENUTZER nur Speicherplatz der Eintrag MULTIPLE. Bei nur einem Benutzer steht hier der Benutzer- beschränken name. Unter SPEICHERPLATZ BESCHRÄNKEN geben Sie die Limitierung des Speicherplatzes auf dem Datenträger in der gewünschten Einheit (siehe in diesem Abschnitt weiter oben) an. Dazu können Sie eine Warnstufe festlegen, ab der das System einen Eintrag in das Ereignisprotokoll vornehmen soll. Entsprechende Einträge in das Ereignisprotokoll werden nur dann vorgenommen, wenn in den allgemeinen Einstellungen dies auch eingestellt ist (siehe Seite 474). Geben Sie in diesem Dialogfenster keine Beschränkung an, indem Sie Benutzer mit unbedie Option SPEICHERPLATZ NICHT BESCHRÄNKEN aktivieren, bekommen schränktem Zugriff die betreffenden Benutzer einen hinsichtlich des Speicherplatzes unbeschränkten Zugriff auf den Datenträger. Das ist dann sinnvoll, wenn Sie beispielsweise aus einer Anzahl normaler Benutzer einige auswählen wollen, die Sie explizit keinen Beschränkungen aussetzen wollen. Haben Sie in der Liste der Benutzer eines neuen Kontingenteintrages Keine doppelte Benutzer aufgenommen, für die bereits ein Kontingent auf diesem Da- Kontingent-Vertenträger besteht, wird dies durch eine entsprechende Fehlermeldung gabe! angezeigt. Abbildung 11.88: Fehlermeldung: Benutzer hat schon ein Kontingent

Diese Fehlermeldung ist nicht weiter tragisch. Es wird nur das Kontingent desjenigen Benutzers nicht neu eingetragen, für den bereits eines existiert. Alle anderen Kontingente werden installiert.

478

11 Administration der Massenspeicher Kontingente ändern Einen Kontingenteintrag ändern Sie durch Doppelklick der in der Symbolleiste. Sie können dann für den Eintrag die Speicherplatzbeschränkungen entsprechend modifizieren.

Kontingente für mehrere Benutzer ändern

Sie können die Kontingente auch gleichzeitig für mehrere Benutzer anpassen. Markieren Sie einfach die gewünschten Einträge (gedrückte Maustaste + SHIFT- beziehungsweise STRG-Taste) und klicken Sie dann auf das oben gezeigte Symbol. Geben Sie im dann folgenden Dialogfenster die gewünschten neuen Speicherbeschränkungen ein.

Abbildung 11.89: Gleichzeitiges Ändern mehrerer Kontingente

Kontingent löschen Wollen Sie ein Datenträgerkontingent für einen Benutzer entfernen, markieren Sie dieses und drücken einfach die ENTF-Taste. Sie können gleichzeitig auch mehrere Einträge markieren. Für ein generelles Deaktivieren der Kontingente reicht aber auch die Abschaltung der entsprechenden Option in den allgemeinen Einstellungen (siehe Seite 474).

Datenträgerkontingente im Netzwerkbetrieb Die Einrichtung von Datenträgerkontingenten als Teil der Benutzereinstellungen im Active Directory für den Windows 2000 Serverbetrieb ist Inhalt des Bandes II.

11.12 Indexdienst einrichten

479

11.12 Indexdienst einrichten Der Indexdienst von Windows 2000 ermöglicht eine effiziente Suche nach Dateien über Angaben zu speziellen Eigenschaften und Inhalten (siehe zu den Grundlagen auch Abschnitt 4.6 ab Seite 123). Im Allgemeinen macht es für eine professionelle Nutzung von Windows 2000 als Betriebssystem wenig Sinn, alle Dateien auf allen Datenträgern zu indizieren. In der Regel haben Sie spezielle Verzeichnisse, die der Datenspeicherung dienen. Der vorliegende Abschnitt soll Ihnen helfen, den Indexdienst für eine effektive Nutzung einzurichten. Für die Einrichtung über das Snap-In benötigen Sie Administratorrechte.

11.12.1

Indexdienst aktivieren

Standardmäßig wird der Indexdienst bei Windows 2000 mit installiert, ist jedoch nicht aktiv. Sie aktivieren den Indexdienst, indem Sie in der Computerverwaltung (erreichbar über ARBEITSPLATZSYMBOL | VERWALTEN) für den Indexdienst das Kontextmenü aufrufen und den Befehl Starten auslösen. Abbildung 11.90: Starten des Indexdienstes

Voreingestellt ist ein Katalog System, der eine Konfiguration für die Indizierung aller Dateien der angeschlossenen Festplatten-Datenträger beinhaltet.

480 Indexdienst und IIS

11 Administration der Massenspeicher Ist der Internet Information Server (IIS) installiert, erstellt der Indexdienst auch automatisch einen Katalog Web, der die Indizierung für alle Dateien und Ordner des Webordners \INETPUB vorsieht. Bei der ersten ausgelieferten Version von Windows 2000 (alle Versionen) gibt es eine Sicherheitslücke im Zusammenhang mit dem Indexdienst. Bei installiertem Internet Information Server und aktivem Indexdienst kann es dazu kommen, dass Benutzer über die WebSuchmaschine des IIS auch an Daten kommen, die nicht für die Veröffentlichung freigegeben worden sind. Auf der folgenden Webseite können Sie den entsprechenden Patch laden, der die oben genannte Sicherheitslücke schließt:

Patch

www.microsoft.com/windows2000/downloads/critical/q253934/defau lt.asp Denken Sie nur daran, nach jeder Installation von WindowsKomponenten diesen Patch erneut auszuführen.

Anpassung empfehlenswert

Es empfiehlt sich, voreingestellte Katalog-Konfigurationen an die tatsächlichen Erfordernisse anzupassen. Unnötig große Indizes verbrauchen nur unnötig Speicherplatz und Prozessorleistung. Die Anpassung beziehungsweise Neuanlage von Katalogen ist Inhalt des Abschnittes 11.12.3 Kataloge einrichten und konfigurieren ab Seite 484.

11.12.2

Indexdienst anpassen

Für den Indexdienst selbst können Sie eine Reihe von Einstellungen festlegen, die sich stark auf die Performance und den Leistungsumfang auswirken.

Eigenschaften des Indexdienstes Über das Kontextmenü zum Snap-In Indexdienst erhalten Sie über EIGENSCHAFTEN das entsprechende Dialogfenster:

11.12 Indexdienst einrichten

481 Abbildung 11.91: EigenschaftenFenster des Indexdienstes

Für alle durch den Indexdienst verwalteten Kataloge können Sie ver- Vererbbare erbbare Einstellungen definieren. Das erleichtert die Arbeit bei großen Einstellungen Organisationsstrukturen, die eine Vielzahl von Katalogen enthalten können, erheblich. Grundlegende Einstellungen brauchen Sie so nur einmal festzulegen. Alle weiteren Kataloge können dann darauf zugreifen. Alle globalen Einstellungen zum Indexdienst sind als vererbbare Einstellungen ausgelegt. Die folgende Aufstellung gibt Ihnen einen Überblick über diese Einstellungen: •

DATEIEN MIT UNBEKANNTER ERWEITERUNG INDIZIEREN Bei der Indizierung von Dateien spielen Dokumentfilter eine wichtige Rolle (siehe auch Abschnitt 4.6.2 ab Seite 125). Die Liste der zurzeit verfügbaren Dateifilter ist im Moment noch sehr übersichtlich. Dateitypen, für die kein spezieller Dokumentfilter verfügbar ist, können nur mit einem allgemeinen Filter indiziert werden. Dabei werden nur bestimmte Standardeigenschaften und mit Einschränkungen Inhalte extrahiert. Wollen Sie verhindern, dass Dateien, für die keine Dokumentfilter installiert sind, indiziert werden, deaktivieren Sie diese Option. Allerdings können diese Dateien über eine Textsuche dann gar nicht mehr gefunden werden.

•

ZUSAMMENFASSUNG ERZEUGEN Für die Ausgabe des Suchergebnisses können Sie bestimmen, ob eine Textzusammenfassung mit generiert werden soll. Die Größe dieser Zusammenfassung können Sie dabei in Zeichen angeben.

Indizierung ohne Dokumentfilter

482

11 Administration der Massenspeicher Standardmäßig wird eine Größe von 320 Zeichen angenommen (4 Zeilen á 80 Zeichen). •

ALIAS FÜR NETZWERKFREIGABEN AUTOMATISCH HINZUFÜGEN Werden Verzeichnisse für die Indizierung konfiguriert, die für den Zugriff über das Netzwerk freigegeben sind, wird bei Aktivierung dieser Option der Alias der Freigabe automatisch an den Benutzer mit zurückgegeben.

Diese Optionen können Sie für jeden Katalog individuell einstellen. Die Standardvorgabe für Kataloge ist die Übernahme der Eigenschaften (Vererbung), die Sie für den Indexdienst global festgelegt haben.

Leistung des Indexdienstes anpassen Schnellere Aktualisierung

Der Indexdienst läuft vorrangig im Hintergrund. Sie können aber bestimmen, wie stark dieser Dienst den Hauptprozessor in Anspruch nehmen darf. Möchten Sie eine hohe Leistungsfähigkeit des Indexdienstes, die sich darin ausdrückt, dass geänderte Dokumente schnellstmöglich aktualisiert im Index erscheinen und mehr Ressourcen für Abfragen vorgehalten werden, geben Sie dem Indexdienst mehr Priorität. Das geht aber zu Lasten der Performance anderer Applikationen.

Mehr Power für Applikationen

Geht es hingegen darum, anderen Anwendungsprogrammen maximale Rechenkapazität zur Verfügung zu stellen, geben Sie dem Indexdienst weniger Priorität. Änderungen an Dokumenten werden dann aber deutlich später im Index Berücksichtigung finden. Diese Einstellungen zur Leistung des Indexdienstes können Sie nur vornehmen, wenn dieser nicht aktiv ist. Beenden Sie über das entsprechende Kontextmenü in der Managementkonsole COMPUTERVERWALTUNG den Indexdienst. Über das Kontextmenü des Indexdienstes ALLE TASKS | LEISTUNG OPTIMIEREN oder über das Hauptmenü VORGANG | ALLE TASKS | LEISTUNG OPTIMIEREN öffnen Sie das Dialogfenster für die Leistungseinstellungen.

11.12 Indexdienst einrichten

483 Abbildung 11.92: Leistung des Indexdienstes einstellen

Das Dialogfenster für die Leistungseinstellung bietet Ihnen drei vorgefertigte Leistungsprofile sowie die Möglichkeit der benutzerdefinierten Einstellung. Abbildung 11.93: Benutzerdefinierte Leistungseinstellung

Die vorgefertigten Einstellungen haben die folgende Bedeutung:

484

11 Administration der Massenspeicher •

HÄUFIG Der Indexdienst wird häufig in Anspruch genommen. Das bedeutet, dass Änderungen an Dokumenten schnellstmöglich im Index aktualisiert sowie Abfragen schnell beantwortet werden müssen. Damit ist der Indexdienst stets aktiv und benötigt dementsprechend viel Rechenleistung sowie hält Ressourcen vor für häufige und parallele Abfragen. Auf leistungsschwachen Computern oder bei wenig verfügbarem physischen Hauptspeicher sollten Sie diese Option nicht benutzen.

•

NUR GELEGENTLICH Der Indexdienst wird seltener in Anspruch genommen. Aktualisierungen des Index werden nur dann vorgenommen, wenn gerade viel freie Rechenkapazität zur Verfügung steht, beispielsweise wenn Sie nicht am System arbeiten und die CPU nur mit dem Bildschirm schonen beschäftigt ist. Änderungen an Dokumenten sind so erst nach einer Verzögerung im Index erfasst.

Noch nie = Deaktivierung

•

Benutzerdefinierte Einstellung

Die benutzerdefinierte Einstellung erlaubt eine feinere Anpassung des Leistungsverhaltens des Indexdienstes. Sollen an einem Einzelplatzcomputer beispielsweise geänderte Dokumente möglichst schnell im Index aufgenommen werden, sollten Sie hier den Schieber im Feld INDIZIERUNG auf SOFORT stellen. Führt der Benutzer nur lokal an seinem Rechner Volltextsuchen in Dokumenten durch, reicht eine Einstellung des Schiebers im Feld ABFRAGEN auf einen Wert zwischen NIEDRIGE KAPAZITÄT und Mittelstellung.

Indexdienst neu starten

Nach der Einstellung des Leistungsverhaltens muss der Indexdienst wieder neu gestartet werden (über den Punkt STARTEN des Kontextmenüs).

NOCH NIE Diese Option kann ein wenig in die Irre führen. Eine bessere Übersetzung hätte heißen können: Indexdienst deaktivieren. Die einzige Auswirkung dieser Option auf den Indexdienst ist nämlich dessen Abschaltung.

11.12.3

Kataloge einrichten und konfigurieren

Für die Nutzung des Indexdienstes können Sie sogenannte Kataloge anlegen. Diese enthalten Einträge für die lokalen Verzeichnisse oder im Netzwerk freigegebenen Ordner, die in die Indizierung eingeschlossen oder explizit von dieser ausgeschlossen werden sollen. Dazu können Sie weitere Parameter zum Verhalten des Indexdienstes einstellen.

11.12 Indexdienst einrichten

485

Die Festlegungen, welche Dateien und Ordner wie zu indizieren sind, Anpassung oder können Sie folgendermaßen treffen: Neuanlage 1. Sie passen den voreingestellten Katalog System nach Ihren Bedürfnissen an. 2. Sie erstellen alternativ zu System einen oder mehrere neue Kataloge. Dann sollten Sie aber den voreingestellten System-Katalog deaktivieren oder entfernen.

Einen neuen Katalog erstellen Einen neuen Katalog erstellen Sie über das Kontextmenü des Snap-Ins Indexdienst NEU | KATALOG oder über das Hauptmenü VORGANG | NEU | KATALOG. Geben Sie im dann folgenden Dialogfenster einen Namen für den Katalog sowie seinen Speicherort an. Abbildung 11.94: Neuen Katalog anlegen

Als Speicherort kann ein beliebiger Ort auf einem Datenträger dienen. Speicherort Aus Gründen der Sicherheit und der Performance empfiehlt es sich, hier ausschließlich NTFS-Datenträger zu benutzen. Der Katalog selbst kann allerdings auch Indizes für FAT-formatierte Datenträger aufnehmen.

486

11 Administration der Massenspeicher Kataloge, die Sie auf FAT beziehungsweise FAT32-Datenträgern erstellen, können von allen Benutzern eingesehen werden. Nur Kataloge auf NTFS-Datenträgern können aufgrund der NTFS-Benutzerrechte zuverlässig geschützt werden.

Verzeichnisse für die Indizierung konfigurieren Verzeichnisse anlegen

Der neue Katalog ist leer und enthält noch keine Konfigurationsinformationen über zu indizierende Verzeichnisse. Fügen Sie über das entsprechende Kontextmenü nun die Verzeichnisse hinzu, für die eine Indizierung erfolgen soll.

Abbildung 11.95: Verzeichnis hinzufügen

Im darauf folgenden Dialogfenster können Sie den Pfad zu dem zu indizierenden Verzeichnis angeben. Dabei sind Sie nicht auf lokale Verzeichnisse beschränkt. Sie können über Durchsuchen auch ein freigegebenes Verzeichnis auf einem im Netzwerk befindlichen PC oder Server mit in Ihren Katalog aufnehmen. Abbildung 11.96: Verzeichnis in Katalog aufnehmen

11.12 Indexdienst einrichten

487

Für die Aufnahme eines Netzwerkverzeichnisses in den Index Ihres NetzwerkverzeichKataloges können Sie ein spezielles Konto mit zugehörigem Kennwort nisse indizieren angeben. Zu beachten ist allerdings, dass durch die Indizierung eines Netzwerkverzeichnisses Datenverkehr im Netz erzeugt wird. Wesentlich besser ist eine Indizierung auf dem bereitstellenden Win- Client-Serverdows 2000-Computer beziehungsweise dem Windows 2000-Server. Prinzip Die Abfragen werden dann über das Client-Server-Prinzip über den Index des bereitstellenden Computers beantwortet. Die Netzwerklast wird dabei sowohl für die Erstellung und Aktualisierung des Index als auch für die Abfragen signifikant verringert. Mehr zu den Einstellungen und Optimierungen des Indexdienstes auf einem Windows 2000 Server-System erfahren Sie in Band II. Für jeden Katalog können Sie auch die Verzeichnisse spezifizieren, die Ausschluss von Sie nicht indizieren lassen möchten. Priorität hat dabei immer der Verzeichnissen Ausschluss. Das bedeutet, dass ein Verzeichnis, welches explizit von der Indizierung ausgeschlossen worden ist, keine Unterverzeichnisse enthalten kann, die Sie indizieren möchten. Haben Sie beispielsweise ein Verzeichnis D:\Daten\Texte zur Indizie- Ein Beispiel rung in Ihren Katalog aufgenommen, für D:\Daten allerdings einen Eintrag mit explizitem Ausschluss aus dem Indexdienst angelegt, wird auch D:\Daten\Texte nicht indiziert. Mit dem expliziten Ausschluss von Verzeichnissen sollten Sie deshalb sorgsam umgehen. Besser ist eine gezielte Auswahl nur der Verzeichnisse, die indiziert werden sollen.

Verzeichnisse auf Änderungen überprüfen Neben dem automatischen Prüfen des Indexdienstes können Sie auch Manuelle eine manuell eine Überprüfung von Verzeichnissen auf Änderungen Prüfung starten durchführen. Dies ist beispielsweise dann sinnvoll, wenn dem Indexdienst eine niedrige Priorität eingeräumt wurde und dieser deshalb regelmäßig bei Benutzeraktivitäten anhält (siehe auch Seite 482). Über das Kontextmenü zu einem Verzeichnis können Sie im Snap-In des Indexdienstes diese Überprüfung starten.

488

11 Administration der Massenspeicher

Abbildung 11.97: Verzeichnisse explizit auf Änderungen überprüfen

Art der Überprüfung

Sie haben die Möglichkeit, die Überprüfung inkrementell oder vollständig durchführen zu lassen:

Inkrementell

•

Inkrementelle Überprüfung Bei der inkrementellen Überprüfung werden nur die Dokumente erneut indiziert, die noch nicht im Katalog verzeichnet sind oder als verändert erkannt worden sind. Dabei haben Sie bei der Verwendung eines NTFS-Datenträgers einen entscheidenden Vorteil: Hier wird zur Erkennung der geänderten Dateien das NTFSÄnderungsjournal genutzt. Insbesondere bei großen Datenbeständen wird damit diese Funktion drastisch beschleunigt, da nur noch das Änderungsjournal durchsucht werden muss und nicht das gesamte Verzeichnis.

Vollständig

•

Vollständige Überprüfung Bei der vollständigen Überprüfung werden alle im Verzeichnis befindlichen Dateien erneut indiziert. Dies kann je nach Datenmenge sehr viel Zeit in Anspruch nehmen und sollte nur unter bestimmten Voraussetzungen durchgeführt werden: -

Sie haben einen neuen Dokumentfilter installiert oder einen bestehenden entfernt, beziehungsweise ein Filter wurde geändert oder aktualisiert (siehe auch Abschnitt 4.6.2 ab Seite 125).

-

Sie haben Katalogeigenschaften geändert (siehe Seite 485).

-

Sie haben Einstellungen des Eigenschaftencache geändert.

11.12 Indexdienst einrichten -

Sie haben eine oder mehrere Ausnahmewortlisten geändert.

-

Sie haben eine oder mehrere weitere Sprachen installiert.

11.12.4

489

Dateien, die nicht indiziert werden

Die folgenden Dateien werden nicht indiziert, auch wenn sie sich in einem zu indizierenden Verzeichnis befinden: •

Verschlüsselte Dateien Dateien, die Sie durch das verschlüsselnde Dateisystem (EFS; siehe Sicherheit geht auch Abschnitt 5.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite vor! 166) chiffriert worden sind, können nicht indiziert werden.

•

Dateien ohne gesetztes Index-Attribut Benutzen Sie den Indexdienst für Dateien auf NTFS-Datenträgern, NTFS-Attribut beachten Sie, dass hier ein Indizierungsattribut existiert. Ist dieses beachten erweiterte NTFS-Attribut nicht gesetzt, wird diese Datei auch nicht indiziert.

•

Dateien, die sich momentan in Benutzung befinden Dateien, die gerade bearbeitet werden und von Anwendungsprogrammen gesperrt sind, werden solange nicht neu indiziert, solange diese Sperre besteht. Erst nach Beendigung der Bearbeitung erfolgt die Neuindizierung.

11.12.5

Meldungen des Indexdienstes

Das Steuerungsfenster des Indexdienstes erreichen Sie über die Managementkonsole COMPUTERVERWALTUNG oder das SUCHEN-Fenster im Windows Explorer (über INDEXDIENST | ERWEITERT). Sie sehen dann das Detailfenster des Snap-Ins INDEXDIENST. Abbildung 11.98: Detailfenster des Indexdienstes

Die Bedeutung der einzelnen Spalten in der Detaildarstellung sind in der folgenden Tabelle aufgeführt:

490 Tabelle 11.14: Spalten der Detaildarstellung

11 Administration der Massenspeicher Spalte

Bedeutung

Katalog

Name des Kataloges

Pfad

Speicherort des Kataloges auf einem Datenträger

Größe (MB)

Aktuelle Größe des Kataloges in MB

Dokumente insgesamt

Aktuelle Anzahl der indizierten Dokumente im Katalog über alle enthaltenen Verzeichnisse

Zu indizierende Dokumente

Anzahl der Dokumente, die noch indiziert werden müssen

Zurückgestellt zwecks Indexerstellung

Anzahl der Dokumente, die noch indiziert werden müssen aber wegen Benutzung gesperrt sind

Wortlisten

Anzahl der angelegten Wortlisten im Arbeitsspeicher

Gespeicherte Indizes

Anzahl der gespeicherten Indizes (temporäre und Masterindex)

Status

Aktueller Status des Kataloges

Zu den Bedeutungen von WORTLISTEN und TEMPORÄREN beziehungsweise MASTERINDIZES erfahren Sie mehr im Abschnitt 4.6.2 Der Indizierungsvorgang ab Seite 125. Aus der Anzeige des Status erhalten Sie wichtige Informationen zum Verhalten des Indexdienstes. In dieser Tabelle sind die wichtigsten Statusmeldungen zusammengefasst: Tabelle 11.15: Statusmeldungen des Indexdienstes

Statusmeldung

Bedeutung

Gestartet

Indexdienst ist aktiv und wurde gestartet

Nur abfragen, Gestartet

Indexdienst ist manuell angehalten worden; Eine Aktualisierung des Index findet nicht mehr statt, es können aber Abfragen über den Index durchgeführt werden

Untersuchen (NTFS), Gestartet

Ein NTFS-Datenträger wird auf neue und geänderte Dateien untersucht; Indizierung wird durchgeführt

Untersuchen, Gestartet

Ein FAT/FAT32-Datenträger wird auf neue und geänderte Dateien untersucht; Indizierung wird durchgeführt

Zusammenführen

Temporäre Indizes werden zu einem Masterindex zusammengefasst

11.12 Indexdienst einrichten Statusmeldung

Bedeutung

Indexerstellung wurde angehalten (Benutzer aktiv)

Indexdienst wurde aufgrund von Benutzeraktivität angehalten; eine niedrige Priorität des Indexdienstes veranlasst diesen zu stoppen, um dem Benutzer maximale Rechenkapazität zukommen zu lassen

Indexerstellung wurde angehalten

Das Anhalten des Indexdienstes kann neben Benutzeraktivität auch weitere Ursachen haben: - Hohe Nutzeraktivität - Unzureichender Arbeitsspeicher - Energieverwaltung Die ersten beiden Punkte deuten auf zu knappe Systemressourcen hin, letzterer wird vor allem auf Notebooks vorkommen können1.

Wiederherstellen

Nach einem unerwarteten Ende des Indexdienstens beispielsweise durch einen Systemabsturz stellt dieser automatisch seine Indizes wieder her

Überprüfung erforderlich

Inkonsistenz zwischen Index und den Dokumenten wurde erkannt; bleibt diese Meldung längere Zeit stehen, können Datenträgerprobleme verantwortlich sein

1

Auf Notebooks empfiehlt sich die Nutzung des Indexdienstes nicht, wenn Sie auf eine lange Akkulebensdauer Wert legen.

491

11.12 Indexdienst einrichten

Kapitel 12 Administration von Netzwerken

12.1 Installation von Netzwerkressourcen................495 12.2 Konfiguration von TCP/IP-Netzwerken ...........506 12.3 Namensauflösung..................................................513 12.4 Kommandozeilen-Tools für TCP/IP ..................518 12.5 WAN-Verbindungen.............................................531 12.6 Administration von Peer-To-Peer-Netzwerken ....548

493

12.1 Installation von Netzwerkressourcen

495

12 Administration von Netzwerken Dieser Abschnitt geht detailliert auf lokalen Netzwerke und insbesondere auf die Besonderheiten in TCP/IP-Netzwerken aus Sicht des Windows 2000-Administrators ein.

12.1 Installation von Netzwerkressourcen Der Ordner NETZWERK- UND DFÜ-VERBINDUNGEN ist die zentrale Stelle in Windows 2000, wo die Netzwerkkonfigurationen vorgenommen werden. Falls eine Netzwerkkarte vorhanden ist und diese während der Installation durch Plug&Play erkannt wurde, können Sie das entsprechende Symbol dort bereits sehen. Weitere Verbindungen lassen sich mit dem Symbol NEUE VERBINDUNG ERSTELLEN vornehmen. Nachfolgend wird überblicksartig der Umgang mit einer bereits installierten LAN-Verbindung gezeigt, danach werden die folgenden Komponenten einzeln vorgestellt: •

Dienste (ab Seite 498)

•

Protokolle (ab Seite 499)

•

Clients (ab Seite 500)

•

Netzwerkhardware (ab Seite 501)

•

Bindungen (ab Seite 504)

Dienste, Protokolle und Clients installieren Sie über die Option Installieren einer spezifischen Verbindung. Abbildung 12.1: Hinzufügen weiterer Netzwerkfunktionen

496

12 Administration von Netzwerken

12.1.1 LAN-Verbindungen Plug&Play

LAN-Verbindungen stehen automatisch für jeden Netzwerkadapter zur Verfügung, den Windows 2000 durch Plug&Play erkennt. Die Adapter werden im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN angezeigt. Die Funktion NEUE VERBINDUNG ERSTELLEN steht für Netzwerkadapter nicht zur Verfügung, da der Installation immer die physikalische Verfügbarkeit vorausgeht. Wenn Sie keine Adapter sehen können, sind diese entweder defekt, mit einem falschen Treiber ausgestattet oder nicht eingeschaltet.

Alte Adapter

Wenn Sie einen alten Adapter haben, der mit Plug&Play nicht erkannt wird, müssen Sie die Installation im Gerätemanager vornehmen. Voraussetzung ist allerdings, dass ein in Windows 2000 standardmäßig verfügbarer Treiber verwendet wird. Dass ein sehr alter Adapter noch mit neuen Windows 2000-Treibern beliefert wird, ist eher unwahrscheinlich. Ein Blick auf die Homepage des Herstellers lohnt aber allemal.

Funktionen der LAN-Verbindung Eine LAN-Verbindung kann mit folgender Funktionalität ausgestattet werden, als Beispiel wird die jeweils standardmäßig installierte Funktion angeführt: Clients

•

Clients: Diese Funktion bestimmt, welche Clienteigenschaften der Computer bekommt. Wenn Sie auf im Netzwerk freigegebene Drucker zugreifen möchten, installieren Sie den CLIENT FÜR MICROSOFT-NETZWERKE.

Dienste

•

Dienste: Diese Funktion stellt umgekehrt Clients Leistungen zur Verfügung. Der Dienst DATEI- UND DRUCKFREIGABE FÜR MICROSOFTNETZWERKE stellt beispielsweise lokale Drucker im Netzwerk bereit.

Protokolle

•

Protokolle: Damit Clients und Server kommunizieren können, müssen sie dasselbe Protokoll verwenden, beispielsweise TCP/IP.

Konfiguration der LAN-Verbindung Wählen Sie das Symbol LAN-VERBINDUNG im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN aus. Im Kontextmenü haben Sie Zugriff auf folgende Funktionen: •

EIGENSCHAFTEN. Zugriff auf die Funktionen des Adapters.

•

STATUS. Zeigt an, in welchem Zustand sich der Adapter befindet.

12.1 Installation von Netzwerkressourcen •

497

DEAKTIVIEREN. Unterdrückt die LAN-Verbindung, ohne dass die Einstellungen gelöscht werden.

Auf der Eigenschaftsseite können Sie auf die treiberspezifische Konfi- Eigenschaften guration des Adapters zugreifen und Clients, Dienste und Protokolle installieren und modifizieren. Die Konfiguration des Standardprotokolls TCP/IP wird in Abschnitt 12.2 Konfiguration von TCP/IPNetzwerke ab Seite 506 vorgestellt. Abbildung 12.2: Eigenschaften eines LAN-Adapters

Der Status gibt an, in welchem Zustand sich der Adapter befindet. Status Dies kann zum einen durch Auswahl der Funktion STATUS aus dem Kontextmenü des Adapters erfolgen, zum anderen durch Klick auf das Symbol selbst. Wenn die Verbindung in der Taskleiste angezeigt wird, kann der Status auch dort im Kontextmenü abgerufen werden.

498

12 Administration von Netzwerken

Abbildung 12.3: Status eine LANVerbindung

WAN-Adapter, die eine permanente Verbindung ins Internet herstellen, beispielsweise Frame Relay, ATM oder DSL, werden ebenfalls als »LAN-Verbindung« betrachtet. Die Entfernung ist für den Computer nicht von Bedeutung und manche moderne WAN-Verbindung ist schneller als ein lokal eingesetzter Ethernet-Adapter.

12.1.2 Dienste Dienste sind Dienstprogramme, die der Netzwerkverbindung zur Verfügung stehen und über den Dienstmanager kontrolliert werden können. Um einen Dienst zu installieren, gehen Sie folgendermaßen vor: •

Öffnen Sie die Verbindung, die einen bestimmten Dienst akzeptieren soll.

•

Wählen Sie INSTALLIEREN, dann den Eintrag DIENSTE und dann HINZUFÜGEN.

•

Wählen Sie einen der Dienste aus.

12.1 Installation von Netzwerkressourcen

499 Abbildung 12.4: Auswahl zusätzlicher Dienste

Standardmäßig stehen nur zwei Dienste zur Verfügung: •

QOS-PAKETPLANER. Der QoS-(Quality of Service)-Paketplaner bestimmt die Reihenfolge der Auslieferung von Paketen in der Paketwarteschlange.

•

SAP-AGENT. Der SAP-(Service Advertising Protocol)-Dienst dient der Bekanntmachung von Servern und Diensten in einem Netware-Netzwerk. Der Dienst wird automatisch aktiviert, wenn die GATEWAY- UND CLIENT-SERVICEES FOR NETWARE installiert wurden.

Weitere Netzwerkdienste können auch über die normale Softwareinstallation von Windows installiert werden. Dies liegt im Wesentlichen daran, dass diese Dienste weitere Hilfsprogramme und Dialogfelder benötigen und nicht als reiner Dienst auftreten.

12.1.3 Protokolle Auch die verwendbaren Protokolle können jeder Verbindung zugeordnet werden. Ebenso wie bei den Diensten gehen Sie folgendermaßen vor: •

Öffnen Sie die Verbindung, die ein bestimmtes Protokoll akzeptieren soll.

•

Wählen Sie INSTALLIEREN, dann den Eintrag PROTOKOLLE und dann HINZUFÜGEN.

•

Wählen Sie eines der Protokolle aus.

500

12 Administration von Netzwerken

Abbildung 12.5: Verfügbare Protokolle

Folgende Protokolle stehen hier zur Verfügung, wobei nur die noch nicht installierten angezeigt werden: •

AppleTalk-Protokoll

•

DLC-Protokoll

•

NetBEUI-Protokoll

•

Netzwerkmonitortreiber

•

NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll

•

Streams-Umgebung

•

TCP/IP-Protokoll

Einige Protokolle können anschließend konfiguriert werden. Auf das besonders wichtige TCP/IP wird in 12.2 Konfiguration von TCP/IPNetzwerken ab Seite 506 detailliert eingegangen.

12.1.4 Clients Clients sind Funktionen, die Windows zur Verfügung stehen, um sich selbst mit anderen Computern im Netzwerk zu verbinden. Standardmäßig wird der CLIENT FÜR MICROSOFT-NETZWERKE installiert. Weitere Clients installieren Sie folgendermaßen: •

Öffnen Sie die Verbindung, die einem bestimmten Client zur Verfügung gestellt werden soll.

•

Wählen Sie INSTALLIEREN, dann den Eintrag CLIENTS und dann HINZUFÜGEN.

12.1 Installation von Netzwerkressourcen •

501

Wählen Sie einen der Clients aus. Abbildung 12.6: Auswahl weiterer Clients

Standardmäßig werden nur die CLIENT SERVICES FÜR NETWARE angeboten. Damit ist die Verbindung zu einem Netware-Server möglich. Andere Clients müssen von Diskette oder CD installiert und gesondert beschafft werden.

12.1.5 Netzwerkhardware Voraussetzung für jede Netzwerkverbindung ist entsprechende Hardware. Solange es sich um Plug&Play-Geräte handelt und diese korrekt erkannt wurden, können Sie diesen Schritt überspringen. Wurde das Gerät erkannt aber falsch konfiguriert, gehen Sie zum Abschnitt Netzwerkhardware konfigurieren.

Netzwerkhardware installieren Netzwerkhardware installieren Sie über den Gerätemanager mit Hilfe des Installationsassistenten. Dazu gehen Sie folgendermaßen vor: 1.

In der Systemsteuerung wählen Sie HARDWARE.

2.

Im Assistenten wählen Sie GERÄTE PROBLEM BEHEBEN.

3.

Der Assistent sucht nun Plug&Play-Geräte. Unabhängig vom Erfolg wählen Sie in der nachfolgend angezeigten Liste NEUES GERÄT HINZUFÜGEN.

HINZUFÜGEN

ODER

502

12 Administration von Netzwerken

Abbildung 12.7: Weitere Geräte von Hand hinzufügen

4.

Aktivieren Sie im folgenden Schritt die Option NEIN, HARDWAREKOMPONENTE SELBST AUS DER LISTE AUSWÄHLEN.

5.

In der folgenden Liste wählen Sie NETZWERKADAPTER.

6.

Jetzt können Sie einen der mit Windows gelieferten Treiber auswählen oder diesen vom Datenträger laden.

DIE

Wenn Sie einen NoName-Adapter haben, dessen Hersteller keine Treiber liefert und seinen Adapter als »NE2000 kompatibel« beschreibt, wählen Sie als Hersteller Novell und als Adapter NE2000 KOMPATIBEL (siehe ). Abbildung 12.8: Weitere Geräte von Hand hinzufügen

12.1 Installation von Netzwerkressourcen

503 Abbildung 12.9: Auswahl des Treibers für NE2000-kompatible Adapter

Netzwerkhardware konfigurieren Netzwerkhardware kann zum einen über die Netzwerkverbindung, die sich dieses Gerätes bedient, erreicht werden. Zum anderen können Sie über den Gerätemanager gehen. Die Einstellungen hängen von der konkret vorhandenen Hardware ab. Der Inhalt der Dialogfelder wird auch vom Treiber bestimmt. Einige Standardfunktionen stehen aber fast immer zur Verfügung: •

ALLGEMEIN. Hier können Sie die Hilfeseiten zur Problembehandlung erreichen und das Gerät deaktivieren bzw. wieder aktivieren.

•

ERWEITERTE EINSTELLUNGEN. Diese Einstellungen sind gerätespezifisch.

•

TREIBER. Hier wählen Sie alternative Treiber aus oder installieren den vorhandenen erneut. Sie können hier auch aktualisierte Treiber angeben.

•

RESSOURCEN. Auf dieser Registerkarte kontrollieren und modifizieren Sie die vom Gerät verwendeten Systemressourcen, also Interrupt, belegte Speicheradressen und DMA-Kanäle sowie Portadressen. Falls es sich um ein Plug&Play-Gerät handelt, besteht normalerweise keine Einstellmöglichkeit. Bei alten Steckkarten stellen Sie hier sicher, dass die Jumpereinstellungen auf der Karte mit den Angaben übereinstimmen.

•

ENERGIEVERWALTUNG. Für ACPI- oder APM-kompatible Geräte können Sie hier festlegen, ob das Gerät den Standby-Zustand beenden darf und ob es sich auf Wunsch abschalten lässt.

504

12 Administration von Netzwerken

Abbildung 12.10: Engergieoptionen eines modernen Netzwerkadapters

12.1.6 Bindungen Netzwerkgeräte und Protokolle

Sind Netzwerkgeräte und Protokolle installiert, werden diese durch Bindungen miteinander verbunden. Standardmäßig müssen Sie diese Einstellungen nicht vornehmen, denn Windows verbindet immer alle Geräte mit allen Protokollen. Wenn dieses Verhalten nicht erwünscht ist – beispielsweise aus Sicherheitsgründen – können Sie die Zuordnungen jederzeit ändern.

Clients und Protokolle

Bindungen bestehen auch zwischen Clients und Protokollen. Auch diese Einstellungen sind änderbar. Die Bindungseinstellungen erreichen Sie im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN über das Menü ERWEITERT | ERWEITERTE EINSTELLUNGEN.

Aktivieren und Deaktivieren der Bindungen Die Aktivierung der Bindungen erfolgt, indem im oberen Feld der entsprechende Adapter und im unteren Feld die Zuordnung von Dienst bzw. Client zu einem Protokoll aktiviert wird.

12.1 Installation von Netzwerkressourcen

505 Abbildung 12.11: Kontrolle der Bindungen

Einstellen der Reihenfolge Da mehrere Protokolle auf einem Adapter parallel ausgeführt werden können, ist die Reihenfolge wählbar. Kommen Daten am Adapter an, versucht Windows die zur Verfügung stehenden Protokolle in dieser Reihenfolgen zu verwenden. Der Verbindungsaufbau kann beschleunigt werden, wenn häufiger verwendete Protokolle in der Prioritätsliste weiter oben stehen. Zur Änderung der Reihenfolge wechseln Sie zur Registerkarte REIHENFOLGE DER ANBIETER.

12.1.7 Allgemeine Netzwerkkomponenten Neben den Diensten können auch weitere Netzwerkkomponenten installiert werden, die dann allgemein im System zur Verfügung stehen und nicht mehr einer konkreten Verbindung zugeordnet werden. Sie finden diese Option im Ordner NETZWERK- UND DFÜVERBINDUNGEN im Menü ERWEITERT | OPTIONALE NETZWERKKOMPONENTEN.

506

12 Administration von Netzwerken

Abbildung 12.12: Installation optionaler Netzwerkkomponenten

Zur Installation stehen die Komponenten in drei Kategorien zur Verfügung, die jeweils einzelne Komponenten enthalten: •

•

Netzwerkdienste -

Einfache TCP/IP-Dienste

-

RIP-Überwachung

Verwaltungs- und Überwachungsprogramme -

•

SNMP-Dienst

Weitere Datei- und Druckdienste für das Netzwerk -

Druckdienste für Unix

In der Server-Version stehen weitere Dienste zur Verfügung. Diese werden in Band II beschrieben. Für den Betrieb in einem kleineren TCP/IP-Netzwerk genügt es, die TCP/IP-Dienste zu installieren. Dies umfasst auch die auf Kommandozeilenebene ausführbaren Dienstprogramme, die in Abschnitt 12.4 Kommandozeilen-Tools für TCP/IP ab Seite 518 beschrieben werden.

12.2 Konfiguration von TCP/IP-Netzwerken TCP/IP ist heute das führende Protokoll zur Vernetzung lokaler und globaler Netzwerke. Dieser Abschnitt zeigt, wie TCP/IP in Windows

12.2 Konfiguration von TCP/IP-Netzwerken

507

2000 konfiguriert wird. Die theoretischen Grundlagen finden Sie in Abschnitt 6.3 TCP/IP ab Seite 191. Die konkrete Konfiguration eines TCP/IP-Netzwerks hängt natürlich von den Szenarien ab, die Sie für Ihr lokales Netz entworfen haben. Am Anfang sind folgende Fragen zu beantworten: •

Dynamische oder statische Adressvergabe?

•

Öffentliche oder private IP-Adressen?

•

Wie erfolgt der Zugang des Netzes zum Internet?

Konfiguration mit festen IP-Adressen Feste IP-Adressen sind vor allem im kleinen Netz willkommen, wo es wenig Änderungen gibt und kompliziertere Funktionen wie DHCPServer nicht verfügbar sind. Die statische Adressvergabe kann mit privaten oder öffentlichen IP- Statische Adressen erfolgen. Öffentliche IP-Adressen beantragen Sie bei Ihrem Adressvergabe Internet-Provider oder Carrier. Firmen werden üblicherweise ein Klasse-C-Netz mit 256 Adressen verwenden, größere Institution mehrere davon. Klasse-B-Netze mit 65.535 Adressen sind sehr selten. Vielmehr vergeben große Carrier Teilnetze aus ihrem Klasse-A- oder Klasse-B-Netz an ihre Kunden. Es herrscht zwar in Bezug auf Adressen noch kein Notstand, die Ausgabe ist aber inzwischen relativ restriktiv, da der Adressraum relativ gut belegt ist. Eine einfache Verkabelung im Firmennetzwerk ist im Allgemeinen kein ausreichender Grund für ein ganzes Netz. Andererseits werden wenigstens für Router und Firewall feste IP-Adressen benötigt, intern kann dann mit einem universellen Nummernkreis gearbeitet werden. Der Standardfall in kleinen Netzen ist meist die Vernetzung mehrere Der Standardfall Computer, mit Windows 2000 Professional oder Windows 98, in einem kleineren Büro oder Homeoffice. Sie sollten hier den Adresskreis 192.168.0.0 bis 192.168.254.254 verwenden. Legen Sie ein Teilnetz daraus fest und berechnen Sie die passende Netzmaske dafür. Wenn Sie beispielsweise mit 48 Adressen rechnen, bietet sich folgendes Teilnetz an: 192.168.0.1 - 192.168.0.63 Die Subnetzmaske kann immer in Schritten zu 2x berechnet werden. Die Bits, die in der Netzadresse variabel sind, werden in der Maske auf 0 gesetzt, sonst auf 1. Für das einfaches Teilnetz wäre die Subnetzmaske 255.255.255.192. Wenn Sie das erste Mal eine Subnetzmaske berechnen, werden Sie Die Subnetzmaske vielleicht mit diversen Fehlermeldungen zu kämpfen haben. Schreiben berechnen

508

12 Administration von Netzwerken Sie sich dazu die IP-Adresse im binären Format auf. In Abschnitt 6.3.5 Subnetze ab Seite 196 wurde darauf bereits eingegangen. Die Subnetzmaske muss aus einer geschlossenen Folge von Einsen bestehen, wobei die Anzahl variabel ist, die Gesamtzahl der Ziffern beträgt immer 32 (4 Bytes). Die folgende Tabelle erspart Ihnen die lange Suche, sie zeigt alle Subnetzmasken, die es in einem Klasse-A-Netz geben kann.

Tabelle 12.1: Gültige Subnetzmasken eines Klasse-ANetzwerks

Bits verwendet

Anzahl Hosts

Binäres Oktett

Dezimaler Wert

1

127 (27-1)

1000.0000

128

2

63 (26-1)

1100.0000

192

3

31 (25-1)

1110.0000

224

4

15

(24-1)

1111.0000

240

5

7 (23-1)

1111.1000

248

6

3 (22-1)

1111.1100

252

7

1

(21-1)

1111.1110

254

8

0

nicht gültig

nicht gültig

Jetzt vergeben Sie jedem System eine IP-Adresse und tragen die Maske ein (siehe Abbildung 12.13). Existiert im Netz ein Gateway, dass die Verbindung zur Außenwelt herstellt, muss auch diesem eine Adresse aus dem internen Kreis vergeben werden. Moderne Router beherrschen die Adresseübersetzung (siehe auch Abschnitt 6.3.7 Adressübersetzung, Seite 198). Ohne diese Funktion müssen Sie mit »echten« Adressen arbeiten.

12.2.1 DHCP Wenn sich im Netzwerk ein DHCP-Server befindet, vergibt dieser jeder neuen Arbeitsstation eine IP-Nummer aus einem zentralen Nummernkreis. Mehr Informationen zur Einrichtung eines DHCP-Servers finden Sie im Band II dieser Buchreihe.

12.2 Konfiguration von TCP/IP-Netzwerken

509 Abbildung 12.13: Einstellen einer festen IP-Adresse

Freie Adressbereiche Beim Aufbau eines kleinen, lokalen Netzwerks wird oft auf die festen IP-Nummern zurückgegriffen, die frei verfügbar sind. Die folgende Tabelle zeigt die frei verfügbaren Adressbereiche im Klasse-A-, Klasse-B- und Klasse-C-Netz.

Netzklasse

Startadresse oder Adressbereich

Subnetzmaske

Hosts je Subnetz

A

10.x.x.x

255.0.0.0

16.777.216

B

172.16.0.0 bis

255.240.0.0

65.536

255.255.255.0

256

172.31.255.255 C

192.168.x.x

Tabelle 12.2: Frei Anzahl Subnetze verfügbare IPAdressen für private 1 Netze (x steht für eine Zahl zwischen 16 0 und 255) 256

DHCP steht nur zur Verfügung, wenn im Netzwerk ein DHCP-Server existiert. Dieser kann mit Windows 2000 Server aufgebaut werden. Ohne DHCP-Server können Sie dennoch von der automatischen IPVergabe profitieren – mit APIPA.

510

12 Administration von Netzwerken

12.2.2 APIPA APIPA ist eine Funktion zur einfachen dynamischen Adressvergabe ohne DHCP-Server in sehr kleinen Netzwerken.

Einführung Atomatic Private IP Addressing

Windows 2000 Professional verfügt über eine Funktion, sich selbst eine IP-Nummer zuzuweisen – Automatic Private IP Addressing (APIPA). Für diese Funktion hat Microsoft den Adressbereich 169.254.0.1 – 169.254.254.254 verwendet und von der IANA reserviert. Damit steht ein Klasse-B-Netz mit maximal 65.535 Adressen zur Verfügung. Im Internet wird dieser Adressraum nicht verwendet. Er gehört aber auch nicht zu den in RFC 1918 definierten privaten Adressräumen (siehe dazu 6.3.6 Netzklassen ab Seite 196). APIPA wird immer automatisch aktiviert, wenn DHCP verlangt wird und ein entsprechender Server nicht aufzufinden ist. Die betroffene Arbeitsstation nimmt sich per Zufallsgenerator eine Adresse aus dem reservierten Adressraum und prüft dann mittels Ping, ob die Adresse noch frei ist. Ist das der Fall, weist sie sich die Adresse selbst zu, andernfalls wird die Adresse inkrementiert und erneut geprüft, bis eine freie Adresse gefunden wurde. APIPA ist zwar bequem, kann aber zu Problemen führen, wenn tatsächlich ein DHCP-Server verwendet wird. Der Ausfall des Servers bleibt möglicherweise unbemerkt, weil sich die Stationen »selbst helfen«. Steht zu einem späteren Zeitpunkt wieder ein DHCP-Server zur Verfügung, wird dessen Adresskreis verwendet.

APIPA deaktivieren Normalerweisen wird APIPA wie oben beschrieben verwendet. Wollen Sie dies grundsätzlich verhindern, muss der entsprechende Schlüssel in der Registrierung geändert werden. Deaktivierung in der Registrierung

Öffnen Sie den Registrierungs-Editor gendem Registrierungsschlüssel:

REGEDIT32

und gehen Sie zu fol-

12.2 Konfiguration von TCP/IP-Netzwerken

511

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters \Interfaces \Adaptername Erstellen Sie den folgenden Eintrag: IPAutoconfigurationEnabled: REG_DWORD Um APIPA für den ausgewählten Netzwerkadapter zu deaktivieren, weisen Sie den Wert 0 zu. Ist der Eintrag IPAutoconfigurationEnabled nicht vorhanden, wird der Standardwert 1 vorausgesetzt, was bedeutet, dass APIPA verwendet wird. Sind mehrere Netzwerkadapter installiert, können Sie APIPA für alle Deaktivierung für installierten Adapter deaktivieren, indem Sie den Eintrag IPAutoconfi- mehrere Adapter gurationEnabled für den folgenden Registrierungsschlüssel auf 0 setzen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters

Dynamische Adressvergabe mit APIPA einstellen Um die dynamische Adressvergabe einzustellen, müssen Sie in den TCP/IP-Eigenschaften lediglich IP-ADRESSE AUTOMATISCH BEZIEHEN AKTIVIEREN.

512

12 Administration von Netzwerken

Abbildung 12.14: Konfiguration für automatische Adressvergabe

Konfiguration überprüfen Mit Hilfe des Werkzeugs IPCONFIG können Sie die aktuelle Adressvergabe überprüfen. Wird eine Adresse innerhalb des für APIPA reservierten Raumes angezeigt, ist APIPA aktiv. Eine typische Ausgabe zeigt die nächste Abbildung. Abbildung 12.15: APIPA ist aktiv

Mehr Informationen zu den TCP/IP-Werkzeugen finden Sie unter 12.4 Kommandozeilen ab Seite 518.

12.3 Namensauflösung Bei der automatischen Konfiguration können Sie kein Standardgateway mehr angeben, das entsprechende Feld wird deaktiviert. Die Eingabe muss von Hand mit dem Werkzeug ROUTE erfolgen, das unter route ab Seite 527 beschrieben wird.

12.3 Namensauflösung Folgende Technologien zur Auflösung von Adressen in Namen stehen Übersicht zur Verfügung: •

DNS (Domain Name Service)

•

WINS (Windows Internet Name Service) und LMHOST-Dateien

•

HOSTS-Dateien

DNS ist die Standardmethode. Generell dienen Namensauflösungen dazu, die in Netzwerken typischerweise verwendeten Adressen in für Menschen leichter merkbare Namen umzusetzen.

12.3.1 WINS WINS (Windows Internet Name Service) ist ein von Microsoft implementierter Dienst zur Namensauflösung in NetBIOS-Netzwerken. Bei WINS wird entweder über WINS-Server oder die LMHOSTS-Datei aufgelöst. Die Einsatzmöglichkeiten sind vielfältig. Sie können in Ihrem lokalen Netz TCP/IP als Standardprotokoll einsetzen und dennoch Anwender mit den bequemen NetBIOS-Namen arbeiten lassen. Oft ist es einfacher, einen Druckserver mit \\printsrv anzusprechen, als mit 192.168.17.83. Möglicherweise spart Ihnen WINS die Umstellung von Software, die für Microsoft-Netzwerke geschrieben wurde. Dieser Abschnitt beschreibt schwerpunktmäßig die Nutzung der Datei LMHOSTS LMHOSTS für die Auflösung, da im kleinen lokalen Netz nicht unbedingt ein WINS-Server zur Verfügung steht. Sie müssen die Datei in folgendem Verzeichnis ablegen: %systemroot%\system32\Drivers\Etc Der Aufbau ist sehr einfach; Sie können die Datei beispielsweise mit dem Editor erstellen: # Copyright (c) 1993-1999 Microsoft Corp. # 192.168.0.10 printsrv_______ #PRE Dabei bezeichnet die erste Spalte die IP-Adresse, die zweite den WINS-Namen mit genau 15 Zeichen Länge und die dritte einen oder

513

514

12 Administration von Netzwerken mehrere optionale Schalter. Die Schalter werden in der folgenden Tabelle beschrieben:

Tabelle 12.3: Schalter der LMHOSTS-Datei

Beispiel

Schalter

Beschreibung

\0xHH

Schreibweise für nicht druckbare Zeichen. HH ist der Hexadezimalcode des Zeichens.

#BEGIN_ALTERNATE

Beginn einer Gruppe #INCLUDE-Anweisungen

#END_ALTERNATE

Ende einer Gruppe #INCLUDE-Anweisungen

#DOM:<domäne>

IP-Adresse ist ein Domänencontroller <domäne>

#INCLUDE

Importiert eine LMHOSTS-Datei von einem anderen Server.

#MH

Schalter für die Zuordnung mehrerer (bis zu 25) Adressen zu einem Namen

#PRE

Bestimmt, dass der Eintrag im Cache gehalten wird.

#SG

Definition eines Gruppenmitglieds. Gruppen können maximal 25 Mitglieder haben. Sie werden durch \0x20 als sechzehntes Byte des Namens definiert.

Das folgende Beispiel finden Sie in der Beispieldatei LMHOSTS.SAM. Die aktive Datei LMHOSTS hat jedoch keine Dateierweiterung: 192.168.0.10 server #PRE #DOM:technik # DC 192.168.0.112 "lptpool \0x14" # Server 192.168.0.4 email #PRE # Mailsrv BEGIN_ALTERNATE INCLUDE \\lokal\public\lmhosts INCLUDE \\maestro\public\lmhosts END_ALTERNATE Wenn das #-Zeichen keinen Schalter einleitet, beispielsweise am Zeilenanfang, wirkt es als Beginn eines Kommentars. Namen die Leerzeichen enthalten, müssen in Anführungszeichen gesetzt werden. Der WINS-Server steht unter Windows 2000 Professional nicht zur Verfügung. Sie müssen dafür ein Produkt der Windows 2000 ServerFamilie einsetzen.

12.3.2 DNS Domain Name Service

Der DNS (Domain Name Service) löst Domainnamen in IP-Adressen auf. Ein solcher Dienst kann entweder im Internet von einem Provider

12.3 Namensauflösung

515

zur Verfügung gestellt werden oder von einem Windows 2000 ServerComputer, auf dem der DNS-Dienst installiert wurde. Bei einem Provider mit Wählverbindung erfolgt normalerweise auch Internet die Zuordnung des DNS-Servers automatisch. Andernfalls muss eine IP-Adresse angegeben werden. Das DNS ist eine globale, hierarchische und verteilte Datenbank. DNS Grundlagen kann IP-Adressen und Namen auflösen und umgekehrt zu einem Namen die passende IP-Adresse finden. Die Auflösung einer Anfrage an einen beliebigen Nameserver setzt einen umfangreichen Prozess von Nameserveranfragen in Gang. Kann der erste Nameserver nicht reagieren, leitet er die Anfrage an einen der Root-Server weiter. Diese Root-Server verwalten lediglich die Toplevel und kennen die Nameserver, die alle Domains eines Toplevels verwalten. In diesen Nameservern sind wiederum die für jede einzelne Domain zuständigen Nameserver zu finden, an die letztendlich die Anfrage weitergeleitet und dort auch aufgelöst wird. Die enorme Bedeutung der Root-Server für das Funktionieren des gesamten Internets spiegelt auch die Verteilung der Root-Server wieder. So sind derzeit neun Root-Server in Betrieb, darunter Systeme im NSFnet, MILNET, SPAN (wird von der NASA betrieben) und in Europa. DNS wird auch von Active Directory als Namensdienst verwendet. Außerdem basiert der Name des Computers, der DNS als Teil des vollständig qualifizierten (FQDN) Domainnamens zur Verfügung gestellt wird, auf dem NetBIOS-Namen des Computers. DNS-Namen bestehen aus folgenden Teilen: •

Hostname. Dieser Name bezeichnet einen Computer innerhalb einer Domain. Im lokalen Netz reicht der Name zur vollständigen Beschreibung aus. Im Internet wird er als ersten Teil des FQDN verwendet.

•

Primäres DNS-Suffix. Dieser Suffix wird an den Hostnamen angehängt, um einen FQDN zu erhalten. Im Internet ist dies der Name der Domain.

•

Verbindungsspezifisches Suffix. Dieser Suffix ist an den Adapter gebunden, über den eine Verbindung hergestellt wird. Damit können unterschiedliche Namen im lokalen Netz und im Internet verwendet werden.

•

FQDN. Dies ist der vollständige, qualifizierte Name (Full Qualified Domain Name), der sich aus Hostname und einem der zur Verfügung stehenden Suffixe zusammen setzt.

Aufbau des Namens

516 Beispiel

Serverbasierte Funktionen

Einstellungen

Änderung der Hostnamen

12 Administration von Netzwerken Wenn Sie Ihren Computer www nennen und die Domain yoolia.com, so ist www der Hostname, yoolia.com der primäre DNS-Suffix und www.yoolia.com der FQDN. Windows 2000 Professional verfügt über verschiedene Funktionen, die von einem entsprechenden DNS-Server im Netz unterstützt werden müssen: •

Dynamische Aktualisierung. Wenn der lokale Hostname oder DNSSuffix geändert wird, kann dies in der zentralen DNS-Datenbank des DNS-Servers automatisch registriert werden. Voraussetzung ist, dass der DNS-Dienst mit Active Directory arbeitet.

•

Adressregistrierung. Dieser Vorgang registriert auch IP-Adressen des lokalen Systems mit dem FQDN im DNS-Server.

Die folgenden Einstellungen sollten Sie beim Einrichten von Windows 2000 Professional vornehmen: •

IP-Adressen der DNS-Server, falls diese nicht automatisch zugewiesen werden

•

Suffixe, wie oben beschrieben

•

Aktualisierung und automatischen Registrierung, wenn es vom Server unterstützt wird

Der Hostname kann nicht auf Adapterebene geändert werden. Gehen Sie dazu auf das Symbol SYSTEM in der Systemsteuerung und dann auf die Registerkarte NETZWERKIDENTIFIKATION . Wählen Sie nun die Schaltfläche EIGENSCHAFTEN. Tragen Sie den Namen des Computers und die Arbeitsgruppe ein. Falls der Computer Teil einer Windows 2000- oder NT-Domäne ist, nutzen Sie den Assistenten NETZWERKKENNUNG, der die nötigen Daten abfragt. Die Einstellung ARBEITSGRUPPE ist vor allem im Peer-To-Peer-Netz von Bedeutung. Mehr dazu finden Sie in Abschnitt 12.6.1 Peer-To-PeerNetzwerk einrichten ab Seite 548.

12.3 Namensauflösung

517 Abbildung 12.16: Einstellungen für die Namensauflösung mit DNS

Abbildung 12.17: Änderung des Computernamens

518

12 Administration von Netzwerken Der DNS-Server steht unter Windows 2000 Professional nicht zur Verfügung. Sie müssen dafür ein Produkt der Windows 2000 ServerFamilie einsetzen.

12.3.3 HOSTS und LMHOSTS Die Dateien HOST und LMHOSTS können verwendet werden, um in kleineren Netzwerken eine Namensauflösung zu realisieren, ohne dass ein DNS-Server zur Verfügung steht. Die Dateien müssen dann von Hand gepflegt werden. Der Aufbau der Datei HOSTS entspricht der Implementierung des BSD (Berkeley Standard Distribution)-Unix 4.3. Sie müssen die Datei in folgendem Verzeichnis ablegen: %systemroot%\system32\Drivers\Etc Der Aufbau ist sehr einfach. Sie können die Datei beispielsweise mit dem Editor erstellen: # Copyright (c) # 192.168.0.97 192.168.0.10 127.0.0.1

1993-1999 Microsoft Corp. mypc.copyprint.de xy.copyprint.de localhost

# Quellserver # xy-Clienthost

Die erste Spalte enthält die IP-Nummer, die zweite, durch Tabulator getrennte Spalte den Namen (FQDN). #-Zeichen leiten Kommentare ein. Die folgende Zeile ist standardmäßig aktiviert und stellt sicher, dass das lokale System als localhost angesprochen werden kann, ohne das ein DNS-Server dies auflöst. 127.0.0.1

localhost

12.4 Kommandozeilen-Tools für TCP/IP Mit den Kommandozeilen-Tools stehen verschiedene Werkzeuge, die überwiegend aus der UNIX-Welt bekannt sind, auch unter Windows 2000 zur Verfügung.

12.4.1 Nutzung der Befehle Die folgende Auswahl zeigt die wichtigsten im Detail. Alle Kommandozeilenbefehle rufen Sie über die Eingabeaufforderung auf. Es ist empfehlenswert, dafür einen neuen Kommandointerpreter zu starten. Wählen Sie dazu START | PROGRAMME | ZUBEHÖR |

12.4 Kommandozeilen-Tools für TCP/IP

519

EINGABEAUFFORDERUNG. Alternativ können Sie auch über START | AUSFÜHREN gehen und dort das Programm CMD starten.

12.4.2 Die Befehle im Detail Die folgende Darstellung zeigt alle Befehle und die wichtigsten Parameter.

arp ARP dient zur Anzeige oder Änderung der Übersetzungstabellen, die von ARP (Address Resolution Protocol) für die Umsetzung von IPAdressen in physikalische Ethernet- oder Tokenringadressen verwendet werden. Dieser Befehl ist nur verfügbar, wenn das Protokoll TCP/IP installiert wurde. arp -a [] [-N [<Schnittstelle>]

Syntax

arp -d [<Schnittstelle>] arp -s <Eth_Adr> [<Schnittstelle>] •

-a. Zeigt anhand einer TCP/IP-Abfrage alle aktuellen ARP- Parameter

Einträge an. Bei Angabe von IP_Adr werden nur die IP-Adresse und die physische Adresse des betreffenden Computers angezeigt. •

. Gibt eine IP-Adresse an.

•

-N. Zeigt die ARP-Einträge für die mit Schnittstelle angegebene

Netzwerkschnittstelle an. •

<Schnittstelle>. Gibt die IP-Adresse der Schnittstelle an, deren

Adressübersetzungstabelle geändert werden muss. Falls nicht angegeben, wird die erste verfügbare Schnittstelle verwendet. •

-d. Löscht den mit angegebenen Eintrag.

•

-s. Fügt einen Eintrag zum ARP-Cache hinzu, der die IP-Adresse der physischen Adresse <Eth_Adr> zuordnet. Die physi-

sche Adresse wird als 6 hexadezimale Byte angegeben, getrennt durch Bindestriche. Die IP-Adresse wird in punktierter Dezimalschreibweise angegeben. Der Eintrag ist permanent, d.h. er wird nach einer Zeitüberschreitung im Cache nicht automatisch gelöscht. •

<Eth_Adr>. Gibt eine physikalische Adresse an.

520

12 Administration von Netzwerken finger ist ein unter UNIX verbreiteter Dienst, der Informationen zu den Nutzern eines Systems zurück gibt. Sie können mit diesem Kommando Computer abfragen, auf denen der FINGER-Dienst läuft und über entsprechende Daten verfügt. FINGER

Syntax

finger [-l] []@ [...]

Parameter

•

-l. Zeigt Informationen im langen Listenformat an.

•

. Bezeichnet den Benutzer, über den Sie Informationen anzeigen möchten. Ohne Angabe des Parameters Benutzer werden Informationen über alle Benutzer auf dem angegebenen Computer angezeigt.

•

. Name des Computers, auf dem der FINGER-Dienst läuft.

ftp steht für File Transfer Protocol, ein Protokoll zur Dateiübertragung im Internet. Dieses Programm ist ein einfacher, kommandozeilenbasierter Client. Es gibt unter Windows viele sehr komfortable FTPProgramme, von denen einige auch kostenlos als Freeware verfügbar sind.

FTP

Syntax

ftp [-v] [-n] [-i] [-d] [-g] [-s:] [-a] [-w:] []

Parameter

•

-v. Unterdrückt die Anzeige der Rückmeldungen des Remoteser-

vers. •

-n. Unterdrückt die automatische Anmeldung beim Verbindungs-

aufbau. •

-i. Schaltet bei der Übertragung mehrerer Dateien die interaktiven

Eingabeaufforderungen ab. •

-d. Aktiviert die Fehlersuche. Es werden alle FTP-Befehle angezeigt, die zwischen Client und Server ausgetauscht werden.

•

-g. Deaktiviert den Globbingmodus, der die Verwendung von

Platzhalterzeichen (* und ?) in lokalen Datei- und Pfadnamen ermöglicht. •

-s:. Gibt eine Textdatei an, die FTP-Befehle enthält. Die Befehle werden beim Start von ftp automatisch ausgeführt. Dieser

Parameter darf keine Leerzeichen enthalten. Verwenden Sie diesen Schalter anstelle der Umleitung (>). •

-a. Verwendet eine beliebige lokale Schnittstelle für die Bindung einer Datenverbindung.

12.4 Kommandozeilen-Tools für TCP/IP •

-w:. Überschreibt die Standardgröße (4096 Byte) des Übertragungspuffers.

•

. Gibt den Computernamen oder die IP-Adresse des Remotecomputers an, zu dem eine Verbindung hergestellt werden soll. Wenn der Computer angegeben wird, muss er den letzten Parameter in der Befehlszeile bilden.

Nach dem Start können Sie sich mit einem FTP-Server verbinden und Dateien von und zum Server übertragen. Auch Windows 2000 selbst kann als FTP-Server agieren. Mehr dazu finden Sie in Abschnitt 15.2.5 FTP-Dienste anbieten ab Seite 659. Das FTP-Programm versteht alle Standardbefehle. Die wichtigsten FTP-Befehle sind: •

ascii. Stellt den Dateiübertragungsmodus auf ASCII ein. Diese sollten Sie nur verwenden, wenn wirklich 7-Bit-ASCII-Dateien übertragen werden.

•

binary. Stellt den Dateiübertragungsmodus auf Binär ein. Diesen

sollten Sie standardmäßig verwenden. •

bye. Beendet die FTP-Sitzung.

•

cd, pwd. Wechselt das aktuelle Verzeichnis auf dem entfernten Computer. pwd zeigt an, welches das aktuelle Verzeichnis ist.

•

lcd. Wechselt das aktuelle Verzeichnis auf dem lokalen Computer.

Datenübertragen finden immer zwischen dem mit cd und lcd eingestellten Verzeichnissen statt. •

delete. Löscht Dateien auf dem entfernten Computer.

•

dir. Zeigt eine Liste von Dateien im aktuellen Verzeichnis des ent-

fernten Computers an. Das Verzeichnis kann auch angegeben werden. Außerdem kann die Liste in einer Datei auf dem lokalen Computer gespeichert werden. •

get. Kopiert eine Datei vom entfernten Computer in das aktuelle

Verzeichnis des lokalen Computers. •

put. Kopiert Dateien vom lokalen Computer zum entfernten Computer. Vorher sollten die Pfade mit cd und lcd eingestellt werden.

•

mkdir, rmdir, rename. Erzeugt, löscht oder benennt ein Verzeichnis auf dem entfernten Computer.

•

open, close. open öffnet eine Verbindung zu einem entfernten Com-

puter. Ist der FTP-Server geschützt, werden Name und Kennwort abgefragt. close schließt die Verbindung wieder.

521

522

12 Administration von Netzwerken Eine vollständige Liste der Befehle erhalten Sie, wenn am Prompt das Fragezeichen eingegeben wird:

Abbildung 12.18: Befehlshilft für das ftp-Programm

Eine kurze Beschreibung eines Befehls erhalten Sie, wenn Sie folgendes eingeben: ftp>? befehl

hostname Dieser Befehl zeigt den Namen des Computers an. Es gibt keine Parameter. Der Einsatz dürfte in Stapeldateien zu finden sein.

ipconfig Dieser Befehl zeigt die aktuelle IP-Adresskonfiguration des Computers an. Sie können so auch herausbekommen, welche Adresse ein DHCP-Server aus dem Adresspool zugewiesen hat. Syntax

ipconfig [/all | /renew [] | /release []]

Parameter

•

/all erstellt eine vollständige Anzeige. Ohne diesen Schalter zeigt IPCONFIG nur die IP-Adresse, die Subnetzmaske und den Standardgateway für jeden Netzwerkadapter an.

•

/renew

•

/release []. Gibt die aktuelle DHCP-Konfiguration frei. Dieser Parameter deaktiviert TCP/IP auf dem lokalen System und ist nur auf DHCP-Clients verfügbar. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.

[]. Aktualisiert die DHCP-Konfigurationsparameter. Dieser Parameter ist nur auf Systemen verfügbar, auf denen der DHCP-Clientdienst ausgeführt wird. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.

12.4 Kommandozeilen-Tools für TCP/IP

523 Abbildung 12.19: ipconfig mit allen Informationen

netstat Dieses Werkzeug zeigt Protokolldaten an, die zur Fehlersuche verwendet werden können. netstat [-a] [-e] [-n] [-s] [-p] [-r] [] •

-a. Zeigt alle Verbindungen und abhörenden Anschlüsse an. Ser- Parameter

ververbindungen werden normalerweise nicht angezeigt. •

-e. Zeigt die Ethernet-Statistik an. Kann mit der Option -s kombi-

niert werden. •

-n. Zeigt Adressen und Anschlussnummern in numerischer Form

an (es wird nicht versucht, die entsprechenden Namen abzufragen). •

Syntax

-s. Zeigt die Statistik protokollweise an. Standardmäßig wird die Statistik für TCP, UDP, ICMP und IP angezeigt. Mit der Option -p

können Sie eine Teilmenge der Standardanzeige angeben. •

-p . Zeigt die Verbindungen für das mit Protokoll angegebene Protokoll an. Mögliche Werte für Protokoll sind TCP oder UDP. Wird diese Option zusammen mit der Option -s zur protokollweisen Statistikanzeige verwendet, kann für Protokoll tcp, udp, icmp oder ip angegeben werden.

•

-r. Zeigt den Inhalt der Routingtabelle an.

•

. Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl Sekunden erneut an. Drücken Sie STRG+C zum Beenden der Intervallanzeige. Ohne Angabe dieser Option gibt NETSTAT die aktuellen Konfigurationsinformationen nur einmal aus.

524

12 Administration von Netzwerken

Abbildung 12.20: netstat mit allen Angaben

nslookup Dieses Diagnosehilfsprogramm zeigt Informationen von DNSNamensservern an. Bevor Sie dieses Hilfsprogramm verwenden, sollten Sie sich mit der Funktionsweise von DNS vertraut machen. Mehr dazu finden Sie in Abschnitt 12.3.2 DNS ab Seite 514. Modi

NSLOOKUP verfügt über zwei Modi: den interaktiven und den nicht interaktiven Modus. Wenn Sie nur ein einzelnes Datenelement suchen, verwenden Sie den nicht interaktiven Modus. Geben Sie als erstes Argument den Namen oder die IP-Adresse des Computers ein, der gesucht werden soll. Geben Sie als zweites Argument den Namen oder die IP-Adresse eines DNS-Namensservers ein. Wenn Sie das zweite Argument nicht angeben, wird der Standard-DNS-Namensserver verwendet.

12.4 Kommandozeilen-Tools für TCP/IP

525

Wenn Sie mehrere Datenelemente suchen, verwenden Sie den interaktiven Modus. Geben Sie einen Bindestrich (-) als erstes Argument und den Namen oder die IP-Adresse eines DNS-Namensservers als zweites Argument ein. Wenn Sie beide Argumente weglassen, wird der Standard-DNS-Namensserver verwendet. nslookup [-Option ...] [ | - [<Server>]] •

Syntax

-Option .... Gibt einen oder mehrere NSLOOKUP-Befehle als eine Parameter

Befehlszeilenoption an. Jede Option besteht aus einem Bindestrich (-), unmittelbar gefolgt von dem Befehlsnamen. In einigen Fällen folgt noch ein Gleichheitszeichen und ein Wert. Um beispielsweise den Standardabfragetyp auf Hostinformation und den anfänglichen Wert für die Zeitüberschreitung auf 10 Sekunden zu setzen, geben Sie Folgendes ein: nslookup -querytype=hinfo -timeout=10 Die Länge der Befehlszeile darf 255 Zeichen nicht überschreiten. •

. Sucht nach Informationen über den Computer , wobei der aktuelle Standardserver oder aber den Server <Server> verwendet wird. Ist eine IP-Adresse und der Abfragetyp A oder PTR, wird der Name des Computers zurückgegeben. Ist ZuSuchenderHost ein Name ohne nachfolgenden Punkt, wird der Standard-DNS-Domänenname an den Namen angefügt. (Dieses Verhalten hängt vom Zustand der set-Optionen ab: domains, srchlist, defname bzw. search)

Um nach einem Computer zu suchen, der sich nicht in der aktuellen Domäne befindet, fügen Sie an den Namen einen Punkt an. Wenn Sie an Stelle von Computer einen Bindestrich (-) eingeben, wechselt die Befehlseingabe in den interaktiven Modus. •

<Server>.

Legt diesen Server als zu verwendenden DNSNamensserver fest. Wenn Sie Server nicht angeben, wird der Standard-DNS-Namensserver verwendet.

Beispiel

526

12 Administration von Netzwerken

Abbildung 12.21: Typische nslookupAbfrage

ping Der Befehl PING überprüft die Netzwerkverbindung zu einem oder mehreren entfernten Computern. Wenn Sie TCP/IP installiert haben, können Sie die Verbindung am schnellsten mit PING prüfen. Jeder Computer im Netzwerk muss jeden anderen »anpingen« können. Syntax

ping [-t] [-a] [-n ] [-l ] [-f] [-i TTL] [-v TOS] [-r ] [-s ] [[-j ] | [-k ]] [-w ]

Parameter

•

-t. Sendet fortlaufend Ping-Signale an den angegebenen Compu-

ter. •

-a. Wertet Adressen zu Computernamen aus.

•

-n . Sendet die mit Anzahl angegebene Anzahl an ECHOPakete. Der Standardwert ist 4.

•

-l . Sendet ECHO-Pakete mit der durch Länge festgelegten Datenmenge. Der Standardwert beträgt 32 Byte, der Maximalwert beträgt 65.527 Byte.

•

-f. Sendet die Pakete mit einem NICHT FRAGMENTIEREN-Flag. Das Paket wird dadurch beim Weiterleiten von keinem Gateway fragmentiert.

•

-i . Legt für das Feld Gültigkeitsdauer den mit TTL angegebenen Wert fest.

12.4 Kommandozeilen-Tools für TCP/IP •

527

-v . Legt für das Feld Servicetyp den mit TOS angegebenen

Wert fest. •

-r . Zeichnet die Route des gesendeten Pakets und des zurückkehrenden Pakets im Feld Route aufzeichnen auf. Über Anzahl wird die Anzahl der aufzuzeichnenden Hosts angegeben. Es muss mindestens ein Host und es können höchstens neun Hosts aufgezeichnet werden.

•

-s . Gibt den Zeiteintrag für die durch Anzahl angegebene Anzahl der Abschnitte an.

•

-j . Leitet Pakete entsprechend der durch Computerliste angegebenen Hostliste weiter. Aufeinander folgende Hosts können durch dazwischenliegende Gateways getrennt sein (Loose Source Routed). Die von IP maximal erlaubte Anzahl ist neun.

•

-k . Leitet Pakete entsprechend der durch Computerliste angegebenen Hostliste weiter. Aufeinander folgende Hosts dürfen nicht durch dazwischenliegende Gateways getrennt sein (Strict Source Routed). Die von IP maximal erlaubte Anzahl ist neun.

•

-w . Gibt für die Zeitüberschreitung ein Intervall in

Millisekunden an. •

. Gibt die Remotehosts an, für die Ping ausgeführt werden soll.

ping www.microsoft.com ping 192.168.0.10 ping 192.168.0.10 -n 16 -l 256

route Der Befehl ROUTE dient der Konfiguration lokaler Routen für den IPVerkehr. Eine Route legt fest, über welchen Weg im lokalen Netz der IP-Verkehr läuft. Einige Standardrouten sind bereits eingerichtet, damit Grundkonfigurationen ohne Eingriff funktionieren.

Beispiele

528

12 Administration von Netzwerken

Abbildung 12.22: Anzeige der Standardrouten

Grundlagen

Unter Routing wird der Vorgang des Versendens von Paketen zwischen Netzwerken verstanden. Grundsätzlich ist eine Route eine physikalische Verbindung zwischen zwei Netzwerken. Diese Verbindung ist passiv, bis sie ein Paket von einer der beiden Seiten eines Netzwerks eintrifft. Dabei muss das Paket an den Router adressiert werden – ein wesentlicher Unterschied zur Bridge, die aktiv Pakete annimmt und weiter leitet. Der Router informiert sich dann in einer RoutingTabelle, wohin das Paket zu senden ist und transportiert es so in das nächste Teilnetz.

Routing

Das Routing ist eine Funktion des Netzwerkprotokolls IP. Um die Weiterleitung von Paketen steuern zu können, verwaltet IP eine Tabelle – die schon erwähnte Routing-Tabelle. Diese Tabelle enthält standardmäßig einige Routen, wie in Abbildung 12.22 zu sehen ist. Windows 2000 kann also, wenn der Computer physikalisch mit zwei Netzwerken verbunden ist, als Router arbeiten. Allerdings ist Windows nicht typischerweise als Router konzipiert. Die Einsatzmöglichkeit resultiert vor allem aus der Tatsache, das Routing eine Funktion des IP-Layers ist, der mit TCP/IP installiert wurde und das ein Computer mit Netzwerkkarte die technischen Voraussetzungen hat. Dedizierte Router sind leistungsfähiger und vor allem kleiner.

Voraussetzungen

Praktisch müssen folgende Bedingungen für die Nutzung des Routing erfüllt sein: •

Im Router müssen zwei Netzwerkkarten installiert sein

•

Jede Netzwerkkarte muss eine eindeutige, feste IP-Adresse haben

•

Das IP-Routing muss aktiviert sein

Syntax

route [-f] [-p] [ [] [mask <Subnetmaske>] [] [metric ]]

Parameter

•

-f. Löscht alle Gatewayeinträge in den Routingtabellen. Wird die-

ser Parameter mit einem Befehl verwendet, werden die Tabellen vor der Befehlsausführung gelöscht.

12.4 Kommandozeilen-Tools für TCP/IP •

529

-p. Wird dieser Parameter mit dem Befehl add verwendet, bleibt die

Route nach dem Neustart des Systems erhalten. Standardmäßig werden zuvor existierende Routen beim Neustart des Systems entfernt. Wird dieser Parameter mit dem Befehl print verwendet, wird eine Liste aller registrierten gespeicherten Routen angezeigt. Dieser Parameter wird überlesen, wenn er mit anderen Befehlen verwendet wird, die sich immer auf die entsprechenden beständigen Routen auswirken. •

. Gibt einen der folgenden Befehle an: -

print. Zeigt eine Route an

-

add. Fügt eine Route hinzu

-

delete. Löscht eine Route

-

change. Ändert eine bestehende Route

•

. Gibt den Computer an, an den Befehl gesendet werden soll.

•

mask <Subnetmaske>. Gibt eine Subnetzmaske an, die mit diesem

Routeeintrag verbunden wird. Sollte hier nichts eingetragen sein, wird 255.255.255.255 verwendet. •

. Gibt den Gateway an. Alle symbolischen Namen in Ziel

bzw. Gateway werden sowohl in der Netzwerkdatenbankdatei NETWORKS als auch in der Computernamendatenbankdatei HOSTS verwendet. Bei den Befehlen print bzw. delete können Stellvertreterzeichen für Ziel und Gateway verwendet werden, und es kann auf die Angabe von Gateway verzichtet werden. •

metric . Ordnet eine ganzzahlige Kostenanzahl (zwischen

1 und 9999) zu, die zur Berechnung der schnellsten, zuverlässigsten und/oder kostengünstigsten Routen verwendet wird.

rsh Führt einen Befehl auf Remotehosts aus, auf denen der RSH-Dienst aktiviert ist. Dieser Befehl ist nur verfügbar, wenn das TCP/IPProtokoll installiert wurde. rsh [-l ] [-n]

Syntax

•

Computer. Gibt den Remotehost an, auf dem Befehl ausgeführt Parameter werden soll.

•

-l . Gibt den Benutzernamen an, der auf dem Remotehost verwendet werden soll. Ohne Angabe des Parameters wird der aktuelle Benutzername verwendet.

530

12 Administration von Netzwerken •

-n. Leitet die Eingabe von rsh auf NULL um.

•

. Gibt den auszuführenden Befehl an.

tracert Das Programm TRACERT ist ein Diagnosewerkzeug. Es ermittelt die Route zu einem Ziel, indem es ICMP-Echopakete (Internet Control Message Protocol) mit unterschiedlichen TTL-Werten (Time-To-Live) sendet. Dabei wird von jedem Router auf dem Pfad erwartet, dass er den TTLWert für ein Paket vor dem Weiterleiten um mindestens 1 verkleinert; so dass der TTL-Wert die Anzahl der Abschnitte angibt. Wenn der TTL-Zähler für ein Paket den Wert Null erreicht, sendet der Router eine »ICMP-Zeitüberschreitung«-Nachricht zur Quelle zurück. TRACERT ermittelt die Route, indem es das erste Echopaket mit dem TTL-Wert 1 sendet und den TTL-Wert bei jeder folgenden Übertragung um Eins erhöht, bis das Ziel antwortet oder der TTL-Höchstwert erreicht ist. Die Route wird durch Prüfen der »ICMPZeitüberschreitung«-Nachrichten ermittelt, die von den dazwischenliegenden Routern zurückgesendet werden. Einige Router verwerfen jedoch Pakete mit abgelaufenen TTL-Werten ohne Warnung und sind nicht sichtbar für TRACERT. Syntax

tracert [-d] [-h ] [-j ]

[-w ] Parameter

•

-d. Gibt an, dass Adressen nicht zu Hostnamen ausgewertet wer-

den sollen. Da bei jedem Knoten eine Nameserverabfrage entfällt, ist diese Variante deutlich schneller. •

-h . Gibt an, wie viele Abschnitte bei der Zielsuche

höchstens durchlaufen werden sollen. Der Standardwert ist 30. •

-j . Gibt an, dass die Hostliste im »Loose Source Routing« abgearbeitet wird.

•

-w . Wartet die durch Zeitüberschreitung an-

gegebene Anzahl von Millisekunden auf eine Antwort. Der Standardwert beträgt 1000 ms. •

. Name des Zielhosts.

12.5 WAN-Verbindungen

531 Abbildung 12.23: Typische Ausgabe: Der Weg vom Provider zum Server ist im Internet oft sehr lang

12.5 WAN-Verbindungen WAN steht für Wide Area Network und ist die allgemeine Beschreibung für alle Arten von Netzwerken, die nicht auf einen Ort beschränkt sind – alles außer LAN. Auch Internetverbindungen sind deshalb WAN-Verbindungen. Der Abschnitt zeigt, welche Unterstützung für WAN Windows 2000 bietet.

12.5.1 Konfiguration für DFÜ-Verbindungen Die Konfiguration für das Internet umfasst sowohl die Installation der ensprechenden Hardware – Modem oder ISDN-Karte –, als auch die Einstellung der Verbindungsparameter zu einem Dienstanbieter (Provider).

Hardwareinstallation Um eine Verbindung ins Internet aufbauen zu können, gibt es mehrere Wege: •

per Modem oder ISDN-Terminaladapter

•

eine interne ISDN-Karte

•

über einen im lokalen Netz verfügbaren Router

Die erste Voraussetzung ist also immer die Verfügbarkeit entsprechender Hardware. Mit Hardware ist natürlich auch die Frage nach dem passenden Treiber verbunden. Windows 2000 erkennt glücklicherweise die meisten modernen Plug&Play-Geräte automatisch und

532

12 Administration von Netzwerken verwendet damit die mitgelieferten Treiber. Bei älteren Geräten sieht es nicht so gut aus. Die Windows NT 4-Treiber können nicht verwendet werden, da Windows 2000 nun konsequent auf das neue Treibermodell setzt. Da einige Hersteller ihre alten Karten nicht pflegen, kann die eine oder andere ISDN-Karte hier nicht mehr eingesetzt werden. Die Vorteile, die Windows 2000 aber auch in Bezug auf die Internetnutzung bietet, sind aber durchaus den Tausch einer Kommunikationskarte für etwas über 100 DM wert. Die Installation eines speziellen Dienstes, wie des RAS-Dienstes unter Windows NT 4, ist nicht mehr notwendig. Dennoch existiert dieser Dienst, er wird nur intern automatisch hinzugefügt und gestartet.

Modem selbst hinzufügen

Wenn ein Modem nicht erkannt wird, sie aber über passende Treiber verfügen oder einen Standardtreiber verwenden können, besteht auch die Möglichkeit, dieses Modem von Hand zu installieren. Neben der Installation über den Gerätemanager bietet sich ein kürzer Weg an: Wählen Sie in der Systemsteuerung TELEFON- UND MODEMOPTIONEN. In dem folgenden Dialog gehen Sie zur Registerkarte MODEMS und dann auf HINZUFÜGEN. Es startet der Hardwareassistent. Auf der ersten Seite aktivieren Sie das Kontrollkästchen MODEM AUSWÄHLEN. Dadurch wird die Plug&Play-Funktion unterdrückt. Sie können jetzt aus einer Liste von Modellen eines auswählen oder den vorhandenen Treiber vom Datenträger laden.

Abbildung 12.24: Liste der installierten Modems

Mit Hilfe der Schaltfläche EIGENSCHAFTEN können Sie nun weitere Optionen einstellen. Einige Elemente sind – je nach Gerätetyp – eventuell nicht aktiviert.

12.5 WAN-Verbindungen

533 Abbildung 12.25: Einstellung der Modemoptionen

Verfügbar sind folgende Optionen: •

LAUTSTÄRKE, steuert den internen Lautsprecher des Modems

•

MAXIMALE ÜBERTRAGUNGSRATE. Dies ist die »Nettoübertragungsrate«, mit der Daten vom und zum Modem transportiert werden können. Der Wert sollte höher sein als die maximale Übertragungsrate, für die das Modem ausgelegt ist. Außerdem ist darauf zu achten, dass die verwendete Schnittstelle (serieller Port) sich für diese Geschwindigkeit eignet.

•

WÄHLOPTIONEN. Hier können Sie das Verhalten zum Freizeichen einstellen.

Start mit dem Assistenten Die Konfiguration des Computers für den Internetzugang beginnt mit einem Assistenten. Dort haben Sie die in Abbildung 12.26 gezeigten Auswahlmöglichkeiten.

534

12 Administration von Netzwerken

Abbildung 12.26: Auswahlliste des Internet-ZugangsAssistenten

Die Frage sollte wahrheitsgemäß beantwortet werden. Die Einstellungen lassen sich zwar später noch modifizieren, der Assistent erledigt die wichtigsten Aufgaben aber meist zufriedenstellend. In das Internet einwählen

Die Option IN DAS INTERNET EINWÄHLEN führt automatisch zu einer sicheren Konfiguration und die Einwahldaten lassen sich später wieder ändern, was bei einer VPN-Konfiguration nicht möglich ist. Der Assistent fragt das Kommunikationsgerät nur ab, wenn eine Auswahl besteht. Haben Sie nur ein Modem im System, wird dies automatisch konfiguriert. Bereit halten sollten Sie außerdem folgende Daten: •

Einwahlrufnummer

•

Daten des E-Mail-Servers

•

Anmeldename und Kennwort

Wenn Sie die automatische Konfiguration nutzen, werden Sie mit einer Liste von Dienstanbietern konfrontiert, die offensichtlich diesen Assistenten als Werbeplattform nutzen. Die Angebote erschienen Mitte 2000 nicht zu den Besten zu gehören – Sie können diese Auswahl getrost übergehen und bei »Ihrem« Provider bleiben.

12.5 WAN-Verbindungen

535 Abbildung 12.27: Auch Assistenten sind nicht vor Werbung sicher

Nach der Prozedur steht im Ordner NETZWERK- UND DFÜVERBINDUNGEN ein weiteres Symbol zur Verfügung, dass die Verbindung zum Internet herstellt.

12.5.2 DFÜ-Verbindungen selbst konfigurieren Sie können die mit dem Assistenten erstellte Verbindung anschließend vollständig konfigurieren. Dazu gehen Sie in den Ordner NETZWERKUND DFÜ-VERBINDUNGEN. Wählen Sie im Kontextmenü der betreffenden Verbindung den Eintrag EIGENSCHAFTEN.

Wähloptionen Bei einer Wählverbindung beginnen Sie die Konfiguration mit der Angabe der Rufnummer und der Wählregeln.

536

12 Administration von Netzwerken

Abbildung 12.28: Angaben zu Modem und Rufnummer

Verbindungsoptionen Wahlwiederholoptionen

Die Wahlwiederholoptionen sind sinnvoll, wenn die Verbindung öfters nicht zustande kommt. Das betrifft vor allem Mobilfunkzugänge und ältere Modems, die bei Leitungsstörungen die Verbindung abbauen.

Leerlaufoption

Interessant ist die Leerlaufoption. Wenn Sie bei LEERLAUFZEIT einen Wert auswählen, wird die Verbindung nach dieser Zeit getrennt. Stellen Sie den Wert etwas geringer ein als der Zeittakt des Telefondiensteanbieters. Dann werden seltener Einheiten nur teilweise verbraucht. Generell ist zu empfehlen, hier eine Zeit einzutragen. Wenn Sie die Verbindung mal »vergessen«, entstehen keine ungewöhnlich hohen Kosten. Längere Downloads sind davon nicht betroffen – solange Daten übertragen werden, beginnt der Zeitgeber nicht zu zählen.

12.5 WAN-Verbindungen

537 Abbildung 12.29: Optionen während der Verbindung

Sicherheitseinstellungen Auf der Registerkarte SICHERHEITSEINSTELLUNGEN können Sie die Behandlung des Kennwortes einstellen. Normalerweise gibt diese Option der Provider vor. Üblicherweise werden Kennwörter für Verbindungen im Internet nicht verschlüsselt. Falls Sie besondere Sicherheitsansprüche haben oder Ihr Provider dies verlangt, können Sie hier auch folgende Einstellungen vornehmen: •

DATENVERSCHLÜSSELUNG. Diese Option definiert, wie sich der Client verhält, wenn der Server eine bestimmte Form der Verschlüsselung nutzt oder ablehnt.

•

FOLGENDE PROTOKOLLE ZULASSEN. Bestimmen Sie hier, welche Protokolle für den Verbindungsaufbau zugelassen werden. Die WANProtokolle wurden in Abschnitt 8.5 Absicherung von Internet- und WAN-Verbindungen ab Seite 276 beschrieben. Beachten Sie, dass Sie bei EAP über ein Zertifikat verfügen müssen.

Sie erreichen diese Einstellungen über ERWEITERT und die Schaltfläche BEARBEITEN (siehe Abbildung 12.30).

538

12 Administration von Netzwerken

Abbildung 12.30: Sicherheitseinstellungen

Umgang mit Anmeldeskripten Steuerung der Anmeldeprozedur

Falls die Anmeldeprozedur zusätzliche Eingaben verlangt oder durch ein Skript gesteuert werden muss, können Sie dies im unteren Teil des Dialogs angeben. Skripte enden auf SCP und verwenden eine spezielle Skriptsprache. Sie finden bereits vorkonfigurierte Skripte in folgendem Verzeichnis: %systemroot%\system32\ras Diese Skriptfunktion wurde aus Windows 95 übernommen, dort erstellte Skripte können auch unter Windows 2000 verwendet werden. Windows 2000 verfügt aber zusätzlich über eine eigene, generische Skriptsprache für Modemverbindungen.

Die Skripte verwenden spezielle Befehle. Wichtige Befehle sind: Die wichtigsten Skriptbefehle der alten Skriptsprache • delay x. Verzögert die Ausführung um x Sekunden. •

transmit "string". Übermittelt string an die Gegenstelle.

•

waitfor "string". Wartet solange, bis die Gegenstelle die Zeichenfolge string sendet.

12.5 WAN-Verbindungen •

539

set. Setzt eine interne Variable. Wichtige Variablen sind: -

port. Der serielle Port. Beispiele:

set port databits 7 set port parity even -

ipadr. Die IP-Adresse

•

integer variable=wert. Initialisiert eine Integer-Variable.

•

string variable=”wert”. Initialisiert eine Zeichenketten-Variable.

•

boolean variable=TRUE|FALSE. Initialisiert eine Boolesche-Variable.

•

$variable. Greift auf eine interne Variable zu. Wichtige interne Va-

Umgang mit Variablen

riablen sind: -

$USERID. Benutzername

-

$PASSWORD. Kennwort für die Verbindung

•

while bedingung do. Beginn einer bedingten Schleife.

•

endwhile. Ende der Schleife

•

goto label. Sprung zur Marke label.

•

label:. Definition einer Sprungmarke für goto.

•

if bedindung then. Einfache Bedingungsverzweigung.

•

end if. Ende der Bedingungsverzweigung.

•

else. Alternativer Zweig der Bedingungsverzweigung.

•

^M sendet ein Enter

Das Skript muss mindestens die Prozedur main umfassen, die folgenden Aufbau hat: proc main ... Befehle endproc Kommentare werden durch ein Semikolon eingeleitet. Das folgende Beispielskript zeigt die Anmeldung am T-OnlineClassic-Dienst (vormals BTX):

Steueranweisungen

Sonderzeichen

540 Abbildung 12.31: Skript zur Verbindung mit TOnline-Classic

12 Administration von Netzwerken proc main delay 1 transmit "." transmit "^M" waitfor "[?25h" ; Anschlusskennung senden transmit $USERID ; Mitbenutzernummer senden waitfor "[?25h" transmit "^M" ; Kennwort senden waitfor "[?25h" transmit $PASSWORD transmit "^M" ; Transparente Datenvorwarnung aus waitfor "[?25h" delay 1 transmit "*53#" ; Internet-Gateway aufrufen waitfor "[?25h" delay 1 transmit "*190144100#" ; 0.10 DM/min bestätigen delay 5 transmit "19" ; Zugangart und IP-Adresse abfragen delay 5 waitfor "STATUS OK" transmit "LIN^M" transmit "OK^M" waitfor "YOURIP" set ipaddr getip endproc Die Skriptfunktion wird in vollem Umfang nur für Modems unterstützt, die an der seriellen Schnittstelle angeschlossen sind.

Die generische Skriptfunktion script.inf

Mit der generischen Skriptfunktion SCRIPT.INF steht in Windows 2000 ein alternativer Weg für das Scripting des Verbindungsaufbaus zur Verfügung. Sie erreichen die entsprechende Datei, indem Sie als Skript GENERIC LOGIN auswählen und dann auf BEARBEITEN klicken. Jedes Skript besteht aus einer Folge von Befehlen und Rückmeldungen. Um dem Remotecomputer zu vermitteln, dass vor einer Rückmeldung nichts übermittelt wird, schreiben Sie: COMMAND= Durch die folgenden zwei Zeilen werden alle Rückmeldungen des Remotecomputers von allen Netzwerkverbindungen so lange ignoriert, bis der Remotecomputer zur Eingabe des Anmeldenamen auf-

12.5 WAN-Verbindungen fordert. Falls der Remotecomputer Sie zur Eingabe eines anderen Parameters (nicht Anmeldename) auffordert, müssen Sie "Login:" in der Zeile unten mit dem genauen Text, den der Remotecomputer verwendet, ersetzen: OK=<match>"ogin:" LOOP= Lassen Sie bei solchen Abfragen das ersten Zeichen weg, da es manchmal vorkommt, dass es verschluckt wird. Aus »Login« wird dann »ogin«. Die folgende Zeile ist äquivalent mit der Eingabe desselben Benutzernamen im Fenster VERBINDEN oder mit der Option KENNWORT SPEICHERN: COMMAND=<username> Durch das folgenden Beispiel werden alle Rückmeldungen des Remotecomputers von allen Netzwerkverbindungen so lange ignoriert, bis der Remotecomputer zur Eingabe des Kennworts auffordert, wobei erwartet wird, dass die Zeile die Zeichenfolge »Password« enthält: OK=<match>"Password:" LOOP= Die folgende Zeile ist äquivalent mit der Eingabe des Kennworts im Fenster VERBINDEN: COMMAND=<password> Durch die folgende Zeile wird die endgültige Rückmeldung des Computers ignoriert. OK=

Netzwerkprotokolle für die Verbindung Normalerweise werden Sie für die Internetverbindung nur TCP/IP benötigen. Alle anderen Protokolle sollten aus Sicherheitsgründen deaktiviert werden. Verbinden Sie sich mit einem Firmennetzwerk, aktivieren Sie nur das dort benötigte Protokoll. Als Typ des Einwahlservers eignet sich bei Internetverbindungen die Option: PPP: Windows 95/98/NT/2000, Internet Die drei PPP-Optionen sollten Sie, wie in der folgenden Abbildung gezeigt, aktivieren.

541

542

12 Administration von Netzwerken

Abbildung 12.32: PPP-Optionen

Die Einstellungen hängen wiederum vom Provider ab. Wenn Sie unsicher sind, stellen Sie alle Optionen auf »automatisch« oder »Adresse automatisch beziehen«. Abbildung 12.33: Angaben zum Einwahlserver

Zum Einstellen der TCP/IP-Optionen aktivieren Sie den Eintrag INTERNETPROTOKOLL in der Liste und wählen Sie dann EIGENSCHAFTEN.

12.5.3 Gemeinsame Internetverbindungen Eine der spannenden Funktionen in Windows 2000 ist die gemeinsame Nutzung der Internetverbindung. Darunter wird die Freigabe eines Internetzugangs für andere Benutzer im Netzwerk verstanden. Diese Funktion erfüllt also die gleiche Aufgabe wie ein dedizierter Router – vorausgesetzt, die Windows 2000 Professional-Station ist

12.5 WAN-Verbindungen

543

auch eingeschaltet. Benutzer anderer Computer können damit völlig transparent auf das Internet zugreifen. Falls es sich um eine Wählverbindung handelt, wird auch diese automatisch aktiviert. Diese Konfiguration wird bei Microsoft ICS (Internet Connection Sharing) genannt. Abbildung 12.34: Freigabe der Verbindung im Netzwerk

Nachfolgend werden ICS und mögliche Alternativen vorgestellt, wie beispielsweise Kabelmodem oder DSL-Verbindungen via Router.

ICS-Konfiguration Im Gegensatz zu anderen Netzwerkfunktionen wird bei der gemein- Internet samen Internetverbindung eine ganz bestimmte Konfiguration fest Connection eingestellt. Diese modifiziert auch andere, damit in Konflikt stehende Sharing Einstellungen. Sie müssen sich deshalb für eine bestimmte Konfiguration entscheiden. Außerdem müssen die folgenden Voraussetzungen im Netzwerk gegeben sein: •

Es darf kein DHCP-Server im Netzwerk sein

•

Es darf kein DNS-Server im Netzwerk sein

Der Grund ist einfach: ICS stellt automatisch DHCP- und DNSFunktionen zur Verfügung. Im Gegensatz zu den entsprechenden Ser-

544

12 Administration von Netzwerken verdiensten sind diese aber nicht konfigurierbar. Die folgende Tabelle zeigt die Einstellungen des ICS und die Konfiguration der primitiven DHCP- und DNS-Dienste.

Tabelle 12.4: ICSKonfiguration

ICS-Funktion

Einstellung

IP-ADRESSE

Die IP-Adresse des ICS-Computers wird fest auf 192.168.0.1 mit der Subnetzmaske 255.255.255.0 eingestellt.

WÄHLEN

Die Funktion AUTOMATISCHES WÄHLEN ist aktiviert

ROUTEN

Eine statische Route wird eingerichtet

ICS-DIENST

Startet automatisch

DHCP

Ein fest konfigurierter DHCP-Server startet und weist anderen Computern im Netzwerk Adressen aus den Bereich 192.168.0.2 bis 192.168.0.254 zu. Die Subnetzmaske ist immer 255.255.255.0

DNS

Hierfür wird ein Proxy aktiviert

Welche Art von Verbindung Sie so freigeben, spielt dabei keine Rolle. Es kann sich auch um die LAN-Verbindung zu einem Router handeln. Abbildung 12.35: Typisches ICSNetzwerk

12.5 WAN-Verbindungen

545

Das Einrichten einer Modem- oder ISDN-Verbindung unterscheidet Einrichten einer sich kaum von der einer normalen Internetverbindung. Am einfachs- Modem- oder ISDNten ist es, wenn Sie eine neue Verbindung im Ordner NETZWERK- UND Verbindung DFÜ-VERBINDUNGEN einrichten. Wählen Sie im Assistenten VERBINDUNG INS INTERNET HERSTELLEN und folgen Sie dann den Anweisungen. Sie können auch eine bereits vorhandene Verbindung im Netzwerk freigeben. Zum Aktivieren von ICS öffnen Sie den Dialog EIGENSCHAFTEN und dann die Registerkarte GEMEINSAME NUTZUNG. Aktivieren Sie das Kontrollkästchen GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG AKTIVIEREN. Wenn Sie diese Einstellung abschließen, wird der LAN-Adapter auf 192.168.0.1 eingestellt. Sie können diese Konfiguration nicht mit einer anderen Adresse zusammen verwenden. Falls ihr LAN mit festen IPNummern arbeitet, sollten Sie besser einen externen Router verwenden.

Abbildung 12.36: Freigabe der Internetverbindung

546

12 Administration von Netzwerken DSL per Router Wenn Sie DSL oder einen ISDN-Router haben, der selbst einen Netzwerkadapter enthält, so benötigen Sie einen zweiten Netzwerkadapter auch im ICS-Computer. Der ICS-Computer wird jetzt zum Router, der die beiden Teilnetzwerke verbindet. Dabei spielt es keine Rolle, ob der Diensteanbieter Ihnen feste oder dynamische IP-Adressen zugewiesen hat.

Abbildung 12.37: ICS-Computer mit zwei Netzwerkkarten

Jetzt konfigurieren Sie das interne Netz mit den im letzten Abschnitt beschriebenen ICS-Parametern. Die zweite Netzwerkkarte, zum Router oder DSL-Adapter, stellen Sie auf die IP des Diensteanbieters ein – entweder dynamisch oder mit der zugewiesenen IP-Nummer. T-DSL interconnect Eine typische Konfiguration ist T-DSL interconnect. In der einfachsten

Form wird folgende Übertragungsleistung zur Verfügung gestellt: •

Downstream 1,6 MBit/sec

•

Upstream 160 KBit/sec

•

Festverbindung

•

6 feste IP-Adressen, davon 5 frei verwendbar (1 Adresse wird vom Router belegt) in der kleinsten Variante

Offensichtlich ist es kein Problem, bei einem solchen Adressraum den vorhandenen Computern feste IP-Adressen zu geben. Mehrere Dinge sprechen jedoch dagegen. Zum einen kann schon ein Drucker den Ad-

12.5 WAN-Verbindungen

547

ressraum sprengen – Erweiterungen sind hier nicht vorgesehen. Zum anderen stellt die Konfiguration eine Sicherheitslücke dar, da jeder Computer im Netz direkt von außen erreichbar ist und gesondert abgesichert werden muss. Problematischer ist aber, dass die Telekom nach Volumen abrechnet und dazu den IP-Traffic am Ethernet-Port des Routers misst. Das umfasst aber, wenn sich lokales Netz und Router im selben Subnetz befinden, auch den lokalen Verkehr. Es wird also einfach nur teuer. Der geringe Preis eines zweiten Netzadapters sollte einem dies in jedem Fall Wert sein. Abbildung 12.38: So geht es nicht: Verbinden Sie ein DSL-Modem nie direkt mit dem Netzwerk

Mit dem ICS haben Sie eine einfache und komfortable Verbindung zum Internet für Ihr gesamtes Netzwerk.

12.5.4 Remote Verbindungen Remote Verbindungen werden ebenso wie alle anderen Netzwerkverbindungen im Ordner NETZWERK- UND DFÜ-VERBINDUNGEN konfiguriert. Durch die Natur der entfernten Verbindungen sind allerdings mehr Überlegungen zur Sicherheit und zur Absicherung eines schnellen Verbindungsaufbaus anzustellen. Die Einstellungen wirken sich auch auf die Konfiguration von TCP/IP aus. Zusätzlich stehen verbindungsspezifische Funktionen wie Wählen zur Verfügung.

548

12 Administration von Netzwerken Gruppenrichtlinien Mit verschiedenen Gruppenrichtlinien können Sie den Umgang der Benutzer mit den Netzwerkfunktionen kontrollieren. Mehr dazu finden Sie im Abschnitt 14.3 Gruppenrichtlinien ab Seite 613.

12.6 Administration von Peer-To-PeerNetzwerken Mit Windows 2000 Professional haben Sie beste Voraussetzungen, ein kleines Netzwerk ohne Server einzurichten und zu betreiben. Dieser Abschnitt geht auf die Konfiguration ein.

12.6.1 Peer-To-Peer-Netzwerk einrichten Die praktische Einrichtung eines Peer-to-Peer-Netzwerks ist mit Windows 2000 nicht besonders kompliziert. Ein paar Besonderheiten sind aber zu beachten, vor allem im Zusammenspiel mit Windows 98/ME.

Sicherheitsmodelle Windows 98 Windows 95 Windows ME

Peer-to-Peer-Netzwerke unter Windows 9x kennen nur ein Sicherheitsmodell – die Freigabeebene. Ressourcen in einem solchen Netz sind durch einen Benutzernamen und ein Kennwort geschützt. Alle Benutzer können sich mit der Ressource verbinden, wenn sie über diese Informationen verfügen.

Windows 2000

Unter Windows 2000 ist eine Freigabe von Ressourcen wie in Windows 9x nicht ohne weiteres möglich. Das Sicherheitsmodell verlangt, das Benutzer eingerichtet werden, denen Rechte zugeordnet werden können. Auch die Professional-Version hat deshalb einen Benutzermanager. Der Einsatz ist also keineswegs auf den Server beschränkt oder auf die Existenz eines Servers angewiesen.

Freigaben Dennoch gibt es auch unter Windows 2000 den Begriff Freigabe und ebenso wie in allen anderen Windows-Versionen steht die Funktion im Windows Explorer zur Verfügung. Freigaben können Sie für folgende Ressourcen einrichten: •

Ordner

•

Drucker

12.6 Administration von Peer-To-Peer-Netzwerken •

549

Netzwerkressourcen

Auf den ersten Blick erscheint das recht einfach. Sie wählen im Arbeitsplatz oder dem Explorer den Ordner aus, der freigegeben werden soll. Im Kontextmenü wählen Sie EIGENSCHAFTEN und im folgenden Dialog die Registerkarte FREIGABE. Sie können außerdem die Anzahl der Verbindungen zu dieser Ressource einstellen. Wenn Sie sich die Berechtigungen anschauen, hat Windows dort automatisch JEDER als berechtigten Benutzer eingetragen – mit allen Rechten. Abbildung 12.39: Freigabe eines Ordners

Eine ausführlichere Darstellung der Freigaben finden Sie im Abschnitt 12.6.3 Freigaben im Detail ab Seite 553.

550

12 Administration von Netzwerken

Abbildung 12.40: Einstellung der Berechtigungen unter FAT32

Die einstellbaren Berechtigungen hängen auch vom Dateisystem ab. Unter FAT32 können Sie nur folgendes einstellen:

Zugriffsproblem

•

VOLLZUGRIFF

•

ÄNDERN

•

LESEN

Wenn Sie jetzt schon eine Verbindung versuchen, erhalten Sie eine Fehlermeldung. Die Auswahl JEDER ist hier, wenn man das Gesamtkonzept nicht beachtet, irreführend. Denn damit ist gemeint, das jeder im System bekannte Benutzer Zugriff hat. Dazu müssen Sie aber die Benutzer im Benutzermanager erst anlegen. Der erste Schritt der Einrichtung besteht also im Anlegen aller im Netz bekannten Benutzer in Windows 2000 Professional. Dabei sollten Sie hier noch außer acht lassen, ob Sie einzelnen Benutzern später Zugriffsrechte erteilen oder nicht.

12.6 Administration von Peer-To-Peer-Netzwerken

12.6.2 Anbindung von Windows 9x-Clients Unter Windows 9x können Sie nur einen Benutzer einrichten, dessen Name und Kennwort bei der Anmeldung am Netzwerk übermittelt wird. Diese Prozedur finden immer dann statt, wenn eine Verbindung zu einer freigegebenen Ressource stattfindet. Das kann beim Start des Systems der Fall sein, muss aber nicht. Trifft er auf eine Ressource, die freigegeben wurde, wird diese zwar angezeigt, beim Zugriff selbst aber scheitert die Nutzung an der fehlenden Autorisierung des Benutzers.

Ohne Rechte Sie können auch unter Windows 2000 ein einfaches Netz einrichten, ohne sich um die Benutzerrechte zu kümmern. Gerade in kleineren Büros ist der Zugriff oft allen Benutzern gleichermaßen erlaubt. Der Aufwand einer richtigen Benutzerverwaltung lohnt nur selten. Trotzdem müssen die Nutzer angemeldet werden. Dazu gehen Sie folgendermaßen vor: 1. Ordnen Sie jeder Arbeitstation einen Benutzer zu 2. Melden Sie alle Benutzer in allen Windows 2000-Computern an, die Ressourcen verwalten 3. Geben Sie die Ressourcen frei Standardmäßig wird nun, wie oben beschrieben, jedem der Zugriff ohne weitere Einschränkungen gewährt.

Mit Gastkonto Windows 2000 verfügt außerdem über ein Gastkonto, dass Sie vielleicht schon von Windows NT 4 kennen. Dieses Konto ist durchaus geeignet, in einem einfachen Netz als universelles Zugriffskonto verwendet zu werden. Solche »Schlupflöcher« waren jedoch schon oft Grund für herbe Kritik an Windows. Immerhin dürften potenziellen Eindringlingen solche Standardkonten bekannt sein. Neu ist daher, dass das Gastkonto nach der Installation gesperrt ist.

551

552

12 Administration von Netzwerken

Abbildung 12.41: Das Gast-Konto ist standardmäßig gesperrt – so kann der Eintrag bei »Jeder« nichts bewirken

Um das Gastkonto freizugeben, müssen Sie den erweiterten Benutzermanager verwenden. Gehen Sie dazu folgendermaßen vor: •

In der Systemsteuerung wählen Sie VERWALTUNG.

•

In der Verwaltung öffnen Sie die COMPUTERVERWALTUNG und dort den Zweig LOKALE BENUTZER UND GRUPPEN.

•

Klicken Sie dann auf Gast und im Kontextmenü auf Eigenschaften

•

Löschen Sie das Kontrollkästchen KONTO IST DEAKTIVIERT.

12.6 Administration von Peer-To-Peer-Netzwerken

553 Abbildung 12.42: Aktivieren des Gastkontos

12.6.3 Freigaben im Detail Freigaben sind ein wichtiges Organisationsmittel für kleinere lokale Netze. Praktisch läuft die gesamte Bereitstellung von Ressourcen über Freigaben. Wie Sie diese richtig und vor allem sicher einrichten, behandelt der folgende Abschnitt.

Freigabeverwaltung Um Freigaben einfach verwalten zu können, gibt es ein zentrales Managementwerkzeug unter VERWALTUNG | COMPUTERVERWALTUNG im Zweig FREIGEGEBENE ORDNER. Die folgenden drei Informationen können dazu angezeigt werden: •

Freigaben

•

Sitzungen

•

Geöffnete Dateien

Der Ordner FREIGABEN zeigt alle Ressourcen an, die vom System oder Freigaben vom Administrator freigegeben wurden.

554

12 Administration von Netzwerken

Abbildung 12.43: Freigaben

Sie finden hier Angaben zu dem Namen des Ordners, den physischen Pfad zur Ressource und den Typ der Freigabe. Der Typ kann WINDOWS oder NETWARE sein. Der Typ MACINTOSH steht nur unter Windows 2000 Server zur Verfügung. Unter ANZAHL DER CLIENTUMLEITUNG ist die Anzahl der verbundenen Benutzer zu verstehen. Systemfreigaben

Einige Freigaben sind bereits vom System eingerichtet. Diese enden mit einem $-Zeichen und haben folgende Bedeutung: •

[LAUFWERKBUCHSTABE]$. Eine Freigabe, die es erlaubt, eine Verbindung zum Stammverzeichnis einer Speichereinheit des Computers herzustellen, angezeigt als A$, B$, C$, D$ usw. D$ ist beispielsweise ein Freigabename, mit dem ein Administrator über das Netzwerk auf das Stammverzeichnis des Laufwerks D: zugreifen kann. Bei Windows 2000 Professional können nur Mitglieder der Gruppen ADMINISTRATOREN und SICHERUNGSOPERATOREN auf diese Freigaben zugreifen.

•

ADMIN$. Eine Ressource, die während der Remoteverwaltung eines Computers vom System verwendet wird. Der Pfad dieser Ressource verweist immer auf das Systemstammverzeichnis von Windows 2000 (das Verzeichnis, in dem Windows 2000 installiert ist, beispielsweise C:\Winnt).

•

IPC$. Eine Ressource, die zum Freigeben der Named Pipes dient, die für die Kommunikation zwischen Programmen eingesetzt werden sind. Sie wird bei der Remoteverwaltung eines Computers und der Anzeige der freigegebenen Ressourcen eines Computers verwendet.

•

PRINT$. Eine Ressource, die bei der Verwaltung von Druckern von einem anderen Computer aus verwendet wird.

•

FAX$. Eine Freigabe auf einem Server, die von Faxclients zum Faxversand verwendet wird. Die Freigabe dient dem vorübergehenden Zwischenspeichern von Dateien und dem Zugriff auf die Deckblätter, die auf dem Server gespeichert sind.

12.6 Administration von Peer-To-Peer-Netzwerken

555

Bei den Sitzungen werden alle Benutzer angezeigt, die mit Ressourcen Sitzungen des Computers verbunden sind. Abbildung 12.44: Sitzungen

Sie können hier einen Benutzer auswählen und die Sitzung schließen. Dazu klicken Sie mit der rechten Maustaste auf den Namen und wählen dann den entsprechenden Befehl. Diese Liste zeigt alle geöffneten Dateien an. Sie können Dateien hier Geöffnete Dateien zwangsweise schließen, beispielsweise um eine Sicherung zu ermöglichen.

Zugriffsrechte NTFS besitzt erweiterte Zugriffsrechte, die sich nicht mit denen bei Zugriffsrechte der Freigabe eingerichteten decken müssen. Beide Rechte überlagern unter NTFS sich. Dabei wirkt insgesamt das restriktivere Recht. Wenn Sie einem Ordner im NTFS allgemein nur Leserechte geben, können Sie das mit einer Freigabe nicht übergehen. Da standardmäßig keine Einschränkungen im Zugriff bestehen, sollte das wenig Probleme bereiten. Sind die Sicherheitseinstellungen aber erst mal geändert, müssen Sie sowohl die Freigabe als auch die Dateisystemeinstellungen im Blick behalten. Der Unterschied wird deutlich, wenn Sie Freigaben auf einer FAT32Partition vornehmen. Dort stehen die Rechte für Freigaben zur Verfügung – die Sicherheitseinstellungen im NTFS natürlich nicht. Sicherheitseinstellungen im NTFS werden in Abschnitt 5.4.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 164 beschrieben. Die Zugriffsrechte der Freigaben wurden bereits am Anfang des Ab- Allgemeines schnitts erwähnt. Hinter den drei Möglichkeiten Lesen, Schreiben und Zugriffsrechte der Freigaben Vollzugriff verbergen sich konkret folgende Rechte: •

LESEN. Die Leseberechtigung ermöglicht dem Benutzer Folgendes: -

Anzeigen von Datei- und Unterordnernamen

-

Wechseln zu Unterordnern

-

Anzeigen von Daten in Dateien

-

Ausführen von Programmdateien

556

12 Administration von Netzwerken •

•

ÄNDERN. Die Berechtigung zum Ändern umfasst neben allen Leseberechtigungen Folgendes: -

Hinzufügen von Dateien und Unterordnern

-

Ändern von Daten in Dateien

-

Löschen von Unterordnern und Dateien

VOLLZUGRIFF. Der Vollzugriff entspricht der Standardberechtigung, die auf alle neu erstellten Freigaben erteilt wird. Diese umfasst neben allen Berechtigungen zum Lesen und Ändern folgendes Möglichkeiten, die allerdings auf NTFS-Medien beschränkt sind: -

Ändern der Berechtigungen

-

Übernahme des Besitzes

12.6 Administration von Peer-To-Peer-Netzwerken

Kapitel 13 Drucker einrichten und verwalten

13.1 Installation lokaler Drucker ................................559 13.2 Windows 2000 als Druckserver ...........................570 13.3 Netzwerkdrucker einbinden ...............................580 13.4 Weitere Druckfunktionen....................................594 13.5 Farbmanagement einsetzen .................................602

557

13.1 Installation lokaler Drucker

559

13 Drucker einrichten und verwalten Dieses Kapitel beschäftigt sich mit dem Einrichten und Verwalten von Druckern, wobei das Hauptaugenmerk den Belangen eines Windows 2000 Professional-Systems gilt. Im Vordergrund steht dabei die Nutzung von Arbeitsplatz- und Netzwerkdruckern. Ferner wird auch gezeigt, wie Sie die Professional-Version auch als Druckserver einrichten können. Den Grundlagen des Druckens unter Windows 2000 widmet sich das Kapitel 7 Drucken ab Seite 229.

13.1 Installation lokaler Drucker Die Installation eines lokalen Arbeitsplatzdruckers erweist sich auf- Unterstützung für grund der umfassenden Treiberunterstützung von Windows 2000 und mehr als 3000 der Hilfe des Assistenten im Zusammenspiel mit Plug&Play in den Drucker meisten Fällen als ein einfacher und schneller Vorgang. So werden standardmäßig über 3000 Drucker unterstützt.

13.1.1 Verwaltungsort lokaler Drucker Zentraler Verwaltungsort für die Drucker ist das Druckerkonfigurationsfenster, welches Sie über START | ENSTELLUNGEN | DRUCKER öffnen. Abbildung 13.1: Das Druckerkonfigurationsfenster

Hier sehen Sie alle in Ihrem System registrierten und eingerichteten Drucker. Über NEUER DRUCKER haben Sie die Möglichkeit, manuell die

560

13 Drucker einrichten und verwalten Installation eines neuen lokalen oder Netzwerkdruckers zu starten. Dazu sind allerdings entsprechende Administratorrechte notwendig. In den folgenden Abschnitten werden Ihnen die verschiedenen Möglichkeiten gezeigt, Drucker unter Windows 2000 Professional einzurichten.

13.1.2 Druckererkennung durch Plug&Play Die meisten modernen Drucker lassen sich heute über die Plug&PlayFunktionen von Windows 2000 erkennen und einbinden. Der Typ und das Modell des neuen Drucker wird dabei durch das Betriebssystem automatisch ermittelt und die passenden Treiber werden selbständig installiert. Sind diese Treiber, beispielsweise für ein brandneues Druckermodell, nicht in Windows 2000 enthalten, werden Sie zum Einlegen eines entsprechenden Datenträgers oder der Angabe eines alternativen Speicherortes aufgefordert. Die folgende Tabelle zeigt, bei welchen der wichtigsten Ports Plug&Play funktioniert und was es gegebenenfalls dabei zu beachten gibt: Tabelle 13.1: Lokale Port Anschlussports und die Plug&PlayParallel Fähigkeit Seriell

Plug&Play und Netzwerk

Plug&Play Eingeschränkt

Bemerkungen Erkennung nur bei Neustart oder manuellem Start des Hardwareassistenten

Nein

Keine Plug&Play-Fähigkeit

USB

Ja

Volle Plug&Play-Fähigkeit

IEEE1394

Ja

Volle Plug&Play-Fähigkeit

Plug&Play funktioniert über das Netzwerk nicht. Mit der Möglichkeit, auf einem Windows NT oder 2000-Druckserver auch die Clienttreiber mit zu installieren, können Sie aber eine ähnliche Funktionalität erreichen (siehe dazu auch Abschnitt 13.2.2 ab Seite 575).

Plug&Play am Parallelport Parallelport

Die traditionell am häufigsten benutzte Schnittstelle zum Anschluss eines Druckers ist nach wie vor der Parallelport. Dieser wurde durch diverse Erneuerungen wie ECP und EPP (siehe Abschnitt 7.4 ab Seite 242) zwar noch einmal aufgepeppt, für ein vollwertiges Plag and Play hat es allerdings nicht mehr gereicht.

Neustart...

Damit ein Drucker durch das System automatisch erkannt wird, ist entweder ein Neustart oder der manuelle Start des Druckerinstallationsassistenten notwendig.

13.1 Installation lokaler Drucker

561

Möchten Sie einen Neustart vermeiden, starten Sie den Druckerinstal- ...oder über den lationsassistenten für die Einbindung eines neuen Plug&Play- Assistenten Druckers über NEUER DRUCKER des Druckerkonfigurationsfensters (siehe Seite 559). Abbildung 13.2: Lokalen Drucker installieren

Nach dem Begrüßungsfenster des Assistenten geben Sie an, dass Sie einen LOKALEN DRUCKER installieren möchten. Damit die Plug&PlayFunktionen von Windows 2000 zur automatischen Erkennung des Druckers wirksam werden können, muss das entsprechende Kontrollkästchen aktiviert sein. Danach beginnt der Suchvorgang nach Plug&Play-Druckern. Abbildung 13.3: Suche nach einem neuen Drucker

562

13 Drucker einrichten und verwalten Während dieses Vorgangs werden auch alle in Frage kommenden Ports nach Druckern abgesucht, dies ist also nicht auf den Parallelport beschränkt. Das weitere Vorgehen bei der Installation eines gefunden Druckers wird im folgenden Abschnitt beschrieben.

Weiteres Vorgehen bei Finden eines Plug&Play-Druckers Wird ein Drucker über die Plug&Play-Funktionen von Windows 2000 gefunden, sehen Sie ein entsprechendes Mitteilungsfenster. Abbildung 13.4: Drucker gefunden...

Hier wird der Druckertyp und das Modell angezeigt, was aber noch nicht bedeutet, dass Windows 2000 auch einen entsprechenden Treiber parat hat. Die Bezeichnung wird während der Plug&Play Kommunikation durch den Drucker selbst übermittelt. Hat Windows 2000 einen entsprechenden Treiber, das kann übrigens auch ein nachträglich installierter des Druckerherstellers sein, der für einen anderen Installationsvorgang eingesetzt worden ist, werden alle benötigten Dateien selbständig kopiert und der Drucker eingerichtet. Bei der automatischen Installation eines Druckers durch Plug&Play wird die Netzwerkfreigabe durch Windows 2000 nicht selbstständig angelegt. Dies können Sie aber nachträglich manuell vornehmen (siehe Abschnitt 12.6.3 Freigaben im Detail ab Seite 553). Da sich der Markt für Tisch- und Bürodrucker, insbesondere für farbfähige Modelle, deutlich schneller entwickelt als Produktzyklen bei Betriebssystemen, wird es häufiger vorkommen, dass kein passender Treiber in Windows 2000 selbst zu finden ist. In diesem Fall gibt der Assistent eine Mittelung, dass er nun nach einem passenden Treiber suchen wird.

13.1 Installation lokaler Drucker

563 Abbildung 13.5: ...und doch nicht erkannt

In diesem Dialogfenster können Sie das weitere Vorgehen des Assistenten bei der Druckertreiberinstallation beeinflussen: •

NACH EINEM PASSENDEN TREIBER FÜR DAS GERÄT SUCHEN Sie veranlassen den Assistenten, selbstständig auf der Festplatte oder einem anderen externen Datenträgern nach einem Windows 2000-Treiber zu suchen. Das macht aber nur dann Sinn, wenn Sie auch wirklich wissen, dass ein solcher Treiber existiert. Wenn nicht, können Sie sich die zeitaufwändige Suche des Assistenten mit dem frustrierenden Ergebnis, dass nichts gefunden worden ist, sparen. Der bessere Weg kann dann gleich die Wahl des zweiten Weges sein, nämlich einen Treiber per Hand zuzuweisen.

Automatische Treibersuche

Haben Sie allerdings Kenntnis von einem neueren Treiber, können Sie im folgenden Dialog angeben, wo der Assistent diesen suchen soll. Abbildung 13.6: Angabe der möglichen Treiberquellen

564

13 Drucker einrichten und verwalten Bei neuen Druckermodellen werden Sie einen Treiber vielleicht auf der mitgelieferten CD finden oder Sie haben sich einen aktuellen über die Webseite des Herstellers besorgt. Nach Angabe des Speicherortes des Treibers wird dieser, wenn er denn durch den Assistenten erkannt und akzeptiert worden ist, angezeigt und die Installation kann fortgesetzt werden.

Abbildung 13.7: Keine gültige Signatur!

Bei neuen Modellen kann es vorkommen, dass die Treiber der Hersteller noch nicht über eine gültige digitale Signatur verfügen, die eine maximale Kompatibilität mit Windows 2000 garantieren sollen. Im Normalfall funktioniert ein solcher Treiber, gerade wenn er durch einen namhaften Hersteller bereitgestellt worden ist, ohne Probleme.

Treibersignatur

Legen Sie aber Wert auf eine größtmögliche Stabilität Ihres Systems, kann es besser sein, ausschließlich mit signierten Treibern zu arbeiten. Dann empfiehlt sich wieder der Weg, manuell einen kompatiblen Treiber zu dem Drucker zu installieren, der eventuell im Lieferumfang von Windows 2000 zu finden ist. Manuelle Installation eines Treibers

•

ALLE BEKANNTEN TREIBER ... ANZEIGEN ... SELBST AUSWÄHLEN Diese Option ist dann zu empfehlen, wenn Sie wissen, dass kein Treiber vorliegt und Sie einen alternativen Treiber eines kompatiblen Gerätes installieren wollen. Das ist übrigens der zu empfehlende Weg, der einer Installation eines veralteten oder unsignierten Treibers vorzuziehen ist, wenn Sie Wert auf größtmögliche Stabilität Ihres Windows 2000-Systems legen. Das weitere Vorgehen hierbei entspricht dem einer normalen manuellen Installation eines Druckers ohne Plug&Play und wird im nächsten Abschnitt ausführlich behandelt.

13.1 Installation lokaler Drucker

565

13.1.3 Manuelle Installation eines lokalen Druckers Für die manuelle Installation eines Druckers steht Ihnen ebenso wie bei der Installation durch Plug&Play ein hilfreicher Assistent zu Seite. Diesen starten Sie im Druckerkonfigurationsfenster, welches Sie über START | EINSTELLUNGEN | DRUCKER öffnen können, durch Doppelklick auf NEUER DRUCKER. Nach der Begrüßung durch den Assistenten wird das folgende Dialogfenster angezeigt: Abbildung 13.8: Start der manuellen Installation

Für die Installation eines lokal angeschlossenen Druckers gehen Sie über die erste Option. Wollen Sie den Drucker manuell installieren, vergessen Sie nicht, das Kontrollkästchen AUTOMATISCHE DRUCKERERKENNUNG... zu deaktivieren, da sonst die Suche nach Plug&Play-Geräten beginnt (siehe dazu auch Seite 560).

Anschlussport Im nächsten Schritt des Assistenten bestimmen Sie den Port, an dem der Drucker angeschlossen ist.

566

13 Drucker einrichten und verwalten

Abbildung 13.9: Anschlussport bestimmen

LPT1

Für einen lokalen Arbeitsplatzdrucker werden Sie üblicherweise den Parallelport LPT1 benutzen. Sie können aber auch einen alternativen Port, beispielsweise einen anderen Parallelport oder einen seriellen angeben. Üblicherweise verfügen moderne Arbeitsplatzcomputer heute über einen Parallelport (LPT1) für den Druckeranschluss.

Hinweis zu USB & FireWire

Einen Drucker, den Sie über USB oder IEEE1394 (FireWire) an Ihrem PC angeschlossen haben, können Sie hier nicht einbinden. Diese werden ausschließlich über die Plug&Play-Fähigkeiten dieser Ports erkannt. Das Vorgehen dazu finden Sie in Abschnitt 13.1.2 ab Seite 560.

FILE

Ist ein bestimmter Drucker physisch nicht verfügbar, können Sie für diesen trotzdem Druckdateien erstellen. Dazu verbinden Sie ihn mit dem Port FILE. Bei der Druckausgabe erfolgt dann die Aufforderung des Spoolers, einen Pfad und Dateinamen für die Speicherung der Druckdaten anzugeben. Diese Druckdatei können Sie dann beispielsweise auf einem anderen Computer an den dort angeschlossenen Drucker übermitteln. Eine Druckdatei, die Sie über den Port FILE erzeugen, wird speziell für den bestimmten Drucker über dessen Druckertreiber generiert und kann damit nur auf einem baugleichen oder kompatiblen Drucksystem ausgegeben werden.

Druckdatei direkt aus Anwendung

Alternativ zum Anschlussport FILE können Sie allerdings aus den meisten Anwendungen heraus auch in eine Druckdatei schreiben lassen. Das ist der einfachere Weg, wenn Sie diese Funktion nur gelegentlich nutzen wollen, als immer wieder den Port über die Druckerkonfiguration von Windows 2000 zu ändern. Zum komfortablen Umgang mit Druckdateien erfahren Sie mehr in Abschnitt Ausgeben fertiger Druckdateien ab Seite 596.

13.1 Installation lokaler Drucker

567

Neben den lokalen Anschlussports wie LPT1 oder FILE können Sie Alternative auch logische Ports angeben, die beispielsweise für eine Ansteuerung Netzwerkports eines Druckers über das Netzwerk geeignet sind. Das betrifft alle Netzwerkdrucksysteme, die nicht durch einen Windows-Druckserver über die Netbios-Netzwerkfreigaben oder im Active Directory bereitgestellt werden. Beispielsweise können das AppleTalk-Drucker (siehe Seite 590) oder Drucker sein, die über TCP/IP (SMP oder LPR; siehe auch Seite 584) eingebunden werden können. Zur Nutzung von freigegebenen Druckerressourcen im Windows-Netzwerk sind in Abschnitt 13.3.1 ab Seite 580 ausführliche Informationen zu finden. Nach Auswahl des Anschlussports können Sie das Druckermodell aus der Liste der mit Windows 2000 mitgelieferten Drucker auswählen. Abbildung 13.10: Auswahl des Druckermodells

Links in diesem Dialogfenster sehen Sie alle Hersteller, rechts die dazugehörigen Druckermodelle. Es sind hier im übrigen auch alle die Druckertreiber aufgeführt, die nicht standardmäßig in Windows 2000 unterstützt werden und die Sie bis zu diesem Zeitpunkt nachträglich installiert haben. Haben diese betreffenden Treiber keine MicrosoftSignatur, werden Sie später bei der Installation darauf hingewiesen. Nach Auswahl des entsprechenden Treibers können Sie den Namen des Druckers verändern, mit dem dieser sich dem Benutzer präsentiert.

568

13 Drucker einrichten und verwalten

Abbildung 13.11: Drucker benennen

Zusätzlich können Sie schon hier festlegen, ob der neue Drucker als Standarddrucker festgelegt werden soll. Danach haben Sie die Möglichkeit, die Freigabe des Druckers im Netzwerk festzulegen. Abbildung 13.12: Freigabe festlegen

Geben Sie hier den Namen an, unter dem die anderen Netzwerkarbeitsplätze den Drucker sehen. Haben Sie auch ältere WindowsClients im Netzwerk, beispielsweise mit Windows for Workgroups, darf dieser Name maximal acht Buchstaben, ohne Sonder- oder Leerzeichen, umfassen. Bei einem reinen Plug&Play-Drucker wird die Freigabe übrigens standardmäßig nicht aktiviert, diese müssen Sie, wenn erforderlich, im Nachhinein über das Kontextmenü des Druckers einstellen.

13.1 Installation lokaler Drucker

569

Abschließend können Sie Ihren freigegebenen Drucker noch mit einem einer Standortbezeichnung und einem Kommentar versehen. Abbildung 13.13: Informationen zum freigegeben Drucker

In einem Netzwerk mit mehr als drei Druckern können diese Informationen sehr nützlich sein und die Übersicht verbessern. Nach der Anfrage, ob eine Testseite ausgegeben werden soll, zeigt Ihnen der Assistent abschließend die Informationen zur Installation des neuen Druckers an. Abbildung 13.14: Fertigstellung des Assistenten

Hier haben Sie noch ein letztes Mal die Kontrollmöglichkeit und gegebenenfalls Chance zur Korrektur. Nach Druck auf FERTIGSTELLEN wird der Drucker angelegt und steht im System zur Verfügung.

570

13 Drucker einrichten und verwalten

13.2 Windows 2000 als Druckserver 10 gleichzeitige Verbindungen

Windows 2000 kann auch schon in der Professional-Version als Druckserver im Netzwerk eingesetzt werden. Beschränkt wird der Einsatz nur aufgrund der von Microsoft angegebenen Limitierung auf 10 Benutzer, die gleichzeitig im Netzwerk auf so einen Druckserver zugreifen können.

13.2.1 Konfiguration des Druckservers Die Einstellungen zum Druckserver finden Sie im Druckerordner unter DATEI | SERVEREIGENSCHAFTEN. Abbildung 13.15: Druckservereigenschaften aufrufen

In dem folgenden Konfigurationsfenster können Sie alle Einstellungen für Ihr Windows 2000 Professional-System festlegen, die sein Verhalten als Druckserver im Netzwerk beeinflussen.

Formulare Im ersten Register der Servereinstellungen können Sie die Formulare verwalten, die Ihr Druckserver anbieten soll.

13.2 Windows 2000 als Druckserver

571 Abbildung 13.16: Formulare verwalten

Hier finden Sie alle Papierformate, die der Druckserver generell über seine freigegebenen Drucker anbieten kann. Von Formularen ist deshalb die Rede, weil neben der eigentlichen Bogengröße auch ein nicht bedruckbarer Rand definiert werden kann. Zu den standardmäßig vorhandenen Formularen können Sie eigene Eigene Formulare definieren, die dann jeder Benutzer des freigegebenen Druckers im erstellen Netzwerk verwenden kann. Das betrifft natürlich auch Drucker, die lokal an Ihrem System installiert und nicht freigegeben sind. Zum Erstellen eines Formulars gehen Sie folgendermaßen vor: 1. Aktivieren Sie das Kontrollkästchen NEUES FORMULAR ERSTELLEN. 2. Geben Sie dem neuen Formular einen eindeutigen Namen. 3. Tragen Sie die Maße für die Bogengröße und die Druckbereichsbegrenzungen ein. 4. Sichern Sie das neue Formular über Druck auf FORMULAR SPEICHERN. Das Formular können Sie nun auch über die Einstellungen zu den Druckern bestimmten Papierschächten zuordnen, beispielsweise ein Formular Briefbogen in Schacht 2. Wählt ein Benutzer dann diesen Drucker aus, braucht er nur noch in seiner Anwendung als Papierformat Briefbogen wählen. Der Druckserver weist dann automatisch diesen Druckjob dem Schacht 2 zu.

572

13 Drucker einrichten und verwalten Beachten Sie, dass lokal für ein System oder einen Druckserver definierte Formulare nicht auf verfügbaren Netzwerkdruckern vorhanden sind, die Sie über einen anderen Druckserver verwenden.

Anschlüsse Über das zweite Register zu den Druckservereigenschaften können Sie zentral alle verfügbaren Anschlüssen einrichten. Abbildung 13.17: Anschlüsse einrichten

Neben der Verwaltung der lokalen Schnittstellen eignet sich dieses Dialogfenster vor allem zum Einrichten weiterer Netzwerkverbindungen, die nicht freigegebene Druckressourcen anderer WindowsDruckserver betreffen. Das sind vor allem die Einrichtung von Ports zu TCP/IP- oder AppleTalk-Druckern (siehe dazu auch Abschnitte 13.3.3 bis 13.3.5 ab Seite 584).

Treiber Hier erhalten Sie eine Liste aller direkt installierten Druckertreiber auf Ihrem System.

13.2 Windows 2000 als Druckserver

573 Abbildung 13.18: Liste installierter Druckertreiber

Dabei werden alle Treiber aufgeführt, die bislang installiert worden sind. Das betrifft auch die, für die der eingerichtete Drucker längst wieder gelöscht worden ist. Windows 2000 hält diese Treiber weiterhin gespeichert. Im Feld VERSION erkennen Sie auch, für welche Betriebssystemversionen Treiber verfügbar sind. In Abschnitt 13.2.2 ab Seite 575 wird beschrieben, wie Sie weitere Druckertreiber, beispielsweise für Windows 95 oder 98, für einen freigegebenen Drucker installieren können.

Erweiterte Optionen Das letzte Register im Dialogfenster zu den Druckservereinstellungen enthält weitergehende Optionen, mit denen Sie festlegen, wie sich der Druckserver bei der Abarbeitung von Aufträgen verhält.

574

13 Drucker einrichten und verwalten

Abbildung 13.19: Erweiterte DruckserverOptionen

Erweiterte Optionen

Folgende Einstellungen sind möglich: •

SPOOLORDNER Hier bestimmen Sie den Ort, an dem die zu spoolenden Daten gespeichert werden. Für umfangreiche Druckjobs empfiehlt sich die Angabe eines anderen Laufwerks als des Systemdatenträgers.

•

SPOOLERFEHLER PROTOKOLLIEREN Im Ereignisprotokoll werden Fehler des Spoolers aufgezeichnet.

•

SPOOLERWARNUNGEN PROTOKOLLIEREN Warnungen des Spoolers (beispielsweise Papiermangel) werden im Ereignisprotokoll aufgezeichnet.

•

SPOOLERINFORMATIONEN PROTOKOLLIEREN Hiermit werden alle Meldungen des Spoolers im Ereignisprotokoll aufgezeichnet. Diese Option müssen Sie aktivieren, wenn Sie Druckleistungen über das Ereignisprotokoll überwachen wollen (siehe auch Abschnitt 13.2.4 ab Seite 579).

•

SIGNALTON BEI FEHLERN Ein Signalton wird ausgegeben, wenn Druckerfehler auftreten.

•

BENACHRICHTIGEN, WENN REMOTEAUFTRÄGE GEDRUCKT WURDEN Ist diese Option aktiv, wird der Besitzer des Dokuments benachrichtigt. Dies erfolgt durch eine Popup-Box auf dem Druckserver.

13.2 Windows 2000 als Druckserver •

575

COMPUTER BENACHRICHTIGEN, WENN REMOTEAUFTRÄGE GEDRUCKT... Wenn diese Option aktiv ist erfolgt die Ausgabe der Druckinformation nicht auf dem Bildschirm des Druckservers, sondern auf dem des Computers des Besitzers.

13.2.2 Drucker freigeben und Client-Treiber einrichten Neben der Freigabe eines Druckers im Netzwerk können Sie für diesen auch entsprechende Sicherheitseinstellungen definieren sowie Client-Treiber hinterlegen, die eine komfortable Einbindung unter anderen Systemen ermöglicht.

Drucker freigeben Die Freigabe eines Druckers erreichen Sie über das Kontextmenü des entsprechenden Druckers im Druckerkonfigurationsfenster (erreichbar über START | EINSTELLUNGEN | DRUCKER). Abbildung 13.20: Kontextmenü eines Druckers

Im folgenden Dialogfenster bestimmen Sie den Freigabenamen, mit dem der Drucker im Netzwerk erscheinen soll.

576

13 Drucker einrichten und verwalten

Abbildung 13.21: Drucker freigeben

Ist die Wahrung der Kompatibilität zu älteren Clients wichtig, beispielsweise zu Computern mit Windows for Workgroups, sollte der Freigabename maximal acht Zeichen (ohne Leer- und Sonderzeichen) umfassen. Auch von Windows 95 ist bekannt, dass Namen mit Leerzeichen nicht erkannt werden. Zusätzlich können Sie weitere Treiber für Clients anderer Betriebssysteme installieren (siehe nächster Abschnitt).

Client-Treiber installieren Um eine Installation eines freigegebenen Netzwerkdruckers auf einem anderen Windows-Client zu vereinfachen und zu beschleunigen, können Sie für den Drucker entsprechende Client-Treiber auf dem Druckserver hinterlegen. Seitens des Windows-Clients genügt dann ein einfacher Doppelklick auf die Netzwerkressource und die Treiber werden vom Server geladen und installiert.

13.2 Windows 2000 als Druckserver

577 Abbildung 13.22: Zusätzliche Treiber installieren

Für die Installation des Treibers aktivieren Sie das gewünschte Client- Server-CD Betriebssystem aus der angezeigten Liste. Mit Druck auf OK wird notwendig dann nach der Windows 2000 Server-CD verlangt. Haben Sie diese nicht zur Verfügung, können Sie diese Meldung übergehen und einen alternativen Speicherort für den Treiber angeben. Im Gegensatz zu Windows NT 4 wird die Windows 95/98-CD nicht benötigt. Nach der Installation des Treibers kann ein entsprechender Client automatisch mit dem richtigen Treiber bei der Installation des Netzwerkdruckers versorgt werden.

Sicherheitseinstellungen festlegen Für jeden eingerichteten Drucker sind auch spezifische Sicherheitseinstellungen definierbar. Über die Eigenschaften des Druckers können Sie diese einstellen.

578

13 Drucker einrichten und verwalten

Abbildung 13.23: Sicherheitseinstellungen festlegen

Administration deligieren

Wollen Sie beispielsweise einem weiteren Benutzer die Administration des Druckers übertragen, fügen Sie diesen in die Liste hinzu und erteilen ihm die entsprechenden Rechte DRUCKER VERWALTEN beziehungsweise DOKUMENTE VERWALTEN.

13.2.3 Einrichten als IPP-Druckserver Internet Printing Protocol

Um ein Windows 2000 Professional-System für die Bereitstellung seiner freigegebenen Druckerressourcen über das Internet Printing Protocol (siehe dazu auch Abschnitt 7.5.2 Das Internet Printing Protocol ab Seite 247) einzurichten, muss zunächst der Internet Information Server (IIS) installiert werden. Damit wird dem System die notwendige Webserverfunktionalität verliehen, über die dann das IPP serverseitig angeboten werden kann. Clients können dann über ihren Webbrowser auf die Druckerressourcen zugreifen (siehe dazu Abschnitt 13.3.2 Netzwerkdrucker über IPP einbinden ab Seite 581).

IIS installieren

Die Installation und Konfiguration des Internet Information Server ist Inhalt des Kapitels 15 Internet Informationsdienste ab Seite 645. Nach der Installation des IIS können Sie leicht testen, ob auf Ihrem System IPP funktioniert, indem Sie im Explorer die folgende URL eingeben:

13.2 Windows 2000 als Druckserver

579

http://localhost/printers Ist alles ordnungsgemäß eingerichtet, bekommen Sie die Website ihres lokalen Systems mit der Anzeige aller Drucker. Abbildung 13.24: Freigegebene Drukker auf localhost

Anders als die Website zunächst impliziert, sehen Sie natürlich nicht Druckerfreigaben alle, sondern nur die freigegebenen Drucker. Wollen Sie einen bestimmten Drucker aus dieser Liste entfernen, reicht es, die Freigabe in den Druckereinstellungen (über START | EINSTELLUNGEN | DRUCKER) zu entfernen. Andere Benutzer im Intranet oder im Internet, falls der Computer als Rechte »richtiger« Webserver fungiert, können nun die Druckwarteschlangen einsehen und gegebenenfalls auf Druckjobs Einfluss nehmen. Dazu müssen aber die entsprechenden Rechte für die Nutzer eingerichtet worden sein. In einem kleineren Netzwerk können Sie dies für Ihr System über die Managementkonsole LOKALE BENUTZER UND GRUPPEN, in einer Active Directory-Umgebung entsprechend über ACTIVE DIRECTORY BENUTZER UND GRUPPEN. Weitere Hinweise zur clientseitigen Einrichtung erfahren Sie in Abschnitt 13.3.2 Netzwerkdrucker über IPP einbinden ab Seite 581.

13.2.4 Überwachung von Druckleistungen Die Ausführung von Druckjobs können Sie im Ereignisprotokoll aufzeichnen lassen. Voraussetzung ist eine entsprechende Einstellung der erweiterten Optionen in den Druckservereinstellungen (siehe dazu Abschnitt 13.2.1 Konfiguration des Druckservers ab Seite 570). Dem Ereignisprotokoll können Sie dann regelmäßig entnehmen, welches Druckvolumen die einzelnen Benutzer in Anspruch genommen haben. Druckereignisse werden dabei im Systemprotokoll gespeichert.

580

13 Drucker einrichten und verwalten

Abbildung 13.25: Druckvolumen eines Auftrags

Protokolle speichern

Wollen Sie regelmäßig die Druckvolumina der Benutzer auswerten, ist das Ereignisprotokoll sicher nicht übersichtlich genug. Sie können aber mit Hilfe nützlicher Zusatzprogramme wie beispielsweise DUMPEVT automatisch in Excel importierbare Textdateien aus dem Ereignisprotokoll extrahieren (siehe auch Abschnitt 16.2.6 Protokolle speichern und weiterverarbeiten ab Seite 726).

13.3 Netzwerkdrucker einbinden Die Einbindung von im Netzwerk bereitgestellten Drucksystemen in ein Windows 2000 Professional gehört mit zu den häufigsten Konfigurationsaufgaben. Neben der Unterstützung der Windows-eigenen Netzwerkwelt mit den Netbios-Freigabenamen und dem neuen Active Directory können Sie auch Drucksysteme ansteuern, die aus anderen Systemwelten angeboten werden. In diesem Abschnitt werden diese clientseitigen Netzwerkdruckfunktionen von Windows 2000 Professional vorgestellt.

13.3.1 Drucker im Windows-Netzwerk einbinden Die Einbindung von Netzwerkdruckern, die durch einen WindowsDruckserver bereitgestellt werden, ist auf verschiedene Arten und Weisen möglich.

13.3 Netzwerkdrucker einbinden

581

Eine der einfachsten Möglichkeiten gibt es über die angezeigte Netzwerk-Druckressource eines Windows-Computers. Öffnen Sie dazu NETZWERKUMGEBUNG auf dem Desktop und suchen Sie den Computer, der die gewünschte Ressource bereitstellt. Abbildung 13.26: Anzeige der ServerNetzwerkressourcen

Über VERBINDEN des Kontextmenüs des angezeigten Netzwerkdruckers können Sie dann die Einbindung auf Ihrem System vornehmen. Falls vom Druckserver bereitgestellt, werden dann alle notwendigen Dateien des Druckertreibers automatisch installiert. Anderenfalls werden Sie zur manuellen Installation des Treibers aufgefordert. Neben der beschriebenen haben Sie auch noch die folgenden Möglich- Weitere Möglichkeiten keiten, einen Netzwerkdrucker einzubinden: •

Ziehen Sie das Symbol des Netzwerkdruckers in den Druckerordner.

•

Geben Sie den Netzwerkpfad oder die URL des Netzwerkdrucker direkt im Dialogfeld START | AUSFÜHREN ein.

13.3.2 Netzwerkdrucker über IPP einbinden Über das Internet Printing Protocol (IPP; siehe dazu auch Abschnitt 7.5.2 Das Internet Printing Protocol ab Seite 247) können Sie auf Druckservern freigegebene Drucker mit Hilfe eines normalen InternetBrowser einsehen und verwalten. Um einen mit IPP arbeitenden Webserver anzusprechen, geben Sie im Browser die folgende URL an: http://<webserver>/printers/ Für <webserver> kann auch eine konkrete IP-Adresse eines Computers stehen, der über IPP Druckressourcen anbietet.

582

13 Drucker einrichten und verwalten

Abbildung 13.27: Freigegebene Drucker über IPP im Browser

Über einen Mausklick auf einen der angebotenen Drucker gelangen Sie in die Anzeiger der entsprechenden Druckwarteschlange. Abbildung 13.28: Anzeige der Druckwarteschlange

Druckjob abbrechen

Wollen Sie einen Druckjob abbrechen, markieren Sie diesen und gehen über ABBRECHEN unter DOKUMENTENVORGÄNGE. Das können Sie problemlos auf Ihre eigenen Druckjobs anwenden. Wollen Sie andere Jobs entfernen, benötigen Sie dazu die entsprechenden administrativen Rechte. Sie werden dann aufgefordert, sich an dem Server mit Benutzernamen und Kennwort zu authentifizieren. Das betrifft auch andere Verwaltungsaufgaben wie das Anhalten und Fortsetzen von Druckvorgängen oder das Abbrechen aller Druckaufträge. Über EIGENSCHAFTEN können Sie die technischen Merkmale des Drucksystems einsehen.

13.3 Netzwerkdrucker einbinden

583 Abbildung 13.29: Eigenschaften des Druckers anzeigen

Wollen Sie einen Netzwerkdrucker über IPP einbinden, gehen Sie über Druckereinbindung den Link VERBINDUNG HERSTELLEN. Dieser Link ist übrigens nur auf den Systemen verfügbar, für die entsprechende Client-Treiber vorhanden sind. Auf einem Apple Macintosh oder einem Linux-System können Sie zwar auch die Drucker einsehen und Druckjobs verwalten, eine Druckereinbindung über den Browser ist allerdings nicht möglich. Abbildung 13.30: Download des Druckertreibers

Bei einem Client mit Windows allerdings erfolgt die Druckereinbindung denkbar einfach. Über den Link VERBINDUNG HERSTELLEN werden automatisch alle benötigten Dateien auf den Computer geladen und der Drucker wird eingerichtet. Danach steht er im Druckerfenster, erreichbar über START | EINSTELLUNGEN | DRUCKER zur Verfügung.

584

13 Drucker einrichten und verwalten Die Einrichtung eines Windows 2000-Systems als IPP-Druckserver wird in Abschnitt 13.2.3 Einrichten als IPP-Druckserver ab Seite 578 beschrieben.

13.3.3 Einbinden von TCP/IP-Druckern SMP und SNMP

Für die Ansteuerung von TCP/IP-Druckern wurde in Windows der neue Standard TCP/IP Port Monitor (SPM) implementiert. Dieser ist kompatibel zum in der UNIX-Welt verbreiteten Simple Network Management Protocol (SNMP) gemäß RFC 1759. Gegenüber dem bisher bevorzugten TCP/IP-Druckverfahren über LPR (siehe Abschnitt 13.3.4) zeichnet sich SPM durch eine einfachere Installation aus. Hinzu kommt die Möglichkeit, vom Drucker detailliertere Rückmeldungen zu erhalten. Dazu muss aber auch der Drucker SPM beziehungsweise SNMP beherrschen. Drucksysteme, die Sie so über TCP/IP ansteuern können, werden beispielsweise durch HPs JetDirect-Karten oder Intels Netport ins Netzwerk eingebunden.

Installation wie lokaler Drucker

Zum Installieren eines neuen Druckers, der mit SPM angesteuert wird, gehen Sie über NEUER DRUCKER im Druckerfenster (START | EINSTELLUNGEN | DRUCKER). Wichtig ist, dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben und das Kontrollkästchen für die AUTOMATISCHE DRUCKERERKENNUNG deaktivieren.

Abbildung 13.31: Lokaler Drucker auswählen

Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie über EINEN NEUEN ANSCHLUSS ERSTELLEN den STANDARD TCP/IPPORT aus.

13.3 Netzwerkdrucker einbinden

585 Abbildung 13.32: Standard TCP/IPPort als Anschluss wählen

Im nächsten Dialogfenster geben Sie im ersten Eingabefeld den Hostnamen oder die IP-Adresse des Drucksystems an. Wird vom Hersteller des Systems nicht explizit ein Portname angegeben, lassen Sie das zweite Eingabefeld unberührt. Hier trägt der Assistent einen Standardnamen ein, der in der Regel auch für den Drucker gültig ist.

Danach versucht der Assistent, mit dem Drucksystem Kontakt aufzunehmen. Gelingt dies, ist damit die Einbindung meist schon fertig.

586

13 Drucker einrichten und verwalten

Abbildung 13.33: Einbindung erfolgreich

Keine Einbindung gelungen

Abbildung 13.34: Manuelle Konfiguration des SPM

Wird kein entsprechender Netzwerkdrucker gefunden, erfolgt eine entsprechende Fehlermeldung und die Möglichkeit, eine entsprechende Netzwerkkarte manuell aus der Liste der mit Windows 2000 mitgelieferten Treiber auszuwählen oder per Hand in die Konfiguration einzugreifen.

13.3 Netzwerkdrucker einbinden

587

Die LPR-Einstellungen in diesem Dialogfeld sind nicht zu verwechseln mit dem LPR-Port, über den Sie einen Unix-Drucker einbinden können (siehe Abschnitt UNIX-Druckdienste über LPR 13.3.4). Gehen Sie bei den Einstellungen in diesem Dialogfenster gemäß den Anweisungen des Herstellers Ihres Drucksystems vor.

13.3.4 UNIX-Druckdienste über LPR Windows 2000 unterstützt auch in der Professional-Version die Einbindung von Unix-Druckern über den LPR-Port (Line Printer). Wichtigste Voraussetzung dazu ist die Installation der Unix-Druckdienste.

Installation der Unix-Druckdienste Öffnen Sie das Eigenschaften-Fenster der Netzwerkumgebung auf dem Desktop. Über ERWEITERT | OPTIONALE NETZWERKKOMPONENTEN können Sie dann weitere Dienste für den Netzwerkbetrieb installieren. Abbildung 13.35: Installation optionaler Netzwerkkomponenten

Im dann folgenden Auswahlfenster WINDOWS-KOMPONENTEN aktivieren Sie WEITERE DATEI- UND DRUCKDIENSTE FÜR DAS NETZWERK.

588

13 Drucker einrichten und verwalten

Abbildung 13.36: Unix-Druckdienste installieren

Nach der Installation der Unix-Druckdienste steht der LPR-Port sofort zur Verfügung. Ein Neustart des Systems ist nicht notwendig.

Drucker über LPR einbinden Bei einem über den LPR-Port angebundenen Drucker eines UnixHosts unter Windows 2000 wird der Druckjob direkt an dessen Spooler übergeben. Danach erfolgt die Verwaltung des Jobs dort, der Windows Spooler hat dann keine Kontrolle mehr darüber. Installation wie lokaler Drucker

Zum Installieren eines neuen Drucker, der mit LPR angesteuert wird, gehen Sie über NEUER DRUCKER im Druckerfenster (START | EINSTELLUNGEN | DRUCKER). Wichtig ist, dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben und das Kontrollkästchen für die AUTOMATISCHE DRUCKERERKENNUNG deaktivieren.

13.3 Netzwerkdrucker einbinden

589 Abbildung 13.37: Für LPR Lokaler Drucker auswählen

Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie über EINEN NEUEN ANSCHLUSS ERSTELLEN den LPR-PORT aus. Abbildung 13.38: LPR-Port als Anschluss wählen

Geben Sie im nächsten Dialogfenster die IP-Adresse oder den Hostnamen des Unix-Servers ein, der den Port bereitstellt. Dazu tragen Sie den Namen des Druckers auf diesem Server ein. Abbildung 13.39: Host- und Druckernamen angeben

590

13 Drucker einrichten und verwalten Meist wird der Standard-Druckerport auf einem Unix-System mit »lp« bezeichnet. Es können aber auch andere Bezeichnungen Verwendung finden. Wichtig ist hier auf jeden Fall die Unterscheidung zwischen Groß- und Kleinschreibung. Der Rest der Installation entspricht dann wieder mit der weiteren Auswahl des Druckertreibers dem normalen Vorgehen bei lokalen Druckern und ist in Abschnitt 13.1.3 Manuelle Installation eines lokalen Druckers ab Seite 565 beschrieben.

Windows 2000 als LPR-Druckserver Automatisch mit den Unix-Druckdiensten

Mit der Installation der Unix-Druckdienste wird auch die LPRDruckserverfunktion mit zur Verfügung gestellt. Sie können dann sofort von anderen Unix-Clients freigegebene Drucker auf Ihrem Windows-Computer ansteuern. Dabei entspricht dann der Hostname oder die IP-Adresse dem LPR-Host, der Freigabename dem Druckernamen.

13.3.5 AppleTalk-Druckunterstützung Unter Windows 2000 Professional wird auch die Anbindung an Drucker über das AppleTalk-Protokoll unterstützt. Voraussetzung dazu ist die Installation des AppleTalk-Protokolls.

Installation des AppleTalk-Protokolls Öffnen Sie dazu das Eigenschaften-Fenster der Netzwerkumgebung auf dem Desktop. Über die Eigenschaften-Fensters der LANVERBINDUNG installieren Sie dann zusätzlich das Protokoll AppleTalk.

13.3 Netzwerkdrucker einbinden

591 Abbildung 13.40: Installation des AppleTalkProtokolls

Nach der Installation steht das AppleTalk-Protokoll zur Verfügung. Ein Neustart ist nicht notwendig.

Einbinden eines AppleTalk-Druckers Zum Installieren eines neuen Drucker, der über AppleTalk angesteu- Installation wie ert wird, gehen Sie über NEUER DRUCKER im Druckerfenster (START | lokaler Drucker EINSTELLUNGEN | DRUCKER). Wichtig ist, dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben und das Kontrollkästchen für die AUTOMATISCHE DRUCKERERKENNUNG deaktivieren.

592

13 Drucker einrichten und verwalten

Abbildung 13.41: Für LPR Lokaler Drucker auswählen

Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie über EINEN NEUEN ANSCHLUSS ERSTELLEN den Eintrag APPLETALKDRUCKER aus. Abbildung 13.42: Anschluss AppleTalk-Drucker auswählen

Das Netzwerk wird anschließend durchsucht und alle gefundenen Zonen und Drucker angezeigt.

13.3 Netzwerkdrucker einbinden

593 Abbildung 13.43: Gefundene AppleTalk-Drucker

Wählen Sie hier den gewünschten Drucker aus. Danach können Sie AppleTalk-Drucker bestimmen, ob Sie den AppleTalk-Drucker übernehmen wollen. Das übernehmen bedeutet, dass andere Computer, wie beispielsweise auch MacintoshClients, den Drucker dann über das AppleTalk-Protokoll nicht mehr finden. Abbildung 13.44: Frage nach Übernahme des AppleTalk-Geräts Das macht nur dann Sinn, wenn ausschließlich über den Druckerspooler des Druckservers gedruckt werden soll. Da die Übernahme auch noch mit einer zusätzlichen Netzwerkbelastung verbunden ist (es werden in kurzen Abständen kleine Datenpakete an den Drucker gesandt), kann man von der Nutzung dieser Funktion abraten. Die Übernahme eines AppleTalk-Druckers können Sie jederzeit über die Konfiguration des AppleTalk-Anschlussports wieder ändern. Der Rest der Installation entspricht dann wieder mit der weiteren Auswahl des Druckertreibers dem normalen Vorgehen bei lokalen Druckern und ist in Abschnitt 13.1.3 Manuelle Installation eines lokalen Druckers ab Seite 565 beschrieben.

Windows 2000 als AppleTalk-Druckserver Die Verwendung eines Windows 2000-Systems als AppleTalk-Datei- Windows 2000 und Druckserver ist nur mit einer der Servervarianten möglich. Unter Server Windows 2000 Professional können lediglich AppleTalk-Drucker genutzt werden.

594

13 Drucker einrichten und verwalten

13.4 Weitere Druckfunktionen Dieser Abschnitt beschreibt weitergehende Druckfunktionen, die Ihnen unter Windows 2000 zur Verfügung stehen.

13.4.1 Drucken aus MS-DOS-Anwendungen Ältere Anwendungen, die noch unter MS-DOS laufen und keine direkte Windows-Unterstützung mitbringen, sind auch heute noch aus manchen Büros nicht wegzudenken. Für die Druckausgabe auf einen lokalen Port wie LPT1 werden in der Regel keine besonderen Einrichtungen erforderlich sein. Solange die Anwendung im MS-DOSKompatibilitätsmodus von Windows 2000 reibungslos funktioniert, wird auch die Druckausgabe an die Parallelschnittstelle kein Problem darstellen. Netzwerkdrucker und andere Ports

Anders sieht es aus, wenn der benötigte Drucker nur über eine Netzwerkfreigabe oder gar über einen der neuen Ports wie USB oder IEEE1394 (FireWire) anzusteuern ist. Hier werden die meisten MSDOS-Programme keinen Weg zum Druck kennen. Windows 2000 kennt wie der Vorgänger NT glücklicherweise die Möglichkeit, den benötigten LPT-Port auf eine Netzwerkfreigabe umzuleiten. Für einen Drucker, der beispielsweise über USB lokal angeschlossen ist, müssen Sie deshalb zunächst eine Freigabe einrichten (siehe auch Abschnitt 13.2.2 Drucker freigeben und Client-Treiber einrichten ab Seite 575). Mit Hilfe des NET-Befehls können Sie dann den gewünschten LPT-Port auf die Netzwerkfreigabe umleiten:

LPT umleiten

net use LPT1: \\Druckserver\Drucker1 /YES In diesem Beispiel wird LPT1, die erste parallele Schnittstelle, auf einen Netzwerkdrucker umgeleitet. Dies kann natürlich auch LPT2 oder 3 sein, diese drei sind standardmäßig unter Windows 2000 verfügbar. Mit der Option /YES geben Sie übrigens an, dass eventuell bereits gesetzte Umleitungen und die darauf folgende Rückfrage übergangen wird. Das kann beim Einsatz dieses Befehls in einer Stapelverarbeitungsdatei nützlich sein. Denken Sie nur daran, dass Sie mit der Umleitung von LPT1 den lokalen physischen Parallelport außer Kraft setzen. Wenn Sie diesen benötigen, sollten Sie einen der anderen Parallelports verwenden oder diesen nach Gerbrauch durch die MS-DOS-Anwendung wieder freigeben:

13.4 Weitere Druckfunktionen net use LPT1: /d

595 Umleitung wieder

Dies kann notwendig sein, wenn eine alte Anwendung ausschließlich aufheben Drucker am Parallelport 1 ansteuern kann. Wenn Sie diese beiden Befehlszeilen in die Stapelverarbeitungsdatei einfügen, mit der diese Anwendung aufgerufen wird, haben Sie eine mögliche Lösung für das Problem.

13.4.2 Drucken per Drag&Drop Die vereinfachte Benutzerführung in Windows 2000 gilt auch für das bequeme Drucken von Dokumenten. Dieser Abschnitt zeigt, welche Voraussetzungen dazu notwendig sind und wie Sie auch fertige Druckdateien per Mausklick oder Drag&Drop ausgeben können.

Drucken von Dokumenten Unter Windows 2000 ist es möglich, Dokumente per Drag&Drop zum Anwendung Drucken zu bringen. Voraussetzung ist, dass für das zu druckende bekannt Dokument eine Applikation vorhanden und in der Registrierung bekannt ist. Dann können Sie Dokumente auf das Druckersymbol ziehen, entweder im Druckerordner oder bequemer durch eine Verknüpfung mit dem Drucker auf dem Desktop. Der Druckbefehl steht außerdem im Kontextmenü zum Dokument im Windows Explorer zur Verfügung: Abbildung 13.45: Druckbefehl im Kontextmenü

Nach Start des Druckbefehls wird das Dokument mit Hilfe von DDE (Dynamic Data Exchange) an die Anwendung übergeben und mit deren Druckfunktionen genau einmal ausgegeben. Benötigen Sie mehrere Kopien oder andere spezielle Druckereinstel- Spezielle lungen, müssen Sie dies zuvor im Druckertreiber einstellen oder das Einstellungen Dokument konventionell mit der Anwendung öffnen und drucken.

596

13 Drucker einrichten und verwalten Ausgeben fertiger Druckdateien

Druckdateien erstellen

Nicht immer sind alle Drucksysteme mit allen Computern vernetzt und stehen damit dem Benutzer direkt zur Verfügung. Einen Ausweg bieten für den entsprechenden Drucker erzeugte Druckdateien. Diese können Sie erstellen, wenn Sie die Druckausgabe in eine Datei umleiten (siehe auch Seite 566). Der standardmäßige Dateityp derart erzeugter Druckdateien ist meist PRN. Für die Ausgabe einer solchen Datei auf einen lokal angeschlossenen Drucker könnte man meinen, diese einfach per Drag&Drop oder mit Doppelklick wieder auszugeben. Aber leider passiert bei jeder dieser Aktionen nichts dergleichen. Bei Doppelklick erscheint nur ein Dialogfenster zur Angabe einer dazugehörigen Anwendung. Ziehen Sie die Druckdatei per Drag&Drop auf das Druckersymbol im Druckerkonfigurationsfenster (über START | EINSTELLUNGEN | DRUCKER), erscheint, wenn der betreffende Drucker noch nicht der Standarddrucker ist, zunächst eine vielversprechende Aufforderung:

Abbildung 13.46: Drucker als Standard definieren?

Die dann folgende Fehlermeldung zeigt wieder nur an, dass keine Anwendung mit Ihrem Druckjob verknüpft ist. Abbildung 13.47: Drucken ist nicht!

Da Windows 2000 so auf einer Anwendung besteht, kann die Lösung hier die Erstellung einer solchen für die Weiterleitung einer Druckdatei an den Drucker sein. Im folgenden Text wird eine solche einfache Möglichkeit gezeigt, die Sie problemlos weiteren Anforderungen anpassen können. Anwendung zur Druckausgabe erstellen

Die einfachste Methode zur Programmierung einer Anwendung, die eine übergebene Datei an einen Druckerport ausgibt, ist die Erstellung einer Stapelverarbeitungsdatei: copy %1 LPT1 Diese kleine Stapelverarbeitungsdatei, die hier nur eine Zeile enthält, können Sie mit dem Texteditor erzeugen. Mit Hilfe des copy-Befehls wird die über den Kommandozeilenparameter %1 übergebene Datei auf den parallelen Port LPT1 ausgegeben. Statt LPT1 können Sie na-

13.4 Weitere Druckfunktionen

597

türlich auch einen anderen Port oder eine Netzwerkressource angeben: copy %1 \\Druckserv\Drucker1 Diese Stapelverarbeitungsdatei soll in diesem Beispiel als Dateiendung PRN D:\DRUCKE.BAT abgespeichert sein. Die Dateiendung PRN, die für verknüpfen alle Druckdateien gelten soll, muss nun noch Windows 2000 als Verknüpfung zur neuen Druckausgabe-Anwendung DRUCKE.BAT zugewiesen werden. Öffnen Sie dazu die ORDNEROPTIONEN in über START | EINSTELLUNGEN | SYSTEMSTEUERUNG. Abbildung 13.48: Ordneroptionen

Über das Register DATEITYPEN können Sie die Zuordnung von PRN zur Anwendung DRUCKE.BAT herstellen. Gehen Sie dazu über NEU und geben Sie in dem folgenden Eingabefenster die Endung PRN ein.

598

13 Drucker einrichten und verwalten

Abbildung 13.49: Nach Registrierung von PRN

Für die Festlegung der Verknüpfungsinformationen mit DRUCKE.BAT gehen Sie dann über ERWEITERT. Die einfache Zuordnung der Stapelverarbeitungsdatei über ÄNDERN reicht dazu nicht aus! Im Dialogfenster DATEITYP bearbeiten geben Sie im obersten Feld den Typ PRN nochmals an. Dazu können Sie auch hier ein alternatives Symbol für Ihre Druckdateien einstellen. Abbildung 13.50: Definition der Zuordnung für PRN

Erstellen Sie dann über NEU eine neuen Vorgang. Als Vorgangsbezeichnung muss PRINT eingetragen werden. Darunter geben Sie den Pfad und den Namen zur Anwendung an, welche die Druckdatei weiterleiten soll (im Beispiel DRUCKE.BAT). Damit die Druckdatei auch ordnungsgemäß übergeben werden kann, ist hinter dem Namen der

13.4 Weitere Druckfunktionen

599

Kommandozeilenparameter "%1" (mit Anführungszeichen!) erforderlich. Mit Hilfe dieser kleinen Stapelverarbeitungsdatei können Sie nun Individuell Druckdateien mit der Endung PRN mit Doppelklick oder Ziehen auf anpassbar das Druckersymbol ausgeben. Dabei ist die Datei DRUCKE.BAT individuell anpassbar. Wollen Sie einen andere Dateitypen, beispielsweise PS oder PLT, ebenfalls mit der Druckausgabe verknüpfen, gehen Sie entsprechend den Ausführungen im Text vor. Sie müssen nur die Zuordnung über die Ordneroptionen für diese Dateitypen zu DRUCKE.BAT zusätzlich definieren.

13.4.3 Trennseiten definieren Die Trennfunktion fügt an bestimmten Stellen Trennseiten ein, um die Sortierung von Druckaufträgen auf einem gemeinsam benutzten Drucker zu erleichtern. Verantwortlich für die Steuerung ist der Trennseitenprozessor.

Einstellen einer Trennseite Zum Einstellen einer Trennseite gehen Sie über die Druckereinstellungen. Auf der Registerkarte ERWEITERT klicken Sie auf die Schaltfläche TRENNSEITEN. Abbildung 13.51: Einstellung einer Trennseite

Wenn Sie im Netzwerk auf einen freigegebenen Drucker zugreifen, Probleme mit beispielsweise auf einem Server, ist die Einstellung der Trennseite freigegebenen nicht so einfach möglich. Offensichtlich handelt es sich um einen Bug Druckern – oder einfach nur um nachlässige Programmierung. Der TrennseitenDialog durchsucht die lokale Festplatte nach einer Separationsdatei. Dieser Pfad wird auch eingetragen und konsequenterweise an den freigegebenen Drucker auf dem Server weitergegeben. Solange Sie Windows lokal und auf dem Server im selben Pfad installiert haben, beispielsweise unter C:\winnt, funktioniert das auch. Weicht aber einer der Pfade ab, wird die Datei nicht gefunden. Interessanterweise äußert sich das nicht durch eine Fehlermeldung, sondern durch die Ausführung der falschen Trenndatei und durch Sperren der Schaltfläche

600

13 Drucker einrichten und verwalten DURCHSUCHEN. Wenn Sie den Pfad dann zwangsweise speichern, erhalten Sie folgende Fehlermeldung:

Abbildung 13.52: Nichtssagender Fehler bei der Trennseiteneinstellung Diese Angabe deutet nicht auf die Ursache hin. Der Grund ist der für den Server nicht auflösbare Pfad. Andererseits haben Sie auf den Server keinen Zugriff (nur als Netzwerkpfad, was weniger glücklich ist). Als Lösung bietet sich ein zentrales Verzeichnis für Separationsdateien auf dem Server an. Wenn Sie die Einstellung am Server selbst vornehmen, können Sie das Problem auch umgehen.

Trennseiten im Detail Trennseiten sind spezielle Seiten, die vor jedem Druckauftrag platziert werden. Sie können Steuerzeichen für den Drucker enthalten und zusätzlich bestimmte Codes, mit denen der Inhalt der Trennseite individuell gesteuert werden kann. Einige Trennseiten sind bereits vorbereitet, die wichtigsten Musterdateien sind: %systemroot%\system32\pcl.sep %systemroot%\system32\pscript.sep Sie haben folgende Bedeutung: •

PCL.SEP.

•

PSCRIPT.SEP.

Für PCL-Drucker, beispielsweise HP LaserJet Für Postscript-Drucker

Eine modifizierte PCL.SEP finden Sie nachfolgende: \ \H1B\L%-12345X@PJL ENTER LANGUAGE=PCL \H1B\L&l1T\0 \B\S\LNeuer\U \B\S\LAuftrag\U \5 \LSender : \N\3 \LAutrag : \I\3 \LDatum : \D\3 \LZeit : \T\3 \E Die folgende Abbildung zeigt, wie die ausgeführte Trennseite auf dem Drucker erscheint. Die Bedeutung der Steuerzeichen finden Sie in Tabelle 13.2.

13.4 Weitere Druckfunktionen

601 Abbildung 13.53: Ausführung einer Trenndatei

Steuerzeichen

Beschreibung

\

Einleitung einer Trennseite; muss immer am Anfang stehen

\N

Fügt den Namen des Benutzers ein

\I

Druckauftragsnummer

\D

Datum (Formatierung entsprechen Systemeinstellung)

\T

Uhrzeit (Formatierung entsprechen Systemeinstellung)

\Lxxx

Fügt freien Text xxx ein

\Fyyyyyy

Fügt eine Datei ein, die unter dem Pfad yyyyyy liegt, beispielsweise \FC:\WINNT\SYSTEM32\LOGO.SEP

\Hhh

Fügt ASCII-Zeichen mit dem Hexadezimalwert hh ein

\Wbbb

Breite der Trennseite. Der Standardwert ist 80 Zeichen, der Maximalwert ist 256

\B\S

Blockzeichen einfacher Breite

Tabelle 13.2: Steuerzeichen in Trenndateien

602

13 Drucker einrichten und verwalten Steuerzeichen

Beschreibung

\B\M

Blockzeichen doppelter Breite

\U

Schaltet Blockzeichen wieder ab und erzeugt einen Zeilenvorschub

\00

Fügt 00 Leerzeilen ein, beispielsweise \5 für fünf Zeilen

\E

Seitenumbruch. Dadurch können mehrere Trennseiten erzeugt werden. \E\E erzeugt eine zusätzliche Leerseite.

13.5 Farbmanagement einsetzen Windows 2000 bringt mit dem Image Color Management (ICM) in der Version 2.0 ein ICC-konformes Farbmanagement mit, welches für die optimale Ein- und Ausgabe von Farbinformationen genutzt werden kann. Einen Überblick über Farbmanagement-Grundlagen finden Sie in Abschnitt 7.6 Farbmanagement ab Seite 251. ICM

ICM brauchen Sie nicht explizit zu konfigurieren, es steht als Bestandteil des Betriebssystems praktisch jederzeit zur Verfügung. Wie Sie Ihren Monitor, Scanner und Drucker mit dem richtigen Profil einstellen, ist Inhalt der folgenden Abschnitte.

13.5.1 Profile speichern und zuweisen Windows 2000 legt standardmäßig alle ICC-Profile im folgenden Ordner als Dateien mit der Endung ICC oder ICM ab: %Systemroot%\system32\spool\drivers\color

Profil einem Gerät zuordnen Wenn Sie den oben genannten Ordner öffnen, können Sie über das Kontextmenü eines Profils dieses einem bestimmten Gerät zuordnen.

13.5 Farbmanagement einsetzen

603 Abbildung 13.54: Profile Geräten zuordnen

Dabei werden Ihnen nur die Geräte angeboten, für die das Profil vom Grundsatz her auch anwendbar ist. So macht es sicher keinen Sinn, ein Druckerausgabeprofil einem Monitor zuzuordnen.

Profile vom Apple Macintosh übernehmen Sie können aufgrund der gegebenen Kompatibilität auch Profile einbinden, die Sie von einem Apple Macintosh kopieren. Erweitern Sie dazu nur den Dateinamen des Profils um .ICC oder .ICM.

13.5.2 Monitorprofil setzen Das Monitorprofil können Sie über das Eigenschaften-Fenster für die Anzeige zuweisen, welches Sie über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | ANZEIGE öffnen können. Unter EINSTELLUNGEN | ERWEITERT | FARBVERWALTUNG lassen sich Profile hinzufügen oder entfernen.

604

13 Drucker einrichten und verwalten

Abbildung 13.55: Einstellen des Monitor-Farbprofils

Verwenden Sie mehrere RGB-Profile, können Sie eins davon als Standard setzen. Dieses wird dann als Grundeinstellung auch durch Anwendungen benutzt, welche die Bildschirm-Ausgabe ICC-konform über das Windows-CMM abwickeln.

13.5.3 Druckerprofil setzen Farbdrucker können Sie ICC-Ausgabeprofile über das EigenschaftenFenster zuordnen. Öffnen Sie dieses über das Kontextmenü des entsprechenden Druckers im Druckerfenster, welches über START | EINSTELLUNGEN | DRUCKER erreichbar ist.

13.5 Farbmanagement einsetzen

605 Abbildung 13.56: Druckerfarbprofil zuordnen

Hier sehen Sie auch die eventuell bereits verfügbaren Profile, die durch den Hersteller mitgeliefert wurden und bei der Installation des Druckertreibers eingebunden worden sind. Über spezielle Eigenschaften der Druckertreiber kann Windows bei Standardprofil Verfügbarkeit mehrerer Profile das geeignete automatisch aussuchen. Wollen Sie das verhindern, können Sie auch selbst ein Profil als Standard setzen.

13.5.4 Profile für Scanner und Digitalkameras Profile für Scanner und Digitalkameras können Sie über START | EINSTELLUNGEN | SYSTEMSTEUERUNG | SCANNER UND KAMERAS zuweisen. Hier finden Sie alle installierten Geräte dieser Kategorie. Über EIGENSCHAFTEN | FARBVERWALTUNG bekommen Sie die Liste der dem Gerät zugewiesenen Profile.

606

13 Drucker einrichten und verwalten

Abbildung 13.57: Profile Scannern und Digitalkameras zuordnen

Die hier zugewiesenen Profile werden dann durch die Anwendungssoftware – wenn diese ICC-konform arbeitet – für die korrekte Umsetzung der Eingangsfarbdaten entsprechend benutzt.

13.5 Farbmanagement einsetzen

Kapitel 14 Benutzerverwaltung

14.1 Einführung ..............................................................609 14.2 Benutzerprofile ......................................................611 14.3 Gruppenrichtlinien ...............................................613 14.4 Benutzer- und Gruppenverwaltung...................624

607

14.1 Einführung

14 Benutzerverwaltung Auch unter Windows 2000 Professional können Benutzerkonten und Gruppen verwaltet werden. Mit verschiedenen Werkzeugen werden Anmeldeskripte, Profile und dedizierte Zugriffsrechte verwaltet.

14.1 Einführung Benutzer und Kennwörter werden an zwei Stellen im System eingerichtet. Zum einen gibt es in der Systemsteuerung die Option BENUTZER UND KENNWÖRTER. Zum anderen finden Sie in der Management Konsole VERWALTUNG den Eintrag LOKALE BENUTZER UND GRUPPEN. Damit sind umfangreichere Einstellungen möglich. Es wird aber dieselbe Benutzerdatenbank verwendet. Beide Optionen gehen davon aus, dass nicht mit Active Directory gearbeitet wird. Szenarien mit Active Directory werden ausführlich im Band II der Reihe – Windows 2000 im Netzwerk – diskutiert.

14.1.1 Sicherheit für Benutzer und Gruppen Die Einrichtung von Benutzern und Gruppen ist eng mit der Planung der Sicherheit des Systems verbunden. Benutzerrechte basieren auf den Gruppenrichtlinien, die grundlegende Eigenschaften festlegen. Sie sollten sich zuerst in den Gruppenrichtlinien über die aktuellen Einstellungen und theoretischen Möglichkeiten informieren, bevor neue Benutzer eingerichtet werden. Detailliert wird in Abschnitt 14.3 Gruppenrichtlinien ab Seite 613 darauf eingegangen. Die Verwendung der Gruppenrichtlinie erleichtert die Arbeit des Administrators deutlich, denn wenn Sie mehr als einen Benutzer haben und die Richtlinien einer Gruppe ändern, ist das nur ein Schritt statt mehrerer. Außerdem kann das Hinzufügen neuer Benutzer vereinfacht werden. Unabhängig davon lassen sich die Rechte jedes Benutzers individuell einstellen. Benutzer können auch Mitglied mehrerer Gruppen werden.

System der Benutzerrechte Bei den Benutzerrechten kann zwischen zwei Arten von Rechten unterschieden werden: •

Benutzerrecht: Ein Recht, das dem Benutzer zugewiesen wird und zulässige Aktionen auf der lokalen Station oder im Netzwerk definiert.

609

610

14 Benutzerverwaltung •

Benutzerrecht

Anmelderecht: Dieses Recht definiert, wie sich ein Benutzer an einem Computer anmelden darf.

Unabhängig davon, dass es immer besser ist, Rechte an Gruppen und nicht an einzelne Benutzer zu vergeben, beziehen sich die folgenden Ausführungen nur auf Benutzer. Sie können diese Rechte aber immer auch Gruppen zuweisen. Folgende Rechte können Benutzern gegeben oder untersagt werden: •

Ändern der Systemzeit

•

Anheben der Zeitplanpriorität

•

Anheben von Quoten (Speicherplatzbeschränkungen)

•

Auslassen der durchsuchenden Überprüfung

•

Debuggen von Programmen

•

Einsetzen als Teil des Betriebssystems

•

Entfernen des Computers von der Dockingstation

•

Computer- und Benutzerkonten delegieren

•

Profile für Systemleistung erstellen

•

Profile für Prozesse erstellen

•

Tokenobjekte erstellen

•

Ersetzen eines Tokens auf Prozessebene

•

Erstellen von dauerhaft freigegebenen Objekten

•

Erstellen einer Auslagerungsdatei

•

Erzwingen des Herunterfahrens von einem entfernten System aus

•

Generierung von Sicherheitsüberwachungen

•

Herunterfahren des Systems

•

Hinzufügen von Arbeitsstationen zur Domäne

•

Laden und Entfernen von Gerätetreibern

•

Sichern von Dateien und Verzeichnissen

•

Sperren von Seiten im Speicher

•

Übernehmen des Besitzes von Dateien und Objekten

•

Verändern der Umgebungsvariablen

•

Wiederherstellen von Dateien und Verzeichnissen

14.2 Benutzerprofile Die Anmelderechten regeln die Reaktion des Systems auf einen An- Anmelderecht meldeversuch. Eine Besonderheit stellt dabei das Systemkonto »LocalSystem« dar, das alle verfügbaren Rechte besitzt und über das alle Prozesse des Betriebssystem arbeiten. Die verfügbaren Rechte sind: •

Als Dienst anmelden

•

Anmeldung als Batchauftrag

•

Lokal anmelden

•

Zugriff vom Netzwerk

14.2 Benutzerprofile Benutzerprofile enthalten die Einstellungen der Arbeitsumgebung der Benutzer. Das Profil wird von Windows 2000 automatisch erstellt, wenn der Benutzer sich das erste Mal am System anmeldet.

14.2.1 Einsatz Benutzerprofile enthalten die Einstellungen der Benutzeroberfläche, beispielsweise die Bildschirmfarben, Desktophintergründe, Netzwerkund Druckerverbindungen usw. So können mehrere Benutzer an einem Computer arbeiten und trotzdem voneinander getrennte Einrichtungen der Oberfläche vornehmen. In Kombination mit den Benutzerrechten ergeben sich völlig unterschiedliche Arbeitsbedingungen. Das Benutzerprofil wird aktualisiert, wenn der Benutzer sich vom System abmeldet.

14.2.2 Arten von Benutzerprofilen Es gibt drei Arten von Benutzerprofilen, deren Kenntnis für die Einrichtung des Computers im Netzwerk wichtig ist: •

Lokales Benutzerprofil. Dieses Profil wird erstellt, wenn der Benutzer sich zum ersten Mal anmeldet. Es wird auf der lokalen Festplatte des Computers gespeichert. Auf anderen Computern im Netzwerk ist dieses Profil nicht verfügbar.

•

Serverbasiertes Profil. Dieses Profil wird vom Administrator erstellt und auf dem Server gespeichert. Das Profil wird geladen, wenn sich der Benutzer am Netzwerk anmeldet. Beim Abmelden des Benutzers wird das Profil auf dem Server aktualisiert.

611

612

14 Benutzerverwaltung •

Verbindliches Profil. Verbindliche Profile werden vom Server geladen und vor allen anderen Profilen ausgeführt. Sie können nur vom Administrator erstellt werden und sind vom Benutzer nicht änderbar – insbesondere erfolgt keine Aktualisierung des Profils.

Wenn Sie serverbasierte Benutzerprofile verwenden und die Standardordner EIGENE DOKUMENTE, EIGENE BILDER usw. verwenden und der Benutzer dort auch seine Daten ablegt, werden alle diese Daten auf dem Server gespeichert. Bei den heute üblichen Datenmengen kann ein solches Profil schnelle einige GByte groß werden. Da serverbasierte Profile bei jedem An- und Abmelden über das Netz verschoben werden, entsteht viel Netztraffic, lange Startzeiten und ein enormer Speicherverbrauch auf der Serverfestplatte. Verschieben Sie gegebenenfalls den Speicherort EIGENE DOKUMENTE, sodass er nicht mehr unter DOKUMENTE UND EINSTELLUNGEN liegt.

Gruppenrichtlinien und Profile Werden in Profilen Rechte oder Einstellungen definiert, die denen der Gruppenrichtlinien widersprechen, so haben die Gruppenrichtlinien Vorrang.

14.2.3 Erstellen von Benutzerprofilen Das Benutzerprofil wird in folgendem Pfad erstellt: %systemdrive%\Dokumente und Einstellungen Unterhalb dieses Ordners wird ein Unterordner angelegt, der das Profil des Benutzers enthält. Der Name des Ordners wird aus dem Namen des Benutzers abgeleitet. Normalerweise finden Sie dort wenigstens einen Ordner mit dem Namen ADMINISTRATOR.

Aktualisierung von NT 4 Bei der Aktualisierung von NT 4 werden die Pfade der Benutzerprofile nicht geändert. Sie finden den Ordner dann unter folgendem Pfad: %systemroot%\profiles

14.3 Gruppenrichtlinien Darstellung Im folgenden wird, in Übereinstimmung mit der Dokumentation, der Pfad zum Benutzerprofil durch folgendes Ersatzsymbol dargestellt: %UserProfile%

14.3 Gruppenrichtlinien Mit Hilfe von Gruppenrichtlinien können Anpassungen und Einschränkungen für den Umgang mit dem Betriebssystem vorgenommen werden. Das betrifft Spracheinstellungen, Wörterbücher und andere spezifische Vorgaben – aber auch Sicherheitseinstellungen wie beispielsweise den Umgang mit Kennwörtern.

14.3.1 Richtlinien für lokale Gruppen In kleinen Netzwerken werden Sie kaum Active Directory einsetzen. Die folgenden Ausführungen gehen davon aus, dass alle Einstellungen lokal vorgenommen und auch künftig dort verwaltet werden. Auf den Umgang mit Richtlinien und Active Directory wird in Band II der Reihe Windows 2000 eingegangen.

Vorbereitung und Grundlagen Die Gruppenrichtlinien werden in folgendem Pfad gespeichert: %systemroot%\System32\GroupPolicy Die Verwaltung erfolgt über die Management Konsole (MMC). Nach der Installation steht das Snap-In GRUPPENRICHTLINIE aber nicht zur Verfügung. Wenn Sie damit arbeiten möchten, ist es sinnvoll, dies einer vorhandenen Konsole hinzuzufügen. Empfehlenswert ist die Konsole COMPUTERVERWALTUNG, da dort auch die Benutzerkonten verwaltet werden. Um eine MMC zu erweitern, müssen Sie sie im Administratormodus MMC erweitern starten. Gehen Sie über START | VERWALTUNG auf das Symbol COMPUTERVERWALTUNG. Öffnen Sie im Kontextmenü den Dialog EIGENSCHAFTEN. Ergänzen Sie die Zeile mit dem Befehlsaufruf um den Parameter /a.

613

614

14 Benutzerverwaltung

Abbildung 14.1: Start der MMC im Administratormodus durch den Schalter /a

Jetzt können Sie das Snap-In wie folgt hinzufügen: 1. Wählen Sie KONSOLE | SNAP-IN HINZUFÜGEN/ENTFERNEN 2. Öffnen Sie den Konsolenstamm Computerverwaltung (Lokal) 3. Klicken Sie auf die Schaltfläche HINZUFÜGEN 4. Wählen Sie aus der Liste RICHTLINIEN FÜR LOKALEN COMPUTER 5. Schließen Sie alle Dialoge mit OK.

14.3 Gruppenrichtlinien

615 Abbildung 14.2: Auswahl des SnapIns Gruppenrichtlinien

Jetzt steht das Snap-In in der Liste der Computerverwaltung zur Verfügung. Gehen Sie nun wieder in den EIGENSCHAFTEN-Dialog und entfernen den Parameter /a, um die Administrationsfunktion zu unterbinden. Abbildung 14.3: Computerverwaltung mit Gruppenrichtlinien

Richtlinienarten Richtlinien können computer- oder benutzerbezogen sein. Sie haben folgende Eigenschaften (siehe auch Abbildung 14.3): •

Computerkonfiguration. Diese Konfiguration bezieht sich auf computerbezogene Einstellungen, also das Verhalten von Desktop und System. Zusätzlich können Skripte für das An- und Abmelden ein-

616

14 Benutzerverwaltung gerichtet werden. Diese Aufgaben sollten bei der Einrichtung des Betriebssystems vorgenommen werden. •

Benutzerkonfiguration. Diese Richtlinien sind benutzerbezogen, werden also als Grundlage für die Einrichtung neuer Benutzer vorgenommen. Diese Einstellungen werden bei der Anmeldung des Benutzers übernommen.

Einstellungsmöglichkeiten Jede Richtlinie kann entweder DEAKTIVIERT, AKTIVIERT oder NICHT sein. Beim späteren Einsatz des Computers in einer Domäne oder im Active Directory sind folgende Vorrangsteuerungen für diese drei Zustände zu beachten:

KONFIGURIERT

•

Gruppenrichtlinien der Domänen haben im Konfliktfall Vorrang

•

Gruppenrichtlinien, die vom Active Directory verwaltet werden, geben der lokalen Einstellung Vorrang, wenn sie selbst als NICHT KONFIGURIERT gesetzt ist. Dies ist möglicherweise eine Sicherheitslücke.

14.3.2 Gruppenrichtlinien im Detail Für die Arbeit mit Richtlinien gibt es einige Methoden, welche die Arbeit des Administrators erleichtern: •

Administrative Vorlagen (siehe unten)

•

Vorgaben der Gruppenrichtlinien-Snap-Ins (Seite 620)

•

Funktionen des GroupPolicy-Ordners (Seite 620)

Administrative Vorlagen Administrative Vorlagen erleichtern dem Administrator die Arbeit. Neue Richtlinien lassen sich auf der Basis dieser Vorlagen erstellen und gegebenenfalls mit wenig Aufwand an die aktuelle Situation anpassen. Die Vorlagen werden in einer Datei mit der Erweiterung chert. Die Original sind in folgendem Ordner zu finden:

ADM

gespei-

%systemroot%\inf Die Vorlagen sind editierbare Textdateien, in denen Kategorien und Unterkategorien stehen. Die Einträge bestimmen, was die Snap-Ins für Gruppenrichtlinien anzeigen. Festgelegt werden auch die Pfade für

14.3 Gruppenrichtlinien

617

die Registrierung. Die Vorlagen modifizieren also die Arbeitsumgebung für den Administrator. Für den aktiven Umgang mit den Vorlagen wird mit den Kopien im folgenden Ordner gearbeitet: %systemroot%\system32\GroupPolicy\Adm Dort finden Sie drei Dateien, deren Inhalt im Knoten ADMINISTRATIVE Die Vorlagendateien VORLAGEN angezeigt wird: •

SYSTEM.ADM

•

INETRES.ADM

•

CONF.ADM

Als Beispiel für den Aufbau soll hier die AutoRun-Funktion für CDROM-Laufwerke dienen. Der folgende Ausschnitt zeigt die entsprechenden Bereiche der Vorlage SYSTEM.ADM: CLASS MACHINE CATEGORY !!AdministrativeServices POLICY !!Autorun KEYNAME "Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer" EXPLAIN !!Autorun_Help PART !!Autorun_Box DROPDOWNLIST REQUIRED VALUENAME "NoDriveTypeAutoRun" ITEMLIST NAME !!Autorun_NoCD VALUE NUMERIC 181 DEFAULT NAME !!Autorun_None VALUE NUMERIC 255 END ITEMLIST END PART END POLICY END CATEGORY ; AdministrativeServices Der Parameter CLASS bestimmt, ob diese Richtlinie in der Kategorie CLASS Benutzer- oder Computerrichtlinie erscheint. CATEGORY steht für den Knoten unterhalb der Kategorie.

CATEGORY

POLICY ist die Richtlinieneinstellung, in diesem Fall AUTORUN.

POLICY

Innerhalb von Policy sind folgende Schlüsselwörter zulässig: •

KEYNAME ist der Schlüssel mit komplettem Pfad, wie er in die Regist- KEYNAME rierung eingetragen wird.

•

EXPLAIN ist der Hilfetext, der vom Snap-In angeboten wird.

•

PART. Der Abschnitt PART...END PART kann beliebig oft wiederholt PART

EXPLAIN

werden. Die daraus resultierenden Formularfelder werden in einer END PART

618

14 Benutzerverwaltung scrollbaren Liste angezeigt. Innerhalb dieser Abschnitte werden jetzt Felder und deren Vorgabewerte definiert. •

VALUEON, VALUEOFF. Bei binären Werten bezeichnen diese Elemente

die beiden zulässigen Zustände. Dieser Wert gilt für die gesamte Richtlinie, wenn er nicht Teil von PART ist. •

CLIENTEXT. Dieser Eintrag bezeichnet ein ActiveX-Steuerelement

oder eine DLL, beispielsweise in Form einer CLSID, mit dem die Einträge vorgenommen werden. Dies ist immer dann der Fall, wenn kein Standardelement zur Verfügung steht. Innerhalb von PART können weitere Elemente stehen: •

DROPDOWNLIST. Eine Dropdown-Liste, deren Definition anschließend

folgt. •

LISTBOX. Eine Box mit frei wählbaren Werten. Editierfunktionen sind vorhanden. Angezeigt wird eine Schaltfläche.

•

EDITTEXT. Texteingabefeld.

•

CHECKBOX. Kontrollkästchen.

•

TEXT. Text, der angezeigt wird, unabhängig von der Hilfeseite.

•

COMBOBOX. Combobox (Listbox mit Editierfeld).

•

Zusätze zu Elementen:

Abbildung 14.4: Das Element Listbox

-

VALUENAME. Name der Option. Wenn dies nicht innerhalb eines

anderen Elements steht und nur einen Wert enthält, wird er nicht explizit angezeigt. -

VALUEON, VALUEOFF. Bei binären Werten bezeichnen diese Ele-

mente die beiden zulässigen Zustände. Wird vor allem mit CHECKBOX eingesetzt. -

ITEMLIST. Liste von Einträge in DROPDOWNLIST. Jeder Eintrag besteht aus der Kombination NAME VALUE <wert>.

-

ADDITIVE. Normalerweise überschreiben neue Werte einer LISTBOX die in der Registrierung vorhandenen. Mit diesem Pa-

rameter werden die Einträge jedoch angefügt.

14.3 Gruppenrichtlinien -

EXPLICITVALUE. Gibt Wertepaare der LISTBOX vor.

-

VALUEPREFIX. Setzt für jeden Wert der LISTBOX einen Präfix.

-

MIN, MAX. Vorgabe für Drehfelder mit numerischen Werten, es kann der niedrigste und höchste Wert angegeben werden.

-

MAXLEN. Maximale Länge der Eingabe bei TEXT.

-

DEFAULT. Der Standardwert des Feldes.

-

SPIN. Die Schrittweite bei Drehfeldern mit Mausbedienung.

-

NUMERIC. Hier kann angegeben werden, das es sich um numerische Werte handelt.

-

OEMCONVERT. Wandelt die Einträge vom Windows-ANSIZeichensatz in OEM und bei der Anzeige wieder zurück.

-

SUGGESTIONS, END SUGGESTIONS. Vorschlagewerte für COMBOBOX.

-

ACTIONLISTON, ACTIONLISTOFF. Bei Deaktivieren von Kontrollkästchen kann diese Information angeboten werden.

-

REQUIRED. Dieser Zusatz bezeichnet Elemente, die bei aktiver

Gruppenrichtlinie angegeben werden müssen. Als Parameter der Schlüsselwörter kann auch eine Variable dienen, die später in der Datei definiert wird. Verweise dieser Art beginnen mit zwei Ausrufezeichen (!!). Im Beispiel sind folgende Texte zu finden:

619

620

14 Benutzerverwaltung AdministrativeServices="System" Autorun_Box="Automatische Wiedergabe deaktivieren auf:" Autorun_NoCD="CD-ROM-Laufwerke" Autorun_None="Alle Laufwerke" Autorun_Help="Deaktiviert die Funktion "AutoPlay".\n\nMit dieser Funktion werden Datenträger sofort nach dem Einlegen in ein Laufwerk gelesen. Somit werden Setupdateien von Programmen sofort gestartet und Audiomedien sofort wiedergegeben.\n\nStandardmäßig ist AutoPlay auf Wechselmedien- , wie z. B. Diskettenlaufwerken (aber nicht CD-ROM-Laufwerken), und auf Netzwerklaufwerken deaktiviert.\n\nDurch Aktivieren dieser Richtlinie kann AutoPlay auch auf CD-ROM-Laufwerken oder generell auf allen Laufwerken deaktiviert werden.\n\nDiese Richtlinie deaktiviert AutoPlay auf zusätzlichen Laufwerken. Sie können diese Richtlinie nicht für das Aktivieren von AutoPlay auf Laufwerken, auf denen es standardmäßig deaktiviert ist, verwenden.\n\nHinweis: Diese Richtlinie wird in den Ordnern "Computerkonfiguration" und "Benutzerkonfiguration" angezeigt. Falls beide Richtlinien konfiguriert sind, haben die Einstel lungen unter "Computerkonfiguration" Vorrang vor den Einstellungen unter "Benutzerkonfiguration"." Autorun="Automatische Wiedergabe deaktivieren"

Zeilenumbrüche können mit \n eingefügt werden. Anführungszeichen müssen nicht gesondert markiert werden und werden auch nicht doppelt geschrieben.

Vorgaben der Gruppenrichtlinien-Snap-Ins Auch die Snap-Ins selbst werden durch eine Steuerdatei beeinflusst. GPT.INI im Ordner Dies erfolgt durch die Datei %SYSTEMROOT%\SYSTEM32\GROUPPOLICY. Folgende Einträge sind dort zu finden: •

gPCMachineExtensionNames=: Clientseitige Erweiterungen der Gruppenrichtlinien für den Computer.

•

gPCUserExtensionNames=: Clientseitige Erweiterungen der Gruppenrichtlinien für die Benutzer.

Funktionen des GroupPolicy-Ordners UnterordnerStruktur

Der Ordner GROUPPOLICY enthält drei Unterordner: •

ADM:

tiert.

Vorlagen für Gruppenrichtlinien, diese wurden bereits disku-

14.3 Gruppenrichtlinien •

621

USER:

Hier wird die Datei REGISTRY.POL gespeichert, die nutzerspezifische Registrierungseinstellungen enthält. Der Pfad der Registrierung, der modifiziert wird, lautet:

HKEY_CURRENT_USER •

MACHINE:

Hier wird die Datei REGISTRY.POL gespeichert, die computerspezifische Registrierungseinstellungen enthält.

HKEY_LOCAL_MACHINE In den Ordnern USER und MACHINE werden außerdem Skripte gespei- Skripte chert, die beim Start und beim Herunterfahren des Computers und beim An- und Abmelden eines Benutzers ausgeführt werden: •

SCRIPTS\LOGON: Skript startet beim Anmelden des Benutzers.

•

SCRIPTS\LOGOFF: Skript startet beim Abmelden des Benutzers.

•

SCRIPTS\STARTUP: Skript startet beim Starten des Computers.

•

SCRIPTS\SHUTDOWN: Skript startet beim Herunterfahren.

Zwischen den An- und Abmeldeskripten der Gruppenrichtlinien und den Skripten der Benutzerprofile besteht kein Zusammenhang. Um Skripte zu schreiben, können alle in Windows 2000 verfügbaren Skriptsprachen Technologien verwendet werden. Dazu gehören: •

Batchdateien (*.BAT)

•

Windows Scripting Host (WSH) in VBScript oder JScript (*.VBS, *.JS)

•

XML-basierte Windows Script-Dateien (*.WS)

Die Skripte des Computers werden zuerst gestartet. Beim Starten der AusführungsMaschine geschieht dies aber erst nach dem Herstellen der Netzwerk- reihenfolge verbindungen. Sie können also mit Skripten auf Netzwerklaufwerke zugreifen, wenn sichergestellt werden kann, dass die Verbindungen auch bestehen. Umgekehrt werden Skripte beim Herunterfahren erst ausgeführt und dann werden die Netzwerklaufwerke getrennt. Die Anmeldeskripte starten nach den Startskripten des Computers, umgekehrt wird beim Herunterfahren erst der Benutzer abgemeldet, dann startet sein Abmeldeskript und dann erst das Skript zum Herunterfahren. Die Skripte werden in der Reihenfolge ausgeführt, wie sie im Ordner SKRIPTS liegen. Der Pfad zu dem Knoten ist: Computerkonfiguration | Windows-Einstellungen | Skripts

622

14 Benutzerverwaltung

Abbildung 14.5: Dieser Dialog bestimmt die Ausführungsreihenfolge der Skripte

Außerdem werden die Startskripte erst zu Ende ausgeführt und dann wird der Desktop aktiviert. Beide Verhalten lassen sich durch folgende Gruppenrichtlinien verändern. Administrative Vorlage | System | Anmeldung •

ANMELDESKRIPTS GLEICHZEITIG AUSFÜHREN. Durch Aktivieren dieser Richtlinie kann Windows Explorer erst gestartet werden, nachdem die Anmeldeskripts zu Ende ausgeführt wurden. Durch diese Einstellung wird sicher gestellt, dass der Anmeldeskriptprozess fertig gestellt wurde, bevor der Benutzer anfängt den Computer zu verwenden. Allerdings wird das Anzeigen des Desktops verzögert. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, werden die Anmeldeskripte und Windows Explorer nicht synchronisiert, sondern können gleichzeitig ausgeführt werden. Diese Richtlinie wird in den Ordnern COMPUTERKONFIGURATION und BENUTZERKONFIGURATION angezeigt. Falls beide Richtlinien konfiguriert sind, haben die Einstellungen unter COMPUTERKONFIGURATION Vorrang.

•

STARTSKRIPTS ASYNCHRON AUSFÜHREN. Ermöglicht das gleichzeitige Ausführen von Startskripten. Standardmäßig wird ein Startskript nach dem anderen ausgeführt. Durch Aktivieren dieser Richtlinie wird das Ausführen der Startskripte nicht koordiniert. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, kann ein Startskript erst ausgeführt werden, nachdem das vorherige zu Ende ausgeführt wurde.

•

STARTSKRIPTS SICHTBAR AUSFÜHREN. Zeigt die Anweisungen in Startskripte während der Ausführung an. Standardmäßig werden

14.3 Gruppenrichtlinien

623

die Anweisungen in Startskripte nicht angezeigt. Durch Aktivieren dieser Richtlinie wird jede Anweisung im Startskript während der Ausführung angezeigt. Die Anweisungen werden in einem Eingabeaufforderungsfenster angezeigt. Diese Einstellung ist für fortgeschrittene Benutzer bestimmt. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, werden die Anweisungen nicht unterdrückt. •

SKRIPTS BEIM BEENDEN SICHTBAR Richtlinie, nur beim Beenden.

•

MAXIMALE WARTEZEIT FÜR GRUPPENRICHTLINIENSKRIPTS. Legt fest, wie lange das System auf die Ausführung von Skripten, die von Gruppenrichtlinie übernommen wurden, wartet. Diese Richtlinie schränkt die zugelassene Ausführungszeit aller von Gruppenrichtlinie festgelegten Skripts zum Anmelden, Starten und Herunterfahren ein. Falls Skripts nicht innerhalb der angegebenen Zeit zu Ende ausgeführt wurden, wird der Skriptprozess angehalten und ein Fehlerereignis protokolliert. Standardmäßig kann ein kombinierter Satz von Skripten bis zu 600 Sekunden (10 Minuten) zum Ausführen verwenden. Geben Sie einen Wert zwischen 0 und 32.000 im Feld SEKUNDEN für den Zeitabschnitt, in der Skripte ausgeführt werden können, ein, wenn Sie diese Richtlinie verwenden möchten. Geben Sie den Wert 0 ein, wenn das System so lange warten soll, bis alle Skripte zu Ende ausgeführt wurden. Dieses Intervall ist besonders wichtig, wenn andere Systemvorgänge warten müssen, bis alle Skripte zu Ende ausgeführt wurden. Standardmäßig muss jedes Startskript zu Ende ausgeführt werden, bevor das nächste ausgeführt werden kann. Sie können zusätzlich die Richtlinie ANMELDESKRIPTS GLEICHZEITIG AUSFÜHREN aktivieren, sodass das Desktop erst geladen wird, nachdem alle Anmeldeskripts zu Ende ausgeführt wurden. Ein zu großes Intervall verzögert die Systemverwendung und wirkt störend auf Benutzer. Allerdings könnte ein zu kurzes Intervall dazu führen, dass vorausgesetzte Vorgänge nicht fertiggestellt werden, und das System zu früh verwendungsfähig erscheint.

AUSFÜHREN.

Wie die vorherige

Praxisprobleme Das Scripting ist in diesem Bereich verhältnismäßig kritisch, denn fehlerhafte Skripte können die An- und Abmeldeprozeduren stören. Letztendlich kann ein Stillstand beim Herunterfahren Systemschäden hervorrufen, da der Computer zwangsweise abgeschaltet wird. Die folgenden Tipps helfen, gravierende Fehler zu vermeiden: •

Testen Sie alle Skripte ausgiebig, bevor sie in dem Skriptverzeichnis platziert werden.

624

14 Benutzerverwaltung •

Verwenden Sie Fehlerbehandlungsroutinen. In VBScript können Sie Systemfehler mit on error resume next abfangen und dann mit dem Err-Objekt individuell behandeln. So wird sichergestellt, dass das Skript weiterläuft.

•

Vermeiden Sie grafische Ausgaben, wie sie mit MsgBox() erzeugt werden. Verwenden Sie, wenn es unvermeidlich ist, die ShellPopUp-Box, die systemnäher programmiert ist und eine TimeoutFunktion hat, falls niemand auf die Anzeige reagiert.

•

Verwenden Sie generell eine Timeout-Funktion für das Skript. Dies erfolgt mit dem Parameter //T:xx, wobei xx die Zahl der Sekunden für das Skript ist.

•

Stellen Sie die Richtlinie MAXIMALE WARTEZEIT FÜR GRUPPENRICHTLINIENSKRIPTS wie oben bereits beschrieben so ein, wie es der in Punkt 4 vergebene Wert vorgibt.

Einsatzmöglichkeiten Vor allem in Umgebungen mit vielen relativ gleichartigen Computern erleichtert die Integration der Skripte in die Gruppenrichtlinien die Arbeit des Administrators deutlich. Die Vielfalt der Sprachen und die einfache Implementierung über die MMC erlauben eine schnelle Einarbeitung. Scheuen Sie sich nicht, hiermit tatsächlich Prozesse zu automatisieren. Im Active Directory werden auch die Skripte verwaltet. Dieser Teil wird im Band II vorgestellt.

14.4 Benutzer- und Gruppenverwaltung Die Eigenschaften neuer Benutzer basieren auf den Gruppenrichtlinien. Dieser Abschnitt beschreibt, wie Benutzer und Gruppen eingerichtet werden und wie die individuelle Einstellung der Rechte erfolgt.

14.4.1 Sicherheitsrichtlinien Die lokalen Sicherheitsrichtlinien bestimmen die Sicherheit beim Umgang mit Benutzerkonten. Die hier verfügbaren Werte werden von der Gruppenrichtlinie SICHERHEITSEINSTELLUNGEN geerbt. Nach der Installation stehen dort alle Werte auf NICHT KONFIGURIERT und können von den LOKALEN SICHERHEITSEINSTELLUNGEN überschrieben werden.

14.4 Benutzer- und Gruppenverwaltung Die LOKALEN SICHERHEITSEINSTELLUNGEN finden Sie in der Systemsteuerung unter VERWALTUNG. Eingestellt werden können folgende Optionen: •

Kontorichtlinien: Hiermit wird bestimmt, welchen Sicherheitsstandards Kennwörter und Benutzer unterliegen.

•

Lokale Richtlinien: Diese Optionen bestimmen, welchen Hauptbenutzergruppen welche grundlegenden Rechte gegeben werden, welche Aktionen im System überwacht werden sollen und welche grundlegenden Sicherheitseinstellungen vorgegeben werden.

•

Richtlinie öffentlicher Schlüssel: Hier finden Sie den Agenten zur Wiederherstellung verschlüsselter Dateien.

•

IP-Sicherheitsrichtlinien: Diese Optionen bestimmen die Sicherheitsregeln für die Kommunikation im Netzwerk.

Die möglichen Einstellungen werden nachfolgend ausführlich diskutiert.

Kontorichtlinien Die Kennwortrichtlinien bestimmen die Sicherheit im Umgang mit Kennwortrichtlinien Kennwörtern. Diese Einstellungen gelten künftig für alle Benutzer: •

KENNWORTCHRONIK ERZWINGEN. Die können einstellen, wie viele Kennwörter sich das System merkt, um die wiederholte Verwendung desselben Kennwortes durch den Benutzer zu verhindern.

•

MÜSSEN DEN KOMPLEXITÄTSANFORDERUNGEN KENNWÖRTER ENTSPRECHEN. Aktivieren Sie diese Einstellung, müssen Kennwörter hinreichend komplex sein. Die Anforderungen sind wie folgt definiert:

-

Kennwörter müssen mindestens sechs Zeichen lang sein

-

Kennwörter müssen Zeichen aus mindestens drei der folgenden vier Zeichenklassen enthalten: 1.

Großbuchstaben des englischen Alphabets (A, B, C, ...)

2.

Kleinbuchstaben des englischen Alphabets (a, b, c, ...)

3.

Arabische Ziffern (1, 2, 3, ...)

4.

Interpunktionszeichen (», . _ -« usw.)

5.

Das Kennwort darf nicht dem Nutzernamen entsprechen

Die Definitionen entsprechen der unter Windows NT 4 mit Service Pack 2 gelieferten PASSFILT.DLL. Änderungen sind nicht möglich, auch nicht über die Registrierung.

625

626

Kontosperrungsrichtlinien

14 Benutzerverwaltung •

KENNWÖRTER FÜR ALLE DOMÄNENBENUTZER VERSCHLÜSSELUNG SPEICHERN.

•

MAXIMALES KENNWORTALTER: Geben Sie hier das Alter in Tagen an, das ein Kennwort erreichen darf. Danach erzwingt Windows 2000 bei der Anmeldung ein neues Kennwort.

•

MINIMALE KENNWORTLÄNGE: Bestimmt, wie lang ein Kennwort mindestens sein muss.

•

MINIMALES KENNWORTALTER: Bestimmt, wie alt ein Kennwort wenigstens werden muss, bevor der Benutzer es ändern darf.

MIT UMKEHRBARER

Fehlerhafte Anmeldeversuche können als Einbruchsversuch in das System gewertet werden. Andererseits sind Tippfehler beim Eingeben des Kennworts durchaus normal. Sie können mit den KONTOSPERRUNGSRICHTLINIEN bestimmen, wie sich das System gegenüber fehlerhaften Anmeldeversuchen verhält. •

KONTOSPERRUNGSSCHWELLE: Hier geben Sie die Anzahl der Versuche an, die einem Benutzer gegeben werden, bis das Konto gesperrt wird. »0« steht für unbegrenzt – dies ist der Standardwert. Die folgenden beiden Optionen sind nur aktiv, wenn der Wert ungleich 0 ist.

•

KONTOSPERRDAUER: Hier steht die Dauer in Minuten, die das Konto nach Erreichen der KONTOSPERRUNGSSCHWELLE gesperrt wird. Der Standardwert beträgt 30 Minuten.

•

KONTOSPERRUNGSZÄHLER ZURÜCKSETZEN NACH: Dieser Wert bestimmt die Anzahl Minuten, nach denen der Zähler KONTOSPERRUNGSSCHWELLE zurückgesetzt wird. Der Standardwert beträgt 5 Minuten.

Tipps zur Kennwortvergabe Bei der Vergabe der Kontorichtlinien sollten Sie als Administrator nicht zu restriktiv vorgehen. Es gibt zwar gute Gründe, den Umgang mit der Systemsicherheit sehr ernst zu nehmen, allzu harte Vorgaben können aber zu einer unglücklichen Nutzerreaktion führen. Wenn Sie beispielsweise eine hohe Komplexität erzwingen (Lange Kennwörter mit Komplexitätsanforderungen), werden Nutzer nicht mehr in der Lage sein, sich diese zu merken. Üblicherweise kleben dann nach kurzer Zeit Post-It-Zettel unter Tastaturen oder sogar am Monitor. Die wenigsten Benutzer wissen, wie man sich ein komplexes Kennwort merkt. Ein einfaches Mittel ist die Bildung von Sätzen, die sich leicht merken lassen. Aus einem solchen Satz wird dann das Kennwort gebildet, bei-

14.4 Benutzer- und Gruppenverwaltung

627

spielsweise durch jeden ersten oder letzten Buchstaben eines Wortes. Der folgende Satz zeigt das: Ich habe am 26. Mai Geburtstag Daraus könnte man leicht zwei Kennwörter extrahieren, die kaum zu knacken sind: Iha26MG und hem6.ig. Beide erfüllen die erweiterten Komplixitätsanforderungen von Windows 2000.

Lokale Richtlinien Mit den lokalen Richtlinien werden die Optionen der Gruppenrichtlinien auch dann einstellbar, wenn diese nicht verwendet werden. Drei Gruppen stehen zur Verfügung: •

ÜBERWACHUNGSRICHTLINIEN: Hier kann bestimmt werden, welche Ereignisse im System überwacht werden. Die entsprechenden Ereignisse werden in das Ereignisprotokoll SYSTEMSICHERHEIT geschrieben. Abbildung 14.6: So erscheinen Anmeldeversuche im Sicherheitsprotokoll

•

ZUWEISEN VON BENUTZERRECHTEN: Diese Option stellt für verschiedene Parameter das Recht bestimmter Benutzer oder Gruppen ein, diese Parameter zu ändern. So können beispielsweise nur Administratoren Quoten anheben. Sie können aber einen »Quotenmanager« einführen und diesem das Recht geben, Quoten zu ändern.

628

14 Benutzerverwaltung

Abbildung 14.7: Benutzerrechte

•

Abbildung 14.8: Sicherheitsoptionen

SICHERHEITSOPTIONEN: Hier finden Sie Optionen, die die allgemeine Systemsicherheit betreffen. Außerdem können Anmeldeoptionen gesteuert werden.

14.4 Benutzer- und Gruppenverwaltung IP-Sicherheits-Richtlinien (IPSec) IPSec steht für Internet Protocol Security. Mehr dazu finden Sie in Abschnitt 8.4.5 Sicherheitsprotokolle für das Netzwerk ab Seite 273. Die hier standardmäßig eingestellten Werte sind lediglich Beispiele. Für die praktische Anwendung sind weitere Maßnahmen nötig, beispielsweise die Beschaffung eines Zertifikats. Die drei Optionen haben folgende Bedeutung: •

CLIENT. Normale, nicht gesicherte Kommunikation. Der Server kann, wenn er verschlüsselte Kommunikation erfordert, dies auf dem angeforderten Protokoll und mit dem benutzten Port sicher stellen.

•

SERVER. Der IP-Verkehr wird generell mit Kerberos verschlüsselt. Nur wenn ein Client nicht reagiert, wird unverschlüsselt übertragen.

•

SICHERER SERVER. Der IP-Verkehr wird generell mit Kerberos verschlüsselt. Wenn ein Client nicht reagiert, wird er abgelehnt.

Beachten Sie, dass Ihnen Kerberos V5 nur zur Verfügung steht, wenn der Computer in einer Domäne betrieben wird. Möchten Sie IPSec trotzdem anwenden, benötigen Sie ein Zertifikat einer Zertifizierungsinstanz. Die Verschlüsselung richtet sich dann nach dem Verschlüsselungsalgorithmus des Zertifikats.

14.4.2 Umgang mit Sicherheitsvorlagen Sicherheitsdatenbanken sind Dateien, die Sicherheitseinstellungen enthalten. Sie können damit Einstellungen speichern und auf einem anderen System wieder laden, um die Verwaltung komplexer Sicherheitseinstellungen zu erleichtern. Die Sicherheitsdatenbanken basieren auf Sicherheitsvorlagen, die elementare Einstellungen bereits enthalten.

MMC-Snap-In installieren Für die Verwaltung der SICHERHEITSVORLAGEN gibt ein spezielles Snap-In. Weiterhin wird das Snap-In SICHERHEITSKONFIGU-RATION UND –ANALYSE benötigt . Wie Sie die Snap-Ins installieren können, wurde bereits auf Seite 613 beschrieben.

629

630

14 Benutzerverwaltung

Abbildung 14.9: Hinzufügen der Snap-Ins

Auch hier ist zu empfehlen, die COMPUTERVERWALTUNG einzubauen.

Snap-Ins in

die

Konsole

Sicherheitsvorlagen Die Sicherheitsvorlagen liegen in folgendem Ordner: %systemroot%\security\templates Sie haben die Erweiterung INF und sind mit einem Texteditor zu bearbeiten. Einfacher ist natürlich der Weg über die Management Konsole. die Struktur orientiert sich an den Gruppenrichtlinien. Die Vorlagen dienen der Bereitstellung einer Ausgangssituation für die Einstellung der LOKALEN SICHERHEITSRICHTLINIEN. Wenn Sie viele Computer konfigurieren, kopieren Sie die Vorlagen und vereinfachen so die Einrichtung der anderen Systeme erheblich. Typen von Sicherheitsvorlagen

Verschiedene Vorlagen sind bereits vorbereitet, um die Einrichtung des Systems zu vereinfachen. Die folgende Liste zeigt die zur Verfügung stehenden Varianten: •

Basic (BASIC*.INF): Mit den Vorlagen für die Basiskonfiguration kann die Anwendung einer anderen Sicherheitskonfiguration aufgehoben werden. Die Basiskonfigurationen wenden die Standardsicherheitseinstellungen von Windows 2000 auf alle Sicherheitsbereiche an. Eine Ausnahme bilden die Sicherheitsbereiche, die sich auf Benutzerrechte beziehen. Diese werden nicht in den Basisvorlagen geändert, da Benutzerrechte üblicherweise durch Setupprogramme von Anwendungen angepasst werden, um eine erfolgreiche Verwendung der Anwendung zu ermöglichen. Solche

14.4 Benutzer- und Gruppenverwaltung Anpassungen sollen nicht durch die Basiskonfigurationsdateien rückgängig gemacht werden. •

•

•

Kompatibel (COMPAT*.INF): In der Standardeinstellung sind die Sicherheitsfunktionen von Windows 2000 so konfiguriert, dass Mitglieder der lokalen Benutzergruppe über strenge Sicherheitseinstellungen verfügen, während die Sicherheitseinstellungen für die Mitglieder der lokalen Hauptbenutzergruppe mit den Windows NT 4Benutzerzuweisungen kompatibel sind. Sicher (SECURE*.INF): Die sicheren Vorlagen implementieren die empfohlenen Sicherheitseinstellungen für alle Sicherheitsbereiche, mit Ausnahme von Dateien, Ordnern und Registrierungsschlüsseln. Diese werden nicht geändert, da Dateisystem- und Registrierungsberechtigungen standardmäßig sicher konfiguriert werden. Hochsicher (HISEC*.INF): Die sehr sicheren Vorlagen definieren Standardeinstellungen für die Netzkonfiguration unter Windows 2000. Die Sicherheitsbereiche bieten maximalen Schutz für den Netzwerkverkehr sowie für Netzwerkprotokolle für Computer, auf denen Windows 2000 ausgeführt wird. Eine Kommunikation mit Computern, auf denen Windows 95 oder 98 bzw. Windows NT ausgeführt wird, ist nicht möglich.

Sicherheitskonfiguration und -analyse Dieses Snap-In ermittelt die effektive Konfiguration. Es ist sinnvoll, sich hier nach der Installation einen Überblick zu verschaffen, wie Windows 2000 eingerichtet wurde, vor allem wenn zuvor Vorlagen geändert und mit den modifizierten Vorlagen gearbeitet wurde. Die Bedienung dieses Snap-Ins unterscheidet sich etwas von den an- Bedienung deren hier beschriebenen. Sie erreichen alle Optionen über das Kontextmenü des Knotens. Die Arbeitsweise ist einfach. Zuerst legen Sie eine Datenbank an, in der alle Konfigurationen gespeichert werden. Dazu öffnen Sie eine neue Datei. Ist der Name nicht vorhanden, wird die Datenbank angelegt. Dann importieren Sie eine Sicherheitsvorlage, die als Ausgangsbasis der Analyse gilt. Die Datenbank liegt in folgendem Pfad: %systemroot%\security\Database Der Ablauf der Analyse wird in einem Protokoll festgehalten. Dieses Protokolle Protokoll finden Sie unter:

631

632

14 Benutzerverwaltung %systemroot%\security\logs

Ablauf der Konfiguration Der folgende Ablauf importiert eine der Vorlagen in die Sicherheitsrichtlinien: 1. Öffnen Sie das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. 2. Importieren Sie eine Sicherheitsvorlage, die als Vorgabe der Analyse dient. Das Programm vergleicht die Einstellungen der Vorlage mit der tatsächlichen Situation des Computers. Wählen Sie dazu VORLAGE IMPORTIEREN. Die Vorlagen wurden bereits oben beschrieben. 3. Wählen Sie im Kontextmenü SYSTEM JETZT KONFIGURIEREN. Geben Sie einen Pfad zu einer Fehlerprotokolldatei an. Das System wird auf die Parameter der Vorlage eingestellt. Der Vorgang kann einige Sekunden in Anspruch nehmen.

Ablauf der Analyse Sie können die aktuelle Situation des Computers auch mit einer Vorlage vergleichen. Anschließend entsteht im Knoten des Snap-In eine Widerspiegelung der Gruppenrichtlinienstruktur, deren Parameter die analysierten Werte anzeigen. Sie können hier auch gleich Änderungen vornehmen. Gehen Sie folgendermaßen vor: 1. Öffnen Sie das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. 2. Importieren Sie eine Sicherheitsvorlage, die als Vorgabe der Analyse dient. Das Programm vergleicht die Einstellungen der Vorlage mit der tatsächlichen Situation des Computers. Wählen Sie dazu VORLAGE IMPORTIEREN. Die Vorlagen wurden bereits oben beschrieben. 3. Wählen Sie im Kontextmenü COMPUTER JETZT ANALYSIEREN. Geben Sie einen Pfad zu einer Fehlerprotokolldatei an. Das System wird auf die Parameter der Vorlage eingestellt. Der Vorgang kann einige Sekunden in Anspruch nehmen. Die Analyse umfasst auch Dateiberechtigungen und Angaben zur Registrierung.

14.4 Benutzer- und Gruppenverwaltung

633 Abbildung 14.10: Umfassende Analyse der Sicherheitssituation des Computers

14.4.3 Benutzerkonten einrichten Die Funktion BENUTZER UND KENNWÖRTER ist direkt über die Systemsteuerung erreichbar. Dies gilt nur für die Professional-Version und soll die Einrichtung einfacher Peer-to-Peer-Netzwerke und Arbeitplätze für mehrere Personen erleichtern. Falls eine Verbindung zu einem Domänen-Server besteht, können mit dieser Option Domänenbenutzer lokalen Gruppen hinzugefügt werden. Grundsätzlich stehen folgende Funktionen zur Auswahl: •

Anlegen von neuen Benutzern

•

Löschen und Ändern von alten Benutzerkonten

•

Ändern von Kennwörtern (außer Administrator)

•

Eintragen von Benutzern in lokale Gruppen

Funktionen

634

14 Benutzerverwaltung Um die Funktion nutzen zu können, müssen Sie als Administrator angemeldet sein.

Benutzeroptionen Anmeldung erzwingen

Wenn Sie Windows 2000 Professional nur allein und ohne Netzwerk nutzen – als »besseres« Windows 98/ME also – können Sie die Anmeldung generell unterdrücken. Deaktivieren Sie die Option BENUTZER MÜSSEN FÜR DEN COMPUTER BENUTZERNAMEN UND KENNWORT EINGEBEN.

Kennwörter ändern

Sie können als Administrator Kennwörter aller Benutzer ändern – außer Ihr eigenes. Letzteres ist aus Sicherheitsgründen unterbunden: Trojanische Pferde könnten sonst mit Administratorrechten die Änderung vornehmen und dann die Kontrolle des Systems an sich reißen. Wählen Sie den Benutzer und dann die Schaltfläche KENNWORT ÄNDERN.

Abbildung 14.11: Änderung des Kennwortes

Mit HINZUFÜGEN können Sie weitere Benutzer anlegen. Es startet ein Assistent, dessen Schritt nachfolgend gezeigt werden. Abbildung 14.12: Bezeichnung, Name und Beschreibung des neuen Benutzers. Mit dem Benutzernamen erfolgt die Anmeldung.

14.4 Benutzer- und Gruppenverwaltung

635 Abbildung 14.13: Vergabe eines Kennwortes für den neuen Benutzer. Die Eingabe erfolgt verdeckt.

Abbildung 14.14: Zuweisung einer Gruppe für den Benutzer

Erweiterte Optionen Auf der Registerkarte ERWEITERTE OPTIONEN können Sie Benutzern Zertifikate zuweisen und die sichere Anmeldung mit STRG-ALT-ENTF erzwingen. Neue Zertifikate können hier nur angelegt werden, wenn eine Zertifizierungsinstanz erreichbar ist. Mit der Option ERWEITERT gelangen Sie in die Konsolenstruktur LOKALE BENUTZER UND GRUPPEN, die in Abschnitt 14.4.5 Lokale Benutzer und Gruppen ab Seite 637 beschrieben wird.

Zuweisen von Rechten Vor dem Zuweisen von individuellen Rechten sollten Sie den Abschnitt 14.4.1 Sicherheitsrichtlinien ab Seite 624 lesen. Die Philosophie der Vergabe von Rechten sollte vorher verstanden worden sein. Unter

636

14 Benutzerverwaltung Benutzer und Kennwörter können Sie keine Rechte vergeben. Dies liegt an der gemeinsamen Verwaltung der Rechte in den Gruppenrichtlinien. Alle Richtlinien werden zentral verwaltet, entweder in der Registrierung des lokalen Systems oder im Active Directory. Diesen Richtlinien werden dann Benutzer oder Gruppen zugewiesen. Erst durch die Zuweisung »erben« die Benutzer die entsprechenden Rechte. Eine direkte Verwaltung ist nicht möglich. Öffnen Sie dazu das Snap-In GRUPPENRICHTLINIEN und hier den Pfad LOKALER COMPUTER | COMPUTERKONFIGURATION | WINDOWSEINSTELLUNGEN | SICHERHEITSEINSTELLUNGEN | LOKALE RICHTLINIEN | ZUWEISEN VON BENUTZERRECHTEN. Dort finden Sie eine Liste von Benutzerrechten. Öffnen Sie diese und fügen Sie mit der Schaltfläche Hinzufügen BENUTZER ODER GRUPPEN hinzu. Dieses Vorgehensweise erleichtert die Auflösung von Konflikten. Da die Rechte im Allgemeinen nicht im Widerspruch zueinander stehen, kann eine Zuweisung von Benutzern und Gruppen nicht zu Konflikten führen. Falls ein Benutzer Mitglied mehrerer Gruppen ist, die unterschiedliche Rechte haben, addieren sich die Rechte. Wenn also eine Gruppe das Recht hat, Quoten anzuheben und eine andere Gruppe das Recht den Dateibesitz zu übernehmen und ein Benutzer Mitglied beider Gruppen ist, so verfügt er über beide Rechte.

Abbildung 14.15: Vergabe von Benutzerrechten

Wenn Sie verschiedene Rechte sehr häufig an Benutzer vergeben, so ist es eine gute Lösung, eine Gruppe anzulegen und dieser Gruppe

14.4 Benutzer- und Gruppenverwaltung nur ein Recht aus den lokalen Benutzerrechten zuzuweisen. Dann genügt es, den neuen Benutzer Mitglied dieser Gruppe werden zu lassen, um ihn gezielt mit einem bestimmten Recht auszustatten.

14.4.4 Gruppen Gruppen erleichtern die Verwaltung von Benutzern. Wenn Sie einer Gruppe Benutzerrechte vergeben und Benutzer dieser Gruppe zuordnen, erben alle Benutzer diese Rechte. Wenn ein Benutzer Mitglied mehrere Gruppen ist, addieren sich die Rechte, soweit es Unterschiede gibt. Im Fall eines Konflikt »gewinnt« das restriktivere Recht. Gruppen können über die Funktion BENUTZER UND KENNWÖRTER nicht angelegt werden. Sie müssen dafür über VERWALTUNG | COMPUTERVERWALTUNG | LOKALE BENUTZER UND GRUPPEN gehen. Dort stehen auch alle erweiterten Optionen für die Benutzerverwaltung zur Verfügung. Diese werden im nächsten Abschnitt erläutert.

14.4.5 Lokale Benutzer und Gruppen: Weitere Optionen Im Knoten LOKALE BENUTZER UND GRUPPEN können einem Benutzer weitere elementare Optionen zugeordnet werden. Dies betrifft vor allem das Anmeldeverhalten. Sie finden diesen Knoten unter COMPUTERVERWALTUNG | SYSTEM.

Hinzufügen und Löschen von Benutzern Neue Benutzer werden mit der Option NEUER BENUTZER... im Kon- Anlegen textmenü des Knotens BENUTZER angelegt. Folgende Angaben werden in einem Dialogfeld abgefragt: •

BENUTZERNAME, VOLLSTÄNDIGER NAME, BESCHREIBUNG

•

KENNWORT und KENNWORTWIEDERHOLUNG

•

Kennwortoptionen, wie weiter unten unter Änderung der Eigenschaften von Benutzern beschrieben.

Löschen können Sie Benutzer, wenn Sie im Kontextmenü des Benut- Löschen zers LÖSCHEN wählen. Jeder Benutzer wird intern mit einer eindeutigen und einmaligen User-ID versehen. Wenn Sie einen Benutzer anlegen und mit Gruppenrichtlinien und Gruppen verbinden und den Benutzer später löschen, so gehen alle Einstellungen verloren. Richten Sie danach einen Benutzer mit demselben Namen wieder ein, müssen Sie alle Einstellungen

637

638

14 Benutzerverwaltung neu vornehmen, zwischen dem alten und dem neuen Benutzer gleichen Namens besteht keinerlei Verwandtschaft.

Änderung der Eigenschaften von Benutzern Die Eigenschaften von Benutzern ändern Sie, indem Sie die Benutzer in der Liste doppelklicken oder im Kontextmenü EIGENSCHAFTEN auswählen. Im Kontextmenü finden Sie außerdem die Option KENNWORT ÄNDERN. Der EIGENSCHAFTEN-Dialog besteht aus drei Registerkarten, die nachfolgend gezeigt werden. Allgemein

Auf der Registerkarte ALLGEMEIN können Sie folgende Optionen einstellen: •

BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN: Hier mit erzwingen Sie eine Änderung des Kennwortes, ohne dies selbst kennen zu müssen. Sie können so eine optimale Systemsicherheit garantieren, ohne die Kennwörter zentral zu vergeben. Ist diese Option aktiviert, werden die nächsten beiden deaktiviert.

•

BENUTZER KANN KENNWORT NICHT ÄNDERN: Hiermit unterbinden Sie die Änderung des Kennworts durch den Benutzer. Sie können das Kennwort nur selbst als Administrator ändern.

•

KENNWORT LÄUFT NIE AB: Diese Option deaktiviert die Gruppenrichtlinie KENNWORTALTER. Sinnvoll ist dies für Systemnutzer, wie IUSR_Machine, der für den Webserver eingerichtete anonyme Benutzer. Solche »Nutzer« können natürlich nicht ihr Kennwort ändern.

•

KONTO IST DEAKTIVIERT: Hier können Sie das Konto deaktivieren. Nutzen Sie diese Option, wenn Benutzer zeitweilig nicht mit dem System arbeiten, später aber zurückkehren.

•

KONTO IST GESPERRT: Die Option ist, wenn ein Nutzer durch wiederholte Falscheingaben bei der Anmeldung sein Konto gesperrt hat. Der Administrator kann die Sperre hier aufheben.

14.4 Benutzer- und Gruppenverwaltung

639 Abbildung 14.16: Basiseigenschaften eines Benutzers

Die Registerkarte MITGLIEDSCHAFT zeigt die Zuordnungen des Benut- Mitgliedschaften zers zu Gruppen an. Mit Hilfe der Schaltflächen HINZUFÜGEN und ENTFERNEN können Sie die Zuordnungen verändern. Im Gegensatz zur Funktion BENUTZER UND KENNWÖRTER können Sie hier auch Systemgruppen und Systembenutzer, die Windows selbst einrichtet, modifizieren.

640

14 Benutzerverwaltung

Abbildung 14.17: Mitgliedschaft in Benutzergruppen

Profile

Die dritte Registerkarte PROFIL ermöglicht die Einrichtung individueller Benutzerprofile. Geben Sie unter PROFILPFAD den Speicherort des Profils ein, das Sie zuweisen möchten. Für einen Netzwerkpfad verwenden Sie das allgemeine Format \\Servername\Profilordner\Benutzerprofilname, beispielsweise: \\Home-Win\Profiles\Verwaltung Wenn der Computer mit einem Netzwerk verbunden ist, verhindern möglicherweise auch die Richtlinieneinstellungen des Netzwerks die Ausführung dieser Schritte.

Verbindliches Benutzerprofil

Zur Zuweisung eines verbindlichen Benutzerprofils müssen Sie zusätzlich ein vorkonfiguriertes Benutzerprofil in das angegebene Verzeichnis kopieren. Doppelklicken Sie in der Systemsteuerung auf SYSTEM, klicken Sie auf die Registerkarte BENUTZERPROFILE und auf das zu kopierende Profil und dann auf KOPIEREN. Geben Sie unter PROFIL KOPIEREN NACH den o.a. Pfad ein, und benennen Sie NTUSER.DAT in NTUSER.MAN um. Die Zuweisung eines verbindlichen Benutzerprofils verlangt auch die ordnungsgemäße Konfiguration des Netzwerkordners. Erstellen Sie mit der Option FREIGEGEBENE ORDNER auf dem betreffenden Server einen freigegebenen Ordner, um der Gruppe »Jeder« Vollzugriff zu gewähren.

14.4 Benutzer- und Gruppenverwaltung Wenn Benutzer sich an Windows NT 4.0- oder Windows 2000Computern anmelden, ist für den Benutzerprofilpfad kein Dateiname erforderlich. Melden Benutzer sich jedoch auch an Windows NT 3.x-Systemen an, muss im Benutzerprofilpfad ein Dateiname enthalten sein. Bei diesem Dateinamen kann es sich um ein servergespeichertes Benutzerprofil (Erweiterung USR) oder ein verbindliches Benutzerprofil (Erweiterung MAN) handeln, beispielsweise: \\Home-win\Profiles\Admin.man Bei Benutzern, die sich nur an Windows 2000-Computern anmelden, sollte der Benutzerprofilpfad auf einen Ordnernamen verweisen und keine der USR- oder MAN-Erweiterungen enthalten. Ist der im Benutzerprofilpfad genannte Ordner nicht vorhanden, wird er bei der ersten Anmeldung des Benutzers automatisch erstellt. Für jeden Benutzer kann ein individuelles Anmeldeskript ausgeführt Anmeldeskript werden. Um Skripte zu schreiben, können alle in Windows 2000 verfügbaren Technologien verwendet werden. Dazu gehören: •

Batchdateien (*.BAT)

•

Windows Scripting Host (WSH) in VBScript oder JScript (*.VBS, *.JS)

•

XML-basierte Windows Script-Dateien (*.WS)

Vom Windows Scripting Host existieren zwei Versionen, WSCRIPT.EXE und CSCRIPT.EXE. Die wscript.exe ist Windows-basiert, während die andere Version auf Kommandozeilenebene arbeitet. Entsprechend können Windows-Dialogfenster nur mit WSCRIPT.EXE angezeigt werden. »Stille« Skripte werden dagegen besser mit CSCRIPT.EXE ausgeführt. Verschiedene Gruppenrichtlinien steuern das Verhalten des Scripting Host. Im Feld STAMMORDNER legen Sie das Basisverzeichnis des Benutzers Stammordner fest. Dies kann entweder ein lokales oder ein Netzwerklaufwerk sein: •

LOKALER PFAD. Geben Sie hier einen vollständigen lokalen Pfad an, beispielsweise C:\Dokumente\Buchhaltung.

•

VERBINDEN MIT. Hier können Sie einen lokalen Laufwerksbuchstaben mit einem Netzwerkpfad verbinden, beispielsweise H: mit \\server\user\documents\financial.

641

642

14 Benutzerverwaltung

Abbildung 14.18: Profilinformationen für einen Benutzer

Anlegen und Ändern von Gruppen Gruppen haben keine besonderen Eigenschaften – es sind nur Organisationsformen. Sie beginnen erst zu wirken, wenn sie Gruppenrichtlinien zugewiesen werden. Im Kontextmenü des Knotens GRUPPEN können Sie neue Gruppen hinzufügen. Im Kontextmenü einer Gruppe können Sie die Gruppe löschen öder ändern. Mögliche Änderungen sind:

Neue Gruppen

•

Hinzufügen oder Entfernen von Benutzern

•

Ändern des beschreibenden Textes für die Anzeige

Für neue Gruppen können Sie folgende Informationen erfassen: •

Name der Gruppe

•

Beschreibender Text

•

Mitglieder

14.4 Benutzer- und Gruppenverwaltung

643 Abbildung 14.19: Anlegen neuer Gruppen

Jede Gruppe wird intern mit einer eindeutigen und einmaligen Group-ID versehen. Wenn Sie eine Gruppe anlegen und mit Gruppenrichtlinien und Benutzern verbinden und später wieder löschen, so gehen alle Einstellungen verloren. Richten Sie danach eine Gruppe mit demselben Namen wieder ein, müssen Sie alle Einstellungen neu vornehmen, zwischen der alten und der neuen Gruppe gleichen Namens besteht keinerlei Verwandtschaft.

14.4 Benutzer- und Gruppenverwaltung

Kapitel 15 Internet Informationsdienste

15.1 Einführung ..............................................................647 15.2 Der Internet Information Server.........................649 15.3 Der SMTP-Server...................................................682 15.4 Der Personal Web Manager .................................691

645

15.1 Einführung

647

15 Internet Informationsdienste Das Internet nutzen ist eine wichtige Funktion – kaum ein Geschäft kann heute auf einen Zugang zum Internet verzichten. Selbst zum Anbieter werden oder diese Technologien lokal einzusetzen, ist dagegen für viele IT-Abteilungen noch eine Herausforderung. Für die ersten Schritte eignet sich Windows 2000 Professional hervorragend. Wir Sie das umsetzen, finden Sie in diesem Abschnitt.

15.1 Einführung Auch in Windows 2000 Professional stehen die Internet Informationsdienste zur Verfügung. Damit lassen sich sowohl komfortable Entwicklungsumgebungen als auch kleine Intranets errichten, ohne das Software von Drittanbietern benötigt wird. Eine der wichtigsten Anwendungen ist sicher ASP (Active Server Pages), womit interaktive serverbasierte Anwendungen programmiert werden können. Eine explizite Installation von ASP unter Windows 2000 Server ist ASP nicht notwendig, wenn die Internet Informationsdienste bei der Standardinstallation nicht abgewählt wurden. Bei Windows 2000 Professional müssen Sie dagegen den IIS-Dienst, der auch ASP enthält, explizit auswählen. Im folgenden Abschnitt wird erklärt, wie Sie den IIS 5 installieren und welche Netzwerkeinstellungen Sie vornehmen sollten, um eine Entwicklungsumgebung mit Internetanschluss zu erhalten oder einen Server für ein kleines Intranet.

Windows 2000 Professional als Entwicklungsplattform Um Windows 2000 als Entwicklungsplattform nutzen Unter Windows zu können, müssen die Internet-Informationsdienste 2000 Skripte installiert werden. Gehen Sie dazu in die entwickeln SYSTEMSTEUERUNG | SOFTWARE und dann auf WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. In der Liste der Windows-Komponenten wählen Sie dann den Eintrag INTERNET INFORMATIONSDIENSTE aus und installieren die Komponente. Falls Sie nicht mit Visual InterDev arbeiten, lohnt die Installation der Komponente SKRIPT DEBUGGER, weiter unten in der Liste (siehe Abbildung 15.1). Damit können Sie Skripte auf dem lokalen Webserver komfortabel debuggen. Wenn Sie planen, mit Visual InterDev zu arbeiten, sollten Sie dagegen den eingebauten Debugger nicht nutzen. Die Entwicklungsumgebung VID ist deutlich leistungsfähiger, leider auch teurer.

648

15 Internet Informationsdienste

Abbildung 15.1: Auswahl der Softwarekomponente Internet InformationsDienste

Testen Sie den Zugriff auf den lokalen Webserver jetzt mit dem Browser. Normalerweise genügt die Eingabe des Rechnernamens oder des Namens localhost in die Adresszeile des Browsers:

Dateisystem vorbereiten FAT32 oder NTFS?

Hier gelten die bereits Kapitel 5 Dateisysteme gemachten Aussagen. Für das Entwicklungssystem mag FAT32 als Dateisystem akzeptabel sein, für einen Produktionsserver ist es das keinesfalls. FAT32 hat den Vorteil, dass Sie parallel Windows 98 betreiben können und so nicht von vornherein auf Windows 2000 angewiesen sind, also eine »Testphase« nutzen können. Wie Ihre aktuelle Situation aussieht, können Sie der DATENTRÄGERVERWALTUNG entnehmen. Sie finden sie unter SYSTEMSTEUERUNG | VERWALTUNG | COMPUTERVERWALTUNG (siehe Abbildung 15.2).

Abbildung 15.2: Die Datenträgerverwaltung unter Windows 2000

15.2 Der Internet Information Server

649

15.2 Der Internet Information Server Der Internet Information Server ist der Webserver. Einige Grundkenntnisse zur Bedienung sind notwendig, um als Entwickler den späteren Einsatzfall gut simulieren zu können.

15.2.1 Komponenten des IIS 5 Der IIS 5 wird installiert, wenn Sie das Option Pack auf einem Win- Der Internet dows NT-Server ausführen. Die Steuerung erfolgt hier grundsätzlich Information Server über die Management Konsole, die in Kapitel 10 Die Managementkonso- für den Webserver. le (MMC) beschrieben wird. Ein eigenständiges Kontrollprogramm, wie beim Personal Web Server, gibt es nicht. Außerdem existieren zusätzliche Komponenten, die nur in der Serverversion enthalten sind. Der Personal Web Manager wird in Abschnitt 15.4 Der Personal Web Manager ab Seite 691. Die folgende Aufstellung zeigt die im IIS der Professional-Version verfügbaren Komponenten: •

FTP: Server für File Transfer Protocol (Datei-Server).

•

HTTP: Server für Hypertext Transfer Protocol (WWW-Server).

•

SMTP: Server für Simple Mail Transfer Protocol (E-Mail-Server).

15.2.2 Der Internet Information Server 5 im Überblick Internet-Informationsdienste 5 verfügt über viele neue Features, mit deren Hilfe Webadministratoren skalierbare und flexible Webanwendungen erstellen können. •

Digestauthentifizierung: Die Digestauthentifizierung ermöglicht eine Sicherheit sichere und zuverlässige Authentifizierung von Benutzern über Proxyserver und Firewalls hinweg. Darüber hinaus sind der anonyme Zugriff, die HTTP-Standardauthentifizierung und die integrierte Windows-Authentifizierung (früher als Windows NTHerausforderung/Rückmeldung und NTLM-Authentifizierung bezeichnet) weiterhin verfügbar.

•

Sichere Kommunikation: SSL (Secure Socket Layer) 3.0 und TLS (Transport Layer Security) bieten ein sicheres Verfahren zum Austausch von Informationen zwischen Clients und Servern. Darüber hinaus bieten SSL 3.0 und TLS dem Server die Möglichkeit, die Identität des Clients zu überprüfen, bevor sich Benutzer am Server anmelden. In IIS 5 werden Clientzertifikate sowohl für ISAPI als

650

15 Internet Informationsdienste auch für Active Server Pages offen gelegt, so dass Programmierer die Benutzerzugriffe auf die Sites verfolgen können.

Administration

•

Festlegen der Verschlüsselungsstärke: Server-Gated Cryptography (SGC) stellt eine Erweiterung von SSL dar, durch die Unternehmen aus der Finanzwirtschaft, die eine Exportversion von IIS einsetzen, das Verwenden der hohen 128-Bit-Verschlüsselung ermöglicht wird. Die SGC-Funktionalität ist zwar in IIS 5.0 integriert, für das Verwenden von SGC ist jedoch ein besonderes SGC-Zertifikat erforderlich.

•

Kompatibilität mit Kerberos V5-Authentifizierungsprotokoll: IIS ist vollständig auf das Kerberos V5-Authentifizierungsprotokoll abgestimmt, das in Windows 2000 implementiert ist. Hierdurch wird es Ihnen ermöglicht, Authentifizierungsanmeldeinformationen zwischen verbundenen Computern zu übergeben, auf denen Windows ausgeführt wird.

•

Zertifikatsspeicher: Der IIS-Zertifikatsspeicher ist jetzt auf den Windows CryptoAPI-Speicher abgestimmt. Die Windows Zertifikatverwaltung stellt einen zentralen Startpunkt dar, der Ihnen das Speichern, Sichern und Konfigurieren von Serverzertifikaten ermöglicht.

•

Fortezza: Der IIS 5 unterstützt den als »Fortezza« bezeichneten Sicherheitsstandard der US-Regierungsbehörden. Dieser Standard definiert einen Verschlüsselungsmechanismus für die Sicherheitsarchitektur des »Defense Message System«, der die Vertraulichkeit, Integrität und Authentifizierung von Nachrichten und die Zugriffssteuerung für Nachrichten, Komponenten und Systeme ermöglicht. Diese Features können sowohl mit der Server- und Browsersoftware als auch mit PC-Cardbus-Karten implementiert werden.

•

Neustart von IIS: Jetzt können Sie die Internetdienste neu starten, ohne dass ein Neustart des Computers erforderlich ist.

•

Sichern und Wiederherstellen von IIS: Sie können die Metabasiseinstellungen sichern und speichern, so dass Sie problemlos einen sicheren und bekannten Zustand wiederherstellen können.

•

Konfigurationsoptionen: Sie können Berechtigungen für Lese-, Schreib-, Ausführungs-, Skript- und FrontPage-Weboperationen auf Site-, Verzeichnis- oder Dateiebene festlegen.

•

Personal Web-Manager: Der IIS 5 enthält ein vereinfachtes Administrationswerkzeug, das als Personal Web-Manager (PWM) bezeichnet wird. Mithilfe dieses Tools können Sie eine persönliche Veröffentlichungssite verwalten und überwachen.

15.2 Der Internet Information Server

651

•

Überwachen von Siteaktivität: Echtzeitdiagramme, die Statistiken zur Siteaktivität anzeigen, beispielsweise die Anforderungen pro Tag, Anforderungen pro Stunde, Besucher pro Tag und Besucher pro Stunde.

•

Programmierbarkeit: Vollständige Unterstützung für Active Server Pages, einschließlich verbesserter ASP-Komponenten und neuer Funktionalität zur Fehlerbehandlung.

•

Zentralisierte Administration: Verwaltungstools für IIS verwenden die Managementkonsole (MMC). MMC bildet den Rahmen für die als Snap-Ins bezeichneten Programme, die von Administratoren zur Verwaltung von Servern verwendet werden. Sie können das IIS-Snap-In von einem Computer aus verwenden, auf dem Windows 2000 Professional ausgeführt wird, um einen Computer im Intranet zu verwalten, auf dem die Internet-Informationsdienste unter Windows 2000 Server ausgeführt werden.

•

Active Server Pages (ASP): Mit Hilfe serverbasierter Skripts und ProgrammierKomponenten können browserunabhängige, dynamische Inhalte barkeit erstellt werden. ASP bietet eine einfache Alternative zu CGI und ISAPI, da es Entwicklern von Webinhalten ermöglicht wird, jede Skriptsprache oder Serverkomponente in HTML-Seiten einzubetten. ASP ermöglicht den Zugriff auf alle HTTP-Anforderungs- und Antwortdatenströme sowie auf Datenbankkonnektivität, die auf Standards basieren, und bietet die Funktionalität, um Inhalte für unterschiedliche Browser anzupassen.

•

Neue Leistungsmerkmale bei ASP: Active Server Pages verfügt über einige neue und verbesserte Features, mit deren Hilfe die Leistung verbessert und serverbasierte Skripts vereinfacht werden können.

•

Anwendungsschutz: Der IIS 5 bietet bessere Schutzmechanismen und ermöglicht eine erhöhte Zuverlässigkeit für Webanwendungen. Standardmäßig führt IIS alle Anwendungen in einem gemeinsamen oder zusammengefassten Prozess aus, der von den KernIIS-Prozessen getrennt ist. Darüber hinaus können Sie weiterhin unternehmenswichtige Anwendungen isolieren, die außerhalb der Kern-IIS-Prozesse und des zusammengefassten Prozesses ausgeführt werden sollen.

•

ADSI 2.0: Administratoren und Anwendungsentwickler haben in IIS 5 die Möglichkeit, benutzerdefinierte Objekte, Eigenschaften und Methoden zu dem vorhandenen ADSI-Provider hinzuzufügen, wodurch die Flexibilität im Rahmen der Sitekonfiguration weiter erhöht wird.

•

Auf Standards basierend: Microsoft Internet-Informationsdienste 5 ist Internetstandards mit dem Standard HTTP 1.1 kompatibel. Dies umfasst Features,

652

15 Internet Informationsdienste wie beispielsweise PUT und DELETE, die Fähigkeit zur Anpassung von HTTP-Fehlermeldungen sowie die Unterstützung für benutzerdefinierte HTTP-Header. •

WebDAV (Web Distributed Authoring and Versioning): Ermöglicht Remoteautoren das Erstellen, Verschieben oder Löschen von Dateien, Dateieigenschaften, Verzeichnissen und Verzeichniseigenschaften auf dem über eine HTTP-Verbindung.

•

PICS-Klassifikationen: Auf Sites, die Inhalte ausschließlich für ein erwachsenes Publikum enthalten, können Sie PICS (Platform for Internet Content Selection)-Klassifikationen anwenden.

•

FTP-Restart: Falls die Verbindung während der Dateiübertragung unterbrochen wird, können Dateidownloads mit Hilfe von FTP (File Transfer Protocol) nun wieder aufgenommen werden, ohne dass die gesamte Datei erneut gedownloadet werden muss.

Der IIS-Dienstmanager Unter Windows 2000 ist die Management Konsole ein integraler Bestandteil des Betriebssystems. Viele Systemfunktionen lassen sich über die Management Konsole steuern. Der Pfad zu der Verwaltung des IIS ist anders als unter Windows NT. Wählen Sie in der Systemsteuerung das Icon VERWALTUNG und im nächsten Fenster INTERNETDIENSTEMANAGER. Wenn Sie sich noch nicht mit einem Computer verbunden haben, der einen Webserver (IIS) installiert hat, klicken Sie mit der rechten Maustaste auf den Eintrag INTERNET-INFORMATIONSDIENSTE. Wählen Sie im Kontextmenü den Befehl VERBINDEN und geben Sie in dem folgenden Dialog (siehe Abbildung 15.3) den Namen des Computers oder seine IP-Adresse ein.

15.2 Der Internet Information Server

653 Abbildung 15.3: So verbinden Sie sich mit dem Internetdienste-Manager eines lokalen oder entfernten Computers.

Nach dem die Verbindung zum Webserver hergestellt wurde, erscheint der Computer in der Liste und kann administriert werden. Öffnen Sie den gewünschten Server mit Klick auf das Pluszeichen und stellen Sie den Dienst nun ein.

15.2.3 Anwendungsprogramme unter IIS Der IIS eignet sich auch zur Steuerung der Ausführung von Skripten und Programmen. Dabei werden verschiedene Varianten unterschieden, die je nach Anwendungsfall zum Einsatz kommen.

Erstellen von Anwendungen für Internet und Intranet Wenn Sie Windows 2000 Professional einsetzen, können Sie Anwendungen für das Internet entwickeln und testen. Ein mit dem IIS installierter Computer kann aber auch als einfacher Webserver eingesetzt werden. Prinzipiell können folgende Quellen für den Abruf mit einem Browser bereit gestellt werden: •

Statische HTML-Seiten

•

CGI-Programme

•

ISAPI-Erweiterungen

•

Active Server Pages

Statische HTML-Seiten sind am einfachsten darzustellen. Sie werden – Statische HTMLvereinfacht dargestellt – in einem bestimmten Verzeichnis abgelegt Seiten und stehen dann über den lokalen Webserver zur Verfügung.

654 CGI-Programme

15 Internet Informationsdienste CGI-Programme sind meist als Skripte mit einer bestimmten Skriptsprache ausgeführt. Unter Windows hat CGI nur eine geringe Bedeutung, da mit Active Server Pages und ISAPI effizientere Umgebungen zur Verfügung stehen. Sie können aber die im Internet frei verfügbaren Skriptsprache Perl oder PHP einsetzen und über die CGISchnittstelle des IIS ablaufen lassen. Beide Sprachen sind auch in einer für Win32-Umgebungen optimierten und vorkompilierten Binärdistribution verfügbar. CGI-Programme starten den Interpreter der Skriptsprache für jeden Clientzugriff erneut. Dadurch ist die Ausführung unter Umständen sehr langsam.

ISAPIErweiterungen

ISAPI-Erweiterungen sind DLLs, die im selben Adressraum wie der IIS laufen. Solche Erweiterungen müssen Multithreading-fähig sein, damit mehrere Clients gleichzeitig damit arbeiten können. Im Gegensatz zu CGI startet die Anwendung bei mehreren Clientzugriffen nur ein Mal. Das Programmieren direkt in ISAPI erfolgt meist mit Visual C++ und ist relativ komplex – keinesfalls ist es eine Alternative für Einsteiger in der Webserverprogrammierung. Als reine Programmierumgebung ist es denkbar ungeeignet. Wenn Sie nur wenige Änderungen im HTML-Code vornehmen, müssen Sie dennoch die Anwendung komplett neu kompilieren. Einfacher und im Vergleich der Möglichkeiten optimal ist dagegen die Nutzung von Active Server Pages.

ISAPI-Filter

ISAPI-Filter sind eine Erweiterung des ISAPI-Konzepts. Filter liegen noch vor dem Webserver und können Ereignisse abfangen und vorverarbeiten, bevor der Webserver diese verarbeitet. So könnten Sie Anforderungen an einen CGI-Interpreter modifizieren, bevor dieser den Zugriff erhält. ISAPI-Filter sind ebenfalls kompilierte DLLs und erden vorzugsweise in Visual C++ geschrieben.

Active Server Pages

Active Server Pages (ASP) vereinfachen die Softwareentwicklung erheblich. ASP selbst ist eine ISAPI-Anwendung (ASP.DLL) und nutzt die Vorteile. Der Programmierer kann dagegen mit einer einfachen Skriptsprache arbeiten (VBScript oder JScript). ASP selbst ist eine Programmierumgebung, in die beliebige Skriptsprachen eingebunden werden können, selbst Perl wurde in Form von PerlScript portiert und nutzt nun die effiziente ISAPI-Schnittstelle. ASP arbeitet zwar interpretierend, optimiert die Ausgabe aber durch einen internen Übersetzungsvorgang. Der erste Aufruf einer Seite ist deshalb sehr langsam, bei erneuten Abrufen der unveränderten Seite wird dagegen der kompilierte Code aus dem internen Speicher geholt. Das so programmierte Seiten bei jedem Aufruf anderen HTML-Code dynamisch erzeugen, spielt dabei keine Rolle.

15.2 Der Internet Information Server

655

Assoziation von Anwendungen Egal für welche Umgebung Sie sich entscheiden, der IIS muss wissen welche Erweiterung – CGI oder ISAPI spielt hier keine Rolle – mit welchem Programm verknüpft ist. Für ASP ist das nicht gesondert einzustellen, das erledigt das Installationsprogramm. Bei anderen Programmen muss die Verknüpfung evtl. von Hand eingestellt werden. Die Verknüpfung erfolgt unter ANWENDUNGSZUORDNUNGEN im Dialog ANWENDUNGSKONFIGURATION. Abbildung 15.4: Zuordnung von Dateierweiterungen zu Programmen oder ISAPI-DLLs

Sie können hier auch eigene Erweiterungen »erfinden« und mit neuen oder vorhandenen Programmen verknüpfen, beispielsweise um zu verbergen, mit welchen Programmen Ihre Site tatsächlich arbeitet.

15.2.4 Webseiten veröffentlichen Die wichtigste Anwendung des IIS ist die Veröffentlichung von Die StandardWebseiten. Eine Standardwebsite ist bereits vorbereitet. Diese zeigt einstellungen auf das Stammverzeichnis des Webservers: C:\inetpub\wwwroot Wenn Sie HTML-Dokumente in diesem Verzeichnis ablegen, können Sie diese über folgende Adresse im Browser abrufen:

656

15 Internet Informationsdienste http://servername/dokument.html Die interne Struktur bleibt also vor den Augen des externen Betrachters verborgen. Das ist schon allein aus Sicherheitsgründen notwendig, bietet aber auch andere Vorteile, die sich allgemein aus virtuellen Verzeichnissen ergeben. Dazu nachfolgend mehr.

Virtuelle Verzeichnisse Virtuelle Verzeichnisse verknüpfen einen nach außen sichtbaren Pfad mit einem internen Ordner. Einen Zusammenhang zwischen der Tiefe, dem Namen oder der Lage muss nicht bestehen. Bei der Einrichtung sind Sie auch nicht darauf angewiesen, die Ordner physisch unter WWWROOT zu platzieren. Aus Sicherheitsgründen und zur einfacheren Organisation ist dies dennoch empfehlenswert. Um ein neues virtuelles Verzeichnis anzulegen, gehen Sie auf den Eintrag INTERNET INFORMATIONSDIENSTE in der Management Konsole. Dort wählen Sie den Webserver und die Standardwebsite aus. Der IIS in Windows 2000 Professional kann nur eine Website verwalten. Wenn Sie mehrere Sites hosten möchten, müssen Sie auf den Windows 2000 Server wechseln. Mehr Informationen zum Einsatz des IIS in professionellen Produktionsumgebungen finden Sie im Band III der Reihe Windows 2000. Abbildung 15.5: Anlegen eines virtuellen Verzeichnisses

Es startet ein Assistent, der die nötigen Angaben abfragt. Zuerst wird der Name des virtuellen Verzeichnisses abgefragt. Unter diesem Namen wird der Nutzer die Inhalte später mit dem Browser abrufen.

15.2 Der Internet Information Server

657 Abbildung 15.6: Name des virtuellen Verzeichnisses

Jetzt wird der physische Pfad angegeben. Dieser kann irgendwo im Netzwerk liegen, auch auf anderen Servern, die über das Windows Netzwerk verbunden sind. Abbildung 15.7: Der physische Pfad, mit dem das virtuelle Verzeichnis verknüpft ist

Dem dritten Schritt sollten Sie besondere Aufmerksamkeit widmen. Zugriffsrechte Hier werden die Zugriffsrechte eingestellt. Der IIS wird dabei mit einem besonderen Konto angesprochen: IUSR_Machine, wobei Machine für den Namen des Computers steht. Das Kennwort wird automatisch erzeugt.

658

15 Internet Informationsdienste

Abbildung 15.8: Zugriffsrechte für den Webnutzer

Die Zugriffsrechte des IIS überlagern dabei die im NTFS eingestellten. Ohne weitere Angaben wird davon ausgegangen, dass das Verzeichnis anonym genutzt werden soll. Im IIS stellen Sie folgende Rechte ein (siehe Abbildung 15.8): •

LESEN: Leserechte erlauben die Übertragung von Dateien vom Webserver zum Browser.

•

SKRIPTS AUSFÜHREN: Dieses Recht erlaubt die Ausführung von ASPSkripten oder anderen per ISAPI eingebundenen Skriptmodulen.

•

AUSFÜHREN: Dieses Recht erlaubt die Ausführung von ausführbaren Programmen, beispielsweise EXE-Dateien oder CGI-Skripten, die ihrerseits ausführbare Programm starten sowie von ISAPIApplikationen.

•

SCHREIBEN: Mit Schreibrechten können Benutzer Dateien in dem Verzeichnis ablegen. Das kann normalerweise nicht per Browser erfolgen, sondern nur mit besonderen Werkzeugen (wie FrontPage) oder durch Skripte. Das setzt voraus, dass der Browser das HTTP-Kommando PUT beherrscht.

•

DURCHSUCHEN: Erlaubt das Durchsuchen von Verzeichnisse. Dazu mehr auf der nächsten Seite.

Jetzt können sie den Assistenten abschließen und das Verzeichnis wird erzeugt. Alle Optionen lassen sich später noch ändern. Dazu gehen Sie in den EIGENSCHAFTEN-Dialog des Verzeichnisses. Standarddateien

Wenn Sie nur einen Server angeben (www.yoolia.com) ist das eigentlich keine vollständige Adresse. Sie müssen die Datei und möglicherweise einen Pfad angeben. Das in der Praxis nur selten eine solche Angabe nötig wird, ist einem simplen Trick zu verdanken. Der Webserver kennt Standardnamen für Dateien. Erfolgt nun eine solche unvollständige Anforderung, wird aus der Liste der Standarddateien ein

15.2 Der Internet Information Server

659

Dateiname genommen und dieser im Verzeichnis gesucht. Ist eine Datei mit diesem Namen vorhanden, wird sie ausgeliefert. Misslingt der Versuch, wird die nächste Dateien in der Liste genommen, bis keine Auswahl mehr besteht. Erst dann wird eine HTTP-Fehlermeldung (»404 Datei nicht gefunden«) erzeugt. Gehen Sie im EIGENSCHAFTEN-Dialog des virtuellen Verzeichnisses auf Standarddateien die Registerkarte DOKUMENTE. Dort können Sie ein Liste der Stan- einrichten dardnamen eingeben: Abbildung 15.9: Liste der Standarddokumente

Wenn Sie Webseiten entwickeln, kann diese Arbeitsweise lästig sein. Durchsuchen Einfacher wäre es dann, wenn der Browser eine Liste von Dateien anzeigt. Dies erreichen Sie, indem die Option DURCHSUCHEN aktiviert wird. Das hebt allerdings den Mechanismus mit den Standarddateien nicht auf. Sie müssen also auf Standarddateien verzichten, wenn Sie immer die Dateiliste sehen möchten. Dazu löschen Sie die Option STANDARDDOKUMENT AKTIVIEREN (siehe dazu Abbildung 15.9). Das Einstellen der Benutzerrechte ist immer auch von NTFS abhängig. Um den Umgang mit diesen Vorgängen zu vereinfachen, können Sie den Berechtigungsassistenten einsetzen (siehe 15.2.6 Verzeichnis- und Dateisicherheit ab Seite 661).

15.2.5 FTP-Dienste anbieten Der IIS kann auch als FTP-Server arbeiten. Im lokalen Netz macht das nicht sehr viel Sinn, im Intranet schon eher, wenn einige Clients über FTP-Software verfügen. Auch für diesen Server wurde bereits bei der Installation eine Verknüpfung mit einem Verzeichnis eingerichtet. Das Stammverzeichnis finden Sie hier: C:\inetpub\ftproot Aufrufen können Sie den Inhalt, wenn Sie im Browser oder einem FTP-Programm den folgenden Namen eingeben: ftp://servername/ Der Zugriff erfolgt auch hier anonym, was grundsätzlich erlaubt und möglich ist. Der anonyme Nutzer hat nur Leserechte.

660

15 Internet Informationsdienste

Abbildung 15.10: Der Internet Explorer beim Zugriff auf FTP

Der Internet Explorer zeigt die Dateien auf einem FTP-Server ähnlich wie im Arbeitsplatz an. Auf der linken Seite werden Verbindungsangaben gezeigt, beispielsweise der Benutzername, wenn es sich um eine geschützte Verbindung handelt. Wenn Sie allerdings mit Drag&Drop Dateien hineinkopieren und keine Schreibrechte haben, erhalten Sie eine typische Fehlermeldung: Abbildung 15.11: FTP-Server sind standardmäßig nur lesbar

Den FTP-Server einrichten Auch für den FTP-Server können Sie virtuelle Verzeichnisse einrichten. Dies unterscheidet sich kaum von der bei den Webverzeichnissen beschriebenen Prozedur. Sie müssen sich auch nicht an die Struktur der Unterverzeichnisse halten und weitere Ordner unterhalb von FTPROOT ablegen. Statt dessen wäre auch ein Zugriff per FTP auf dasselbe Verzeichnis wie per HTTP denkbar. Der letzte Schritt des Assistenten ist noch einfacher als bei virtuellen Webverzeichnissen.

15.2 Der Internet Information Server

661 Abbildung 15.12: Rechte für FTPZugriffe

Hier können Sie auch entscheiden, ob Benutzern Schreibrechte erteilt werden. Diese Rechte überlagern auch die im NTFS verfügbaren Rechte. Wenn dort überhaupt keine Zugriffsmöglichkeiten definiert wurden, kann der IIS dies nicht übergehen. Um den Umgang mit diesen Vorgängen zu vereinfachen, können Sie den Berechtigungsassistenten einsetzen.

15.2.6 Verzeichnis- und Dateisicherheit Das Sicherheitskonzept des IIS stützt sich vollständig auf das von NTFS. Es ist äußerst bedenklich, den IIS auf FAT-Partitionen einzusetzen. Aber auch dort gelten zumindest die im IIS eingestellten Restriktionen. Bei der folgenden Darstellung wird von NTFS ausgegangen. Nach dem Anlegen eines Verzeichnisses, das später ein virtuelles Verzeichnis im IIS werden soll, werden nur die Standardberechtigungen übernommen:

662

15 Internet Informationsdienste

Abbildung 15.13: Standardberechtigungen, wenn der Administrator ein Verzeichnis anlegt

Die Pseudogruppe JEDER hat dabei nur eingeschränkte Rechte: LESEN/AUSFÜHREN, ORDNERINHALT AUFLISTEN und LESEN. Diese Gruppe existiert nicht tatsächlich, sondern nur als Ersatz für alle registrierten Benutzernamen. Der Zugriff funktioniert also nur, wenn sich ein Benutzer anmeldet, der im System bekannt ist. Wenn der Browser einen Zugriff verlangt, erkennt der IIS, dass kein Benutzername und Kennwort übertragen wurde. Er setzt dann beim Zugriff auf die Ressource automatisch den Benutzernamen IUSR_Machine ein. Da dies ein registrierter Benutzer ist, gehört er auch zur Pseudogruppe JEDER. Ein expliziter Eintrag des Nutzers IUSR_Machine macht also keinen Sinn, wenn der Zugriff für JEDER erlaubt ist. Wenn Sie aber neuen Verzeichnissen Rechte komplett neu vergeben oder einen zuvor platzierten Schutz aufheben, tragen Sie IUSR_Machine ein.

Der Berechtigungsassistent Der Berechtigungsassistent stellt Zugriffberechtigung für virtuelle Verzeichnisse ein. Dies ist unabhängig davon, ob es sich um ein FTPoder HTTP-Verzeichnis handelt. Den Berechtigungsassistenten können Sie starten, indem er im Kontextmenü eines Ordners oder virtuellen Verzeichnisses im Menü ALLE TASKS aufgerufen wird.

15.2 Der Internet Information Server

663 Abbildung 15.14: Start des Berechtigungsassistenten

Sie können nun auswählen, wie die Rechte des Verzeichnisses eingestellt werden: •

SICHERHEITSEINSTELLUNGEN ERBEN.

•

SICHERHEITSEINSTELLUNGEN MIT HILFE EINER VORLAGE AUSWÄHLEN. Die folgenden beiden Vorlagen können Sie verwenden: -

PUBLIC WEB SITE. Dies ist die Standardkonfiguration für eine öffentliche Website. Der Zugriff ist anonym möglich und Benutzer können alle Dateien lesen. Die Ausführung von ASPSkripten ist möglich. Nur der Administrator hat die volle Kontrolle über die Site.

-

SECURE WEB SITE. Diese Konfiguration ist für Sites, die einem beschränkten Nutzerkreis zugänglich sind, beispielsweise in einem Extranet. Verwendet wird die integrierte WindowsAuthentifizierung.

Der Ablauf der Authentifizierung ist ein Wechselspiel zwischen Web- Ablauf der server und Browser. Verlangt der Browser eine geschützte Ressource, Authentifizierung so reagiert der Webserver nicht wie üblich mit dem Status »200«, sondern mit »403 Zugriff verboten«. Das führt nicht sofort zu einer Fehlermeldung. Zuerst wird der Browser den ihm bekannten Anmeldenamen und das Kennwort senden. Wenn Sie als Administrator angemeldet sind, sollte der Zugriff so immer gelingen; Sie werden dann auch bei geschützten Seiten im lokalen Netz oder auf dem eigenen Computer nicht zur Eingabe von Benutzernamen und Kennwort aufgefordert. Misslingt dieser Versuch, öffnet der Browser ein Dialogfens-

664

15 Internet Informationsdienste ter, mit dem er Nutzername und Kennwort abfragt. Diese Angabe wird dann an den Server gesendet. Der überprüft die Rechte und antwortet dann wiederum mit »200« oder »403«.

Abbildung 15.15: Der Browser fordert Name und Kennwort für eine geschützte Site an

Beachten Sie, dass bei der Standard-Authentifizierung Kennwörter im Klartext über das Netz gehen. Wegen der Übertragung von Umlauten werden diese zwar mit dem Verfahren Base64 kodiert, derart dargestellte Zeichenfolgen sind aber mit einfachsten Mitteln auch von Laien zu übersetzen. Verwenden Sie nur die integrierte WindowsAuthentifizierung.

Andere Methoden Wenn Sie im Web surfen und geschützte Seiten besuchen, finden Sie oft andere Methoden. Meist werden einfache HTML-Formulare eingesetzt, und die Authentifizierung erfolgt nicht über ACLs, sondern über eine Datenbank in Verbindung mit ASP-Skripten. Diese Methode ist flexibler und leichter steuerbar – vorausgesetzt man kann Skripte programmieren. Außerdem können Sie leicht eine größere Anzahl Nutzer verwalten, was mit der integrierten Benutzerverwaltung von Windows 2000 nicht ganz einfach ist. Einen dritten Weg zum Schutz bietet Active Directory. Wenn Windows 2000 Professional Zugriff auf einen Domänencontroller mit Active Directory hat, wird die Authentifizierung dort überprüft. Das ist natürlich kein typischer Fall, denn wenn ein solcher Server im Netz vorhanden ist, gibt es keinen Grund, kleinere Computer als Webserver einzusetzen. Für eine Entwicklungsstation ist umgekehrt die Authentifizierung nicht so interessant.

Protokolle Die Systemsicherheit kann auch durch Prüfung der Protokolle erfolgen. Abgesehen davon enthalten Protokolle vielfältige Informationen

15.2 Der Internet Information Server

665

über die Besucher der Website. Webserver und FTP-Server schreiben getrennte Protokolle. Der Webserver legt Protokolle standardmäßig in folgendem Pfad ab:

Webserver

%windir%\system32\LogFiles Dort finden Sie mindestens das Verzeichnis \W3SVC1. Jeder Dienst, der installiert wird, erzeugt ein weiteres Verzeichnis nach dem Schema W3SVCXX, wobei XX eine fortlaufende Nummer ist. Dies erlaubt die Trennung der Protokolle für mehrere Domains. Haben Sie nur eine Domain oder arbeitet der IIS im lokalen Intranet, gibt es nur ein Verzeichnis. Die Einrichtung der Protokolle erfolgt über die Management Konsole. Im Dialog EIGENSCHAFTEN können Sie auf der Registerkarte WEBSITE die Protokollierung aktivieren, das Protokollformat auswählen und festlegen, wie das Protokoll abgespeichert wird. Abbildung 15.16: Kontrolle der Protokollierung der Zugriffe auf die Website

Als Protokollformat sollten Sie die Voreinstellung W3C-ERWEITERT belassen. Dieses Format können viele Analyseprogramme lesen. Über die Schaltfläche EIGENSCHAFTEN können Sie folgendes kontrollieren: •

Die Daten, die vom Protokoll erfasst werden

666

15 Internet Informationsdienste •

Speicherort

•

Format des Dateinamens

•

Speicherzyklus

Der Speicherzyklus hängt davon ab, wie groß Ihre Protokolle werden. Wenn Sie täglich einige Megabyte Protokolldaten haben und den Dateinamen nur monatlich wechseln, gestaltet sich die Weiterverarbeitung unter Umständen schwierig. Bedenken Sie, dass jeder Zugriff auf eine Website bei voller Protokollierung einige KByte an Daten erzeugt. Abbildung 15.17: Dateiformat, Speicherort und Zyklus für Protokolle

FTP-Server

Der FTP-Server schreibt seine Daten in ein eigenes Protokoll. Das Stammverzeichnis ist: %windir%\system32\LogFiles Dort finden Sie mindestens das Verzeichnis \MSFTPSVC1. Jeder Dienst, der installiert wird, erzeugt ein weiteres Verzeichnis nach dem Schema MSFTPSVCXX, wobei XX eine fortlaufende Nummer ist. Dies erlaubt die Trennung der Protokolle für mehrere Domains. Haben Sie nur eine Domain oder arbeitet der IIS im lokalen Intranet, gibt es nur ein Verzeichnis. Die Einrichtung der Protokolle erfolgt über die Management Konsole. Im Dialog EIGENSCHAFTEN können Sie auf der Registerkarte Website die Protokollierung aktivieren, das Protokollformat auswählen und festlegen, wie das Protokoll abgespeichert wird. Dialog und Einstellmöglichkeiten entsprechen den bei Webserver gezeigten.

15.2 Der Internet Information Server

15.2.7 Active Server Pages ASP-Skripte sind normalerweise in HTML-Seiten eingebettete Befehlsfolgen. Wenn diese Datei dann die Endung .ASP erhält, entsteht eine ASP-Datei. Innerhalb der HTML-Quelltexte kann die Skriptsprache sowohl innerhalb von HTML-Tags als auch als eigenständige Befehlssequenz angeordnet werden. Umgekehrt können auch die Strukturen der Skriptbefehle unterbrochen und mit HTML-Befehlen oder Text durchsetzt werden. Diese fast beliebige Vermischung führt zwar mitunter zu verwirrenden Codes, bietet aber eine hohe Leistungsfähigkeit und direkte Programmierung. Die Verwendung von HTML ist kein Zwang, Sie können auch reine VBScript-Skripte schreiben. VBScript und andere Skriptsprachen bieten sowohl einfache Befehle als auch komplette Statements an, wie die Abfrage einer Bedingung IF...THEN...ELSE. Das komplette Konstrukt bildet eine Einheit, THEN kann nie ohne ein davor geschriebenes IF auftreten. Ein Beispiel: <% IF time >= #12:00:00# AND time <= #23:59:59# THEN gruss="Guten Abend" ELSE gruss="Guten Morgen" END IF %> Je nach Rückgabe der Funktion time wird der Variablen gruss der entsprechende Text zugeordnet. Die Ausgabe innerhalb der HTML-Seite kann nun durch Abruf der entsprechenden Variablen erfolgen: <% = gruss %> Wenn der Nutzer die Datei mit seinem Browser morgens anfordert, wird er mit dem Satz »Guten Morgen« begrüßt. Die ermittelten Werte müssen nicht in Variablen gespeichert und anderswo ausgegeben werden, denn ASP ist bei der Vermischung von Skript und HTML sehr flexibel. Denselben Effekt wie im ersten Beispiel kann man auch einfacher erreichen:

667

668

15 Internet Informationsdienste <% IF time>=#12:00:00# AND time<=#23:59:59# THEN %> Guten Abend <% ELSE %> Guten Morgen <% END IF %> Ein Statement lässt sich also in seine Bestandteile zerlegen und mit dem HTML-Text mischen. Das führt zwar nicht zu einer übersichtlichen Struktur der Skripte, erhält aber die Struktur der HTML-Tags. Sie sollten sich für die eine oder andere Variante entscheiden, je nachdem ob der Schwerpunkt der Applikation das Skript oder das Layout der Seite ist. Komplexe Skripte sollten an den Anfang der Seite gestellt, die Steuerung von HTML-Tags dagegen in der gezeigten Form direkt im BODY der Seite untergebracht werden.

Die Grundstruktur einer HTML-Seite

Die ASP-Engine bearbeitet die zugewiesenen Seiten von oben nach unten (mit einer Einschränkung, die gleich erläutert wird). HTMLSeiten haben normalerweise folgende Grundstruktur: <TITLE>Das ist der Titel Das ist der Text ASP-Skripte können sowohl im HEAD- als auch im BODY-Teil stehen. Alle Befehle, die im HEAD-Teil stehen und ausgeführt werden, führen allerdings nicht zur Anzeige im Browser. Der Browser zeigt nur Daten an, die im BODY-Teil stehen. Manchmal ist es aber wichtig, dass Teile der Skripte vor dem Aufbau der Seite ausgeführt werden. Diese Skripte bringen Sie im HEAD-Teil unter, da dieser Teil zuerst ausgeführt wird.

Andere Skriptsprachen JScript und VBScript

ASP arbeitet auch mit anderen Skriptsprachen. Da die mit Windows NT ausgelieferte Version auch JScript, das Microsoft-Pendant zu Netscapes Javascript, beherrscht, ist bei manchen Problemen der Wechsel der Sprache angebracht. Dazu gibt es das HTML-Tag <SCRIPT>. Eine JScript-Funktion könnte damit mit einem VBScript-Befehl aufgerufen werden:

15.2 Der Internet Information Server <SCRIPT RUNAT="Server" LANGUAGE="JSCRIPT"> function TestFunktion() { response.write("Funktion aufgerufen") } <% CALL TextFunktion %> Da das Tag <SCRIPT> aus zwei Teilen besteht, die eine Einheit bilden, dürfen die Statements innerhalb der Skriptsektion nicht zerrissen werden. Das bedeutet, dass die oben beschriebene Zeitabfragefunktion nicht aus zwei Skriptteilen bestehen darf. Allerdings sind in einer ASP-Datei mehrere Tags <SCRIPT> möglich und ein mehrfacher Wechsel der Sprache ist auch innerhalb der Seite erlaubt. Wird dauerhaft eine andere Skriptsprache benutzt, ist das Tag <SCRIPT> unter Umständen lästig. Deshalb können Sie die Sprache dauerhaft mit einem speziellen Befehl umschalten oder in der Administration des IIS fest einstellen. Standardmäßig ist die Einstellung VBScript. Die Einstellung können Sie für jede Website im Dialog EIGENSCHAFTEN unter BASISVERZEICHNIS | ANWENDUNGSKONFIGURATION ändern. Im folgenden Dialog wählen Sie die Registerkarte ANWENDUNGSOPTIONEN. Die Einstellung kann im Skript wie oben beschrieben temporär übergangen werden.

669

670

15 Internet Informationsdienste

Abbildung 15.18: Die Standardskriptsprache für ASP einstellen

15.2.8 Verschlüsselung von Websites Wenn Sie im Internet surfen und dabei auf eine gesicherte Seite kommen, wird SSL verwendet. Angezeigt wird dies durch das Schlosssymbol im Browser und die Angabe des Protokolls als HTTPS:. Intern sind die Prozesse allerdings weitaus komplexer. Wenn Sie Seiten mit SSL schützen möchten, müssen Sie mit den entsprechenden Funktionen des IIS 5 kennen.

Einsatz von Zertifikaten Die Grundlage der Verschlüsselung bilden Zertifikate. Ein Zertifikat sichert, dass der Betreiber einer Site tatsächlich derjenige ist, für den er sich ausgibt. Im Gegensatz dazu gibt es auch Clientzertifikate, die die Echtheit eines Nutzers belegen. Die Verschlüsselung ist also nur ein Teil der Funktionalität des Zertifikats, allerdings eine wesentliche. Es enthält einen Schlüssel. Mit diesem Schlüssel wird der Übertragungsprozess gesichert. Das Zertifikat selbst wird zum Browser übertragen und der Nutzer kann sich die enthaltenen Daten anschauen, um mehr über den Betreiber der Site zu erfahren. Das Zertifikat selbst ist fest an einen Domain- und Servernamen gebunden, so dass es nicht von Dritten missbraucht werden kann.

15.2 Der Internet Information Server

671

Das gesamte Gebiet der Kryptografie und Sicherheitstechnik ist relativ kompliziert und soll hier nicht bis in alle Einzelheiten betrachtet werden. Der einführende Abschnitt liefert aber soviel Informationen, dass Sie mit den wesentlichen Begriffen umgehen können und einen Webserver praktisch SSL-fähig machen. Die Verschlüsselung von Daten soll folgendes gewährleisten: •

Zweck und Funktion der Sicherheit: Daten können auf dem Transportweg nicht von anderen Verschlüsselung

Personen gelesen werden. •

Identität: Es kann sichergestellt werden, dass die an der Kommunikation beteiligten Parteien diejenigen sind, für die sie sich ausgeben.

•

Authentizität: Sie gewährleistet, dass die übertragenen Daten auf dem Transportweg nicht verfälscht werden.

Heute wird überwiegend die asymmetrische Verschlüsselung einge- Asymmetrische setzt. Bei der asymmetrischen Verschlüsselung müssen zwei Schlüssel Verschlüsselung existieren, die miteinander in einer bestimmten Beziehung stehen (die mathematischen Details sind für die Praxis weniger interessant). Der Schlüssel besteht aus einem Code (Bitfolge), der zum kodieren und dekodieren von Informationen verwendet wird. Die Kodierung selbst ist ein mathematischer Vorgang, der auf einem allgemein bekannten Verfahren basiert, beispielsweise DES oder Blowfish. Bei der asymmetrischen Verschlüsselung gibt es einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird offen übertragen. Der private Schlüssel muss dagegen an einem geheimen Ort aufbewahrt werden. Ihn darf niemand anderer als der Inhaber zu Gesicht bekommen. Der Trick besteht in der geschickten Verwendung der Schlüssel. Wenn Schlüssel zwei Personen Daten sicher austauschen möchten, wird nur der öffentliche Schlüssel eingesetzt. Der Empfänger eine sicheren Nachricht sendet den öffentlichen Schlüssel an den Sender. Der Sender verschlüsselt diese Nachricht mit dem öffentlichen Schlüssel. Entschlüsselt werden kann die Nachricht nur mit dem passende Teil des Schlüsselpaars – dem privaten Schlüssel. Der ist aber niemandem außer dem Empfänger bekannt, die Datei ist sicher verschlüsselt. So funktioniert auch SSL. Das Protokoll führt dabei die Übertragung der Schlüssel automatisch aus. Dass die Rechenvorgänge komplex sind, kann auf langsamen Computern gut beobachtet werden – verschlüsselte Datenübertragungen verlaufen verzögert. Die Identität einer Nachricht wird ganz ähnlich sicher gestellt. Will der Sender einer Nachricht belegen, dass er »echt« ist, verschlüsselt er eine Datei, die persönliche Daten enthält, mit seinem privaten Schlüssel. Die Dekodierung kann nun nur mit dem passenden öffentlichen Schlüssel erfolgen. Das Verfahren ist also umkehrbar. Der öffentliche

672

15 Internet Informationsdienste Schlüssel des Senders ist bekannt und kann vorher auf einem vertrauenswürdigen Weg übermittelt worden sein. Jeder Empfänger kann die Nachricht mit dem öffentlichen Schlüssel lesen. Senden konnte sie aber nur der Besitzer des privaten Schlüssels. Die Kombination beider Verfahren impliziert auch die Authentizität. Wenn nur eine bestimmte Person die Nachricht lesen kann (der reguläre Empfänger), und der Sender sich ausreichend ausgewiesen hat, besteht keine Manipulationsmöglichkeit auf dem Transportweg. Änderungen am Inhalt der kodierten Datei werden die Anwendung des jeweils anderen Schlüssels unbrauchbar machen. Für den Fall, das nur die Authentizität interessant ist, der Inhalt aber keinen besonderen Schutz benötigt, reicht eine sogenannte digitale Signatur aus. Hier erfolgt zwar eine Sicherstellung der Echtheit des Absenders, eine Verschlüsselung der Daten erfolgt aber nicht – allerdings wird die Unterschrift verschlüsselt. Eingesetzt wird dieses Verfahren vor allem bei EMail.

Zertifikate Die asymmetrische Verschlüsselung basiert im Wesentlichen auf der Verteilung öffentlicher Schlüssel und der Zuordnung zu den passenden privaten Schlüsseln. Die Verteilung öffentlicher Schlüssel ist ein Sicherheitsmerkmal. Die Echtheit des Schlüssels selbst sollte sicher gestellt werden. Diese Aufgabe erfüllen Zertifikate. Zertifikate sind global definiert und sind an eine Person oder Institution, nicht an Daten gebunden. Das impliziert, dass der Inhaber eines Zertifikats sich ausweisen muss, wenn er ein auf ihn ausgestelltes Zertifikat haben möchte. X.509

Ein digitales Zertifikat ist ein eindeutiger Datensatz, der Informationen über eine Person oder Firma enthält. Das Format wird im Standard X.509 festgelegt. X.509 ist eine ganze Familie von Standards, die sich mit Formaten, Schnittstellen und Protokollen für die gesicherte Übertragung von Daten befasst. Die Zertifikatdefinition ist darin nur ein kleiner Teil. Im weitesten Sinne definiert X.509 eine sogenannte Public Key Infrastruktur (PKI) – die Standards also, die zum Aufbau einer eigenen Zertifikats- und Schlüsselstruktur eingesetzt werden. Ein guter aber auch anspruchsvoller Start in die X.509-Welt ist unter der folgenden Adresse zu finden: http://www.ietf.org/html.charters/pkix-charter.html Zertifikate nach X.509 enthalten folgende Felder: •

Version

•

Seriennummer

15.2 Der Internet Information Server •

Signatur-Algorithmus

•

Aussteller

•

Gültig ab und bis

•

Name des Inhabers

•

Öffentlicher Schlüssel des Inhabers

•

Digitale Unterschrift des Ausstellers

673

Abbildung 15.19 zeigt diese Daten anhand eines Beispielzertifikats. Im unteren Feld ist der öffentliche Schlüssel zu sehen. Abbildung 15.19: Zertifikat im Internet Explorer

Je nach Einsatzzweck können noch weitere Daten über den Inhaber Die Certificate übertragen werden. Die Überprüfung der Daten wird durch die soge- Authority (CA) nannte Zertifizierungsautorität vorgenommen (CA, Certificate Authority). Das ist eine für alle Beteiligten vertrauenswürdige dritte Partei. In Deutschland sind dies die Telekom AG und die Fa. TC Trustcenter (www.trustcenter.de), ein Joint-Venture von vier Privatbanken. In den USA sind besonders Verisign und Thawte als Zertifizierungsautoritäten bekannt. Es bleibt anzumerken, dass diese Firmen private Unternehmen sind, die sich durch ihre Arbeit am Markt diese Stellung erworben haben. Eine staatliche Sanktionierung ist schwach ausgeprägt. Erst das Anfang 2000 verabschiedete Signaturgesetz regelt, unter welchen Bedingungen welche Arten von Zertifikaten auch im Falle eines Rechtsstreits anerkannt werden.

674

15 Internet Informationsdienste Sie können Zertifikate auch mit dem in Windows 2000 Server verfügbaren Zertifikatsdienst erstellen. Diese sind zwar nicht offiziell gültig, können aber beispielsweise im Intranet Mitarbeiter zertifizieren. Auf diese Technik wird in Band II eingegangen. Trotzdem sichern die auch heute schon verfügbaren Zertifikate eine Website sehr sicher ab. Der Aufwand, die Kontrollinstanzen zu umgehen, ist enorm und nur mit krimineller Energie zu überwinden. Abgesicherte Seiten gelten deshalb als sicher, solange man keine Millionengeschäft macht. Anders ist die Situation, wenn der Herausgeber des Zertifikats unbekannt ist. Der Zertifizierungsserver von Windows 2000 kann selbst Zertifikate erzeugen. Statt Verisign wird dann »Entwickler-PC« als Aussteller erscheinen (oder wie auch immer der Name gewählt wird). Zertifikate werden normalerweise nur im Intranet eingesetzt, wo die Echtheit der Daten durch den Administrator bestätigt wird. Es ist aber sinnvoll, sich damit auseinander zu setzen, um die Techniken kennen zu lernen, die zur Verschlüsselung eingesetzt werden – ohne einige hundert Dollar für ein echtes Zertifikat zu bezahlen (sie werden es geahnt haben, Zertifizierungsautoritäten sind keine öffentlich finanzierten Einrichtungen). Inzwischen gibt es viele Firmen, die diesen Service anbieten.

Zertifikatstypen

Es gibt drei Typen von Zertifikaten: •

Serverzertifikate. Diese werden eingesetzt, um einen Server mit SSLTechnologie auszustatten und betreiben zu können.

•

Clientzertifikate oder persönliche Zertifikate zum Sichern der Identität von Privatpersonen, beispielsweise bei E-Mail.

•

Software-Zertifikate sichern die Echtheit sowohl von Software als auch von Herstellern. Damit kann Software auch über das Internet verkauft werden, denn auf eingeschweißte Verpackungen und Hologramme kann verzichtet werden.

Zertifizierungsstellen dienen der Identifizierung der Herausgeber von Zertifikaten. Dabei können Stammzertifikate untergeordnete Einheiten bilden. Beispielsweise lässt sich Trustcenter selbst von Verisign zertifizieren. Diese Struktur ermöglicht es, mit einer geringen Anzahl von Stammzertifikaten zu arbeiten. Das erleichtert die Kontrolle.

Ein Serverzertifikat beziehen Um eine Website zu sichern, müssen Sie folgendermaßen vorgehen (die Schritte werden nachfolgend noch genauer erläutert): 1. Stellen Sie sicher, dass die Domain für die Site korrekt angemeldet und freigeschaltet ist.

15.2 Der Internet Information Server

675

2. Erzeugen Sie mit den Serverwerkzeugen ein Schlüsselpaar und eine Zertifikatsanfrage. Diese Anfrage ist ein ASCII-Datei, die in einem bestimmten Format (PKCS#10) abgelegt wird. Der private Schlüssel wird in diesem Schritt erzeugt – bewahren Sie ihn sicher auf. 3. Senden Sie die Anfragen an die Zertifizierungsinstanz. Dies kann per E-Mail oder per Formular an den Webserver erfolgen. Wenn Sie lokal selbst zertifizieren, verwenden Sie das entsprechende Werkzeug, beispielsweise den in Windows 2000 Server verfügbaren Zertifizierungsserver. 4. Führen Sie den Überprüfungsvorgang aus. Verisign beispielsweise verlangt bei Firmen einen Handelsregisterauszug und ruft den Inhaber telefonisch zurück – Betrüger ohne Firmensitz haben so keine Chance. 5. Sie erhalten nun das Zertifikat als ASCII-Datei im Format PKCS#7. 6. Installieren Sie das Zertifikat auf dem Webserver – ab sofort können Sie SSL verwenden. Verisign ist die bekannteste und größte Organisation zur Herausgabe Ein Zertifikat von von Zertifikaten. Alle anderen Anbieter haben ein vergleichbares Ver- Verisign beziehen fahren, so dass die folgenden Informationen auch dort gelten. Sie finden Verisign unter: •

http://www.verisign.com

Zuerst müssen Sie die Schlüssel und die Anforderung erzeugen. Das Schlüssel und ist mit dem IIS 5 sehr einfach, da es hierfür einen Assistenten gibt. Anforderung Starten Sie den IIS, gehen Sie auf die zu sichernde Domain und wäh- erzeugen len Sie im Kontextmenü den Eintrag EIGENSCHAFTEN. Im folgenden Dialog öffnen Sie die Registerkarte VERZEICHNISSICHERHEIT.

676

15 Internet Informationsdienste

Abbildung 15.20: Erzeugen einer Zertifikatsanforderung mit dem IIS 5

Abbildung 15.20 zeigt den Dialog EIGENSCHAFTEN VON STANDARDWEBSEITE: VERZEICHNISDIENST. Im Abschnitt Sichere Kommunikation klicken Sie nun auf SERVERZERTIFIKAT... . Die anderen Schalter sind deaktiviert, weil noch kein Zertifikat installiert wurde. Die einzelnen Schritte durchlaufen Sie mit Hilfe eines Assistenten. Der Assistent endet mit der Ablage der Anforderungen in einer Anforderungsdatei. Der private Schlüssel dagegen wird lokal im Schlüsselspeicher abgelegt und nicht in der Datei. Jetzt senden Sie die Anforderungsdatei an die Zertifizierungsinstanz. Die Anforderungsdatei hat etwa folgendes Aussehen:

15.2 Der Internet Information Server -----BEGIN NEW CERTIFICATE REQUEST----MIICfDCCAiYCAQAwbDEWMBQGA1UEAxMNaG9tZS13aW4yMDAwcDEOMAwGA1UECxMF QV0b3IxEzARBgNVBAoTCkRhdGFCZWNrZXIxDzANBgNVBAcTBkJlcmxpbjEPMA0 G AUECBMGQmVybGluMQswCQYDVQQGEwJERTBcMA0GCSqGSIb3DQEBAQUAA0sAMEgC QDe7jx6Q7dH2YAgQpZSeFLe8KDTFgthzZ+nxXed68URnbabLJ4jC6Gx+9yfbHf R cbh05aORcdgE5I13bcq3ShhAgMBAAGgggFTMBoGCisGAQQBgjcNAgMxDBYKNS4 w LjIxOTUuMjA1BgorBgEAYI3AgEOMScwJTAOBgNVHQ8BAf8EBAMCBPAwEwYDVR0l BAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNgIxge4wgesCAQEeWgBNAGkAYwBy 15/xZDY8Cugoxbyymtwq/tAPZ6dzPr9Zy30NkKQbKcsbLR/4t9/tWJIMmrFhZo n rx12qBfICoiKUXreSK89OILrLEto1frm/dycXHhStSsZdm25vszv827FKKk5bR W /vIIeBqfKnEPJHOnoiG6UScvgA8QfgAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA0E A oHp1WS8awqEmECCs/Oo679ZLc5/lOetX51j57qh6ZtU1UeFUQgUCz97aTZWIzm AkjQ1mC/ySx65kfo7W2JSA== -----END NEW CERTIFICATE REQUEST----Dazu gehen Sie folgendermaßen vor: 1. Gehen Sie zu Verisign und bestellen Sie ein Webserver-Zertifikat. Sie können auch ein Testzertifikat für 14 Tage nutzen, das kostenlos ist. Das echte Zertifikat kostet 349 US-Dollar für ein Jahr. Danach kann es für 249 US-Dollar verlängert werden – eine erneute erfolgreiche Prüfung der Identität vorausgesetzt. 2. Führen Sie den Assistenten auf der Website aus, wie nachfolgend beschrieben. 3. Installieren Sie das per E-Mail versendete Zertifikat. Wenn Sie ein Testzertifikat bestellen, müssen Sie eine kleine Sicherheitsschranke überwinden. Verisign will verhindern, dass mit den ungeprüften Testzertifikaten Missbrauch betrieben wird. Deshalb müssen Sie ein besonderes Stammzertifikat im Browser installieren. Die normalen Zertifikate sind dagegen bereits bekannt.

677 Die Anforderungsdatei

678 Abbildung 15.21: Die Anforderungsdatei wird per Cut&Paste in das Formular eingefügt. Wichtig ist, dass auch die Begrenzungszeilen kopiert werden.

15 Internet Informationsdienste

15.2 Der Internet Information Server

679 Abbildung 15.22: Post von Verisign: Kopieren Sie den Code am Ende der E-Mail in eine Datei mit dem Namen »certresp.cer«

Jetzt starten Sie den Assistenten im IIS erneut. Sie müssen hier nun eine Datei angeben, die die Daten der Zertifizierungsstelle enthält. Das ist die Datei »certresp.cer« aus der in Abbildung 15.22 gezeigten EMail. Abbildung 15.23: Beim zweiten Start bietet der Assistent andere Optionen an

680

15 Internet Informationsdienste Mit dem Anzeigen des Zertifikats überprüfen Sie, ob die Angaben korrekt erfasst wurden. Dieselben Informationen sehen später auch Nutzer, die die Site über den sicheren Kanal besuchen und sich über den Herausgeber informieren möchten.

Abbildung 15.24: Lassen Sie sich das Zertifikat anzeigen, um die Angaben zu prüfen

Abbildung 15.25: So erzwingen Sie SSL Sie können nun die gesamte Site, für die das Zertifikat angefordert wurde, per SSL ansprechen. Das geschieht über das Protokoll HTTPS. Wenn Sie die Nutzung nicht optional anbieten, sondern erzwingen möchten, aktivieren Sie das Kontrollkästchen SICHEREN KANAL VERLANGEN (SSL) im Dialogfeld GESICHERTE KOMMUNIKATION, wie in Abbildung 15.25 gezeigt.

15.2 Der Internet Information Server

681 Abbildung 15.26: Fehlermeldung beim Zugriff ohne SSL

Das Zertifikat entfernen Falls Sie nur ein Testzertifikat verwendet haben, werden Sie es irgendwann entfernen wollen, entweder um unverschlüsselt weiter zu arbeiten oder ein richtiges Zertifikat nutzen zu wollen. Dazu klicken Sie im Dialog Verzeichnissicherheit im IIS auf die Schaltfläche SERVERZERTIFIKAT. Der Assistent bieten Ihnen nun wiederum andere Optionen. Sie können das Zertifikat nun entfernen oder gegen ein neues austauschen. Einer Site kann aber immer nur ein Zertifikat zugeordnet werden.

Umgang mit Domainnamen Haben Sie mehrere Domains auf einem Server oder mehrere virtuelle Webs eingerichtet, können Sie diesen aber verschiedene Zertifikate zuordnen. Bei Domains muss das auch so sein, denn die Zertifikate sind an den Namen des Servers gebunden. Beachten Sie bei der Anforderung des Zertifikats, dass der vollständige Name angegeben werden muss. Wenn Sie Ihren Server

682

15 Internet Informationsdienste www.server.de nennen, müssen Sie dies auch so angeben. Haben Sie ein Zertifikat für »server.de«, wird der Name »www« nicht akzeptiert. Diese Einstellung kann zwar im Nameserver unterdrückt werden (einige Sites verzichten ja auf das »www«), üblich ist dies aber nicht und mag den einen oder anderen Nutzer irritieren. Legen Sie sich dagegen auf den Namen fest, können Sie den Server später nicht einfach in »www2« umbenennen. Dies ist wichtig, wenn mit verschiedenen Servern gearbeitet wird. In diesem Fall sind auch verschiedene Zertifikate nötig.

15.3 Der SMTP-Server Der SMTP-Server wird vom Administrator oft nicht ernst genommen. In der Literatur wird darauf nur im Zusammenhang mit dem Exchange Server oder den CDO-Objekten und der ASP-Programmierung eingegangen. Es lohnt sich dennoch, sich damit zu beschäftigen.

Der SMTP-Server im Überblick Der SMTP-Server im IIS 5

Der SMTP-Server dient dem Austausch von E-Mails zwischen Mailservern. Er ist in der vorgestellten Version äußerst primitiv. Sie können zwar mehrere Domains, nicht aber einzelne Nutzer verwalten. Der SMTP-Server benutzt zur Steuerung sechs Verzeichnisse: •

MAILROOT/PICKUP: Wenn in dieses Verzeichnis Textdateien platziert werden, die ein korrektes Format haben, werden diese sofort als E-Mail versendet.

•

MAILROOT/QUEUE: Wenn das Versenden einer E-Mail nicht sofort funktioniert hat, kopiert der SMTP-Server die Datei hierher und erzeugt jedes Mal eine Datei, die das Problem erklärt.

•

MAILROOT/BADMAIL: Konnte die Nachricht endgültig nicht gesendet werden (die Anzahl an Wiederholungen, die angegeben waren, wurde erreicht), wird die Nachricht in diesem Verzeichnis abgelegt.

•

MAILROOT/DROP: Alle eingehenden Nachrichten werden hier abgelegt. Um die Auflösung der Empfängernamen müssen Sie sich selbst kümmern, der Server nimmt erst einmal alle Mails an die Domain an.

•

MAILROOT/MAILBOX: Wurden Mailboxen eingerichtet, werden diese hier als Unterverzeichnisse abgelegt. Dies ist nur für den Mailempfang interessant.

15.3 Der SMTP-Server •

MAILROOT/ROUTE: In diesem Verzeichnis liegen Informationen über die Weiterleitung von E-Mail.

•

MAILROOT/SORTTEMP: Ein temporäres Verzeichnis.

683

Insgesamt ist der SMTP-Server also sehr einfach. Praktisch eignet er sich nur für einfache Aufgaben oder er erfordert einen gewissen Programmieraufwand mit Active Server Pages, um die volle Funktionalität eines Mailservers zu erreichen. Ein echter Nachrichtenaustausch mit komfortablen Funktionen ist nur möglich, wenn der Exchange Server 2000 und Outlook 97 (oder höher) installiert werden. Zusammen mit den Collaboration-Data-Objects(CDO)-Bibliotheken können komplexe Mailanwendungen entwickelt werden. Die übergreifende Skriptumgebung ist natürlich ASP. Mehr Informationen darüber finden Sie bei Microsoft unter http://www.microsoft.com/technet/appfarm.

Einsatzszenario Angenommen, Sie haben ein kleines Büro, eine DSL- oder InterCon- Festverbindung nect-Festverbindung und als Mailclient Outlook 2000. Das ist für viele wird vorausgesetzt Anwender typisch. Der Versand von E-Mail erfolgt normalerweise über Outlook – über einen vom Provider benannten SMTP-Server. Das kann unter Umständen – bei weit entfernten Servern, ein lästigen Unterfangen sein. Wer viele E-Mail versendet wartet immer wieder bis alles weg ist. Denn erst wenn alle E-Mails beim Server sind, kann Outlook weiter arbeiten. Wenn Sie nun selbst einen STMP-Server haben, kann der Umweg über den Provider entfallen. Falls es mit dem Ausliefern der E-Mail Probleme gibt, stört das nicht. Unmittelbar nach dem Versenden wird Outlook wieder frei und die Wiederholversuche laufen im Hintergrund ab. Mit den am Anfang bereits besprochenen CDO-Objekten können Sie die Behandlung von Mail noch zusätzlich programmieren. Unabhängig davon können Sie den SMTP-Server auch einsetzen, um einen im Netz verfügbaren Exchange Server anzusprechen. Auch dann verkürzt sich die Zeit für das Senden der E-Mail. Fällt die Netzwerkverbindung mal aus oder der Server ist nicht verfügbar, werden die E-Mails nicht sofort mit einer Fehlermeldung zurückgewiesen. Der SMTP-Server ist vielfältig konfigurierbar, was die Versandoptionen betrifft.

684

15 Internet Informationsdienste

15.3.1 Administration Die Administration des STMP-Servers erfolgt über die Management Konsole des IIS. Sie erreichen die Konsole unter VERWALTUNG | INTERNET INFORMATIONSDIENSTE und dort im Knoten VIRTUELLER STANDARDSERVER FÜR SMTP. Abbildung 15.27: Management Konsole für den SMTP-Server

Dienst starten

Wenn das Symbol ein kleines rotes Kreuz trägt, ist der Dienst nicht gestartet. Sie können dies gleich im Kontextmenü erledigen. Bevor E-Mails versendet werden können, muss der STMP-Server konfiguriert werden. Dies wird nachfolgend beschrieben.

Eingehende Mails weiterleiten Unterhalb von VIRTUELLER STANDARDSERVER FÜR SMTP finden Sie einen Eintrag DOMÄNEN. Dort ist schon eine Standarddomäne eingetragen, nämlich der Name des Servers. Wenn Sie den Computer nicht als öffentlichen Webserver betreiben, wird nur der Windows-Name angezeigt. Die Standarddomäne bestimmt, wohin eingehende E-Mails gelangen. Dieser Fall ist nicht interessant, wenn Sie nur E-Mails per SMTP versenden und zum Empfang weiter Outlook und damit POP3 verwenden. E-Mail-Empfang

In den Eigenschaften können Sie das Zielverzeichnis auswählen. Wenn Sie einen Domainnamen angeben, der von einem Platzhalter angeführt wird, nimmt der Server alle E-Mail für diese Domain an. Ohne weitere Einrichtung oder Programmierung werden die E-Mails nicht getrennt. Dies kann entweder von einem anderen Programm oder per Skript erfolgen.

Remote Domains Hinter dieser Art verbergen sich die Domainnamen der zum senden berechtigten Personen. Wenn Sie als eigene E-Mail-Adresse [email protected] haben, tragen Sie als Remote Domain KRAUSE.NET ein. Haben Sie mehrere Adressen in diesem Bereich, kann auch hier ein Platzhalter eingesetzt werden: *.NET.

15.3 Der SMTP-Server

685

Um eine Remote Domain hinzuzufügen, wählen Sie aus dem Kon- Hinzügen einer textmenü des Eintrags NEU | DOMÄNE.... Es startet ein Assistent, der Remote Domain zuerst die Art der Domäne abfragt – belassen Sie hier den Standardwert REMOTE DOMÄNE bei. Abbildung 15.28: Neuer Eintrag einer Remote Domäne

Abbildung 15.29: Namensraum der Absender

Weiterleitungsverhalten einstellen Im nächsten Schritt ist es notwendig, sich über die Sicherheit Gedan- Spam aussperren! ken zu machen. SMTP selbst bietet kaum Sicherheitsvorkehrungen. So wird immer wieder die Existenz eines freien SMTP-Servers dazu missbraucht, fremde E-Mail an Tausende Nutzer zu versenden. Das ist nicht ärgerlich sondern kann bei einer Abrechnung auf Traffic-Basis auch richtig teuer werden. Wenn Sie E-Mail an alle Domänen weiterleiten, ist der ausgehende Weg offen. Sie müssen nun also den eingehenden Weg versperren. Die entsprechende Option finden Sie im EIGENSCHAFTEN-Dialog des WeiterleitungsSMTP-Servers (im Kontextmenü). Auf der Registerkarte ZUGRIFF wäh- adressen

686

15 Internet Informationsdienste len Sie die Option WEITERGABEBESCHRÄNKUNGEN. Im folgenden Dialog geben Sie nur Ihrem lokalen Computer Zugriffsrechte. Falls Sie den SMTP-Dienst auch anderen Computern im lokalen Netz anbieten, können Sie auch einen Nummernkreis mit einer Subnetzmaske definieren oder mehrere IP-Nummern in die Liste eintragen.

Abbildung 15.30: Keine Weitergabe, außer für den lokalen Computer

Lieferbedingungen einstellen Das Ausliefern von E-Mail ist im Internet kein einfaches Unterfangen. Zum einen soll die E-Mail schnellstmöglich und sicher den Empfänger erreichen, zum anderen sind die Server nicht immer verfügbar. Trotzdem erwartet SMTP eine ständige Verbindung. Nach der Ablage einer E-Mail beginnt der Dienst sofort mit der Übertragung. Geht der Versand nicht, beispielsweise weil der andere Server nicht geantwortet hat, muss die weitere Verfahrensweise klar geregelt sein. Dies können Sie auf der Registerkarte ÜBERMITTLUNG einstellen. Zuerst werden die Wiederholungsintervalle angezeigt. Der Server wird den Versand nach den eingestellten Zeit erneut versuchen. Oft sind Verbindungen nur temporär unterbrochen, ein späterer Versuch lohnt also auf jeden Fall. Möglicherweise ist eine versendete E-Mail aber auch sehr wichtig. Ein Ausfall des Servers sollte dann trotz laufender Versuche registriert werden. Dazu stellen Sie die Option BENACHRICHTIGUNG BEI VERZÖGERUNG entsprechend ein. Außerdem kann mit Zeitlimit für den Ablauf die maximale Dauer fortlaufender Versuche eingestellt werden. Nach Ablauf des Zeitlimits wird die E-Mail im Verzeichnis BADMAIL abgelegt und kein neuer Versuch gestartet.

15.3 Der SMTP-Server

687 Abbildung 15.31: Optionen für den Versand von E-Mail

Die Gruppe LOKAL im Dialog in Abbildung 15.31 stellt das Abbruchund Fehlerverhalten für lokal übertragene Daten ein. Abbildung 15.32: Detaillierte Versandoptionen

Mit ERWEITERT gelangen Sie in einen weiteren Dialog, der detaillierte Versandoptionen einstellt: •

MAXIMALER HOP COUNT: Hier wird bestimmt, über wie viel SMTPServer die E-Mail maximal weitergeleitet werden soll.

•

MASKERADENDOMÄNE: Manche Absender stellen ihre E-MailClients nicht korrekt ein. Dieser Eintrag manipuliert die FROM:-

688

15 Internet Informationsdienste Zeile der ausgehenden E-Mails und trägt die hier genannte Domäne ein. Mitarbeiter können dann nicht mehr anonym Mails versenden und dadurch Schaden anrichten. •

VOLLSTÄNDIG QUALIFIZIERTER DOMÄNENNAME: Dies ist der vollständige Name des Computers. Wenn Sie den Namen nicht korrekt eintragen konnte, überprüfen Sie dies mit der Schaltfläche DNS ÜBERPRÜFEN.

•

SMART HOST: Hinter dem smarten Namen verbirgt sich nur die Angabe eines legalen Relays, beispielsweise in Gestalt eines Exchange Servers. Wenn Sie eine SMTP-Server beim Provider als Relay verwenden, sollten Sie dies ausdrücklich vorher klären. Alle ausgehende Post geht dann gebündelt zu dem unter SMART HOST bezeichneten Server und wird von dort verteilt. Wenn Sie Smart Host verwenden, müssen Sie keine Remote Domains einrichten, da diese Weiterleitungskontrolle vom Relay erbracht wird.

Abbildung 15.33: Die Benachrichtigung über Sendeverzögerungen erfolgt per E-Mail. Der STMP-Server nennt sich selbst: postmaster@ domainname

•

DIREKTE ÜBERMITTLUNG VERSUCHEN...: Diese Option bewirkt, dass zuerst direkt gesendet wird. Erst wenn dies im ersten Versuch misslingt, wird der Smart Host verwendet.

•

UMGEKEHRTE DNS-SUCHE: Diese Option prüft die im HELOKommando zur Identifizierung empfangene Bezeichnung des Servers gegen die bei der Übertragung verwendete IP-Adresse durch Abfrage eines DNS-Servers. Damit werden Fälschungen des Absenders verhindert. Die Anwendung birgt aber auch die Gefahr der Rückweisung von E-Mail, wenn die DNS-Servers nicht korrekt konfiguriert wurden, was sehr oft vorkommt und im normalen Betrieb nicht stört.

15.3 Der SMTP-Server

689

Nachrichtenbeschränkungen und Kontrolle Um den Nachrichtenverkehr zu kontrollieren sind auf der Registerkarten NACHRICHTEN weitere Beschränkungen einstellbar. Abbildung 15.34: Beschränkungen für Nachrichten

Hier wird auch das BADMAIL-Verzeichnis eingestellt. In das Feld KOPIE DES UNZUSTELLBARKEITSBERICHTS SENDEN AN tragen Sie eine vollständige E-Mail-Adresse ein. Die Kontrolle des E-Mail-Verkehrs erfolgt am Besten durch Protokol- Protokolle lieren. Standardmäßig werden einige Daten erfasst. Auf der Registerkarte Allgemein können Sie die Protokollierung aktivieren und den Inhalt des Protokolls und die Speicherfrequenz wählen. Die Protokolle liegen in folgendem Pfad: %windir%\System32\LogFiles\SmtpSvc1 SMTPSVC1 steht für den ersten eingerichteten virtuellen SMTP-Server, weitere werden fortlaufend benannt: SMTPSVC2 usw. Der Name der Protokolle richtet sich nach der Häufigkeit der Speicherung und besteht aus dem Datum und der Dateierweiterung LOG. Diese Dateien sind mit jedem ASCII-Editor lesbar. Die internen Zeitangaben sind bei E-Mail immer kritisch, da die Zeiten beim Empfänger und beim Sender oft in unterschiedlichen Zeitzonen liegen. Üblich ist deshalb die Angabe der Zeiten in GMT (Greenwhich Mean Time) als zentrale Internet-Zeit. Entsprechend wird das Protokoll auch so geführt. Mit der Option LOKALE ZEIT FÜR

690

15 Internet Informationsdienste DATEIBENENNUNG UND ROLLOVER VERWENDEN wird dies unterdrückt und die Serverzeit genutzt. Aktivieren Sie die Option, wenn Sie nur innerhalb einer Zeitzone E-Mail versenden oder empfangen – beispielsweise im Intranet.

Abbildung 15.35: Typische SMTPProtokolldatei

Die Protokolldatei ist systematisch aufgebaut. Am Anfang werden die Feldbezeichnungen aufgeführt, zu denen Daten erfasst werden sollen. Darunter wird auf jeder Zeile eine Aktion abgelegt. Fehlende Daten können dabei für etwas Verwirrung sorgen. Zur Orientierung können sie versuchen, die STMP-Kommandos (HELO, EHLO, MAIL usw.) zu erkennen – diese stehen in der Spalte CS-METHOD. Protokollgröße

Protokolldateien können in der Praxis sehr groß werden. Jede komplette Aktion verbraucht ungefähr 1 KByte. Bei 100 E-Mails am Tag, die auch ein kleines Büro schnell produziert, ergeben sich ungefähr 3 MByte pro Monat. Wird auch der Empfang genutzt und sind beispielsweise aktive Mailinglisten dabei, werden es schnell 1.000 EMails. Löschen Sie alte Protokolle regelmäßig und lassen Sie Protokolldateien durch verkürzen der Intervalle nicht größer als 1 MByte werden – der ständige Zugriff geht sonst zu Lasten der Systemleistung.

15.3.2 Mit Outlook verwenden Wenn Sie nun mit Outlook E-Mail versenden, geben Sie die IPAdresse oder den Namen des SMTP-Servers an. Die Adresse des POP3-Servers zum Abholen ankommender E-Mail wird dabei nicht verändert. Wenn Sie auch ankommende E-Mail verarbeiten müssen, ist eine Änderung im DNS-Server notwendig. Außerdem müssen Sie dann sicherstellen, dass der Server ständig erreichbar ist, denn andere

15.4 Der Personal Web Manager

691

SMTP-Server rechnen nicht damit, dass eine Verbindung nur zeitweilig besteht. Beim Versenden muss zwar auch eine Verbindung bestehen, den Sendezeitpunkt können Sie aber kontrollieren. Abbildung 15.36: Einstellung des lokalen SMTPServers in Outlook

15.4 Der Personal Web Manager Der Personal Web Manager ergänzt den IIS um ein einfaches Autorenwerkzeug, mit dem Programmierer von Webseiten die eigenen Verzeichnisse verwalten können. Entsprechend diesem Anspruch sind die Möglichkeiten der Steuerung sehr begrenzt.

15.4.1 PWM und Windows 2000 Der Personal Web Manager unterscheidet sich nicht grundlegend vom PWM unter Windows NT 4 oder Windows 98. Wenn Sie nicht mit diesem Werkzeug publizieren, ist der Einsatz nicht nötig – der PWM verfügt über keine Funktionen, die nicht auch vom IIS abgedeckt werden könnten. Sie erreichen dieses Werkzeug über die Systemsteuerung unter VERWALTUNG. Allein der Umstand, dass der PWM nicht in die Management Konsole integrierbar ist zeigt, dass es sich um einen Fremdkörper handelt.

692

15 Internet Informationsdienste Ein Anwendungsfall wäre eine Arbeitsstation, an der Webseiten entwickelt und publiziert werden, auf deren erweiterte Konfigurationsmöglichkeiten die Autoren nicht zugreifen dürfen sollen. Immerhin kann sich der Autor mit dem PWM virtuelle Verzeichnisse anlegen und die Zugriffsberechtigungen dafür einstellen. Zwei grundlegende Eigenschaften sollten Sie kennen: •

Der PWM kann nur auf den lokalen Webserver zugreifen.

•

Die Einstellungsmöglichkeiten sind auf die Verzeichnisrechte beschränkt.

15.4.2 Mit dem Personal Web Manager arbeiten Die Option ERWEITERTE OPTIONEN bietet Zugriff auf die Funktionen des eigentlichen Webservers. Auf Grund des Umfangs und der weiter gehenden Kontrolle bietet sich dafür aber der IIS eher an. Auf echten Webservern sollten Sie immer mit der MMC-Umgebung und dem IIS arbeiten. Für das Entwicklungssystem reicht der PWM aus. Die Logik bei Webservern ist relativ einfach: Sie legen die Dateien, die im Web veröffentlicht werden sollen, irgendwo auf dem Server ab. Dieses (physische) Verzeichnis geben Sie dann unter einem bestimmten Namen, dem Alias, nach außen frei. Der Server wird dabei vom Internet oder Intranet (im lokalen Netz) mit seiner IP-Nummer angesprochen. Wenn Ihr Computer die Adresse 192.168.0.17 hat, könnte ein Nutzer im Netz in seinem Browser diese Eingabe machen: http://192.168.0.17/

Er würde dann auf der Stammseite des Webservers auf Ihrem Computer landen. Wenn im Netz irgendwo ein Nameserver (Domain Name Service, DNS) installiert ist, kann er natürlich auch eine Internetadresse mit Domainnamen eingeben. Im lokalen Netz kann man natürlich auch Namensdienste installieren.

15.4 Der Personal Web Manager

693 Abbildung 15.37: Die erweiterten Einstellungen des Personal Web Servers.

Sie können zuerst einige allgemeine Einstellungen vornehmen, die für alle Seiten gelten. Diese Funktionen sind: •

STANDARDDOKUMENT AKTIVIEREN: Normalerweise besteht ein vollständiger Pfad zu einem Webserver aus der Adresse des Computers (oder dem Namen des Servers inklusive der Domain und Topleveldomain) sowie dem Pfad mit Dateiname. Da es lästig ist, bei jeder Adresse immer wieder »index.html« oder »default.htm« einzugeben, können Sie hier eine oder mehrere Standarddateien angeben. Wenn dann der Nutzer am Browser keine Datei angibt, wird nach diesen Dateien gesucht. Wenn eine Datei gefunden wird, wird diese angezeigt.

•

STANDARDDOKUMENT(E): Dies sind die Standarddokumente; mehrere Varianten trennen Sie durch Kommas.

•

DURCHSUCHEN VON VERZEICHNISSEN ZULASSEN: Wenn kein Standarddokument angegeben wurde oder wenn trotz der Angabe keines gefunden wird, kann der Browser das gesamte Verzeichnis anzeigen. Wenn Sie ein Entwicklungssystem haben, sollten Sie die Funktion aktivieren: Das erleichtert die Arbeit enorm. Auf einem öffentlichen Computer sollten Sie die Funktion deaktivieren, denn sie stellt eine gravierende Sicherheitslücke dar.

•

WEBSITE-AKTIVITÄTSPROTOKOLL SPEICHERN: Diese Funktion speichert alle Aktivitäten in einer Protokolldatei und ist deshalb eher auf einem öffentlichen Server von Interesse.

Im oberen Fenster (siehe Abbildung 15.38) sehen Sie das Stammverzeichnis des Webservers. Wenn sich dort viele Verzeichnisse befinden,

694

15 Internet Informationsdienste dann schließen Sie den Baum durch Klick auf die Minuszeichen. Wo das Stammverzeichnis zu finden ist, erfahren Sie mit einem Klick auf den Schalter EIGENSCHATEN BEARBEITEN.

Abbildung 15.38: Die Eigenschaften eines virtuellen Verzeichnisses (hier: Stammverzeichnis)

Die Eintragungen bedeuten im Einzelnen: •

VERZEICHNIS: Das ist der physische (lokale) Pfad zum Verzeichnis. Wenn Sie dort Ihre HTML- und ASP-Dateien ablegen, sind sie im Web sofort sichtbar.

•

ALIAS: Dies ist ein virtueller Name. Das Stammverzeichnis heißt immer , Sie können diesen Namen nicht ändern. Zur Nutzung der Aliase erfahren Sie später mehr.

•

ZUGRIFFSBERECHTIGUNGEN: Hier handelt es sich um die Zugriffsrechte, die anonyme Nutzer (das sind die mit Browser) besitzen. Dabei gibt es die folgenden Einstellungsmöglichkeiten:

•

-

LESEN: Nur Lesen ist erlaubt (der Normalzustand).

-

SKRIPT: Es dürfen Programme und Skripte ausgeführt werden, weitere Einschränkungen finden Sie unter ANWENDUNGSBERECHTIGUNGEN.

-

SCHREIBEN: Es dürfen Skripte ausgeführt werden. Sie müssen diese Einstellung aktivieren, wenn ASP-Dateien benutzt werden sollen.

ANWENDUNGSBERECHTIGUNGEN: Diese Einschränkungen betreffen nur Skripte: -

KEINE: Anwendungen werden nicht ausgeführt.

15.4 Der Personal Web Manager -

SKRIPTE: Nur Skripte werden ausgeführt, beispielsweise ASPSkripte.

-

AUSFÜHREN: Skripte, DLLs und EXE-Dateien werden ausgeführt.

695

Angenommen, Sie haben den Computer in Ihre Domain »meinefirma.de« eingebunden und »asp« getauft, dann kann jeder Nutzer mit seinem Browser durch die Eingabe von http://asp.meinefirma.de

auf die Skripte zugreifen. Jetzt haben Sie mehrere Unterverzeichnisse, die Sie auch unter einem eigenem Namen freigeben möchten. Die Verzeichnisstruktur selbst sollte selbstverständlich nicht zu sehen sein. Abbildung 15.39: Ein neues virtuelles Verzeichnis wird angelegt. Wählen Sie dafür HINZUFÜGEN im PWM.

Geben Sie im Feld ALIAS (siehe Abbildung 15.39) den Namen des virtuellen Verzeichnisses und im Feld VERZEICHNIS den Pfad an. Der Pfad kann beispielsweise folgendermaßen lauten: c:\inetpub\wwwroot\beispiele\neue_beispiele\tests\asp lauten. So etwas will bestimmt niemand eingeben. Lautet der Alias »asp«, kann der Nutzer nun dieses Verzeichnis mit: http://asp.meinefirma.de/guest auswählen. Der eigentliche Vorteil dabei ist allerdings nicht die Bequemlichkeit, sondern die Unabhängigkeit der externen gegenüber den internen Namen. Auf diese Weise können Sie Ihre interne Verzeichnisstruktur ändern und durch die Aliase bleibt für externe Nutzer alles gleich. Aber auch auf einem Entwicklungssystem ist die Arbeit mit Aliasen einfacher und überschaubarer.

696

15 Internet Informationsdienste

15.4 Der Personal Web Manager

Kapitel 16 Systemsicherheit

16.1 Grundlegende Sicherheitsmaßnahmen ............699 16.2 Ereignisanzeige ......................................................715 16.3 Wiederherstellung verschlüsselter Dateien .....728

697

16.1 Grundlegende Sicherheitsmaßnahmen

16 Systemsicherheit Die Systemsicherheit ist für alle Anwendungsfälle von großer Bedeutung. Nur wenige Benutzer werden Daten bearbeiten, deren Inhalt beliebigem Zugriff unterliegen darf.

16.1 Grundlegende Sicherheitsmaßnahmen Die in diesem Abschnitt dargestellten Sicherheitsmaßnahmen sichern Windows 2000 weiter, als es die standardmäßige Installation ermöglicht. In vielen Fällen erfolgt dies über Eingriffe in die Registrierung.

16.1.1 Typische Sicherheitsanforderungen Dieser Abschnitt beinhaltet einige Maßnahmen, die bei erhöhten Sicherheitsanforderungen typischerweise durchgeführt werden sollten.

Fragestellungen Zuerst sollten Sie sich natürlich über die Sicherheitsanforderungen Ihres Unternehmens im Klaren sein. Verwenden Sie Windows 2000 privat, müssen Sie selbst einschätzen, wie wertvoll Ihre Daten für andere Nutzer sein können. Einige Fragestellungen sind der erste Schritt zu konkreten Maßnah- Fragen zur Sicherheit men: •

Wie soll reagiert werden, wenn ein Einbruch ins System festgestellt wurde?

•

Wo und wie werden Sicherheitskopien aufbewahrt?

•

Wer darf auf den Server zugreifen?

•

Welches physikalische Sicherheitsniveau ist erforderlich?

Anhand der Antworten kann ungefähr bestimmt werden, ob ein nach C2 zertifiziertes System überhaupt notwendig ist. Die Umsetzung eines solchen Systems ist in den meisten Fällen nicht erforderlich und außerordentlich aufwändig. Die folgenden Darstellungen gehen deshalb von mehr praktischen Tipps aus, Grundlagen finden Sie in Kapitel 8 Grundlagen der Systemsicherheit ab Seite 263.

699

700

16 Systemsicherheit Konfiguration und Installation der Hardware Der erste Schritt besteht in der Auswahl passender Hardware. Abgesehen von dem von Microsoft erhältlichen Empfehlungen (CompaqServer) eignen sich sicher viele Typen für ein sicheres System. Der Computer sollte folgende Eigenschaften haben: •

Ein Boot-Kennwort sollte aktiviert werden können (Windows 2000 Professional) oder der Server muss physikalisch geschützt werden (eigener, abgeschlossener Raum für Windows 2000 Server).

•

Im BIOS-Setup muss der Bootvorgang fest auf Festplatte eingestellt werden.

•

Das BIOS-Setup selbst muss mit einem weiteren Kennwort geschützt werden können.

Installation des Betriebssystem Hier sollten Sie beachten, dass die Standardinstallation unter Umständen mehr Dienste und Treiber installiert, als für die Funktion notwendig ist. Solche unbenutzten Programme sind Sicherheitslücken. Wenn Sie mehrere Server betreiben, sollten Sie darauf achten, dass Dienste wie DNS oder WINS nur auf dem Computer laufen, der sie auch wirklich ausführen soll. NTFS verwenden

Nutzen Sie als Dateisystem nur NTFS. FAT-Festplatten sind nicht sicher zu schützen. Einige der nachfolgend gezeigten Sicherheitsmaßnahmen sind nur ausführbar, wenn NTFS aktiviert wurde.

OS/2- und POSIXSubsysteme deaktivieren

Die OS/2- und POSIX-Subsysteme sind nicht C2-zertifiziert und werden in aller Regel auch nicht benötigt. Gehen Sie folgendermaßen vor, um diese Subsysteme zu deinstallieren (bei der Installation können Sie das nicht auswählen): 1. Entfernen Sie zuerst das OS/2-Verzeichnis mit allen Dateien und Unterverzeichnissen: %systemroot%\system32\os2 2. Löschen Sie alle Einträge in der Registrierung, die das OS/2Subsystem betreffen. Rufen Sie dazu das Programm REGEDT32.EXE auf. Im Fenster HKEY_LOCAL_MACHINE suchen Sie folgende Schlüssel: \SOFTWARE \Microsoft \OS/2 Subsystems for NT •

Löschen Sie alle Schlüssel in diesem Pfad.

16.1 Grundlegende Sicherheitsmaßnahmen

701

\SYSTEM \CurrentControlSet \Control \Session Manager \Environment Löschen Sie den Schlüssel Os2LibPath. \SYSTEM \CurrentControlSet \Control \Session Manager \SubSystems Löschen Sie die Wert des Schlüssels Optional. Löschen Sie außerdem die Schlüssel Os2 und Posix. 3. Jetzt schließen Sie die Registrierung und starten das System neu. DirectX greift direkt auf die Videohardware zu. Um das zu verhin- DirectX dern, deaktivieren Sie DirectX. Auch diesen Schlüssel finden Sie in der deaktivierten Registrierung unter HKEY_LOCAL_MACHINE: \SYSTEM \CurrentControlSet \Control \GraphicsDrivers \DCI Setzen Sie dort den Wert des Schlüssels TimeOut auf 0. Der Standardwert ist 7.

Sicherheitskonfiguration für Benutzer Kontrollieren Sie, ob das Gastkonto deaktiviert ist. Standardmäßig ist Gastkonto das bei Windows 2000 der Fall. Dazu müssen Sie in die erweiterte Be| nutzer und Gruppenverwaltung gehen (VERWALTUNG COMPUTERVERWALTUNG | SYSTEM | LOKALE BENUTZER UND GRUPPEN). Das Gastkonto muss mit einem weißen Kreuz auf rotem Grund markiert sein. Richten Sie Benutzerkonten sorgfältig ein und nutzen Sie passende Gruppenrichtlinien Gruppenrichtlinien. Dies wird ausführlich in Abschnitt 14.3 Gruppenrichtlinien ab Seite 613 behandelt. Mit dem folgenden Schlüssel können Sie verhindern, dass Benutzer Beschränkung für den Computer aus dem Anmeldefenster heraus herunterfahren kön- das Herunterfahren nen:

702

16 Systemsicherheit HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \Current Version \Winlogon Setzen Sie den Wert des Schlüssels ShutDownWithoutLogon auf 0:

Abbildung 16.1: Ändern des Schlüsselwertes

Verzeichnisse und wichtige Dateien absichern Dateisicherheit

Folgende Dateien sind nur für den Zugriff durch Administratoren freizugeben, alle anderen Benutzer haben keinerlei Zugriffsrechte (auch nicht Lesen): •

BOOT.INI

•

NTDETECT.COM

•

NTLDR

Die folgenden Dateien müssen für Benutzer lesbar sein, Vollzugriff erhalten nur Administratoren:

Verzeichnissicherheit

Zugang zur Registrierung beschränken

•

AUTOEXEC.BAT

•

CONFIG.SYS

Auch einige wichtige Verzeichnisse sollten Sie auf korrekte Zurordnung von Zugriffsrechten kontrollieren: •

\TEMP: Vollzugriff nur für Besitzer

•

\TEMP: Hinzufügen von Dateien für alle Benutzer erlaubt

•

\DOKUMENTE UND EINSTELLUNGEN\: Diese Verzeichnis und alle Unterverzeichnisse haben nur für volle Zugriffsrechte; hier hat auch der Administrator nichts zu suchen.

•

%SYSTEMROOT%\REPAIR: Hier hat niemand Zugriffsrechte. Entfernen Sie alle ACLs.

Normalerweise kann nur der Administrator auf die Registrierung zugreifen. Es besteht aber auch die Möglichkeit eines Remotezugriffs.

16.1 Grundlegende Sicherheitsmaßnahmen

703

Diesen Zugriff können Sie grundsätzlich unterbinden, unabhängig davon, ob der Übertragungsweg sicher ist oder nicht. Der folgende Pfad zeigt den Weg zum Registrierungsschlüssel: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \SecurePipeServers \winreg Wählen Sie nun im Menü SICHERHEIT | BERECHTIGUNGEN... und kontrollieren im folgenden Dialog, das nur der Administrator und eventuell die Sicherungs-Operatoren Zugriffrechte haben. Alle anderen Benutzer sind aus der Liste zu entfernen. Abbildung 16.2: Zugriffsberechtigung auf Registrierungsschlüssel

Anmeldeinformationen werden bei der Anmeldung an einer Domäne Sicherung von kurzzeitig im Speicher gehalten, um den Anmeldeprozess schneller zu Anmeldegestalten. Ohne diesen Vorgang würde der Suchprozess zum Domä- informationen nencontroller immer wieder ausgeführt werden. Dies kann aus Sicherheitsgründen erzwungen werden. Ändern Sie folgenden Registrierungsschlüssel:

704

16 Systemsicherheit HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon Setzen Sie hier den Schlüssel ChachedLogonsCount auf 0. Der Standardwert ist 10.

Sicherung temporärer Daten Leeren der Auslagerungsdatei

Temporäre Dateien sind immer wieder Angriffspunkte für Hacker. So bildet die Auslagerungsdatei immer wieder ein Abbild der letzten Vorgänge. Um diese beim Herunterfahren zu leeren, gehen Sie folgendermaßen vor: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Session Manager \Memory Management Setzen Sie Wert des Schlüssels ClearPageFileAtShutDown auf 1. Dieser Vorgang verzögert den Prozess des Herunterfahrens etwas.

16.1.2 Standardeinstellungen Die Standardeinstellungen von Windows 2000 für die Systemsicherheit sind für viele Einsatzfälle ausreichend. Die genaue Kenntnis ist jedoch wichtig, um im speziellen Fall besondere Sicherheitsmaßnahmen durchführen zu können. Eine grundlegende Rolle im Sicherheitskonzept spielt die Einordnung von Benutzern in die folgenden Gruppen: •

Administratoren

•

Hauptbenutzer

•

Benutzer

Die folgende Beschreibung zeigt die Möglichkeiten dieser Gruppen aus Sicht der Systemsicherheit. Informationen über die Einrichtung von Benutzern und Gruppen finden Sie in Abschnitt 14.4 Benutzer- und Gruppenverwaltung ab Seite 624.

16.1 Grundlegende Sicherheitsmaßnahmen

705

Administratoren Administratoren sind mit umfassenden Rechten ausgestattet. Der Zugriff auf Objekte in der Registrierung oder auf Dateien ist nicht eingeschränkt. Alle Funktionen des Betriebssystems können ausgeführt werden. Hat ein Administrator ein spezifisches Zugriffsrecht nicht, kann er es sich selbst zuteilen – und damit beispielsweise auch Benutzerdaten lesen. Normale Benutzer sollten niemals als Administratoren mit dem Sys- Wann dürfen Sie tem arbeiten. Als Administrator arbeiten Sie nur, wenn Sie eine der Administrator sein? folgenden Aufgaben ausführen müssen: •

Installation des Betriebssystems oder von weiteren Komponenten, Treibern oder Hardware

•

Updates und Service Packs installieren

•

Reparaturen am Betriebssystem

•

Grundlegende Einstellungen am System, die alle Nutzer betreffen, beispielsweise die Änderung globaler Sicherheitsrichtlinien

Bestimmte Applikationen, wie Microsoft Office, sollten auch vom Administrator installiert werden.

Benutzer Benutzer haben normalerweise keine Zugriffsrechte auf administrati- Beschränkungen ve Teile des Betriebssystems. Sie können alle für Administratoren (sie- für Benutzer he oben) bestimmten Aufgaben nicht ausführen. Benutzer können insbesondere folgende Aktionen nicht ausführen: •

Programme installieren, die von anderen Benutzern ausgeführt werden können

•

Systemweite Einstellungen verändern, beispielsweise allgemeingültige Registrierungseinträge

•

Zugriff auf Daten anderer Benutzer erlangen

Grundsätzlich sollten alle Benutzer nur Mitglieder der normalen Gruppe BENUTZER sein. Sie können so keine höheren Rechte erlangen. Zur Ausführung von Applikationen gilt folgendes: •

Benutzer können Applikationen ausführen, die sie selbst, ein Hauptbenutzer oder der Administrator installiert haben

•

Benutzer können keine Applikationen ausführen, die andere Benutzer installiert haben

Applikationen ausführen

706

16 Systemsicherheit Hauptbenutzer

Erweiterte Rechte der Hauptbenutzer

Hauptbenutzer sind Benutzer mit erweiterten Rechten, die vor allem die fortlaufende Systempflege betreffen. Sie haben aber nicht so umfangreiche Eingriffsmöglichkeiten wie Administratoren. Benutzer sollten normalerweise nicht Hauptbenutzer sein. Administratoren können aber einige einfache Aufgaben an Hauptbenutzer vergeben. Dazu gehören: •

Installation von Programmen für andere Benutzer – mit Ausnahme von Diensten

•

Einrichten neuer Benutzer und Gruppen, sowie Verändern und Löschen der selbst erzeugten Benutzer und Gruppen

•

Einstellung systemweiter Parameter wie Datum und Uhrzeit, Anzeigeinstellungen, Energieverwaltung usw.

•

Einrichten und verwalten lokaler Drucker

Hauptbenutzer können nicht auf andere Benutzerdaten zugreifen.

Steuerung der Standardeinstellungen Die Standardeinstellungen für Windows 2000 Professional sind in der folgenden Sicherheitsvorlage gespeichert: %windir%\inf\defltwk.inf

Zugriffsrechte der Benutzer auf Systemobjekte Die folgende Tabelle zeigt die Objekte im Betriebssystem, auf die normale Benutzer Schreibrechte haben. Tabelle 16.1: Objekt Benutzerrechte nach der Installation HKEY_Current_User

Recht

Beschreibung

Vollzugriff

Benutzerteil der Registrierung

%userprofile%

Vollzugriff

Stammverzeichnis mit den Profildaten

Dokumente und Einstellungen\All Users\ Dokumente

Ändern

Verzeichnis gemeinsamer Dokumente

C:\Dokumente und Einstellungen\All Users\ Anwendungsdaten

Ändern

Datenverzeichnis gemeinsamer Applikationen

16.1 Grundlegende Sicherheitsmaßnahmen

707

Objekt

Recht

Beschreibung

%windir%\temp

Synchronisieren, Speichern, Erzeugen von Dateien und Verzeichnissen

Zentrales Verzeichnis für temporäre Daten für alle Applikationen

%systemroot%

Nicht konfiguriert

Dieser Zugriff ist nicht konfiguriert

Für das übrige System sollten Benutzer standardmäßig nur Leserechte oder überhaupt keinen Zugriff haben.

Zugriffsrechte auf Dateien des Betriebssystems Die folgende Tabelle zeigt alle Zugriffsrechte auf wichtige Dateien des Betriebssystem, wie sie nach einer Installation eingerichtet sind. Die Symbole in der Tabelle haben folgende Bedeutung: •

%systemdir% steht für %windir%\system32

•

*.* adressiert alle Dateien in einem Verzeichnis, nicht aber eventuell vorhandene Unterverzeichnisse

•

R steht für Read (Lesen)

•

X steht für Execute (Ausführen)

•

M steht für Modify (Ändern)

Datei

Hauptbenutzer

Benutzer

c:\boot.ini

RX

Keine

c:\ntdetect.com

RX

Keine

c:\ntldr

RX

Keine

c:\ntbootdd.sys

RX

Keine

c:\autoexec.bat

M

RX

c:\config.sys

M

RX

\ProgramFiles

M

RX

%windir%

M

RX

%windir%\*.*

RX

RX

Tabelle 16.2: Ausführungsrechte der Benutzer

708

16 Systemsicherheit

Datei

Hauptbenutzer

Benutzer

%windir%\config\*.*

RX

RX

%windir%\cursors\*.*

RX

RX

%windir%\Temp

M

Synchronisieren, Hinzufügen

%windir%\repair

M

Anzeigen

%windir%\addins

M (Verzeichnisse) RX (Dateien)

RX

%windir%\Connection Wizard

M (Verzeichnisse) RX (Dateien)

RX

%windir%\fonts\*.*

RX

RX

%windir%\help\*.*

RX

RX

%windir%\inf\*.*

RX

RX

%windir%\java

M (Verzeichnisse) RX (Dateien)

RX

%windir%\media\*.*

RX

RX

%windir%\msagent

M (Verzeichnisse) RX (Dateien)

RX

%windir%\security

RX

RX

%windir%\speech

M (Verzeichnisse) RX (Dateien)

RX

%windir%\system\*.*

RX

RX

%windir%\twain_32

M (Verzeichnisse) RX (Dateien)

RX

%windir%\Web

M (Verzeichnisse) RX (Dateien)

RX

%systemdir%

M

RX

%systemdir%\*.*

RX

RX

%systemdir%\config

Anzeige

Anzeigen

%systemdir%\dhcp

RX

RX

%systemdir%\dllcache

Keine

Keine

16.1 Grundlegende Sicherheitsmaßnahmen

709

Datei

Hauptbenutzer

Benutzer

%systemdir%\drivers

RX

RX

%systemdir%\CatRoot

M (Verzeichnisse) RX (Dateien)

RX

%systemdir%\ias

M (Verzeichnisse) RX (Dateien)

RX

%systemdir%\mui

M (Verzeichnisse) RX (Dateien)

RX

%systemdir%\OS2\*.*

RX

RX

%systemdir%\OS2\DLL\*.*

RX

RX

%systemdir%\RAS\*.*

RX

RX

%systemdir%\ShellExt

M (Verzeichnisse) RX (Dateien)

RX

%systemdir%\Viewers\*.*

RX

RX

%systemdir%\wbem

M (Verzeichnisse) RX (Dateien)

RX

%systemdir%\wbem\mof

M

RX

%UserProfile%

Vollzugriff

Vollzugriff

All Users

M

R

All Users\Documente

M

M

All Users\Anwendungsdaten

M

M

In den nachfolgend aufgelisteten Verzeichnisses können Hauptbenutzer Dateien schreiben. Die während der Installation von Windows dort abgelegten Dateien können sie jedoch nicht verändern: •

%windir%

•

%windir%\config

•

%windir%\cursors

•

%windir%\fonts

•

%windir%\help

•

%windir%\inf

•

%windir%\media

710

16 Systemsicherheit •

%windir%\system

•

%systemdir%

•

%systemdir%\OS2

•

%systemdir%\OS2\DLL

•

%systemdir%\RAS

•

%systemdir%\Viewers

Das recht zum Schreiben hat jedoch jeder Hauptbenutzer nur für seine eigenen Dateien, andere Hauptbenutzer können diese nicht verändern.

Zugriffrechte in der Registrierung Die nachfolgende Tabelle zeigt die Zugriffsrechte auf Objekte in der Registrierung. Verwendet werden folgende Abkürzungen:

Tabelle 16.3: Rechte der Benutzer auf Registrierungsobjekte

•

HKLM = HKEY_LOCAL_MACHINE

•

SW = Software

•

MS = Microsoft

•

CV = CurrentVersion

•

CCS = CurrentControlSet

•

W NT = Windows NT

Registrierungsobjekt

Hauptbenutzer

Benutzer

HKEY_LOCAL_MACHINE HKLM\Software

Ändern

Lesen

HKLM\SW\Classes\helpfile

Lesen

Lesen

HKLM\SW\Classes\.hlp

Lesen

Lesen

HKLM\SW\MS\Command Processor

Lesen

Lesen

HKLM\SW\MS\Cryptography\OID

Lesen

Lesen

HKLM\SW\MS\Cryptography\Providers\Trust

Lesen

Lesen

HKLM\SW\MS\Cryptography\Services

Lesen

Lesen

HKLM\SW\MS\Driver Signing

Lesen

Lesen

16.1 Grundlegende Sicherheitsmaßnahmen

Registrierungsobjekt

Hauptbenutzer

711

Benutzer

HKLM\SW\MS\EnterpriseCertificates

Lesen

Lesen

HKLM\SW\MS\Non-Driver Signing

Lesen

Lesen

HKLM\SW\MS\NetDDE

None

None

HKLM\SW\MS\Ole

Lesen

Lesen

HKLM\SW\MS\Rpc

Lesen

Lesen

HKLM\SW\MS\Secure

Lesen

Lesen

HKLM\SW\MS\SystemCertificates

Lesen

Lesen

HKLM\SW\MS\Windows\CV\RunOnce

Lesen

Lesen

HKLM\SW\MS\W NT\CV\DiskQuota

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Drivers32

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Font Drivers

Lesen

Lesen

HKLM\SW\MS\W NT\CV\FontMapper

Lesen

Lesen

HKLM\SW\MS\W NT\ CV\Image File Execution Options

Lesen

Lesen

HKLM\SW\MS\W NT\CV\IniFileMapping

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Perflib

Lesen (über Interaktive)

Lesen (über Interaktive)

HKLM\SW\MS\W NT\CV\SecEdit

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Time Zones

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Windows

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Winlogon

Lesen

Lesen

HKLM\SW\MS\W NT\CV\AsrCommands

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Classes

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Console

Lesen

Lesen

HKLM\SW\MS\W NT\CV\EFS

Lesen

Lesen

HKLM\SW\MS\W NT\CV\ProfileList

Lesen

Lesen

HKLM\SW\MS\W NT\CV\Svchost

Lesen

Lesen

712

16 Systemsicherheit

Registrierungsobjekt

Hauptbenutzer

Benutzer

HKLM\SW\Policies

Lesen

Lesen

HKLM\System

Lesen

Lesen

HKLM\SYSTEM\CCS\Control\ SecurePipeServers\winreg

Keine

Keine

HKLM\SYSTEM\CCS\Control\Session Manager\Executive

Ändern

Lesen

HKLM\SYSTEM\CCS\ Control\TimeZoneInformation

Ändern

Lesen

HKLM\SYSTEM\CCS\Control\WMI\Security

Keine

Keine

HKLM\Hardware

Lesen (über JEDER)

Lesen (über JEDER)

HKLM\SAM

Lesen (über JEDER)

Lesen (über JEDER)

HKLM\Security

Keine

Keine

HKEY_CURRENT_USER

Vollzugriff

Vollzugriff

USERS\.DEFAULT

Lesen

Lesen

USERS\.DEFAULT\SW\MS\NetDDE

Keine

Keine

HKEY_CLASSES_ROOT

Kombination aus HKLM\SW\Classes und HKCU\SW\Classes

HKEY_USERS

Ausführungsrechte der Benutzer Entsprechend den Zugriffsrechten gibt es auch eine Standarddefinition für Benutzer, die Ausführungsrechte betreffend. Die folgende Tabelle zeigt alle Ausführungsrechte und die für Benutzer freigegebenen. Tabelle 16.4: Ausführungsrechte der Benutzer

Richtlinie

Lokale Einstellung

Anheben der Zeitplanungspriorität

Administratoren

Anheben von Quoten

Administratoren

16.1 Grundlegende Sicherheitsmaßnahmen

713

Richtlinie

Lokale Einstellung

Debuggen von Programmen

Administratoren

Erstellen einer Auslagerungsdatei

Administratoren

Erstellen eines Profils der Systemleistung

Administratoren

Erzwingen des Herunterfahrens von einem Remotesystem aus

Administratoren

Laden und Entfernen von Gerätetreibern

Administratoren

Übernehmen des Besitzes von Dateien und Objekten

Administratoren

Verändern der Firmwareumgebungsvariablen

Administratoren

Verwalten von Überwachungs- und Sicherheitsprotokollen

Administratoren

Lokal anmelden

Administratoren, Sicherungs-Operatoren, Hauptbenutzer, Benutzer, Gast

Herunterfahren des Systems

Benutzer, Hauptbenutzer, Sicherungs-Operatoren, Administratoren

Ändern der Systemzeit

Hauptbenutzer, Administratoren

Erstellen eines Profils für einen Einzelprozess

Hauptbenutzer, Administratoren

Entfernen des Computers von der Dockingstation

Hauptbenutzer, Benutzer, Administratoren

Als Dienst anmelden

Administrator

Auf diesen Computer vom Netzwerk aus zugreifen

Jeder, Benutzer, Hauptbenutzer, Sicherungs-Operatoren, Administratoren

Anmelden als Stapelverarbeitungsauftrag

Administrator

Auslassen der durchsuchenden Überprüfung

Jeder, Benutzer, Hauptbenutzer, Sicherungs-Operatoren, Administratoren

714

16 Systemsicherheit

Richtlinie

Lokale Einstellung

Sichern von Dateien und Verzeichnissen

Sicherungs-Operatoren, Administratoren

Wiederherstellen von Dateien und Verzeichnissen

Sicherungs-Operatoren, Administratoren

Anmeldung als Batchauftrag verweigern

Standardmäßig sind hier keine Rechte vergeben

Anmeldung als Dienst verweigern Einsetzen als Teil des Betriebssystems Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Ersetzen eines Tokens auf Prozessebene Erstellen eines Tokenobjekts Erstellen von dauerhaft freigegebenen Objekten Generieren von Sicherheitsüberwachungen Hinzufügen von Arbeitsstationen zur Domäne Lokale Anmeldung verweigern Sperren von Seiten im Speicher Synchronisieren von Verzeichnisdienstdaten Zugriff vom Netzwerk auf diesen Computer verweigern

16.1.3 Kurzzeitiges Ändern der Ausführungsrechte Wenn Sie nur gelegentlich Funktionen ausführen, für die Administratorechte notwendig sind, können Sie das Programm RUNAS.EXE nutzen. Damit erlangen Sie temporär die Rechte eines Administrators. Um beispielsweise die Eingabeaufforderung zu starten, geben Sie folgendes ein: runas /u:\<username> Setzen Sie für den Namen des Computers ein, auf dem Sie als Administrator registriert sind. Sie können die Angabe weglassen, wenn Sie am lokalen System arbeiten. Für <username> geben Sie Administrator oder den Namen eines Mitglieds der Administratorengruppe ein.

16.2 Ereignisanzeige

715

runas /u:\Administrator cmd Wenn Sie für Befehl CMD einsetzen, werden Sie nun am Prompt zur Angabe des Kennwortes aufgefordert. Die Ausführung wird in der Kopfzeile des Fensters angezeigt. Abbildung 16.3: Die Eingabeaufforderung als Administrator Von der grafischen Oberfläche aus können Sie den Befehl über das ausführen erweiterte Kontextmenü erreichen. Halten Sie die Umschalt-Taste (Shift) gedrückt und klicken Sie dann mit der rechten Maustaste auf das auszuführende Programm. Im Menü wählen Sie nun den Eintrag AUSFÜHREN ALS.... Sie können nun die alternativen Anmeldedaten eingeben. Abbildung 16.4: Programme als Administrator ausführen

Sie können so die umständliche An- und Abmeldung umgehen und sind vielleicht eher motiviert, auch als Administrator nicht alle Arbeiten unter diesem Konto auszuführen, was zur Erhöhung der Systemsicherheit beiträgt.

16.2 Ereignisanzeige Die Ereignisanzeige von Windows 2000 ist wie schon unter seinem Vorgänger NT eines der wichtigsten Werkzeuge für den Administrator, um Schwachstellen im System zu finden oder Fehler zu beseitigen. Die Ereignisanzeige ist jetzt ein Snap-In (vorher war es ein eigenständiges Programm in der SYSTEMSTEUERUNG), welches Sie auch als ei-

716

16 Systemsicherheit genständige Managementkonsole unter VERWALTUNG | EREIGNISANZEIGE aufrufen können.

Abbildung 16.5: Managementkonsole Ereignisanzeige

Die Ereignisanzeige startet standardmäßig mit der Anzeige der Protokolle für den lokalen Computer. Über das Menü VORGANG können Sie auch eine Verbindung zu einem anderen Computer herstellen. Dabei werden unter Umständen weitere, zusätzliche Protokolle eingeblendet. Für einen Windows 2000-Server könnte hier beispielsweise auch das Protokoll DNS SERVER auftauchen.

16.2.1 Protokollarten In der Ereignisanzeige von Windows 2000 Professional, auf das wir uns in diesem Band beschränken, werden Meldungen zu Ereignissen in den folgenden drei Protokollen erfasst: Anwendungsprotokoll

•

Anwendungsprotokoll Im diesem Protokoll werden Meldungen aufgezeichnet, die von Anwendungsprogrammen ausgegeben werden. Dabei bestimmt der Programmierer der Software, welche Meldungen ausgegeben werden. Diese Meldungen müssen aber nicht nur von externer Software stammen, auch viele Windows-Komponenten protokollieren hier Ereignisse. Das Anwendungsprotokoll und die Meldungen darin können durch jeden normalen Benutzer eingesehen werden. Das Löschen von Ereignissen ist jedoch ausschließlich dem Administrator (oder autorisierten Benutzern) vorbehalten. Das Anwendungsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\AppEvent.Evt

16.2 Ereignisanzeige •

Systemprotokoll

717 Systemprotokoll

Das Systemprotokoll enthält Meldungen von WindowsKomponenten, wie beispielsweise Gerätetreibern und Dienstprogrammen. Sie finden hier die Meldungen, die von Erfolg oder Misserfolg eines Gerätetreiberstarts künden oder wer wie lange eine Datenfernverbindung genutzt hat. Einige Meldungen betreffen dabei auch die Sicherheit Ihres Systems. So können Sie beispielsweise auch sehen, wann der Computer hoch- oder heruntergefahren worden ist. Auch dieses Protokoll kann durch normale Benutzer eingesehen werden, das Löschen aber ist auch hier nur dem Administrator oder einem autorisierten Benutzer erlaubt. Das Systemprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\SysEvent.Evt •

Sicherheitsprotokoll Dieses Protokoll ist das wichtigste in Bezug auf die Systemsicherheit. Hier werden Ereignisse protokolliert, die direkt den Zugang zum System und den Umgang mit Ressourcen betreffen. Was dabei protokolliert wird, stellen Sie über die Gruppenrichtlinien für Ihr System ein (siehe auch Kapitel 14 Benutzerverwaltung ab Seite 607). Standardmäßig werden die Ereignisse für das Sicherheitsprotokoll nicht überwacht. Falls Ihr System in einem sicherheitsrelevanten Umfeld steht, sollten Sie diese Einstellungen über die Gruppenrichtlinien unbedingt vornehmen, bevor das System in Betrieb genommen wird. Da dieses Protokoll für die Systemsicherheit so wichtig ist, werden wir im nächsten Abschnitt darauf eingehen, wie Sie dieses für sich nutzbar machen können. Das Sicherheitsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\config\SecEvent.Evt

16.2.2 Aktivieren und Konfigurieren des Sicherheitsprotokolls Die Vorgänge, die durch das System überwacht werden und im Sicherheitsprotokoll verzeichnet werden sollen, definieren Sie über START | PROGRAMME | VERWALTUNG | LOKALE SICHERHEITSEINSTELLUNGEN. Sie finden die ÜBERWACHUNGSRICHTLINIEN in den LOKALEN RICHTLINIEN.

Sicherheitsprotokoll

718

16 Systemsicherheit

Abbildung 16.6: Überwachungsrichtlinien

Standardmäßig sind alle Vorgänge ohne Überwachung. Wählen Sie hier die gewünschte Richtlinie aus und ändern Sie die betreffende Einstellung über VORGANG | SICHERHEITSEINSTELLUNGEN. Abbildung 16.7: Sicherheitseinstellungen ändern

Sie haben die Möglichkeit, für jede zu überwachende Richtlinie die erfolgreiche oder fehlgeschlagene Durchführung protokollieren zu lassen. Denken Sie dabei aber auch an die unter Umständen hohen Datenmengen in den Protokollen, die entstehen können, wenn einfach alles protokolliert werden soll. Für bestimmte Ereignisse lohnt es sich nur, die fehlgeschlagenen Versuche aufzuzeichnen.

16.2 Ereignisanzeige Alle Einstellungen, die Sie unter den LOKALEN SICHERHEITSRICHTLINIEN vornehmen, können durch die Richtlinien auf Domänenebene überschrieben werden, falls Ihr Computer im Netzwerk eingebunden ist. Sie erkennen das in der Managementkonsole am Eintrag in der Spalte EFFEKTIVE EINSTELLUNG. Ausführlich wird das Thema Sicherheit in Windows 2000 im Abschnitt 16.1 Grundlegende Sicherheitsmaßnahmen ab Seite 699 behandelt.

16.2.3 Meldungsarten Es gibt verschiedene Arten von Meldungen, die durch den Ereignisprotokolldienst aufgezeichnet werden: •

Informationen Diese Meldungen zeigen Ihnen in der Regel die erfolgreiche Durchführung einer Aktion an. Beispielsweise finden Sie im Systemprotokoll erfolgreiche Meldungen über den Start von Gerätetreibern oder die Anwahl einer Datenfernverbindung.

•

Warnungen Warnungen beinhalten meist nicht akute Fehler, sondern Meldungen, die auf wichtige Vorgänge aufmerksam machen sollen. So verursacht die Installation eines neuen Druckers eine Warnung, auch wenn dieser Prozess erfolgreich abgeschlossen worden ist. Ernstzunehmende Warnungen entstehen aber beispielsweise dann, wenn bestimmte wichtige Systemkomponenten nicht richtig laufen (wie der Installationsdienst, der bestimmte Komponenten einer Software nicht entfernen konnte) oder eine Hardwareressource erst sehr spät reagiert (wie eine Festplatte, die immer mehr Zeit zum Reagieren auf Anforderungen des Systems benötigt – dies kann ein Hinweis auf einen bevorstehenden Ausfall sein). Solchen Warnungen sollten Sie daher besser auf den Grund gehen, damit daraus nicht irgendwann Fehler werden.

•

Fehler Protokollierte Fehler sollten Sie immer ernst nehmen, da hier in jedem Fall das ordnungsgemäße Funktionieren des Gesamtsystems beeinträchtigt sein kann. Im Systemprotokoll finden Sie Fehlermeldungen häufig dann, wenn Gerätetreiber aufgrund von Hardware- oder Konfigurationsproblemen nicht gestartet werden oder bestimmte Systemaktionen nicht oder nicht vollständig ausgeführt werden konnten (wie beispielsweise das Sichern des Hauptspeicherinhalts auf die Festplatte, um in den Ruhezustand gehen zu können).

719

720

16 Systemsicherheit •

Erfolgsüberwachung Diese Meldung im Sicherheitsprotokoll zeugt von einer erfolgreichen Überwachung eines Vorgangs. Wenn Sie beispielsweise die Anmeldeversuche überwachen lassen, können Sie durch diese Meldungen erkennen, wann welcher Benutzer sich am System angemeldet hat.

•

Fehlerüberwachung Eine Meldung mit dem Kennzeichnung FEHLERÜBERWACHUNG im Sicherheitsprotokoll zeugt von einem protokollierten Fehlversuch. Wenn Sie Anmeldeversuche überwachen lassen, können Sie sehen, wenn jemand versucht hat, sich mit einer ungültigen Benutzerkennung oder einem falschen Kennwort anzumelden.

16.2.4 Die Ereignisanzeige im Detail Die angezeigten Meldungen aller Protokolle in der Ereignisanzeige werden in der Detailansicht in einer einheitlichen Listenform dargestellt. Abbildung 16.8: Anzeige von Meldungen

Spalten in der Listenanzeige

Die einzelnen Spalten haben dabei die folgende Bedeutung: •

Typ Hier sehen Sie, welcher Art die Meldung ist (siehe voriger Abschnitt).

•

Datum / Uhrzeit Hier wird der Zeitpunkt angegeben, an dem die Meldung generiert worden ist. Wenn Sie sich über eine Netzwerkverbindung (im lo-

16.2 Ereignisanzeige kalen Netz oder über eine Fernverbindung) die Ereignisanzeige eines anderen Computers ansehen, beachten Sie, dass hier immer die lokale Zeit des betreffenden Computers gemeint ist. •

Quelle In dieser Spalte stehen die Namen der Prozesse, Anwendungen oder Dienste, die die Meldungen verursacht haben. Aus dieser Information können Sie in der Regel den Sinn der Meldung schon gut eingrenzen (zur Auswertung siehe Abschnitt 16.2.6 Protokolle speichern und weiterverarbeiten ab Seite 726).

•

Kategorie Bestimmte Meldungen generieren auch eine KategorieBezeichnung, unter der diese dann weiter eingeordnet werden können. Besonders bedeutsam sind die Einträge im Sicherheitsprotokoll, da die Kategorien nach der zu überwachenden Sicherheitsrichtlinie untergliedert sind. So werden beispielsweise unter der Kategorie ANMELDUNG/ABMELDUNG alle Meldungen geführt, die aufgrund der überwachten An- und Abmeldevorgänge erzeugt worden sind. Ist eine Meldung ohne eine bestimmte Kategorie, wird hier nur angezeigt.

KEINE

•

Ereignis Jedes Ereignis besitzt eine eindeutige Nummer, eine sogenannte Ereignis-ID. Diese kann helfen, eine Fehlerursache zu ergründen, wenn die Textaussagen in der Meldung nicht ausreichen sollten (zur Auswertung siehe Abschnitt 16.2.6 Protokolle speichern und weiterverarbeiten ab Seite 726).

•

Benutzer Ist für die Meldung ein Benutzerkonto verantwortlich, wird hier dessen Name ausgegeben. Das können eines der konkreten Benutzerkonten oder das allgemeine Systemkonto sein. Wurde beispielsweise durch den Administrator ein neuer Drucker angelegt, gibt es eine Meldung »Quelle: Print«, die für das Administratorkonto das Erstellen des Druckers aufzeichnet. Dazu gibt es eine Meldung für das Systemkonto, welches das Installieren der konkreten Treiberdateien für diesen Drucker protokolliert. Leider werden auch eine Reihe von Meldungen mit dem Eintrag NICHT ZUTREFFEND in der Spalte BENUTZER generiert, obwohl die Meldung selbst auf einen auslösenden Benutzer verweist. So werden beispielsweise Einwahlen ins Internet »Quelle: Remote Access« sehr genau mit der Angabe der Einwahl-Benutzerkennung beim ISP (Internet Service Provider) protokolliert, welcher Benut-

721

722

16 Systemsicherheit zer des Windows 2000-Arbeitsplatzes dies verursacht hat, wird allerdings nicht angezeigt. •

Computer In dieser Spalte wird der ausführende Computer angezeigt.

Möchten Sie die Anzeige bestimmter Spalten unterdrücken oder die Reihenfolge ändern, um mehr Übersichtlichkeit zu erhalten, können Sie das über das Menü ANSICHT | SPALTEN WÄHLEN. Wie bei jeder anderen Managementkonsole auch erhalten Sie dann das Auswahlfenster, um die Spaltenanzeigen zu manipulieren. Ereignismeldung im Detail

Über das Menü VORGANG | EIGENSCHAFTEN oder das Kontextmenü zu einer Meldung (bzw. einfach ein Doppelklick darauf) öffnet sich das entsprechende Eigenschaften-Fenster. Neben den auch in der Listenform angegebenen Informationen bekommen Sie hier einen Beschreibungstext, der oft schon sehr aussagekräftig ist. Mit den beiden PfeilSchaltflächen bewegen Sie sich bei geöffnetem Eigenschaften-Fenster durch die Meldungen in der Ereignisanzeige.

Abbildung 16.9: Eine Meldung im Detail

Inhalt kopieren

kopieren Sie den Inhalt des gesamten Mit dem Schaltknopf Fensters als Text in die Zwischenablage. Dies kann Ihnen helfen, eine konkrete Meldung vollständig und schnell weiterzugeben, um vielleicht eine Fehlerursache zusammen mit anderen Spezialisten zu analysieren. Einen irreführender Hilfeknopf, wie noch in der Detailanzeige zu einem Ereignis unter Windows NT vorhanden (der dann doch nur die

16.2 Ereignisanzeige

723

Bedienung des Fensters erklärte), gibt es jetzt nicht mehr. Hilfreich wäre es schon, auf eine konkrete Meldung eine konkrete weiterführende Hilfe zu bekommen. So gibt es nur einen Hilfetext, den Sie über das Kontextmenü zu einem Eintrag bekommen können und der dann die grundsätzliche Funktion erklärt beispielsweise, was eine Beschreibung prinzipiell ist. Die Suche nach bestimmten Ereignis-Meldungen wird Ihnen über Suchen ANSICHT | SUCHEN ermöglicht. In dem SUCHEN-Dialogfenster können Sie Ihre Suchkriterien definieren. Die Suche wird dabei immer auf das gewählte Protokoll beschränkt. Abbildung 16.10: SuchenDialogfenster für Ereignismeldungen

Je nach EREIGNISQUELLE sind im oberen Teil die EREIGNISTYPEN aktivierbar, die hier in Frage kommen können, und es stehen die dazugehörigen KATEGORIEN zur Auswahl. Unter EREIGNISKENNUNG können Sie eine spezielle Ereignis-ID eingeben. Wenn Sie nach einer Meldung suchen, die einen speziellen Benutzernamen enthält, können Sie bei BENUTZER auch nur die ersten Zeichen des Namens eingeben (allerdings ohne »*« wie bei der Suche nach Dateien). Dies funktioniert übrigens bei der Suche nach einem bestimmten COMPUTER nicht, hier muss der Name komplett eingetragen werden. Unter BESCHREIBUNG können Sie jetzt auch innerhalb der Meldungstexte suchen lassen, die an sich schon viel umfangreichere Aussagen enthalten als noch unter NT.

724 Filter

16 Systemsicherheit Eine Suche nach Ereignissen, die an einem bestimmten Datum und Uhrzeit aufgetreten sind, ist nicht möglich. Die können Sie aber über die Filterfunktionen für die Anzeige erreichen. Die Definition von Anzeigefiltern erfolgt über ANSICHT | FILTER. Beachten Sie, dass auch hier die Einstellung für das gerade in der Anzeige aktive Protokoll erfolgt und nicht für die gesamte Ereignisanzeige.

Abbildung 16.11: Filtereigenschaften definieren

Wie schon beim Suchen-Dialogfenster spezifizieren Sie Ihre Anforderungen zu EREIGNISTYP, EREIGNISQUELLE usw. (siehe oben). Zusätzlich können Sie jedoch auch noch einen Zeitrahmen definieren, für den die gefundenen Ereignismeldungen angezeigt werden sollen.

16.2.5 Einstellungen der Ereignisanzeige Über das Kontextmenü EIGENSCHAFTEN eines Protokolls können Sie die Einstellungen zur Protokollgröße und zum Verhalten bei Erreichen dieser Voreinstellungen festlegen.

16.2 Ereignisanzeige

725 Abbildung 16.12: Einstellungen zum Protokoll

Die MAXIMALE PROTOKOLLGRÖßE ist einstellbar in 64 KB–Schritten. Die aktuell erreichte Größe können Sie übrigens im Ereignisprotokoll sehen, wenn Sie die Strukturwurzel EREIGNISANZEIGE aktivieren. Im rechten Fensterteil werden dann alle enthaltenen Protokolle mit ihrer aktuellen Größe angezeigt. Für den Fall, dass ein Protokoll die maximal zulässige Größe erreicht Das Protokoll ist voll! hat, können Sie das Verhalten des Systems festlegen: •

EREIGNISSE NACH BEDARF ÜBERSCHREIBEN Mit dieser Einstellung ersetzen bei Erreichen der Dateigröße neue Ereignismeldungen die jeweils ältesten. Diese Einstellung ist ausreichend, wenn Sie das Protokoll regelmäßig überprüfen oder die Wichtigkeit der Protokollierung nicht so sehr im Vordergrund steht.

•

EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS ___ TAGE SIND Sollen Protokolleinträge auf jeden Fall für einen bestimmten Zeitraum erhalten bleiben, beispielsweise um diese wöchentlich zu sichern, ist diese Einstellung zu empfehlen. Beachten Sie allerdings, dass keine neuen Ereignismeldungen hinzugefügt werden können, wenn das Protokoll die maximale Größe erreicht hat und keine Meldungen enthält, die älter als von Ihnen eingestellt sind.

•

EREIGNISSE NIE ÜBERSCHREIBEN Wenn Sie möchten, dass garantiert alle Ereignismeldungen erhalten bleiben sollen, wählen Sie diese Einstellung. Dabei liegt es al-

726

16 Systemsicherheit lein in der Verantwortung des Administrators, regelmäßig das Protokoll zu leeren und gegebenenfalls vorher zu archivieren.

16.2.6 Protokolle speichern und weiterverarbeiten Protokolle können Sie zur Archivierung oder Weiterverarbeitung durch andere Programme über das Menü VORGANG | PROTOKOLL SPEICHERN UNTER abspeichern. Dabei können Sie unter drei unterstützten Dateitypen auswählen: •

EREIGNISPROTOKOLL (*.EVT) Dies ist das binäre Dateiformat für die Ereignisanzeige. Es lässt sich nicht mit herkömmlicher Software, wie beispielsweise einem Texteditor oder einer Tabellenkalkulation, öffnen. Zum Archivieren ist dieses Format deswegen nur bedingt geeignet.

•

TEXT (TABULATOR GETRENNT) (*.TXT) Das so abgespeicherte Protokoll können Sie direkt mit einem beliebigen Texteditor öffnen. Allerdings leidet die Übersichtlichkeit ein wenig, da jeder Meldungstext fortlaufend in einer Zeile dargestellt wird. Wenn Sie diese Datei aber in ein Tabellenkalkulationsprogramm wie Excel importieren, ist das Protokoll deutlich besser lesbar.

•

CSV (KOMMA GETRENNT) (*.CSV) Dieses spezielle Textdateiformat kann sofort durch ein Tabellenkalkulationsprogramm wie beispielsweise Excel geladen werden. Es ist deshalb das Format, welches sich am besten für eine einfache Archivierung von Protokolldateien eignet.

Automatisch archivieren

Um sicherzustellen, dass keine Protokolle verloren gehen, Sie sich aber gleichzeitig nicht permanent darum sorgen müssen, dass diese zu viel Speicherplatz einnehmen oder voll laufen, können Sie eine automatische Abspeicherung mit Leerung implementieren. Über das freie Tool DUMPEVT (www.somarsoft.com) können Sie die gewünschte Protokolldatei in eine weiterverarbeitbare Textdatei abspeichern. In der dazugehörenden Datei DUMPEVT.INI bestimmen Sie dabei die wichtigsten Konvertierungsparameter. Zu empfehlen ist, dass Sie hier zumindest den Eintrag FIELDSEPARATOR modifizieren und mit dem Editor statt des Komma einen Tabulator eintragen. Der Kommandozeilenaufruf von DUMPEVT lautet dann wie folgt, wenn Sie beispielsweise das Sicherheitsprotokoll in eine Textdatei SICHERHEIT.TXT abspeichern wollen:

16.2 Ereignisanzeige

727

DUMPEVT /logfile=sec /outfile=d:\protokolle\sicherheit.txt Die so erzeugte Textdatei können Sie problemlos in Excel oder Access importieren und weiter auswerten. Falls die Textdatei SICHERHEIT.TXT schon vorhanden ist, werden die nächsten Einträge angehängt. Mit der Standardeinstellung werden bei jedem Aufruf von DUMPEVT übrigens nur die Ereignisse abgespeichert, die seit dem letzten Aufruf neu hinzugekommen sind. DUMPEVT speichert dazu einen entsprechenden Vermerk in der Windows 2000-Registry unter HKEY_CURRENT_USER. Hier die wichtigsten Optionen von DUMPEVT für den Einsatz mit Windows 2000 Professional im Überblick:

Option

Bedeutung

/logfile=

Angabe der zu konvertierenden Protokolldatei : app

Anwendungsprotokoll

sec

Sicherheitsprotokoll

sys

Systemprotokoll

/outfile=

Name (und ggf. Pfad) der Ausgabe-Textdatei

/outdir=

optional Angabe eines Pfades zum Anlegen der temporären Arbeitsdateien von dumpevt

/all

Alle Ereignisse des Protokolls werden in die Textdatei geschrieben. Ohne diese Option werden nur die Ereignismeldungen gesichert, die seit dem letzten Aufruf von dumpevt des betreffenden Protokolls neu hinzugekommen sind.

/computer=

Angabe eines remote Computers, für den das Ereignisprotokoll gespeichert werden soll. Ohne eine Angabe wird immer der lokale Computer benutzt.

/reg=local_machine

Mit dieser Option wird dumpevt veranlasst, sich die zuletzt gesicherte Ereignismeldung für ein Protokoll unter HKEY_LOCAL_MACHINE in der Registry zu merken. Ohne diese Option wird standardmäßig HKEY_CURRENT_USER benutzt.

/clear

Löscht das Ereignisprotokoll nach dem Speichern.

Um ein oder mehrere Protokolle automatisch zu festgelegten Terminen abspeichern zu lassen, können Sie folgendermaßen vorgehen: 1. Erstellen Sie eine Batchdatei für Windows 2000 (mit dem Editor, Endung *.CMD), welche die entsprechenden Aufrufe von DUMPEVT enthält. Diese Batchdatei (beispielsweise sicherprt.cmd) könnte folgendermaßen aussehen, wenn Sie alle drei Protokolle auf einem zentralen Netzwerklaufwerk archivieren wollen:

Tabelle 16.5: Optionen für das Tool dumpevt

728

16 Systemsicherheit REM Protokollsicherung Workstation 1 REM Sicherheitsprotokoll DUMPEVT /logfile=sec /outfile=f:\sicherheit_wks1.txt REM Anwendungsprotokoll DUMPEVT /logfile=app /outfile=f:\ anwendung_wks1.txt REM Systemprotokoll DUMPEVT /logfile=sys /outfile=f:\ system_wks1.txt Hierbei werden die einzelnen Protokolle nicht geleert; an die Textdateien werden die seit der letzten Sicherung hinzugekommenen Ereignismeldungen angehängt. F: ist im Beispiel ein angenommenes Netzwerklaufwerk, in dem die Protokolle aller Arbeitsstationen abgelegt werden. 2. Binden Sie diese Batchdatei über das AT-Kommando in die Liste der zeitgesteuerten Befehle ein (eine ausführliche Referenz über die Kommandozeilenbefehle von Windows 2000 siehe im Anhang C.2 Kommandozeilenbefehle). AT 10:00 /every:Freitag sicherprt.cmd Nun werden die Protokolle jeden Freitag, 10:00 Uhr, automatisch gespeichert. Mehr Informationen zu DUMPEVT erhalten Sie über die Webseite des Herstellers (www.somarsoft.com) sowie die Hilfedatei DUMPEVT.HLP.

16.3 Wiederherstellung verschlüsselter Dateien Die Wiederherstellung von verschlüsselten Daten des verschlüsselnden Dateisystems (EFS) kann notwendig werden, ohne dass der private Schlüssel des Benutzers verfügbar ist. Das kann beispielsweise bei Verlust des Schlüssels oder nach Ausscheiden eines Mitarbeiters der Fall sein. In Windows 2000 ist solch eine Möglichkeit implementiert. Für eine wirkliche Absicherung auch eines lokal arbeitenden Systems sind Instrumentarien verfügbar, die allerdings verstanden und sorgfältig konfiguriert werden sollten.

16.3.1 Der Wiederherstellungsagent Standardmäßig wird auf einem lokalen Windows 2000-System der Administrator als Wiederherstellungsagent bei der Installation eingesetzt. Er besitzt ein besonderes Zertifikat mit dazugehörigem privaten Schlüssel, mit welchem die Wiederherstellung verschlüsselter Daten

16.3 Wiederherstellung verschlüsselter Dateien

729

anderer Benutzer möglich ist. In einem Windows 2000-Netzwerk mit Active Directory ist der Wiederherstellungsagent der übergeordnete Domänenadministrator.

16.3.2 Die Wiederherstellungsrichtlinie Der Gültigkeitsbereich der Dateiwiederherstellung wird durch die Wiederherstellungsrichtlinie festgelegt. Diese Richtlinie finden Sie im Snap-In SICHERHEITSEINSTELLUNGEN unter RICHTLINIEN ÖFFENTLICHER SCHLÜSSEL. Unter START | PROGRAMME | VERWALTUNG | LOKALE SICHERHEITSRICHTLINIE finden Sie eine entsprechende vorgefertigte Managementkonsole. Abbildung 16.13: Festlegen der Wiederherstellungsrichtlinie

Das zuständige Zertifikat zum Wiederherstellen von verschlüsselten Wirksame AbsichDateien finden Sie über das Snap-In ZERTIFIKATE. Wollen Sie ein loka- erung verschlüsles System wirksam absichern, ist es empfehlenswert, das entspre- selter Daten chende Zertifikat des Wiederherstellungsagenten zu exportieren und auf einem Datenträger an einem sicheren Ort aufzubewahren. Danach sollten Sie es auf dem Computer löschen. Die Richtlinie selbst (siehe Abbildung 16.13) sollten Sie allerdings nicht löschen, entscheidend für die Möglichkeit der Wiederherstellung ist das Zertifikat im persönlichen Verzeichnis des Wiederherstellungsagenten.

730

16 Systemsicherheit

Abbildung 16.14: Zertifikat für Dateiwiederherstellung exportieren

Im Falle der Notwendigkeit der Wiederherstellung verschlüsselter Dateien reicht es aus, das Zertifikat über das Kontextmenü wieder zu importieren. Danach können Sie direkt auf die betreffenden Dateien zugreifen und die Verschlüsselung aufheben. Nach dem Wiederherstellen kann das Zertifikat dann wieder gelöscht werden.

16.3.3 Hinweise zur maximalen Absicherung mit EFS Allein EFS anwenden reicht nicht!

Für eine maximale Absicherung lokaler Daten reicht die Anwendung von EFS allein nicht aus. Lesen Sie in diesem Abschnitt, wie Sie Ihre Daten maximal gegen unbefugten Zugriff absichern können.

Hinweise zur Anwendung der Verschlüsselung Ordner verschlüsseln

•

Temp-Ordner verschlüsseln

•

Ordner verschlüsseln Verschlüsseln Sie ganze Ordner, die abzusichernde Dateien enthalten. Wenn Sie nur die einzelne Datei verschlüsseln, kann es beim Öffnen der Datei durch ein Programm dazu kommen, dass temporäre Arbeitsdateien oder ganze Kopien der Datei unverschlüsselt im selben Ordner abgelegt werden. Diese können zurückbleiben, wenn beispielsweise die Anwendung nicht richtig beendet werden konnte oder sie einfach temporäre Dateien nicht richtig aufräumt. Temp-Ordner verschlüsseln Das oben gesagte gilt natürlich auch für die angelegten temporären Ordner. Diese sollten sicherheitshalber auch mit verschlüsselt werden, damit Arbeitsdateien nicht ungeschützt zurückbleiben können. Versichern Sie sich, welche temporären Ordner tatsächlich

16.3 Wiederherstellung verschlüsselter Dateien

731

vorhanden sind und genutzt werden. Manche Anwendungsprogramme, beispielsweise solche zur Bildverarbeitung, lassen die zusätzliche Definition von temporären Arbeitsdatenträgern zu. •

Kopieren und Verschieben verschlüsselter Dateien

Kopieren und Verschieben Dateien behalten ihr Verschlüsselungs-Attribut, wenn sie zwischen verschlüsselter NTFS-Datenträgern kopiert oder verschoben werden. Beim Kopie- Dateien

ren auf FAT oder FAT32-Datenträgern erfolgt die Speicherung hingegen unverschlüsselt. •

Komprimierung contra Verschlüsselung

Komprimierung contra Komprimierte Dateien können nicht verschlüsselt werden. Ebenso Verschlüsselung

ist es nicht möglich, verschlüsselte Dateien nachträglich zu komprimieren. •

Kopieren über das Netzwerk Beim Kopieren über das Netzwerk werden die Dateien für die Dauer des Transports entschlüsselt und könnten damit abgehört werden. Für eine Absicherung des Netzwerkverkehrs müssen Sie deshalb andere Schutzmechanismen zur Anwendung bringen (siehe auch Abschnitt 8.4 Sicherheit im Netzwerk ab Seite 270).

Kopieren über das Netzwerk

Export und Sicherung der privaten Schlüssel Mit der Verfügbarkeit von Hilfsprogrammen wie beispielsweise O&O® Bluecon (siehe auch Abschnitt Alternative Wiederherstellungskonsole: O&O® Bluecon ab Seite 777) kann die Absicherung von Daten vor unbefugtem Zugriff mittels EFS einfach ausgehebelt werden. Mit O&O® Bluecon können Sie beispielsweise, wenn Sie von einem Das Rücksetzen entsprechenden externen Datenträger booten, das Administrator- und von Kennwörtern alle anderen Benutzerkennwörter zurücksetzen. Befinden sich dann ist möglich! die zugehörigen Wiederherstellungszertifikate und -schlüssel noch auf dem System, lassen sich die Daten ohne Weiteres lesen. Für die Herstellung einer maximalen Datensicherheit sollten Sie nach der EFS-Verschlüsselung von Daten folgende Zertifikate auf externe Datenträger exportieren und die privaten Schlüssel lokal löschen: •

EFS-Wiederherstellungszertifikat des Wiederherstellungsagenten Der Wiederherstellungsagent, standardmäßig der Administrator, verfügt neben dem normalen EFS-Zertifikat mit seinem privaten Schlüssel für die Verschlüsselung auch über einen privaten Schlüssel für die Wiederherstellung verschlüsselter Daten aller Benutzer. Diese Schlüssel sind in den entsprechenden Zertifikaten unter ZERTIFIKATE | AKTUELLER BENUTZER | EIGENE ZERTIFIKATE abgelegt

Wiederherstellungsagent

732

16 Systemsicherheit (zu finden über das Snap-In ZERTIFIKATE). Dazu müssen Sie als Wiederherstellungsagent angemeldet sein.

Abbildung 16.15: EFS-Zertifikate des Wiederherstellungsagenten

Um den privaten Schlüssel für die Wiederherstellung zu löschen, exportieren Sie das Zertifikat über das Kontextmenü ALLE TASKS | EXPORTIEREN. Es startet der Zertifikatsexport-Assistent: Abbildung 16.16: Export-Assistent

Geben Sie hier an, den privaten Schlüssel mit exportieren zu lassen. Geben Sie im nächsten Dialogfenster an, dass der private Schlüssel nach dem Export gelöscht werden soll.

16.3 Wiederherstellung verschlüsselter Dateien

733 Abbildung 16.17: Einstellungen zum Export-Format

Geben Sie abschließend noch ein Kennwort ein, mit dem der Schlüssel geschützt wird sowie den Ort und den Namen der Datei, in die das Zertifikat gesichert werden soll. Es wird eine Datei mit der Endung PFX erzeugt. •

EFS-Zertifikat des Benutzers

Benutzer

Wollen Sie eine maximale Absicherung Ihrer EFS-verschlüsselten Dateien erreichen, müssen Sie vor dem Herunterfahren des Systems den privaten EFS-Schlüssel des Benutzers auch vom System entfernen. Gehen Sie dazu wieder über das Snap-In ZERTIFIKATE und exportieren Sie das EFS-Zertifikat ebenso, wie oben für den Wiederherstellungsagenten beschrieben. Der Benutzer hat nur ein einziges EFS-Zertifikat, es sei denn, er ist gleichzeitig Wiederherstellungsagent. Wichtig beim Export des EFS-Zertifikats ist auch hier, dass der private Schlüssel mit in die PFX–Datei exportiert und dann gelöscht wird. Speichern Sie die abgespeicherten Zertifikate mit den eingebetteten Externer Schlüsseln auf externen Datenträgern und verwahren Sie diese an ei- Datenträger nem sicheren Ort.

Import privater EFS-Schlüssel Für den Zugriff auf die verschlüsselten Dateien benötigen Sie den privaten EFS-Schlüssel. Über das Kontextmenü ALLE TASKS | IMPORTIEREN des Snap-Ins ZERTIFIKATE | ZERTIFIKATE-AKTUELLER BENUTZER | EIGENE ZERTIFIKATE starten Sie den ZertifikatsimportAssistent.

734

16 Systemsicherheit

Abbildung 16.18: ZertifikatsimportAssistent

Nach dem Import des Zertifikats können Sie wieder auf die verschlüsselten Dateien zugreifen beziehungsweise als Wiederherstellungsagent auch die Daten anderer Benutzer entschlüsseln.

Zertifikate und SmartCards SmartCards

Der Export und Import von Zertifikaten über externe Datenträger stellt sicherlich nicht das eleganteste Verfahren zur Sicherung lokaler Daten dar. Mit zunehmender Verbreitung von SmartCards steht hier ein deutlich komfortablerer Träger für Zertifikate und Schlüssel zur Verfügung. Neben der Authentifizierungsfunktion können damit zukünftig auch EFS-Zertifikate einfach und sicher eingebunden werden.

16.3 Wiederherstellung verschlüsselter Dateien

Kapitel 17 Reparatur und Wiederherstellung

17.1 Schutz und Überprüfung von Systemdateien ....737 17.2 Informations- und Diagnoseprogramme ..........747 17.3 Die Registrierungsdatenbank .............................759 17.4 Systemwiederherstellung nach Totalausfall....768

735

17.1 Schutz und Überprüfung von Systemdateien

17 Reparatur und Wiederherstellung Bislang galt bei einem Defekt am Betriebssystem das Motto »Wiederherstellung ist gleich Neuinstallation«. Hier bietet Windows 2000 einige neue Funktionen, die auch bei massiven Defekten das System zumindest soweit wiederbeleben, dass wichtige Daten gerettet werden können. In diesem Kapitel sind die wichtigsten Systemwerkzeuge beschrieben, die es dem Administrator ermöglichen, das Betriebssystem an neuralgischen Punkten zu schützen und bei Bedarf wichtige Funktionen zu überprüfen. Darüber hinaus gibt es einen Überblick über die wichtigsten Schritte zur Wiederherstellung eines Systems nach Totalausfall.

17.1 Schutz und Überprüfung von Systemdateien Eine Hauptursache für ein instabiles Verhalten früherer WindowsVersionen ist oft die Installation fehlerhafter Treiberdateien oder der Austausch von Betriebssystemkomponenten gegen andere, vermeintlich bessere Versionen durch die Setup-Programme von Anwendungsprogrammen. Bei ein oder zwei installierten Anwendungen auf einem System wäre der Schaden meist begrenzbar, mit jeder weiteren Installation oder Deinstallation eines Softwarepaketes steigt die Gefahr, dass das vorher stabil gelaufene System mehr und mehr Macken aufweist. In Windows 2000 sind aus diesem Grund mehrere Mechanismen implementiert worden, die potentiell gefährdete Systemdateien wirksam schützen und darüber hinaus dem Administrator die Möglichkeit geben, den Systemstatus zu überprüfen und bei Bedarf wiederherzustellen.

17.1.1 Windows-Dateischutz Der auch Windows File Protection – WFP genannte Dienst läuft perma- Windows File nent im Hintergrund und überprüft, ob eine als geschützt vermerkte Protection Systemdatei durch ein anderes Anwendungsprogramm ausgetauscht oder entfernt worden ist.

Automatischer Austausch falscher Systemdateien Für die automatische Wiederherstellung der originalen beziehungs- Verzeichnis weise ordnungsgemäß zertifizierten Systemdateien werden Duplikate DLLCACHE im Verzeichnis DLLCACHE vorgehalten.

737

738

17 Reparatur und Wiederherstellung %systemroot%\system32\dllcache Der dafür reservierte Speicherplatz wird durch das System automatisch berechnet, kann aber auch durch den Administrator begrenzt werden (siehe auch Seite 738).

System-CD notwendig

Wird eine Originaldatei in diesem Ordner nicht gefunden, verlangt das System das Einlegen der originalen Windows 2000 ProfessionalCD. Ein anderer Speicherort für diese angeforderte Systemdatei wird übrigens nicht akzeptiert. Mit dem automatischen Austausch der Datei erfolgt auch ein entsprechender Eintrag im SYSTEM-Ereignisprotokoll:

Abbildung 17.1: Meldung über den verhinderten Austausch einer Systemdatei

Mehr zum Ereignisprotokoll und den Möglichkeiten der weiteren Verarbeitung und Auswertung der Einträge können Sie in Abschnitt 16.2 Ereignisanzeige ab Seite 715 erfahren.

Überprüfung von Systemdateien mit SFC.EXE Manuelle Überprüfung

Neben den automatischen Mechanismen des Windows-Dateischutzes können Sie mit Hilfe des Tools SFC.EXE (System File Check) den Status der geschützten Dateien überprüfen und deren eventuelle Ersetzung wieder rückgängig machen. Dabei kann auch der Status des Verzeichnisses Dllcache überprüft und gegebenenfalls dessen Inhalt wiederhergestellt werden.

17.1 Schutz und Überprüfung von Systemdateien

739

Die Syntax für SFC lautet: sfc