2001-03-15

Heterogene Netze

Probleme mit Drucker

in /etc/printcap

lp:lp=/dev/lp0:sd=/var/spool/lpd/lp:sh

netz|lp:rm=ca99:rp=lp1:sd=/var/spool/lpd/hugo:sh

Problem: doppelt vergebener Druckerwarteschlangenname(lp)

(Hier wurde der erste Eintrag beachtet; der Rest wurde ignoriert.)

®vermeiden

Spoolverzeichnis

z.B. /var/spool/lpd/hugo

muß mit Definition in /etc/printcap (sd=...) übereinstimmen; ansonsten: Fehler can't change to directory....

Eigentümer/Gruppe

chown lp hugo

chgrp lp hugo

Warum?

Programm lpd arbeitet mit Rechten des Benutzers lp und der Gruppe lp

Þgehört dem Benutzer lp nicht das Spoolverzeichnis, so kann es zu Problemen beim Anlegen/Löschen/etc. von Dateien (Druckjobs) kommen

lpr

lpr -PDrucker Datei Drucker muß existieren

lpr Datei Warteschlange $PRINTER verwendet

auch möglich:

lpr < Datei

cat /etc/passwd | grep « users » | sort | lpr

nicht möglich

/etc/passwd|lpr

lpc

bei Problemen hilfreich

lpc restart all versucht, laufenden Daemon zu beseitigen

und neuen zu starten

Prüfen:

ps ax | grep lpd PID des Daemons ermitteln

läuft kein Daemon, dann in Spoolverzeichnissen die Datei lpd.lock löschen

Heterogene Netze

Netware Win98 DOS NT Workstation MAC

Anw. Anw. Anw.

Dateiserver SQL-Server Anw. DHCP

Druckserver

UNIX NT Server OS/2 Win98 2000Adv.S.

•in einem heterogenen Netzwerk sind Computer mit verschiedenen Betriebssystemen angeschlossen

•Datenaustausch zwischen den Rechnern möglich

•im Netzwerk werden verschiedene Protokolle verwendet (AppleTalk, IPX, TCP/IP, SNA, NetBEUI, ...) oder ein gemeinsames Protokoll (TCP/IP)

Integration von UNIX und Windows

•unter Windows erfolgt dr Zugriff auf gemeinsam genutzte Laufwerke und Drucker per SMB-Protokoll (Server Message Block Protokoll)

Win Client SMB Win Server (NT)

•SMB ist Client/Server-Protokoll; Client stellt eine Anfrage an den SMB-Server, der diese beantwortet

•hat SMB Client eine Verbindung zum Server hergestellt, werden SMB-Kommandos gesendet, die den Zugriff auf Freigaben, das Öffnen von Dateien und beliebige Schreib- und Leseaktionen ermöglichen

SMB unter UNIX

Programmpaket SAMBA (www.samba.org) von Australier Andrew Tridgell 1991 entwickelt

®beliebige UNIX-Rechner werden zu leistungsfähigen Datei- und Druckerservern für Windows-Clienten

Voraussetzung: Clients kommunizieren über TCP/IP mit Server; ansonsten keine Veränderungen (Erweiterung o.ä. notwendig)

Win-Clienten arbeiten wie immer („merken“ nicht, daß UNIX-Server im Hintergrund arbeitet)

Möglichkeiten von SAMBA

1.Linux-„Laufwerke“ werden auch von Windows-Rechnern genutzt

2.Windows-„Laufwerke“ werden von Linux-Rechnern genutzt

3.Linux-Drucker auch von Windows-Rechnern verwenden

4.Windows-Drucker von Linux-Rechnern verwenden

Samba-Daemonen

smbd Daemon für SMB-Protokoll

mnbd Daemon für NetBIOS-Namen

Programme für Samba

/usr/bin

smbclient SMB-Client für UNIX (Zugriffe von UNIX auf Windows-Server)

smbprint ermöglicht Drucken auf SMB-Server

smbstatus aktuelle SMB-Verbindungen des lokalen Hosts anzeigen

smbrun erleichtert Ausführung von Anwendungen auf SMB-Host

Daemone werden i.d.R. über inetd.conf gestaret; bei Linux über die entsprechenden Skripte in rc.d in /etc/rc.config:

START_SMB0=« yes »

Konfiguration von Samba erfolgt ausschließlich über

/etc/smb.conf

•welche Ressourcen werden nach außen zur Verfügung gestellt

•Einschränkungen festlegen

Konfigurationsdatei „/etc/smb.conf“

•in Abschnitte eingeteilt: global, homes, tmp, printers, public

global:

•Definition von Variablen, die Samba für die Zuteilung aller ressourcen nutzt

homes:

•ermöglicht Zugriff eines Remote-Users auf sein Heimatverzeichnis auf UNIX-Rechner

printers:

•Drucker, die in /etc/printcap definiert sind, können Klienten zur Verfügung gestellt werden

Beispiel:

Nutzen eines Linux-Laufwerkes durch Windows-Rechner

einfügen:

[public]

comment=Public Stuff

path=/home/public

public=yes

writeable=yes

printable=yes

Das Verzeichnis /home/public wird allen Benutzern zur Verfügung gestellt (Lesen und Schreiben) unter Freigabenamen public

Beispiel2:

alle sollen lesen, aber nur bestimmte Benutzer (!Gruppez.B. ) soll schreiben dürfen:

[public2]

comment=nicht ganz öffentlich

path=/home/public2

writeable=yes

printable=no

write list=@staff

public=yes

jeder darf lesen (public=yes), Schreiben erlaubt für Benutzer, die in der write list aufgeführt sind (hier: Gruppe staff)

Nu geht's los:

1.Samba-Paket mit YaST installieren

2./etc/smb.conf editieren:

[tmp]

comment=temporaeres Verzeichnis

browseable=yes

pulic=yes

writeable=yes

create mode=0755

[etc]

comment=UNIX-Konfiguration

browseable=yes

public=yes

read only=yes

path=/etc

3.nach Änderung von /etc/smb.conf muß samba neu gestartet werden

cd /etc/rc.d/rc2.d

./S20smb restart

4.von Windows aus:

Netzwerkumgebung ®Gesamtes Netzwerk ®...

eigenen SMB-Server suchen (z.B. ca10)

Wo erscheint der Samba-Server in der Netzwerkumgebung von Windows?

in der Arbeitsgruppe (Workgroup), in der der SMB-Server konfiguriert ist

[global]

workgroup=Arbeitsgruppe ca

Zugriffsrechte

•Zugriffe können anonym erfolgen oder mit entsprechendem Benutzeraccount

•Benutzer ist im Windows angemeldet (z.B. otto)

•greift Windowsbenutzer otto auf UNIX-SMB-Server zu, so wird geprüft, ob otto als UNIX-Benutzer existiert:

ja Zugriffe auf SMB-Server erfolgen mit Rechten von UNIX otto

nein Windows otto wird als « Gast » betrachtet

[global]

guest account=nobody

legt fest, als welcher UNIX-Benutzer (hier: nobody) ein nicht authentifizierter SMB-Benutzer auf das UNIX-Dateisystem zugreift; gilt nur in Einträgen, in denen public=yes gesetzt it; z.B.:

[tmp]

path=/tmp

public=yes

...

Soll Gast-Zugriff generell nicht möglich sein, so darf kein guest account abgegeben werden

einfaches Beispiel:

in smb.conf

[public]

comment=Jeder darf alles - wirklich?

public=yes

writeable=yes

browseable=yes

path=/home/public

in Dateisystem (UNIX)

ls -ld /home/public

drwxr-xr-x root root public

ls -s /home/public

-rw-r--r-- root root datei1

-rw-rw-rw- root root datei2

SMB-Gast greift auf Freigabe public zu, welche Rechte hat er auf Datei1, Datei2?

datei1: lesen, nicht schreiben, nicht löschen

datei2: lesen, schreiben, nicht löschen

Statusinformationen

Log Files

/var/log/log.smb

/var/log/log.nmb

tail -f /var/log/log.smb zeigt die letzten 10 Zeilen an; -f: jede Zeile, die

neu dazukommt, wird sofort angezeigt

2001-03-16

Heterogenene Netze

Zu Frage 9:

Test der Konfigurationsdatei /etc/smb.config

/usr/bin/testparm

Überprüfung der Konfigurationsdatei /etc/smb.conf auf korrekte Syntax

Test der Server-Grundkonfiguration

smbclient -l localhost

®verbindet zu eigenem SMB-Server

Zu Frage 11:

[global]

guest account=nobody

•Zugriffe auf das UNIX-Dateisystem erfolgen unter Benutzername nobody (UNIX-Benutzer) immer dann, wenn Samba keinen Benutzer authentifizieren kann (d.h. Benutzername/Kennwort falsch, fehlt,...)

•bei Freigaben, bei denen public=yes wird nobody am obigen Fall als Benutzer verwendet

UNIX UNIX-Dateisystem

Windows

[public] /home/nobody

SMB-

Protokoll SMB-Server

[public] r-xr-xr-x nobody

path=/home nobody/datei1 rw-

writeable=yes nobody/datei2 r--

public=yes nobody/datei3 r--

browseable=yes

[global]

•globale Voreinstellung für das gesamte System

keep alive=30 In welchem Abstand (hier 30 sek.) sollen

Keep-Alive-Pakete gesendet werden?

Antwortet Client (z.B. Win95) nicht, so wird

Verbindung vom Server

getrennt (Annahme: Client hängt)

log file=/var/log/samba-log.%m für jeden Clienten wird eine Logdatei mit

dem Namen samba-log.Rechnername im

Verzeichnis /var/log geführt (%m: Netbios-

Name des Clienten)

host allow=192.168.0.18 ca20 ca18 und ca20 zugelassen

host allow=192.168.0/255.255.255.0

alle mit IP-Nummer 192.168.0.* zugelassen

host allow=lapland,antarktis lapland und antarktis zugelassen

host allow 192.168.0/255.255.255.0 EXCEPT 192.168.0.7

alle außer ca07 zugelassen

®nur angegebene Hosts dürfen zugreifen;

Absicherung vor unbefugtem Zugriff; auch

auf einzelnen Freigaben anwendbar (ergänzt

sich)

host deny aufgelistete Hosts haben keinen Zugriff; bei

Konflikten hat allow Priorität

valid users=samulat,jan,michael

nur angegebene Benutzer sind zugelassen;

auch für jede Freigabe (nur sinnvoll mit

public=no)

valid users=@lager nur Benutzer die der UNIX-Gruppe lager

angehören

security=user jeder SMB-Benutzer muß ein

Benutzerkonto/Kennwort unter UNIX haben,

da Zugriffe auf das Dateisystem mit

Benutzerkonto erfolgt (Steuerung der

Zugriffsrechte); Ausnahme: Gast

Kennworte: /etc/passwd (« normale » UNIX-

Kennworte); falls mit unverschlüsselter

Kennwortübertragung gearbeitet wird;

ansonsten: /etc/smbpasswd

encrypted password=yes Samba-Server arbeitet mit verschlüsselten

Kennworten (Windows arbeitet ab NT4.0

SP3 generell mit verschlüsselten

Kennworten; falls mit nicht verschlüsselten

Kennworten gearbeitet wird, muß unter

Windows die Registrierung verändert

werden; siehe

/usr/share/doc/packages/samba/*.reg)

printing=bsd als Drucksystem wird BSD verwendet

printcap name=/etc/printcap Angabe der Druckerdefinitionsdatei

load printers=no nicht alle in /etc/printcap definierten Drucker

werden bereitgestellt (Þ[printers] wird

ignoriert; Drucker müssen einzeln

freigegeben werden)

time server=yes Samba ist Standard-Zeitserver im lokalen

Netzwerk; Windows Clienten können mit

net time /s /y (« DOS »-Befehl) ihre Uhrzeit

synchronisieren

[homes]

comment=Heimatverzeichnis des Benutzers

browseable=no

read only=no

create mode=0750

meldet sich ein Benutzer an, so wird eine Freigabe unter seinem Benutzernamen erzeugt; die Freigabe verweist auf das Heimatverzeichnis des Benutzers (entnommen aus /etc/passwd)

browseable=no bewirkt, daß die Freigabe [homes] an sich nicht sichtbar ist; die automatisch erstellte Benutzerfreigabe ist sichtbar

Drucker freigeben

[Drucker] Freigabename

comment=Drucker auf UNIX Beschreibung

printer name=lp UNIX-Druckername

writeable=yes Schreiben (=spoolen)

public=yes jeder hat Zugriff

printable=yes Druckersymbo, nicht Ordnersymbol

Beispiele:

Privatdirectory für Fred und Heinz:

[FredHeinz]

comment=Nur Fred und Heinz

path=/usr/somewhere/fred_heinz

valid users=fred heinz

public=no

writeable=yes

printable=no

Public-Verzeichnis (lesbar), schreibbar nur durch Gruppe Admin

[public]

comment=Public Stuff alle aufgeführten Benutzer bzw.

path=/usr/somewhere/public Gruppen erhalten

public=yes Schreibberechtigung (hier: Gruppe

writeable=no admin)

printable=no

write list=@admin

[tmp]

comment=... Benutzer Fred, Hugo und Heinz

path=... dürfen nur lesen, egal, welchen Wert

writeable=yes writeable hat

printable=no

read list=fred hugo heinz

public=yes

Benutzerkennworte unter Samba

Kennwortmechanismus von UNIX und Windows sind nicht direkt kompatibel (bei verschlüsselten Kennworten)

Lösung:

Kennwortliste für Samba, enthält Kennworte im Windows-Verschlüsselungsformat (/etc/smbpasswd)

Vorgehensweise:

•Benutzer normal einrichten (YaST, useradd,...)

•für jeden Benutzer Kennwort in /etc/smbpasswd erstellen:

>smbpasswd -a hugo

Kennwort: ...

Benutzer hugo wird in /etc/smbpasswd aufgenommen und dessen Kennwort (von Konsole) verschlüsselt abgelegt

smbpasswd ändert Kennwort des angemeldeten

Benutzers

smbpasswd -e hogo aktiviert (enabled) den Eintrag von hugo

smbpasswd -d hugo deaktiviert (disabled) den Eintrag von hugo

smbpasswd -n hugo leeres Kennwort ist zugelassen; nur wenn in

smb.conf [global] null password=true

Problem:

1000 Benutzer in UNIX (/etc/passwd); SMB-Server nachträglich installieren; jeder Benutzer müßte mit smbpasswd -a hinzugefügt werden

cat /etc/passwd | sh /usr/lib/samba/scripts/mksmbpasswd.sh > \ /etc/smbpasswd

Kennwort:...

ÞBenutzer ändert sein Kennwort selbst

ÞAdmin muß nicht jeden Benutzer für Samba manuell einrichten

Zugriff auf Ressourcen mit smbclient

stellt Verbindung von UNIX zu SMB-Server (Freigabe unter Windows) her

smbclient -LDrucker -L kennzeichnet Host

FUERALLE Disk

...

smbclient \\\\Drucker\\FUERALLE -UDrucker

(\\\\Drucker\\FUERALLE ist UNC-Pfad;

-UDrucker ist Windows-Benutzername)

smb \> ? smb \> ist Prompt von smb-Shell

smb \> ls (ähnlich ftp)

smb \> put ... -U kennzeichnte Benutzer

smb \> get ...

smb \> quit

2001-03-19

Heterogene Netze

Zu Aufgabe 3:

encrypted password=no

•SAMBA erwartet Kennworte vom Klienten in unverschlüsselter Form

•Benutzer/Kennwort wird mit lokaler UNIX-Benutzerkontenbank abgeglichen (wie beim Login)

encrypted password=yes

•SAMBA arbeitet mit Windows-Verschlüsselungstechnologie

•Abgleich mit /etc/smbpasswd

Problem bei unverschlüsselten Kennworten

•Windows sendet i.d.R. nur verschlüsselt

®Eingriff in die Registry notwendig

Zu Aufgabe 6:

Windows-User hugo

(SMB-Client)

SMB-Protokoll

SMB Server Linux

UNIX-Dateisystem mit Rechten des lokalen

Benutzers hugo

Ausnahme: Nicht-authentifizierter Benutzer (sofern erlaubt)

®Gast; i.d.R. nobody

Zu Aufgabe 9:

Einstellung für Druckerbenutzung für Jedermann:

[global]

load printers=yes

[printers] zeigt alle Drucker in /etc/printcap

Setzen, um Drucker z.B. nur SMB-Nutzern zur Verfügung stehen zu lassen:

[global]

load printers=no Drucker in /etc/printcap werden nicht freigegeben

[laser]

comment=Drucker für SMB-Nutzer

printable=yes

public=yes

Zu Aufgabe 10:

[FreigabeX]

comment=Dies ist...

path=/usr/somewhere/nichtfuerAlle

write list=hugo erwin meier @verwaltung

public=no ®nur angegebene Benutzer (bzw. Gruppen)

dürfen schreiben

Windows NT Server

Windows NT ist in zwei Varianten erhältlich

Workstation

Server

Gemeinsamkeiten:

5.gleiche Kernelarchitektur

6.gleiches User Interface (Benutzerschnittstelle)

7.gleiche Programmierschnittstelle

8.teilweise identische Funktionsumfänge

Unterschiede:

•optimiert für Server (Netzwerkanfragen werden schneller beantwortet)

•Domainkonzept/Domain Controller

•mehr Dienste (Mac-Unterstützung, DHCP, DNS, mehr RAS-Verbindungen, BackOffice-Architektur (Client/Server-Anwendungen, z.B. SQL), ...)

Konzeption des Windows NT-Netzwerkes

Microsoft Networkin baut auf zwei Komponenten auf

•Workgroups (Arbeitsgruppen)

•Domäne

Workgroup

•Ansammlung von Computern, die zu einer Einheit zusammengeschlossen werden zu Zwecke der geimeinsamen Nutzung von Ressourcen

•®ausschließlich logische Gruppierung

•einzelnen Ressourcen verwalten ihre Gruppen selbst

•keine zentrale Benutzerverwaltung

•Þhoher Administrationsaufwand, evtl. Sicherheitsproblem

•Bekanntmachung von Ressourcen erfolgt mit Browser-Dienst

•möglich mit Windows NT Workstation, Win95/98, Windows for Workgroups 3.1x, Windows NT Server in Variante « alleinstehender Server »

•alle Teilnehmer arbeiten überwiegend als non-dedicated server (Serverdienste sind « Nebensache »)

•Einsatz: in kleinen Netzen (bis ca. 15 Arbeitsplätzen)

•sobald Belastung der einzelnen Rechner durch gegenseitige Zugriffe zu hoch wird, ist anderes Konzept einzusetzen

•nicht möglich: Client/Serveranwendungen (z.B. SQL)

Domäne

•logische Ansammlung von Computern

•gemeinsame Benutzer- und Sicherheitsdatenbank (Domänenkonten-Datenbank)

Funktionsweise:

•Benutzer wird in der Domäne von zentralen Rechner angemeldet (Domain Controller)

•dazu sendet Arbeitstation Benutzername und Kennwort an zentrale Instanz, die Überprüfung anhand der Datenbank vornimmt

•falls o.k.: Benutzer erhält Ticket (Sicherheits-ID, Gruppenzugehörigkeit)

•alle anderen Server in Domäne vertrauen Ticket, es erfolgt nur eine Anmeldung

•jede Domäne verfügt über einzigartigen Domänennamen

•Verwaltung erfolgt zentral in der Domäne

•Vorteil in Bezug auf Sicherheit: Zuweisung von Berechtigungen und Einschränkungen erfolgt durch eine zentrale Einheit

•Benutzerinformationen existieren nur einmal ÞÄnderungen müssen auch nur einmal durchgeführt werden

•bei einer größeren Zahl von Servern ist manueller Abgleich fast unmöglich (auch z.B. Kennwortänderung durch Benutzer)

•NT Server ist eigentlich ausschließlich für Domäneneinsatz konzipiert

Rollen des NT Servers in eine Domäne

Primary Domain Controller (PDC)

5.wichtigste Rolle in der Domäne

6.enthält promäre Kopie der Benutzerkontendatenbank (Benutzer, Gruppen und Berechtigungen)

7.in größeren Domänen (mehrere hundert Benutzer) empfiehlt es sich, die Aufgabe dieses Rechners auf die Anmeldung von Benutzern zu beschränken

Backup Domain Controller (BDC)

•verfügen über Kopie der Domänenkonten-Datenbank

•ein oder mehrere Backup-DC möglich

•sobald ein NT Server zu BDC wird, repliziert er die primäre Benutzerkonten-Datenbank auf seine Platte

•Änderungen werden einzeln übernommen

•Änderung an Datenbank nur an Original möglich

•Aufgaben:

•kann Anmeldung vo Benutzern an Domäne vornehmen (®Entlastung des PDC)

•bei Ausfall des PDC ist Anmeldung durch BDC weiterhin sichergestellt; Administration nicht mehr möglich (BDC wird zum PDC vom Administrator heraufgestuft)

alleinstehender Server

Verwendung von NT Server als reinen Server (z.B. für Dateien)

verfügt über keine Kopie der Domänenkonten-Datenbank

•in Bezug auf Verwaltung von Benutzern ist er NT Workstation gleichgestellt

•®es ist nicht sinnvoll, alle Server mit der Anmeldung zu beschäftigen, weil:

•unnötige Belastung der Server

•unnötige Erhöhung des Netzverkehrs aufgrund periodischer Replikationen

Trusted Domains

vertraute Domänen

•irgendwann stößt Domänenkonzept an seine Grenzen, h.b. Anzahl von Benutzern und Ressourcen ist so groß, daß keine Strukturierbarkeit mehr möglich ist

•Domänen werden meist auf Basis organisatorischer Einheiten der Firma aufgebaut (z.B. Entwicklung, Verkauf, Marketing, ...)

•für domänenübergreifenden Zugriff werden vertraute Domänen eingerichtet

Beispiel:

Hugo aus DomäneX muß auf Ressourcen der DomäneY zugreifen

®es wird Vertrauensstellung zwischen X und Y aufgebaut, so daß Y auf Benutzerinformationen aus X zugreifen kann

ÞHugo aus X muß in Y nicht neu definiert werden, Hugo kann dennoch Rechte in Y erhalten

Gestaltung von vertrauten Domänen

•Single Domain Modell

•Master Domain Modell

•Multiple Master Domain Modell

•Complete Trust Modell

Single Domain

•keine Vertrauensstellungen

•es gibt eine Domäne (alle Ressourcen und Benutzer werden hier verwaltet)

•rein theoretisch mehrere tausend Benutzer pro Domäne möglich

Master Domain Modell

•es wird eine Vertrauensstellung von einer Domäne zu allen anderen eingerichtet (alle Domänen vertrauen der Maste Domain)

•sämtliche Anwender und Gruppen werden in Master Domain eingerichtet

•diese werden von restlichen Domänen zur Verwaltung von Berechtigungen verwendet

•Grenze: ab 15.000 Benutzer nicht mehr möglich (Microsoft) [ein PDC kann max. von 15.000 Benutzern verwaltet werden]

Multiple Master Domain Modell

•mehrere Master Domänen werden eingesetzt

•alle Benutzer und globalen Gruppen werden genau einmal definiert (in einer zugeordneten Master Domäne)

•alle Master Domänen vertrauen sich gegenseitig Þist ein Benutzer in einer Domäne definiert, so kann er auf das gesamte Netzwerk zugreifen, ohne erneut definiert zu werden

Complete Trust Modell

•alle Domänen vertrauen sich gegenseitig

•es können die Anwender der jeweils anderen Domäne zur Vergabe von Zugriffsberechtigungen verwendet werden

•Aufwand für Verwaltung in Bezug auf Menge von Vertrauensstellungen hoch

•bei 20 Domänen sind bereits 380 Vertrauensstellungen notwendig

•Vielfalt der Verhältnisse analog zu Mesh-Verdrahtung

Computer-Suchdienst (Browser-Service)

•damit Ressourcen verwendet werden können, muß man wissen, welche zur Verfügung stehen

•®Windows NT: Computer-Suchdienst

•den Netzwerkteilnehmern wird eine zentrale Liste zur Verfügung gestellt, in der alle verfügbaren Ressourcen verzeichnet sind

•Bereitstellung durch spezielle Computer, d.h. Computer, die den Suchdienst aktiviert haben

•®nicht jeder Rechner startet diesen Dienst; es kann bereitgestellte Liste verwendet werden

•Minimierung von Netzwerkverkehr

Verschiedene Rollen

•Master Browser

•Backup Browser

•Potentieller Browser

•Browser Client (Non-Browser)

NT kann jede Rolle übernehmen

Master Browser

•besitzt Hauptliste der Netzwerk-Ressourcen

•sammelt die entsprechenden Informationen und erstellt Liste

•verteilt Liste an Backup-Server

Auswahlprozeß (Sicherstellung, daß nur ein Master pro Domäne existiert

Anstoß des Auswahlprozesses

•Netzwerk-Client findet Master nicht

•Backup-Browser will sich aktualisieren, findet Master nicht

•Computer, der als bevorzugter Master eingerichtet ist, geht ans Netz (eigentliche Auswahl nicht notwendig; Auswahlnachricht wird gesendet, enthält Informationen über Betriebssystem (Art und Version) und aktuelle Rolle im Suchdienst

•jede Station prüft die eigene Eignung und schickt entsprechende Nachricht weiter ®beste Eignung wird als neuer Master Browser festgelegt

•jeder Computer meldet sich beim Browser periodisch

•anfangs minütlich, später bis zu 12-Minuten-Abstand

•bekommt Master über 3 Zyklen keine Rückmeldung, so wird entsprechender Computer aus Liste entfernt

Backup Browser

•verteilt Liste an die Clienten

•i.d.R. gibt es mehrere Backup-Browser, der Client sucht sich den Nächsten

•holt sich alle 15 Minuten eine aktuelle Liste vom Master

Potentieller Browser

•sind prinzipiell in der Lage, die Verwaltung der Ressourcenliste zu übernehmen, machen es aber erste auf Aufforderung

Browser Client

•beziehen Liste vom Master- bzw. Backup-Browser

•®Entlastung der Prozessorkapazität, Verringern des Netzwerktransfers

Benutzerkonzept von NT

Bestandteile: Benutzer, lokale Gruppen, globale Gruppen

Benutzer

•ein Benutzerkonto wird pro Anwender eingerichtet

•®sämtliche Eigenschaften des Anwenders (z.B. Gruppenzugehörigkeit, Kennwort,...) und Berechtigungen werden hiermit administriert

Gruppe

•logische Ansammlung von Benutzern

•Benutzer mit gleichen Anforderungen werden zusammengefaßt

•ein Benutzer kann Mitglied in vielen Gruppen sein

•®Strukturierung sollte ur Vereinfachung der Verwaltung an Unternehmensstruktur angepaßt sein

NT Server: Lokale und Globale Gruppen

Lokale Gruppen

•werden auf lokalen Stationen eingesetzt und sind nur dort gültig

•NT Workstation kennt nur lokale Gruppen

•lokale Gruppen können globale Gruppen aufnehmen

Globale Gruppen

•werden auf PDC eingerichtet

•sind allen Systemen der Domäne sichtbar

•®Realisierung von domänenübergreifenden Benutzerinformation

•Þlokale Benutzer müssen nicht eingerichtet werden

Mehrstufiges Modell

1.Benutzer wird definiert

2.Benutzer werden in globalen Gruppen zusammengefaßt

3.globale Gruppen werden lokalen Gruppen zugeordnet

lokalen Gruppen werden Berechtigungen erteilt

2001-03-20

Heterogenene Netze

Integrationsaspekte von NT Server

Einbindung vorhandener Ressourcen

•Netware

•UNIX

•Macintosh

•IBM-Großrechnerwelt (SNA)

Installation von NT Server

vorbereitende Maßnahmen

•entsprechende Hardware bereitstellen

•Wahl des Dateisystems für die Installationspartition (FAT16/NTFS) (sollen auch andere Betriebssysteme eingesetzt werden?)

•Netzwerkkarte? (Typ/Einstellung)

•Name der Domäne (bzw. Arbeitsgruppe) (hier: Domäne CA)

•Name des Computers (hier ca10)

•Computerkonto (hier ca10)

•Protokollinformationen zu TCP/IP (eigene Adresse/Subnet Mask)

192.168.0.10

255.255.255.0

Gateway, DNS Server, DHCP,...

hier: -

•CD-Schlüssel: 040-0522921

•Rolle des NT Servers

Primary Domain Server

Backup Domain Server

alleinstehender Server

hier: BDC oder Server

•Notfalldiskette (leere Diskette bereitlegen)

•Größe der Installations-Partition (im allgemeinen 150 MB ausreichend)

Installationsvarianten

drei Installations-Programme

WinNT unter MS-DOS (CD: i386)

WinNT32 über NT-Plattform aufrufbar (Aktualisierung) (CD: i386)

Setupldr NT auf RISC-Maschinen

•Booten von CD oder

•Installation über Netzwerk

•Netzwerk muß über Client erreichbar sein

z.B. Win95: über DOS-Eingabeaufforderung:

WinNT /B (ohne Bootdisketten zu erstellen)

9.Installationsquelle (Pfad zu Dateien im Netzwerk)

10.temporäre Kopie wird angelegt ($WIN_NT$.~LS)

11.Boot-Dateien werden kopiert ($Win_NT.$BT)

•Lizenzmodus wählen:

pro Server

•jede Client-Zugriffslizenz ist exakt einem bestimmten Server zugeordnet (ÞServer mit drei Client-Lizenzen kann max. drei Benutzer gleichzeitig bedienen)

hier: pro Server; Anzahl: 25

•Wahl der Server-Rolle

hier: BDC oder Server

•Angabe des neuen Domänen-Namens/Wahl des Domänen-Namens

•PDC: Name der neuen Domäne einrichten

•BDC: Name der vorhandenen Domäne; Administratorname und Kennwort von PDC notwendig (da Zugriff auf PDC erfolgt, Konto wird eingerichtet) Administratorname: Administrator Kennwort: ca

Installationsdaten

•\\Server\Installation\WinNT-Server\i386

•Installations-CD

nach (erfolgreicher) Installation:

Service Pack installieren

•Kopieren: \\Server\Installation\NT4SP6A

...\NT4SP6A\*.exe ausführen

2001-03-21

Heterogene Netze

Anmeldung

· lokal

· Domäne

lokal ®Benutzerkontenbank des lokalen Systems wird verwendet

Benutzer: Administrator

Kennwort: ******

Domäne: CA15

Domäne Domäne: CA

Benutzer-Management

fast alle Anwendungen und Funktionen des Servers sind vom Benutzer-Management abhängig
®Kernfunktionalität
Werkzeug: Benutzermanager für Domänen (unter Verwaltung)
jede Veränderung bezieht sich auf Benutzerkontenbank einer Domäne ®Fokus wird automatisch auf PDC gesetzt
nach der Änderung erfolgt automatisch eine Aktualisierung der BDCs (periodisch); ®dauert einige Zeit
ÞBenutzer kann sich unter Umständen nach seiner Einrichtung nicht sofort anmelden

Standardbenutzerkonten nach Einrichten:

Administrator umbenennen (aus Sicherheitsgründen)

Gast deaktivieren

Konto deaktivieren?

· Benutzer ist eindeutige Sicherheits-ID zugeordnet (wird vom System vergeben)

· löschen eines Benutzers und neu anlegen unter gleichem Namen ®Benutzer ist nicht identisch (wegen neuer Sicherheits-ID) ÞRechte müssen neu vergeben weden

· Þzum Ändern des Benutzernamens immer „Umbenennen“ eines Benutzers

„Kopieren“ des Benutzers: viele gleichartige Benutzer einrichten

Eigenschaften von mehreren Benutzern gleichzeitig ändern

· mehrere Benutzer selektieren

· Benutzer ®Eigenschaften

Vordefinierte Gruppen in NT Server (global)

Domänen-Admins Verwalter der Domäne

Standard: Administrator

wird automatisch in lokale Gruppe „Administratoren“

jeder Workstation bzw. Server aufgenommen

Domänen-Benutzer alle definierten Benutzer einer Domäne

wird automatisch in die lokale Gruppe „Benutzer“

aufgenommen

Domänen-Gäste Standard: Gastbenutzer (deaktiviert)

®sollte nicht benutzt werden

lokale Gruppen

Administratoren Verwaltung des System; i.d.R. wird kein Benutzer

direkt zugeordnet, da Gruppe „Domain-Admins“ zugeordnet ist

Benutzer alle Benutzer der Station

Gruppe „Domain-Benutzer“ enthalten

i.d.R. keine direkte Zuordnung von Benutzern

Server-Operatoren Mitglieder erhalten grundlegende Rechte für die

Administration des Servers (z.B. Steuerung von

Diensten, Herunterfahren des Servers)

Sicherungsoperatoren Mitglieder erhalten erforderlichen Rechte zur

Datensicherung und Wiederherstellung

Definition neuer Gruppen

Benutzermanager für Domänen ®Benutzer ®neue lokale/globale Gruppe
Vergabe des Gruppennamens
Vergabe einer erläuternden Beschreibung
über Eigenschaften können Benutzer und Gruppen hinzugefügt werden:

lokale Gruppe: Benutzer und globale Gruppen

globale Gruppe: Benutzer

Server Manager

®Server Manager (Gruppe Verwaltung) verwaltet Server und Domänen

Voraussetzung: Mitglied in einer der folgenden Gruppen:

Administratoren, Domänen-Administratoren, Server-Operator

ÞVerwaltung von NT Workstation möglich

Liste der aktuellen Rechner in Domäne werden angezeigt; durch Auswahl eines Rechnsers kann dieser verwaltet werden (z.B. CA10)

Computer

Eigenschaften z.B. Benutzer, benutzte Freigaben,

etc.

Freigegebene Verzeichnisse Was ist freigegeben? neue Freigaben

hinzufügen, Freigaben entfernen, Berechtigungen erteilen

Dienste Aktivierung/Deaktivierung von

Diensten

Nachricht senden Text an alle Benutzer des Rechners

Nachricht senden

Heraufstufen zum PDC [nur aktiv auf BDC]

Achtung: alle Verbindungen zum

aktuellen PDC und zum BDC, der

heraufgestuft werden soll, werden

getrennt

Synchronisation bei Auswahl eines BDC

®Snchronisation des

entsprechenden BDC

bei Auswahl von PDC:

®alle BDCs der Domäne werden

synchronisiert

Domäne hinzufügen Rechner zur Domäne hinzufügen

Domäne entfernen Rechner von der Domäne entfernen

Domäne auswählen Verwaltung anderer Domänen

Echter Ausfall des PDC

„Server“ (Rechnername) war PDC

®Simulation durch Ausschalten

Þkein PDC verfügbar

a) ist kein BDC vorhanden:

®Problem, da keine Anmeldung mehr möglich;

Lösung: PDC reparieren

b) BDC vorhanden:

®Anmelden weiterhin möglich

Problem: Benutzermanager funktioniert nicht

®falls z.B. Berechtigungen etc. geändert werden müssen, muß ein BDC zum PDC heraufgestuft werden

Wie?

®Server-Manager; irgendein BDC zum PDC heraufstufen

z.B. CA10 heraufstufen

®“alles wieder möglich“

Was passiert, wenn der „alte“ PDC wieder ans Netz geht?

®Problem: 2 PDC verfügbar ®nicht möglich

®automatische Übernahme bei Aktivierung nicht möglich, da Änderungen in der Zwischenzeit verloren gehen würden

Þalter PDC hält sich zurück

®Server-Manager ®Computer herabstufen

„alter“ PDC wird zum BDC degradiert

Þist jetzt BDC (warten oder synchronisieren)

jetzt kann ein normaler Rollentausch erfolgen (durch Heraufstufung)

ÞUrsprungszustand wurde wieder hergestellt

Beispiel:

a. PDC „Server“ ist kaputt

®Benutzer-Manager geht nicht

b. BDC CA10 zum PDC heraufstufen

®alles geht wieder

c. alte PDC aktiv („Server“ einschalten)

d. „Server“ zum BDC herabstufen

e. Rollentausch, d.h. „Server“ zum PDC heraufstufen

Anmeldedienst

· Kommunikation zwischen Domänen-Controller erfolgt über Anmeldedienst

· in bestimmten Zeitabständen findet Kommunikation statt (Replikationsfrequenz)

· Standard: 300 Sekunden (5 Minuten)

· gültiger Bereich: 60 Sekunden bis 3600 Sekunden (1 Minute bis 1 Stunde)

· Registrierung: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Sevices\NetLogon\Parameters\Pulse

Typ: REG_DWORD

Þwird auf den primären Domänen-Controller gesetzt

Ereignisse

Protokollierung besonderer Systemereignisse

drei Teile: System, Sicherheit, Anwendung

Anzeige mit Ereignisanzeige (Verwaltung ®Ereignisse)

Einrichten der Protokollierung:

Benutzermanager ®Richtlinien ®Überwachen

je nach Bedarf bei Erfolg/Fehler, unterteilt in verschiedene Kathegorien

Windows NT Basic Services

®File Services, Print Services

File Services

· Dateiname unter NT

· NT Server: NTFS sollte die Wahl sein

· Einrichtung und Verwaltung von Datenträgern (sprich: Festplatte) erfolgt über Festplattenmanager

erweiterte Technologien gegenüber Workstation

Volume Set (Datenträgersatz)

· Kombination von freien Plattenbereichen zu einer logischen Einheit

· auch über Festplattengrenzen hinweg (bis zu 32 Festplatten)

· bereits unter Netware bekannt

· im Manager werden gewünschte Bestandteile mit Maus und gedrückter Strg-Taste ausgewählt

· Partition ®Datenträgersatz erstellen

· minimale und maximale Größe angezeigt ®Größe auswählen

· Formatierung nur NTFS

· Risko: fällt eine Platte aus, so ist kompletter Datenträgersatz unbrauchbar

Stripe Set

· ähnlich Volume Set

· ®freie Speicherbereiche werden zu logischem (!) Datenträger zusammengefaßt

· mind. 2 Festplatten (Hardware) erforderlich

· die Daten werden über die einzelnen Platten hinweg gleichzeitig in einer Reihe von 64kB-Blöcken geschrieben

· I/O-Prozeduren können gleichzeitig abgewickelt werden ®Performance-Erhöhung

· diese Technologie heißt auch RAID0 (®keine Fehlertoleranz)

· Einrichtung (Festplattenmanager):

o mehrere Festplatten markieren (Strg + Maus)

o Partition mit Stripe Set erstellen

o Größen der Partitionen auf einzelnen Festplatten werden angeglichen (evtl. bleiben Reste übrig)

Festplatten 1-4

Stripe Set

· Formatierung: NTFS, (FAT)

Fehlertoleranz-Mechanismen

prinzipielle Möglichkeiten

Platten-Spielgelung

Platten-Doppelung

Stripe Sets mit Parität

USV (unterbrechungsfreie Stromversorgun)

Backup Services

Festplatten-Fehlertoleranz

RAID Redundant Arrays of Inexpensive Disks

entwickelt 1987 von Gibson, Kratz and Patterson (Berkley University of California)

RAID0: entspricht Stripe Set im NT Server (Stripe Set ohne Parität)

RAID1 Plattenspiegelung (Disk Mirroring)

RAID2 Stripe Set, Fehlerkorrekturinformationen werden

hinzugefügt (Redundanz schaffen) ®mehr realer Speicherplatz als bei RAID1 verfügbar, dennoch können viele Fehlerfälle behoben werden

RAID3 wie RAID2, aber Partitionsinformationen (Infos zur Fehlerkorrektur) werden auf extra Festplatte gespeichert

RAID4 wie RAID3, mit größeren Blöcken ®Vorteile bei Gewinnung der Paritätsinformationen

RAID5 Stripe Set mit Paritätsinformationen auf allen Festplatten verteilt;

es wird sichergestellt, daß Datenblöcke und zugehörige

Paritätsinformationen auf getrennten Festplatten des Sets liegen

bei NT Server

RAID1 = Spiegelung

Im Festplattenmanager

o 2 physikalische Festplatten

o zu spiegelnde Bereich auswählen (Maus)

o mit gedrückter Strg-Taste auf freien Bereich einer anderen Festplatte klicken (muß mindestens so groß sein, wie der zu spiegelnde Bereich)

o ®Fehlertoleranz ®Spiegelung einrichten

Vorteil unter NT

· nicht die gesamte Festplatte muß gespiegelt werden ÞTeile möglich ÞFestplatten können unterschiedliche Größe haben

· Þes müssen nicht identische Platten verwendet werden (Vorteil bei Fehlerfallbeseitigung)

Aufhebung der Spiegelung

· Festplattenmanager

· Platte anwählen

· ®Fehlertoleranz ®Spiegelung beenden

· Trennung der Spiegelung hat keine Auswirkungen auf die Daten Þ2 Partitionen mit zu diesem Zeitpunkt gleichen Daten entstehen

RAID5

®Stripe Set mit Parität

· mindestens 3 physikalische Festplatten

· Einrichtung wie Stripe Set, aber ®Fehlertoleranz ®Stripe Set mit Parität erstellen

· ®Redundanz der Datenhaltung wird gegenüber der Spiegelung deutlich reduziert:

Spiegelung: 100% Redundanz

RAID5 mit 3 Festplatten: 33% Redundanz

RAID5 mit 5 Festplatten: 25% Redundanz

Beispiele:

Spiegelung 2 x 10GB = Nutzdaten-Platz: 10GB

RAID5 5 x 4GB = Nutzdaten-Platz: 15GB

Fehlerfall

1 Platte fällt aus

®Weiterbetrieb ist möglich, da fehlende Information aus den Paritätsinformationen (Redundanz) berechnet werden

ÞLesevorgänge werden 4x langsamer

Þ“schnell handeln“; verlorene Daten regenerieren lassen (Festplatten-Manager ®Fehlertoleranz ®Regenerieren) auf unbeteiligte Partition/neue Festplatte

Nutzung der File Services

®gemeinsame Nutzung von Daten durch Freigaben (shares)

Shares sind in Peer-to-Peer-Netzwerken möglich (NT-WS, Win98,...)
auch bei NT Server im Domänen-Umfeld
einem Share können grundlegende Rechte vergeben werden
erweiterte Sicherheit über NTFS-Dateisystem

Þzwei Berechtigungsmethoden

Einrichtung und Verwaltung von Rechten für ein Share
Einrichtung und Verwaltung von Rechten für Verzeichnisse und Dateien auf NTFS-Datenträger

Share einrichten

Kontextmenü zur freizugebenden Ressource
Explorer Angabe der Ressource
Server Manager Vergabe eines Freigabenamens

Eigenschaften

· Freigabe eines Verzeichnisses impliziert die Freigabe aller Unterverzeichnisse

· Vergabe von Rechten auf Share gilt nur für Netzwerkzugriff

· Vergabe von Berechtigungen stark eingeschränkt: kein Zugriff, Lesen, Ändern, Vollzugriff; für jeden Benutzer/Globale Gruppe/Lokale Gruppe verfügbar

Berechtigung erteilen/wiederrufen

Server Manager oder Explorer

®Eigenschaften ®Freigabe ®Berechtigungen

zugelassene Benutzer/Gruppen sind aufgeführt

Berechtigte können hinzugefügt/gelöscht werden; evtl. „Suchen“, falls Benutzer/Gruppe nicht sofort sichbar

Server Manager ®Computer auswählen ®Computer ®Freigegebene Verzeichnisse

®für detailliertes Sicherheitskonzept sind Berechtigungen der Freigabe zu wenig

ÞVerwendung von NTFS-Datenträgern

®Umsetzung eines feineren Sicherheitskonzeptes möglich; beispielsweise können einzelnen Verzeichnissen und Dateien unterschiedliche Rechte erteilt werden; gilt für lokale Benutzer und Netzwerkbenutzer

NTFS-Zugriffsarten

Lesen (R) Anzeige von Dateien/Verzeichnissen, Lesen von Dateien

Schreiben (W) Hinzufügen von Dateien und Verzeichnissen

Ausführen (X) Wechsel in Verzeichnis; Ausführen von Dateien

Löschen (D) Löschen von Dateien/Verzeichnissen

Berechtigungen ändern (P)

Ändern von Berechtigungen für Dateien/Verzeichnisse

Besitz übernehmen (O)

Besitzübernahme von Dateien/Verzeichnissen

Zugriffsarten sind zu Standardberechtigungen zusammengefaßt:

Berechtigung	Verzeichnis	Datei	Bedeutung
Kein Zugriff	-	-	Benutzer darf nicht zugreifen, auch nicht als Mitglied einer zugriffsberechtigten Gruppe
Anzeigen	RX	-	Dateien/Verzeichnisse nur auflisten; Wechsel in Unterverzeichnis
Lesen	RX	RX	Dateien und Verzeichnisse lesen, Anwendungen ausführen
Hinzufügen	WX	-	Dateien dürfen im Verzeichnis angelegt werden; vorhandene Dateien nicht lesen oder ändern
Hinzufügen und Lesen	RWX	RX	Dateien im Verzeichnis anlegen, vorhandene Dateien lesen, Programme ausführen
Ändern	RWXD	RWXD	Dateien und Verzeichnisse lesen, hinzufügen, ändern, löschen, Programme ausführen
Vollzugriff	Alle	Alle	alles ist erlaubt

2001-03-22

Heterogene Netze

Vergabe von Berechtigungen

Objekt (=Datei/Verzeichnis) ®Eigenschaften ®Sicherheit ®Berechtigungen

· bereits vergebene Berechtigungen werden angezeigt

· hinzufügen/entfernen über entsprechende Dialoge

· ändern durch Auswahl von Name und entsprechender Berechtigung (Anzeigen, Lesen,...)

· spezielle Menüpunkte

beschränkter Verzeichniszugriff

beschränkter Dateizugriff

®Zugriffsarten können gezielt manipuliert werden

Vererbung von Berechtigungen

· ein Verzeichnis vergibt standardmäßig seine Berechtigungen an alle Verzeichnisse, die in ihm angelegt werden

· bei Modifikation kann Vererbung angestoßen werden (wählen, ob Änderungen an Unterverzeichnisse weitergegeben werden sollen, und/oder an alle Dateien) (unter UNIX: chmod bzw. chmod –r)

Auswirkungen der Berechtigungen

· erhält Benutzer z.B. über Mitgliedschaft in mehreren Gruppen Berechtigungen, so werden diese summiert

· Ausnahme: „Kein Zugriff“ – annulliert alle anderen Berechtigungen

Kein Zugriff

®schneller Ausschluß eines Benutzers, wenn nicht klar ist, ob irgendwelche Berechtigungen an dem Verzeichnis über Gruppenmitgliedschaften bestehen

®alle sollen auf bestimmtes Verzeichnis zugreifen dürfen, nur die Gruppe „Extern“ nicht

®Berechtigung für „Jeder“ hinzufügen, z.B. Vollzugriff

®Berechtigung für „Extern“ hinzufügen, kein Zugriff

Vorbereitung einer Freigabe

1. Berechtigungen für Verzeichnisse/Dateien einrichten (®NTFS-Dateisystemebene)

2. Freigabe mit entsprechenden Rechten erteilen

®Erzielung optimaler Sicherheit (sonst darf in der Zwischenzeit jeder alles)

Berechtigungen auf NTFS-Ebene und auf Freigabeebene existieren parallel:

®auf Freigabeebene wird maximale Berechtigung definiert

®auf NTFS-Ebene können Einschränkungen definiert werden (NTFS hat „das letzte Wort“)

Beispiel

Freigabe: jeder hat Vollzugriff; Pfad: C:\FuerAlle

(Freigabename: Frei)

NTFS: Hugo hat auf C:\FuerAlle Leserecht

Darf Hugo schreiben in C:\FuerAlle?

®Nein. TFS-Rechte verbieten es!

Darf Hugo schreiben in \\Server\Frei?

®Nein. war erlauben die Rechte auf der Freigabe Frei dem

Benutzer Hugo vollen Zugriff, weil Hugo jeder ist,

aber: auf NTFS-Ebene nur lesen darf

Innerhalb der NTFS-Ebene addieren sich die Rechte (Ausnahme: Kein zugriff). Aber die Rechte der Freigabe-Ebene werden durch NTFS entsprechend eingeschränkt)

ÞFreigabe-Ebene: jeder bekommt Vollzugriff; Rechte dann unter NTFS regeln.

Sicherheitsüberwachung (NTFS)

· Überwachen der Zugriffe auf Objekte inNTFS

®Objekt (Datei/Verzeichnis) Eigenschaften ®Sicherheit ®Überwachung

o für einzelne Benutzer/Gruppen hinzufügen

o für jeden Benutzer/Gruppe kann jede Zugriffsart überwachte werden

Umgang mit Protokollen

Länge, Überschreiben, etc. getrennt für Protokolle System, Sicherheit, Anwendung

®Ereignisanzeige ®Protokoll ®Protokolleinstellungen

o z.B. Protokolle alle 7 Tage überschreiben

o z.B. nie löschen (®ist max. Speicherkapazität errecht, wird Protokollierung eingestellt)

Übernahme von Dateien/Verzeichnissen

· Objekt (=Datei/Verzeichnis) ®Eigenschaften ®Sicherheit ®Besitz

· Besitz einer Datei/Verzeichnis übernehmen

· Besitz ist notwendig, um eine Datei/ein Verzeichnis zu verwalten

· ®Übernahme notwendig, falls Eigentümer z.B. nicht mehr existent ist

· Übernahme nur möglich, sofern Recht erteilt ist

· Übergabe an anderen Benutzer nicht möglich

Verzeichnisreplikationsdienst

· ®Fehlertoleranzfunktionalität

· Verzeichnisse und deren Inhalte werden von einem Server (dem Export-Server) auf andere Server bzw. Arbeitsstationen (Import-Computer) repliziert (=Kopie erzeugen, automatische Aktualisierung (periodisch))

· Þsämtliche Änderungen, die in dem zur Reproduktion gekennzeichneten Verzeichnis stattfinden, werden automatisch auf Import-Computer nachvollzogen

· ®zum Zwecke der Sicherheit einsetzbar (Backup)

· Import eines exportierten Verzeichnisses von mehreren Computern möglich

o zur Lastverteilung: Export-Server wird von Zugriffen entlastet, da Benutzer Daten vom Import Computer abrufen können ÞNetzverkehr wird minimiert (nur bei Bildung von Teilnetzen)

Firmenarchiv

Verzeichnis- Verzeichnis-

replikation replikation

Import Export Import

Verwalter Verkäufer

· lediglich Distribution (Verteilung) von Daten, keine Repliziertechnologie im Sinne von Datenbank-Management-Systemen

· Þnur sinnvoll bei Daten, die von Benutzern gelesen werden

Konfiguration

1. Replikationsdienst einrichten

2. Verzeichnisexport festlegen

3. Verzeichnisimport festlegen

zu 1:

Standarddienst ist installiert

Systemsteuerung ®Dienste ®Verzeichnisreplikationsdienst

Startart: automatisch (also bei Bedarf)

starten

zu 2:

Servermanager ®Export Server anwählen (z.B. CA08)

®Eigenschaften ®Replikation

gewünschtes Exportverzeichnis wählen

Optionen: rekursiv ®mit Unterverzeichnissen

stabilisieren ®Export findet erst statt, wenn dateien im

entsprechenden Verzeichnis mehr als zwei Minuten nicht verändert wurden

zu-Liste

Standard: keine Einträge

ÞReproduktion erfolgt nur in der lokalen Domäne

Zieldomänen bzw. Computer können hinzugefügt werden; der

Standard (lokale Domäne) geht verloren und muß bei Bedarf

hinzugefügt werden

Server „Server“ in Domäne „CA“ exportiert D:\PROGRAMME

Exportverzeichnis: D:\PROGRAMME

zu-Liste

zu 3:

auf Ziel-Computer (Import-Computer)

... wie Export, aber:

Importieren

D:\Temp

von-Liste

Viel Spaß beim Durchsteigen! J

2001-03-23

Heterogene Netze

Exportieren von Verzeichnissen

Beispiel: von CA25 nach CA26 exportieren:

auf CA25 gehen:

Export:

D:\Programm

zu Liste: CA26

Import:

- (Eintrag uninteressant)

auf CA26:

Export:

- (Eintrag uninteressant)

Import:

D:\Temp

von Liste: CA25

Importieren

Pfad: Wohin sollen die replizierten Daten?

VonListe: von welchem Export-Server?

Verwalten: die vom Export-Server zur Verfügung gestellten

Unterverzeichnisse werden angezeigt (dauert in der Regel

etwas)

Sperre hinzufügen Import wird gesperrt, keine Aktualisierung findet statt

Status: OK ®Unterverzeichnis erhält regelmäßig Aktualisierungen

vom Export-Server, importierte Daten sind aktuell

kein Original ®Verzeichnis erhält keine Aktualisierung

(z.B. Export-Server aus; aktive Sperre auf Export-Server, o.ä.)

Keine Synchronisation ®Verzeichnis hat Aktualisierung erhalten, ist aber nicht vollständig aktuell (fehlerhafte Kommunikation, geöffnete Datei, ...)

Kein Eintrag ®Verzeichnis wurde nicht repliziert (fehlerhafte Konfiguration)

jeder Dienst muß sich gegenüber dem System ausweisen können ®welche Rechte hat er bespielsweise auf dem Dateisystem?

Systemsteuerung ®Dienste ®Verzeichnisreplikation ®Startart

Anmelden als

DiesesKonto

CAAdmin

Kennwort *****

®Dienst (hier: Verzeichnisreplikation) arbeitet mit den rechten des Benutzers „CAAdmin“ im System

Print Services

Bereitstellung und Nutzung von Druckdiensten

Hilfsmittel von NT Server für Print Services

· Erstellung von logischen Druckern mit entsprechenden Treibern

· Bereitstellen eines Druckers für das Netzwerk

· Anbindung an bestehende Netzwerkdrucker

· Verwaltung der Druckereigenschaften (z.B. Treiber und Ports)

· Überprüfung des Status eines Druckers

· Einrichtung eines Berechtigungskonzepts für einzelne Drucker

· Steuerung und ggf. Umleitung von Druckaufträgen

· Fernverwaltung von Druckern im Netzwerk

NT unterscheidet zwischen zwei Druckertypen

· physikalischer Drucker (konkretes Endgerät, das am Computer angeschlossen ist)

o ®lokaler Drucker (wird z.B. an Workstation/Server angeschlossen

o ®entfernter Drucker (wird „direkt“ an das Netzwerk angeschlossen

· logischer Drucker (Objekt dews Betriebssystems, das zu Steuerung von Druckaufträgen verwendet wird (UNIX/Netware: Druckerwarteschlange))

Einrichtung neuer Drucker

Startmenü ®... ®Drucker ®Neuer Drucker

Unterscheidung:

a) Arbeitsplatz

komplette Einrichtung: Treiber, Ports, ...

b) Druck-Server im Netzwerk

Auswahl eines Druckers aus dem Netzwerk; nur Vergabe eines lokalen namens (öfter auch Treiber)

Konfiguation des Druckers

... ®Drucker ®Eigenschaften (zu gewünschem Drucker)

Allgemein:

· allgemeine Informationen zum Drucker

· Informationen zu verwendetem Treiber, Wechsel möglich

· Testseite drucken

· ...

Anschlüsse:

· Anbindung eines physikalischen Druckers über eine Schnittstelle, z.B. LPT1 – aber auch: TCP/IP-„Anschluß“ (Adresse eines Druckers im Netz)

Zeitplanung der Druckaufträge:

· Konfiguration von Verfügbarkeit und Priorität

Sicherheit

· Berechtigungen, Überwachung, Besitzer

Berechtigungen

· Liste der berechtigten Benutzer/Gruppen mit entsprechenden Zugriffsrechten werden festgelegt

Zugriffsrechte:

Kein Zugriff

Drucken Drucker darf nur zu Ausgabe verwendet

werden

Dokumente verwalten Druckaufträge abbrechen, anhalten, löschen,

usw.

Vollzugriff alles

über besondere Gruppe „Ersteller-Besitzer“ mit Zuordnung des Rechts „Dokumente verwalten“ wird erreicht, daß jeder seine eigenen Dokumente verwalten kann (löschen, anhalten, ...)

Überwachung

· ÞÜberwachung der Druckerverwaltung

· für festgelegte Benutzer/Gruppen werden festgelegte Ereignisse überwacht und entsprechende Einträge in Sicherheitsprotokoll angelegt

Besitzer

· Übernahme des Besitzes des Druckers

· Besitzer haben erweiterte Rechte

· nur für autorisierte Anwender (Richtlinien für Benutzer)

Geräteeinstellungen

· druckerspezifische Konfiguration

Drucker-Pool

logischer Drucker

· Ansammlung von mehreren gleichen (!) physikalischen Druckern

· Steuerung über einen logischen Drucker (eine Warteschlante)

· Þder Anwender sieht nur logischen Drucker

· ®Arbeitsteilung (Durchsatz wird erhöht)

· ®Schutz gegen Ausfall

Nachteil: nur ein Druckertreiber wird verwendet Þidentische Drucker zwingend notwendig

Einrichtung eines Pools

1. logischen Drucker einrichten (...®Neuer Drucker)

2. Eigenschaften (RMT) zum logischen Drucker ®Anschlüsse ®Druckerpool aktivieren; Anschlüsse für zusätzliche Drucker im Pool aktivieren, z.B. lpt2, lpt3,...

Druckerkategorisierung

LPT1

logischer Drucker ‚Umschlag’

logischer Drucker „langsam“

· einem physikalischen Drucker werden mehrere logische Drucker zu unterschiedlichen Zwecken zugeordnet, z.B.

o Priorisierung: Schnell-Warteschlange, Langsam-Warteschlange

o Tag-/Nacht-Druck

o Unterschiedliche Konfiguration: A3/A4, blaues/weißes Papier, ...

Einrichtung:

1. logischer Drucker einrichten (...®logischer Drucker) (n-mal) (Anschluß bei allen logischen Druckern gleich einstellen (z.B. LPT1))

2. „Zeitplanung der Druckaufträge“ ®die einzelnen logischen Drucker unterschiedlich priorisieren

Druck-Server-Konfiguration

Start ®Einstellungen ®Drucker ®Menü „Datei“ ®Server-Eigenschaften

o allgeimeinen Einstellungen für Druck-Server: Formular (Papierformate), Anschlüsse, ...

o Optionen:

· Pfad zu Druckerwarteschlange

· Konfiguration der Protokollierung

· Warnverhalten

Serverarten

File Server stellt Daten in Form von Dateien zur Verfügung (Briefe,

Programme, Dokumente,...) ®„ausgelagerte Festplatte“

angeforderte Datei wird auf dem File Server herausgesucht, über die Netzwerkverbindung in de Clienten geladen und dort ausgeführt

Anwendungs-Server

Anwendung arbeitet nach Client-Server-Modell

Client gibt Anweisung an Server

Server bearbeitet Anweisung unter Verwendung der CPU der technischen Einrichtung, auf der er installiert ist

Ergebnis der Anweisung wird Clienten zur Verfügung gestellt

ÞEntlastung der CPU des Clienten; Entlastung des Netzwerktransfers

Druck-Server Server übernimmt Druckaufträge

Client erteilt Druckaufträge

X Server Server sind Programme (Prozesse), die die

entsprechenden Aufgaben (Dienste) erbringen

(Diensterbringer)

Clienten sind Programme (Prozesse), die die entsprechenden Dienste in Anspruch nehmen (Dienstanforderer)

eine technische Einrichtung (Computer) kann mehrere Server ausführen (je nach Betriebssystem), z.B. File Server, Druck-Server, FTP-Server, WWW-Server, Telnet-Server, rwho-Server, finger-Server, ping-Server, SQL-Server,...)

2001-03-26

Heterogene Netze

Networking

· NT Server (und Workstation) verfügen über umfassende Netzwerkfunktionalitäten

· Microsoft Haus-Technologien: Netbios, NetBEUI, Domänenkonzept

· fremde Konzepte sind integriert:

TCP/IP-Funktionalität (und Dienste)

IPX/SPX (NovellNetware 3.x, 4.x)

AppleTalk (Apple Filing Services)

Netzwerkkonfiguration

Konfiguration erfolgt über das Symbol Netzwerk der Systemsteuerung (alternativ: Eigenschaften zur Netzwerkumgebung)

Identifikation

Computername: (NetBIOS-Name, 15 Zeichen)

eindeutig in Arbeitsgruppe/Domäne

Arbeitsgruppe/Domäne Zusammenfassung von Computern nach

bestimmten Konzepten

Dienste

· Liste der installierten Dienste wird angezeigt

· hinzufügen/entfernen: Dienste ergänzen bzw. löschen

· Eigenschaften: Konfiguration der Dienste; nicht jeder Dienst ist konfigurierbar

· Dienst = Systemkomponente, die im Kernel-Mode (privilegierte Ausführung) ausgeführt wird

· wichtige Dienste:

o Arbeitsstationsdienst: Client-Funktion des Netzwerks =

Software mit der Verbindung zum Server aufgenommen wird (SMB-Client für Datei- und Druckdienste) Basis für Einsatz von WinNT im Netzwerk

o Gateway Services Basis für Verbindung von NT Server

für Netware mit NovellNetware (Client zur

Anmeldung an Netware; Gateway zur

Bereitstellung von Novell-Diensten für

Windows-Benutzer

bei NTWorkstation: Client Service für

Netware

o DHCP Relay Agent DHCP-Anfragen können empfangen

und gezielt an DHCP-Server weiterleiten

o DHCP Server Vereinfachung der Konfiguration von

IP Clients (IP-Adressen und Konfigurationsinformationen werden zentral bereitgestellt)

o einfache TCP/IP-Dienste grundlegende Dienste aus dem

TCP/IP-Bereich: finger, ping, ftp, telnet,...

o DNS Server Dienst zur Zuordnung von Internet-

Namen zu IP-Adressen (Domain Name Server)

o Internet Information Server-Funktion für Dienste http

Server (Web), Gopher, FTP (bei

NTWorkstation: Microsoft Peer Web Services; ein wenig abgemagert)

o TCP/IP-Druckdienste Zugriff auf TCP/IP-Netzwerkdrucker

(BDS-Spooling) (®Erweiterung der Registerkarte „Anschlüsse“ bei Druckerkonfiguration)

o NetBIOS-Schnittstelle Basis der Netzwerkfunktionalität im

Microsoft-Umfeld (Kommunikation in verteilten Umgebungen)

o Netzwerkmonitoragent zur Kommunikation mit Microsoft

Netzwerkmonitorpro- Systems Management Server

gramme Überwachung entfernter

Netzwerksegmente

o RAS-Dienstag Remote Access Service

Basis für die Kommunikation im WAN (z.B. Verbindung ins Internet)

o RIP für das Internet- Routing Information Protocol

protokoll dynamisches Routen/selbständiges

lernen von Adressen/®NT Server als Router (in kleinen Netzen) einsetzbar

o RIP für NetwareLink IPX IPX Router

o Server-Dienst Unterstützung für das SMB-Protokoll

(Server Message Block); Bereitstellung der Server-Funktionen im Netzwerk

o Services for MacIntosh Apple Clients können auf NT Server

zugreifen (Datei- und Druckdienste für Apple MacIntosh)

o SNMP-Dienste Simple Network Management Protocol

liefert Management Information an SNMP-Programmme

o WINS-Dienst Windows Internet Name Service

Zuordnung von NetBIOS-Namen auf IP-Adressen

Protokolle

Registerkarte „Protokolle“ zum Hinzufügen, Entfernen, und Konfigurieren von Übertragungsprotokollen

AppleTalk Unterstützung für das AppleTalk-Protokoll, z.B.

Zugriff auf entsprechende Drucker bzw. MacOS-

Rechner

DLC-Protokoll Dynamic Link Control (IBM-Welt)

NT mit IBM-Mainframes verbinden bzw. mit

entsprechenden Druckern

NetBEUI NetBIOS Extended User Interface – früher

Standardübertragungsprotokoll in Microsoft-

Umgebungen; nur noch in sehr kleinen

Umgebungen eingesetzt

NetwareLink IPX/SPX

Standardprotokoll für Integration von NT in Novell-

Umgebung; kaum Konfigurationsaufwand,

leistungsfähiger als NetBEUI Þvielfach auch im

Microsoft-Umfeld eingesetzt

[verschiedene Rahmentypen verfügbar; Sender und

Empfänger müssen gleichen Rahmentyp

verwenden – möglichst keine automatische

Erkennung einstellen, da es zu Fehlfunktionen

kommen kann]

PPTP Point-to-Point-Tunneling Protocol

Datenverkehr über IP-Verbindung in verschlüsselter

Form ®Internet als Trägermedium für eine

Verbindung

TCP/IP Standard-Protokoll für heterogene Umgebungen

(relativ komplex, setzt hohes Maß an zentraler

Administration voraus, zentrale Serverdienste

notwendig)

Netzwerkkarte

· Einrichtung von Netzwerkadaptern (hinzufügen, löschen und entfernen)

· auch ISDN-Adapter

Bindungen

· Auflistung der (Ver-)Bindungen: Dienst « Protokoll « Netzwerkadapter

· gezielte Deaktivierung (und Reaktivierung) möglich

· Steuerung der Reihenfolge:

o werden mehrere Protokolle verwendet, so sollte das Standardprotokoll an der obersten Stelle stehen ®schnellerer Verbindungsaufbau

o Modifikation: Schaltflächen „nach oben“ / „nach unten“

Nach Änderung der Netzwerkkonfiguration ist i.d.R. ein Neustart des Computers notwendig

Profile

· jeder Benutzer hat sein eigenes Profil

· Benutzerprofil wird im Unterverzeichnis gespeichert, Name des Verzeichnisses entspricht Benutzernamen

%Systemroot%\Profiles (meist: C:\WinNT\Profiles)

· zwei besondere Verzeichnisse

All Users Einstellungen für alle Benutzer; werden

automatisch in spezifische Profile übernommen

Default User Einstellungen für einen Benutzer bei erste

Anmeldung

· neben Verzeichnisstruktur (repräsentiert Startmenü und Desktop) existiert speizielle Datei: ntuser.dat ®enthält Registrierungseinstellungen für den jeweiligen Benutzer

Arten von Profilen

Systemstandard

o steuert z.B. Aussehen des Bildschrims (Farbe, Hintergrund,...), Länder- und Tastatureinstellungen, wenn noch kein Benutzer angemeldet ist ...\Profiles\Allusers

Benutzerstandard

o wird verwendet, wenn sich Benutzer das erste mal anmeldet und kein Server-basierendes Profil vorhanden ist ...\Profiles\Defaultuser

Lokales Profil

o wird auf lokalem Windows NT Computer gespeichert, benutzerspezifisch ...\Profiles\<Benutzer>

Server-basierendes Profil

o enthält gleiche Informationen wie lokales Profil

o ist auf Server definiert (sprich: abgespeichert)

o bei Anmeldung an Domäne wird dieses Profil verwendet

o lokales Profil wird nicht verwendet; nur falls kein server-basierendes Profil existiert, wird es verwendet

o Þgleiche Arbeitsumgebung, egal an welchem Computer der Domäne die Anmeldung erfolgt

o Unterscheidung:

· verbindliche Profile

· können vom Benutzer nicht verändert werden

· alle Änderungen verfallen nach der Arbeitssitzung

· die Dateien von verbindlichen Profilen tragen die Endung .MAN )ntuser.dat ®ntuser.man)

· persönliche Profile

· Änderungen können beliebig vorgenommen werden

Benutzerprofile können nicht einfach kopiert werden!

Systemsteuerung ®System ®Benutzerprofile ®Kopien (i.d.R. nicht notwendig, da nicht vorhandene Profile automatisch erzeugt werden)

Server-basierendes Profil einrichten

Benutzermanager ®<Benutzer> ®Doppelklick ®Profil

Pfad für Benutzerprofil

z.B. \\Server\Daten\globaleProfile\hugo

· bei nächster Anmeldung wird Profil aus diesem Verzeichnis verwendet

· ®für Benutzer ist in Systemsteuerung ®System ®Benutzerprofil Eintrag angelegt (z.B. ändern in lokales Profil)

Problem:

auf der Arbeitsoberfläche können Objekte abgelegt werden, nicht nur Verknüpfungen (®Speicherproblem)

Objekte auf Arbeitsfläche werden im Profil gespeichert Þhoher Datentransfer zwischen Workstation und Server Þnur mit Verknüpfungen arbeiten

Basisverzeichnis

· ®Arbeitsverzeichnis für Benutzer, home directory

· zum Abspeichern persönlicher Daten

· wird als Standard für die Dialoge „Datei öffnen...“ und „Datei speichern unter...“ verwendet

· jeder benötigt ein Basisverzeichnis; sollte auf Server liegen, damit von „überall“ zugegriffen werden kann

· Benutzer erhält i.d.R. Vollzugriff auf dieses Verzeichnis; sonst niemand (ÞBenutzer kann anderen Benutzern Rechte an seinen Dateien vergeben)

· Festelegen des Basisverzeichnis im Benutzermanager ®<Benutzer> ®Profil

Basisverzeichnis:

Verbinden mit Z mit \\Server\Daten\Heimat\<Benutzer>

1. Basisverzeichnis einrichten, z.B. \\Server\Daten\Heimat\Hugo

2. Zugriffsrechte auf „Hugo“ vergeben

3. Basisverzeichnis im Benutzermanager einstellen

Anmeldeprogramme

· ®Definition von Benutzerumgebungen (z.B. für DOS, DOS/Win 3.x)

· Einsatzgebiete:

· Herstellung von Verbindungen zu Netzwerklaufwerken

· automatisches Starten von Anwendungen

· z.B. beliebige Batch-Programme (*.bat), ausführbare Programme (*.exe)

· spezielle Variable stehen zur Verfügung

· gewünschtes Anmeldeprogramm entwerfen, in Datei speichern, z.B. anmeldung.bat

· Benutzermanager ®<Benutzer> ®Profil ®Anmeldeskriptname: anmeldung.bat

· Wo muß (sollte) Datei abgespeichert werden?

...\WinNT\System32\Repl\Import\Scripts\...

(auf Anmelde-Server)

obiger Pfad ist unter der Freigabe NETLOGON auf jedem Anmelde-Server verfügbar (jeder, Leserecht)

Zentrale Vorgabe des Standardprofils

· Standardprofil (Default User) entsprechend anpassen, in Freigabe NETLOGON kopieren

· Þwird bei Anmeldung „Default User“ in NETLOGON gefunden, so wird lokales „Default User“ ignoriert

Systemrichtlinien

· Definition auf NT Server mit Systemrichtlinien-Editor

· Definition von Konfigurationseinstellungen/Elemente der Oberfläche für Win95/NTWorkstation

o computerbezogene Einstellungen

o Benutzer- und gruppenbezogene Einstellungen

· Einstellungen werden in Datei gespeichert (Richtliniendatei); bei Anmeldung vom Netzwerk wird diese vom Server geladen und überschreibt die Einstellungen in der Registrierung

· Bereiche der Richtliniendatei:

o Standardbenutzer

o Benutzer

o (globale) Gruppe

o Standard Computer

o Computer Akademie

· sollen Richtlinien für alle Benutzer gelten, so wird Standardbenutzer verwendet: Gefahr ®Einstellungen gelten auch für Administrator!

· Einstellungen für Standardbenutzer können durch Gruppen überschrieben werden (Reihenfolge: Optionen ®Gruppenpriorität)

· Abspeichern der Richtlinie in NTCONFIG.POL auf dem PDC in der Freigabe NETLOGON (Replikat in alle Backup Domain Controller notwendig)

Beispiel:

Benutzer Hugo soll Zugriffsbeschränkungen auf Shell erhalten

1. Pol Edit starten

2. Benutzer Hugo hinzufügen Bearbeiten ®Benutzer hinzufügen ®Durchsuchen

3. Doppelklick auf Hugo

Gegenteil vom Eintrag wird erzwungen

Eintrag wird erzwungen

Eintrag wird in lokaler Registrierung nicht überschrieben; Eintrag wird entsprechend der lokalen Registrierung verwendet

2001-03-27

Heterogene Netze

Systemsteuerung

Server

Überwachung des Geschehens auf dem Server

· Sitzungen

· Dateisperren Übersicht über aktuelle Aktivitäten

· offene Dateien

· offene Named Pipes

Benutzer: Liste der mit dem Server verbundenen Benutzer und von

ihm genutzte Ressourcen.

Trennung möglich, aber Client versucht, die Verbindung

automatisch wieder aufzubauen (nicht erfolgreich, wenn Sperren eingerichtet wurden)

Warnungen: Benutzer und Gruppen können angegeben werden, an die

administrative Warnmeldungen (z.B. Sicherheits- und

Zugriffsprobleme, USV-Dienst (=UPS),...) gesendet

werden funktioniert nur mit eingeschalteten Warndienst

auf dem Server und eingeschaltetem Nachrichtendienst

auf Empfänger und Sender (Systemsteuerung ®Dienste)

Freigabe: Übersicht aller Freigaben auf Server (Freigabename, Pfad

zur Ressource, Zahl der Benutzungen; Trennen möglich)

In Benutzung:

welche Ressourcen sind geöffnet, zu welchem Zweck,

„Ressourcen schließen“ führt i.d.R zum Datenverlust

Replikation: ist bekannt

Lizenzierung

verwaltet Server-Lizenzen (z.B. Erhöhung der Anzahl der Lizenzen)

siehe auch Verwaltung/Lizenzmanager

TCP/IP im Windows NT Server-Umfeld

®Verbindung mit UNIX-System erfolgt i.d.R über TCP/IP

verschiedene Konzepte:

1. Verwendung von TCP/IP Utilities

i.d.R. bestehen Utilities aus Client-Teil (z.B. ftp) und Server-Teil (ftpd)

in Windows NT meist nur Client-Teil realisiert

ÞNT kann mit den meisten standardisierten Anwendungen auf andere Rechner (im allgemeinen UNIX) zugreifen:

finger, ftp, telnet, lpr, rcp , rexec, rsh (verfügbar über DOS-Kommandoeingabe)

Dienstprogramme für administrative Aufgaben:

hostname, ipconfig, lpq, nbtstat, netstat, ping, route

2. X-Windows

keine direkte Unterstützung

ÞX-Server muß als Extraprodukt erworben werden

3. Netware File System (NFS)

®gemeinsame Nutzung von Datei-Systemen nach NFS-Standard

®Extraprodukt, teilweise Client-Lösung (Import von UNIX-Dateisystemen) manchmal auch Client/Server-Lösung (Export zu UNIX möglich)

4. SAMBA für UNIX

®freie Variante eines SMB Servers

ÞUNIX kann als Datei-/Druck-Server für Windows-Umgebungen dienen

TCP/IP bei Windows NT

· TCP/IP für heterogene Netze, große Netze oder Verbindungen zum Internet

· auch in reinen Microsoft-Netzen einsetzbar: NT Server, NT Workstation, Win95/98, DOS, DOS/Win 3.x

· Unterstützung von DHCP/WINS auch bei Client für DOS/Win3.x

· Clients für DOS/Win3.x verfügbar (NT Server-CD: \Clients) (auch: Verwaltung/Netzwerk-Client-Manager)

Einrichtung und Konfiguration

1. TCP/IP-Protokoll hinzufügen (Netzwerk ®Protokoll)

2. gewünschte Dienste hinzufügen (Netzwerk ®Dienste) SNMP, TCP/IP-Druckdienste, einfache TCP/IP-Dienste, DHCP-Server, WINS-Server, DNS-Server, RIP für Internet Protocol, Internet Information Server

Konfiguration

Netzwerk ®Protokolle ®TCP/IP ®Eigenschaften

IP-Adresse:

· festlegen von IP-Adresse, Subnet Mask und Standard Gateway für jeden verwendeten Netzwerkcontroller

· oder automatisch beziehen (von DHCP-Server)

· Optionen

o weitere Informationen zur Adressierung definieren, z.B. weitere IP-Adressen für Adapter zuweisen ®nützlich für virtuelle Server beim Internet Information Server

o Festlegung weiterer Gateway-Adressen (Router) ®Reihenfolge steuern

o PPTP-Filterung: über ausgewählten Adapter können nur IP-Pakete im PPTP-Format empfangen werden ®Sicherheit

o Sicherheit aktivieren: weitere Einschränkungen für den Zugriff definieren: TCP-Ports, UDP-Ports, IP-Protokolle (entweder alle zulassen oder gewünschte Dienste (=Nummern) eintragen ®erlaubt); Nummern siehe entsprechende RFCs oder %systemroot%\system32\drivers\etc\protocols oder servies (UNIX: /etc/)

DNS:

· Einstellungen für Domain Name Server (Namensauflösung)

· Host-Name: Name des Computers (nomalerweise wird Windows-Computer-Name verwendet)

· Domänenname: Name der Domäne im Internet ¹ NT Server Domain!!

· werden i.d.R. zentral vergeben

· Suchreihenfolge: Angabe des/der DNS-Server (ID-Adresse) und deren Reihenfolge (bis zu 3 Stück)

· Suchreihenfolge für Domain-Suffix:

o Þnotwendig, weil Microsoft nicht mit Internet-Namen arbeitet

o bis zu 6 Domänennamen festlegen, die weden der Reihen nach an Hostnamen angehängt, so daß Host gefunden werden kann ®zur Auflistung von NetBIOS-Namen (Windows-Name)

WINS-Adresse

· zwei WINS-Server definierbar (IP-Adresse) ®zur Auflösung von NetBIOS-Namen in IP-Adressen

DSN aktivieren: Auflösung erfolgt durch DNS, entsprechende Server werden abgefragt (entsprechende Domänen-Suffixe werden vorher hinzugefügt) LMHOSTS Abfrage aktivieren: angegebene Datei wird zur Abbildung von NetBIOS-Namen auf IP-Adressen verwendet (ähnlich HOSTS-Datei in UNIX)

Beispieldatei mit Erklärung:

...\system32\drivers\etc\lmhosts.sam (sam ®sample)

BootPRelay

· Hilfsmittel für DHCP/BOOTP-Benutzung

· zur Benutzung von DHCP-Server werden Broadcasts verwendet (Broadcast = Rundsendung, an alle)

· Broadcasts werden normalerweise nicht über Router weitergegeben

Þbefinden sich DHCP-Server und DHCP-Clinet i verschiedenen Teilnetzen, so ist keine Kommunkatin möglich

Lösung:

a) alle bzw. DHCP-Broadcast auf Router freischalten ÞBelastung steigt im Netzwerk (hebt Teilnetzbildung teilweise auf)

b) BootPRelay (®Zwischenstation) kommen DHCP/BootP-Broadcasts an, so werden diese zielgerichtet an den angegebenen DHCP-Server im anderen Subnetz weitergeleitet

Routing

soll das System als Router arbeiten?

(Weiterleitung aktivieren)

Weiterleitung deaktivieren

nur bei „multi-homed-System (=Computer hat Zugang zu mehreren Netzwerken)

Kontaktaufnahme mit UNIX-Rechnern unter Verwendung einfacher TCP/IP-Dienstprogramme:

ping, ftp, telnet, finger

WindowsNT:> ping 192.168.0.77 geht „immer“

WindowsNT:> ping ca77 funktioniert nur,

wenn ca 77 bekannt

a) DNS-Server ist verfügbar oder

b) Eintrag in ...\etc\hosts vorhanden

®jede TCP/IP-Implementierung verfügt über \etc\hosts

(®statische Zuordnung von IP-Adresse zu Hostname)

Speicherort von „Hosts“ ist in NT in der Registry festgelegt:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\DatabasePath

normalerweise:

...\system32\drivers\etc\hosts

einfache TCP/IP-Clients arbeiten unter NT wie in UNIX gewohnt:

ping ca77

telnet ca77

ftp¿

> open ca77

> user...

finger @192.168.0.77

DHCP

Dynamic Host Configuration Protocol

· Client holt sich beim Booten eine IP-Adresse mit weiteren Konfigurationsinformationen

· von Microsoft entwickelt, als allgemeiner Standard akzeptiert

· Client verfügt über keine Konfigurationsinformationen für IP

· beim Start: Sendung einer Mitteilung; Erhalt der Konfigurationsinformation

o Sendung eines Broadcast über Netzwerk, da auch DHCP-Server unbekannt ist

o mit Anfrage wird Host-Name und MAC-Adresse (physikalische Adresse der Netzkarte) mitgeliefert

o DHCP-Server empfängt obige Anfrage, antwortet mit Offerte (Konfiguration wäre möglich)

o antwortet kein DHCP-Server: Client versucht es erneut (3 Versuche); dann im Rhythmus von 5 Minuten