2008, Microsoft Österreich GmbH Seite 1

Transkript

1 2008, Microsoft Österreich GmbH Seite 1

2 Managing Microsoft School Infrastructures 2008 Advanced Version 1, im Jänner 2009 Microsoft Österreich GmbH Am Euro Platz Wien Dieses Werk ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der Microsoft Österreich GmbH unzulässig und strafbar. Das gilt insbesondere für kommerzielle Nutzung dieses Skriptums. 2008, Microsoft Österreich GmbH Seite 2

3 Vorwort Bildung ist entscheidend für soziales und wirtschaftliches Wohlergehen aller Menschen. Die wechselnden Anforderungen der globalen Wirtschaft fordern gut ausgebildete, kreative und ausreichend flexible Menschen, die ihre zahllosen Chancen wahrnehmen können. 1 Unsere Vision der Bildung bietet allen Teilnehmern, unabhängig von Alter und Lebensabschnitt, unabhängig von Zeit und Ort, die Möglichkeiten, die sie suchen und brauchen: Lehren und Lernen im Geflecht von verteilter Information und vernetzter Zusammenarbeit, lernerzentriert und auf deren Fähigkeiten und Potentiale für die Zukunft fokussiert. Lehrer wollen nicht Fertigkeiten für heute vermitteln, sie wollen Kompetenzen und Fähigkeiten ihrer Schüler entwickeln, damit sie die morgen geforderten Fertigkeiten selbst erwerben und entwickeln können. Die Vielschichtigkeit der künftigen Herausforderungen formulieren die Anforderungen an Bildung heute. Wir sind der Überzeugung, dass IT ein wichtiger Faktor ist, nachhaltige soziale und wirtschaftliche Chancen wahrzunehmen. Unsere Vision umfasst eine qualitätsvolle Bildung die den Einsatz von innovativen Technologien ermöglicht und unterstützt Der eigentliche Ort des Geschehens sind unsere Schulen im Wandel. Hier werden Kustoden und IT-Verantwortliche gefordert, die technischen Rahmenbedingungen der Schule der Zukunft herzustellen. Das hohe Tempo der Erneuerungen und die zunehmende Zahl von Systemen erhöhen die Anforderungen an die IT Erhalter. Um die Schulnetzwerke konfigurieren und administrieren zu können, haben wir auch einfache Step-by-Step Anleitungen für die wichtigsten Prozesse erstellt. Mehr als Downloads im vergangenen Jahr beweisen, die Qualität und den Nutzen dieser Dokumente. Zu den praktischen Anleitungen kommt hiermit noch das notwendige Basiswissen über Netzwerk- und Servertechnologien in Form des MMSI (Managing Microsoft School Infrastructure) Skriptum mit eigenem Übungs- und Labteil. Download: Die vorliegenden Unterlagen sind in erster Linie zum Selbststudium gedacht und wie die Step-by-Step-Anleitungen unter obigem Link frei verfügbar. Darüber hinaus bietet die IT in der Bildung GmbH bundesweite MMSI-Schulungen an, sowie weitere Prüfungen zum Erwerb von Microsoft Zertifikaten. Für die Erstellung und die laufende Arbeit an diesem Dokument möchte ich den vielen Mitwirkenden für die engagierte und professionelle Arbeit danken: den Autoren Georg Steingruber (HAK Grazbachgasse, Graz), Thomas Hauser (Microsoft Österreich), Robert Beron (HTL Wr. Neustadt), Franz Furtschegger (BG Mössingerstrasse, Klagenfurt) und Otmar Haring (PH-OÖ), sowie MR Dr. Christian Dorninger und Dr. Ernst Karner für die langjährige, engagierte und gute Zusammenarbeit. Und besonders ihnen, lieber Leser, möchte ich danken, denn sie halten ein Exemplar des MMSI 2008 in Händen, um ihre Schule zu verbessern und einen Schritt weiterzuführen, nämlich einen der vielen Schritte hin zur Schule des 21. Jahrhunderts. Andreas Exner, MBA Education Manager, Microsoft Österreich GmbH Wien, Jänner A New World of Learning, Microsoft s Vision for Enabling a Quality Education for Everyone; A Microsoft White Paper; July , Microsoft Österreich GmbH Seite 3

4 Inhaltsverzeichnis 1 Was Sie erwarten dürfen Überblick Definition Vorausgesetzte Kenntnisse Konventionen Gedanken zum Thema Sicherheit Planung Überblick Definition Aufbau und Planung Standardkonfiguration für die Schule Allgemein Konfiguration IP-Adressen-Schema Domänencontroller Netzwerklayout Installation Überblick Definition Vorüberlegungen Allgemeines Hardware-Voraussetzungen Angenommene Mindestkonfiguration Hardware-Kompatibilität Wahl der Betriebssystem-Edition Wahl des Lizenzmodells Wahl des Dateisystems Dateisystem-Kompatibilität Anwendungsszenarios Spezielle Hardwaretreiber für die Installation Partitionierung Dynamische Datenträger Partitionierung für den Schulbetrieb Aktivierung der Serverlizenz Lokale Benutzerverwaltung und in einer Arbeitsgruppe Überblick Definition für lokale Benutzerverwaltung Die Benutzerverwaltung in einer Arbeitsgruppe Standardgruppen in Windows Server Benutzer einer Arbeitsgruppe manuell anlegen , Microsoft Österreich GmbH Seite 4

5 4.2.3 Eine lokale Gruppe manuell anlegen Routing und RAS (Remote Access Service) Allgemeines Die Routingschnittstelle Die Routingtabelle Benutzerverwaltung in einer Domäne Planung des Active Directorys Domänenfunktionsebene Anlegen eines Benutzers im Active Directory Manuelle Anlage eines Benutzerkontos im Active Directory Benutzerprofile Gruppenverwaltung im Active Directory Gruppenbereiche Gruppentypen Änderung des Gruppenbereichs Planen einer Gruppenstrategie Verschachteln von Gruppen und Vergabe der Berechtigungen Benennungskonvention für Gruppen Manuelles Anlegen am Beispiel einer globalen Gruppe Delegieren von Verwaltungsaufgaben Sicherheitsrichtlinien Allgemeines Bearbeiten von Sicherheitsrichtlinien Gruppenrichtlinien Allgemeines Neuerungen in Windows Server Neue Gruppenrichtlinien in Windows Server Reihenfolge der Abarbeitung von Gruppenrichtlinien Gruppenrichtlinienverwaltung mit der GPMC (Group Policy Management Console) Aufbau einer Gruppenrichtlinie Remoteserver-Verwaltungstool für Windows Vista Verwaltung von Office 2007 mit Gruppenrichtlinien Gruppenrichtlinien-Modellierung Datei-Ressourcen-Management Überblick Definition NTFS-Berechtigungen Vergabe von Berechtigungen an Gruppen des Active Directorys Freigabe einer Ressource Berechtigungen , Microsoft Österreich GmbH Seite 5

6 7.3.1 Manuelle Freigabe eines Ordners Entfernen einer Freigabe Verbinden von Netzlaufwerken via Start Script im Active Directory Freigaben im Active Directory Spezielle Freigaben Freigaben verwalten Schattenkopien Aktivierung der Schattenkopien Zugriff auf Schattenkopien vom Client aus Ressourcen-Manager für Dateiserver Kontingentmanagement von Netzwerk-Ressourcen Überwachung der Speicherungen auf Netzwerk-Ressourcen File Screening Erstellung von Berichten über die Festplattenbenutzung von Benutzern Distributed File System Grundlagen zu DFS DFS-Replikation Resümee für ein modernes Dateimanagement Drucken Druckserver Überblick Definition Allgemeine Begriffsdefinition Druckvorgang allgemein Vorüberlegungen Lokaler Drucker vs. Netzwerkdrucker Installation mittels Server-Manager Installation eines Netzwerksdruckers via Assistent Installation eines lokalen Druckers via Assistent Druckerinstallation via Start Script im Active Directory Drucker im Active Directory veröffentlichen Allgemeines Veröffentlichen des Druckers Drucker-Pooling Allgemeines Einrichten eines Druckerpools Ändern der Priorität von Druckaufträgen Allgemeines Ändern der Priorität einzelner Druckaufträge Ändern der Priorität von Druckaufträgen für eine Benutzergruppe Verwaltung der Berechtigungen auf einem Drucker Allgemeines Verfügbare Rechte für das Drucken , Microsoft Österreich GmbH Seite 6

7 8.9.3 Freigaben und Zugriffsberechtigungen Gruppenrichtlinien und Drucker Überwachen von Druckvorgängen Internetdrucken Datensicherung Basiswissen Funktionalität des Sicherungsprogramms Sicherungsmethoden Erforderliche Berechtigungen für Datensicherungen Systemzustand-Daten Spezielle Wiederherstellungsmethoden Recovery Console Complete PC-Wiederherstellung Sichern/Wiederherstellen Voraussetzungen Daten sichern Daten wiederherstellen Daten sichern Sicherungsprogramm starten Sicherungsprogramm über das Start-Menü starten Sicherungsprogramm über den Eigenschaften-Dialog des Laufwerks starten Sicherungszeitplan definieren Durchführen einer Einmalsicherung Daten wiederherstellen Datenwiederherstellung definieren Windows Deployment Services mit XP Clients Voraussetzungen Installation der WDS-Rolle Konfiguration der WDS-Rolle WDS-Grundkonfiguration Erstellen eines Aufzeichnungsabbildes Erstellen eines Deploymentstartabbildes Clientpräparation für den Imagingvorgang Imagen eines Clients Vorbereitungen für das Client-Rollout Multicastingübertragung von Images Hyper-V Einführung in Hyper-V Unterschiedliche Ansätze für Virtualisierung Warum sollten Sie virtualisieren? , Microsoft Österreich GmbH Seite 7

8 Voraussetzungen für die Virtualisierung mit Hyper-V Installation der Rolle Hyper-V Das Management-Betriebssystem in der Parent-Partition Einstellungen und Verwaltung des Management-Betriebssystems Installation eines Gast-Betriebssystems Die Netzwerkkonfiguration des Gast-Betriebssystems Mit Snapshots den aktuellen Betriebszustand sichern Windows Server Update Services Einführung in Windows Server Update Services Vorteile durch den Einsatz von WSUS Installation der WSUS Rolle Konfiguration der Windows Server Update Services Erstkonfiguration nach der Installation Verwalten von Computern Verwalten von Updates ISA-Server Gründe für den Einsatz von ISA-Server Konfiguration der Netzwerkkarten Installation von ISA-Server Installation von ServicePacks Konfiguration des ISA-Server Interne Routen hinzufügen Überprüfen der Installation mit einem Portscan Zugriffsregeln erstellen Die Objekte der Toolbox Anwendungs- bzw. Webfilter erstellen Veröffentlichung von internen Ressourcen Webserververöffentlichung Client-Installation Secure NAT-Client Firewall-Client Webproxy-Client Caching Erweiterungen durch das Service Pack Änderungsnachverfolgung Veröffentlichungsregel testen Datenverkehr simulieren , Microsoft Österreich GmbH Seite 8

9 Was Sie erwarten dürfen 1 Was Sie erwarten dürfen Dieses Kapitel erläutert den allgemeinen Aufbau dieses Skriptums sowie die verwendeten Konventionen. 1.1 Überblick Definition Die Schulungsunterlagen sind in mehrere Teile gegliedert, die es ermöglichen, den Windows Server 2008 von der Installation bis zur Detailkonfiguration der einzelnen Dienste und Anwendungen kennenzulernen. Sie können dieses Werk aber auch als praktische Referenz nutzen: Sie finden darin Anleitungen zur Lösung spezifischer Probleme. Innerhalb eines Kapitels erhalten Sie allgemeine Informationen und Erklärungen zu den einzelnen Installations- und Verwaltungsvorgängen beim Windows Server Dazu gehören auch allgemein gehaltene Kurzanleitungen, die Ihnen helfen sollen, sich rasch einen Überblick über die jeweiligen Funktionen zu verschaffen. Die Kapitel behandeln folgende Inhalte und Themen: Kapitel 1 gibt einen kurzen Überblick über die Inhalte, die Sie in diesen Schulungsunterlagen erwarten. Wir werden uns in den darauf folgenden Kapiteln detailliert mit den einzelnen Punkten beschäftigen und diese genau erläutern. Kapitel 2 beschäftigt sich mit den Installationsvorbereitungen und der Planung einer Windows Server 2008-Installation. Wir werden über das Netzwerklayout und das Domänencontroller-Konzept nachdenken und diese anhand von Fallbeispielen erörtern. Kapitel 3 behandelt die Installation bis zum ersten Start von Windows Server Unter anderem werden in diesem Kapitel die Hardwarevoraussetzungen behandelt und die verschiedenen Versionen des Betriebssystems vorgestellt. In Kapitel 4 werden Sie sich mit der Verwaltung von Benutzern und Gruppen in einer Arbeitsgruppe und auf dem lokalen Rechner beschäftigen. In Kapitel 5 wird näher auf die Benutzerverwaltung in einer Domäne eingegangen. Sie lernen, wie Sie Benutzer und Gruppen anlegen und wie die Benutzerverwaltung im Active Directory aussieht. Kapitel 6 beschäftigt sich mit Gruppenrichtlinien in einer Domäne. Kapitel 7 beschäftigt sich mit dem Datei-Ressourcen-Management. In diesem Kapitel erlernen Sie unter anderem das Einstellen von NTFS-Berechtigungen, das Erstellen und Freigeben von Netzwerkressourcen sowie das Managen von Kontingenten. Kapitel 8 nimmt die Druck-/Druckserver-Funktionalität von Windows Server 2008 unter die Lupe. Sie werden Drucker und Druckaufträge sowohl lokal als auch im Netzwerk verwalten können. Kapitel 9 widmet sich der Datensicherung. Sie werden Datensicherungen vornehmen und bestehende Sicherungen wiederherstellen. Außerdem lernen Sie die automatische Systemwiederherstellung und die Wiederherstellungskonsole kennen. Kapitel 10 behandelt das Ausrollen von Clients mit Windows Deployment Services, Sie lernen, wie man Abbilder mit WDS erstellt, und ausrollt. In Kapitel 11 erfahren Sie alles über die zukunftsweisende Technologie der Virtualisierung, und wie Sie diese in Windows Server 2008 einsetzen. Kapitel 12 beschäftigt sich mit der Verwaltung von Microsoft Updates mit Windows Server Update Services. Sie erfahren, wie WSUS konfiguriert wird, und Sie Computer zentral mit Updates versorgen. 2008, Microsoft Österreich GmbH Seite 9

10 Was Sie erwarten dürfen In Kapitel 13 wird auf die Einrichtung von ISA Server 2006 eingegangen. Lernen Sie Ihr Netzwerk effektiv zu schützen, und den Zugriff auf Ihre Ressourcen dabei möglichst einfach zu gestalten. 1.2 Vorausgesetzte Kenntnisse Um die vorliegende Unterlage und die damit verbundenen Schulungen in einem vernünftigen Rahmen zu halten, sind die Autoren beim Erstellen des MMSI-Skriptums von folgender Prämisse ausgegangen: Die Leser dieser Unterlage sind keine absoluten Neulinge im Bereich der Netzwerk-Administration. Insbesondere haben sich diese Personen bereits grundlegende Kenntnisse zu folgenden Themen angeeignet: Umgang mit einem Windows-Betriebssystem Netzwerktopologien und -technologien Einführende Kenntnisse über Netzwerkprotokolle Grundlagen von TCP/IP inklusive Konfiguration und Troubleshooting Darstellung von TCP/IP-Adressen mithilfe von CIDR 1.3 Konventionen Um die Lesbarkeit und das Verständnis zu erleichtern, werden verschiedene Schriftformate zum Hervorheben der unterschiedlichen Arten von Informationen verwendet. So werden die Menübefehle in Versalien geschrieben, wie z. B.: Wählen Sie aus dem Menü DATEI den Befehl EIGENSCHAFTEN. Schrittweise Anleitungen werden als nummerierte Aufzählungen dargestellt: So erstellen Sie ein XYZ: 1. Wählen Sie die Option ALLE ANZEIGEN aus. 2. So werden die NAMEN von Menübefehlen dargestellt. Hilfreich werden Sie vor allem die Tipps finden. Diese weisen auf Besonderheiten hin. Wichtige Informationen sind folgendermaßen hervorgehoben: Knifflige Details werden Sie häufig in einer solchen Hinweisbox lesen. 2008, Microsoft Österreich GmbH Seite 10

11 Was Sie erwarten dürfen 1.4 Gedanken zum Thema Sicherheit Obwohl diese Schulungsunterlagen mehr als 250 Seiten umfassen, erheben sie weder Anspruch auf Vollständigkeit noch darauf, eine allgemein gültige Universalanleitung für die perfekte Planung und Implementierung einer Windows Server 2008-Infrastruktur zu sein. Vor allem im Bereich der IT-Sicherheit mit all ihren Facetten, Stolpersteinen und Eigenheiten sollte man immer beachten, dass speziell in produktiven Systemen, also auch in einem Schulnetzwerk, individuelle und an die jeweilige Situation angepasste Vorkehrungen und Maßnahmen zu treffen sind. Sowohl in der Planungs-, Implementierungs-, Verwaltungs- als auch in der Wartungsphase ist es absolut notwendig, das System immer auf dem neuesten Stand und möglichst sicher zu halten. Die Websites der einzelnen Hard- und Softwarehersteller, allen voran Microsoft als Lieferant des Windows Server 2008, bieten dazu stets aktuelle Informationen. In Zeiten der Mailviren und RPC-Würmer macht die Sicherung und Verwaltung eines Netzwerks einen nicht unerheblichen Teil des Verwaltungsaufwandes aus, der auf keinen Fall unterschätzt werden sollte. Ein Virus kann innerhalb einer Organisation schnell die wichtigsten Kommunikationsmittel und -wege lahmlegen und einen nicht unbeträchtlichen wirtschaftlichen und immateriellen Schaden anrichten. Die Sicherheit kann und darf nicht außer Acht gelassen werden. Es sei hiermit nochmals ausdrücklich auf die Dringlichkeit dieses Themas hingewiesen, jedoch auch auf den Umstand, dass es nicht möglich ist, in Schulungsunterlagen wie dem vorliegenden alle sicherheitsrelevanten Informationen und Anweisungen unterzubringen. Dies würde nicht nur die Lesbarkeit und Handhabung erheblich stören, sondern auch den gegebenen Rahmen sprengen. Mit den richtigen Informationen und dem entsprechenden Wissen lassen sich jedoch die meisten der heute vorhandenen Sicherheitsrisiken minimieren, wenn nicht sogar neutralisieren. 2008, Microsoft Österreich GmbH Seite 11

12 Planung 2 Planung Dieses Kapitel erläutert die Grundsätze der Planung vor einer Implementierung von Windows Server Überblick Definition Jeder Aufbau eines Netzwerks, aber auch die Erweiterung oder Umkonfigurierung einer bestehenden Netzwerkinfrastruktur, bedarf einer guten Planung. In der heutigen Zeit gibt es viele Möglichkeiten, Netzwerke aufzubauen und Geräte miteinander zu verbinden, wobei nicht nur der Kostenfaktor einen wichtigen Entscheidungspunkt darstellt. 2.2 Aufbau und Planung Die grundlegende Vorgehensweise sollte in folgende Phasen aufgeteilt werden: Analyse Während dieser Phase legen Sie die IT-Ziele fest. Sie müssen sich Gedanken über die nötige Bandbreite machen, Sicherheitsanforderungen festlegen und das Kosten- Nutzen-Verhältnis berücksichtigen. Entwurf In dieser Phase bewerten Sie das Infrastrukturkonzept. Sie wägen ab, welche Funktionen Ihr Netzwerk bereitstellen muss. Die Entwurfsphase basiert auf der Analyse. Zu den Funktionen zählen unter anderem DNS, DHCP und die verwendeten Netzwerkprotokolle. Test Sie sollten ein Pilotprojekt in einer produktiven Umgebung mit einer geringen Zahl von Benutzern starten. Die Ergebnisse dieses Projekts zeigen Ihnen, ob Korrekturen am Netzwerkentwurf nötig sind, um eine stabile Netzwerkumgebung zu erreichen. Produktion In der letzten Phase können Sie das Pilot-Netzwerk auf die gesamte Umgebung ausweiten. Zusätzlich sollten Sie Notfallpläne erstellen, damit falls wider Erwarten Probleme auftreten sollten die zuständigen Personen das System wiederherstellen bzw. funktional halten können. Bei der Planung eines Netzwerks sind auch die folgenden Begriffe und Techniken von Bedeutung: Domänencontroller, Domänenhierarchie, Netzwerktopologie. 2.3 Standardkonfiguration für die Schule Allgemein Die in diesem Kurs verwendete Konfiguration beruht auf der Annahme, dass pro Schule zwei Domänencontroller verwendet werden. Als Clientrechner stehen mindestens 100 Desktop-PCs bereit, zuzüglich eventueller Notebook- Klassen. Das System sollte für etwa 500 bis 1000 Benutzer ausgelegt sein und die anfallende Arbeitslast tragen können. Grundsätzlich sollten die notwendigen Dienste und die damit verbundenen Lasten auf mehrere Serverinstanzen verteilt werden. 2008, Microsoft Österreich GmbH Seite 12

13 Planung Konfiguration Folgende Konfiguration besteht aus zwei Servern, auf denen die folgenden Dienste verteilt werden: Server 1 (SRV01): Normal Domänencontroller (Active Directory) DNS DHCP Internet Security & Acceleration Server (ISA-Server) - Installation/Konfiguration ist nicht Teil dieser Schulungsunterlage Dateiserver Applikationsserver Server 2 (SRV02): Domänencontroller (Active Directory) DNS Druckserver RRAS (falls Segmentierung gewünscht ist) Exchange Server - Installation/Konfiguration ist nicht Teil dieser Schulungsunterlage 2008, Microsoft Österreich GmbH Seite 13

14 A B C D E F G H SELECTED ON-LINE Planung Internet Router Exchange Server RRAS Domänencontroller DNS Druckserver Server 02 SELECTED ON-LINE A B C D E F G H PC 1 PC 2 Domänencontroller DNS DHCP Dateiserver Applikationsserver ISA-Server Server 01 SELECTED ON-LINE A B C D E F G H PC 3 PC 4 Abb. 1: Server-Konfiguration 2008, Microsoft Österreich GmbH Seite 14

15 Planung IP-Adressen-Schema Folgendes IP-Adressen-Schema wird für die Konfiguration einer Standardschule angenommen: Element IP-Adresse Domänencontroller und Subnetzmaske DNS-Server und DHCP-Server Standardgateway Exchange Server Externes Web Domänencontroller Ein Domänencontroller ist der Server-Computer in Microsoft-Netzwerken, der die Anmeldungen an einer Domäne verifiziert. Des Weiteren verwaltet er die Sicherheitsrichtlinien und die Datenbank, in der die Benutzer, Benutzergruppen und Computer einer Domäne enthalten sind. Domäne Eine Domäne hingegen ist nichts anderes als eine Sammlung von Computern und Benutzern, die eine gemeinsame Datenbank- und Sicherheitsrichtlinie verwenden. Verschiedene Domänen können auch hierarchisch miteinander verbunden sein. Domänencontroller (Domain Controller, DC) Jede Domäne muss mindestens einen Domänencontroller haben. Dieser Server verwaltet die Benutzerdatenbank der Domäne und überprüft die Anmeldungen. Aus Gründen der Fehlertoleranz werden in der Praxis meist zusätzliche Domänencontroller eingesetzt. Dafür sprechen mehrere Gründe: Fällt z. B. ein DC aus, so kann der andere die Validierung der Benutzer übernehmen. Des Weiteren wird die Anmeldelast auf mehrere Domänencontroller aufgeteilt. Damit im Falle des Ausfalles des ersten DC eine Benutzeranmeldung am zweiten DC möglich ist, ist dort ebenfalls die Global-Catalog-Funktion zu aktivieren. 2.5 Netzwerklayout Die Wahl des Netzwerklayouts betrifft auf der einen Seite die verwendete Hardware und auf der anderen Seite die Konfigurationsmöglichkeiten, die durch die Verwendung der Serversoftware gegeben sind. 2008, Microsoft Österreich GmbH Seite 15

16 Planung Sternförmiges Netzwerk Diese Form der Netzwerke ist die am weitesten verbreitete Topologie. Die Computer sind mittels Kabel sternförmig an ein Gerät gebunden, das die Weiterleitung des Netzwerkverkehrs übernimmt. Abb. 2: Sternförmiges Netzwerklayout Folgende Geräte kommen hierbei zum Einsatz: Hubs (Verteiler), Switches oder Router. Diese Geräte unterscheiden sich vor allem darin, wie sie den Verkehr weiterleiten. So schicken Hubs die ankommenden Datenpakete an jeden Anschluss im Gerät, wohingegen Switches genau wissen, hinter welchem Anschluss welcher Client hängt, und die Datenpakete entsprechend abliefern. Normalerweise sind die Geräte, die an Hubs bzw. Switches hängen, immer im selben Netzwerksegment. Router haben den Vorteil, dass diese hoch konfigurierbar sind und den Netzwerkverkehr auch zwischen verschiedenen Netzwerksegmenten weiterleiten können. In der heutigen Zeit ist diese Form der Vernetzung die am weitesten verbreitete. (Derzeitige) Geschwindigkeit: 100 Mbps bis 1 Gbps Andere Topologien Weitere Netzwerktopologien sind busförmige Netzwerke und Ringnetzwerke. Die Namen weisen schon auf die Art und Weise der Verkabelung hin. Diese Netzwerke bieten aber keine hohe Ausfallsicherheit, weswegen sie heutzutage nur noch in Spezialfällen angewandt werden. Ringstruktur Bei einem Netzwerk mit Ring-Topologie sind die Geräte über eine einzige vorstellbar als ringförmig verlaufende Leitung gleichberechtigt miteinander verbunden. In Wirklichkeit werden die einzelnen Rechner über ein hin- und 2008, Microsoft Österreich GmbH Seite 16

17 Planung rückführendes Kabel an einer sogenannten MAU (Medium Attachment Unit) angeschlossen. Es gibt keinen zentralen Rechner. Jedes Gerät verfügt über einen eigenen Netzanschluss und ist über diesen mit seinem linken und rechten Nachbarn verbunden. Die Übertragung der Informationen erfolgt immer in einer Richtung von Station zu Station. Jede Station untersucht bei einer empfangenen Nachricht die darin enthaltene Zieladresse und nimmt die Nachricht entgegen, wenn diese Adresse mit der eigenen übereinstimmt. Andernfalls regeneriert sie das Signal und leitet die Nachricht, wie ein Repeater, zur nächsten Station im Ring weiter. Der Ausfall eines Computers hat bei der Ringstruktur also Einfluss auf das gesamte Netzwerk. Abb. 3: Ringförmiges Netzwerk Busstruktur Die Bus-Topologie ist die einfachste und in der Vergangenheit am häufigsten verwendete Struktur für die Verkabelung. Auch hier gibt es keine Zentrale, die Verbindung aller Geräte erfolgt über eine gemeinsame Hauptkommunikationsleitung (Backbone). Die einzelnen Stationen verstärken die Signale bei dieser Topologie nicht, dadurch kommt es zu einer Dämpfung und Abschwächung. Die Länge der Bus-Topologie ist somit auf ca. 185 Meter begrenzt. Durch den Einsatz von Repeatern kann sie jedoch verlängert werden. An den beiden Kabelenden benötigen Bus-Netze einen Abschlusswiderstand, damit keine Echos auftreten, die zu Empfangsfehlern führen. In einem Bus-Netzwerk beobachtet jede Station die Aktivitäten auf der Leitung. Nachrichten werden von allen Stationen erkannt, aber nur von den Stationen angenommen, für die eine Nachricht bestimmt ist. Zu einem Zeitpunkt kann immer nur eine Nachricht über den Bus transportiert werden. Daher hängt die Leistung des Netzwerks davon ab, wie viele Geräte angeschlossen sind und in welchem Umfang die angeschlossenen Rechner das Netzwerk nutzen. Falls ein Rechner ausfällt, kann er zwar nicht mehr mit dem Netzwerk kommunizieren, die Funktionsfähigkeit des Netzwerks wird jedoch nicht beeinträchtigt. Die Unterbrechung des Kabels an einer Stelle führt jedoch zur Unterbrechung des gesamten Netzbetriebs. 2008, Microsoft Österreich GmbH Seite 17

18 Planung Abb. 4: Busförmiges Netzwerk Speziell bei der Wahl der Netzwerktopologie sollten Sie auch zukünftige Entwicklungen und Anforderungen an Ihr Netzwerk im Auge behalten, da ein Topologiewechsel häufig mit sehr hohen Kosten einhergeht. Empfehlung für Schulen: strukturierte Verkabelung Die Vergangenheit hat gezeigt, dass lokale Netze immer größer werden. Die oben beschriebenen Topologien können nur mit erheblichem Aufwand erweitert werden. Die strukturierte Verkabelung beschreibt eine hierarchische Baumstruktur. Von einem zentralen Kabelstrang, gewissermaßen dem Stamm des Baumes, gehen nach beliebigen Richtungen einzelne Verästelungen ab, an denen entweder ein einzelner Rechner oder ein ganzes sternförmiges Netz hängt. Diese kann sehr leicht erweitert werden und gilt deshalb als einzig zukunftssichere Topologie. 2008, Microsoft Österreich GmbH Seite 18

19 Installation 3 Installation Dieses Kapitel erläutert die Installation von Windows Server 2008 sowie dessen Grundkonfiguration. 3.1 Überblick Definition Dieses Kapitel wird Ihnen einen Überblick über die Installation des Betriebssystems Windows Server 2008 geben. Dieses Kapitel kann jedoch nur einen allgemeinen Einblick in die Standardkonfiguration des Systems liefern, detailliertere Informationen über die Planung und Installation von Windows Server 2008 erhalten Sie online unter Nachdem Sie dieses Kapitel durchgearbeitet haben, beherrschen Sie Folgendes: Abklärung der Hardwarevoraussetzungen Wahl der geeigneten Betriebssystem-Edition Vorarbeiten (Installation spezieller Hardware) Partitionierung des Festplattensystems Basisneuinstallation Grundkonfiguration des neu installierten Systems 3.2 Vorüberlegungen Allgemeines Grundsätzlich gibt es mehrere Möglichkeiten, ein Produkt der Windows Server 2008-Familie zu installieren. Zum einen können Sie Windows Server 2008 vollständig neu installieren, zum anderen können Sie eine bestehende Windows oder Windows 2000-Installation upgraden. In diesem Skriptum wird nur die Neuinstallation eines Windows Servers 2008 besprochen, da für ein Upgrade zusätzliche Überlegungen im Umfeld anzustellen sind bzw. ein Upgrade auf ein Produkt der Windows Server 2008-Familie mehr Probleme aufwerfen kann als eine Neuinstallation. 2008, Microsoft Österreich GmbH Seite 19

20 Installation 3.3 Hardware-Voraussetzungen Der folgenden Tabelle können Sie die von Microsoft empfohlenen Systemvoraussetzungen für die verschiedenen Betriebssystemeditionen entnehmen: Voraussetzungen Minimale CPU-Geschwindigkeit * Empfohlene CPU-Geschwindigkeit Minimaler Arbeitsspeicher Empfohlener Arbeitsspeicher ** Standard Edition 1 GHz (x86) bzw. 1,4 GHz (x64) 2 GHz oder höher 512 MB 2 GB oder mehr Maximaler Arbeitsspeicher x86: 4 GB (Windows Server 2008 Standard) x64: 64 GB (Windows Server 2008 Standard) 2 TB (Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter) Minimale Auflösung 800 x 600 Empfohlene Auflösung Speicherplatz Systempartition 1024 x 768 oder höher Minimum: 10 GB Empfohlen: 40 GB oder mehr * Abhängig von der Taktfrequenz, der Anzahl der Cores und der Größe des Prozessorcaches ** Rechner mit mehr als 16 GB RAM benötigen mehr Festplattenplatz wegen Paging, Hibernation und Dump-Files Wichtig für x64-systeme: Man benötigt unbedingt digital signierte Kernel-Mode -Treiber von Windows Server Notlösung, falls keine zur Verfügung stehen: Ausschalten der Signaturvoraussetzung für den Installationsprozess: a) Server neu starten und während der Startphase F8 drücken b) Advanced Boot Options c) Disable Driver Signature Enforcement 2008, Microsoft Österreich GmbH Seite 20

21 Installation Angenommene Mindestkonfiguration Die bisherigen Erfahrungswerte zeigen, dass die vorgeschlagenen Werte nur bedingt zutreffen. Vielmehr ist die Auslegung der eingesetzten Hardware je nach Einsatzszenario unterschiedlich. Daher nehmen wir für die Demonstration der einzelnen Übungen und Beispiele in diesem Skriptum folgende Mindestkonfiguration an: Arbeitsspeicher CPU Taktfrequenz Festplatte 1 GB RAM oder höher x86-kompatibler Prozessor 1,5 GHz oder höher Mindestens eine IDE-Platte mit 120 GB oder höher In Bezug auf das verwendete Speichersystem ist keine allgemeingültige Aussage möglich. Aus Kostengründen und wegen der mittlerweile geringeren Performance-unterschiede zwischen normalen IDE- und SCSI-Speichersystemen wäre es durchaus praktikabel, einen IDE-RAID-Verbund einzusetzen. Nehmen Skalierbarkeit und Ausfallsicherheit einen höheren Stellenwert ein, empfiehlt sich der Einsatz eines SCSI-RAID-Speichersystems Hardware-Kompatibilität Einer der wichtigsten Schritte vor einer Installation von Windows Server 2008 ist, zu überprüfen, ob die verwendete Hardware kompatibel zur geplanten Betriebssystem-Edition ist. Diese Überprüfung kann durch Ausführen des sogenannten Preinstallation Compatibility Checks (infolge eines Windows-Upgrades) erfolgen ( Vor allem ist eine aktuelle Version des Basic Input Output Systems (BIOS) sowie aller verwendeten Hardwaretreiber bereitzuhalten. Eine entsprechende aktuelle Version erhalten Sie von Ihrem Hardwarehersteller Wahl der Betriebssystem-Edition Die Windows Server 2008-Familie wird bis Mitte des Jahres 2008 aus acht unterschiedlichen Versionen bestehen. Diese Editionen, wie Microsoft sie nennt, haben jeweils einen eigenen, streng abgesteckten Einsatzbereich. Daher sollte man sich vor einer Installation natürlich ausführlich mit den jeweiligen Spezialisierungen der einzelnen Editionen auseinandersetzen. Dieser Abschnitt versteht sich nicht als komplette Darlegung aller Features der einzelnen Produkte, vielmehr soll ein kurzer und prägnanter Überblick gewährt werden. Windows Server 2008 Standard Edition ist die passende Server-Plattform für Abteilungen und kleinere Unternehmen. Diese Edition ermöglicht Datei- und Drucker-Sharing, sichere Internet-Anbindung und eine zentrale Applikationsverteilung. Bei den Zertifikatsdiensten wird nur die Basisfunktionalität unterstützt. x86: max. 4 Sockets, max. 4 GB RAM x64: max. 4 Sockets, max. 32 GB RAM Weitere generelle Limitierungen: 1 VM-Nutzungsrecht, max. 250 gleichzeitige Sessions über TS-Gateway 2008, Microsoft Österreich GmbH Seite 21

22 Installation Windows Server 2008 Enterprise Edition ist die grundsätzliche Antwort auf die Anforderungen von Unternehmen aller Größenordnungen. Sie ist die optimale Plattform für Applikationen, Web-Services und Infrastruktur mit einem exzellenten Maß an Hochverfügbarkeit. Ebenso sind 16-faches Clustering und Load-Balancing möglich. x86: max. 8 Sockets, max. 64 GB RAM x64: max. 8 Sockets, max. 2 TB RAM Weitere generelle Limitierungen: 4 VI-Nutzungsrechte Windows Server 2008 Datacenter Edition wurde entworfen, um den Ansprüchen an höchste Verfügbarkeit, Skalierbarkeit und Sicherheit gerecht zu werden. Ebenso sind 16-faches Clustering und Load-Balancing möglich. x86: max. 32 Sockets, max. 64 GB RAM x64: max. 64 Sockets, max. 2 TB RAM Weitere generelle Limitierungen: 4 VI-Nutzungsrechte Windows Server 2008 Web Edition Sie ist speziell auf den Einsatz als Web-Applikation-Server optimiert und damit für alle Formen des Hostings von Webanwendungen, Websites und XML-Web-Services geeignet. Damit wird eine spezielle Version für die Unterstützung von ASP.NET-Seiten geliefert, die einen Schlüsselbereich der.net-strategie von Microsoft darstellen. Der Einsatz als Domänencontroller ist nicht möglich, wohl aber die Integrierbarkeit in eine Active-Directory-Domäne. Auch werden keine Zertifikatsdienste unterstützt. x86: max. 4 Sockets, max. 4 GB RAM x64: max. 4 Sockets, max. 32 GB RAM Windows Server 2008 für Itanium-basierte Systeme ist optimiert für große Datenbanken und Branchenanwendungen und unterstützt bis zu 64 Prozessoren, bietet jedoch keine TS-Gateway-Servicefunktionalität an. Windows Server 2008 Standard/Enterprise/Datacenter mit Hyper-V entsprechen im Funktionsumfang den jeweiligen Versionen, sind jedoch ergänzt durch die eingebaute Unterstützung von Virtualisierungsfunktionen Wahl des Lizenzmodells Die Produkte der Windows Server 2008-Familie unterstützen zweierlei Lizenzmodelle. Zum einen die Lizenzierung pro Anwender beziehungsweise pro Clientrechner (per Device/per User Mode) und zum anderen die Lizenzierung pro Server (per Server Mode). Windows Server 2008 Nutzer-CAL -Modell Bei Anwendung des Windows Server 2008 Nutzer-CAL -Modells benötigt jeder Clientrechner beziehungsweise jeder Benutzer eine eigene sogenannte Client Access License, kurz (CAL). Mit einer CAL kann ein einzelner Rechner oder Benutzer sich zu einer beliebigen Zahl von Servern verbinden, auf denen Windows Server 2008 als Betriebssystem läuft. Dies ist das wohl am häufigsten eingesetzte Modell und gleichzeitig die empfohlene Variante, wenn innerhalb eines Unternehmens oder einer Abteilung mehrere Server betrieben werden. 2008, Microsoft Österreich GmbH Seite 22

23 Installation Windows Server 2008 Geräte-CAL -Modell Im Gegensatz dazu steht die Anwendung des Windows Server 2008 Geräte-CAL -Modells, bei dem jede separat bestehende Verbindung zu einem Server eine eigene CAL benötigt. Dies bedeutet, dass jeder Server nur eine gewisse, zuvor definierte Anzahl an gleichzeitigen Verbindungen akzeptiert. Würde man einen Server nach diesem Modell mit fünf Lizenzen betreiben, bedeutete dies, dass der Server gleichzeitig maximal fünf Zugriffe von einzelnen Clientrechnern erlaubt. Der Server kann den Versuch, mit ihm eine Verbindung herzustellen, abweisen, sofern das Maximum an Verbindungen erreicht ist Wahl des Dateisystems Prinzipiell stehen drei mögliche Dateisysteme für die Installation eines Produkts aus der Windows Server 2008-Familie zur Verfügung: NTFS (max. Partitionsgröße 16 TB) FAT (max. Partitionsgröße 4 GB) FAT32 (max. Partitionsgröße 32 GB) Das zu wählende Dateisystem ist NTFS, da mithilfe dieses Systems die größten Leistungsreserven der verschiedenen Editionen freigesetzt werden Dateisystem-Kompatibilität Die Änderung des Dateisystems auf einem Computer, der mehrere Betriebssysteme enthält, stellt sich als weitaus komplexer dar als auf einem System mit nur einem durchgängigen Dateisystem. NTFS ist das empfohlene Dateisystem, da dieses im Vergleich mit FAT oder FAT32 spezielle und erweiterte Funktionen bietet. Speziell Windows 2000, Windows XP, Windows Vista, Windows Server 2003 und Windows Server 2008 bieten gänzlich neue Paradigmen und Features als Windows NT. Dateien, die diese neuen Funktionen nutzen, sind unter Windows NT nicht mehr verwend- und lesbar. 2008, Microsoft Österreich GmbH Seite 23

24 Installation Anwendungsszenarios Folgende Auflistung stellt verschiedene Anwendungsszenarios und die jeweils empfohlene Wahl des Datei-Systems dar: Szenario Das aktuelle Dateisystem auf dem Zielrechner ist bereits NTFS (kein FAT- oder FAT32-System) Das aktuelle Dateisystem auf dem Zielrechner besteht aus FAT- oder FAT32-Partitionen. Das Betriebssystem ist Windows 2000, Windows XP, Windows Vista oder ein Produkt aus der Windows Server bzw Familie. Wahl des Dateisystems Sie können dieses Dateiformat weiterverwenden, es ist keine Änderung notwendig Sie sollten eine Formatierung oder Konvertierung des bestehenden Dateisystems auf NTFS in Erwägung ziehen ACHTUNG: Die Konvertierung von FAT oder FAT32 auf NTFS ist unter Beibehaltung der Daten möglich. Eine Rückkonvertierung von NTFS auf das vorhergehende Format ist nicht vorgesehen und daher NICHT möglich (kann nur über eine Neuformatierung erreicht werden)! Spezielle Hardwaretreiber für die Installation Wenn Sie von Ihrem Hardwarehersteller spezielle Treiber für Massenspeichergeräte wie etwa RAID-Controller, Fibre- Channel Controller oder Ähnliches erhalten haben und diese anstelle der Standardtreiber während der Installation verwenden möchten, müssen Sie die entsprechenden Daten auf einer Diskette, CD, DVD oder einem USB-Stick bereithalten. Sollte bereits ein Datenträger angezeigt werden, wenn Sie während der Installation gefragt werden, auf welchem Datenträger Sie Windows installieren wollen, dann benötigen Sie nicht unbedingt einen speziellen Treiber. So installieren Sie einen speziellen Treiber für Massenspeichergeräte: 1. Starten Sie das Setup. 2. Wenn Sie gefragt werden, wo Sie Windows installieren möchten, klicken Sie auf den Link Treiber laden. 3. Folgen Sie den Anweisungen am Bildschirm, um Ihren eigenen Treiber zu installieren Partitionierung Unter Partitionieren versteht man das Unterteilen des physischen Festplattenspeichers in kleinere logische Einheiten. Jede dieser Einheiten erhält üblicherweise einen eigenen Festplatten-Buchstaben. Jede Einheit kann mit einem eigenen Dateisystem formatiert werden, also NTFS, FAT oder FAT32. Der Grund für die Notwendigkeit einer Partitionierung hat einen historischen Hintergrund. Ältere Systeme konnten mit Festplattenspeichern, die eine gewisse Größe überschritten, nicht richtig oder gar nicht umgehen. Daher musste man Speicher mit einer größeren Kapazität in kleinere logische Bereiche aufteilen. 2008, Microsoft Österreich GmbH Seite 24

25 Installation Da speziell beim Einrichten, Ändern und Löschen von Partitionen ein nicht unerhebliches Risiko von Datenverlust besteht, sollte man die Daten vorher sichern. Selbst wenn Sie beabsichtigen, bestehende Partitionen nicht zu verändern, sollten Sie das potenzielle Risiko bedenken! Weiters unterscheidet man zwischen Basis-Laufwerken (Basic Disks) und sogenannten dynamischen Laufwerken (Dynamic Disks). Basic Disks Basic Disks können in bis zu vier primäre Partitionen oder in drei primäre Partitionen und eine erweiterte Partition unterteilt werden. Eine erweiterte Partition kann wiederum in weitere logische Laufwerke unterteilt werden, eine primäre Partition hingegen nicht. Abb. 5: Basic-Disk-Schema Dynamic Disks Dynamic Disks nutzen ein neues Speicherverfahren, das erstmals mit Windows 2000 eingeführt wurde. Dynamic Disks sind normale Basic Disks, die jedoch mithilfe von Windows 2000, Windows XP, Windows Vista oder eines Produkts aus der Windows Server bzw Familie in eben solche dynamische Laufwerke konvertiert wurden. Dynamic Disks können von einem kompatiblen Betriebssystem aus sowohl in der Größe als auch in der Zusammensetzung geändert werden, ohne dass Datenverlust oder Performanceeinbußen befürchtet werden müssen. Es ist auch keine neuerliche Installation nötig. Selbst Systempartitionen können ohne Weiteres in der Größe verändert werden. Erst unter Verwendung von Dynamic Disks ist ein Disk Mirroring unter Windows Server 2008 möglich. Abb. 6: Dynamic-Disk-Schema 2008, Microsoft Österreich GmbH Seite 25

26 Installation Eine Änderung der Zusammensetzung und Größe ist jedoch nur aus dem laufenden Betriebssystem heraus möglich. Wenn Sie eine Neuinstallation auf einer bestehenden Dynamic Disk beabsichtigen, sind folgende Punkte zu beachten: Wenn Sie Windows 2000, Windows XP oder Windows Vista benutzt haben, um eine Dynamic Disk zu erstellen, müssen Sie diese zuerst in eine Basic Disk zurückkonvertieren. Dabei gehen jedoch sämtliche Daten verloren. Es ist daher eine Datensicherung erforderlich. Sie können für diese Konvertierung das vorhandene Betriebssystem benutzen. Hinweise und Anleitungen finden Sie in der Hilfe des Betriebssystems. Die Konvertierung von einer Dynamic Disk in eine Basic Disk ist außerdem mithilfe des Setups für Windows Server 2008 möglich. Dazu wählen Sie im entsprechenden Bildschirm des Setups von Windows Server 2008 aus der Gruppe der verfügbaren Partitionen das dynamische Laufwerk aus. Sie werden aufgefordert, die Umwandlung zu bestätigen. Auch hierbei gehen sämtliche gespeicherten Daten verloren. Wenn Sie eine Neuinstallation auf einem Computer beabsichtigen, auf dem bereits ein Produkt der Windows Server 2008-Familie installiert wurde, und der Datenträger des Zielrechners bereits Dynamic Disks enthält, sind ebenfalls spezielle Gegebenheiten zu beachten. Diesbezüglich verweisen wir auf die Informationen über eventuelle Einschränkungen innerhalb des Hilfe- und Support-Centers. Partitionierung während des Setups Während der Setup-Routine können Sie bestehende Partitionen verändern oder neue Partitionen erstellen, jedoch nur bei einer Neuinstallation. Bei einem Upgrade besteht diese Möglichkeit nicht. Sie können jedoch die Einteilung der Festplatte nach Abschluss des Setups mithilfe des Dienstprogramms DATENTRÄGERVERWALTUNG unter SERVER- MANAGER SPEICHER nachträglich verändern. ACHTUNG: Während der Setup-Routine sollte bei einer Neuinstallation nur die Systempartition erstellt und mit NTFS formatiert werden. Die Erstellung weiterer Partitionen bzw. die Konvertierung in dynamische Datenträger sollte nach erfolgreicher Installation über das Dienstprogramm Datenträgerverwaltung unter Server-Manager Speicher vorgenommen werden Dynamische Datenträger Einfache Datenträger Einfache Datenträger entsprechen den Partitionen in den älteren Betriebssystemen (Windows NT 4.0, Windows 95 ). Einfache Datenträger können jederzeit vergrößert werden, wenn sie unter Windows Server 2008 (oder Windows 2000/2003) erstellt wurden. Wenn sie von Basisfestplatten konvertiert wurden, ist diese Vergrößerung jedoch nicht möglich. Übergreifende Datenträger Ein übergreifender Datenträger kann Speicherplatz von bis zu 32 physischen Festplatten verwalten. Dieser Datenträgertyp kann jederzeit vergrößert werden, muss jedoch mit NTFS formatiert sein. Nach der Erweiterung eines übergreifenden Datenträgers kann keiner der Bereiche gelöscht werden. Diese Datenträgerart bietet absolut keine Fehlertoleranz, da sie weder gespiegelt (RAID 1) noch Teil eines RAID-5- Verbunds sein kann. 2008, Microsoft Österreich GmbH Seite 26

27 Installation Stripeset-Datenträger Striped Volume (RAID Level 0) Diese Datenträger bestehen aus gleich großen Datenstripes, die sich über 32 Festplatten erstrecken können und auf die gleichzeitig geschrieben wird. Mit Stripeset-Datenträgern wird daher die größte Schreibgeschwindigkeit erreicht. Ein Stripeset-Datenträger kann nach seiner Erstellung nicht mehr in der Größe verändert werden. Er beinhaltet auch keine redundanten Informationen, d. h. wenn eine Festplatte ausfällt, gehen alle Informationen dieses Datenträgers verloren. Diese Variante wurde bisher als Stripe Set bezeichnet. In Windows Server 2008 wird diese Variante nun Stripsetvolume genannt. Abb. 7: RAID-Level-0-Speicherverbund 2008, Microsoft Österreich GmbH Seite 27

28 Installation Gespiegelte Datenträger (RAID Level 1) Unter dieser Bezeichnung versteht man die redundante Speicherung von Daten mithilfe zweier Festplatten. Dabei werden die Daten auf zwei Festplatten gleichzeitig gespeichert, wodurch ein kostengünstiges redundantes System realisierbar ist. Abb. 8: RAID-Level-1-Speicherverbund Da jedoch die Daten jeweils doppelt gehalten werden, steigt auch der Preis pro Megabyte auf mindestens das Doppelte. Allerdings führt der Defekt oder Ausfall eines Datenträgers zu keinem Datenverlust, da die gespeicherten Daten mit dem anderen Datenträger wiederhergestellt werden können. Diese Variante wurde bisher auch als Mirror Set bezeichnet. In Windows Server 2008 wird diese Variante nun gespiegeltes Volume genannt. 2008, Microsoft Österreich GmbH Seite 28

29 Installation RAID-Level-5-Datenträger Bei einem RAID-Level-5-System werden die Paritätsdaten auf alle Laufwerke verteilt. Dies vermeidet den Flaschenhals, der bei anderen RAID-Level-Systemen entstehen kann, da nicht auf ein einziges gemeinsames Laufwerk Korrekturdaten gespeichert werden. Da jedoch bei Lesezugriffen auf ein Laufwerk die Speicherung der Parität auf eben dieses Laufwerk ausgelassen bzw. verschoben wird, sinkt die Gesamtperformance geringfügig unter die Performance anderer RAID-Level- Systeme. Abb. 9: RAID-Level-5-Speicherverbund 2008, Microsoft Österreich GmbH Seite 29

30 Installation RAID Level 10 Ein RAID-Level-10-System ist eine spezielle Kombination der Vorteile eines RAID-Level-0-Systems und eines RAID-Level- 1-Systems. Dabei werden vereinfacht ausgedrückt zwei RAID-Level-1-Systeme als einzelne Datenträger angenommen und diese zu einem gemeinsamen RAID-Level-0-System zusammengefügt. Die Vorteile sind eine bestmögliche Fehlertoleranz sowie die enorme Performance eines solchen Systems. Die Nachteile liegen in den relativ hohen Kosten, da man vom verfügbaren physischen Speicherplatz lediglich die Hälfte effektiv nutzen kann. Der Rest wird zur Spiegelung verwendet. Abb. 10: RAID-Level-10-Speicherverbund 2008, Microsoft Österreich GmbH Seite 30

31 Installation Partitionierung für den Schulbetrieb Empfohlene Aufteilung der Serverplatte für den Schulbetrieb: Partition 1: Zweck: Betriebssystem inkl. der Serveranwendungen Dateisystem: NTFS Größe: 30 GB Partition 2: Zweck: Homeverzeichnisse, Verzeichnisse für Datenaustausch, Workstation-Images Dateisystem: NTFS Größe: - Homeverzeichnisse: 100 MB pro User - Datenaustauschverzeichnis: 5 GB Besonderheit: Kontingente auf die einzelnen Homeverzeichnisse und das Datenaustauschverzeichnis aktivieren Um allerdings auch gegen Datenverlust im Schulbetrieb möglichst gesichert zu sein, ist es empfehlenswert, mindestens zwei Festplatten im Server eingebaut zu haben. Damit ist es möglich, die Spiegelung (RAID 1) zu aktivieren, wie sie in Abb. 8 dargestellt ist. Dazu ist es notwendig, dass nach der Installation des Betriebssystems die Basisfestplatten in dynamische Laufwerke konvertiert werden. Anschließend kann die Spiegelung eingerichtet werden Aktivierung der Serverlizenz Nach der Installation von Windows Server 2008 hat man 30 Tage Zeit, um diese zu aktivieren. Wird die Aktivierung nicht innerhalb dieser 30 Tage vollzogen, kann der Server nur mit sehr reduzierter Funktionalität betrieben werde, d. h. es startet ein Browser, in dem man eine Server-Lizenz erwerben kann, Desktop-Icons bzw. das Startmenü fehlen jedoch. Bei der automatischen Onlineaktivierung wird erst drei Tage nach der ersten Anmeldung ein Aktivierungsversuch unternommen. 2008, Microsoft Österreich GmbH Seite 31

32 Lokale Benutzerverwaltung und in einer Arbeitsgruppe 4 Lokale Benutzerverwaltung und in einer Arbeitsgruppe Dieses Kapitel erläutert die Konfiguration des Benutzermanagements unter Windows Server 2008 in einer lokalen Arbeitsgruppe. 4.1 Überblick Definition für lokale Benutzerverwaltung Der Zugriff auf Ressourcen und Informationen eines Netzwerks kann nicht jedem gestattet werden. Jeder Benutzer muss sich zu diesem Zweck identifizieren, d. h. sich mit seinem Benutzernamen und einem geheimen Kennwort anmelden. Da Windows Server 2008 ein Mehrbenutzerbetriebssystem ist, bedarf es auch einer Möglichkeit, Benutzer und Gruppen anzulegen, um diesen dann Berechtigungen für den Zugriff auf Ressourcen einzuräumen. Generell wird bei der Verwaltung der Benutzer zwischen Einzelplatzrechner und einer Arbeitsgruppe einerseits und einer Domäne andererseits unterschieden. Wenn Einzelplatzrechner und Computer sich in einer Arbeitsgruppe befinden, werden Benutzer immer lokal verwaltet. Nur bei Domänen kann ein Benutzer zentral im so genannten Active Directory angelegt werden und hat somit die Möglichkeit, sich an jedem Rechner in der Domäne anzumelden. Dazu mehr im Kapitel 5 Benutzerverwaltung in einer Domäne (S.41) 4.2 Die Benutzerverwaltung in einer Arbeitsgruppe Bei der Benutzerverwaltung in einer Arbeitsgruppe werden die einzelnen Konten, Benutzer und Gruppenkonten auf der lokalen Workstation oder dem Server einer Arbeitsgruppe angelegt. In diesem Zusammenhang wird sehr häufig der Begriff lokale Benutzerverwaltung verwendet, da die Konten auf jedem einzelnen Arbeitsplatzrechner und Server erstellt werden müssen. Der Windows Server 2008 wird in diesem Fall nicht als Domänencontroller betrieben. Die lokale Benutzerverwaltung steht nur bei Member-Servern und bei Workstations zu Verfügung. So öffnen Sie die lokale Benutzerverwaltung: 1. Klicken Sie auf START VERWALTUNG SERVER-MANAGER. 2. Wählen Sie im linken Teil der Konsole den Punkt KONFIGURATION - LOKALE BENUTZER UND GRUPPEN. 3. Sie können nun zwischen BENUTZER und GRUPPEN wählen. Abb. 11: MMC der lokalen Benutzerverwaltung 2008, Microsoft Österreich GmbH Seite 32

33 Lokale Benutzerverwaltung und in einer Arbeitsgruppe Die Vorgangsweise ist immer dieselbe: Benutzer werden angelegt und anschließend einer oder mehreren Gruppen zugeordnet. Diesen Gruppen werden Berechtigungen erteilt. Ein Benutzer kann beliebig vielen Gruppen zugeordnet werden. Berechtigungen aus den diversen Gruppen addieren sich. Standardmäßig sind zwei Benutzerkonten angelegt. Administrator: Der Benutzer, der alle Rechte und Berechtigungen auf dem Server besitzt und dementsprechend sämtliche Konfigurationsaufgaben erledigen kann. Gast: Stellt ein vordefiniertes Konto dar, mit dem ein Gastzugriff auf den Computer oder die Domäne möglich ist. Die Berechtigungen für diesen Benutzer sind sehr eingeschränkt. Das Konto für den Gastzugriff ist nach der Installation deaktiviert (erkennbar an dem nach unten zeigenden Pfeil im Symbol ) und kann bei Bedarf aktiviert werden. Wenn Sie das Administrator-Konto deaktivieren, können Sie sich nicht mehr am System anmelden. Sie müssen beim Starten des Computers die Taste betätigen, damit Sie in den Abgesicherten Modus wechseln. In diesem Modus können Sie sich als Administrator anmelden, selbst wenn das Konto deaktiviert ist. Jedes Benutzerkonto wird einem Benutzer zugeordnet und kann diverse Informationen speichern Standardgruppen in Windows Server 2008 Unter Windows Server 2008 gibt es folgende Standardgruppen: Abb. 12: MMC der lokalen Benutzerverwaltung 2008, Microsoft Österreich GmbH Seite 33

34 Lokale Benutzerverwaltung und in einer Arbeitsgruppe Administratoren: Mitglieder dieser Gruppe haben vollen Zugriff auf den Server und können Benutzern Berechtigungen einräumen. Wird ein Server einer Domäne hinzugefügt, werden die Administratoren automatisch zu der Gruppe Domänen-Administratoren hinzugefügt. Benutzer: Jeder Benutzer, der in einer Arbeitsgruppe oder Domäne angelegt wird, wird dieser Gruppe standardmäßig zugeordnet. Mitglieder dürfen keine zufälligen oder beabsichtigten Änderungen am System vornehmen, sind aber in der Lage, Anwendungen zu starten, Drucker zu verwenden und den Computer zu sperren. Benutzer können jedoch keine Verzeichnisse freigeben oder lokale Drucker anlegen. Wird der Computer in einer Domäne verwendet, sind die zugeordneten Benutzer automatisch Mitglieder der Gruppen Domänen-Benutzer und Authentifizierte Benutzer sowie der Interaktiv-Gruppe. Distributed COM-Benutzer: Mitglieder dieser Gruppe können Distributed COM-Objekte auf diesem Computer starten, aktivieren und verwenden. Damit ist es z.b. möglich, den Computer über das Netzwerk fernzusteuern. Druck-Operatoren: Diese können Drucker und Druckwarteschlangen managen. Ereignisprotokollleser: Personen, die Mitglieder dieser Gruppe sind, dürfen das Ereignisprotokoll des Computers lesen. Gäste: Für Mitglieder dieser Gruppe wird beim Einloggen ein temporäres Profil angelegt, das beim Abmelden wieder gelöscht wird. Das Gastkonto ist Mitglied dieser Gruppe. Hauptbenutzer: Mitglieder dieser Gruppe besitzen ähnliche Rechte wie Administratoren, mit ein paar Ausnahmen: Sie dürfen Benutzer und Gruppen anlegen, ändern und löschen (ebenso dürfen Sie weitere Hauptbenutzer anlegen), sie haben Zugriff auf Netzwerkfreigaben, dürfen jedoch keinen Besitz von Dateien übernehmen und können keine Dateien und Verzeichnisse sichern bzw. wiederherstellen; außerdem dürfen Mitglieder der Hauptbenutzergruppe keine Gerätetreiber laden und keine Sicherheits- und Überwachungsprotokolle einsehen. IIS_IUSRS: Dieses Konto wird vom eingebauten IIS (Webserver) verwendet, damit sich die Mitglieder dieser Gruppe anonym am Webserver anmelden können. Kryptografie-Operatoren: dürfen Verschlüsslungen oder Konfigurationen durchführen. Leistungsprotokollbenutzer: Diese Gruppe verfügt über Rechte, um die Protokollierung von Leistungsindikatoren auf diesem Computer zu planen. Netzwerkkonfigurations-Operatoren: Mitglieder dieser Gruppe dürfen die TCP/IP-Einstellungen ändern. Standardmäßig sind dieser Gruppe keine Mitglieder zugeordnet. Remotedesktopbenutzer: Alle in dieser Gruppe vorhandenen Benutzer dürfen sich remote an diesem Computer anmelden und ihn fernsteuern. Replikations-Operator: Diese Gruppe unterstützt die Dateireplikation in Domänen. Fügen Sie dieser Gruppe keine Benutzer hinzu. Sicherungs-Operatoren: Mitglieder dieser Gruppe können Daten sichern und wiederherstellen, unabhängig von den Berechtigungen, die für die jeweiligen Daten gelten. Sie können jedoch keine Sicherheitseinstellungen ändern. Systemmonitorbenutzer: Mitglieder dieser Gruppe können den Leistungsmonitor lokal und auf Remoteclients verwenden, ohne dass sie Mitglied der Administratorengruppe sein müssen. Zertifikatsdienst-DCOM-Zugriff: Mitglieder dieser Gruppe sind berechtigt, eine Verbindung mit den Zertifizierungsstellen im Unternehmen herzustellen 2008, Microsoft Österreich GmbH Seite 34

35 Lokale Benutzerverwaltung und in einer Arbeitsgruppe Benutzer einer Arbeitsgruppe manuell anlegen So legen Sie einen lokalen Benutzer an: 1. Klicken Sie auf START VERWALTUNG SERVER-MANAGER. 2. In der Konsolenstruktur klicken Sie auf KONFIGURATION - LOKALE BENUTZER UND GRUPPEN. 3. Klicken Sie auf BENUTZER. 4. Im Menü AKTION klicken Sie auf NEUER BENUTZER Geben Sie die Daten ein und klicken Sie auf ERSTELLEN. 6. Klicken Sie auf SCHLIEßEN. Abb. 13: Anlegen eines neuen Benutzers Um diese Schritte auszuführen, müssen Sie zumindest Mitglied einer der Gruppen Administratoren oder Hauptbenutzer sein oder die Rechte dafür erteilt bekommen haben. Der Benutzername selbst kann bis zu 20 Zeichen lang, muss jedoch eindeutig sein. Zeichen, die nicht verwendet werden dürfen, sind: / \ [ ] : ;, + *? < > Außerdem darf der Benutzername nicht nur aus Punkten und Leerzeichen bestehen. Im Feld Kennwort und Kennwort bestätigen können Sie ein Passwort mit einer Länge von bis zu 127 Zeichen eingeben. 2008, Microsoft Österreich GmbH Seite 35

36 Lokale Benutzerverwaltung und in einer Arbeitsgruppe In einem Netzwerk, in dem Clients verwendet werden, die Windows 95 oder Windows 98 benutzen, sollte das Kennwort nicht länger als 14 Zeichen sein, da die Benutzer sich sonst möglicherweise nicht anmelden können. In der Detailansicht auf der rechten Seite der Konsole werden die Benutzer nun angezeigt. Sofern diese nicht mit einem nach unten zeigenden Pfeil gekennzeichnet sind, können sich diese Benutzer nun am System anmelden. Dieser Pfeil bedeutet, dass das Konto deaktiviert ist. Sie müssen es zuerst aktivieren, damit sich die Benutzer anmelden können. Abb. 14: Benutzerverwaltung - mit einem deaktivierten Benutzerkonto Mit einem Doppelklick auf den entsprechenden Benutzer können Sie die Eigenschaften über die einzelnen Register des angezeigten Dialogfensters bearbeiten. Folgende Register stehen bei der lokalen Benutzerverwaltung zur Verfügung: ALLGEMEIN Hier können Sie den Namen und die Beschreibung für den Benutzer ändern. Weitere Optionen sind: Benutzer muss Kennwort bei der nächsten Anmeldung ändern Benutzer kann Kennwort nicht ändern Kennwort läuft nie ab Konto ist deaktiviert Konto ist gesperrt MITGLIED VON Teilen Sie dem Benutzer eine oder mehrere Gruppen zu, indem Sie auf den Knopf HINZUFÜGEN drücken. Danach drücken Sie auf ERWEITERT und JETZT SUCHEN, wählen eine Gruppe von den Suchergebnissen aus und bestätigen mit OK. PROFIL Hier können Sie einen Profilpfad sowie ein Anmeldeskript angeben, das beim Anmelden ausgeführt wird. Für eine genauere Beschreibung sehen Sie sich den Punkt Benutzerprofile weiter unten an. 2008, Microsoft Österreich GmbH Seite 36

37 Lokale Benutzerverwaltung und in einer Arbeitsgruppe Wollen Sie servergelagerte Profile verwenden, müssen Sie hier UNC-Pfade zu einer Netzwerkfreigabe angeben, auf die der Benutzer Schreibrechte besitzt. UMGEBUNG SITZUNGEN REMOTEÜBERWACHUNG Hier können Sie die Startumgebung für die Terminaldienste konfigurieren. Stellt Konfigurationsmöglichkeiten der Zeitlimits für Terminaldienste zur Verfügung Auf diesem Reiter werden die Remotesteuerungseinstellungen für die Terminaldienste bearbeitet. TERMINALDIENSTPROFILE Für die Terminaldienste können Sie eigene Profile definieren. EINWÄHLEN Erteilt oder verweigert dem Benutzer Einwahlrechte auf dem Server. Sobald ein Benutzer sich das erste Mal an einem System anmeldet, wird an dem lokalen Rechner, an dem sich der Benutzer befindet, ein Unterverzeichnis im Ordner C:\Benutzer für diesen User angelegt. In diesem Ordner dem Profilordner des Benutzers werden die persönlichen Dateien, die persönlichen Anwendungsdaten und die persönlichen Einstellungen des Benutzers gespeichert. Wird ein Benutzer gelöscht, bleiben die Dateien und Ordner des Benutzers im Verzeichnis Benutzer erhalten. Dies hat aber auch Nachteile: Meldet sich der Benutzer von einem anderen Computer am System an, so kann er nicht ohne weiteres auf seine persönlichen Daten zugreifen, da diese eben nicht auf dem aktuellen Rechner gespeichert sind. Ein weiteres Problem stellt die Datensicherung dar: Soll eine zentrale Datensicherung implementiert werden, dann müssen die Daten auch zentral verfügbar gemacht werden. Einen Ausweg aus diesem Dilemma bieten uns Benutzerprofile an. Sehen Sie sich hierzu den Punkt Benutzerprofile Kap.: 5 (S.52) an Eine lokale Gruppe manuell anlegen So legen Sie eine neue Gruppe an: 1. Klicken Sie auf START VERWALTUNG SERVER-MANAGER. 2. In der Konsolenstruktur klicken Sie auf KONFIGURATION - LOKALE BENUTZER UND GRUPPEN. 3. Klicken Sie auf GRUPPEN. 4. Im Menü AKTION wählen Sie NEUE GRUPPE Geben Sie den Namen der Gruppe im Feld Gruppenname ein. 6. Ergänzen Sie eventuelle Benutzernamen mittels HINZUFÜGEN. 7. Klicken Sie auf ERSTELLEN. 8. Klicken Sie auf SCHLIEßEN. Bei der Namensgebung für Gruppen gelten die gleichen Regeln, wie für Benutzernamen. Über die Auswahl der Gruppeneigenschaften (Rechtsklick auf den Gruppennamen), können Sie nachträglich prüfen, welche Benutzer einer Gruppe zugeordnet sind. 2008, Microsoft Österreich GmbH Seite 37

38 Lokale Benutzerverwaltung und in einer Arbeitsgruppe 4.3 Routing und RAS (Remote Access Service) Allgemeines Das Routing und der Remote Access Service werden in einem Netzwerk benötigt, um Verbindungen zu anderen Netzwerken zu ermöglichen. Unter Windows Server 2008 können Sie mit Routing und RAS folgende Aufgaben bewältigen: Verbinden von LAN-Segmenten (Subnetzen) in einem Netzwerk Verbinden von Intranets, die sich an verschiedenen Standorten befinden Bereitstellen des Zugriffs auf eigene Netzwerkressourcen für Remotecomputer Damit all dies ermöglicht wird, benötigen Sie einen Router. Ein Router ist ein Gerät, das die Fähigkeit besitzt, Pakete zwischen Teilen eines Netzwerks weiterzuleiten. Er ermöglicht darüber hinaus die Skalierung eines Netzwerks und die Verwaltung der verwendeten Bandbreite. Grundsätzlich gib es zwei verschiedene Typen von Routern: Hardwarerouter Ein dediziertes Gerät, auf dem eine spezielle Software ausgeführt wird, die ausschließlich dem Routing dient. Softwarerouter Ein Router, der sowohl Routing als auch andere Aufgaben übernimmt. Im Falle von Windows Server 2008-Routing und RAS handelt es sich dabei um einen solchen Dienst. Eine Routinglösung besteht immer aus drei verschiedenen Komponenten: einer Routingschnittstelle, einem Routingprotokoll und Routingtabellen Die Routingschnittstelle Eine physische oder logische Schnittstelle, über welche die Pakete weitergeleitet werden. Windows Server 2008 unterscheidet hier zwischen zwei verschiedenen Typen: LAN-Schnittstellen (Local Area Network, lokales Netzwerk) Dieser Schnittstellentyp entspricht einer gewöhnlichen Netzwerkkarte. In der Regel bedarf es keines Authentifizierungsvorgangs, um diese Schnittstelle zu aktivieren. Schnittstellen für Wählen bei Bedarf Dieser Typ ist eine Punkt-zu-Punkt-Verbindung, die nur nach einer Authentifizierung zustande kommt. Eine Implementierung dieses Typs findet man vor allem bei der Verwendung von VPNs (Virtual Private Networks, virtuelle private Netzwerke). Ein VPN ist die Erweiterung eines privaten Netzwerks über ein öffentliches Netzwerk Die Routingtabelle Diese Tabelle besteht aus einer Reihe von Routen, die Informationen zu bestimmten Positionen der Netzwerkkennungen in einem Netzwerk enthalten. Mithilfe dieser Informationen kann die optimale Route in einem Netzwerk berechnet werden. Routingtabellen werden aber nicht nur in Routern angewendet, sondern auch ganz normale Hosts (Computer) besitzen Routingtabellen. 2008, Microsoft Österreich GmbH Seite 38

39 Lokale Benutzerverwaltung und in einer Arbeitsgruppe In einer Routingtabelle gibt es drei verschiedene Eintragstypen: Netzwerkroute Stellt einen Pfad zu einer bestimmten Netzwerkkennung dar Hostroute Dies ist ein Pfad zu einer Netzwerkadresse. Damit werden im Normalfall benutzerdefinierte Routen zu bestimmten Computern erstellt, um den Verkehr zu steuern und zu optimieren. Standardroute Falls keine Routen für ein bestimmtes Ziel gefunden werden, wird die Standardroute verwendet, um die Pakete weiterzuleiten. Dadurch wird die Konfiguration der einzelnen Hosts vereinfacht. So zeigen Sie die Routinginformationen des lokalen Rechners an: 1. Klicken Sie auf START AUSFÜHREN. 2. Geben Sie bei Öffnen den Befehl CMD ein und bestätigen Sie mit. 3. An der Eingabeaufforderung geben Sie den Befehl ROUTE PRINT ein und drücken Sie. Abb. 15: Anzeige der Routinginformationen 2008, Microsoft Österreich GmbH Seite 39

40 Lokale Benutzerverwaltung und in einer Arbeitsgruppe Jeder Eintrag in der Routingtabelle besteht aus folgenden Informationsfeldern: Feld Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik Bedeutung Gibt das Netzwerkziel der Route an. Dort kann eine IP-Netzwerkadresse (die Hostbits sind auf 0 gesetzt), eine IP-Adresse oder im Fall der Standardroute stehen. Gibt die Subnetzmaske an, die dem Netzwerkziel zugeordnet ist. Die Werte entsprechen entweder einer Subnetzmaske für eine IP-Netzwerkadresse, für eine Hostroute bzw für die Standardroute. Gibt die Weiterleitungs-IP-Adresse bzw. IP-Adresse der nächsten Abschnitte bekannt, über die die definierten Adressen erreichbar sind. Gibt die Nummer der Netzwerkschnittstelle für die angegebene Route an. Stellt ein ganzzahliges Kostenmaß für eine Route dar. Üblicherweise wird die Route mit der niedrigsten Anzahl verwendet. 2008, Microsoft Österreich GmbH Seite 40

41 Benutzerverwaltung in einer Domäne 5 Benutzerverwaltung in einer Domäne Mit der Einführung des Active Directorys in Windows 2000 wurde ein neuer Verzeichnisdienst eingeführt, der bei Windows Server 2008 erweitert wurde. Das Active Directory ist somit das Zentrum für die Sicherheit und Delegierung von Verwaltungsberechtigungen einer Windows Server 2008-Domäne. Im übertragenen Sinn ist ein Verzeichnisdienst mit einem Telefonbuch vergleichbar. Im Verzeichnisdienst von Windows Server 2008 dem Active Directory sind Benutzer, Gruppen und andere Ressourcen hinterlegt. In modernen Netzwerken, in welchen sich mehrere Server befinden, auf denen die Ressourcen verteilt sind, benötigen wir Verzeichnisdienste, um Benutzer und Ressourcen finden zu können. Mit der steigenden Zahl der Benutzer und Server eines Netzwerks heute hat jeder Benutzer sein eigenes Benutzerkonto sind derartige Verzeichnisdienste unerlässlich. Darin werden diverse Objekte wie Benutzer, Gruppen, Freigaben von Verzeichnissen usw. hinterlegt. Jedes dieser Objekte verfügt dabei wieder über diverse Attribute wie z. B. die -Adresse eines Benutzers. Verzeichnisdienste werden damit zu einer zentralen Informationsstelle für die Benutzer des Netzwerks. Begriffe im Active Directory Im Active Directory werden unterschiedliche Begriffe verwendet, die im Folgenden kurz erläutert werden. Mögliche Objekte im Active Directory sind: Gesamtstruktur, Struktur Domäne Organisationseinheit Benutzer Gruppe Freigegebene Ordner Computer Drucker In einer Schule können mehrere Hundert oder auch Tausend dieser Objekte auftreten. Um eine Übersicht über die große Zahl dieser Objekte zu erhalten, werden sie nach logischen und/oder physischen Gesichtspunkten gruppiert. Die Organisationseinheit stellt die unterste Ebene für die Planung des Active Directorys dar. Sofern Windows Server 2008 in der Betriebsart Windows Server 2008 betrieben wird, kann eine Organisationseinheit selbst wieder eine oder mehrere Organisationseinheiten enthalten. Jede Organisationseinheit dient letztlich der Aufnahme von Objekten wie Benutzern, Gruppen oder Ressourcen sowie der Delegierung von Verwaltungsrechten oder der Hinterlegung von Gruppenrichtlinien. 2008, Microsoft Österreich GmbH Seite 41

42 Benutzerverwaltung in einer Domäne Eine zentrale Stelle im Active Directory nimmt die Domäne ein. Sie ist die unterste Einheit für die zentrale Verwaltung also die Administration der Benutzer und Gruppen. Daneben ist eine Domäne die natürliche Grenze für Sicherheitseinstellungen. Berechtigungen können innerhalb einer Domäne vererbt werden, aber nicht über diese hinaus. Da das primäre Kommunikationsprotokoll von Windows Server 2008 TCP/IP ist, wird zur Identifizierung der Domäne der DNS-Name verwendet. In diesem Skriptum wird allgemein der DNS-Name MeineSchule.at verwendet. Bei einer konkreten Installation sollten Sie den DNS-Namen Ihrer Schule verwenden. In jeder Domäne muss mindestens ein Domänencontroller und ein Windows DNS-Server für diese Domäne betrieben werden. Aus Gründen der Ausfallsicherheit sollten in jeder Domäne jedoch mindestens zwei Domänencontroller betrieben werden. Die höhere Ausfallsicherheit für das Active Directory führt auch zu einer Lastverteilung bei der Anmeldung der Benutzer. Bsp.: An einer durchschnittlichen Schule mit 500 Benutzern soll ein Windows Server 2008-Netzwerk mit mehreren Servern installiert werden. Der DNS-Name der Schule lautet MeineSchule.at. Für diese Schule ist eine einzige Domäne vorgesehen. Visuell wird diese durch ein Dreieck dargestellt. Gruppen in der Domäne MeineSchule.at user Benutzer in der Domäne MeineSchule.at Domänencontroller, Server und Workstations Abb. 16: Domäne MeineSchule.at mit Benutzern, Gruppen und Servern 2008, Microsoft Österreich GmbH Seite 42

43 Benutzerverwaltung in einer Domäne 5.1 Planung des Active Directorys Bevor Benutzer, Gruppen oder Computerkonten im Active Directory erstellt werden, sollte das Active Directory bezüglich der Gliederung in Organisationseinheiten geplant werden. Leider gibt es dafür kein Universalrezept, da jede Schule ihre Eigenheiten hat. In den meisten Fällen wird man mit einer einzigen Domäne auskommen und kein Multidomänen-Modell verwenden. Auf jeden Fall sollte man Benutzer, Gruppen und Computerkonten in getrennten Organisationseinheiten ablegen. Grundlage für die Organisation könnte das Organigramm der Schule durch Einteilung in Klassen etc. sein. Ein möglicher Vorschlag für die Organisation der Benutzer und Gruppenkonten könnte so aussehen: Abb. 17: Ein Vorschlag für die Organisation der Benutzer und Computerräume (Fensterausschnitt des Server-Managers) Anmerkung: Seit Windows Server 2003 ist es möglich, Organisationseinheiten mittels Drag-and-drop also durch Ziehen mit der Maus zu verschieben. Falls Sie also den ersten Entwurf des Active Directorys verändern wollen, so ist dies jederzeit durch Verschieben möglich. 2008, Microsoft Österreich GmbH Seite 43

44 Benutzerverwaltung in einer Domäne 5.2 Domänenfunktionsebene Bevor Sie sich mit dem Anlegen von Benutzern und Gruppen beschäftigen, sollten Sie die aktuelle Domänenfunktionsebene kontrollieren. So überprüfen Sie die aktuelle Domänenfunktionsebene: 1. Klicken Sie auf START VERWALTUNG. 2. Wählen Sie den Punkt SERVER-MANAGER aus. 3. Öffnen Sie die Knoten ROLLEN ACTIVE DIRECTORY DOMÄNENDIENSTE ACTIVE DIRECTORY-BENUTZER UND -COMPUTER 4. Machen Sie auf den Knoten MEINESCHULE.AT einen Rechtsklick und wählen Sie im Kontextmenü die Funktion DOMÄNENFUNKTIONSEBENE HERAUFSTUFEN aus. Abb. 18: Ausschnitt des Server-Managers Windows Server 2008 kennt drei unterschiedliche Domänenfunktionsebenen: Windows Server 2000: Diese Domänenfunktionsebene muss gewählt werden, wenn Sie noch einen Windows Server 2000-Domänencontroller betreiben. Windows Server 2003: Diese Domänenfunktionsebene muss gewählt werden, wenn Sie noch einen Windows Server 2003-Domänencontroller betreiben. 2008, Microsoft Österreich GmbH Seite 44

45 Benutzerverwaltung in einer Domäne Windows Server 2008: Die höchste Ebene setzt voraus, dass alle Domänencontroller der Domäne mit dieser Domänenfunktionsebene betrieben werden. Beachten Sie, ein Herunterstufen der Domänenfunktionsebene ist nicht möglich! Wenn Sie also keinen Windows Server 2000/2003-Domänencontroller betreiben, sollten Sie auf jeden Fall die Domänenfunktionsebene Windows Server 2008 verwenden. Nur in dieser Funktionsebene stehen Ihnen die neuen Erweiterungen wie z. B. unterschiedliche Kennwortlängen für Benutzer einer Domäne, Auditing von Änderungen im Active Directory usw. zur Verfügung. Das neue Active Directory bietet nicht nur sinnvolle Erweiterungen an, sondern ist erstmals als Dienst realisiert. Dies bedeutet, dass Sie jederzeit das Active Directory herunterfahren und warten können, ohne dass Sie den Server herunterfahren müssen. Abb. 19: Neu Starten des Dienstes Active Directory-Domänendienste 2008, Microsoft Österreich GmbH Seite 45

46 Benutzerverwaltung in einer Domäne 5.3 Anlegen eines Benutzers im Active Directory Nachdem das Active Directory eine Struktur von Organisationseinheiten erhalten hat, müssen die Benutzer- und Gruppenkonten einer Domäne eingerichtet werden. Dabei sind für jeden Benutzer ein Benutzername, ein Kennwort, ein persönlicher Ordner, ein Ordner für sein Benutzerprofil, eine -Adresse etc. anzulegen oder zu vergeben. Der persönliche Ordner wird sehr häufig auch Home- oder Basisordner des Benutzers genannt. Dieser Ordner dient zum Speichern von persönlichen Dokumenten, auf die außer dem Benutzer niemand zugreifen soll. Auf diesen Ordner haben nur der Benutzer und die Gruppe der Domäne Administratoren-Zugriff. Bei mehreren Hundert Benutzern kann diese Arbeit allerdings nicht mehr manuell bewältigt werden und es stellt sich die Frage, welche Programme diese Arbeit übernehmen sollen. Neben Scripting mit Windows Scripting Host bzw. der neuen PowerShell lieferte Microsoft mit Windows Server 2003 bereits Commandline-Tools wie z. B. dsadd.exe aus, mit deren Hilfe Objekte im Active Directory angelegt, gelöscht oder abgefragt werden können. Neben den bereits erwähnten Tools gibt es aber noch eine Vielzahl anderer Programme, wie z. B. euser, die kostenlos oder gegen Entgelt angeboten werden. euser wurde von Georg Steingruber erstellt. Dieses Programm können Schulen kostenlos über die Website beziehen. 2008, Microsoft Österreich GmbH Seite 46

47 Benutzerverwaltung in einer Domäne Manuelle Anlage eines Benutzerkontos im Active Directory Im Gegensatz zur lokalen Benutzerverwaltung einer Arbeitsgruppe werden die Benutzer, Gruppen und Computer einer Domäne mit dem zentralen Verwaltungsprogramm, dem SERVER-MANAGER, verwaltet. Alternativ können Sie auch das Programm ACTIVE DIRECTORY-BENUTZER UND -COMPUTER aus der Gruppe VERWALTUNG starten. Abb. 20: Server-Manager Nachdem Sie Active Directory installiert haben, geschieht die Benutzer- und Gruppenverwaltung nur mehr im Server-Manager, mit dem Sie das Active Directory bearbeiten können. Der Knoten Lokale Benutzer und Gruppen in der Computerverwaltung wird deaktiviert. Eine der Maximen in einem Netzwerk ist die Kontinuität. Benutzernamen, Gruppen und Namen von Ressourcen sollten immer nach einem bestimmten Schema aufgebaut werden. Bevor Sie sich an die manuelle Anlage der Benutzer und Gruppen in Ihrem Active Directory machen, sollten Sie sich zuerst eine eindeutige Namenskonvention überlegen. Wie soll das Benutzerkonto bei der Anmeldung heißen? Dafür gibt es unterschiedliche Möglichkeiten, die am Beispiel des Benutzers John Doe kurz erläutert werden: Soll der Benutzeranmeldename John.Doe Doe.John JDoe oder JohnD lauten? 2008, Microsoft Österreich GmbH Seite 47

48 Benutzerverwaltung in einer Domäne Weitere Fragen in diesem Zusammenhang sind: Sollen die Benutzernamen auf eine bestimmte Zahl von Zeichen beschränkt werden? Wie geht man mit Zeichen um, die nicht im amerikanischen Zeichensatz enthalten sind z. B. Umlaute? So legen Sie im Active Directory einer Domäne einen Benutzer an: 1. Klicken Sie auf START VERWALTUNG. 2. Wählen Sie den Punkt SERVER-MANAGER aus. 3. Öffnen Sie die Knoten ROLLEN ACTIVE DIRECTORY DOMÄNENDIENSTE ACTIVE DIRECTORY-BENUTZER UND -COMPUTER 4. Navigieren Sie in den Ordner USER. Sie müssen die Struktur so weit öffnen, dass Sie den Knoten USER sehen können. 5. Machen Sie auf den Konten USER einen Rechtsklick und wählen Sie im Kontextmenü die Funktion NEU BENUTZER aus. 2 Besser wäre es, wenn Sie unterhalb des Knotens MEINESCHULE.AT eine Organisationseinheit BENUTZER anlegen, in der sich bei Bedarf weitere organisatorische Einheiten wie z. B. KLASSE und 1A befinden, wo dann letztlich die Schüler der 1a angelegt werden. Abb. 21: Microsoft Management Console Active Directory-Benutzer und -Computer 2 Hier wird nur exemplarisch gezeigt, wie man ein Benutzerkonto anlegen kann. Sie sollten in Ihrer Domäne unbedingt die Schüler und Lehrer in unterschiedlichen Organisationseiheiten anlegen. Auf dem Kompatibilitätsordner Users können keine Gruppenrichtlinien hinterlegt werden. Darüber hinaus ist es auch nicht möglich, weitere Organisationseinheiten unterhalb des Ordners Users anzulegen. 2008, Microsoft Österreich GmbH Seite 48

49 Benutzerverwaltung in einer Domäne 5. Der Assistent zum Anlegen eines neuen Benutzerobjekts wird angezeigt. Er unterscheidet sich geringfügig von der lokalen Benutzererstellung. Abb. 22: Anlage eines Benutzerkontos in der organisatorischen Einheit BENUTZER KLASSE 1A 6. Auf der ersten Seite geben Sie die Anmeldedaten des Benutzers ein. Danach klicken Sie auf WEITER. 7. Geben Sie das Kennwort des Benutzers ein und wählen Sie aus den Kontooptionen die gewünschten Punkte. 8. Klicken Sie anschließend auf WEITER. Abb. 23: Letztes Fenster bei der Anlage eines Benutzers 2008, Microsoft Österreich GmbH Seite 49

50 Benutzerverwaltung in einer Domäne 9. Im abschließenden Fenster müssen Sie noch das Kennwort des Benutzers eingeben. Beachten Sie bitte: Die Standardeinstellungen der Domänenrichtlinien verlangt, dass das Kennwort des Benutzerkontos mindestens sieben Zeichen lang und komplex 3 sein muss. 10. Beenden Sie die Anlage eines neuen Benutzers, indem Sie abschließend auf FERTIGSTELLEN klicken. So bearbeiten Sie die Benutzereigenschaften: 1. Öffnen Sie über den Punkt VERWALTUNG das Programm SERVER-MANAGER Wählen Sie den Ordner USERS in Ihrer Domäne aus. 3. In der Detailansicht auf der rechten Seite der Konsole werden die angelegten Benutzer und Gruppen aufgelistet. 4. Wählen Sie einen Benutzer und öffnen Sie das Eigenschaftenfenster mittels eines Doppelklicks auf diesen bzw. über das Kontextmenü EIGENSCHAFTEN. Abb. 24: Das Dialogfenster Benutzereigenschaften Nachdem das Benutzerkonto angelegt ist, müssen weitere Informationen für dieses Konto angegeben werden. Zu den minimalen Einstellungen, die Sie unbedingt angeben müssen, gehören für jeden Benutzer: 3 Komplexe Kennwörter erfüllen mindestens drei von vier Voraussetzungen. Derartige Kennwörter müssen sowohl Klein- und Großbuchstaben als auch Ziffern und/oder Sonderzeichen enthalten. 4 Alternativ können Sie auch das Programm ACTIVE DIRECTORY-BENUTZER UND COMPUTER verwenden. 2008, Microsoft Österreich GmbH Seite 50

51 Benutzerverwaltung in einer Domäne Basisordner des Benutzers: Dieser Ordner dient dem Benutzer für die Ablage seiner Dateien und ist somit ein persönlicher Ordner. Auf diesen Ordner sollten nur der Benutzer und der Administrator des Netzwerks zugreifen können. Dieser Ordner sollte unbedingt versteckt freigegeben werden. Profil-Ordner: Ordner, in dem das Profil des Anwenders gespeichert wird. In diesem Ordner werden Daten oder Einstellungen wie Maus für Links- oder Rechtshänder, Hintergrund eines Desktops, Lesezeichen in Hilfedateien, Favoriten, der Ordner Eigene Dateien etc. hinterlegt. Als Pfad für diesen Ordner kann z. B. ein eigener Profil-Freigabeordner \\srv01\profile$\max.mustermann.v2 angegeben werden. Alternativ kann der Ordner auch in den Basisordner des Benutzers gelegt werden. Falls Sie zu dieser Variante tendieren, sollten Sie sich unbedingt eine Struktur überlegen, um Schüler- und Lehrerprofile unterscheiden zu können. Lehrerprofile könnten z. B. auf der Freigabe \\srv01\lehrer$ abgelegt werden. Damit wird das Löschen von Schülerprofilen am Jahresende wesentlich erleichtert. Anmeldeskript: Mit einem Skript, einer Batch-Datei oder einem Programm, das bei der Anmeldung des Benutzers gestartet wird, wird die Arbeitsumgebung des Benutzers eingestellt. Üblicherweise werden allerdings seit Windows Server 2003 die Anmeldeskripts über Gruppenrichtlinien realisiert. Abb. 25: Eigenschaften des Benutzers Max Mustermann 2008, Microsoft Österreich GmbH Seite 51

52 Benutzerverwaltung in einer Domäne Aus der Vielzahl der Register lässt sich sofort erahnen, dass noch viele zusätzliche Einstellungen und Angaben pro Benutzer vorgenommen werden können. Allerdings haben Sie mit der Einstellung des Profilpfads und des Basisverzeichnisses die absolut notwendigen Arbeiten für die Anmeldung eines Benutzers abgeschlossen Benutzerprofile Mithilfe von Benutzerprofilen werden die Desktopeinstellungen für die Arbeitsumgebung der einzelnen Benutzer erstellt und gepflegt. Für jeden Benutzer wird ein solches Profil angelegt, wenn er sich zum ersten Mal an einem Computer anmeldet. Die Verwendung von Benutzerprofilen bietet durchaus Vorteile: Mehrere Benutzer können einen Computer verwenden. Wenn sich die Benutzer an ihren einzelnen Arbeitsstationen anmelden, werden die ursprünglich festgelegten Desktopeinstellungen wiederhergestellt. Anpassungen des Desktops haben keinerlei Auswirkung auf andere Benutzer. Benutzerprofile können auf dem Server gespeichert werden und sind so innerhalb des Netzwerks auf jedem Rechner verfügbar. Unter Windows Server 2008 gibt es verschiedene Arten von Benutzerprofilen: Lokale Benutzerprofile: Diese werden lokal auf dem Datenträger erstellt und sind nur auf diesem verfügbar. Lokale Benutzerprofile werden nicht in den Eigenschaften eines Benutzers eingetragen. Servergespeicherte persönliche Benutzerprofile werden von Administratoren in den Eigenschaften des Benutzers eingetragen und auf dem Server gespeichert. Bei jeder Anmeldung des Benutzers werden dessen Daten über das Netzwerk auf den Computer übertragen, an dem sich der Benutzer anmeldet. Bei der Abmeldung wird das Profil des Benutzers wieder auf den Server, auf dem die servergespeicherten Profile liegen, gespeichert. Temporäre Benutzerprofile werden dann verwendet, wenn das eigene Benutzerprofil aus irgendwelchen Gründen nicht geöffnet bzw. nicht heruntergeladen werden kann. Änderungen, die an temporären Benutzerprofilen durchgeführt werden, können nicht im servergespeicherten Profil des Benutzers gespeichert werden. Verbindliche Profile: Dies sind servergespeicherte Profile, die vom jeweiligen Benutzer nicht geändert werden können. Lediglich Administratoren können Änderungen an den Einstellungen vornehmen. Um ein verbindliches Profil zu erstellen, muss lediglich die Datei Ntuser.dat im Profil-Ordner in Ntuser.man umbenannt werden. Verbindliche Profile sind auch für eine oder mehrere Gruppen von Benutzern möglich. Superverbindliche Profile: Diese stellen eine Steigerungsstufe der verbindlichen Profile dar. Ein Benutzer mit einem superverbindlichen Profil kann sich nur dann anmelden, wenn das verbindliche Profil am Server bereitgestellt wird, andernfalls ist eine Anmeldung nicht möglich! Vor allem in größeren Netzwerken und in Netzwerken, in denen die Benutzer häufig an verschiedenen Rechnern arbeiten, bieten servergespeicherte Benutzerprofile einige Vorteile: Die Administration erfolgt zentral. Rechner können problemlos getauscht werden, da die Benutzerprofildaten jedes Mal vom Server geladen werden. Datensicherungen können ebenfalls am Server durchgeführt werden. Viele Benutzer speichern wichtige Dateien zuerst einmal auf dem Desktop ein Ordner des Profils und nicht im persönlichen Ordner. 2008, Microsoft Österreich GmbH Seite 52

53 Benutzerverwaltung in einer Domäne Den Benutzern steht bei jeder Anmeldung ihre gewohnte Arbeitsumgebung Desktophintergrund, Drucker etc. zur Verfügung. Der einzige Nachteil ist, dass die Übertragung dieser Dateien beim An- und Abmeldevorgang sehr lange dauern kann. Hinweis: Sie haben dennoch über Gruppenrichtlinien die Möglichkeit, bestimmte Dateitypen von der Übertragung auszuschließen. Bevor Sie aber einen Profil-Ordner bei einem der Benutzer eintragen, müssen Sie unbedingt die Freigabe des Ordners erstellen. Da der Ordner beim Suchen nach Ressourcen nicht angezeigt werden soll, empfiehlt es sich, den Ordner versteckt freizugeben siehe dazu auch Kapitel 7. So erstellen Sie ein vorkonfiguriertes Benutzerprofil: 1. Erstellen Sie ein neues Benutzerkonto, dessen Profil als Vorlage verwendet werden soll. 2. Melden Sie sich mit diesem neuen Benutzernamen an Ihrem Windows Vista-PC an. 3. Passen Sie den Desktop an und installieren Sie Anwendungen, um das Profil dieses Benutzers zu konfigurieren. 4. Melden Sie sich ab, und melden Sie sich als Administrator an. 5. Klicken Sie auf START SYSTEMSTEUERUNG SYSTEM UND WARTUNG. Klicken Sie auf der linken Seite auf den Textlink ERWEITERTE SYSTEMEINSTELLUNGEN. 6. In dem sich öffnenden Fenster wechseln Sie nun in das Register ERWEITERT und klicken Sie bei BENUTZERPROFILE auf EINSTELLUNGEN. 7. Wählen Sie bei AUF DIESEM COMPUTER GESPEICHERTE PROFILE das soeben erstellte Benutzerprofil aus. 8. Klicken Sie auf KOPIEREN NACH Falls Sie ein Standardprofil für die gesamte Domäne wünschen, geben Sie den Pfad zu \\SRV01\NETLOGON\Default User.V2 auf dem Domänencontroller ein. Auf diese Weise wird das Standardbenutzerprofil für die Domäne erstellt. Wollen Sie lediglich für den lokalen Computer das Standardprofil ändern, kopieren Sie das Profil in das Verzeichnis sytemroot\users\default. 9. Klicken Sie unter Benutzer auf ÄNDERN. 10. Geben Sie bei OBJEKTNAMEN Jeder ein. Kopieren und Löschen von Benutzerprofilen auf dem lokalen PC Das Kopieren und Löschen von Profilen geschieht jeweils in den ERWEITERTEN EINSTELLUNGEN des Programms SYSTEM UND WARTUNG. Wechseln Sie in dem sich öffnenden Fenster in das Register ERWEITERT, in dem Sie den Abschnitt BENUTZERPROFILE finden. Klicken Sie weiter auf die Schaltfläche EINSTELLUNGEN, um das Fenster Benutzerprofile zu öffnen. Beachten Sie jedoch, dass Sie kein Benutzerprofil kopieren oder löschen können, das zu dem aktuell angemeldeten Benutzer oder einem beliebigen Benutzer gehört, dessen Profil gerade in Verwendung ist. Diese Vorgangsweise mag für einen oder einige wenige PCs durchaus sinnvoll sein, aber nicht für PCs, die im ganzen Bereich der Schule verteilt sind und deren Anzahl weit darüber hinausgeht. Seit mehr als vier Jahren existiert das Programm delprof.exe, mit dem Benutzerprofile auf Remote-Workstations gelöscht werden können. Dieses Programm können Sie von herunterladen. 2008, Microsoft Österreich GmbH Seite 53

54 Benutzerverwaltung in einer Domäne So erstellen Sie ein servergespeichertes Benutzerprofil für einen Benutzer: 1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie im Kontextmenü des entsprechenden Benutzers auf EIGENSCHAFTEN. 3. Klicken Sie auf die Registerkarte PROFIL. 4. Geben Sie im Profilpfad die Pfadinformationen im Format \\Servername\Freigabename$\Benutzername ein. Beachten Sie, Windows Vista hängt automatisch.v2 an den Namen des Profils an, wodurch es möglich ist, dass Sie sowohl auf Windows XP Professional- als auch Windows Vista-PCs arbeiten können. Die beiden Profile sind jedoch unabhängig voneinander! 5. Klicken Sie auf OK. Sollten Sie servergespeicherte Benutzerprofile verwenden, beachten Sie, dass Sie bei der Installation von Anwendungen immer nur an einem Rechner gleichzeitig angemeldet sind, da sonst beim An- und Abmelden des Benutzers Anwendungseinstellungen, die in der Registrierung abgelegt werden, gelöscht werden könnten. So erstellen Sie ein verbindliches Benutzerprofil: 1. Navigieren Sie zum Profilordner des Benutzers, dessen Profil Sie ändern wollen. 2. Ändern Sie die auf dem Server gespeicherte Datei Ntuser.dat in Ntuser.man. Durch diese Erweiterung wird das persönliche Profil zu einem verbindlichen Profil, das nicht geändert werden kann. Der Benutzer erhält bei jedem Anmeldevorgang das gleiche Profil. Änderungen werden nicht gespeichert. Als Profilpfad sollte für jedes Benutzerkonto ein vollständiger Pfad angegeben werden, z. B. \\Server\Freigabename$\Benutzername. Falls Sie bei mehreren Benutzern den Profilpfad gleichzeitig eintragen wollen, verwenden Sie allerdings \\Server\Freigabename$\%username%. Die Environmentvariable %username% wird beim Schließen des Eigenschaftenfensters automatisch in den richtigen Benutzernamen geändert. 5.4 Gruppenverwaltung im Active Directory Jede Gruppe im Active Directory verfügt über einen Bereich, der bestimmt, in welchem Umfang die Gruppe verwendet werden kann. Dabei unterscheidet Windows Server 2008 zwischen drei verschiedenen Gruppenbereichen und zwei Gruppentypen. 2008, Microsoft Österreich GmbH Seite 54

55 Benutzerverwaltung in einer Domäne Gruppenbereiche Lokale Gruppen (in Domäne) 5 Die Mitglieder einer domänenlokalen Gruppe können für die direkte Zuweisung auf spezielle Ressourcen, die nicht direkt im Active Directory gespeichert werden (z. B. Dateiserverfreigaben und Druckerwarteschlangen), verwendet werden. Die Gruppen werden jedoch nur dazu benutzt, um Berechtigungen innerhalb einer Domäne zuzuweisen. Achtung: Unterscheiden Sie bitte zwischen einer lokalen Gruppe einer Workstation oder eines Member-Servers und einer domänenlokalen Gruppe. Eine domänenlokale Gruppe kann auf einer Workstation oder einem Member-Server nicht für die Vergabe von Rechten verwendet werden, weil sie dort gar nicht verfügbar ist! Folgende Mitglieder können einer domänenlokalen Gruppe zugewiesen werden: Gruppen mit dem Bereich Global Gruppen mit dem Bereich Universell Konten Andere Gruppen mit dem Bereich Lokal dies setzt aber mindestens die Domänenfunktionsebene Windows Server 2003 voraus Eine beliebige Kombination der eben genannten Objekte Verwendungszweck: Domänenlokale Gruppen werden für die Erteilung von Zugriffsberechtigungen auf Ressourcen Ordner, Dateien, Drucker verwendet. Globale Gruppen Die Mitglieder einer globalen Gruppe können ausschließlich Gruppen und Konten aus der Domäne sein, in der die Gruppe definiert wurde. Berechtigungen können jedoch in jeder Domäne der Gesamtstruktur zugewiesen werden. Diese Art von Gruppen sollte zur Verwaltung von Verzeichnisobjekten verwendet werden, die eine häufige Wartung erfordern speziell Computer- und Benutzerkonten. Die Gruppe ist zwar in ihrer Domäne und in allen vertrauenswürdigen Domänen sichtbar, Mitglieder dieser Gruppe können jedoch nur aus der eigenen Domäne stammen. Die zugewiesenen Rechte und Berechtigungen der Gruppe sind zwar nur innerhalb einer Domäne gültig. Sie können diese Gruppe jedoch auf verschiedene Domänen verteilen und in universellen Gruppen (siehe nächster Punkt) zusammenfassen. Verwendungszweck: Globale Gruppen werden für die Organisation von Benutzern verwendet. Sie werden nach unterschiedlichen Gesichtspunkten Organigramm, Funktion eines Benutzers etc. gebildet. 5 Mit Windows Server 2008 wurde der Gruppenbegriff lokal (in Domäne) eingeführt. Der in Klammern stehende Zusatz unterscheidet den Begriff von der lokalen Gruppe einer Windows Vista-Workstation. Da aber der Begriff schwer zu lesen ist, wird in weiterer Folge statt lokal (in Domäne) der Ausdruck domänenlokale Gruppe verwendet. 2008, Microsoft Österreich GmbH Seite 55

56 Benutzerverwaltung in einer Domäne Universelle Gruppen Diese Gruppen sollten zur Vereinheitlichung von Gruppen verwendet werden, die sich über mehrere Domänen erstrecken. Dabei sollten auf den einzelnen Domänen die Konten in globalen Gruppen zusammengefasst werden. Die globalen Gruppen können Sie nun in einer universellen Gruppe vereinheitlichen. Dies hat den Vorteil, dass sich Änderungen an den Mitgliedschaften in den globalen Gruppen nicht auf die universelle Gruppe auswirken. Beachten Sie, dass Sie universelle Gruppen nur einsetzen sollten, wenn sie sich möglichst selten ändern, da diese Gruppen im globalen Katalog gespeichert sind. Dies bedeutet auch, dass Änderungen an dieser Gruppe in der gesamten Struktur repliziert werden. In einem einzigen LAN sollten dabei keine Leistungseinbußen auftreten, bei weiter verzweigten Standorten kann es jedoch zu erheblichen Leistungseinbußen kommen. Die Gruppen selbst können in jeder Domäne verwendet werden. Verwendungszweck: Universelle Gruppen werden ausschließlich im Mehrdomänenmodell verwendet. Sie dienen dem Export von Benutzerkonten in fremde Domänen Gruppentypen Zusätzlich zu den Gruppenbereichen ermöglicht Windows Server 2008 auch eine Unterscheidung zwischen zwei verschiedenen Gruppentypen: Sicherheitsgruppen Diese Gruppen dienen der Steuerung des Zugriffs auf Ressourcen. Sie sollten nicht als -Verteilerlisten verwendet werden. Beim Anlegen einer neuen Gruppe wird standardmäßig der Gruppentyp Sicherheitsgruppe verwendet. Verteilergruppen Diese Gruppen dienen nur als -Verteilerlisten oder einfache administrative Gruppierungen. Dieser Gruppentyp kann nicht für die Vergabe von Berechtigungen oder Rechten verwendet werden Änderung des Gruppenbereichs Neu erstellte Gruppen werden standardmäßig als Sicherheitsgruppen mit dem Bereich Global angelegt. Dieser Gruppenbereich kann nachträglich folgendermaßen geändert werden: Globale Gruppen in universelle Gruppen Nur zulässig, wenn die Gruppe, die Sie ändern möchten, keiner anderen Gruppe mit dem Bereich Global angehört. 2008, Microsoft Österreich GmbH Seite 56

57 Benutzerverwaltung in einer Domäne Domänenlokale Gruppen zu universellen Gruppen Die Gruppe, die Sie ändern möchten, darf jedoch keine andere domänenlokale Gruppe enthalten. Universelle Gruppen zu globalen Gruppen Die Gruppe, die Sie ändern möchten, darf jedoch keine andere universelle Gruppe enthalten. Universelle Gruppen zu domänenlokalen Gruppen Keine Beschränkung. Der Gruppenbereich einer Gruppe kann mittels Active Directory-Benutzer und -Computer geändert werden. Klicken Sie hierfür im Kontextmenü der Gruppe auf Eigenschaften Planen einer Gruppenstrategie Erstellen Sie eine domänenlokale Gruppe für die gemeinsame Nutzung von Ressourcen. Ermitteln Sie freigegebene Ressourcen wie Drucker, Dateien und Ordner. Erstellen Sie eine domänenlokale Gruppe für jede der Ressourcen, fügen Sie Benutzer hinzu, die Zugriff auf die Ressourcen benötigen. Fügen Sie globale Gruppen hinzu, die Zugriff auf die Ressourcen domänenlokaler Gruppen benötigen. Wenn Sie eine Ressource in einer Domäne für mehrere globale Gruppen freigeben möchten, fügen Sie diese globalen Gruppen zur domänenlokalen Gruppe hinzu, die Zugriff auf die freigegebene Ressource gewährt. Verwenden Sie universelle Gruppen, um Zugriff auf Ressourcen in mehreren Domänen zu gewähren. Wenn Benutzerkonten Zugriff auf Dateifreigaben benötigen, die sich nicht in der Domäne der Benutzerkonten befinden, erstellen Sie eine universelle Gruppe für diese Benutzer und gewähren Sie für die Dateifreigaben Zugriff auf die universelle Gruppe. Verwenden Sie universelle Gruppen bei einer statischen Mitgliedschaft. Universelle Gruppen funktionieren am besten, wenn Sie Benutzer hinzufügen, die wahrscheinlich nur selten aus der universellen Gruppe entfernt werden. Active Directory repliziert alle Änderungen in der Mitgliedschaft einer universellen Gruppe, wodurch der Netzwerkdatenverkehr erhöht wird Verschachteln von Gruppen und Vergabe der Berechtigungen Verwenden Sie Sicherheitsgruppen auf der Grundlage der A-G-U-DL-P-Strategie. Diese Strategie bietet die höchste Flexibilität, während sie gleichzeitig die Komplexität beim Zuweisen von Zugriffsberechtigungen zum Netzwerk reduziert. Implementieren Sie darüber hinaus ein rollenbasiertes Sicherheitsmodell für die Erteilung von Berechtigungen. In der A-G-U-DL-P-Strategie gilt Folgendes: Benutzerkonten (A) werden globalen Gruppen (G) hinzugefügt. Globale Gruppen werden universellen Gruppen (U) hinzugefügt. Universelle Gruppen werden domänenlokalen Gruppen (DL) hinzugefügt. Ressourcenberechtigungen (P) werden domänenlokalen Gruppen zugewiesen. 2008, Microsoft Österreich GmbH Seite 57

58 Benutzerverwaltung in einer Domäne In einem Single-Domänen-Modell werden universelle Gruppen ausgelassen, sodass die Strategie A- G-DL-P lautet Benennungskonvention für Gruppen Definieren Sie eine Gruppenbenennungskonvention, die den Gruppentyp, den Standort und den Zweck der Gruppe kennzeichnet. Schließen Sie die folgenden Informationen in die Benennungskonvention ein. Benennungskonvention Gruppentyp Beispiele Dom... für eine globale Gruppe Uni... für eine universelle Gruppe kein Präfix... für eine domänenlokale Gruppe Manuelles Anlegen am Beispiel einer globalen Gruppe Um eine globale Gruppe anzulegen, gehen Sie folgendermaßen vor: 1. Starten Sie von der Schnellstart-Symbolleiste den SERVER-MANAGER. 2. Wählen Sie die Organisationseinheit aus, in der Sie eine globale Gruppe anlegen möchten. 3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit und wählen Sie den Kontextmenüpunkt NEU GRUPPE aus. 4. In dem sich öffnenden Fenster können Sie dann den Namen der globalen Gruppe eingeben. Beachten Sie, dass der Name der Gruppe über den Verzeichnisbaum Active Directory der Domäne eindeutig sein muss. Sie sollten eine globale Gruppe mit einem Präfix wie z. B. Dom oder Domain versehen, um sie leichter von den domänenlokalen Gruppen unterscheiden zu können. Darüber hinaus haben Sie dann auch die Möglichkeit, eine gleichlautende domänenlokale Gruppe ohne Präfix zu erstellen. 2008, Microsoft Österreich GmbH Seite 58

59 Benutzerverwaltung in einer Domäne Abb. 26: Anlage einer globalen Gruppe 5. Vergessen Sie nicht, den Gültigkeitsbereich der Gruppe (Global) und den Gruppen-Typ (Sicherheit) zu kontrollieren. Nach der Anlage der globalen Gruppe können Sie ihr Mitglieder zuweisen. Mitglieder der globalen Gruppe können Benutzer und/oder andere globale Gruppen der Domäne sein. Abb. 27: Register Mitglieder der globalen Gruppe Dom1a 2008, Microsoft Österreich GmbH Seite 59

60 Benutzerverwaltung in einer Domäne Endlich ist es auch möglich, Benutzer durch Drag-and-drop Gruppen zuzuweisen. Um einer Gruppe mehrere Benutzer zuzuweisen, müssen Sie diese mittels Shift- oder Strg-Taste markieren. Anschließend positionieren Sie den Mauscursor auf dem Symbol eines der markierten Benutzer und ziehen diesen auf die Gruppe, in der dieser Benutzer Mitglied werden sollen. Wenn sich die Gruppe in einer anderen organisatorischen Einheit befindet, dann müssen Sie über den Menüpunkt Ansicht die Funktion Benutzer, Kontakte, Gruppen und Computer als Container anzeigen aktivieren. In diesem Fall werden die Elemente eines geöffneten Knotens auf der linken Seite unterhalb der organisatorischen Einheit angezeigt. Durch diese Darstellung können Drag-anddrop-Operationen zwischen unterschiedlichen organisatorischen Einheiten leichter vorgenommen werden. Abb. 28: Anzeige der Organisationseinheit in der Ansicht als Container 2008, Microsoft Österreich GmbH Seite 60

61 Benutzerverwaltung in einer Domäne 5.5 Delegieren von Verwaltungsaufgaben Administratoren an Schulen leiden häufig unter Zeitmangel. Jede erdenkliche Unterstützung hilft die Last zu verteilen. Ein typisches Problem in der Schule ist, dass einem Schüler ein Streich gespielt wird, indem ein anderer Schüler sich schnell ein paar Mal mit einem falschen Kennwort anmeldet und dadurch das Konto des Schülers gesperrt wird. Nun beginnt die Suche nach dem Netzwerkadministrator, der das Konto des Schülers wieder aktivieren muss. Gerade das Anmelden in einem Netzwerk ist ein sensibler Vorgang und aus diesem Grund sollte man auch nicht das System schwächen, indem man keine Sperrungen der Konten bei falscher Anmeldung vornimmt. Um das obige Problem zu lösen, können Lehrer und Lehrerinnen, die in den PC-Räumen arbeiten, zu Hilfsadministratoren definiert werden, ohne dass diese zu Mitgliedern der Gruppe der Administratoren oder Server-Operatoren gemacht werden müssen. Dazu müssen Sie lediglich Berechtigungen an eine Gruppe von Personen delegieren. Delegierungen von Berechtigungen der Objektverwaltung werden immer auf einer organisatorischen Einheit des Active Directorys vergeben und gelten hierarchisch nach unten. So delegieren Sie Berechtigungen im Active Directory: 1. Klicken Sie auf START VERWALTUNG SERVER-MANAGER. 2. Öffnen Sie die Knoten ROLLEN ACTIVE DIRECTORY DOMÄNENDIENSTE ACTIVE DIRECTORY-BENUTZER UND -COMPUTER 3. Öffnen Sie jene Organisationseinheit unterhalb des Knotens MEINESCHULE.AT, auf der Sie eine Delegierung vergeben wollen. 4. Machen Sie auf der Organisationseinheit einen Rechtsklick und wählen Sie im Kontextmenü die Funktion OBJEKTVERWALTUNG ZUWEISEN aus. 5. Es öffnet sich der Assistent für die Delegierung von Verwaltungsaufgaben im Active Directory. Klicken Sie auf der Willkommensseite auf WEITER. 6. Wählen Sie im nächsten Fenster des Assistenten jene Gruppe aus, der Sie das Recht der Objektverwaltung geben möchten. Prinzipiell stehen sowohl Benutzer als auch globale und domänenlokale Gruppen zur Verfügung. Sinnvollerweise sollten Sie das Recht nur an jene Gruppe von Personen delegieren, die dieses Recht benötigt und Sie unterstützt. 7. Im vorletzten Fenster der Zuweisung von Objektverwaltungsrechten bestimmen Sie nun, welches Recht an die Gruppe übertragen wird. Um die Kennwörter von Benutzern ändern zu können, müssen Sie das Objektverwaltungsrecht SETZT BENUTZERKENNWÖRTER ZURÜCK UND ERZWINGT KENNWORTÄNDERUNG BEI DER NÄCHSTEN ANMELDUNG vergeben. 2008, Microsoft Österreich GmbH Seite 61

62 Benutzerverwaltung in einer Domäne Abb. 29: Gewähren eines Objektverwaltungsrechts im Active Directory 8. Im letzten Fenster des Assistenten erhalten Sie nochmals eine Zusammenfassung Ihrer Auswahl. Beenden Sie die Delegierung, indem Sie abschließend auf die Schaltfläche FERTIG STELLEN klicken. Abb. 30: Letztes Fenster des Assistenten für die Objektverwaltung 2008, Microsoft Österreich GmbH Seite 62

63 Sicherheitsrichtlinien 6 Sicherheitsrichtlinien Dieses Kapitel beschäftigt sich mit Sicherheitsrichtlinien in einer Domäne. 6.1 Allgemeines Um grundsätzliche Sicherheitseinstellungen am System vorzunehmen, stellt Windows Server 2008 so genannte Sicherheitsrichtlinien zur Verfügung. Es gibt sie, je nach Art der Installation, in verschiedenen Varianten: Lokale Sicherheitsrichtlinie Sicherheitsrichtlinie für Domänen Sicherheitsrichtlinie für Domänencontroller In diesen Sicherheitsrichtlinien können Sie allgemeine Einstellungen zur Benutzung des Servers und der Konten, der Systemdienste, der Ereignisprotokolle, des Dateisystems, der öffentlichen Schlüsseln u. v. a. bestimmen. Die Sicherheitsrichtlinien (Security Policies) sind ein mächtiges Instrument, um für Sicherheit im gesamten Netzwerk zu sorgen. Editieren Sie jeweils die Sicherheitsrichtlinien für Ihre Serverfunktion. Wenn Sie einen Domänencontroller betreiben, wählen Sie die Sicherheitsrichtlinien für Domänencontroller usw. Abb. 31: Die lokalen Sicherheitsrichtlinien Bearbeiten von Sicherheitsrichtlinien So bearbeiten Sie die lokalen Sicherheitsrichtlinien: 1. Klicken Sie auf START AUSFÜHREN. 2. Geben Sie den Befehl secpol.msc ein. Die Managementkonsole zur Bearbeitung der lokalen Sicherheitsrichtlinien wird daraufhin geöffnet. Mit einem Doppelklick auf die jeweilige Richtlinie können Sie diese aktivieren oder deaktivieren. 2008, Microsoft Österreich GmbH Seite 63

64 Sicherheitsrichtlinien Sie können mit Hilfe der Sicherheitsrichtlinien zum Beispiel Kennwortrichtlinien definieren. Dazu gehören unter anderem folgende Möglichkeiten: Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwortchronik erzwingen Kennwörter mit umkehrbarer Verschlüsselung speichern Maximales Kennwortalter Minimale Kennwortlänge Minimales Kennwortalter Wenn Sie diese Richtlinie aktivieren, müssen die Kennwörter, die von den Benutzern gewählt werden, aus mindestens sechs Zeichen bestehen, die weder einen Teil noch den ganzen Benutzernamen enthalten dürfen. Zudem müssen Sie mindestens drei Zeichen aus den folgenden Kategorien enthalten: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Hier können Sie verhindern, dass Benutzer ihre Kennwörter wiederholen. Diese Richtlinie ist bei der Verwendung von CHAP-Authentifizierung für Remotezugriffsdienste erforderlich. Zwingen Sie die Benutzer, ihre Kennwörter in regelmäßigen Abständen zu ändern. Geben Sie hier Werte zwischen 1 und 14 ein. Vor allem in Verbindung mit der Kennwortchronik empfehlenswert. Es verhindert, dass Benutzer ihre Kennwörter zu oft hintereinander ändern. Neu in Windows Server 2008 sind die Sicherheitsrichtlinien in Verbindung mit der Integrierten Firewall, mit denen vor allem Verbindungsrichtlinien eingerichtet werden können. Sehen Sie sich hierzu den Zweig WINDOWS-FIREWALL MIT ERWEITERTER SICHERHEIT an. 6.2 Gruppenrichtlinien Allgemeines Gruppenrichtlinien sind bereits unter Windows 2000 eingeführt worden und stellen ein leistungsfähiges Werkzeug zur Benutzer-, Computer-, Software- und Windows-Konfiguration dar. Außerdem können in den Gruppenrichtlinien bestimmte Administrative Vorlagen (ADMX-Dateien) verwendet werden, um Einstellungen am System vorzunehmen. Die Anzahl der Gruppenrichtlinien hat sich dabei von ca in Windows Server 2003 SP1 auf etwa 2500 in Windows Vista und Windows Server 2008 erhöht. Einstellungen zur Software, bzw. zum Verhalten des Betriebssystems, werden im Allgemeinen in der Windows Registry abgelegt. Da diese aber relativ kompliziert aufgebaut ist und man sich in ihr mehr schlecht als recht zurechtfindet, wurde ein Editor geschaffen, in dem man die einzelnen Registrierungsschlüssel geordnet nach Kategorien wieder findet und bearbeiten kann. Vor allem aber in größeren Netzwerken sind Gruppenrichtlinien von Vorteil, da der Verwaltungsaufwand minimiert wird. In Verbindung mit Active Directory können Gruppenrichtlinien einzelnen Benutzern, Computern und Gruppen zugewiesen werden, die sich in einer Organisationseinheit befinden. Gruppenrichtlinien werden nach unten vererbt. Wurden mehrere Gruppenrichtlinien definiert, so werden diese in einer vorgegebenen Reihenfolge abgearbeitet. 2008, Microsoft Österreich GmbH Seite 64

65 Sicherheitsrichtlinien Neuerungen in Windows Server 2008 Administrative Vorlagen waren früher in ADM-Dateien abgelegt. Windows Server 2008 verwendet nun ADMX-Dateien, welche XML-basiert sind. Durch die Verwendung dieser neuen Gruppenrichtlinienvorlagen ergeben sich einige entscheidende Vorteile: Alle Vorlagendateien, welche sich im Standardordner %systemroot%\policydefinitions befinden, werden automatisch in die Gruppenrichtlinien-Managementkonsole geladen. Sie sind sprachenunabhängig. Die installierten Sprachversion befinden sich in Unterordnern des Vorlagen- Standardordners und haben die Endung *.ADML. In einer Domäne (mit mehreren Domänencontrollern) können die ADMX-Dateien nun in einem zentralen Richtlinienordner %systemroot%\sysvol\domänenname\policies\policydefinitions abgespeichert werden. Sollte dieser Speicherort nicht verfügbar sein, wird auf die lokal gespeicherten Dateien zurück gegriffen. Bei Verwendung unterschiedlicher Windows-Versionen im Netzwerk gibt es in Zukunft (ab Windows Vista und deren Nachfolger) keine Schwierigkeiten mehr mit Richtliniendateien, da in den ADMX-Dateien eine Versionsnummer angegeben ist. Richtlinieneinstellungen für die Domäne werden nun ausschließlich über die Gruppenrichtlinien-Managementkonsole (GPMC.MSC) in der Version 2.0 durchgeführt. Alte ADM-Dateien sind kompatibel und können weiterhin verwendet werden. Ihr Standardspeicherort ist nach wie vor der Ordner %systemroot%\inf Neue Gruppenrichtlinien in Windows Server 2008 Unter Windows Server 2003 mit installiertem Servicepack 1 (SP1) waren ca 1700 Gruppenrichtlinieneinstellungen möglich. Diese Zahl wurde nun unter Windows Server 2008 auf ca 2400 erweitert. Dies bedeutet, dass der Administrator mit dem neuen Server-Betriebssystem viel mehr Möglichkeiten besitzt, das Netzwerk (mit Windows Vista-Clients) abzusichern, bzw. bestimmte Vorgaben zu definieren. In der folgenden Liste ist ein Teil der wichtigsten Neuerungen bei den Gruppenrichtlinien aufgeführt: Kategorie Kurze Beschreibung Speicherort der Einstellungen Antivirus Intelligenter Hintergrundübertragungsdienst (BITS = Background Intelligent Transfer Service) Bereitgestellte Druckerverbindungen Verwaltung von Anlagen und Definition des Risikos für bestimmte Dateitypen Zur Konfiguration von Peer-to-Peer- Übertragungen in einer Domäne Stelle automatisch Druckerverbindungen für einen Computer oder Benutzer bereit. Benutzerkonfiguration Richtlinien - Administrative Vorlagen Windows- Komponenten Anlagen-Manager Computerkonfiguration Richtlinien - Administrative Vorlagen Netzwerk Intelligenter Hintergrundübertragungsdienst Computerkonfiguration Richtlinien - Windows-Einstellungen Bereitgestellte Drucker Benutzerkonfiguration Richtlinien - Windows-Einstellungen Bereitgestellte Drucker 2008, Microsoft Österreich GmbH Seite 65

66 Sicherheitsrichtlinien Geräteinstallation Brennen von Video-DVDs Quality of Service (QoS) Internet Explorer 7 WLAN-Netzwerke Energieverwaltung Wechselmedien Windows-Firewall Shellanwendungsverwaltung Shelldarstellung Verweigert oder gestattet die Installation eines Geräts abhängig von der Geräteklasse oder Geräteklassen-ID Einstellungen zur Erstellen von Videodatenträgern werden angepasst (für Computer bzw. Benutzer) Zentrale Verwaltung der Netzwerkbandbreiten Erweiterung der Einstellmöglichkeiten für den IE7 sowohl für Computer als auch für Benutzer Vorkonfiguration der Drahtlosnetzwerke Konfiguration der Energieverwaltungseinstellungen in der Systemsteuerung Schränkt das Lesen von oder Schreiben auf Wechselmedien ein (für Computer bzw. Benutzer) Konfiguration der Windows-Firewall mit erweiterter Sicherheit Zugriff auf Symbolleiste, Taskleiste und Startmenü verwalten Konfiguration des Desktops bzgl. Aero-Glas-Anzeige, Verhalten des Bildschirmschoners Computerkonfiguration Richtlinien - Administrative Vorlagen System Geräteinstallation Computerkonfiguration Richtlinien - Administrative Vorlagen Windows- Komponenten Videoimport Benutzerkonfiguration Richtlinien - Administrative Vorlagen Windows- Komponenten Videoimport Computerkonfiguration Richtlinien - Windows-Einstellungen Richtlinienbasierter QoS Computerkonfiguration Richtlinien - Administrative Vorlagen Windows- Komponenten Internet Explorer Benutzerkonfiguration Richtlinien - Administrative Vorlagen Windows- Komponenten Internet Explorer Computerkonfiguration Richtlinien - Windows-Einstellungen Sicherheitseinstellungen Drahtlosnetzwerkrichtlinien (IEEE ) Computerkonfiguration Richtlinien - Administrative Vorlagen System Energieverwaltung Computerkonfiguration Richtlinien - Administrative Vorlagen System Wechselmedienzugriff Benutzerkonfiguration Richtlinien - Administrative Vorlagen System Wechselmedienzugriff Computerkonfiguration Richtlinien - Windows-Einstellungen Sicherheitseinstellungen Windows- Firewall mit erweiterter Sicherheit Benutzerkonfiguration Richtlinien - Administrative Vorlagen Startmenü und Taskleiste Benutzerkonfiguration Richtlinien - Administrative Vorlagen Windows- Komponenten 2008, Microsoft Österreich GmbH Seite 66

67 Sicherheitsrichtlinien Als ein besonders Beispiel aus der oben angeführten Liste sei die Anbindung von USB-Sticks hier erwähnt. Wenn man USB-Sticks in der Schule nicht zulassen möchte (z.b. um zu verhindern, dass dadurch Viren in das Netzwerk eingeschleust werden können), ist es ab Windows Server 2008 und Windows Vista nicht mehr nötig, den gesamten USB- Port zu sperren. Diese beiden Betriebssysteme erkennen auf Grund von Geräte-Setup-Klassen sowie Identifikations- Strings die angeschlossenen Hardware, und somit ist es nun möglich, Einstellungen für diese Geräte vorzunehmen. Um die entsprechenden Informationen über den USB-Stick zu erlangen, ist es am besten, wenn man ihn zuerst einmal anschließt und daraufhin den GERÄTE-MANAGER öffnet. Im Bereich LAUFWERKE findet man nun den eben angeschlossenen Stick: Abbildung 32: USB-Stick im Geräte-Manager suchen Mit einem rechten Mausklick gelangt man nun zu den EIGENSCHAFTEN, und weiter zur Registerkarte DETAILS. Sucht man die Eigenschaft HARDWARE-IDS, werden diese angezeigt. Analog bekommt man auch die Informationen über die GERÄTEKLASSEN-GUID geliefert. Abbildung 33: Hardware-IDs (= Identifikations-Strings) auslesen Damit die Gruppenrichtlinie allerdings tatsächlich funktioniert, darf der USB-Stick noch nicht am System angeschlossen gewesen sein. Sollte dies der Fall sein, muss er zuerst deinstalliert werden. Dazu wählt man im Gerätemanger den USB- Stick aus, und ruft mit einem Rechtsklick den Punkt DEINSTALLATION aus dem Kontextmenü auf. 2008, Microsoft Österreich GmbH Seite 67

68 Sicherheitsrichtlinien Reihenfolge der Abarbeitung von Gruppenrichtlinien 1. Zuerst tritt die lokale Gruppenrichtlinie in Kraft. 2. Danach folgen die Gruppenrichtlinien für den Standort. 3. Hierauf folgen die Gruppenrichtlinien für die Domäne. 4. Als letztes werden die Gruppenrichtlinien für die Organisationseinheit angewendet. Das heißt: Gruppenrichtlinien schreiben ihre Werte in die Registry. Später ausgeführte Gruppenrichtlinien überschreiben die vorher definierten Werte. Abb. 34: Die Gruppenrichtlinien-Managementkonsole Gruppenrichtlinienverwaltung mit der GPMC (Group Policy Management Console) Die Gruppenrichtlinienverwaltungskonsole, welche man für mit Windows Server 2003 noch zusätzlich downloaden musste, ist jetzt mit Windows Server 2008 fixer Bestandteil des Betriebssystems. Die GRUPPENRICHTLINIEN- VERWALTUNG kann jederzeit im SERVER-MANAGER unter FEATURES hinzugefügt werden. Bei Hochstufen eines normalen Servers zum Domänen Controller wird dieses Feature automatisch mit installiert. Grundsätzlich sind zwei verschiedene Begriffe zu unterscheiden: Gruppenrichtlinienobjekte (GPOs) Damit werden bestimmte Einstellungen (z.b. das Aussehen des Desktops oder bestimmte Einschränkungen in der Systemsteuerung) festgelegt. Durch einen Rechtsklick auf GRUPPENRICHTLINIENOBJEKTE kann ein neues GPO angelegt werden. Nachdem das GPO erstellt wurde, können die Einstellungen dieses Objekts bearbeitet werden (Rechtsklick auf das neue GPO BEARBEITEN). 2008, Microsoft Österreich GmbH Seite 68

69 Sicherheitsrichtlinien Abbildung 35: Neues Gruppenrichtlinienobjekt erstellen Abbildung 36: Gruppenrichtlinienobjekt bearbeiten Gruppenrichtlinienverknüpfungen Damit ein GPO angewendet wird, muss es mit einem oder mehreren Active Directory Objekten (Organisationseinheit oder Domäne) verknüpft werden. Werden Einstellungen in einem GPO verändert, werden diese auf sämtliche verknüpfte Organisationseinheiten übertragen. Da die Einstellungen einer Gruppenrichtlinie auf das verknüpfte sowie alle darunterliegenden Objekte angewendet werden, ist logischerweise auch der Aufbau des Active Directorys von entscheidender Bedeutung. Durch einen klar strukturierten Aufbau der Organisationseinheiten ist es dadurch auch möglich, dass nur bestimmte Personen oder Computer von einer Gruppenrichtlinie betroffen werden. 2008, Microsoft Österreich GmbH Seite 69

70 Sicherheitsrichtlinien Abbildung 37: Gruppenrichtlinien mit einer OU verknüpfen Aufbau einer Gruppenrichtlinie Bei den Gruppenrichtlinien wird prinzipiell zwischen Computer- und Benutzerkonfiguration unterschieden. Diese zwei Teilbereiche haben jedoch denselben Aufbau: Softwareeinstellungen Windows-Einstellungen Administrative Vorlagen Bei der lokalen Gruppenrichtlinie kommt dieser Richtliniensatz nicht zum Tragen, in einer Domäne jedoch kann hier Software definiert werden, die automatisch beim Systemstart, bzw. bei der ersten Anforderung des Benutzers installiert wird. Enthält Einstellungen zu Benutzern und Computern. Hier können Sie bei der Benutzerkonfiguration auch die Ordnerumleitung konfigurieren. (Sie müssen sich in einer Active-Directory-Domäne befinden). Dieser Ordner enthält bestimmte Vorlagendateien, die den Zugriff auf ausgewählte Registry-Schlüssel beinhalten. Solche Vorlagendateien können auch selbst erstellt werden, und im Internet finden Sie weitere Vorlagendateien, die die Konfigurationsmöglichkeiten erweitern. Die lokalen Gruppenrichtlinien werden normalerweise auf Clientrechnern definiert, da diese Richtlinien nur gelten, wenn Benutzer sich direkt am Computer anmelden. Dies sollte aber bei den wenigsten Servern der Fall sein. 2008, Microsoft Österreich GmbH Seite 70

71 Sicherheitsrichtlinien So bearbeiten Sie die lokalen Gruppenrichtlinien: 1. Klicken Sie auf START AUSFÜHREN. 2. Geben Sie gpedit.msc ein und klicken Sie auf OK. 3. Sie können nun die lokale Gruppenrichtlinie bearbeiten. 4. Schließen Sie den Gruppenrichtlinienobjekt-Editor. Nach der Bearbeitung der Gruppenrichtlinie sollte auch sichergestellt werden, dass sie angewendet wird. Standardmäßig wird für Gruppenrichtlinien ein Aktualisierungsintervall definiert, so dass sie automatisch aktualisiert werden. Um die Aktualisierung erzwingen zu können, stellt Windows Server 2008 ein eigenes Befehlszeilenprogramm zur Verfügung. So aktualisieren Sie eine Gruppenrichtlinie sofort: 1. Klicken Sie auf START - AUSFÜHREN. 2. Geben Sie den Befehl CMD ein. 3. Bei der Eingabeaufforderung geben Sie gpupdate ein. Sobald mehrere Gruppenrichtlinien angewendet werden, kann es sehr schwierig sein, die geänderten Werte und Einstellungen wieder zu finden. Sie können sich mit der Managementkonsole rsop.msc den Richtlinienergebnissatz anzeigen lassen, der nur noch die tatsächlich geänderten Werte enthält. So zeigen Sie den Richtlinienergebnissatz an: 1. Klicken Sie auf START - AUSFÜHREN. 2. Geben Sie rsop.msc ein. 3. Schließen Sie das Fenster. Zur Analyse der verwendeten Richtlinien existiert ein weiteres Befehlszeilenwerkzeug: GPRESULT. So verwenden Sie gpresult: 1. Starten Sie die Kommandozeilenkonsole über START AUSFÜHREN CMD 2. Geben Sie bei der Eingabeaufforderung den Befehl gpresult /v ein. 3. Sie können die Ergebnisse mit dem > Zeichen bei der Befehlseingabe in eine Datei umleiten. Angenehmer ist die Anzeige als HTML-Datei. Diese Ansicht des Gruppenrichtlinienergebnissatzes ist über die Gruppenrichtlinienverwaltung im Server Manager erreichbar. 2008, Microsoft Österreich GmbH Seite 71

72 Sicherheitsrichtlinien Abb. 38: Die angewendeten Gruppenrichtlinien in der Gruppenrichtlinienverwaltung So zeigen Sie die HTML-Ansicht der Gruppenrichtlinienergebnisse auf einem Domaincontroller an: 1. Klicken Sie auf START VERWALTUNG SERVER-MANAGER. 2. Erweitern Sie den Pfad FEATURES - GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR - GRUPPENRICHTLINIENERGEBNISSE. 3. Klicken Sie auf AKTION GRUPPENRICHTLINIENERGEBNIS-ASSISTENT 4. Um einen Bericht des aktuellen Servers und Benutzers zu erhalten, belassen Sie die Standardeinstellungen und klicken Sie mehrmals auf WEITER. So bearbeiten Sie die Domänen bzw. Domänencontrollergruppenrichtlinie auf einem Domaincontroller: 1. Klicken Sie auf START VERWALTUNG SERVER-MANAGER. 2. Erweitern Sie den Pfad FEATURES - GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR - <IHRE DOMÄNE> GRUPPENRICHTLINIENOBJEKTE. 3. Öffnen Sie mit einem Rechtsklick auf Default Domain Controllers Policy bzw. Default Domain Policy das Kontextmenü. 4. Wählen Sie BEARBEITEN. 2008, Microsoft Österreich GmbH Seite 72

73 Sicherheitsrichtlinien Remoteserver-Verwaltungstool für Windows Vista Grundsätzlich ist es möglich, die Gruppenrichtlinienverwaltung in einer Domäne von einem Windows Vista-Computer durchzuführen, da mit diesem Betriebssystem auch die GPMC mitgeliefert wird. Durch die Installation von Vista SP1 wird allerdings diese Gruppenrichtlinienverwaltungskonsole wieder gelöscht. Microsoft bietet allerdings jetzt ein Tool mit dem Namen Remote Server Administration Tool (RSAT) zum Download an, mit dem es möglich ist, den Domänencontroller fernzuwarten. Dieses Programm ist ähnlich dem AdminPak, welches in früheren Windows-Versionen zur Verfügung stand. Nach dem Download und der Installation dieses Tools müssen allerdings noch die entsprechenden Verwaltungsteile nachinstalliert werden, die man speziell benötigt, da diese Grundinstallation nur in einer Minimalvariante durchgeführt wird. Diese Installation erfolgt über die SYSTEMSTEUERUNG PROGRAMME PROGRAMME UND FUNKTIONEN WINDOWS FUNKTIONEN EIN- ODER AUSSCHALTEN REMOTESERVER-VERWALTUNGSTOOLS FEATUREVERWALTUNGSTOOLS TOOLS FÜR DIE GRUPPENRICHTLINIENVERWALTUNG. Abbildung 39: GPMC am Vista-Computer installieren Sofern man sich nun an einem Client-Computer als Mitglied der (Domänen-)Administratorengruppe anmeldet, kann die Gruppenrichtlinienverwaltungskonsole mit dem Befehl GPMC.MSC gestartet werden: 2008, Microsoft Österreich GmbH Seite 73

74 Sicherheitsrichtlinien Abbildung 40: Gruppenrichtlinienverwaltung vom Clientcomputer aus Verwaltung von Office 2007 mit Gruppenrichtlinien Wie bei den Vorgängerversionen von Microsoft Office wird auch für die Version Office 2007 wieder die Möglichkeit geboten, dass man dieses Softwarepacket mit Hilfe von Gruppenrichtlinien zentral vom Domänencontroller her konfiguriert. Dazu werden sowohl ADMX- als auch ADM-Dateien von der Microsoft Downloadseite zur Verfügung gestellt. Zum Zeitpunkt der Erstellung dieser Schulungsunterlage lautet der Link zum Download: Nach dem Entpacken dieser Datei in einen beliebigen (neu angelegten) Ordner, erscheinen dort mehrere Unterordner. Öffnet man daraufhin den Ordner ADMX findet man darin sämtliche Vorlagendateien mit der Endung.ADMX sowie weitere Unterordner mit den Sprachdateien, welche die Endung.ADML besitzen, wobei die deutschen Sprachdateien im Ordner DE-DE abgelegt sind. Kopiert man nun sämtliche.admx -Dateien in den Ordner %WINDIR%\POLICYDEFINITIONS sowie die Sprachdateien in den entsprechenden Unterordner dieses Verzeichnisses, stehen ab sofort die Gruppenrichtlinien für Office 2007 zur Verfügung, wie in folgender Abbildung zu sehen ist: 2008, Microsoft Österreich GmbH Seite 74

75 Sicherheitsrichtlinien Abbildung 41: Gruppenrichtlinien für Office Gruppenrichtlinien-Modellierung Mit dieser neuen Funktion kann man die Auswirkungen der Gruppenrichtlinien vor ihrem Echteinsatz simulieren und testen. Dazu klickt man mit der rechten Maustaste auf die zu untersuchende OU (oder gesamte Domäne) und wählt den Punkt GRUPPENRICHTLINIENMODELLIERUNGS-ASSISTENT. Die folgenden Seiten des Assistenten sind selbsterklärend. Hinzuweisen ist vielleicht noch, dass man auf der Seite BENUTZERSICHERHEITSGRUPPEN auswählen und somit simulieren kann, was passieren würde, wenn die zu testenden Benutzer nicht mehr Mitglieder in den entsprechenden Sicherheitsgruppen wären. 2008, Microsoft Österreich GmbH Seite 75

76 Datei-Ressourcen-Management 7 Datei-Ressourcen-Management Dieses Kapitel erläutert die Konfiguration von Zugriffsberechtigungen und Freigaben unter Windows Server Mit dem Freigeben und Absichern des Zugriffs ist es jedoch nicht getan. Ein modernes Netzwerk benötigt mehr. Nach einer allgemeinen Einführung werden Methoden und Programme besprochen, die für die Administration eines modernen Netzwerks unerlässlich sind. 7.1 Überblick Definition Nach der Installation eines Servers oder Domänencontrollers kann kein Benutzer des Netzwerks auf Ressourcen der Server zugreifen, da nur Administratoren und Operatoren, also Benutzer, die sich lokal am Server anmelden, auf gespeicherte Dateien zugreifen können. Damit Netzwerkbenutzer Ressourcen auf einem Server ablegen oder auf diese zugreifen können, muss der Administrator oder Server-Operator Ressourcen freigeben. Freigegebene Ordner mit Unterordnern und Dateien sind durch Zugriffsberechtigungen geschützt. Die effektive Berechtigung eines Benutzers auf einen Ordner setzt sich dabei aus zwei unterschiedlichen Berechtigungen zusammen: NTFS-Berechtigung einer Datei oder eines Ordners Freigaberecht der Ressource Das effektive Recht eines Benutzers beim Zugriff auf eine Ressource über das Netzwerk ist das geringste Recht, das sich aus den beiden Zugriffsrechten NTFS und dem Zugriffsrecht der Freigabe ergibt. 7.2 NTFS-Berechtigungen Bei der Installation des Betriebssystems muss das Dateisystem ausgewählt werden. Als Standard wird dabei das Windows Server 2008-eigene und weiter verbesserte Dateisystem NTFS (New Technology File System) vorgeschlagen. Sie haben sich damit für ein stabiles, transaktionsorientiertes Dateisystem entschieden, das auch weiter gehende Funktionalitäten anbietet. Mittels NFTS können Sie Zugriffsrechte auf Dateien bzw. Ordner vergeben, Sie können den Zugriff auf Dateien überwachen usw. Es stellt sich die Frage, warum Sie überhaupt Berechtigungen vergeben sollten. Berechtigungen dienen dem Schutz von Dateien, Ordnern und Netzwerkressourcen. Mit Berechtigungen erlaubt oder verbietet man Gruppen oder Benutzern den Zugriff auf eine Ressource, gleichgültig ob sie über das Netzwerk oder lokal zugreifen. So ist es z. B. möglich, einem bestimmten Benutzer lediglich Zugriff zum Lesen einer Datei gewähren, während Sie einem anderen Benutzer erlauben, die Datei zu lesen und zu verändern. 2008, Microsoft Österreich GmbH Seite 76

77 Datei-Ressourcen-Management Berechtigungen werden im Dateisystem selbst gespeichert. Derartige Einträge, die mit dem Objekt gespeichert werden, nennt man ACE (Access Control Entry). Die sich daraus ergebende Liste aus mehreren ACEs für unterschiedliche Gruppen nennt man ACL (Access Control List). Bei der Erstellung eines Ordners oder einer Datei wird der Benutzer, der das Objekt anlegt, als Besitzer des Objekts eingetragen. Der Besitz eines Objekts ist eine wichtige Eigenschaft, die ein Benutzer auf einer Ressource haben kann. Der Besitzer einer Ressource entscheidet nämlich, wer mit welcher Berechtigung auf diese zugreifen kann. Aus einer Vielzahl von Einzelberechtigungen wurden Standardberechtigungen definiert, die der Administrator oder Besitzer eines Objekts vergeben kann. Lesen: Lesen einer Datei sowie Anzeigen der Dateiattribute, der Berechtigungen und des Besitzers der Ressource. Schreiben: Mit dieser Berechtigung kann die Datei überschrieben werden. Daneben werden auch Besitzer der Ressource sowie die Liste der Berechtigungen (ACL) angezeigt. Lesen, ausführen: Diese Berechtigung ist notwendig, um Programme ausführen, also starten zu können. Ändern: Neben dem Lesen, Schreiben und Ausführen umfasst diese Berechtigung noch das Ändern und Löschen von Objekten wie z. B. einer Datei oder eines Ordners. Vollzugriff: Diese Berechtigung ist die höchstmögliche Berechtigung, die Sie vergeben können. Neben den bisher erwähnten Berechtigungen enthält Vollzugriff zwei darüber hinausgehende Berechtigungen, nämlich den Besitz an einem Objekt übernehmen und die Berechtigung der Änderung der ACL. Ordner-Berechtigungen schließen, im Gegensatz zu Datei-Berechtigungen, die Option Ordnerinhalte auflisten ein. Durch diese Berechtigung werden die Dateien in einem Ordner und die Unterordner des Ordners aufgelistet Vergabe von Berechtigungen an Gruppen des Active Directorys Der Grund für diese Vorgangsweise ist, dass in einem Netzwerk mehr Benutzer als Gruppen angelegt sind. Gehört ein bestimmter Benutzer einer Gruppe an und werden die Zugriffsrechte an die Gruppe vergeben, so haben alle Mitglieder der Gruppe dasselbe Zugriffsrecht. Natürlich kann für einen bestimmten Benutzer, der zusätzlich auch noch Mitglied in anderen Gruppen sein kann, das Zugriffsrecht auf eine bestimmte Ressource noch ausgedehnt oder eingeschränkt werden. Die Ausdehnung oder Einschränkung geschieht dabei aufgrund der Mitgliedschaft in den anderen Gruppen, denen dieser bestimmte Benutzer zusätzlich angehört. Gruppen werden meist nach logischen, funktionellen, organisatorischen Gesichtspunkten gebildet. Benutzer, die einer bestimmten Gruppe angehören, haben damit auch identische Zugriffsberechtigungen. 2008, Microsoft Österreich GmbH Seite 77

78 Datei-Ressourcen-Management Wenn Sie die Berechtigungen einsehen oder ändern möchten, müssen Sie das gewünschte Objekt im Dateisystem auswählen und durch einen Rechtsklick das Kontextmenü aufrufen. In dem sich öffnenden Menü wählen Sie die Funktion EIGENSCHAFTEN aus. In dem sich öffnenden Fenster wechseln Sie in das Register SICHERHEIT, wo Sie die Berechtigungen des Objekts einsehen und, sofern Sie berechtigt sind, auch ändern können. Hier sind die berechtigten Benutzer und Gruppen eingetragen. Gruppen werden durch zwei Personen symbolisiert. ACE für den Benutzer Administrator. Diese ACE gilt für den freigegebenen Ordner Walter.Wolf$. Abb. 42: Anzeige der Sicherheitseinstellungen eines Ordners Windows Server 2008 arbeitet so wie seine Vorgängerversionen mit vererbbaren Berechtigungen, d. h., ein Objekt erbt die Berechtigungen des darüberliegenden Ordners. Neu erstellte Ordner erben die Berechtigungen des übergeordneten Ordners. Ob eine Berechtigung vererbt wurde oder nicht, können Sie leicht an der Farbe der Häkchen erkennen. Schwarze Häkchen stellen neu zugewiesene Berechtigungen dar. Graue Häkchen so wie oben in der Abbildung für den Benutzer Administrator sind vererbt. Um die Berechtigung zu ändern, müssen Sie zuerst die Vererbung ausschalten. Mit einem Klick auf die Schaltfläche ERWEITERT gelangen Sie in die erweiterten Sicherheitseinstellungen des Ordners. Im unteren Abschnitt des Fensters befindet sich die Schaltfläche BEARBEITEN. Nach einem Klick auf die Schaltfläche gelangen Sie in das editierbare Fenster der erweiterten Sicherheitseinstellungen des Ordners. 2008, Microsoft Österreich GmbH Seite 78

79 Datei-Ressourcen-Management Hier können Sie die Vererbung deaktivieren Abb. 43: Erweiterte Sicherheitseinstellungen eines Ordners Nach dem Klick auf die Kontrollbox damit unterbrechen Sie die Vererbung erhalten Sie die Warnmeldung des Betriebssystems, dass von nun an keine Vererbung mehr stattfindet. Abb. 44: Abfrage des Betriebssystems, was mit der bisherigen ACL geschehen soll Je nachdem, ob Sie die vererbten Rechte übernehmen oder alle Sicherheitseinstellungen für diesen Ordner löschen möchten, müssen Sie entweder die Schaltfläche KOPIEREN oder ENTFERNEN anklicken. Welche Berechtigungen im Einzelnen durch das Setzen der Kontrollbox einer Standardberechtigung wirklich vergeben werden, kann in den ERWEITERTEN SICHERHEITSEINSTELLUNGEN detailliert nachvollzogen werden. Wenn Sie im 2008, Microsoft Österreich GmbH Seite 79

80 Datei-Ressourcen-Management Fenster erweiterte Sicherheitseinstellungen auf einen Benutzer oder eine Gruppe und anschließend auf die Schaltfläche BEARBEITEN klicken, öffnet sich das Fenster Berechtigungseintrag für.... Detaillierte Berechtigungen, die durch das Setzen einer bestimmten Standardberechtigung, wie z. B. Vollzugriff, vergeben werden Abb. 45: Berechtigungseintrag für einen bestimmten Benutzer Die NTFS-Berechtigung eines Benutzers bei einem lokalen Zugriff auf den Server setzt sich aus den einzelnen NTFS-Berechtigungen zusammen, die er durch die Mitgliedschaft in unterschiedlichen Gruppen erhalten hat. Alle Berechtigungen addieren sich, wobei das Verweigern einer Berechtigung höhere Priorität hat als das Zulassen! Unter Windows Server 2008 haben Sie wie bei seiner Vorgängerversion die Möglichkeit, die effektiven Berechtigungen eines Benutzers oder einer Gruppe zu ermitteln. Im Register EFFEKTIVE BERECHTIGUNGEN des Fensters Erweiterte Sicherheitseinstellungen für können Sie sofort die effektiven Berechtigungen ermitteln. Nachdem Sie auf das Register geklickt haben, müssen Sie über die Schaltfläche AUSWÄHLEN den Benutzer oder die Gruppe eingeben, für den/die Sie die effektiven Berechtigungen ermitteln möchten. Bsp.: Sie wollen überprüfen, welche effektiven Berechtigungen die Gruppe Server-Operatoren auf dem persönlichen Ordner von Walter.Wolf hat. In der ACL ist nur die Gruppe der Administratoren, Walter.Wolf und System eingetragen. 2008, Microsoft Österreich GmbH Seite 80

81 Datei-Ressourcen-Management Abb. 46: Effektive Berechtigungen der Gruppe Server-Operatoren für einen bestimmten Ordner Wie zu erwarten war, hat die Gruppe der Server-Operatoren auf dem persönlichen Ordner des Benutzers Walter.Wolf keinen ACE-Eintrag und damit auch keinen Zugriff auf diesen Ordner. Die Zugriffsberechtigung auf eine Datei kann ausgedehnt oder auch eingeschränkt werden! 7.3 Freigabe einer Ressource Berechtigungen Wie bereits eingangs erwähnt, müssen Ressourcen durch einen Benutzer der Gruppe der Domänen-Administratoren oder der Server-Operatoren freigegeben werden, damit ein Benutzer über das Netzwerk auf diese Ressource zugreifen kann. Standardmäßig sind für Administratoren für jedes Laufwerk administrative Freigaben definiert, die jeweils die Bezeichnung des Datenträgers, gefolgt von einem Dollarzeichen, $, tragen. So ist Datenträger C: über die administrative Freigabe C$ erreichbar. Versteckte Freigaben Freigabenamen, die mit $ enden, werden den Benutzern im Windows Explorer nicht angezeigt, eine Verbindung kann aber trotzdem hergestellt werden. Der Benutzer muss allerdings den genauen Namen der Ressource kennen. 2008, Microsoft Österreich GmbH Seite 81

82 Datei-Ressourcen-Management Normale Freigabe eines Ordners am Server Nachdem Sie einen Ordner am Server erstellt und die gewünschten NTFS-Berechtigungen auf dem Ordner eingetragen haben, können Sie den Ordner freigeben. Mit Windows Server 2008 werden zwei unterschiedliche Freigabemethoden bereitgestellt: Wählen Sie nach einem Rechtsklick auf den Ordner, den Sie freigeben wollen, die Kontextfunktion FREIGEBEN aus: In diesem Fall gelangen Sie zur neuen, einfachen Freigabe einer Ressource. Diese Form der Freigabe mithilfe des Freigabe-Assistenten ermöglicht allerdings nicht alle Optionen, die ein Administrator möglicherweise benötigt. Abb. 47: Freigabe eines Ordners mit dem Freigabe-Assistenten Zumindest auf den ersten Blick ist das Zugriffsrecht mithilfe des Freigabe-Assistenten verwirrend. Statt Berechtigungen wie Lesen, Ändern oder Vollzugriff werden beim Freigabe-Assistenten Berechtigungsebenen verwendet: Besitzer: Diese Berechtigungsebene entspricht der Freigabeberechtigung Vollzugriff Mitwirkender: Diese Berechtigungsebene entspricht der Freigabeberechtigung Ändern Leser: Diese Berechtigungsebene entspricht der Freigabeberechtigung Lesen Diese neuen Berechtigungsebenen kommen von Windows Vista und sind vermutlich für die meisten Administratoren gewöhnungsbedürftig. 2008, Microsoft Österreich GmbH Seite 82

83 Datei-Ressourcen-Management Wählen Sie nach einem Rechtsklick auf den Ordner, den Sie freigeben wollen, die Kontextfunktion EIGENSCHAFTEN aus: In diesem Fall öffnen sich die Eigenschaften des Ordners. In diesem Fenster wechseln Sie anschließend in das Register FREIGABE, dort können Sie die ERWEITERTE FREIGABE durch einen Klick auf die gleichnamige Schaltfläche aufrufen. 6 Abb. 48: Register Freigabe mit der Schaltfläche Erweiterte Freigabe Nach dem Klick auf die Schaltfläche ERWEITERTE FREIGABE gelangen Sie in das Fenster der erweiterten Freigabe des Ordners. Mit einem Klick auf das Kontrollkästchen DIESEN ORDNER FREIGEBEN wird automatisch der Name des Ordners als Freigabename der Ressource übernommen. Weiters können Sie die Anzahl der gleichzeitigen Zugriffe auf den Ordner bestimmen bzw. den Standardwert übernehmen. Sie sollten jede Freigabe eines Ordners mit einem Kommentar versehen. Wenn Benutzer ein Netzwerk nach Ressourcen durchsuchen, können sie mit einem hilfreichen Kommentar leichter entscheiden, ob sie diese Ressource benötigen oder nicht. Abschließend müssen Sie noch die Freigabeberechtigungen des Benutzers bei einem Zugriff über das Netzwerk bestimmen. 6 Etwas schneller kommen Sie zur erweiterten Freigabe, wenn Sie den Freigabe-Assistenten deaktivieren. Öffnen Sie einen Ordner am Server und rufen Sie die Menüfunktion EXTRA ORDNEROPTIONEN auf. Wechseln Sie in das Register ANSICHT und deaktivieren Sie das Kontrollkästchen FREIGABE-ASSISTENT VERWENDEN (EMPFOHLEN). Ab nun öffnet sich direkt das Register FREIGABE, wenn Sie dieses aus dem Kontextmenü des Ordners auswählen. 2008, Microsoft Österreich GmbH Seite 83

84 Datei-Ressourcen-Management Abb. 49: Erweiterte Freigabe eines Ordners Über die Schaltfläche Berechtigungen können die nachfolgenden Berechtigungen erteilt werden: Lesen: Diese Berechtigung ist die Standardberechtigung in der Gruppe Jeder. Sie ermöglicht es Benutzern, sich Datei- und Unterordnernamen und Daten in Dateien anzusehen und Programme auszuführen. Beachten Sie, dass wirklich jeder dieser Gruppe automatisch angehört. Auch Benutzer, die sich gegenüber dem Netzwerk nicht authentifiziert haben, gehören dieser Gruppe an. Ändern: Die Standardberechtigung enthält neben dem Lesen von Dateien auch deren Änderung, das Hinzufügen und das Löschen von Dateien und Ordnern. Vollzugriff: Diese Standardberechtigung gewährt alle Berechtigungen. Seit Windows Server 2003 erhält die Gruppe Jeder in einer neu freigegebenen Ressource automatisch nur mehr die Berechtigung Lesen (die Berechtigung mit der stärksten Einschränkung). Bei den vorherigen Versionen des Windows Server 2000 war das Standard-Freigaberecht mit Jeder/Vollzugriff definiert. Die Änderung ist eine Folge der Microsoft-Initiative Trustworthy Computing und soll den Zugriff auf Ressourcen sicherer machen. In der Praxis ist diese Vorgehensweise jedoch nicht sehr praktikabel. Sie sollten gleich beim Erstellen der Freigabe die Gruppe Jeder aus der Freigabeberechtigung durch authentifizierte Benutzer ersetzen. Wenn Sie dieser Gruppe das Freigaberecht Vollzugriff einräumen, können Sie, so wie früher, die effektive Berechtigung durch die NTFS-Datei- und Ordnerberechtigungen vergeben. 2008, Microsoft Österreich GmbH Seite 84

85 Datei-Ressourcen-Management Beachten Sie bitte, dass es einen wesentlichen Unterschied darstellt, ob eine Gruppe in der Liste der Freigabeberechtigungen eingetragen ist oder nicht. Hat ein Benutzer oder eine Gruppe keine Freigaberechte auf einem Ordner, so kann er/sie sich nicht einmal mit dieser Ressource verbinden Manuelle Freigabe eines Ordners So geben Sie einen Ordner frei: 1. Wählen Sie im Windows Explorer einen Ordner aus. 2. Aus dem Kontextmenü des Ordners wählen Sie die Funktion EIGENSCHAFTEN. 3. Aktivieren Sie den Reiter FREIGABE. 4. Klicken Sie auf ERWEITERTE FREIGABE. 5. Geben Sie den Freigabenamen und eine Beschreibung an. 6. Mit dem Befehl BERECHTIGUNGEN können Sie die Zugriffsberechtigungen für die Freigabe definieren. Standardmäßig erhält die Gruppe Jeder bei einer neuen Freigabe eine Nur-Lese-Berechtigung. 7. Schließen Sie alle Fenster. Nachdem Sie den Ordner freigegeben haben, können sich die Netzwerkbenutzer mit Berechtigung zu dieser Freigabe verbinden. Im Windows Explorer des Servers, auf dem Sie den Ordner freigeben, sind die Freigaben mit zwei symbolischen Personen unter dem Symbol der Ressource gekennzeichnet. Äquivalent dazu können Sie auch einzelne Datenträger freigeben. Wählen Sie hierzu bei Punkt 1 anstelle eines Ordners den gewünschten Datenträger aus. Die restliche Vorgehensweise bleibt dieselbe. In der Praxis sollten Sie nie Datenträger, sondern nur Ordner oder Ordnerstrukturen freigeben. 2008, Microsoft Österreich GmbH Seite 85

86 Datei-Ressourcen-Management Entfernen einer Freigabe Mit dem Entfernen einer Freigabe können Sie die Zugriffsberechtigung auf einen Ordner wieder aufheben. So entfernen Sie eine Freigabe: 1. Wählen Sie im Windows Explorer den Ordner, den Sie freigegeben haben, aus. 2. Öffnen Sie aus dem Kontextmenü den Befehl FREIGABE. 3. Aus dem Reiter FREIGABE wählen Sie in der Auswahlliste den entsprechenden FREIGABENAMEN. 4. Klicken Sie auf FREIGABE ENTFERNEN. Die Berechtigungen, die Sie für Freigaben setzen können, beschränken sich auf Vollzugriff, Änderungen und Lesezugriff. Zusätzlich haben Sie aber die Möglichkeit, die Zugriffs-beschränkungen im Dateisystem über die Eigenschaften zu bearbeiten. Wenn Sie selbst eine Verbindung zu einer Freigabe herstellen möchten, können Sie dies über das Kontextmenü der Netzwerkumgebung erreichen. So stellen Sie eine Verbindung vom Client zu einer Netzwerkressource her: 1. Klicken Sie auf START. 2. Wählen Sie den Eintrag NETZWERK im Menü und machen Sie auf diesen einen Rechtsklick. 3. Wählen Sie im Kontextmenü die Funktion NETZLAUFWERK ZUORDNEN aus. Das Dialogfenster Netzlaufwerk verbinden wird angezeigt. Abb. 50: Dialogfenster Netzlaufwerk verbinden 2008, Microsoft Österreich GmbH Seite 86

87 Datei-Ressourcen-Management 4. Wählen Sie einen Laufwerksbuchstaben und geben Sie den Freigabenamen im Feld Ordner an. Sie können auch nach einer Freigabe suchen, indem Sie DURCHSUCHEN anklicken. Die Angabe des Ordners muss in UNC-Notation geschehen, z. B: \\<Servername\<Freigabename>. 5. Wenn Sie die Verbindung unter einem anderen Benutzernamen herstellen wollen, klicken Sie auf den Link ANDERER BENUTZERNAME. 6. Klicken Sie abschließend auf FERTIG STELLEN Verbinden von Netzlaufwerken via Start Script im Active Directory In einem Netzwerk mit installiertem Active Directory können Sie verschiedene Verwaltungs-aufgaben, die regelmäßig beim An- und Abmelden von Benutzern ausgeführt werden sollen, in ein Script schreiben, das automatisch ausgeführt wird. Dazu benötigen Sie ein Script, das je nach dem anzumeldenden Benutzer die entsprechenden Netzlaufwerke auswählt und die Verbindung mit diesen herstellt. Nachfolgendes Script ist ein Beispiel dafür, wie Sie einen Benutzer via Windows Scripting Host (WSH) beim Anmelden mit Netzlaufwerken verbinden. ' 'Ausblenden eventueller Fehlermeldungen ' on error resume next ' 'Instanzieren des Windows Scripting Hosts ' Set Network = CreateObject("Wscript.Network") Domain = Network.UserDomain Username = Network.UserName Compname = Network.ComputerName Set Userobj = GetObject("WinNT://" & Domain & "/" & Username) Set Shell = CreateObject("Shell.Application") Set Drives = Network.EnumNetworkDrives ' 'Löschen aller verbundenen Netzlaufwerke außer des Homelaufwerks (H:) ' If Drives.Count <> 0 Then For i = 0 To Drives.Count 1 Step 2 If Drives(i) <> H: Then network.removenetworkdrive Drives(i), true End If Next End If ' 'Verbinden von allgemeinen Laufwerken sowie Namenszuordnung 2008, Microsoft Österreich GmbH Seite 87

88 Datei-Ressourcen-Management ' Network.mapNetworkDrive "W:", "\\SRV01\alle" Shell.NameSpace("W:\").Self.Name = "Allgemeines Laufwerk" ' 'Verbinden von Netzlaufwerken für bestimmte Räume ' If Lcase(mid(Compname,1,4)) = "PC01" Then Network.mapNetworkDrive "V:", "\\SRV01\video" Shell.NameSpace("V:\").Self.Name = "Videoschnitt" End If ' 'Verbinden von Netzlaufwerken für bestimmte User ' 'Auslesen der Gruppenmitgliedschaft ' For Each GroupObj in Userobj.Groups sarray = Split(GroupObj.name) Gruppe = LCase(Join(sArray,"")) ' 'Verbinden der Netzlaufwerke für Gruppen ' Select Case Gruppe Case "lehrer" Network.mapNetworkDrive "L:", "\\SRV01\lehrer" Shell.NameSpace("L:\").Self.Name = "L E H R E R" Case "kustos" Network.mapNetworkDrive "K:", "\\SRV01\kustos" Shell.NameSpace("K:\").Self.Name = "K U S T O S" Network.mapNetworkDrive "S:", "\\SRV01\sw" Shell.NameSpace("S:\").Self.Name = "Software" End Select Next Wscript.quit Das angegebene Script ist lediglich ein Beispiel und nur für die Verwendung von Clients ab Windows 2000 gedacht, jedoch in der hier vorliegenden Form nicht für den produktiven Einsatz geeignet! Nähere Informationen zu Scripting im Allgemeinen und dem hier angeführten Anmeldescript im Besonderen finden Sie im Hilfe- und Support-Center. 2008, Microsoft Österreich GmbH Seite 88

89 Datei-Ressourcen-Management Freigaben im Active Directory So veröffentlichen Sie eine Freigabe im Active Directory: 1. Öffnen Sie die ACTIVE DIRECTORY-BENUTZER UND COMPUTER-Konsole über START VERWALTUNG. 2. Markieren Sie Ihre Domäne und klicken Sie im Menü AKTION auf den Eintrag NEU. 3. Klicken Sie auf FREIGEGEBENER ORDNER. 4. Sie werden zur Eingabe des Namens und des Netzwerkpfads aufgefordert. Geben Sie einen entsprechenden Freigabenamen ein und klicken Sie abschließend auf OK Spezielle Freigaben Unter Windows Server 2008 werden je nach Konfiguration des Computers einige weitere speziell freigegebene Ressourcen zu Verwaltungszwecken angelegt. Es wird empfohlen, diese nicht zu löschen oder zu ändern. Die im Folgenden aufgelisteten freigegebenen Ressourcen werden zwar im Windows Explorer unter dem Arbeitsplatz nicht angezeigt, können jedoch mithilfe des Dienstprogramms freigegebene Ordner angezeigt werden: Laufwerksbuchstabe$ Dieser stellt die administrative Freigabe dar, mit der Administratoren eine Verbindung zum Stammverzeichnis eines Laufwerks herstellen können. ADMIN$ Dient zur Remoteverwaltung eines Rechners. Der Pfad bezieht sich immer auf das Systemstammverzeichnis (z. B. C:\Windows). IPC$ Diese Ressource dient der Freigabe der Named Pipes, die für die Kommunikation zwischen Programmen erforderlich sind. Des Weiteren wird IPC$ während der Remoteverwaltung zum Anzeigen der auf dem Rechner freigegebenen Ressourcen verwendet. Diese Freigabe kann nicht gelöscht werden. NETLOGON Diese Freigabe ist auf Domänencontrollern erforderlich. PRINT$ Wird bei der Remoteverwaltung von Druckern verwendet. FAX$ Wird von Faxclients zum Senden von Faxen verwendet. Dient hauptsächlich als Zwischenspeicher und zur Ablage von Deckblättern. 2008, Microsoft Österreich GmbH Seite 89

90 Datei-Ressourcen-Management Wenn Sie die Berechtigungen für die oben genannten speziell freigegebenen Ressourcen geändert haben, können die Standardeinstellungen möglicherweise wieder hergestellt werden, wenn Sie den Serverdienst beenden und neu starten. 7.4 Freigaben verwalten Eines der wichtigsten Programme für einen Administrator beim Verwalten von Freigaben war in der Vorgängerversion Windows Server 2003 die lokale Computerverwaltung, mit deren Hilfe Freigaben, Sitzungen sowie die geöffneten Dateien eingesehen werden konnten. Abb. 51: Lokale Computerverwaltung eines Domaincontrollers unter Windows Server 2003 Das gewohnte Snap-in für die Microsoft Management Console können Sie nach wie vor laden. Öffnen Sie eine MMC und suchen Sie nach dem Snap-in FREIGEGEBENE ORDNER (LOKAL). Abb. 52: Snap-in Freigegebene Ordner (Lokal) 2008, Microsoft Österreich GmbH Seite 90

91 Datei-Ressourcen-Management Dieses wichtige Werkzeug für die Verwaltung von Freigaben wurde nun mit Windows Server 2008 völlig neu geschrieben und in seiner Funktionalität wesentlich erweitert. Das neu gestaltete Snap-in für die MMC finden Sie unter dem Namen FREIGABE- UND SPEICHERVERWALTUNG in der Programmgruppe VERWALTUNG. Selbstverständlich ist dieses Snap-in auch im zentralen Verwaltungsprogramm des Administrators, dem SERVER-MANAGER, eingehängt. Abb. 53: Knoten Freigabe- und Speicherverwaltung Wie der Name des Snap-ins Freigabe- und Speicherverwaltung bereits andeutet, können Sie aber damit noch wesentlich mehr und umfangreichere Verwaltungsarbeiten durchführen. Im Register FREIGABEN können Sie: Freigaben erstellen Freigaben beenden Eigenschaften einer Freigabe einsehen oder ändern Anzahl der gleichzeitigen Zugriffe auf eine Freigabe einschränken bzw. ausdehnen Art der Zwischenspeicherung der Freigabe festlegen Offline Caching Zugriffsbasierte Aufzählung für die Freigabe aktivieren oder deaktivieren. 7 (Wichtige Neuerung von Windows Server 2008.) 7 Zugriffsbasierte Aufzählung der Freigabe: Dies bewirkt, dass ein Benutzer, der keine Zugriffsrechte auf den Inhalt eines Ordners hat, diesen auch nicht sehen kann. Durch diese Neuerung ist auch eine völlig neue Denkweise bei den Freigaben von Ressourcen möglich. Nun können Sie mehrere Ressourcen unter einer Freigabe veröffentlichen. Der Anwender kann nur jene Ordner sehen, für die er auch berechtigt ist! 2008, Microsoft Österreich GmbH Seite 91

92 Datei-Ressourcen-Management Informationen bezüglich Kontingente, Dateiprüfungen, Schattenkopien und des verfügbaren Speicherplatzes einsehen Sitzungen verwalten Offene Dateien verwalten usw. Im Register VOLUMES können Sie: Zusätzlichen Speicher bereitstellen Eine Partition eines Festplattenlaufwerks erweitern Eigenschaften einer Partition bzw. eines Laufwerks einsehen usw. 7.5 Schattenkopien Schattenkopien Volume Shadow Copy Service sind kein neues Thema unter Windows Server Sie wurden als Neuerung mit Windows Server 2003 eingeführt und haben zwei wichtige Anwendungsbereiche: Beim Sichern der Daten: Daten, auf die nicht zugegriffen wird, können problemlos von einem Sicherungsprogramm gesichert werden. Was ist aber mit Daten, die von einer Anwendung geöffnet wurden? Denken Sie z. B. an die Mailstores, die von Exchange permanent geöffnet werden. Derartige Dateien könnten nur dann gesichert werden, wenn die Exchange-Dienste während der Datensicherung beendet werden. Mithilfe von Volume Shadow Copy Service wird ein Snapshot der geöffneten Datei erstellt, der dann ohne Probleme gesichert werden kann. Als Administrator müssen Sie nichts dafür tun. Das Backup-Programm greift mittels API-Funktionen auf das Volume Shadow Copy Service zu und erstellt damit die notwendigen Schattenkopien, die gesichert werden. Zugriffe der Benutzer auf Vorgängerversionen von Dokumenten: Stellen Sie sich vor, dass der Benutzer ein Dokument vom Netzwerk lädt und verändert. Tage später will er aber auf die Vorgängerversion des Dokumentes zugreifen. Normalerweise ein Job, bei dem nun der Administrator einschreitet und die Daten vom Band oder der USB-Festplatte zurücksichern muss. Wurden Schattenkopien bereitgestellt, so ist es sehr wahrscheinlich, dass der Administrator von der Rücksicherung der Daten entlastet wird. Der Benutzer kann über den Explorer selbst auf Vorgängerversionen der Datei zugreifen. Ein Rücksichern der Daten ist in diesem Fall nicht notwendig Aktivierung der Schattenkopien Damit der Anwender auf Schattenkopien zugreifen kann, muss das Volume Shadow Copy Service für ein Festplattenlaufwerk vom Administrator aktiviert werden. Bei der Aktivierung gibt der Administrator die Häufigkeiten und auch die Zeiten an, zu denen das Volume Shadow Copy Service Schattenkopien von Dateien anlegt. Das Volume Shadow Copy Service muss in den Eigenschaften eines lokalen Datenträgers aktiviert werden. Aktivieren Sie nie ein Volume mit vielen E/A-Zugriffen. 2008, Microsoft Österreich GmbH Seite 92

93 Datei-Ressourcen-Management So aktivieren Sie die Schattenkopien und stellen den Dienst dafür ein: 1. Wählen Sie einen lokalen Datenträger aus. Machen Sie auf diesen einen Rechtsklick und wählen Sie im Kontextmenü die Funktion EIGENSCHAFTEN aus. Abb. 54: Eigenschaften eines lokalen Datenträgers Register Schattenkopien 2. Klicken Sie auf das Volume, für das Sie das Volume Shadow Copy Service aktivieren wollen. Anschließend klicken Sie auf die Schaltfläche AKTIVIEREN. Es erscheint ein Fenster, in dem Sie darauf aufmerksam gemacht werden, dass Sie das Volume Shadow Copy Service niemals auf Datenträgern mit vielen Zugriffen aktivieren sollten bzw. dass Sie auf einem derartigen Datenträger die Schattenkopien manuell konfigurieren und auf ein anderes Volume legen sollten. Bestätigen Sie das Fenster mit einem Klick auf die Schaltfläche JA. Auf diese Weise haben Sie das Volume Shadows Copy Service mit den Standardeinstellungen aktiviert. Die Standardeinstellungen sind: Die Schattenkopien werden auf demselben Volume hinterlegt. Die Größe des Speicherplatzes ist nicht einstellbar. Für Schattenkopien werden 10 % Speicherplatz zur Verfügung gestellt. Reicht dieser Speicherplatz nicht aus, dann werden ältere Versionen gelöscht. Jeweils um 7:00 Uhr und um 12:00 Uhr von Montag bis Freitag werden Schattenkopien angelegt. 2008, Microsoft Österreich GmbH Seite 93

94 Datei-Ressourcen-Management Falls Sie die Standardeinstellungen nicht übernehmen wollen, müssen Sie vor der Aktivierung der Schattenkopien zuerst auf die Schaltfläche EINSTELLUNGEN klicken und den alternativen Speicherort sowie die Größe für den Bereich der Schattenkopien bestimmen. Abb. 55: Festlegung eines alternativen Speicherortes für die Schattenkopien Falls Sie das Volume Shadow Copy Service aktiviert haben, können Sie die Einstellungen für den Speicherort nicht mehr ändern. Bereits erstellte Schattenkopien können auch nicht verschoben werden. Allgemein empfiehlt es sich, nicht dasselbe Volume für die Ablage der Schatten-kopien zu verwenden. Die Größe des Speicherbereichs für Schattenkopien kann jedoch jederzeit angepasst werden. 2008, Microsoft Österreich GmbH Seite 94

95 Datei-Ressourcen-Management Zugriff auf Schattenkopien vom Client aus Stellen Sie sich z. B. vor, ein Benutzer hätte eine Datei aus seinem Homeverzeichnis gelöscht. In der Vergangenheit eine klassische Aufgabe der Datenrücksicherung, die nun mittels Schattenkopie gelöst werden kann. In dem hier dargestellten Beispiel wurde die Datei Kapitel_6.docx im Homeverzeichnis von Walter.Wolf gelöscht. Der Zugriff auf Vorgängerversionen kann vonseiten des Clients z. B. Windows Vista auf zwei unterschiedliche Arten erfolgen. Sie können entweder über den Explorer oder über den Öffnungsdialog der Anwendung auf Vorgängerversionen des Volume Shadow Copy Service zugreifen. So greifen Sie über den Explorer auf Vorgängerversionen des Volume Shadow Copy Service zu: 1. Öffnen Sie den Explorer und navigieren Sie auf das Netzwerklaufwerk, von dem Sie Vorgängerversionen öffnen wollen. 2. Machen Sie auf das Netzwerklaufwerk einen Rechtsklick und wählen Sie im Kontextmenü die Funktion VORGÄNGERVERSION WIEDERHERSTELLEN aus. 3. Das Eigenschaften-Fenster der Ressource öffnet sich und zeigt automatisch das Register VORGÄNGER- VERSIONEN an. Abb. 56: Vorgängerversionen im Eigenschaften-Fenster einer Ressource 4. Wählen Sie nun die aktuellere Version der Schattenkopie Heute (1) aus. 5. Machen Sie einen Doppelklick auf das Ordnersymbol. 6. Wählen Sie abschließend jene Datei in diesem Fall Kapitel_6.docx aus, die Sie wiederherstellen wollen. 2008, Microsoft Österreich GmbH Seite 95

96 Datei-Ressourcen-Management Abb. 57: Verfügbare Dokumente, die mittels Volume Shadow Copy Service vorhanden sind Vorgängerversionen können aber auch direkt aus der Anwendung heraus geöffnet werden. So greifen Sie z. B. direkt aus Microsoft Office Word 2007 auf Vorgängerversionen zu: 1. Klicken Sie auf die Schaltfläche OFFICE und anschließend auf ÖFFNEN. 2. Wählen Sie über das Navigationsfenster jenes Netzwerklaufwerk aus, auf dem Sie die Vorgängerversion öffnen wollen. 3. Klicken Sie auf den Drop-down-Listenpfeil ÖFFNEN und wählen Sie den Eintrag VORHERIGE VERSIONEN ANZEIGEN aus. Abb. 58: Optionen der Schaltfläche Öffnen in Microsoft Office Word , Microsoft Österreich GmbH Seite 96

97 Datei-Ressourcen-Management 4. Die Anzeige im Vorschaufenster ändert sich und zeigt nun die verfügbaren Schattenkopien an. Abb. 59: Anzeige von zwei Schattenkopien im Vorschaufenster von Microsoft Office Word 5. Wählen Sie nun jene Version aus, deren Schattenkopie Sie öffnen wollen. Volume Shadow Copy Service ist kein Ersatz für die Versionierung von Dokumenten und schon gar kein Ersatz für die Sicherung der Daten! Für die Versionierung von Dokumenten sollten Sie bei Bedarf das Produkt Microsoft Office SharePoint Server 2007 bzw. Microsoft SharePoint Services 3.0 evaluieren. 7.6 Ressourcen-Manager für Dateiserver Der Ressourcen-Manager ist ein Rollendienst der Rolle der Dateidienste. Den Ressourcen-Manager können Sie nachträglich installieren, dazu müssen Sie den Server-Manager öffnen. Vergessen Sie nicht, nach der Installation des Ressourcen-Managers den Server-Manager zu schließen und wieder zu öffnen. Den Ressourcen-Manager für Dateiserver finden Sie nach dem Öffnen des Server-Managers unter dem Knoten Dateidienste. Dieses Programm erfüllt drei unterschiedliche Funktionen und ist ein absolutes Muss für modernes Ressourcen-Management. Ziel und Zweck dieses Programms ist eine kontrollierte, ordnungsgemäße Nutzung der Netzwerkressourcen in einem Schulnetzwerk. Gerade im Schulbereich kann mithilfe des Ressourcen-Managers wertvoller Speicherbereich überwacht werden. 2008, Microsoft Österreich GmbH Seite 97

98 Datei-Ressourcen-Management Mit dem Ressourcen-Manager können Sie: Kontingente verwalten Speicherungen auf Netzwerk-Ressourcen File Screening überwachen Berichte über die Plattenbenutzung von Benutzern erstellen Kontingentmanagement von Netzwerk-Ressourcen Der Sinn von Festplattenkontingenten besteht darin, den Speicherplatz von Benutzern zu beschränken. In der Vergangenheit konnten Kontingente aber nur für ein physisches Laufwerk definiert und vergeben werden. Unter Windows Server 2008 wurde das Kontingentmanagement geändert. Erstmals können Kontingente ordnerbezogen vergeben werden. Für Administratoren und Server-Operatoren stehen Templates zur Verfügung, die die Vergabe von Kontingenten zusätzlich vereinfachen. Abb. 60: Kontingentvorlagen im Ressourcen-Manager für Dateiserver Mit einem Rechtsklick auf eine der Kontingentvorlagen und Auswahl der Funktion EIGENSCHAFTEN können die Kontingentvorlagen betrachtet, kopiert oder bearbeitet werden. 2008, Microsoft Österreich GmbH Seite 98

99 Datei-Ressourcen-Management Abb. 61: Eigenschaften einer Kontingentvorlage Die oben dargestellten Eigenschaften der Kontingentvorlage 100-MB-Grenze sind selbsterklärend. Alles dreht sich um die Speicherplatzgrenze, die ein Benutzer auf einem Ordner erhält. In diesem Fall kann der Benutzer: 100 MB an Daten in einem Ordner speichern. Bei dieser Grenze handelt es sich um eine harte Kontingentgrenze, d. h., der Benutzer kann diese Grenze nicht überschreiten. Wird die andere Option, weiche Kontingentgrenze, gewählt, wird die Überschreitung zwar gemeldet, der Benutzer kann aber weiter Daten in dem freigegebenen Ordner speichern. Neben der Speicherplatzgrenze und wie beim Speichern damit umgegangen wird können beliebig viele Benachrichtigungsschwellenwerte angegeben werden. Im obigen Beispiel sind drei Warnwerte, für 85 %, 95 % und 100 %, angegeben. Für jeden Schwellenwert kann dabei unabhängig bestimmt werden, welche Optionen ausgeführt werden sollen. Die Optionen dabei sind: Senden an den Benutzer und/oder Administrator Eintragung in das Ereignisprotokoll Ausführen eines bestimmten Befehls bzw. Programms, wenn der Schwellenwert überschritten wurde Erstellen eines Berichtes Benachrichtigungsschwellenwerte werden über die Schaltfläche HINZUFÜGEN im Abschnitt Benachrichtigungsschwellenwerte angegeben. 2008, Microsoft Österreich GmbH Seite 99

100 Datei-Ressourcen-Management So konfigurieren Sie Schwellenwerte für Kontingente: 1. Wählen Sie die Kontingentvorlage aus, für die Sie einen Schwellenwert eintragen wollen. Machen Sie auf die Kontingentvorlage einen Rechtsklick und wählen Sie die Funktion VORLAGENEIGENSCHAFT BEARBEITEN aus. 2. Klicken Sie auf die Schaltfläche HINZUFÜGEN im Abschnitt Benachrichtigungsschwellenwerte. Es öffnet sich das Fenster SCHWELLENWERT HINZUFÜGEN mit den vier Registern -NACHRICHT, EREIGNISPROTOKOLL, BEFEHL, BERICHT. Abb. 62: Aktionen beim Erreichen eines Schwellenwertes eines Kontingents Im ersten Register -Nachricht kann angegeben werden, ob eine an den Benutzer bzw. Administrator geschickt werden soll. Neben dem Standardtext können mehr als 20 Variable in den Text der eingefügt werden. Mit den Möglichkeiten des zweiten Registers Ereignisprotokoll wird festgelegt, was in das Ereignisprotokoll geschrieben wird. Da Sie als Administrator aber jederzeit den Überblick über alle Kontingente haben, werden Sie diese Option wahrscheinlich nicht wählen. Im dritten Register Befehl können Sie eine Aktion bestimmen, die am Server ausgeführt werden soll, wenn der Schwellenwert erreicht wurde. Beachten Sie, dass ein mögliches Skript oder Programm am Server und nicht am Client des Benutzers ausgeführt wird. 2008, Microsoft Österreich GmbH Seite 100

101 Datei-Ressourcen-Management Besonders hilfreich ist allerdings das vierte Register Bericht, mit dem ein oder mehrere Berichte erstellt werden können. Diese Berichte können Sie dem Benutzer per zusenden. Aus dem Bericht kann der Benutzer ersehen, welche Daten doppelt gespeichert oder welche Daten seit mehr als einem Jahr nicht mehr geöffnet wurden. Diese Information ist für den Benutzer unter Umständen hilfreich, wenn er alte oder doppelt vorhandene Daten löschen möchte, um wieder verfügbaren Speicherplatz zu erhalten. Nachdem Sie nun Templates erstellt und konfiguriert haben, müssen Sie Kontingente mithilfe der erstellten Vorlage zuweisen. Kontingentbeschränkungen werden nicht mehr pro lokalem Festplattenlaufwerk, sondern pro Ordner vergeben. Wie ein Template in einer Beschränkung des Plattenplatzes angewandt wird, entscheiden Sie beim Erstellen der Kontingente. Allgemein haben Sie zwei unterschiedliche Möglichkeiten: Kontingent im Pfad: Das Template wird nur auf einen bestimmten Ordner angewandt. Abb. 63: Erstellen eines Kontingentes für einen bestimmten Ordner 2008, Microsoft Österreich GmbH Seite 101

102 Datei-Ressourcen-Management Vorlage automatisch anwenden und Kontingente in Unterordnern erstellen: Das Template wird nicht auf den Ordner, den Sie ausgewählt haben, sondern auf die darunterliegenden Ordner angewandt. Wenn Sie ein Template auf die Schülerhomeverzeichnisse der Klasse 1a anwenden und den Ordner C:\Data\Home\1a auswählen, werden die Kontingente auf die einzelnen Unterordner der Schüler gelegt und nicht auf den Ordner C:\Data\Home\1a. Abb. 64: Kontingente automatisch auf die Unterordner legen Mithilfe des Ressourcen-Managers können Sie einsehen, welche Art von Kontingenten Sie gesetzt haben. Sie können die Kontingente nach unterschiedlichen Kriterien sortieren und so schnell einen Überblick darüber erhalten, wie viel Prozent des Kontingents auf einer Ressource schon durch den Benutzer belegt sind. 2008, Microsoft Österreich GmbH Seite 102

103 Datei-Ressourcen-Management Abb. 65: Ressourcen-Manager Wenn Sie die unten dargestellte Abbildung betrachten, können Sie die beiden unterschiedlichen Arten der Kontingentzuweisungen erkennen. Weiches Kontingent, das auf einen Pfad angewandt wurde. Hartes Kontingent, das automatisch auf Unterordner angewandt wurde. Abb. 66: Ausschnitt aus dem rechten Fensters des Ressourcen-Managers für Dateien 2008, Microsoft Österreich GmbH Seite 103

104 Datei-Ressourcen-Management Überwachung der Speicherungen auf Netzwerk-Ressourcen File Screening Neben Kontingenten bietet der Dateimanager mit dem sogenannten File Screening, also dem Überwachen der Dateien beim Speichern auf einer Netzwerkressource, ein weiteres wichtiges Instrument an, um die nicht ordnungsgemäße Benutzung des Speicherplatzes einer Netzwerkressource zu unterbinden. Schüler lieben es bekannterweise, in ihrer Freizeit im Internet zu surfen, MP3-Dateien und Spiele herunterzuladen oder diese von den USB-Sticks von Freunden in ihrem persönlichen Ordner abzulegen. Abgesehen davon, dass dadurch sehr häufig ein und dieselbe Datei mehrfach in unterschiedlichen Ordnern abgespeichert wird, wird auch unnötig Speicherplatz belegt, der in keiner Relation zum Unterricht steht. Mithilfe des Ressourcen-Managers für Dateien können Sie auch bestimmen, welche Arten von Dateien Benutzer auf unterschiedlichen Netzwerkressourcen ablegen dürfen. Die Vorgangsweise ist ähnlich wie bei den Kontingenten. Im Ressourcen-Manager für Dateien finden Sie einen Knoten DATEIPRÜFUNGSVERWALTUNG, mit dessen Hilfe Sie das File Screening durchführen können. Unter den DATEIPRÜFUNGSVORLAGEN erhalten Sie mit der Installation bereits fünf vordefinierte Templates, die Sie unmittelbar verwenden können. Darüber hinaus können Sie aber auch sehr flexibel eigene Dateiprüfungsvorlagen erstellen. Abb. 67: Vordefinierte Dateiprüfungsvorlagen So verbieten Sie das Speichern von Audiodateien in den persönlichen Ordnern der Benutzer: 1. Öffnen Sie den Server-Manager. 2. Navigieren Sie zum Knoten Dateiprüfung. Sie finden diesen unter SERVER-MANAGER ROLLEN DATEIDIENSTE RESSOURCEN-MANAGER FÜR DATEISERVER DATEIPRÜFUNGSVERWALTUNG. 3. Machen Sie einen Rechtsklick auf den Eintrag DATEIPRÜFUNG und wählen Sie im Kontextmenü die Funktion DATEIPRÜFUNG ERSTELLEN aus. 4. Wählen Sie den Ordner aus, von dem aus hierarchisch nach unten diese Regel angewandt werden soll. 2008, Microsoft Österreich GmbH Seite 104

105 Datei-Ressourcen-Management Abb. 68: Regel für Dateiprüfung: Das Speichern von Audio- und Videodateien soll unterbunden werden 5. Um diese Regel zu aktivieren, müssen Sie abschließend nur mehr auf die Schaltfläche ERSTELLEN klicken. Ab nun ist ausgehend von dem Dateiprüfungspfad hierarchisch nach unten das Speichern von Audio- und Videodateien nicht mehr möglich. Beachten Sie bitte: Die Dateiprüfung bezieht sich lediglich auf die Dateitypen der Datei, die gespeichert werden soll. Benennt ein Anwender den Dateityp einer Datei um, bevor er diese auf einer Netzwerkressource ablegt, oder wird die Datei in einem Zip-Archiv gespeichert, so kann der Anwender sehr wohl die Datei auf der Netzwerkressource speichern. Das File Screening bezieht sich aber auch auf Dateien, die bereits auf dem Netzwerklaufwerk gespeichert wurden. Sie können eine umbenannte MP3-Datei im Netzwerklaufwerk nicht mehr auf den richtigen Dateityp nämlich.mp3 umbenennen. Abb. 69: Fehlermeldung einer Windows Vista-Workstation beim Abspeichern einer nicht erlaubten Datei 2008, Microsoft Österreich GmbH Seite 105

106 Datei-Ressourcen-Management Neben Dateiprüfungen können aber auch Ausnahmen erstellt werden. Auf diese Weise können Sie Ordner bestimmen, für die derartige Regeln nicht gelten. Um eine Ausnahme zu erstellen, wählen Sie im Kontextmenü die Funktion DATEIPRÜFUNGSAUSNAHME ERSTELLEN aus. Abb. 70: Erstellen einer Dateiprüfungsausnahme für einen bestimmten Ordner Neben den bereits vorhandenen Dateiprüfungsvorlagen können Sie aber auch eigene Dateiprüfungsvorlagen erstellen. Um eine Dateiprüfungsvorlage zu erstellen, müssen Sie auf den Knoten Dateiprüfungsvorlagen einen Rechtsklick machen und die Kontextfunktion DATEIPRÜFUNGSVORLAGEN ERSTELLEN auswählen. 2008, Microsoft Österreich GmbH Seite 106

107 Datei-Ressourcen-Management Zuerst vergeben Sie für die Vorlage einen Namen. Danach treffen Sie die Wahl, wie die Prüfung vorgenommen werden soll. Aktives Prüfen: Beim aktiven Prüfen wird ein Speichern der Datei, die einer Regel entspricht, blockiert. Passives Prüfen: In diesem Fall ist das Speichern einer Datei, die dieser Regel entspricht, zulässig, d. h. der Anwender kann derartige Dateien auf dem Netzwerklaufwerk speichern. Bei einer passiven Prüfung werden Sie aber weitere Maßnahmen beschließen, um von dem Vorgang der nicht legalen Speicherung informiert zu werden. Passive Prüfungen dienen der Überwachung! So erstellen Sie eine eigene Dateiprüfungsvorlage: 1. Öffnen Sie den Server-Manager. 2. Navigieren Sie zum Knoten DATEIPRÜFUNGSVORLAGEN. Sie finden diesen unter SERVER-MANAGER ROLLEN DATEIDIENSTE RESSOURCEN-MANAGER FÜR DATEISERVER DATEIPRÜFUNGSVERWALTUNG. 3. Machen Sie einen Rechtsklick auf den Eintrag DATEIPRÜFUNGSVORLAGEN und wählen Sie im Kontextmenü die Funktion DATEIPRÜFUNGSVORLAGEN ERSTELLEN aus. 4. Vergeben Sie für die Vorlage einen Namen und wählen Sie die Art des Prüfens aktives oder passives aus. 5. Klicken Sie anschließend auf die Schaltfläche ERSTELLEN. 6. In dem sich öffnenden Fenster Dateigruppeneigenschaften erstellen müssen Sie einen beliebigen Namen für die Dateigruppe eingeben. Anschließend können Sie mithilfe von Wildcards jene Gruppe von Dateien angeben, die bei einer Dateiprüfung blockiert werden oder die von dieser Regel ausgenommen werden. Beliebiger Name für die Dateigruppe Muster der Dateien, die blockiert werden sollen Ausnahmen Abb. 71: Erstellen einer eigenen Dateiprüfungsvorlage 2008, Microsoft Österreich GmbH Seite 107

108 Datei-Ressourcen-Management Erstellung von Berichten über die Festplattenbenutzung von Benutzern Kontingente und File Screening sind aber nur die Hälfte der Miete beim Verwalten von Dateiressourcen. Wichtige Informationen beim Verwalten von Dateiressourcen sind für den Administrator zusammenfassende Informationen, die es ihm ermöglichen, die Verwendung des Festplattenplatzes aus unterschiedlichen Sichtwinkeln zu betrachten und damit zu beurteilen. Mithilfe der Berichte des Ressourcen-Managers für Dateiserver erhalten Sie Informationen über: Dateiduplikate Eigentümer der Dateien Dateien nach Dateigruppen Größe der Dateien und deren Speicherort Kontingente Zuletzt oder vor langer Zeit verwendete Dateien Dateigruppen, die Sie mit passiver Überprüfung überwachen So erstellen Sie einen Bericht über die Dateinutzung auf einem Dateiserver: 1. Öffnen Sie den Server-Manager. 2. Navigieren Sie zum Knoten SPEICHERBERICHTVERWALTUNG. Sie finden diesen unter SERVER-MANAGER ROLLEN DATEIDIENSTE RESSOURCEN-MANAGER FÜR DATEISERVER DATEIPRÜFUNGSVERWALTUNG. 3. In dem sich öffnenden Fenster Speicherberichts-Aufgabeneigenschaften können Sie nun die geplanten Optionen des Berichts durch Anhaken auswählen. Die meisten der angeführten Optionen können durch einen Klick auf die Schaltfläche PARAMETER BEARBEITEN eingesehen und bei Bedarf bearbeitet werden. Abb. 72: HTML-Bericht über Dateiduplikate, große Dateien und solche, die vor Kurzem verwendet wurden 2008, Microsoft Österreich GmbH Seite 108

109 Datei-Ressourcen-Management 4. Nachdem Sie im Register EINSTELLUNGEN angegeben haben, welche Informationen in diesem Bericht aufscheinen sollen, können Sie im Register ZUSTELLUNG angeben, an welchen -Account der Bericht automatisch geschickt werden soll. Um das Fenster schließen zu können, müssen Sie abschließend im Register ZEITPLAN angeben, wann und wie oft der Bericht automatisch erstellt werden soll. Die Berichte über die Festplattennutzung werden im Ordner %systemdrive%\storagereports abgelegt! Abb. 73: HTML-Speicherverwaltungsbericht über doppelte Dateien 2008, Microsoft Österreich GmbH Seite 109

110 Datei-Ressourcen-Management 7.7 Distributed File System Eine nicht neue, aber durchaus überlegenswerte Möglichkeit in Schulnetzen stellt das Distributed File System kurz DFS dar. Sie denken sicherlich an Freigaben auf unterschiedlichen Servern, die unter einem gemeinsamen Namen veröffentlicht werden. Das ist die Grundidee, die hinter DFS steht, aber DFS kann mehr. Mit dem Distributed File System können Sie: Ihre Ressourcen, die unter Freigaben den Benutzern im Netzwerk bereitgestellt wurden, virtualisieren. Nachdem der Anwender über DFS auf seine Ressourcen zugegriffen hat, muss er nicht wissen wo, d. h., auf welchem Server seine Ressourcen tatsächlich liegen. Falls Sie Plattenprobleme auf einem Server bekommen, können Sie jederzeit Ressourcen auf einen anderen Server verlegen und müssen nur den dazugehörenden DFS-Eintrag korrigieren. Ihre Ressourcen redundant zur Verfügung stellen. Stellen Sie sich vor, dass der Benutzer auf seine Ressourcen zugreifen möchte, und der Server, auf dem seine Ressourcen bereitgestellt werden, fällt aus. Normalerweise ist hier Schluss und der Anwender muss warten, bis der Server wieder hochgefahren und betriebsbereit ist. Mit DFS und Replikation können Sie aber eine Lösung bereitstellen, mit deren Hilfe der Anwender auf einen alternativen Server und die dort bereitgestellten Ressourcen zugreift. Die hier dargestellte Lösung ist natürlich kein Ersatz für Clustering, aber eine durchaus sinnvolle und gute Möglichkeit im Schulbereich Grundlagen zu DFS Die Idee für DFS ist die Bereitstellung von Netzwerkressourcen, die auf unterschiedlichen Servern liegen. Diese werden unter einer gemeinsamen Freigabe veröffentlicht. Nehmen wir an, Sie betreiben in Ihrer Schule mehrere Dateiserver. Natürlich können die Benutzer das Netzwerk nach Ressourcen durchsuchen, vermutlich werden Sie aber eine Liste der Freigaben an die Benutzer per versenden oder die Freigaben sonst irgendwie bekannt machen. Doch es geht auch wesentlich eleganter. Angenommen, Sie erstellen für jedes Schuljahr Netzwerkfreigaben für Projektarbeiten. Die Ressourcen der einzelnen Jahre liegen auf den Servern srv04, srv05 usw. siehe auch Abbildung unten. 2008, Microsoft Österreich GmbH Seite 110

111 Datei-Ressourcen-Management DFS Root \\MeineSchule.at\Projekte\2004 \\MeineSchule.at\Projekte\2005 \\MeineSchule.at\Projekte\2006 \\srv04\projekte2004 \\srv05\projekte2005 \\srv06\projekte2006 DFS Client Abb. 74: Prinzipielle Darstellung von DFS Ohne DFS müssten die Benutzer auf die richtigen Server zugreifen, um zu den dort liegenden Dateien zu gelangen. Sie als Administrator wären mehr oder weniger gezwungen, die Freigaben stehen zu lassen. Benutzer könnten sich Verweise oder Netzwerklaufwerke zugewiesen haben und diese würden nicht mehr funktionieren, wenn Sie die Ressourcen verlegen. Mit DFS ändert sich diese Vorgangsweise: 1. Der DFS-Client verbindet sich mit der DFS-Root. Im Falle unserer Schuldomäne lautet der DFS-Stamm \\MeineSchule.at\Projekte. Unter dieser Freigabe findet der DFS-Client jenen Ordner, auf den er zugreifen möchte. 2. Anschließend greift der Benutzer der an dem DFS-Client sitzt direkt auf die Ressource auf einem der Server zu. Daraus ergeben sich folgende Vorteile: Die Benutzer müssen weder das Netzwerk nach Ressourcen durchsuchen, noch müssen Sie als Administrator die Ressourcen bekannt geben. Die Ressourcen können jederzeit von einem Server auf einen anderen Server verschoben werden, ohne dass die Benutzer davon etwas merken. Verknüpfungen oder Netzwerklaufwerke sind davon nicht betroffen. Die Ressourcen wurden damit virtualisiert. Voraussetzungen für das Arbeiten mit DFS sind: DFS-Client: Jeder Client im Schulnetzwerk, angefangen von Windows Professional 2000 bis hin zu Windows Vista, kann als DFS-Client agieren. Dies wurde bereits in den diversen Betriebssystemen integriert. 2008, Microsoft Österreich GmbH Seite 111

112 Datei-Ressourcen-Management DFS-Root: Sie ist die erste Anlaufstelle für einen DFS-Client, der auf eine DFS-Struktur zugreifen möchte. Windows Server 2003 bzw. Windows Server 2008 können jeweils als DFS-Rootserver verwendet werden. Da eine Schule immer mindestens eine Domäne betreiben wird, wird einer dieser Server für die Erstellung des Domänenstamms verwendet werden. So gehen Sie vor, wenn Sie einen DFS-Domänenstamm erstellen wollen: 1. Zuerst müssen Sie die Option DFS-Verwaltung in der Rolle der Dateidienste nachinstallieren. Mithilfe des neuen Knotens DFS-VERWALTUNG können Sie dann den NAMESPACE und die REPLIKATION erstellen und konfigurieren. Vergessen Sie nicht, nach der Installation den Server-Manager zu schließen und neu zu öffnen! 2. Zuerst muss der DFS-Domänenstamm erstellt werden. Öffnen Sie den Knoten NAMESPACES, den Sie unter SERVER-MANAGER DATEIDIENSTE DFS-VERWALTUNG finden. 3. Machen Sie auf den Knoten NAMESPACES einen Rechtsklick und wählen Sie im Kontextmenü die Funktion NEUER NAMESPACE aus. 4. Es öffnet sich ein Assistent, mit dem Sie den DFS-Domänenstamm in vier Schritten konfigurieren können. Abb. 75: Erster Schritt im Assistenten für die Erstellung eines Namespaces 5. In weiterer Folge müssen Sie einen beliebigen Freigabenamen, z. B. Public, und die Art der DFS-Root angeben. Wählen Sie bei der DFS-Root auf jeden Fall domänenbasierter Namespace aus. 2008, Microsoft Österreich GmbH Seite 112

113 Datei-Ressourcen-Management Der von Ihnen gewählte Freigabename Vorschlag war unter Punkt 5 z. B. Public muss definiert werden, auch wenn in diesem Freigabeordner keine Dateien oder Ordner abgelegt werden. Der domänenbasierte DFS-Stamm kann dann unter \\MeineSchule.at\Public erreicht werden. Unter diesem Freigabeordner können Sie nun beliebige DFS-Ziele, also Ordner, die auf anderen Domänencontrollern oder Member-Servern liegen, einhängen. DFS-Ziel ist jeder Server, der eine Ressource, also ein Freigabe, im Rahmen eines DFS-Stammes zur Verfügung stellt. Neben Windows Server 2008 bzw. Windows Server 2003 könnten theoretisch auch Clientbetriebssysteme wie Windows Vista oder Windows XP Professional als DFS-Ziele Ressourcen bereitstellen. So gehen Sie vor, um ein DFS-Ziel in den domänenbasierten DFS-Stamm einzuhängen: 1. Öffnen Sie Ihren domänenbasierten Namespace \\MeineSchule.at\Public. Sie finden den Knoten im Programm SERVER-MANAGER unter ROLLEN DFS-VERWALTUNG NAMESPACES. 2. Machen Sie auf \\MeineSchule.at\Public einen Rechtsklick und wählen Sie im Kontextmenü die Funktion NEUER ORDNER aus. 3. Im Fenster Neuer Ordner vergeben Sie unter Name den Namen, unter dem das DFS-Ziel im DFS-Stamm eingehängt werden soll. 4. Klicken Sie anschließend auf die Schaltfläche HINZUFÜGEN und geben Sie den UNC-Namen der Ressource an. Abb. 76: Einhängen eines DFS-Ziels in einen DFS-Stamm 5. Klicken Sie abschließend auf die Schaltfläche OK, um den Vorgang zu beenden. Vom Client kann nun auf zwei unterschiedliche Arten auf den domänenbasierten DFS-Stamm zugegriffen werden: 2008, Microsoft Österreich GmbH Seite 113

114 Datei-Ressourcen-Management Zugriff über den DFS-Stamm-Namen: Auf einen domänenbasierten DFS-Stamm kann man genau so wie auf eine UNC-Ressource zugreifen. In diesem Fall muss der Benutzer den Namen \\MeineSchule.at\Public eingeben. Der Vorteil dieser Form des Zugriffs liegt darin, dass man ohne Laufwerksbuchstaben direkt auf die Ressource zugreifen kann. Zugriff über ein Netzwerklaufwerk: Bevor man auf die Ressource zugreifen kann, muss ein Mapping zwischen einem freien Laufwerksbuchstaben und dem domänenbasierten DFS-Stamm hergestellt werden. Dies kann unter Windows Vista mit einem Rechtsklick auf das Symbol COMPUTER und der Funktion NETZWERKLAUFWERK ZUWEISEN vorgenommen werden DFS-Replikation In Netzwerken, und so auch in Schulnetzen, sollten sogenannte Single Points of Failure eliminiert werden. Freigegebene Ressourcen stellen derartige Fehlerquellen dar. Die Antwort lautet normalerweise Clustering, jedoch ist das wegen der hohen Kosten für Schulen kein akzeptabler Lösungsweg. Ein anderer Lösungsansatz wäre, dass wichtige Ressourcen doppelt, auf unterschiedlichen Servern, bereitgestellt werden. Fällt ein Server aus, so lädt der Benutzer die Dateien, die redundant auf einem anderen Server bereitgestellt wurden. Dieses Szenario kann mithilfe von DFS-Replikation erreicht werden. Mithilfe von DFS-Replikation können redundante Ressourcen bereitgestellt werden! DFS- Replikation ist für Schulen leistbar und stellt damit eine sinnvolle Alternative für ein Cluster dar. Voraussetzungen für domänenbasierte DFS-Replikation: 1. Es wird ein domänenbasierter DFS-Stamm wie zuvor beschrieben eingerichtet. 2. Es steht ein weiterer Server mit Windows Server 2008 bereit. Auf diesem Server z. B. srv03 werden jene Freigaben eingerichtet, die redundant gehalten werden sollen. Dies bedeutet, dass Sie als Administrator lediglich die Ordnerstrukturen anlegen und die Freigaben erstellen. Der Inhalt der Ordner wird später durch DFS-Replikation erstellt, d. h. Sie müssen die Dateien und Unterordner der DFS-Stamm-Ressourcen nicht kopieren. 3. Auf dem zusätzlichen Server muss die DFS-Replikation nachinstalliert werden. Die DFS-Replikation ist ein Teil der Rolle DATEI-SERVER, ein sogenannter Rollendienst. So richten Sie eine DFS-Replikation ein: 1. Sie haben sämtliche Vorarbeiten für die DFS-Replikation abgeschlossen. Sie haben also: a. Auf einem zusätzlichen Server Freigaben eingerichtet. In diese Freigaben werden dann mittels DFS- Replikation die Ressourcen repliziert. b. Sie haben den Rollendienst DFS-Replikation nachinstalliert. Der Rollendienst muss auf beiden Servern, die an der Replikation beteiligt sind, installiert sein. 2. Die DFS-Replikation kann nun auf zwei verschiedene Arten eingerichtet werden. Im folgenden Fall soll die DFS- Replikation mithilfe des ORDNERREPLIZIERUNGS-ASSISTENTEN erstellt werden. 2008, Microsoft Österreich GmbH Seite 114

115 Datei-Ressourcen-Management Öffnen Sie den SERVER-MANAGER und navigieren Sie zum Konten MEINESCHULE.PUBLIC. Sie finden den Eintrag unter SERVER-MANAGER ROLLEN DATEIDIENSTE DFS-VERWALTUNG NAMESPACES. 3. Klicken Sie auf einen der Ordner, die Sie replizieren wollen. Abb. 77: Ordner der DFS-Struktur, der repliziert werden soll 4. Wechseln Sie auf der rechten Seite in das Register REPLIKATION und klicken Sie anschließend auf den Hyperlink ORDNERREPLIZIERUNGS-ASSISTENT. 5. Es erscheint eine Meldung des Betriebssystems, in dem Ihnen mitgeteilt wird, dass für die Replikation zwei Ordner gemeint sind Freigaben benötigt werden. Klicken Sie auf die Schaltfläche JA, um fortzusetzen. 6. Im Fenster Neues Ordnerziel geben Sie nun jene Freigabe an, in die die Daten repliziert werden sollen. Beenden Sie die Eingabe des Ordnerziels, indem Sie auf die Schaltfläche OK klicken. Abb. 78: Angabe des Ordnerziels 7. Als Nächstes wird ein Informationsfenster geöffnet, das Sie darauf hinweist, dass mithilfe einer Replikationsgruppe die beiden Ordner \\MeineSchule.at\Kommunikation und \\srv03\kommunikation synchron gehalten werden können. Um eine Replikationsgruppe zu erstellen, müssen Sie auf die Schaltfläche JA klicken. 8. Nun wird der Assistent für die Ordnerreplikation geöffnet. Der Name der Replikationsgruppe sowie der Name des replizierten Ordners werden automatisch übernommen. Klicken Sie auf die Schaltfläche WEITER. 2008, Microsoft Österreich GmbH Seite 115

116 Datei-Ressourcen-Management 9. Im Fenster der Replikationsberechtigungen werden die beiden Ordner zur Kontrolle erneut angezeigt. Klicken Sie auf WEITER. 10. Im nächsten Punkt des Assistenten müssen Sie den Server angeben, auf dem die Ressourcen liegen. Dieser Server genannt primäres Mitglied dient als Quelle der Replikation. Wählen Sie das primäre Mitglied aus der Drop-down-Liste aus und klicken Sie anschließend auf die Schaltfläche WEITER. 11. Sie befinden sich nun in der Topologieauswahl. Hier müssen Sie angeben, wie die einzelnen Mitglieder der Replikation miteinander Daten synchronisieren. Sie werden als Vorschlag FULL-MESH-Topologie erhalten, die Sie auch mit einem Klick auf die Schaltfläche WEITER bestätigen. Bei dieser Topologie synchronisiert jeder Server mit jedem Server. Abb. 79: Auswahl der Topologieform für die Replikation 12. Im nächsten Schritt müssen Sie nun angeben, wie häufig die Replikation erfolgen soll. Nachdem es sich hier nicht um eine Replikation zwischen Standorten handelt und sich beide Server im lokalen Netz befinden, sollten Sie aus der Drop-down-Liste den Bandbreiteneintrag VOLLSTÄNDIG auswählen. 2008, Microsoft Österreich GmbH Seite 116

117 Datei-Ressourcen-Management 13. Im vorletzten Schritt werden nochmals alle Daten visualisiert, damit Sie diese prüfen können. Klicken Sie nun auf die Schaltfläche ERSTELLEN, um die Replikationsgruppe endgültig einzurichten. Abb. 80: Fensterausschnitt: Rechter Teil des Fensters, DFS-Verwaltung des Ordners Kommunikation 7.8 Resümee für ein modernes Dateimanagement In einem modernen, zeitgemäßen Schulnetzwerk muss viel mehr als nur die Freigabe und Absicherung des Zugriffs auf die Ressourcen bedacht werden. Im Gegensatz zu den guten alten Zeiten stehen heute dem Netzwerkadministrator weiter gehende Möglichkeiten zur Verfügung, um die Benutzer bei ihrer Arbeit zu unterstützen. Modernes Dateimanagement beginnt bereits bei der Planung, wo und wie die Daten abgelegt werden sollten, und setzt sich fort bei der Partitionierung der Festplatten etc. In diesem Kapitel wurden neben dem Freigeben und der Zugriffsberechtigung auf eine Ressource noch eine Reihe von weiteren Techniken vorgestellt, die ein modernes Dateimanagement umfassen sollte: Zugriffsbasierte Aufzählung des Inhalts einer Ressource Schattenkopien Kontingente und deren Verwaltung File Screening Berichtswesen über die Ablage von Informationen auf den Datei-Servern Distributed File System DFS-Replikation Leider mussten aber auch einige Funktionen von Windows Server 2008 des Umfangs wegen geopfert werden. Dazu gehören unter anderem Encrypted File System, Offline Caching, Bitlocker. Die Priorisierung der Auswahl wurde unter dem Aspekt des Einsatzes in Schulnetzwerken getroffen. 2008, Microsoft Österreich GmbH Seite 117

118 Drucken Druckserver 8 Drucken Druckserver Dieses Kapitel behandelt die Druckserverfunktionalität von Windows Server Sie werden Drucker und Druckaufträge sowohl lokal als auch im Netzwerk verwalten können. 8.1 Überblick Definition Die Serverfunktion Druckserver ermöglicht Ihnen das Verwalten und Zuteilen von gemeinsamen Druckern. Diese Serverrolle ist in der Web Edition der Windows Server 2008-Familie NICHT enthalten. Dieses Kapitel erläutert, wie Sie einen Server als Druckserver einrichten. Nach der erfolgreichen Installation und Konfiguration des Servers erfahren Sie, wie Sie zusätzliche Einstellungen vornehmen und weitere Features nutzen können. 8.2 Allgemeine Begriffsdefinition Nachfolgend finden Sie die wichtigsten Begriffe in Bezug auf die Serverrolle Druckserver sowie deren Bedeutung und Definition. Eine genauere Definition einzelner Begriffe finden Sie weiter unten in diesem Kapitel. Druckgerät Darunter ist das physische Endgerät zu verstehen, das die endgültige Ausgabe der Daten auf Papier oder einem anderen Medium vornimmt. (Logischer) Drucker Unter einem Drucker ist eine logische Darstellung eines physischen Druckgeräts zu verstehen. Es können mehrere Darstellungen, also Drucker, für ein Druckgerät angelegt werden. So ist es zum Beispiel möglich, verschiedenen Benutzergruppen verschiedene Prioritäten zuzuweisen. Nähere Informationen zum Verwalten der Prioritäten finden Sie weiter unten im Kapitel. Anschluss/Port Unter Anschluss versteht man die Verbindung zwischen dem Computer oder Druckserver und dem Druckgerät. Dies kann etwa der LPT-Port sein, wenn das Druckgerät lokal angeschlossen ist, oder aber auch eine Adresse im Netzwerk, wenn das Druckgerät über eine Netzwerkschnittstelle verfügt. Die Installation unterscheidet sich je nach gewähltem Anschluss. Ein Druckgerät ist somit mittels des Anschlusses an einen (logischen) Drucker gebunden. Druckserver Ein Druckserver ist ein Computer, der für die Verwaltung der Drucker in einem Netzwerk verwendet wird. Die Rolle des Druckservers kann grundsätzlich jeder Computer im Netzwerk übernehmen. Es bietet sich jedoch an, als Druckserver einen Computer zu verwenden, auf dem Windows Server 2008 betrieben wird. 2008, Microsoft Österreich GmbH Seite 118

119 Drucken Druckserver Nähere Informationen dazu erhalten Sie im Laufe des weiteren Kapitels. Druckauftrag Den Quellcode, der sowohl die zu druckenden Daten als auch die Druckbefehle enthält, bezeichnet man als Druckauftrag. Druckaufträge werden nach Datentypen unterschieden. Die Einteilung richtet sich nach den gegebenenfalls erforderlichen Änderungen, die die Druckwarteschlange an dem Auftrag vornehmen muss, um ein korrektes Druckergebnis zu erzielen. Druckwarteschlange Die Software, die ein an den Drucker gesendetes Dokument entgegennimmt und auf einem Datenträger oder im Arbeitsspeicher ablegt, bis der Drucker zum Ausführen des Auftrags bereit ist. Druckertreiber Ein Programm, das es anderen Programmen ermöglichen soll, mit einem bestimmten Drucker zu arbeiten, ohne dabei die Besonderheiten der Druckerhardware und der internen Druckersprache kennen zu müssen. Durch die Verwendung von Druckertreibern, welche die druckerspezifischen Feinheiten handhaben, können Programme mit einer Vielzahl unterschiedlicher Drucker problemlos kommunizieren. Druckerpool Ein Druckerpool ist ein logischer Drucker, der durch mehrere Anschlüsse des Druckerservers mit mehreren Druckern verbunden ist. Er repräsentiert sozusagen eine zentrale Anlaufstelle für Druckaufträge, die, ohne ein genaueres Wissen des Benutzers über die tatsächlich angeschlossenen Drucker, an Druckgeräte weitergeleitet und von diesen verarbeitet werden. Nähere Informationen dazu erhalten Sie weiter unten in diesem Kapitel. 2008, Microsoft Österreich GmbH Seite 119

120 Drucken Druckserver 8.3 Druckvorgang allgemein Im Folgenden finden Sie eine Übersicht über die Vorgänge, die ablaufen, wenn ein Dokument von einem Client unter Windows XP oder Vista an einen Drucker gesendet wird. Der Drucker ist an einen Computer angeschlossen, auf dem ein Betriebssystem der Windows Server 2008-Produktfamilie ausgeführt wird. (Einige Prozesse weichen von den folgenden Angaben ab, wenn Druckclients verwendet werden, auf denen ein Betriebssystem ausgeführt wird, das nicht auf Windows basiert.) Abb. 81: Druckvorgang allgemein aus Windows Server 2008 Hilfe und Support Ein Benutzer an einem Clientcomputer unter Windows Vista möchte ein Dokument drucken. Wenn das Dokument aus einer Windows-Anwendung heraus gesendet wird, ruft die Anwendung die GDI (Graphics Device Interface) auf, die wiederum den Druckertreiber für den Zieldrucker aufruft. Mithilfe der von der Anwendung stammenden Dokumentinformationen tauschen die GDI und der Treiber Daten aus, um den Druckauftrag in die Sprache des Druckers zu übertragen. Anschließend wird der Druckauftrag an die clientseitigen Druckerspooler übergeben. Wenn der Client ein anderes Betriebssystem als Windows oder eine nicht unter Windows ausgeführte 2008, Microsoft Österreich GmbH Seite 120

121 Drucken Druckserver Anwendung verwendet, wird diese Aufgabe in ähnlicher Form von einer anderen Komponente übernommen, die in diesem Fall die GDI ersetzt. Der Clientcomputer sendet den Druckauftrag an den Druckserver. Bei Clients unter Vista, Windows XP, Windows 2000 oder Windows NT 4.0 führt der clientseitige Spooler einen RPC (Remote Procedure Call/Remoteprozeduraufruf) an die Serverseite des Spoolers aus. Dieser fragt mithilfe des Routers den Remotedruckanbieter auf der Clientseite ab. Der Remotedruckanbieter leitet einen weiteren RPC an den Serverspooler ein, und dieser nimmt den Druckauftrag über das Netzwerk entgegen. Druckaufträge von Clients unter Vista, Windows XP, Windows 2000 oder Windows NT 4.0 weisen auf dem Druckserver den Datentyp EMF (erweiterte Metadatei) auf. Viele andere Anwendungen verwenden den Datentyp RAW (druckbereit). Der Router des Servers übergibt den Druckauftrag an den lokalen Druckanbieter auf dem Server (Komponente des Spoolers), der den Druckauftrag spoolt, d. h., auf den Datenträger schreibt. Der lokale Druckanbieter fragt den Druckprozessor ab. Der Druckprozessor erkennt den Datentyp des Auftrags und nimmt den Druckauftrag entgegen. Der Druckauftrag wird dann vom Druckprozessor seinem Datentyp entsprechend konvertiert. Wenn der Zieldrucker auf dem Clientcomputer definiert ist, entscheidet der Druckserver-dienst, ob der Spooler des Servers den Druckauftrag ändern oder ihm einen anderen Datentyp zuweisen soll. Der Druckauftrag wird daraufhin an den lokalen Druckanbieter übergeben und von diesem auf den Datenträger geschrieben. Die Kontrolle über den Druckauftrag wird an den Trennseitenprozessor übergeben, der vor dem Auftrag ggf. eine Trennseite einfügt. Der Auftrag wird zurück an die Druckmonitore gespoolt. Bei bidirektionalen Druckern wird die beidseitige Kommunikation zwischen dem Sender und dem Drucker von einem Sprachmonitor verwaltet. Dieser übergibt den Druckauftrag dann an einen Anschlussmonitor. Wenn es sich nicht um einen bidirektionalen Drucker handelt, wird der Druckauftrag direkt an den Anschlussmonitor übergeben und von ihm anschließend an den Zieldrucker (oder einen anderen Netzwerkdruckserver) gesendet. Der Drucker empfängt den Druckauftrag, konvertiert jede Seite in das Bitmap-Format und führt den Druckauftrag aus. 8.4 Vorüberlegungen Wenn Sie die Serverrolle Druckserver installieren möchten, müssen Sie einige Punkte beachten: Nach einer Neuinstallation von Windows Server 2008 ist Ihr System bereits richtig und vollständig konfiguriert für die Installation der Serverrolle Druckserver. Wenn Sie dagegen ein Upgrade von einer früheren Betriebssystemversion auf Windows Server 2008 vorgenommen haben, sind weitere Punkte zu beachten. Diesbezüglich beachten Sie bitte die Hinweise im Hilfe- und Support-Center! Falls Sie den Zugriff auf die Drucker auf bestimmte Gruppen oder Benutzer einschränken möchten, müssen Sie die freigegebenen Drucker im Active Directory veröffentlichen. Dadurch können Benutzer leichter nach verfügbaren Druckern suchen und sich zu diesen verbinden. Der Server muss einer Domäne angehören, wenn Sie diese Optionen nutzen wollen, andernfalls steht Ihnen diese Option nicht zur Verfügung. Als Dateisystem für die verwendeten Partitionen sollten Sie NTFS wählen, da andere Dateisysteme, wie etwa FAT oder FAT32, keine Sicherheitsfunktionen, Komprimierungsfunktionen, keine individuellen Berechtigungen und auch keine Verschlüsselung auf Dateiebene bieten, womit auch Druckerjobs nicht verschlüsselt werden können. Des Weiteren sollten Sie die folgenden Anforderungen klären und eventuelle Vorarbeiten leisten, bevor Sie die Serverfunktion installieren: 2008, Microsoft Österreich GmbH Seite 121

122 Drucken Druckserver Es ist von entscheidender Wichtigkeit, dass Sie wissen, von welchen Betriebssystemen die Druckaufträge gesendet werden. Je nachdem welches System die verschiedenen Benutzer ausführen, kann es notwendig sein, verschiedene Vorkehrungen zu treffen. Sie sollten stets dafür sorgen, dass Sie die aktuellen Druckertreiber nutzen, da veraltete Druckertreiber den Ablauf beeinträchtigen können. Nähere Informationen erhalten Sie von Ihrem Hardware-Hersteller oder im Hilfe- und Support-Center. Ebenfalls sehr wichtig ist, wie der oder die Drucker an den Druckserver angeschlossen sind. Sie sollten eine Testseite am Drucker ausgeben lassen, um die aktuellen Einstellungen auf einen Blick einsehen zu können. Es sind jeweils andere Daten und Vorgehensweisen notwendig, wenn ein Drucker direkt am Druckerserver mittels eines Parallelports angeschlossen ist oder aber einen eigenen Netzwerkanschluss besitzt. Jeder Drucker sollte einen Namen, eine Bezeichnung und einen Freigabenamen erhalten, um ihn im Netzwerk leichter identifizieren zu können. 8.5 Lokaler Drucker vs. Netzwerkdrucker Beim Drucken unterscheiden wir zwischen lokalen und Netzwerkdruckern. Der Unterschied liegt vor allem darin, dass die Druckverarbeitung beim lokalen Drucker direkt geschieht, während ein Druckjob beim Netzwerkdrucker an den Druckserver (= als lokaler Drucker am Server installierter und freigegebener Drucker) weitergeleitet wird. Wenn Sie einen lokalen Drucker auf einer Workstation/einem Server installieren, steht er jedem Benutzer zur Verfügung, der sich auf dieser Workstation/diesem Server anmeldet. Installieren Sie einen Netzwerkdrucker, so werden lediglich Sie selbst diesen Drucker unter Systemsteuerung Drucker wiederfinden. Jeder andere Benutzer muss diesen Drucker für sich selbst neu einrichten. Ein Drucker, der über eine eigene Netzwerkkarte verfügt bzw. über Zusatzgeräte via TCP/IP erreichbar ist, wird als lokaler Drucker bezeichnet, da die Druckverarbeitung lokal am Server erfolgen wird und der fertige Druckerdatenstrom an die TCP/IP-Adresse des Druckers gesendet wird. Um Benutzern im Netzwerk einen am Server lokal installierten Drucker zur Verfügung zu stellen, muss der Drucker am Server freigegeben werden. Auf den Workstations kann dann dieser freigegebene Drucker als Netzwerkdrucker eingerichtet werden. Da Netzwerkdrucker nur dem aktuell angemeldeten Benutzer zur Verfügung stehen, muss über ein Login-Script der Netzwerkdrucker bei jeder Anmeldung eines Benutzers zugewiesen werden (siehe Skript weiter unten in diesem Kapitel) Installation mittels Server-Manager So installieren Sie die Serverrolle Druckserver mittels Server-Manager: 1. Öffnen Sie den SERVER-MANAGER. 2. Wählen Sie unter ROLLEN den Punkt ROLLEN HINZUFÜGEN. 3. Klicken Sie im Rollen-Assistenten unter VORBEREITUNGSMASSNAHMEN auf WEITER. 4. Wählen Sie die Serverrolle DRUCKDIENSTE aus und klicken Sie auf WEITER. 5. Bestätigen Sie das Druckdienste-Übersichtsfenster mit WEITER. 6. Als Nächstes müssen die Rollendienste für Druckdienste ausgewählt werden. Hierzu muss zumindest der Druckserver ausgewählt werden, da dieser das Snap-in Druckerverwaltung für die weitere Verwaltung der Drucker beinhaltet. Klicken Sie dann auf WEITER. 2008, Microsoft Österreich GmbH Seite 122

123 Drucken Druckserver Den LPD-Dienst benötigen Sie nur bei Verwendung von Unix-basierten Computern bzw. Computern, welche den Line-Printer-Remotedienst (LPR) verwenden, um auf Druckern ausdrucken zu können, die auf diesem Server freigegeben sind. Internetdrucken benötigen Sie nur, wenn Sie Benutzern, die bei sich den Internetdruckclient installiert haben, ermöglichen wollen, dass sie über einen Browser und das Internet-Printing- Protokoll (IPP) eine Verbindung mit einem freigegebenen Drucker auf diesem Server herstellen und auch darüber ausdrucken können sollen. 7. Starten Sie die Installation des Druckdienstes, indem Sie auf den Button INSTALLIEREN klicken. 8. Nach erfolgreicher Installation schließen Sie den Installationsassistenten über den Button SCHLIESSEN und wechseln Sie im SERVER-MANAGER auf die Rolle DRUCKDIENSTE. Der besseren Übersicht wegen teilt sich hier die Anleitung: Direkt im Anschluss finden Sie die Anleitung für die Installation eines Netzwerkdruckers, danach für die Installation eines lokalen Druckers Installation eines Netzwerksdruckers via Assistent So installieren Sie einen Netzwerkdrucker mithilfe des Druckerinstallations- Assistenten: 1. Wählen Sie im SERVER-MANAGER unter den Rollen die Rolle DRUCKDIENSTE aus und klicken Sie im mittleren Fenster auf den Link HINZUFÜGEN UND FREIGEBEN EINES DRUCKERS IM NETZWERK. Daraufhin wird der Netzwerkdruckerinstallations-Assistent gestartet. Abb. 82: Hinzufügen eines neuen TCP/IP-Druckers Diesen Assistenten können Sie auch über das Snap-in Druckverwaltung Druckserver aufrufen. Klicken Sie dort mit der rechten Maustaste auf den Namen des Druckservers und wählen Sie Drucker hinzufügen aus. 2. Wählen Sie unter Gerätetyp TCP/IP-Gerät aus, geben Sie die IP-Adresse des Druckers und den Anschlussnamen (Portnamen) an und klicken Sie auf WEITER. 2008, Microsoft Österreich GmbH Seite 123

124 Drucken Druckserver Abb. 83: Festlegung der Drucker-IP und des Anschlussports Diese Daten erhalten Sie, wenn Sie direkt, lokal am Netzwerkdrucker, eine Testseite ausgeben lassen. Die meisten Drucker drucken daraufhin eine Seite mit Konfigurationsdaten aus! Sehen Sie eventuell in der Bedienungsanleitung des Druckers nach, wie Sie eine Testseite direkt am Gerät ausgeben! 3. Wählen Sie EINEN NEUEN TREIBER INSTALLIEREN aus und klicken Sie auf WEITER. Abb. 84: Festlegung der Installation eines neuen Treibers 4. Wählen Sie den entsprechenden Druckgerätehersteller und Druckertypen oder klicken Sie auf Datenträger und geben Sie den Ort zum Druckertreiber ein. Klicken Sie auf WEITER. 2008, Microsoft Österreich GmbH Seite 124

125 Drucken Druckserver Abb. 85: Auswahl des Druckertreibers 5. Vergeben Sie einen Druckernamen und geben Sie an, ob Sie den Drucker freigeben möchten. Vergeben Sie dann einen entsprechenden Freigabenamen, eine Standortbezeichnung und eventuell einen Kommentar und klicken Sie auf WEITER. Sie müssen mindestens einen Drucker freigeben, damit die Serverrolle Druckserver richtig arbeitet. Andernfalls wird die Installation der Serverrolle abgebrochen! Abb. 86: Festlegung des Druckernamens und Freigabenamens 6. Nach Überprüfung der festgelegten Druckereinstellungen klicken Sie auf WEITER, um die Treiberinstallation zu starten. 2008, Microsoft Österreich GmbH Seite 125

126 Drucken Druckserver Abb. 87: Übersicht: Druckerinstallationseinstellungen 7. Nach erfolgreicher Treiberinstallation können Sie optional noch festlegen, ob Sie eine Testseite ausdrucken wollen bzw. einen weiteren Drucker installieren möchten. Klicken Sie dann auf FERTIG STELLEN. Abb. 88: Erfolgreiche Druckertreiberinstallation Nach der erfolgreichen Installation des Druckertreibers wird der Assistent für die Druckertreiberinstallation beendet. Nachdem der Druckerinstallations-Assistent beendet ist, ist die Serverrolle Druckserver fertig konfiguriert und einsatzbereit. Sie können nun weitere Einstellungen für die Serverrolle Druckserver vornehmen. 2008, Microsoft Österreich GmbH Seite 126

127 Drucken Druckserver Installation eines lokalen Druckers via Assistent So installieren Sie einen lokalen Drucker mithilfe des Druckerinstallations- Assistenten: USB-Drucker werden automatisch installiert, sobald sie angeschlossen und eingeschaltet werden. Ein Drucker an der LPT1-Schnittstelle des Servers muss manuell installiert werden. 1. Wählen Sie SYSTEMSTEUERUNG DRUCKER DRUCKER HINZUFÜGEN. 2. Klicken Sie auf EINEN LOKALEN DRUCKER HINZUFÜGEN. Abb. 89: Drucker hinzufügen 3. Wählen Sie den richtigen Anschluss aus, meistens LPT1, und klicken Sie auf WEITER. Abb. 90: Anschluss auswählen 2008, Microsoft Österreich GmbH Seite 127

128 Drucken Druckserver 4. Wählen Sie einen Druckertreiber aus der Liste oder klicken Sie auf die Schaltfläche DATENTRÄGER, um einen eigenen Treiber anzugeben. Folgen Sie den Anweisungen des Assistenten. Abb. 91: Druckertreiber installieren Eine einfache und schnelle Lösung bietet Ihnen das Windows Update, sofern Sie über einen Internetanschluss verfügen. Wählen Sie dazu die Schaltfläche und folgen Sie den Anweisungen des Assistenten. Der entsprechende Treiber wird aus dem Internet heruntergeladen und installiert! 5. Klicken Sie auf WEITER. 6. Geben Sie einen Druckernamen an und legen Sie fest, ob der Drucker als Standarddrucker auf dem Server installiert werden soll. Klicken Sie dann auf WEITER. Abb. 92: Drucker benennen 2008, Microsoft Österreich GmbH Seite 128

129 Drucken Druckserver 7. Wenn Sie den Drucker freigeben möchten, wählen Sie die entsprechende Option, vergeben Sie einen Namen, eine Standortbezeichnung und einen Kommentar und klicken Sie auf WEITER. Abb. 93: Drucker freigeben 8. Falls Sie eine Testseite ausdrucken wollen, klicken Sie auf den Button TESTSEITE DRUCKEN, ansonsten klicken Sie auf FERTIG STELLEN. Abb. 94: Installation abschließen Die Installation eines lokalen Druckers und dessen Freigabe im Netzwerk ist hiermit abgeschlossen Druckerinstallation via Start Script im Active Directory In einem Netzwerk mit installiertem Active Directory können Sie verschiedene Verwaltungsaufgaben, die regelmäßig beim Starten und Beenden von Clientrechnern ausgeführt werden sollen, in ein Script schreiben, das automatisch ausgeführt wird. 2008, Microsoft Österreich GmbH Seite 129

130 Drucken Druckserver Dazu benötigen Sie ein Script, das je nach dem anzumeldenden Client einen entsprechenden Drucker auswählt und die Verbindung mit diesem herstellt. Nachfolgendes Script ist ein Beispiel dafür, wie Sie einem Client via Windows Scripting Host (WSH) beim Starten einen freigegebenen Drucker zuweisen. ' 'Ausblenden eventueller Fehlermeldungen ' on error resume next ' 'Instanzieren des Windows Scripting Hosts ' Set Network = CreateObject("Wscript.Network") ' 'Löschen eventuell bestehender Printerconnections ' For i = 0 To network.enumprinterconnections.count - 1 On Error Resume Next network.removeprinterconnection network.enumprinterconnections.item(i) Next ' 'Auslesen der ersten 4 Buchstaben des Computernamens ' spcname = UCase(Left(network.ComputerName, 4)) ' 'Zuweisen der jeweiligen Drucker sowie des Defaultdruckers ' Select Case spcname Case "PC01" PrinterShare = "\\ITMain\Raum1Color" network.addwindowsprinterconnection PrinterShare PrinterShare = "\\ITMain\Raum_1_Laser" network.addwindowsprinterconnection PrinterShare network.setdefaultprinter PrinterShare Case "PC02" PrinterShare = "\\ITMain\Raum1Color" network.addwindowsprinterconnection PrinterShare PrinterShare = "\\ITMain\Raum_2" network.addwindowsprinterconnection PrinterShare network.setdefaultprinter PrinterShare Case "PC03" PrinterShare = "\\ITMain\Raum1Color" network.addwindowsprinterconnection PrinterShare PrinterShare = "\\ITMain\Raum_3" network.addwindowsprinterconnection PrinterShare network.setdefaultprinter PrinterShare End Select 2008, Microsoft Österreich GmbH Seite 130

131 Drucken Druckserver Das angegebene Script ist lediglich ein Beispiel und nur für die Verwendung von Clients ab Windows 2000 gedacht, jedoch in der hier vorliegenden Form nicht für den produktiven Einsatz geeignet! Nähere Informationen zu Scripting im Allgemeinen und dem hier angeführten Startskript im Besonderen finden im Hilfe- und Support-Center. 8.6 Drucker im Active Directory veröffentlichen Allgemeines Das Veröffentlichen eines Druckers im Active Directory hat zur Folge, dass Benutzer diesen Drucker suchen und sich mit ihm verbinden können. Folgende Punkte sind zu beachten: Nur ein Drucker, der für die gemeinsame Nutzung freigegeben ist, kann veröffentlicht werden. Wenn Sie die Freigabe zurückziehen, wird die Veröffentlichung des Druckers automatisch aufgehoben. Wenn Sie den Druckerinstallations-Assistenten benutzen, um einen Drucker hinzuzufügen, und den Drucker dann freigeben, wird dieser automatisch in einem vorhandenen Active Directory veröffentlicht. Voraussetzung dafür ist jedoch, dass Sie innerhalb der Gruppenrichtlinien die Option Neue Drucker automatisch im Active Directory veröffentlichen und die Option Veröffentlichen von Druckern zulassen aktiviert haben! Drucker werden vollautomatisch freigegeben, wenn Sie den DRUCKERINSTALLATIONS-ASSISTENTEN von einem Computer ausführen, auf dem Windows Server 2008 ausgeführt wird. Wenn Sie den DRUCKERINSTALLATIONS- ASSISTENTEN von einem Computer ausführen, auf dem Windows XP/Vista läuft, werden Drucker NICHT automatisch freigegeben. Sie müssen zum Verwalten eines Druckers berechtigt sein, um einen Drucker freigeben und veröffentlichen zu können Veröffentlichen des Druckers So veröffentlichen Sie einen Drucker im Active Directory unter Windows Server 2008: 1. Öffnen Sie in der Druckverwaltung auf der linken Seite DRUCKSERVER DRUCKSERVERNAME (LOKAL) DRUCKER. 2. Klicken Sie im mittleren Fenster mit der rechten Maustaste auf den Drucker, der veröffentlicht werden soll, und wählen Sie den Punkt IN VERZEICHNIS AUFLISTEN. Der Drucker ist nun im Active Directory veröffentlicht. Das Gleiche erreichen Sie auch, wenn Sie in den Eigenschaften des Druckers im Reiter Freigabe die Checkbox Im Verzeichnis anzeigen anwählen! 2008, Microsoft Österreich GmbH Seite 131

132 Drucken Druckserver 8.7 Drucker-Pooling Allgemeines Sie können einen Druckerpool erstellen, um Druckaufträge automatisch zum nächsten verfügbaren Drucker weiterzuleiten. Ein Druckerpool ist ein logischer Drucker, der durch mehrere Anschlüsse des Druckerservers mit mehreren Druckern verbunden ist. Der jeweils im Leerlauf befindliche Drucker erhält das nächste an den logischen Drucker gesendete Dokument. Dies ist in einem Netzwerk mit einem hohen Druckaufkommen nützlich, weil die Benutzer ihre Dokumente schneller erhalten. Ein Druckerpool vereinfacht auch die Verwaltung, da mehrere Drucker auf einem Server vom selben logischen Drucker aus verwaltet werden können. Wenn ein Druckerpool eingerichtet ist, können Benutzer ein Dokument drucken, ohne nach einem verfügbaren Drucker suchen zu müssen. Der logische Drucker sucht einen freien Anschluss und sendet Dokumente in der Reihenfolge, in der sie hinzugefügt wurden, an die Anschlüsse. Wenn zuerst der Anschluss hinzugefügt wird, der mit dem schnellsten Drucker verbunden ist, ist gewährleistet, dass Dokumente zuerst an diesen schnellen Drucker gesendet werden, bevor sie an langsamere Drucker im Druckerpool gehen. Beachten Sie vor dem Einrichten eines Druckerpools folgende Hinweise: Für das Drucker-Pooling müssen die Druckgeräte vom gleichen Typ sein sowie den gleichen Druckertreiber verwenden. Weil die Benutzer nicht wissen können, auf welchem Drucker in einem Pool ihr Dokument ausgedruckt wird, sollten Sie alle Drucker an einem Standort versammeln Einrichten eines Druckerpools So erstellen Sie einen Druckerpool: 1. Öffnen Sie in der Druckverwaltung auf der linken Seite DRUCKSERVER DRUCKSERVERNAME (LOKAL) DRUCKER. 2. Klicken Sie mit der rechten Maustaste auf den verwendeten Drucker und klicken Sie dann auf EIGENSCHAFTEN. 3. Aktivieren Sie auf der Registerkarte ANSCHLÜSSE das Kontrollkästchen AKTIVIEREN. 4. Wählen Sie die Option DRUCKERPOOL AKTIVIEREN aus. 5. Klicken Sie auf die Anschlüsse, an denen Drucker angeschlossen sind, die zu einem Pool zusammengeführt werden sollen. 6. Klicken Sie auf ÜBERNEHMEN. Die ausgewählten Drucker wurden zu einem Druckerpool zusammengefasst. Wenn ein Benutzer nun einen Druckauftrag an den Drucker sendet, wird der Auftrag an den nächsten freien physischen Drucker weitergegeben und dort verarbeitet. Die Druckgeräte eines Druckerpools müssen vom gleichen Typ sein und denselben Druckertreiber verwenden. Bei dem gerade beschriebenen Verfahren wird vorausgesetzt, dass die Drucker, die im Pool zusammengefasst werden sollen, sich in der Druckverwaltung bereits unter Drucker befinden. Andernfalls müssen Sie die Drucker, die Sie zu einem Pool zusammenfassen wollen, erst als Drucker einrichten. 2008, Microsoft Österreich GmbH Seite 132

133 Drucken Druckserver 8.8 Ändern der Priorität von Druckaufträgen Allgemeines Mithilfe der Priorisierung kann man einzelnen Dokumenten, aber auch ganzen Benutzergruppen, eine bevorzugte Abarbeitung durch den Drucker und das Druckgerät ermöglichen. Es hat keine Auswirkungen, wenn Sie eine Priorität lediglich für einen Drucker festlegen. Sie müssen mindestens zwei verschiedene logische Drucker für denselben physischen Drucker festlegen, um die Vorteile dieser Option nutzen zu können Ändern der Priorität einzelner Druckaufträge So ändern Sie die Priorität für einzelne Dokumente: 1. Öffnen Sie die Druckauftragsverwaltung, indem Sie auf das Symbol in der Taskleiste klicken. 2. Klicken Sie mit der rechten Maustaste auf das Dokument, für das Sie die Priorität ändern wollen, und wählen Sie EIGENSCHAFTEN aus. 3. Geben Sie auf der Registerkarte ALLGEMEIN die gewünschte Priorität für den ausgewählten Druckauftrag ein. Die Einstellungsmöglichkeiten reichen von 1, sehr niedrig, bis 99, sehr hoch. Standardmäßig wird eine sehr niedrige Priorität für alle Druckaufträge verwendet Ändern der Priorität von Druckaufträgen für eine Benutzergruppe Um für unterschiedliche Benutzergruppen unterschiedliche Prioritäten anwenden zu können, müssen Sie jeweils für ein Druckgerät mindestens zwei logische Drucker anlegen. So ändern Sie die Priorität von Druckaufträgen für eine Benutzergruppe: 1. Öffnen Sie in der Druckverwaltung auf der linken Seite DRUCKSERVER DRUCKSERVERNAME (LOKAL) DRUCKER. 2. Klicken Sie mit der rechten Maustaste auf den verwendeten Drucker und klicken Sie dann auf Eigenschaften. 3. Wählen Sie die Registerkarte ERWEITERT und vergeben Sie eine entsprechende Priorität für diesen logischen Drucker. 4. Klicken Sie auf ÜBERNEHMEN. 5. Klicken Sie auf der rechten Fensterseite unter Aktionen DRUCKER HINZUFÜGEN. 6. Installieren Sie einen neuen logischen Drucker für dasselbe Druckgerät. 7. Vergeben Sie auf der Registerkarte ERWEITERT eine höhere oder geringere Priorität als beim vorherigen Drucker. 8. Vergeben Sie die entsprechenden Rechte auf den Druckern. 9. Stellen Sie sicher, dass die Benutzer die richtigen logischen Drucker verwenden. Sie haben nun einer Benutzergruppe eine höhere Priorität auf dem Druckgerät zugewiesen. Druckaufträge, die von der Benutzergruppe mit der höheren Priorität ausgehen, werden nun vorrangig behandelt. 2008, Microsoft Österreich GmbH Seite 133

134 Drucken Druckserver 8.9 Verwaltung der Berechtigungen auf einem Drucker Allgemeines Ist in einem Netzwerk ein Drucker installiert, werden standardmäßig Druckerberechtigungen zugewiesen, die allen Benutzern das Drucken ermöglichen. Darüber hinaus können Gruppen für die Verwaltung des Druckers und der an den Drucker gesendeten Dokumente eingerichtet werden. Da der Drucker allen Benutzern im Netzwerk zur Verfügung steht, empfiehlt es sich, den Zugriff für bestimmte Benutzer durch das Zuweisen von Druckerberechtigungen zu beschränken. Sie können beispielsweise allen Schülern einer Klasse die Berechtigung Drucken und allen Lehrkräften die Berechtigungen Drucken und Dokumente verwalten zuweisen. Auf diese Weise können alle Benutzer Dokumente drucken, es ist jedoch nur den Lehrkräften möglich, den Status der an den Drucker gesendeten Dokumente zu ändern. Grundsätzlich bietet es sich an, auch die Rechte über Drucker einzuschränken. Windows Server 2008 bietet Ihnen hier mehrere Möglichkeiten, die Verwaltung der Drucker von der reinen Benutzung zu trennen und so ein Maximum an Sicherheit zu gewährleisten. Das Vergeben von Rechten kann möglicherweise verhindern, dass nicht berechtigte Benutzer Dokumente ausdrucken und so sensible Daten entwenden. Sicherheitslöcher werden häufig genutzt, um Dokumente unberechtigterweise auszudrucken Verfügbare Rechte für das Drucken In Windows stehen drei Ebenen von Sicherheitsberechtigungen für das Drucken zur Verfügung: Drucken Drucker verwalten Dokumente verwalten Für Benutzergruppen, denen mehrere Berechtigungen zugewiesen sind, gelten die am wenigsten einschränkenden Berechtigungen. Wenn jedoch Verweigern aktiviert ist, hat dies Vorrang vor jeder anderen Berechtigung. Nachfolgend finden Sie eine kurze Erläuterung der Aufgaben, die Benutzer auf der jeweiligen Berechtigungsebene ausführen können. Drucken Der Benutzer kann eine Verbindung zu einem Drucker herstellen und Druckaufträge an diesen Drucker senden. In der Standardeinstellung ist die Berechtigung Drucken allen Mitgliedern der Gruppe Jeder zugewiesen. Drucker verwalten Der Benutzer kann die mit der Berechtigung Drucken verbundenen Aufgaben ausführen und den Drucker darüber hinaus vollständig verwalten. Der Benutzer kann den Drucker anhalten und neu starten, die Spoolereinstellungen ändern, einen Drucker freigeben, Druckerberechtigungen anpassen und die Druckereigenschaften ändern. In der Standardeinstellung ist die Berechtigung Drucker verwalten allen Mitgliedern der Gruppen Administratoren und Hauptbenutzer zugewiesen. Die Mitglieder der Gruppen Administratoren und Hauptbenutzer verfügen standardmäßig über uneingeschränkten Zugriff, sie sind berechtigt zum Drucken, Drucker verwalten und Dokumente verwalten. 2008, Microsoft Österreich GmbH Seite 134

135 Drucken Druckserver Dokumente verwalten Der Benutzer kann gesendete Dokumente aller anderen Benutzer anhalten, wieder aufnehmen, neu starten, abbrechen und deren Reihenfolge ändern. Das Senden von Dokumenten zum Drucker und die Steuerung des Druckerstatus sind jedoch nicht möglich. In der Standardeinstellung ist die Berechtigung Dokumente verwalten den Mitgliedern der Gruppe Ersteller-Besitzer zugewiesen. Wenn einem Benutzer die Berechtigung Dokumente verwalten zugewiesen wird, kann er nicht auf Dokumente zugreifen, die sich bereits in der Druckerwarteschlange befinden. Die Berechtigung gilt nur für Dokumente, die an den Drucker gesendet werden, nachdem dem Benutzer die Berechtigung zugewiesen wurde. Verweigern Für den Drucker werden alle vorangegangenen Berechtigungen verweigert. Wenn der Zugriff verweigert wird, kann der Benutzer den Drucker nicht verwenden oder verwalten und keine Berechtigungen anpassen Freigaben und Zugriffsberechtigungen Sie können die Berechtigungen über Drucker direkt setzen, indem Sie einzelnen Benutzern oder Gruppen die Berechtigungen erteilen. So geben Sie Benutzern unterschiedliche Rechte auf Drucker: 1. Öffnen Sie in der Druckverwaltung auf der linken Seite DRUCKSERVER DRUCKSERVERNAME (LOKAL) DRUCKER. 2. Klicken Sie mit der rechten Maustaste auf den entsprechenden Drucker und wählen Sie den Punkt EIGENSCHAFTEN aus. 3. Klicken Sie auf die Registerkarte SICHERHEIT. 4. Um gezielt einzelnen Benutzern oder Gruppen Rechte zu erteilen, entfernen Sie die Gruppe Jeder, indem Sie darauf klicken und die Option ENTFERNEN wählen. Das Belassen der Gruppe Jeder im Active Directory und das Verweigern von gewissen Aktionen für diese Gruppe können zu schwerwiegenden Berechtigungsproblemen führen. Da die Verweigern - Richtlinien IMMER vor den Zulassen -Rechten ausgewertet werden, kann es passieren, dass zulässige Aktionen vorher verweigert wurden und dadurch nicht mehr zum Tragen kommen! 5. Fügen Sie die entsprechenden Benutzer oder Gruppen hinzu, indem Sie diese angeben beziehungsweise auswählen. 6. Vergeben Sie die entsprechenden Rechte. Der Drucker steht den Benutzern ab sofort nur noch innerhalb der vergebenen Rechte zur Verfügung Gruppenrichtlinien und Drucker Mit den Gruppenrichtlinien steht dem Administrator ein mächtiges Werkzeug zur Verfügung, um zu bestimmen, wie die Systemumgebung für einen Benutzer oder eine Benutzergruppe aussieht und welche Applikationen ihnen zur Verfügung stehen. Gruppenrichtlinien können auch dazu dienen, die Nutzung eines Druckers zu regeln. Unter anderem können so gewisse Einstellungen gewissen Benutzern zugeordnet werden, aber auch die Berechtigungen zum Ändern, Löschen, Freigeben und Hinzufügen von Druckern geregelt werden. 2008, Microsoft Österreich GmbH Seite 135

136 Drucken Druckserver In Windows werden sechs Gruppen von Benutzern Druckerberechtigungen zugewiesen. Dabei handelt es sich um die Gruppen Administratoren, Ersteller-Besitzer, Jeder, Hauptbenutzer, Druck-Operatoren und Server-Operatoren. In der Standardeinstellung ist jeder Gruppe eine Kombination der Berechtigungen Drucken, Dokumente verwalten und Drucker verwalten zugewiesen, wie in der folgenden Tabelle dargestellt ist. Gruppe Drucken Dokumente verwalten Drucker verwalten Administratoren X X X Ersteller-Besitzer X Jeder X Hauptbenutzer X X X Druck-Operatoren X X X Server-Operatoren X X X Die Gruppen Druck-Operatoren und Server-Operatoren sind nur auf Domänencontrollern verfügbar. Jede Berechtigung besteht aus einer Gruppe von Rechten, die dem Benutzer die Ausführung bestimmter Aufgaben ermöglicht. Die folgende Tabelle bietet eine Übersicht über die Zugriffsstufen, die den verschiedenen Sicherheitsberechtigungen für das Drucken zugeordnet sind. Zugelassene Aufgaben Dokumente verwalten Drucker verwalten Drucken Drucker verwalten X X Dokumente verwalten X Berechtigungen lesen X X Berechtigungen ändern X X Besitz übernehmen X X Nähere Informationen zum Anwenden von Gruppenrichtlinien erhalten Sie im Kapitel 6.2 beziehungsweise im Hilfe- und Support-Center! 2008, Microsoft Österreich GmbH Seite 136

137 Drucken Druckserver 8.10 Überwachen von Druckvorgängen Eine weitere, häufig auftretende Aufgabe ist das Überwachen von Druckaufträgen und das entsprechende Protokollieren derselben. Windows Server 2008 bietet Ihnen mittels der bereits bekannten Gruppenrichtlinien die Möglichkeit, gewisse Druckaufträge von einzelnen Benutzern oder Gruppen aufzuzeichnen. So aktivieren Sie die Protokollierung von Druckaufträgen: 1. Öffnen Sie in der Druckverwaltung auf der linken Seite DRUCKSERVER DRUCKSERVERNAME (LOKAL) DRUCKER. 2. Klicken Sie mit der rechten Maustaste auf den entsprechenden Drucker und wählen Sie den Punkt EIGENSCHAFTEN aus. 3. Klicken Sie auf die Registerkarte SICHERHEIT. 4. Klicken Sie auf die Schaltfläche ERWEITERT. 5. Klicken Sie auf die Registerkarte ÜBERWACHUNG. Abb. 95: Ansicht Überwachung für Drucker 6. Klicken Sie auf die Schaltfläche HINZUFÜGEN. 7. Wählen Sie die Benutzer oder Gruppen aus, für die Sie gewisse Protokolleinstellungen definieren wollen. Abb. 96: Auswahl der Benutzer oder Gruppen 2008, Microsoft Österreich GmbH Seite 137

138 Drucken Druckserver 8. Definieren Sie nun die entsprechenden Aktionen, die protokolliert werden sollen, und bestätigen Sie die Auswahl mit OK. Abb. 97: Auswahl der Aktionen, die protokolliert werden 9. Sie sehen nun die erstellte Gruppenrichtlinie in der Liste auf der Registerkarte ÜBERWACHUNG. Abb. 98: Ansicht Überwachung für Drucker mit erstellter Gruppenrichtlinie 8.11 Internetdrucken In Verbindung mit dem Webserver IIS 7.0 kann der Druckserver auch mithilfe von IPP (Internet Printing Protocol) entweder zur Herstellung einer Verbindung zu einem freigegebenen Drucker oder aber zur Verwaltung der Netzwerkdrucker angesprochen werden. Dabei wird der Netzwerkdrucker über eine URL-Adresse angesprochen. Die Kommunikation zwischen dem User und dem Netzwerkdrucker findet über IPP unter Verwendung des Netzwerkprotokolls IP statt. 2008, Microsoft Österreich GmbH Seite 138

139 Drucken Druckserver Da standardmäßig der Webserver nicht installiert ist, muss dieser zuerst installiert werden, damit ein Internetdrucken ermöglicht werden kann. Installation von IIS 7.0 und IPP: 1. Öffnen Sie den SERVER-MANAGER und klicken auf der linken Seite mit der rechten Maustaste auf ROLLEN und wählen Sie dann ROLLEN HINZUFÜGEN. 2. Klicken Sie auf WEITER. 3. Wählen Sie die Serverrolle WEBSERVER (IIS) aus und klicken Sie dreimal auf WEITER. 4. Bestätigen Sie Ihre Auswahl, indem Sie auf den Button INSTALLIEREN klicken. 5. Beenden Sie die Installation der Webserverrolle mit einem Klick auf den Button SCHLIESSEN. 6. Als Nächstes muss der Rollendienst Internetdrucken zur bestehenden Rolle Druckdienst hinzugefügt werden. Dazu klicken Sie mit der rechten Maustaste auf die Serverrolle DRUCKDIENST und dann auf ROLLENDIENSTE HINZUFÜGEN. 7. Wählen Sie den Rollendienst INTERNETDRUCKEN zusätzlich aus. 8. Im daraufhin erscheinenden Fenster werden Ihnen die benötigten aber noch fehlenden Rollendienste des IIS angezeigt. Bestätigen Sie Installation der fehlenden Rollendienste mit einem Klick auf den Button ERFORDERLICHE ROLLENDIENSTE HINZUFÜGEN. 9. Bestätigen Sie die Installation des Rollendienstes Internetdrucken, indem Sie dreimal auf WEITER klicken. 10. Starten Sie die Installation, indem Sie auf den Button INSTALLIEREN klicken. 11. Beenden Sie die Installation von IPP über den Button SCHLIESSEN. Verbindung mit einem Drucker über IPP herstellen: 1. Öffnen Sie im Webbrowser die URL und authentifizieren Sie sich als Domänenadministrator. Abb. 99: Browserbasierte Ansicht der angeschlossenen Drucker 2008, Microsoft Österreich GmbH Seite 139

140 Drucken Druckserver Es erscheint eine Auflistung der am betreffenden Server angeschlossenen Drucker mitsamt Status und Anzahl der noch offenen Druckaufträge. Abb. 100: Druckerwarteschlange im Webbrowser Zur Übersichtseite mit allen Druckern kommen Sie zurück, indem Sie auf der linken Seite auf den Link ALLE DRUCKER klicken. Der Link EIGENSCHAFTEN ermöglicht es, weitere Informationen, wie z. B. die vom Drucker unterstützten Funktionen, anzuzeigen. 2. Will man eine Verbindung zu einem Drucker herstellen, damit dieser von diversen Applikationen aus genutzt werden kann, so klickt man auf den Link VERBINDEN unter dem Bereich Druckvorgänge. Abb. 101: Netzwerkdrucker über IPP verbinden 2008, Microsoft Österreich GmbH Seite 140

141 Drucken Druckserver 3. Als Nächstes muss man bestätigen, dass man die Verbindung zu diesem Drucker herstellen möchte. Klicken Sie dazu auf den Button JA. Abb. 102: Bestätigung der Verbindungsherstellung zu einem Netzwerkdrucker 4. Geben Sie nun Ihre Zugangsdaten ein, die Sie berechtigen, auf diesem Drucker auszudrucken. Klicken Sie danach auf den Button OK. Abb. 103: Druckerberechtigungen festlegen 5. Ist am Printserver ein passender Druckertreiber hinterlegt, wird dieser automatisch heruntergeladen und installiert. Gleichzeitig wird eine passende Verlinkung für diesen Netzwerkdrucker unter Drucker erstellt. Abb. 104: Netzwerkdrucker mit IPP Damit das Herunterladen des Druckertreibers korrekt funktioniert, müssen die Sicherheitseinstellungen des Webbrowsers stimmen. 2008, Microsoft Österreich GmbH Seite 141

142 Datensicherung 9 Datensicherung Dieses Kapitel erläutert die Implementierung und Konfiguration der Datensicherung und eines Sicherungskonzepts unter Windows Server Basiswissen Das Sicherungsprogramm in Windows Server 2008 bewahrt Sie vor dem Verlust Ihrer Daten. Ursache dafür könnten Hardwareausfälle (z. B. technische Defekte von Festplatten) oder (un)beabsichtiges Löschen oder Überschreiben von Dateien sein. Mit dem Sicherungsprogramm können Sie Ihre Daten auf verschiedene Speichermedien duplizieren und dort archivieren. Als Backup-Speichermedien können u. a. logische Laufwerke, externe Festplatten sowie optische Medien verwendet werden Funktionalität des Sicherungsprogramms Das Sicherungsprogramm nutzt die unter Windows Server 2003 eingeführten Schattenkopien (Volume Shadow Copies) von Laufwerken für Datensicherungen. Mit diesen wird es möglich, alle Dateien lückenlos zu sichern, selbst geöffnete. Benutzer können während der Sicherung mit den zu sichernden Daten weiterarbeiten. Eine Schattenkopie ist ein Duplikat eines Original-Datenträgers zum Zeitpunkt der Erstellung der Kopie. Sie werden zyklisch (terminplangesteuert) vom Volumenschattenkopie-Dienst (Volume Shadow Copy Service) erstellt. Dabei werden jeweils nur die Veränderungen seit dem letzten Schattenkopie-Prozess gespeichert. Das Sicherungsprogramm eröffnet Ihnen folgende Möglichkeiten: Archivieren ausgewählter Dateien und Ordner auf einem Backup-Speichermedium Wiederherstellen archivierter Dateien und Ordner auf einem primären Speichermedium, z. B. auf derselben oder einer anderen Festplatte Nutzen der sogenannten Complete PC-Sicherung für das Sichern und Wiederherstellen von Systemdateien und der Systemkonfiguration nach einem vollständigen Systemausfall Sichern von Daten auf entfernte (remote) Speichermedien (z. B. File Shares) Sichern des Systemzustands (System State) des lokalen Systems Sichern der gesamten Systempartition zum Wiederherstellen des Servers Steuerung von Sicherungsprozessen durch einen definierten Terminplan Protokollieren von Sicherungs- und Wiederherstellungsprozessen Formatieren der sekundären (Ziel-)Speichermedien (z. B. externe Festplatten) 2008, Microsoft Österreich GmbH Seite 142

143 Datensicherung Sicherungsmethoden Das Sicherungsprogramm in Windows Server 2008 unterstützt folgende Methoden der Datensicherung: Vollständig: Kopiert alle ausgewählten Dateien und markiert sie als gesichert (Archiv-Attribut wird verändert). Für das Wiederherstellen von Daten ist die letzte normale Sicherung erforderlich. Diese Sicherungsmethode ist die Standardeinstellung. Inkrementell (nur lokale Sicherungsmedien): Kopiert jene Dateien, die seit der letzten normalen oder inkrementellen Sicherung erstellt oder geändert wurden. Die gesicherten Dateien werden als gesichert markiert (Archiv-Attribut wird verändert). Inkrementelle Sicherungen sind nur auf lokalen Sicherungsmedien möglich, da bei der Sicherung auf File Shares die vorhergehende Sicherung überschrieben wird Erforderliche Berechtigungen für Datensicherungen Administrative Berechtigungen Um Sicherungen vornehmen zu dürfen, sind bestimmte Berechtigungen erforderlich. Als Administrator oder Sicherungs- Operator auf einem lokalen System können Daten dieses lokalen Systems gesichert werden. Wenn man Mitglied in einer dieser Benutzergruppen in einer Domäne ist, können Daten auf allen Computern dieser Domäne gesichert werden bzw. auch Daten von Domänen, zu denen Vertrauensstellungen bestehen. Minimalberechtigung Die Minimalberechtigung für Sicherungen verlangt es, Besitzer der betreffenden Dateien zu sein, wenn die oben genannten Gruppenmitgliedschaften nicht gegeben sind Systemzustand-Daten Über die Befehlszeile ermöglicht das Sicherungsprogramm das Sichern und Wiederherstellen aller Daten, die den aktuellen Zustand des Systems repräsentieren: Registry (immer) COM+ Class Registration Database (immer) Boot- und Systemdateien (immer) Certificate Services Database (auf einem Certificate-Server) Active Directory (wenn Domäne vorhanden) SYSVOL Directory (auf einem Domänencontroller) Cluster Service Information (wenn Cluster vorhanden) IIS Metadirectory (wenn installiert) Geschützte Systemdateien (immer) 2008, Microsoft Österreich GmbH Seite 143

144 Datensicherung Spezielle Wiederherstellungsmethoden Die Daten verteilter Dienste (z. B. Active Directory) sind Bestandteil der sogenannten Systemzustand-Daten. Diese Daten können mit folgenden Methoden wiederhergestellt werden: Normale (nicht autoritative) Wiederherstellung Autoritative Wiederherstellung Welche der Methoden zur Wiederherstellung der Daten verteilter Dienste genutzt werden kann, ist von der Anzahl und der Konfiguration vorhandener Domänencontroller abhängig. Normale (nicht autoritative) Wiederherstellung Diese Methode wird im nicht autoritativen Wiederherstellungsmodus (Nonauthoritative Restore Mode) durchgeführt. Alle wiederhergestellten Systemdaten (inkl. Active-Directory-Objekte) haben die originale Aktualisierungssequenz-Nummer (Update Sequence Number). Diese wird vom Active-Directory-Replikationssystem genutzt, um Veränderungen im Active Directory quer durch alle Server festzustellen. Wenn durch eine normale Wiederherstellung (normal restore) wiederhergestellte Active-Directory-Daten zwischenzeitlich veraltet sind, werden diese nicht auf andere Server repliziert. Stattdessen werden die gesicherten Daten durch die aktuellen Daten (anderer Server) ersetzt. Typische Anwendungsfälle für die Wiederherstellung von (verteilten) Systemdaten mittels normaler Wiederherstellung sind z. B.: Verteilte Daten Active Directory SYSVOL Replica Sets Grund für die Wiederherstellung Wiederherstellen eines Single Domänencontrollers in einer replizierten Umgebung Wiederherstellen eines Single Domänencontrollers in einer replizierten Umgebung Wiederherstellen von Replikationssets mit Ausnahme des ersten Sets Autoritative Wiederherstellung Diese Methode arbeitet wie die normale Wiederherstellung, hier werden aber außerdem wiederhergestellte Systemdaten des Active Directorys auf andere Server repliziert. Hierzu ist allerdings die Anwendung der Kommandozeile und Ntdsutil erforderlich. Mit Ntdsutil können Active-Directory-Objekte für eine autoritative Wiederherstellung markiert werden, was wiederum die Replikation auf andere Server zur Folge hat. Ntdsutil ist ein Kommandozeilenprogramm, das Verwaltungsfunktionen für das Active Directory zur Verfügung stellt. 2008, Microsoft Österreich GmbH Seite 144

145 Datensicherung Anwendungsfälle für autoritative Wiederherstellungen sind: Verteilte Daten Active Directory SYSVOL Replica Sets Grund für die Wiederherstellung Rollback von (unbeabsichtigten) Veränderungen Reset von Daten Rollback von (unbeabsichtigten) Veränderungen Recovery Console Die Recovery Console ist ein Kommandozeilenprogramm, das zur Systemreparatur und -wiederherstellung genutzt werden kann. Die Nutzung dieses Werkzeugs ist z. B. dann erforderlich, wenn das Betriebssystem nicht mehr gestartet werden kann, auch nicht im sicheren Modus (Safe Mode). Die Recovery Console kann von der Setup-DVD gestartet werden. Die Recovery Console stellt alle für eine Reparatur eventuell erforderlichen Funktionen zur Verfügung (in Verzeichnisse wechseln bzw. deren Inhalte anzeigen, Dateien kopieren, Aktivieren einer bestimmten Installation auf einem Multiple- Boot-System etc.) Complete PC-Wiederherstellung Mit dem Sicherungsprogramm ist es möglich, eine sogenannte Windows Complete PC-Sicherung für die automatische Systemwiederherstellung zu erstellen. Dies wird beispielsweise dann genutzt, wenn eine Server-Installation durch spezielle Startoptionen ( sicherer Modus, letzte funktionierende Konfiguration ) nicht mehr gestartet werden kann. Complete PC-Sicherung Sicherungssätze für eine Complete PC-Wiederherstellung werden automatisch bei einer Vollsicherung sowie bei einer geplanten Sicherung oder über die Option Systemwiederherstellung aktivieren bei einer benutzerdefinierten Sicherung erstellt. Dieser Assistent sichert die Daten des Systemzustands, der Systemdienste und aller Laufwerke, auf denen sich Komponenten des Betriebssystems befinden. Complete PC-Wiederherstellung Auf die Wiederherstellung kann über die Setup-DVD zugegriffen werden, indem man vom Medium startet, die Sprache auswählt und dann den Menüpunkt Computerreparaturoptionen auswählt. Es werden die Laufwerkskonfiguration (Signaturen, Volumes, Partitionen) und die vorhandenen Betriebssysteme ermittelt Die vorhandenen Sicherungen werden gesucht und aufgelistet Das System wird mit der ausgewählten Sicherung wiederhergestellt 2008, Microsoft Österreich GmbH Seite 145

146 Datensicherung 9.2 Sichern/Wiederherstellen Voraussetzungen Daten sichern Um effizient und zielgerichtet Sicherungen von Daten erstellen zu können, müssen bestimmte Voraussetzungen erfüllt werden. Diese sind in der folgenden Checkliste beschrieben: Aneignen von Basiswissen über Sicherungskonzepte und -methoden Installieren des Features Windows Server-Sicherung Überprüfen, ob die für eine Datensicherung erforderlichen Berechtigungen vorhanden sind. Diese sind gegeben, wenn man - Mitglied der Benutzergruppen Administratoren oder Sicherungs-Operatoren (am lokalen System oder in der Domäne) - oder Besitzer der zu sichernden Dateien ist. Überprüfen, ob der Zugriff auf die zu sichernden Dateien möglich ist: - Ist der Zugriff auf entfernte (remote) Daten möglich (File Shares)? Es ist nicht möglich, den Systemzustand eines entfernten Systems zu sichern. Eine Alternative dazu ist die Sicherung des Systemzustandes auf die lokale Festplatte des Servers. Diese Datei wird dann durch einen Remotezugriff über eine Datenfreigabe gesichert. Eine weitere Möglichkeit ist die Benutzung eines alternativen Sicherungsmediums wie z. B. einer USB-Festplatte. Bei der Verwendung externer Massenspeicher ist sicherzustellen, dass sie einwandfrei funktionieren und direkt an den Computer angeschlossen sind, auf dem die Sicherung vorgenommen wird. Überprüfen, ob das Zielmedium (Festplatte, DVD) ausreichend Speicherplatz für die zu sichernden Daten bietet. Beim Sichern verschlüsselter Dateisysteme (EFS) muss zuerst der Private Key gesichert werden, um Daten wiederherstellen zu können Daten wiederherstellen Beim Wiederherstellen von Daten sind so wie beim Sichern auch bestimmte Voraussetzungen zu erfüllen. Sie sind in der folgenden Checkliste beschrieben: Aneignen von Basiswissen über Wiederherstellungskonzepte und -methoden Überprüfen, ob die für eine Datenwiederherstellung erforderlichen Berechtigungen vorhanden sind. Sie sind gegeben, wenn man Mitglied der Benutzergruppen Administratoren oder Sicherungs-Operatoren (am lokalen System oder in der Domäne) ist. Überprüfen, ob die Quellmedien mit den gesicherten Daten verfügbar sind (Festplatten, DVDs, Shares) und ob darauf zugegriffen werden kann Überprüfen, ob auf dem Zielmedium ausreichend Speicherplatz für die wiederherzustellenden Daten frei ist 2008, Microsoft Österreich GmbH Seite 146

147 Datensicherung Wenn der Systemzustand eines laufenden Domänencontrollers wiederhergestellt werden soll, muss dieser Server im Verzeichnisdienste-Wiederherstellungsmodus (Directory Services Restore Mode, kurz DSRM) gestartet werden 9.3 Daten sichern Zur Erstellung von Datensicherungen gibt es folgende Möglichkeiten: Über die Windows-Benutzeroberfläche: Die Windows-Benutzeroberfläche bietet die Möglichkeit der intuitiven Bedienung des Sicherungsprogramms, auch hier wieder in zwei Varianten: - Sicherungszeitplan: Über diesen Menüpunkt starten Sie den Assistenten zum Erstellen eines Sicherungszeitplanes. Mithilfe dieses Assistenten können Sie die zu sichernden Daten, die Anzahl der täglich durchzuführenden Sicherungen sowie den Zieldatenträger (Festplatte) auswählen. - Einmalsicherung: Mit diesem Assistenten können Sie von der geplanten Sicherung abweichende Sicherungen durchführen. Nutzen Sie diese Möglichkeit, um z. B. System-Backups durchzuführen oder Daten auf einem File Share zu sichern. Beachten Sie, dass die zur Sicherung verwendete Festplatte formatiert wird und später nicht mehr für Nutzdaten zur Verfügung steht. Über die Kommandozeile: Das Sicherungsprogramm kann auch in einem Kommandozeilenfenster mit dem Kommando wbadmin gestartet werden. Alle für eine Datensicherung bzw. Datenwiederherstellung erforderlichen Einstellungen können diesem Kommando als Parameter übergeben werden. Die Kommandozeile stellt auch die einzige Möglichkeit dar, ausschließlich den Systemstatus zu sichern bzw. wiederherzustellen. Mit dem Aufruf von wbadmin über Batch-Dateien können auch komplexere Sicherungsoperationen realisiert werden. Der Aufruf der Batch-Dateien könnte wieder über Terminpläne gesteuert werden. Die Benutzung des wbadmin -Befehls von der Kommandozeile aus wird in der Online-Hilfe ausführlich beschrieben. 2008, Microsoft Österreich GmbH Seite 147

148 Datensicherung Sicherungsprogramm starten Das Sicherungsprogramm kann über die Benutzeroberfläche auf zwei verschiedene Arten gestartet werden: Über das Start-Menü Über den Eigenschaften-Dialog des zu sichernden Laufwerks Beide Möglichkeiten des Startens sowie die Benutzung des Sicherungsprogramms sind in den folgenden Abschnitten beschrieben Sicherungsprogramm über das Start-Menü starten Das Sicherungsprogramm rufen Sie über das Start-Menü wie folgt auf: Klicken Sie auf START VERWALTUNG WINDOWS SERVER-SICHERUNG. Abb. 105: Start-Menü Sicherungsprogramm starten 2008, Microsoft Österreich GmbH Seite 148

149 Datensicherung Das Programm Windows Server-Sicherung wird gestartet und zeigt eine Übersicht des Sicherungsstatus, der Sicherungsstände sowie des Zeitplans an. Abb. 106: Windows Server-Sicherung Sicherungsprogramm über den Eigenschaften-Dialog des Laufwerks starten Das Sicherungsprogramm kann auch über den Eigenschaften-Dialog des betreffenden Laufwerks gestartet werden. Dies funktioniert wie folgt: Klicken Sie im Start-Menü oder auf dem Windows-Desktop auf das Symbol COMPUTER. Das Fenster COMPUTER wird geöffnet. Klicken Sie dort mit der rechten Maustaste auf das Laufwerk mit den zu sichernden Daten (in der folgenden Abbildung ist dies beispielhaft das Laufwerk C: ). 2008, Microsoft Österreich GmbH Seite 149

150 Datensicherung Abb. 107: Anzeige der Eigenschaften des Laufwerks mit den zu sichernden Daten Das Eigenschaften-Menü des ausgewählten Laufwerks wird geöffnet. Zeigen Sie im Eigenschaften-Menü auf den Eintrag EIGENSCHAFTEN und klicken Sie darauf. Der Eigenschaften-Dialog des ausgewählten Laufwerks wird geöffnet. Abb. 108: Registerkarte Tools enthält die Schaltfläche Jetzt sichern Klicken Sie im Eigenschaften-Dialog auf die Registerkarte TOOLS und dort auf die Schaltfläche JETZT SICHERN Das Programm Windows Server-Sicherung wird geöffnet. 2008, Microsoft Österreich GmbH Seite 150

151 Datensicherung Sicherungszeitplan definieren Das Sicherungsprogramm zeigt auf der rechten Seite eine Aktionsleiste. Das Erstellen eines Sicherungszeitplanes mit dem Assistenten funktioniert wie folgt: 1. Klicken Sie auf der Startseite des Sicherungsprogramms rechts auf SICHERUNGSZEITPLAN Abb. 109: Windows Server-Sicherung 2. Die Seite Erste Schritte wird angezeigt. Klicken Sie auf WEITER. 3. Die Seite Sicherungskonfiguration auswählen wird angezeigt und die Option VOLLSTÄNDIG ist standardmäßig ausgewählt. Wenn Sie eine vollständige Sicherung wünschen, klicken Sie auf die Schaltfläche WEITER. Für eine selektive Sicherung, bei der Sie die zu sichernden Volumes selbst selektieren, klicken Sie dagegen auf die Option BENUTZERDEFINIERT und dann auf WEITER. 2008, Microsoft Österreich GmbH Seite 151

152 Datensicherung Abb. 110: Entscheidung für eine benutzerdefinierte Sicherung durch Auswahl der entsprechenden Option 4. Wenn Sie sich auf der Seite Sicherungskonfiguration auswählen für eine benutzerdefinierte Sicherung entschieden haben, wird als nächste Seite Sicherungselemente auswählen angezeigt, auf welcher Sie nun die zu sichernden Volumes bestimmen können. Bei Definition einer vollständigen Sicherung wird dieser Schritt übersprungen und gleich die Seite Sicherungszeit angeben angezeigt. Abb. 111: Auswahl der zu sichernden Elemente 2008, Microsoft Österreich GmbH Seite 152

153 Datensicherung 5. Die Seite Sicherungszeit angeben wird angezeigt. Auf dieser Seite müssen Sie die Sicherungszeit angeben. Es stehen Ihnen folgende Optionen zur Verfügung: Einmal pro Tag: Wählen Sie die Tageszeit aus, zu der die Sicherung erfolgen soll. Mehrmals am Tag: Klicken Sie auf die Zeiten, zu denen die Sicherung erfolgen soll, und wählen Sie dann HINZUFÜGEN aus. Es ist auch möglich mit gedrückter Strg-Taste mehrere Zeiten gleichzeitig auszuwählen. Sobald Sie die Zeiten angegeben haben, klicken Sie auf die Schaltfläche WEITER. Abb. 112: Festlegen der Sicherungszeit 2008, Microsoft Österreich GmbH Seite 153

154 Datensicherung 6. Die Seite Zieldatenträger auswählen wird angezeigt und es wird Ihnen automatisch ein geeignetes Laufwerk vorgeschlagen. Um ein alternatives Laufwerk auszuwählen, klicken Sie auf ALLE VERFÜGBAREN DATENTRÄGER ANZEIGEN Abb. 113: Auswählen des vorgeschlagenen Zieldatenträgers Abb. 114: Auswählen eines alternativen Zieldatenträgers 7. Die Seite Zieldatenträger bezeichnen wird angezeigt. Hier erhalten Sie Informationen über den Datenträger, um ihn zu beschriften. Sobald Sie ein Etikett oder Ähnliches auf dem Datenträger angebracht haben, klicken Sie auf WEITER. 2008, Microsoft Österreich GmbH Seite 154

155 Datensicherung Abb. 115: Informationen über den Zieldatenträger 8. Die Seite Bestätigung, auf der Sie eine Zusammenfassung des Sicherungszeitplans erhalten, wird angezeigt. Klicken Sie auf FERTIG STELLEN, um den Sicherungszeitplan zu aktivieren und den Zieldatenträger zu formatieren Durchführen einer Einmalsicherung Mithilfe einer Einmalsicherung können Sie Sicherungen durchführen, die vom Sicherungszeitplan abweichen. Die Einmalsicherung ermöglicht es Ihnen auch, Ihre Daten auf File Shares zu sichern. 1. Klicken Sie auf der rechten Seite der Windows Server-Sicherung auf EINMALSICHERUNG Abb. 116: Windows Server-Sicherung 2008, Microsoft Österreich GmbH Seite 155

156 Datensicherung 2. Die Seite Sicherungsoptionen wird angezeigt. Hier können Sie zwischen folgenden Optionen wählen: Gleiche Optionen wie für geplante Sicherungen im Assistenten für Sicherungszeitplan: Ermöglicht Ihnen sofort eine Sicherung mit den Einstellungen des Sicherungszeitplans durchzuführen. Bei der Auswahl dieser Option gelangen Sie nach einem Klick auf WEITER sofort zur Seite Bestätigung. Unterschiedliche Optionen: Sie können alle Einstellungen selbst definieren. Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf WEITER. Abb. 117: Auswahl der Sicherungsoptionen 3. Wenn Sie auf der Seite Sicherungsoptionen die Option Unterschiedliche Optionen gewählt haben, wird nun die Seite Sicherungskonfiguration auswählen angezeigt und die Option VOLLSTÄNDIG ist standardmäßig ausgewählt. Wenn Sie eine vollständige Sicherung wünschen, klicken Sie auf die Schaltfläche WEITER. Für eine selektive Sicherung, bei der Sie die zu sichernden Volumes selbst selektieren, klicken Sie dagegen auf die Option BENUTZERDEFINIERT und dann auf WEITER. 2008, Microsoft Österreich GmbH Seite 156

157 Datensicherung Abb. 118: Entscheidung für eine benutzerdefinierte Sicherung durch Auswahl der entsprechenden Option 4. Wenn Sie sich auf der Seite Sicherungskonfiguration auswählen für eine benutzerdefinierte Sicherung entschieden haben, wird als nächste Seite Sicherungselemente auswählen angezeigt, auf welcher Sie nun die zu sichernden Volumes bestimmen können. Verwenden Sie die Option SYSTEMWIEDERHERSTELLUNG AKTIVIEREN, um eine Sicherung für die Windows Complete-PC Wiederherstellung (mit Systemstatus) durchzuführen. Bei Definition einer vollständigen Sicherung wird dieser Schritt übersprungen und gleich die Seite Zieltyp angeben angezeigt. Sobald alle Laufwerke, die Sie sichern möchten, ausgewählt sind, klicken Sie auf WEITER. Abb. 119: Auswahl der zu sichernden Elemente 2008, Microsoft Österreich GmbH Seite 157

158 Datensicherung 5. Die Seite Zieltyp angeben wird angezeigt. Standardmäßig ist die Option Lokale Datenträger aktiviert. Sie können aber auch die Option Freigegebener Remoteordner auswählen, um die Sicherung auf einem File Share durchzuführen. Abb. 120: Auswahl des Zieltyps 6. Wenn Sie sich auf der Seite Zieltyp angeben für die Option Lokale Datenträger entschieden haben, wird jetzt die Seite Sicherungsziel auswählen angezeigt. Hier können Sie sich nun für eine lokale Festplatte oder ein DVD- Laufwerk entscheiden. Bei einer Sicherung auf DVD haben Sie zusätzlich die Option SICHERUNG NACH DEM SCHREIBEN ÜBERPRÜFEN. Abb. 121: Sicherung auf Festplatte oder DVD 2008, Microsoft Österreich GmbH Seite 158

159 Datensicherung 7. Haben Sie sich auf der Seite Zieltyp angeben für die Option freigegebener Remoteordner entschieden, wird nun die Seite Remoteordner angeben angezeigt. Geben Sie den UNC-Pfad zum File Share an. Auf dieser Seite haben Sie unter Zugriffssteuerung noch folgende Möglichkeiten: Nicht vererben: Die Vererbung im Sicherungszielordner wird deaktiviert, wodurch ausschließlich der Benutzer, dessen Anmeldedaten im folgenden Dialog eingegeben werden, Zugriff auf die Sicherung hat. Vererben: Die Vererbung im Sicherungszielordner wird aktiviert, wodurch jeder Benutzer, der auf diesen Ordner Zugriff hat, ebenfalls auf die Sicherung zugreifen kann. Abb. 122: Eingabe des File Shares 8. Die Seite Erweiterte Option angeben wird angezeigt. Hier können Sie zwischen den folgenden 2 Optionen wählen: VSS-Kopiesicherung: Sichert alle ausgewählten Daten, verändert allerdings nicht das Archiv-Attribut der Dateien, wodurch andere Sicherungsprogramme weiterhin normal funktionieren. Vollständige VSS-Sicherung: Sichert ebenfalls alle ausgewählten Daten, markiert die Dateien allerdings als gesichert, indem das Archiv-Attribut entfernt wird. Die Dateien werden hierbei gegebenenfalls durch ein anderes Sicherungsprogramm nicht mehr gesichert. 2008, Microsoft Österreich GmbH Seite 159

160 Datensicherung Abb. 123: Auswahl zwischen Kopie- und Vollsicherung 9. Abschließend gelangen Sie auf die Seite Bestätigung, auf der Sie eine Zusammenfassung der Einstellungen erhalten. Wenn alle Einstellungen korrekt sind, wählen Sie SICHERUNG. 10. Die Seite Sicherungsprozess wird angezeigt. Diese Seite können Sie bei Bedarf SCHLIESSEN, die Sicherung wird im Hintergrund weiter ausgeführt. Abb. 124: Status der Sicherung 2008, Microsoft Österreich GmbH Seite 160

161 Datensicherung 9.4 Daten wiederherstellen Um Daten wiederherzustellen, nutzen Sie unter Windows Server 2008 dieselben Möglichkeiten wie beim Sichern von Daten (das Kommando wbadmin unterstützt ebenfalls das Wiederherstellen von Daten). Sie können die Windows Server-Sicherung benutzen, indem Sie auf der rechten Seite auf den Link Wiederherstellung... klicken. Die Benutzung des Sicherungs /Wiederherstellungsprogramms erfolgt genau gleich wie bei der Datensicherung. Das Starten des Programms ist daher hier nicht mehr gesondert beschrieben, dies steht im Kapitel Um Daten wiederherzustellen, die Sie unter Windows Server 2003 gesichert haben, verwenden Sie das Windows NT-Sicherungs- und Wiederherstellungsprogramm, welches Sie im Microsoft Download-Center ( herunterladen können Datenwiederherstellung definieren Wenn Sie Daten wiederherstellen möchten, gehen Sie wie folgt vor: 1. Starten Sie das Sicherungsprogramm und klicken Sie in der rechten Aktionsleiste auf den Link WIEDERHERSTELLUNG Abb. 125: Windows Server-Sicherung 2008, Microsoft Österreich GmbH Seite 161

162 Datensicherung 2. Die Seite Erste Schritte wird angezeigt. Sie haben hier folgende Möglichkeiten: Dieser Server: Verwendet eine Sicherung, die auf demselben Server erstellt wurde. Anderer Server: Verwendet eine Sicherung, die auf einem anderen Server erstellt wurde oder auf einem File Share liegt. Sie müssen gegebenenfalls das Sicherungslaufwerk des anderen Servers anschließen und es manuell wählen. Abb. 126: Entscheidung über die Herkunft der Sicherung 3. Ist Ihre Entscheidung auf der Seite Erste Schritte auf die Option Anderer Server gefallen, eröffnen sich auf der Seite Speicherorttyp angeben nun folgende Optionen: Lokale Datenträger: Führt Sie zur Seite Speicherort für die Sicherung auswählen, auf der Sie eine lokale Festplatte oder ein DVD-Laufwerk auswählen können. Freigegebener Remoteordner: Führt Sie auf die Seite Remoteordner angeben, auf der Sie den Pfad zu einem File Share angeben. 2008, Microsoft Österreich GmbH Seite 162

163 Datensicherung Abb. 127: Entscheidung ob lokales Laufwerk oder File Share 4. Haben Sie sich auf der Seite Speicherorttyp angeben für die Option Lokale Datenträger entschieden, erhalten Sie jetzt die Seite Speicherort für die Sicherung auswählen. Wählen Sie nun die Festplatte bzw. das DVD- Laufwerk, auf dem sich die Sicherung befindet, aus und klicken Sie auf WEITER. Abb. 128: Auswahl des Laufwerks, welches die Sicherung enthält 2008, Microsoft Österreich GmbH Seite 163

164 Datensicherung 5. Haben Sie sich auf der Seite Speichertyp angeben für die Option Freigegebener Remoteordner entschieden, befinden Sie sich nun auf der Seite Remoteordner angeben. Hier erhalten Sie die Möglichkeit, den Pfad zum File Share der Sicherung einzugeben. Nach erfolgter Eingabe klicken Sie auf WEITER. Abb. 129: Eingabe eines UNC-Pfades 6. Wenn Sie sich auf der Seite Erste Schritte für die Option Dieser Server entschieden haben, erscheint sofort die Seite Sicherungsdatum auswählen, auf der Sie das Datum sowie die Uhrzeit der wiederherzustellenden Sicherung auswählen. Um Ihnen das Auffinden von Sicherungen zu erleichtern, sind alle Tage, von welchen eine Sicherung vorhanden ist, fett geschrieben. Abb. 130: Auswahl der Sicherung 2008, Microsoft Österreich GmbH Seite 164

165 Datensicherung 7. Die Seite Wiederherstellungstyp auswählen wird angezeigt. Auf dieser Seite haben Sie folgende Optionen: Dateien und Ordner: Ermöglicht es Ihnen, einzelne Dateien sowie gesamte Ordner wiederherzustellen. Anwendungen: Standardmäßig ist diese Funktion deaktiviert. Sobald Sie aber Anwendungen installieren, die einen VSS-Writer beinhalten (z. B. SQL-Server), können Sie über diese Option die Anwendungsdaten wiederherstellen (z. B. Datenbanken). Volumes: Ermöglicht Ihnen das Wiederherstellen eines gesamten Volumes, wobei zu beachten ist, dass das Wiederherstellen von Systemvolumes auf ihren ursprünglichen Speicherorten nicht möglich ist. Abb. 131: Auswahl des Wiederherstellungstyps 8. Wenn Sie sich auf der Seite Wiederherstellungstyp auswählen für die Option Dateien und Ordner entschieden haben, wird nun die Seite Wiederherzustellende Elemente auswählen angezeigt. Hier können Sie mithilfe der Baumstruktur die Elemente auswählen, die Sie wiederherstellen möchten. Klicken Sie anschließend auf WEITER. Es ist auch möglich mit gedrückter Strg-Taste mehrere Dateien und Ordner gleichzeitig auszuwählen. 2008, Microsoft Österreich GmbH Seite 165

166 Datensicherung Abb. 132: Auswahl der Dateien und Ordner zur Wiederherstellung 9. Die Seite Wiederherstellungsoptionen auswählen wird angezeigt. Auf dieser Seite haben Sie folgende Optionen: Ursprünglicher Speicherort: Stellt die Daten an ihrem ursprünglichen Speicherort wieder her Anderer Speicherort: Sie können einen anderen Speicherort für die wiederherzustellenden Daten eingeben, alternativ können Sie auch auf DURCHSUCHEN klicken, um ein Dialogfeld zur Auswahl des Pfades zu erhalten Kopien erstellen, sodass beide Versionen der Datei oder des Ordners vorhanden sind Vorhandene Dateien mit wiederhergestellten Dateien überschreiben Vorhandene Dateien und Ordner nicht wiederherstellen Sicherheitseinstellungen wiederherstellen: Stellt die NTFS-Berechtigungen der Dateien wieder her. Ist diese Option nicht ausgewählt, wird die Vererbung aktiviert und die wiederhergestellten Elemente erhalten dieselben Rechte, die im Zielordner definiert sind. 2008, Microsoft Österreich GmbH Seite 166

167 Datensicherung Abb. 133: Wiederherstellungsoptionen auswählen Abb. 134: Auswahl des Wiederherstellungszieles 10. Wenn Sie sich auf der Seite Wiederherstellungstyp auswählen für die Option Volumes entschieden haben, wird die Seite Volumes auswählen angezeigt. Nun können Sie über die Checkbox die wiederherzustellenden Volumes auswählen und unter Zielvolume das Volume, auf dem die Daten wiederhergestellt werden sollen, wählen. Es ist nicht möglich, ein Systemvolume auf dem ursprünglichen Volume wiederherzustellen, während das Serverbetriebssystem ausgeführt wird. Führen Sie in diesem Fall eine Wiederherstellung des Systemstatus über das Kommando wbadmin durch oder verwenden Sie die Windows Complete PC-Wiederherstellung von der Setup-DVD. 2008, Microsoft Österreich GmbH Seite 167

168 Datensicherung Abb. 135: Auswahl des Quell- und Zielvolumes 11. Abschließend wird die Seite Bestätigung angezeigt. Auf dieser Seite erhalten Sie eine Übersicht der getätigten Einstellungen und können mit WIEDERHERSTELLUNG den Vorgang starten. Abb. 136: Überprüfen der Wiederherstellungseinstellungen 2008, Microsoft Österreich GmbH Seite 168

169 Datensicherung 12. Es wird nun der Status der Wiederherstellung angezeigt. Sie können bei Bedarf diese Seite SCHLIESSEN, der Wiederherstellungsvorgang wird im Hintergrund weiter ausgeführt. Abb. 137: Status der Wiederherstellung 2008, Microsoft Österreich GmbH Seite 169

170 Windows Deployment Services mit XP Clients 10Windows Deployment Services mit XP Clients WDS (Windows Deployment Services) ist der Nachfolger des bis Windows Server 2003 bekannten RIS (Remote Installation Services). Ziel dieses Dienstes ist die automatische Installation und Verteilung von vollständigen Client-Images basierend auf Windows XP oder Vista. Dabei setzt WDS wie auch schon RIS auf eine PXE-Startumgebung, über die ein Windows PE basierend auf dem Vista Kernel bzw. Windows Server 2008 Kernel über das Netzwerk gestartet wird. Über WDS können natürlich auch die Serverbetriebssysteme Windows Server 2003 und Windows Server 2008 ausgerollt werden. Unter Windows Server 2008 ist RIS nicht mehr vorhanden. Es können jedoch vorhandene XP-Images in WDS-taugliche Images konvertiert und damit weiterbenutzt werden 10.1 Voraussetzungen Der Windows Server 2008 (es würde auch ein Windows Server 2003 SP2 reichen) muss Mitglied der Domäne oder selbst ein Domänencontroller sein Es muss in der Domäne einen konfigurierten DHCP-Server geben Windows Server 2008 mit einer eigenen leeren NTFS-Partition (Größe ca. 100GB) für die XP-Images (und später eventuell zusätzlich Vista-Images) Clientrechner, die XP-tauglich sind und über mindestens 512MB RAM verfügen Clients, bei denen die Möglichkeit eines Startens über die Netzwerkkarte (PXE) gegeben ist (muss eventuell im BIOS des jeweiligen Clients extra eingestellt werden) 10.2 Installation der WDS-Rolle Diese neue Rolle Windows-Bereitstellungsdienste muss im Server-Manager über den Assistenten für Rollen hinzufügen ausgewählt und installiert werden. Beachten Sie, dass Sie die neu installierte Rolle erst dann weiter konfigurieren können, wenn Sie nach der Installation den Server-Manager schließen und ihn gleich darauf wieder öffnen. 2008, Microsoft Österreich GmbH Seite 170

171 Windows Deployment Services mit XP Clients Abb. 138: Servermanager mit installiertem WDS 10.3 Konfiguration der WDS-Rolle WDS-Grundkonfiguration Als nächstes muss der WDS-Server für die Bereitstellung diverser Images konfiguriert werden. Dazu sind nun folgende Hauptschritte zu erledigen: Auswahl der NTFS-Partition: Dazu ist eine leere und genügend große NTFS-Partition empfohlen wird im Schulbereich eine Größe von ca. 100 GB zur Verfügung zu stellen. Festlegung notwendiger zusätzlicher DHCP-Einstellungen: Da sich in der Schulpraxis meist der DHCP-Server am gleichen Windows Server 2008 befindet wie der WDS-Server (da damit am DHCP-Server später keine zusätzlichen Konfigurationsschritte notwendig sind), müssen folgende Optionen aktiviert werden: Port 67 nicht abhören DHCP-Option 60 für PXEClient konfigurieren Port 67 nicht abhören muss aus dem Grund angewählt werden, da standardmäßig sowohl der DHCP-Server als auch der WDS-Server am Port UDP 67 horchen. Und da nur ein Dienst diesen Port belegen kann, wird er am WDS- Server deaktiviert. Nachträglich kann man auch über die Kommandozeile wdsutil /set-server /UseDhcpPorts:No abschalten, dass der WDS-Server den Port 67 nicht abhört. Festlegung, wie auf Clientanfragen reagiert werden soll: Da wir zumindest zu Beginn wollen, dass jeder Client beim Start über das Netzwerk vom WDS bedient werden soll, legen wir bei der Konfiguration fest, dass Allen (bekannten und unbekannten) Clientcomputern auf WDS-Anfragen geantwortet werden soll. 2008, Microsoft Österreich GmbH Seite 171

172 Windows Deployment Services mit XP Clients Nach der Konfiguration der WDS-Rolle sollte der Servermanager folgende Ansicht haben: Abb. 139: Servermanager mit einer WDS-Grundkonfiguration Erstellen eines Aufzeichnungsabbildes Dazu benötigen Sie zusätzlich folgende Dateien: die Datei boot.wim des 32-Bit-Windows Server 2008 die Datei F1_winpe.wim aus dem WAIK (Windows Automated Installation Kit) Da Windows Server 2008 beim Deployment Multicasting unterstützt, und damit der Rolloutvorgang mehrer Workstations gleichzeitig um ein vielfaches schneller geht, ist unbedingt die Datei boot.wim des Windows Servers 2008 (32-Bit-Version) zu verwenden und nicht die Datei auf der Vista-DVD. Unter Multicasting versteht man Netzwerk-Pakete, die an mehr als einen, aber eben nicht an alle Rechner im Netzwerk geschickt werden. Wenn also mehrere Rechner gleichzeitig ein Image vom WDS-Server laden, dann muss nicht jedem einzelnen Rechner ein eigenes Paket zugesandt werden, sondern ein Paket erreicht eben all die betreffenden Rechner. Damit verringert sich ganz dramatisch der Netzwerkverkehr und der Download des Images geht deutlich schneller vonstatten. Rechner die sich erst später in eine laufende Multicast-Sitzung des Windows Server 2008-WDS eingeklinkt haben, bekommen am Ende der laufenden Imageübertragung die Pakete nochmals übertragen, die sie bis zum Zeitpunkt des Einklinkens in die Multicast-Sitzung versäumt haben. Schritt 1: Im Server Manager ist ein neues Startabbild hinzuzufügen. Dabei soll dabei die Datei F1_winpe.wim verwendet werden. Unter Startabbilder versteht man Minibetriebssysteme, basierend auf Windows PE. Diese werden wenn am Client über das Netzwerk gebootet wird - über TFTP eben dorthin übertragen - und dort in dessen Arbeitsspeicher übertragen. Damit dies aber funktioniert, muss der Client zumindest über 512MB Arbeitsspeicher verfügen 2008, Microsoft Österreich GmbH Seite 172

173 Windows Deployment Services mit XP Clients Schritt 2: Erstellen Sie daraus ein Aufzeichnungsabbild. Ziel von Aufzeichnungsstartabbildern ist das Umwandeln und Hochladen von mit Sysprep vorbehandelten Windows-Clients auf den WDS-Server. Schritt 3: Dieses neu erstellte Aufzeichnungsabbild muss als Startabbild hinzugefügt werden Erstellen eines Deploymentstartabbildes Wir benötigen nun ein weiteres Boot-Image, über das man später eines der verfügbaren Installationsabbilder (z.b. ein fertig konfiguriertes Betriebssystem mit installierten Applikationen) auf den Client ausrollen kann. Schritt 1: Schritt 2: Im Server Manager ist ein neues Startabbild hinzuzufügen. Dabei soll dabei die Datei boot.wim verwendet werden. Erzeugen eines Ordners, in dem die diversen XP-Installationsabbilder zukünftig liegen werden. Nachdem ein Aufzeichnungsabbild und ein Deploymentabbild erstellt worden sind, sollte der WDS-Server unter Startabbilder in etwa folgendes Aussehen aufweisen: Abb. 140: Startabbilder am WDS Clientpräparation für den Imagingvorgang Um ein voll funktionsfähiges Image eines Rechners erzeugen zu können, ist es sinnvoll, den Mastercomputer mit allen erforderlichen Anwendungsprogrammen neu zu installieren. Da alle Einstellungen im Profil des Benutzers abgespeichert werden, ist es notwendig, dass diese auch den späteren Benutzern zur Verfügung gestellt werden. Ansonsten kann es vorkommen, dass Anwendungsprogramme ständig eine Nachinstallation von Dateien anfordern, weil die entsprechenden Registry-Keys bei diesem Benutzer fehlen, obwohl bereits alles korrekt installiert wurde. Sobald also der Mastercomputer den Wünschen entspricht, ist das Profil dieses administrativen Accounts in den Bereich Default User unter Dokumente 2008, Microsoft Österreich GmbH Seite 173

174 Windows Deployment Services mit XP Clients und Einstellungen zu kopieren. Damit wird erreicht, dass ein neu angemeldeter Benutzer diese Einstellungen als Vorlage in sein eigenes Profil kopiert bekommt. Da beim ersten Start des frisch ausgerollten Zielcomputers das Administratorkennwort neu gesetzt wird, muss es beim Mastercomputer gelöscht werden. Weiters muss am Mastercomputer ein Ordner c:\sysprep erstellt und der Inhalt der Datei deploy.cab aus dem Ordner \Support\Tools der XP-CD nach c:\sysprep entpackt werden. Mit dem Start der Datei Sysprep.exe aus diesem Verzeichnis, werden alle Mastercomputerspezifischen Informationen (z.b. die SID) entfernt und im Falle eines Neustartes des Mastercomputers der automatische Aufruf eines Mini-Installations-Assistenten eingetragen. Die zuvor vom Programm Sysprep.exe entfernten rechnerspezifischen Informationen werden im Falle einer vollautomatisierten Installation vom Mini-Installations-Assistenten aus der Datei Sysprep.inf aus dem Verzeichnis c:\sysprep eingelesen. Bei der Erstellung dieser Datei ist der Setup-Manager (SETUPMGR.EXE) behilflich, der sich ebenfalls im Verzeichnis c:\sysprep befindet. Wird also das Programm Sysprep.exe gestarten, so entfernt dieses Programm unter anderem die SID aus dem Image. Diese SID wird nach dem Rollout am neuen Client vom automatisch startenden Mini-Setup-Assistenten neu generiert. Nachdem sysprep.exe ausgeführt wurde, fährt das System automatisch herunter. Sie können mit WDS kein Image einer XP- oder Vista-Workstation erzeugen, wenn diese nicht vorher mit sysprep.exe für den Imagevorgang vorbereitet wurde. Es ist nun wichtig, dass Sie auf keinen Fall diese Workstation vor Fertigstellung eines Images von der Festplatte starten Imagen eines Clients Wird die soeben versiegelte Workstation mit PXE über das Netzwerk gestartet, haben Sie die Möglichkeit das zuvor erstellte WDS-Aufzeichnungsabbild in den Arbeitsspeicher der Workstation zu laden. Über den daraufhin erscheinenden Assistenten können Sie nach erfolgreicher Authentifizierung am WDS-Server den kompletten Inhalt des zuvor mit Sysprep vorbereiteten Laufwerkes auf den WDS-Server übertragen. Beachten Sie, dass Sie genügend freien Speicher auf Laufwerk C: des Client besitzen müssen, da das Image zuesrt auf C:\ erstellt und erst danach auf den WDS-Server kopiert wird. Sie sollten also mindestens den belegten Festplattenplatz auf C:\ des Clients plus ca. 1GB zusätzlich freien Speicherplatz besitzen. Dies sollte aber bei den heutigen Festplattengrößen kein großes Problem darstellen Vorbereitungen für das Client-Rollout Sie können nun einige Einstellungen (z.b. Neupartitionierung, Partitionsgröße, ) in einer XML-Datei vornehmen und diese XML-Datei verwenden, um einige Dinge in der ersten Phase des Client-Rollouts zu automatisieren. Dazu muss am WDS-Server im Verzeichnis W:\RemoteInstall\WdsClientUnatted eine Datei mit entsprechendem Inhalt und mit Namen unattend_xp.xml angelegt werden. 2008, Microsoft Österreich GmbH Seite 174

175 Windows Deployment Services mit XP Clients Eine vollkommen unbeaufsichtigte XP-Clientinstallation erreichen Sie nur im Zusammenspiel dieser XML-Datei am WDS-Server und der Datei Sysprep.inf am Client. Damit beim Client-Rollout die Workstations automatisch mit den richtigen Rechnernamen belegt werden, muss am Windows Server 2008 DC unter Computerkonfiguration Richtlinien Administrative Vorlagen System Netzwerkanmeldung die Richtlinie Mit Windows NT 4.0 kompatible Kryptorafiealgorithmen zulassen aktiviert werden. Damit die automatische Benennung des auszurollenden Client mit seinem früheren Rechnernamen funktioniert, muss dieser Client bereits einmal ausgerollt worden sein Multicastingübertragung von Images Ein herkömmliches Image-Rollout läuft so ab, dass jedem anfragenden Client extra die gewünschten Daten zugeschickt werden, die damit auch die entsprechende Netzwerkbandbreite in Anspruch nehmen. Dies bedeutet, dass bei einer entsprechenden Anzahl an anfragenden Clients die zur Verfügung stehende Bandbreite bereits aufgebraucht wäre und weitere Anfragen den Rolloutprozess bereits laufender Clients blockieren würde. Eine derartige Übertragung nennt man Unicast. Im Multicast-Modus wird ein Datenpacket nicht an alle (wäre ein Broadcast) sondern an eine bestimmte Gruppe von Clients geschickt (und nicht jedem einzelnen Client ein eigenes Datenpaket). Der Client erhält nun passende Router und Switches vorausgesetzt - eine zusätzliche IP-Adresse aus dem Bereich und wird damit Mitglied einer Multicast-Gruppe Voraussetzungen für Multicast: Man benötigt das Windows PE-Bootimage von Windows Server 2008 Die Netzwerkhardware muss mit Muticast umgehen können Der Nachteil von Multicast gegenüber Unicast beim Ausrollen eines Images über den WDS-Server ist der, dass im Muticast-Modus zuerst das Image auf den Client kopiert und erst dann extrahiert wird, was eine entsprechend große Zielfestplatte voraussetzt - im Unicastmodus wird das Image bereits bei der Übertragung extrahiert. Es gibt zwei Multicast-Startmodi: a) Beim Scheduled-Cast wird - nachdem die Clients installiert worden sind - der Multicast-Auftrag wieder gelöscht. b) Automatischer Multicast-Start In normalen Fällen ist der automatische Castmodus die richtige Wahl. Über den Punkt Multicastübertragung erstellen wird beim betreffenden Image das Multicasting aktiviert. 2008, Microsoft Österreich GmbH Seite 175

176 Hyper-V 11Hyper-V Das Jahr 2008 ist gekennzeichnet durch den Begriff der Virtualisierung. Mit Hyper- V stellt Microsoft Virtualisierungstechnologie für den Serverbereich unter Windows Server 2008 für 64-Bit Systeme bereit. Unter Server Virtaulisierung versteht man die Möglichkeit, auf einer physischen Maschine mehrere Gast-Betriebssysteme in so genannten Virtuellen Maschinen zu installieren. Neben der Virtualisierung im Serverbereich bietet Microsoft auch eine Anwendungsvirtualisierung mittels Softgrid an. In diesem Kapitel wird aber ausschließlich auf die Servervirtualisierung mit Hyper-V eingegangen Einführung in Hyper-V Virtualisierung unter Windows ist kein neuer Bereich für Administratoren in einem Microsoft Umfeld. Angefangen hat alles, als Microsoft im Jahr 2003 die Firma Connetix und damit das Produkt Virtual PC erwarb. Seit Jahren bietet Microsoft zwei unterschiedliche Produkte, Virtual PC und Virtual Server 8, an. Diese Produkte wurden unter anderem beim Aufbau von Labs und Testumgebungen ausgiebig verwendet. Leider haben diese Produkte aber Restriktionen wie z.b. dass in einer virtuellen Maschine nur 32-Bit Software installiert werden konnte u.a., weshalb ihre Einsatzszenarien beschränkt waren. Trotzdem haben diese Produkte auch heute noch ihre Berechtigung und in bestimmten Einsatzbereichen bieten sie die einzige mögliche Lösung. Hyper-V mit dem Hypervisor ist eine neue Technologie, bei der Microsoft den Kernel von Windows Server 2008 änderte, damit dieses Produkt mit der Technologie von EMC s VMWare konkurrieren kann Unterschiedliche Ansätze für Virtualisierung 9 Für die Virtualisierung von Betriebssystemen gibt es zwei unterschiedliche Ansätze: Typ 2 und Hybrid-Modell einer virtuellen Maschine Typ 1 einer Virtuellen Maschine Für Virtual PC und Virtual Server gab es mehrere Produktzyklen. Die aktuellen Versionen dieser Produkte sind Virtual PC 2007 und Virtual Server 2005 R2. Beide können kostenlos über das Microsoft Download Center bezogen werden. Näheres zu dieser Zusammenfassung finden Sie bei Microsoft Press, Introducing Windows Server 2008, Mitch Tulloch und Microsoft Server Team. In weiterer Folge wird der Begriff Virtuelle Maschine durch VM abgekürzt. 2008, Microsoft Österreich GmbH Seite 176

177 Hyper-V Typ 2 VM Bei dieser Form wird auf der Hardware ein Host-Betriebssystem installiert. Auf dem laufenden Betriebssystem wird eine virtuelle Maschine installiert, die auf dem Hostbetriebssystem aufsetzt. Java.NET CLR VMM Host OS Hardware Abbildung 141: VMM-Typ Das Hostbetriebssystem wird bei dieser Variante direkt auf der Hardware installiert. Als Anwendung auf dem Hostbetriebssystem läuft der Virtual Maschine Monitor (VMM) wie z. B. Java oder die.net Common Language Runtime. Aufgabe des VMM ist es, virtuelle Maschinen zu erstellen und zu verwalten. Des weiteren verteilt der VMM die Ressourcen an die einzelnen VM s und isoliert diese voneinander. Auf der VMM laufen dann die so genannten Gäste, in diesem Fall Java oder.net Anwendungen. Der VMM beim Typ-2 Modell ist eine virtuelle Schicht zwischen dem Host-BETRIEBSSYTEM und der auf dem VMM laufenden Anwendungen oder Diensten. Will eine VMM-Anwendung auf die Hardware zugreifen, dann geschieht dies, in dem sie durch den VMM und das Host- BETRIEBSSYTEM auf die Hardware zugreift. Augenscheinlich ist der Zugriff der Gäste auf die Hardware aufgrund der Architektur nicht der perfomanteste. 2008, Microsoft Österreich GmbH Seite 177

178 Hyper-V Hybrid-Modell einer VM Durch die Betriebssystem Virtualisierung bekannter ist hingegen die Architektur der Hybrid VMM. Diese Form der Virtualisierung wird bei Microsoft Virtual PC 2007 und Microsoft Virtual Server 2005 R2 verwendet. Abb. 1: Hybrid VMM Gast Gast Host OS VMM Hardware Abbildung 142: Hybrid VMM Wie man aus der Abbildung erkennen kann, läuft sowohl das Host-Betriebssystem als auch der VMM direkt auf der Hardware. Die Gäste ihrerseits laufen auf einer virtuellen Schicht des VMM. Die Darstellung stimmt aber nur ungefähr, denn der Zugriff der Gäste auf die Hardware erfolgt hier ebenfalls durch die VMM und über das Host-Betriebssytem. Allerdings läuft sowohl das Host BETRIEBSSYTEM als auch der VMM im Kernel-Mode des Prozessors. Dies ist eben der kleine Unterschied, der den Performanzvorteil des Hybrid-Modells ausmacht. Der Typ-2 VMM hingegen läuft im User- Mode. Durch den Kernel-Mode des Hybrid Modells ist also die Performanz der Gäste besser, allerdings nicht so gut, wie sie wäre, würden die Gäste direkt auf einer eigenen, physischen Maschine laufen. Typ-1 VM oder Hypervisor Modell Die letzte Art der Virtualisierung ist die mit einem Hypervisor. Der Hypervisor ist eine Softwareschicht, die zwischen der Hardware und dem über dem Hypervisor installierten Betriebssystemen liegt. Der primäre Zweck des Hypervisors ist die Trennung der Ausführungsumgebungen, die als Partitionen bezeichnet werden, und in denen unterschiedliche Betriebssysteme installiert werden bzw. laufen. Jede Partition verfügt über seine eigenen Hardware Ressourcen wie RAM, CPU-Zyklen, Hardwaregeräte. Der Hypervisor ist managt die Gäste und ordnet bzw. ermöglicht die Zugriffe auf die darunterliegende Hardware. Parent Partition Gast Partition Gast Partition Hypervisor (VMM) Hardware Abbildung 143: Typ 1 VMM Da der Hypervisor direkt auf der Hardware läuft, hat diese Art der Virtualisierung die größten Performanz-möglichkeiten, da keine zusätzlichen Schichten durchlaufen werden müssen. Hyper-V in Windows Server 2008 verwendet das Hypervisor-Modell für die Virtualisierung. 2008, Microsoft Österreich GmbH Seite 178

179 Hyper-V Hyper-V ist ein Hypervisor-Modell, also eine Schicht zwischen der Hardware und den darüber liegenden Partitionen, in denen Gäste isoliert voneinander laufen. Der Hypervisor läuft im Kernel-Mode des Prozessors. Auch beim Hypervisor-Modell gibt es noch zwei unterschiedliche Ansätze. Die Kenntnis dieser Ansätze ist für das allgemeine Verständnis der Funktionsweise von Bedeutung. Unterschiedliche Varianten des Typ-1 Modells: Monolithischer Hypervisor Hypervisor mit einem Microkernel Monolithischer Hypervisor Beim monolithischen Hypervisor Modell werden im Hypervisor die Gerätetreiber für den Zugriff auf die Hardware installiert. Die VMs greifen auf die Geräte im Hypervisor zu, um auf die Hardware zuzugreifen. Üblicherweise ist eine der VMs eine spezielle VM mit dem Administrator- oder Management-Betriebssystem welches die anderen Gastbetriebssysteme verwaltet beziehungsweise überwacht. Das monolithische Hypervisor-Modell hat eine ausgezeichnete Performanz. VM 1 Admin VM 2 VM 3 Hypervisor (VMM) Gerätetreiber Hardware Abbildung 144: Monolithischer Hypervisor Wie bei jedem Modell gibt es auch hier Vor- und Nachteile. Der Nachteil bei diesem System ist die Schicht in der die Treiber für den Zugriff auf die Hardware installiert werden. Da der Hypervisor im Kernel-Mode läuft, handelt es sich hier um sensible Kernel-Treiber, für die bezüglich Stabilität und Sicherheit besonders hohe Maßstäbe notwendig sind. Im Hypervisor müssen also alle Gerätetreiber aller Gast-VMs, die diese benutzen, installiert werden. Die VMs verfügen über keine eigenen Gerätetreiber. Sicherheit: Stellen Sie sich vor, dass ein Malware-Programm einen derartiger Kernel-Treiber installiert oder einen existierenden ersetzt. Die in den darüber liegenden Schichten laufenden VMs hätte keine Möglichkeit, diesen Treiber der zum Beispiel als Keylogger 11 fungiert zu entdecken oder gar zu entfernen. Der Hypervisor stellt diesen Treiber den Gästen zur Verfügung und für diese ist er transparent. 11 Mitch Tulloch bezeichnet diese Art der Entführung als hyperjacked. 2008, Microsoft Österreich GmbH Seite 179

180 Hyper-V Stabilität: Eine andere Möglichkeit wäre die Installation eines Treibers durch einen Dritthersteller. Möglicherweise ist der Treiber nicht ausreichend getestet worden. Nach der Installation betreffen Fehler dieses Treibers jedoch alle Gast-VMs, die über diesen Treiber auf eine Ressource zugreifen. Jedes Treiber-Update fordert dadurch die erste Regel von Murphy 12 allgemeinen Gesetzmäßigkeiten heraus. Hypervisor mit einer Microkernel-Architektur das Hyper-V Modell bei Windows Server 2008 Im Gegensatz zum monolithischen Ansatz werden die Treiber, für den Zugriff auf die Hardware, beim Microkernel-Modell direkt in die VMs verlagert. Parent Partition Gast Partition Gast Partition Gerätetreiber Gerätetreiber Gerätetreiber Hypervisor (VMM) Hardware Abbildung 145: Hypervisor auf Microkernelbasis Jede VM muss also ihre eigenen Treiber installieren, wodurch jede Partition von jeder anderen völlig isoliert werden kann. Dieser Ansatz führt zu einer höheren Sicherheit und Stabilität. Wie bei allen Typ-1 Modellen ist eine Partition eine besondere. Unter Hyper-V wird diese Partition als Parent-Partition bezeichnet. Jede Partition erhält ihren physischen Speicher, CPU-Zyklen, RAM. Unter Hyper-V können Sie, wenn Sie wollen, die Anzahl der Prozessoren bestimmen, die einer Partition zugeordnet werden. Die Parent-Partition ist die erste Partition, die Sie erstellen müssen. In dieser Partition kann ausschließlich Windows Server 2008 installiert werden. Es ist empfehlenswert, in der Parent-Partition Windows Server Core zu installieren. Sever Core hat aufgrund der geringeren Installationsbasis und deren Möglichkeiten eine geringere Angriffsfläche und ein geringeres Patch-Management. 12 Regel 1: Wenn etwas schief gehen kann, dann geht es schief. 2008, Microsoft Österreich GmbH Seite 180

181 Hyper-V Warum sollten Sie virtualisieren? Genug mit der grauen Theorie und hin zu der Frage, warum man überhaupt virtualisieren sollte. Virtualisierung ist einer der Hypes in 2008, aber warum? Dafür gibt es eine Menge Gründe: Effizientere Nutzung moderner Server-Hardware: In den letzten Jahren wurde die Server-Hardware immer leistungsfähiger. Wenn man sich die Gesamt-CPU-Belastung eines Serversystems ansieht, wird man feststellen, dass auch bei intensiver Belastung diese vermutlich selten über 5 bis 10% hinausgeht. Dies bedeutet aber, dass die CPU durchaus eine höhere Belastung vertragen würde. Isolierung von Diensten - Sandboxing: Wenn einzelne Dienste wie z.b. Mail, Datei- und Druckdienste auf unterschiedlichen Servern installiert werden, führen Probleme eines Dienstes nicht zu einem Totalausfall des Gesamtsystems. Statt zwei unterschiedliche physische Server zu installieren, kann man dieses auch in VMs installieren, die voneinander isoliert laufen. Käme es zu einem Problem beim Mail-Server, so wäre nur diese VM betroffen, während die anderen VMs problemlos weiterlaufen. Höhere Verfügbarkeit: Durch den Betrieb mehrerer VMs auf einem physischen Server entsteht scheinbar ein Single Point of Failure. Läuft der physische Server nicht, dann laufen auch die auf diesem physischen Server installierten VMs und deren Dienste nicht. Dieses Argument ist aber nur teilweise richtig. Im industriellen Bereich ist es billiger, einen physischen Server zu clustern als mehrere. Im Schulbereich werden selten Cluster eingesetzt, allerdings haben Sie hier die Möglichkeit, VMs von einem physischen Server auf einen anderen Server zu verschieben und somit den Betrieb zu gewährleisten. Dienste müssen nur gelegentlich verfügbar sein: Denken Sie zum Beispiel an PKI-Dienste 13. Es ist empfohlen, eine Root-PKI auf einen eigenständigen Server einzurichten. Zur Erhöhung der Sicherheit sollte dieser Server aber Offnline sein. Installieren Sie die Root-PKI in einer VM, dann können Sie, wann immer Sie die VM benötigen, diese aktivieren. Wenn Sie den PKI-Root Server offline nehmen, können Sie die VM auf eine USB-Platte verschieben und damit archivieren. Portierung: Wurde ein Server virtualisiert, können Sie relativ einfach auch einen anderen Host verschieben. Senkung des Energieverbrauchs: Je weniger Server Sie betreiben, desto weniger Energie zur Versorgung und Kühlung der Systeme benötigen Sie. Dieses äußerst wichtige Argument ein Aspekt der Green IT-Offensive ist im Schulbereich sicher nicht vorrangig. Desaster Recovery Optionen: Datensicherung ist ein zentrales Thema beim Betrieb einer IT-Landschaft. Die wichtigste Aufgabe der Administration besteht darin, dass die IT rund um die Uhr verfügbar sein soll. Leider kommt es aber immer wieder zu dem einen oder anderen Gebrechen und ein Server geht offline. Die Gründe dafür sind sehr unterschiedlich. Die bedeutende Frage ist nun, wie lange dauert es, bis der fehlende Server wieder online ist? In der Vergangenheit musste im schlimmsten Fall nach einer Miniinstallation des Betriebssystems eine Rücksicherung von Band bzw. einem anderem Medium vorgenommen werden. In einer virtualisierten Landschaft kann dies viel schneller erfolgen. Mit Hilfe von Volumeschattenkopien können Sie Abbilder eines Servers zu bestimmten Tageszeiten erstellen und dies auf ein tertiäres Medium sichern. Fällt in diesem Fall ein Host aus, dann können Sie das Abbild sehr schnell auf einem anderen Host-Sever wiederherstellen und die Verfügbarkeit des Dienstes gewährleisten. Dies ist vor allem im Schulbereich ein sehr starkes, wenn nicht das stärkste Argument, für die Virtualisierung. 13 PKI (public key infrastructure). Mit Hilfe der Zertifikatsdienste können Zertifikate für Computer, Benutzer etc. ausgestellt werden. 2008, Microsoft Österreich GmbH Seite 181

182 Hyper-V Ökonomische Gründe: Die Hardwareaufrüstung eines Servers kommt billiger als die Anschaffung einer neuen Server-Hardware. Betriebssystemvirtualisierung muss allerdings geplant werden. Nicht jeder physische Server und die darauf laufenden Dienste sind geeignete Kandidaten für die Virtualisierung. Nicht immer ist Hyper-V die richtige Antwort auf die Frage nach Virtualisierung. Neben Hyper-V, der Virtualisierungssoftware für den 64-Bit Bereich, muss auch Microsoft Virtual Server 2005 R2 erwähnt werden, welches die einzige Möglichkeit für den 32-Bit Bereich darstellt. Unterschiede zwischen Hyper-V und Microsoft Virtual Server 2005 R2 Microsoft Virtual Server 2005 R2 Hyper-V Gast Hostsystem Nur 32 Bit OS 32 Bit und 64 Bit OS Anzahl der Netzwerkkarten Max. 4 Max. 8 Netzwerkkarten Anzahl der VM s Max. 64 gleichzeitige laufende VMs Theoretisch unbegrenzt abhängig von der Hardware und der Lizenzierung 14 Unterstützt SMP Nein Ja Installation auf einem 32-Bit Hostbetriebssystem Installation auf einem 64-Bit Hostbetriebssystem Ja Nein Ja (eigene 64 Bit Version) Ja (Parent Partition) muss allerdings Windows Server 2008 enthalten Voraussetzungen für die Virtualisierung mit Hyper-V Um die Virtualisierung mit der Rolle Hyper-V aktiv betreiben zu können, müssen die nachfolgenden Voraussetzungen für den physischen Server erfüllt sein: 64-Bit-Version von Windows Server 2008 x64 CPU mit Intel VT bzw. mit AMD-V Erweiterungen aktivierte VT-Extension im Bios Darüber hinaus sollte auch ausgesprochen werden, dass die Virtualisierung zusätzliche Ressourcen benötigt. Insofern reichen die Mindestvoraussetzungen für die Installation eines 64-Bit Servers für die Virtualisierung nicht aus. Je nachdem, welche VMs in weiterer Folge auf einem bestimmten Host laufen werden, muss der Server mit mehreren Prozessoren und einer entsprechenden Menge RAM ausgestattet werden. 14 Windows Server Enterprise erlaubt lizenztechnisch 4 VM-Instanzen, Windows Server Datacenter Edition erlaubt hingegen eine unbegrenzte Anzahl von VM-Instanzen. 2008, Microsoft Österreich GmbH Seite 182

183 Hyper-V Größen des RAMs für die Virtualisierung Für die Parent-Partition sollten 2GB Ram zur Verfügung gestellt werden. In der Partent-Partition muss Windows Server 2008 installiert werden. Allgemein wird empfohlen, dass das Management-BETRIEBSSYTEM, also Windows Server, in der Parent Partition keine zusätzlichen Dienste betreiben sollte. Von dieser allgemeinen Regel gibt es jedoch Ausnahmen. Je nachdem, welche Dienste in den Gast-VMs laufen, sollte der Server mit 8GB oder mehr RAM ausgestattet werden. Anzahl der Prozessoren für die Virtualisierung Der Virtualisierungsprozess in Hyper-V benötigt nur einen sehr kleinen Overhead. Die wahre Anzahl der benötigten Prozessoren wird durch die Partitionen und in denen laufenden Diensten bestimmt. Aus diesem Grund kann keine allgemeine Empfehlung für die Anzahl der Prozessoren angegeben werden. Unter Hyper-V kann einer Gast-VM explizit und exklusiv bis zu 4 Cores zugewiesen werden. Normalerweise werden die Cores, die ein physischer Server zu Verfügung stellt, unter den diversen VMs aufgeteilt und gemeinsam verwendet. Festplattenspeicher für die Virtualisierung Durch die Voraussetzung, dass Windows Server 2008 in der Parent Partition installiert werden muss, befindet sich bereits ein BETRIEBSSYTEM auf dem physischen Server. Weitere Gast-Betriebssysteme können in so genannten Gast-VM installiert werden. Für jede VM wird dabei eine physische Datei mit dem Dateityp.vhd im Dateisystem angelegt. Aus Performanzgründen sollte Sie diese Datei aber nicht auf die Systempartition des Parent-Partition-Betriebssystems legen. 15 Jede Gast-VM benötigt mindestens 4GB Plattenplatz. Dieser wird bei Bedarf, also dynamisch, auf die Standardgröße von 127 GB dynamisch erweitert. Die maximale Plattengröße einer virtuellen Festplatte beträgt 2048GB. Für die Virtualisierung werden die nachfolgenden Gast-Betriebssysteme offiziell unterstützt: 32/64-Bit Version von Windows Server 2003 SP2 32/64-Bit Version von Windows Server /64-Bit Version von Windows Server 2000 SP4 32/64-Bit Version von SuSE Enterprise Server 10 ab SP1 32/64-Bit Version von Vista Business, Enterprise bzw. Ultimate 32/64-Bit Version von XP Professional 11.2 Installation der Rolle Hyper-V Wie in den Voraussetzungen bereits erwähnt wurde, benötigt Hyper-V neben einem 64-Bit Prozessor auch die Intel VT bzw. mit AMD-V Erweiterungen, die im BIOS aktiviert werden müssen. Nach der Aktivierung im BIOS muss ein Kaltstart durchgeführt werden, d.h. der physische Server muss nach der Konfiguration des BIOS ausgeschalten werden. 15 Technisch ist es möglich vhd-dateien auf die Systempartition abzulegen. 2008, Microsoft Österreich GmbH Seite 183

184 Hyper-V Der übliche Vorgang ist nun die Installation von Windows Server 2008 Enterprise oder Data Center Edition. Allgemein ist zwar für die Parent Partition eine Installation von Windows Server Core empfohlen, allerdings setzt dies auch zusätzliche Kenntnisse mit der Cmdline-Console voraus, dies ist einzige Möglichkeit unter Server Core. Einfach in der Handhabung ist eine Vollinstallation 16, da hier ein grafisches Userinterface zur Verfügung steht. Eine weitere Empfehlung besteht darin, dass Sie die Festplatte des physischen Servers partitionieren sollten. Zwar ist es durchaus möglich, die Gast-Betriebssysteme, die in einer vhd-datei gespeichert werden auf der Systempartition des Management-Betriebssystems zu speichern, dies sollten Sie allerdings möglichst vermeiden. Nach der Installation sind die üblichen Nacharbeiten einer Installation vorzunehmen. Zu diesen Aufgaben gehört: Vergabe eines Kennworts für den Administrator Vergabe einer statischen IPv4 bzw. IPv6 Adresse Änderung des Computernamens des installierten Servers Domänenbeitritt um den Server zentral verwalten zu können Aktivierung des Remote Desktop Aktivierung von Windows Server 2008 Einspielen aller verfügbaren Updates 17 über das Windows Update Service oder von einem lokalen WSUS-Server Erst dann sollten Sie die Rolle Hyper-V installieren. Beachten Sie, dass Sie nach der Installation der Rolle ein erneutes Windows Update fahren müssen. Windows Server 2008 wurde nur mit einer vorläufigen Version des Hyper-V ausgeliefert und deshalb ist ein erneutes Update notwendig. Die Installation der Rolle Hyper-V mit Hilfe des Server-Managers 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen oder Sie geben im Such- Feld SERVERMANGER.MSC ein. 2. Klicken Sie im linken Teil des Fensters auf den Knoten Rollen. 3. Machen Sie auf den Knoten Rollen einen Rechtsklick und wählen Sie die Menüfunktion ROLLE HINZUFÜGEN aus. 4. Klicken Sie auf WEITER, um das Willkommens-Fenster zu übergehen. 5. Wählen Sie in dem sich öffnenden Fenster - ASSISTENT ROLLEN HINZUFÜGEN die Option Hyper-V aus Die Vollinstallation eines Windows Server 2008 dürfte im Schulbereich die Standardinstallation sein, weshalb in diesem Kapitel davon ausgegangen wird. Zum Zeitpunkt des Erscheinens dieser Unterlage wird für Windows Server 2008 bereits das Service Pack 2 zur Verfügung stehen. 2008, Microsoft Österreich GmbH Seite 184

185 Hyper-V Abbildung 146: Auswahl der Option Hyper-V 6. Klicken Sie anschließend auf die Schaltfläche WEITER. 7. Im nächsten Fenster des Assistenten müssen Sie jene Netzwerkkarte auswählen, mit der Sie eine Verbindung mit den Gast-VMs herstellen wollen. Sie können dies allerdings auch zu einem späteren Zeitpunkt einrichten. Abbildung 147: Festlegung des virtuellen Netzwerks 2008, Microsoft Österreich GmbH Seite 185

186 Hyper-V Ein physischer Server, der für Virtualisierung verwendet wird, wird in der Regel über mehrere Netzwerkarten verfügen. Eine dieser Netzwerkkarten sollte für den Remotezugriff auf das Management- BETRIEBSSYTEM in der Parent Partition reserviert werden. Bedenken Sie, Personen, die einen Zugriff auf das Management-Betriebssystem haben, haben auch Zugriff auf alle Gast-VMs. 8. Beenden Sie die Installation der Rolle, indem Sie auf INSTALLIEREN klicken. Anschließend müssen Sie auf die Schaltfläche SCHLIEßEN klicken und den Server neu starten. Abbildung 148: Ende der Hyper-V Installation 9. Melden Sie sich nach dem Neustart als lokaler Administrator oder Domänen-Administrator an und beenden Sie die Installation von Hyper-V. Lizenzrechtliches: Windows Server 2008 Standard:... 1 virtuelle Instanz Windows Server 2008 Enterprise:... 4 virtuelle Instanzen Windows Server 2008 Datacenter:... unbegrenzte Anzahl virtueller Instanzen 2008, Microsoft Österreich GmbH Seite 186

187 Hyper-V Das Management-Betriebssystem in der Parent-Partition Die virtuellen Gast-Betriebssysteme, die Sie auf dem physischen Server installieren werden, verwenden virtuelle Netzwerke. Bei der Installation der Rolle Hyper-V Schritt 7 der Installation - wird in der Regel mindestens eine Netzwerkkarte angegeben, die für die Kommunikation mit den Gast-Betriebssytemen verwendet wird. Für jede physische Netzwerkkarte wird eine virtuelle Netzwerkkarte installiert. Die virtuelle wird mit der physischen verbunden. Abbildung 149: Physische Netzwerkkarte Abbildung 150:Virtuelle Netzwerkkarte In den beiden oben dargestellten Abbildungen sehen Sie links die physische Netzwerkarte und rechts die zur physischen Netzwerkkarte gehörende virtuelle Netzwerkkarte. Sämtliche Dienste und Protokolle wurden bei der physischen Netzwerkkarte deaktiviert. Das einzige Protokoll, das auf die physische Netzwerkkarte gebunden wird, ist das Protokoll für Microsofts virtuellen Netzwerk-Switch. Die fehlenden Dienste und Protokolle können Sie auf der virtuellen Netzwerkkarte finden. In einem Hypervisor-Modell hat jede Partition und das darin laufende Betriebssystem seine eigenen Treiber. Dadurch, dass die einzelnen Gast-Betriebssysteme mit einer virtuellen Netzwerkkarte am so genannten Virtuellen Switch angeschlossen sind, und dieser dann z.b. mit einer physischen Netzwerkkarte verbunden wird, können mehrere VMs über eine physische Netzwerkkarte direkt angesprochen werden. Das Konzept der virtuellen Netzwerke ist im Grunde genommen sehr einfach. Trotzdem können Sie damit auch komplexe Strukturen aufbauen. Allgemein wird zwischen drei unterschiedlichen Kategorien von Netzwerktypen unterschieden: Externe Netzwerkverbindung: Diese Kategorie ist die einzige Möglichkeit, bei der eine VM mit einer außerhalb des physischen Servers befindlichen Host kommunizieren kann. Neben der Kommunikation nach außen kann die VM mit allen VMs auf dem physischen Server kommunizieren. 2008, Microsoft Österreich GmbH Seite 187

188 Hyper-V Interne Netzwerkverbindung: Bei diesem Netzwerktyp ist eine Kommunikation aller Gast-VMs untereinander bzw. mit dem Management-Betriebssystem in der Parent-Partition möglich. Eine Kommunikation mit einem externen Host ist nicht möglich. Private Netzwerkverbindung: Sie erlauben lediglich die Kommunikation der Gast-VM untereinander. Eine Kommunikation mit dem Management-Betriebssystem oder einem externen Host ist nicht möglich. Derartige Verbindungen werden zum Beispiel von Entwicklern zum Testen einer VM verwendet Einstellungen und Verwaltung des Management-Betriebssystems Das Management-Betriebssystem in der Parent Partition bzw. die Gast-Betriebssysteme in den diversen VMs können entweder mit einer Management-Console von Windows Server 2008 oder mit dem Server-Manager verwaltet werden. Wenn Sie Windows Server 2008 bzw. Hyper-V von einer Windows Vista Workstation aus verwalten wollen, dann müssen Sie die Remote Server Administration Tools 18 installieren. Um die Remote Server Administration Tools zu installieren, gehen Sie folgendermaßen vor: 1. Laden Sie die RSAT-Tools von der Microsoft Downloadseite herunter. 2. Doppelklicken Sie auf der heruntergeladenen Datei Windows6.0-KB x86.msu, um den Installationsprozess zu beginnen. 3. Die Benutzerkontensteuerung von Windows Vista erscheint. Klicken Sie auf FORTSETZEN und installieren Sie die RSAT-Tools. 4. Abschließend müssen Sie die neue Windowsfunktion einschalten. a. Klicken Sie auf START SYSTEMSTEUERUNG. b. Wählen Sie in dem sich öffnenden Fenster PROGRAMME UND FUNKTIONEN aus. c. Klicken Sie in dem sich öffnenden Fenster im linken Bereich auf den Eintrag WINDOWS-FUNKTIONEN EIN- ODER AUSSCHALTEN. d. Aktivieren Sie im Fenster Windows-Funktionen die Option REMOTESERVER-VERWALTUNGSTOOLS durch einen Klick auf das Kästchen. Abbildung 151: Aktivierung der Remoteserver Verwaltungstools 18 Die Remote Server Administration Tools kurz RSAT - können Sie von herunterladen. 2008, Microsoft Österreich GmbH Seite 188

189 Hyper-V Abbildung 152: MMC Hyper-V-Manager auf einer Windows Vista Workstation Abbildung 153: Server-Manager unter Server 2008 für die Verwendung von Hyper-V 2008, Microsoft Österreich GmbH Seite 189

190 Hyper-V Der Verwaltungskonsole für Hyper-V, gleichgültig ob Sie die Rolle im Server-Manager oder die MMC wählen, ist identisch und gliedert sich in drei Bereiche: In der linken Spalte werden unter der Hyper-V-Rolle der oder die verbundenen Hyper-V Server dargestellt. Der Hyper-V Server ist der virtuelle Server, der als Management-Betriebssystem in der Parent-Partition läuft. Der mittlere Bereich zeigt die vorhandenen virtuellen Computer eines bestimmten Hyper-V Servers an. Für alle virtuellen Gast-Betriebssysteme werden Status, CPU-Verbrauch und Betriebszeit angezeigt. Im unteren Bereich werden die verfügbaren Snapshots der bestimmten VM sowie der jeweiliger Zustand angezeigt. In der rechten äußeren Leiste werden alle zulässigen Aktionen aufgelistet. Die Aktionen werden allgemein in Hyper-V und clientspezifische oder VM spezifische Aktionen unterteilt. Bevor man mit der Installation der Gast-Betriebssysteme beginnt, sollte man unbedingt die Hyper-V Einstellungen des Managementbetriebssystems überprüfen und bei Bedarf konfigurieren. Allgemein wird empfohlen, die Gast- Betriebssysteme, die in den VMs laufen nicht, auf der Systempartition des Management-Betriebssystems abzulegen. So kontrollieren Sie die Hyper-V Einstellungen des Management-Betriebssystems: 1. Starten Sie den SERVER-MANAGER. Klicken Sie dazu auf das entsprechende Symbol in der Schnellstart- Symbolleiste von Windows Server Navigieren Sie zu der Rolle Hyper-V. 3. Öffnen Sie durch Klicken auf das +-Symbol die Rolle Hyper-V, bis Sie den Hyper-V Server sehen. 4. Wählen Sie den Hyper-V Server durch einen Klick aus. 5. Wechseln Sie in den linken Bereich und klicken Sie auf die Aktion HYPER-V-EINSTELLUNGEN 6. In dem sich öffnenden Fenster sollten Sie die beiden Punkte VIRTUELLE FESTPLATTEN und VIRTUELLE COMPUTER entsprechend konfigurieren. Abbildung 154: Konfiguration der Hyper-V Einstellungen des Management-Betriebssystems 2008, Microsoft Österreich GmbH Seite 190

191 Hyper-V 11.3 Installation eines Gast-Betriebssystems Die Einrichtung einer neuen VM erfolgt über einen Installationsassistenten. Dabei sind folgende Angaben verpflichtend: Name des Gastes Die Größe des zugewiesenes Arbeitsspeichers Anzahl der Prozessoren Netzwerkkonfiguration Größe, Name und Speicherort der virtuellen Festplatte Als Bootmedien für die Gast-Betriebssysteme werden CD/DVD, ISO-File, Floppy, Floppy-Image (.vf8), Image per PXE unterstützt. Soll die Installation des Gast-Betriebssystems durch Booten über eine Netzwerkkarte erfolgen, dann muss für den Bootprozeß eine Legacy-Netzwerkkarte installiert werden. So installieren Sie ein Gast-Betriebssystem: 1. Starten Sie den SERVER-MANAGER. Klicken Sie dazu auf das entsprechende Symbol in der Schnellstart- Symbolleiste 2. Navigieren Sie zu der Rolle Hyper-V. 3. Öffnen Sie durch Klicken auf das +-Symbol die Rolle Hyper-V, bis Sie den Hyper-V Server sehen. 4. Wählen Sie den Hyper-V Server durch einen Klick aus. 5. Wechseln Sie in den rechten Bereich des Fensters und wählen Sie die Aktion NEU und VIRTUELLER COMPUTER aus. Es öffnet sich ein Assistent für die Erstellung von virtuellen Computern. Abbildung 155: Erstes Fenster des Installationsassistenten 2008, Microsoft Österreich GmbH Seite 191

192 Hyper-V Abbildung 156: Letztes Fenster des Assistenten Nach einem Kick auf die Schaltfläche FERTIG STELLEN wird mit der Installation des Gast-Betriebssystems begonnen. Aus der obigen Abbildung ist ersichtlich, dass in diesem Fall von DVD installiert wird. Nur ein Gast-Betriebssystem kann das physikalische CD/DVD-Laufwerk benützen. Welche VM das DVD-Laufwerk verwendet, ist über die Einstellungen der VMs ersichtlich. Während das Gast-Betriebssystem installiert wird, fällt der geringere Festplattendurchsatz auf. Nach erfolgreicher Installation des Gast-Betriebssystems werden Sie nach dem Starten des Gast-Betriebssystems auch feststellen, dass dieses keine Netzwerkkarte enthält. Nach der Installation des Gast-Betriebssystems müssen unbedingt die Integrationsdienste installiert werden. Die Integrationsdienste können bei allen unterstützten Betriebssystemen für Hyper-V installiert werden. 2008, Microsoft Österreich GmbH Seite 192

193 Hyper-V So installieren Sie die Integrationsdienste bei einem Gast-Betriebssystem: 1. Starten Sie den SERVER-MANAGER. Klicken Sie dazu auf das entsprechende Symbol in der Schnellstart- Symbolleiste 2. Navigieren Sie zu der Rolle Hyper-V. 3. Öffnen Sie durch Klicken auf dem +-Symbol die Rolle Hyper-V bis Sie den Hyper-V Server sehen. 4. Wählen Sie den Hyper-V Server durch einen Klick aus. 5. Wechseln Sie in den mittleren Bereich des Hyper-V Mangers. Im oberen Teil des Fensters werden alle virtuellen Computer des Hyper-V Servers gelistet. 6. Falls der virtuelle Computer noch nicht gestartet ist, starten Sie diesen. Um den virtuellen Computer zu starten, genügt ein Rechtsklick auf diesen und die Auswahl der Menüfunktion STARTEN. 7. Machen Sie erneut einen Rechtsklick auf der laufenden VM und wählen Sie die Menüfunktion VERBINDEN aus. 8. Es öffnet sich ein Fenster, in dem das Userinterface des Gast-Betriebssystems angezeigt wird. Abbildung 157:Userinterface einer VM 9. Melden Sie sich beim Gast-Betriebssystem an. Im obigen Fall müssen Sie die Tastenkombination [Strg]+[Alt]+ [Entf] an die VM schicken. Sie können dies tun, in dem Sie den entsprechenden Menüpunkt aus dem AKTION-Menü auswählen oder auf das erste Symbol in der Symbolleiste unterhalb des Menüs klicken. 10. Nach einer erfolgreichen Anmeldung müssen Sie aus dem Menü den Menüpunkt AKTION INSTALLATIONS- DATENTRÄGER FÜR INTEGRATIONSDIENSTE EINLEGEN auswählen. 11. Führen Sie anschließend die Installation der Integrationsdienste durch. Neben dem Treiber für die Netzwerkkarte werden eine Reihe von weiteren Treibern DVD, Grafikkarte, installiert. 12. Abschließend müssen Sie das Gast-Betriebssystem neu starten. 2008, Microsoft Österreich GmbH Seite 193

194 Hyper-V Die Netzwerkkonfiguration des Gast-Betriebssystems Nach der Installation der Integrationsdienste wird die Netzwerkkarte bei von Hyper-V unterstützten Betriebssystemen durchgereicht. Die virtuelle Netzwerkkarte muss konfiguriert werden. Eventuell wollen oder müssen Sie noch weitere virtuelle Netzwerkkarten hinzufügen. Wie bereits zuvor erwähnt stehen für virtuelle Netzwerkkarten drei unterschiedliche Möglichkeiten zur Verfügung: Externes Netzwerk: Kommunikation mit allen VMs des Hyper-V Servers sowie externe Hosts Internes Netzwerk: Kommunikation mit allen VMs des Hyper-V Servers Privates Netzwerk: Kommunikation mit allen Gast-VMs des Hyper-V Servers. Eine Kommunikation mit der Parent- Partition oder externen Hosts ist nicht möglich. Damit die virtuelle Netzwerkkarte im Gast-Betriebssystem zur Verfügung steht, muss diese zuvor im Management Betriebssystem erstellt und konfiguriert werden. Für jede physische Netzwerkkarte wird dabei eine virtuelle Netzwerkkarte erstellt. So erstellen und konfigurieren Sie eine physische Netzwerkkarte für die Verwendung unter Hyper-V: 1. Starten Sie den SERVER-MANAGER. Klicken Sie dazu auf das entsprechende Symbol in der Schnellstart- Symbolleiste 2. Navigieren Sie zu der Rolle Hyper-V. 3. Öffnen Sie durch Klicken auf das +-Symbol die Rolle Hyper-V bis Sie den Hyper-V Server sehen. 4. Wählen Sie den Hyper-V Server durch einen Klick aus. 5. Wechseln Sie in den linken Bereich des Hyper-V Mangers. Im oberen Teil des Fensters finden Sie den Hyperlink MANAGER FÜR VIRTUELLE NETZWERK. 6. In dem sich öffnenden Fenster können Sie nun physische Netzwerkarten hinzufügen, konfigurieren aber auch entfernen. Abb. 2: Manager für virtuelle Netzwerke 2008, Microsoft Österreich GmbH Seite 194

195 Hyper-V Mit diesem ersten Schritt haben Sie physische Netzwerkkarten für die Verwendung auf dem Hyper-V Server bereitgestellt. In einem zweiten Schritt müssen Sie nun die dazugehörende virtuelle Netzwerkkarte im Gast-Betriebssystem hinzufügen und dort konfigurieren. Hinzufügen einer virtuellen Netzwerkkarte bei einem Gast-Betriebssystem: 1. Starten Sie den SERVER-MANAGER. Klicken Sie dazu auf das entsprechende Symbol in der Schnellstart- Symbolleiste 2. Navigieren Sie zu der Rolle Hyper-V. 3. Öffnen Sie durch Klicken auf das +-Symbol die Rolle Hyper-V bis Sie den Hyper-V Server sehen. 4. Wählen Sie den Hyper-V Server durch einen Klick aus. 5. Wechseln Sie in den mittleren Bereich des Hyper-V Mangers. Im oberen Teil des Fensters werden alle virtuellen Computer des Hyper-V Servers gelistet. 6. Machen Sie auf dem virtuellen Computer, bei dem Sie eine virtuelle Netzwerkkarte hinzufügen möchten, einen Rechtsklick und wählen Sie aus dem Menü die Funktion Einstellungen aus. Beachten Sie, dass der virtuelle Computer ausgeschaltet sein muss! 7. In dem sich öffnenden Fenster EINSTELLUNGEN FÜR befindet sich der Fokus auf dem Menüpunkt HARDWARE HINZUFÜGEN. 8. Wechseln Sie in den linken Teil des Fensters und wählen Sie den Eintrag NETZWERKKARTE aus. 9. Klicken Sie nun auf die Schaltfläche HINZUFÜGEN. 10. Durch den Klick wird im rechten Teil des Fensters eine virtuelle Netzwerkkarte hinzugefügt. Diese virtuelle Netzwerkkarte muss nun im linken Teil des Fensters konfiguriert werden. Abbildung 158: Konfiguration der virtuellen Netzwerkkarte Die virtuelle Netzwerkkarte steht nun im Gast-Betriebssystem zur dortigen Konfiguration zur Verfügung. 2008, Microsoft Österreich GmbH Seite 195

196 Hyper-V 11.4 Mit Snapshots den aktuellen Betriebszustand sichern Eine für den Schulbereich äußerst interessante Funktion ist die Möglichkeit, von einer VM einen Snapshots erstellen zu können. Mit Hilfe des Volume Shadow Copy Service wird der aktuelle Zustand einer VM quasi eingefroren und in einer Datei gesichert. Die Sicherung mit Hilfe eines Snapshots ist unabhängig davon, ob die VM läuft oder ausgeschalten ist. Vorteile durch Snapshoots: Sicherstellung der Betriebsfähigkeit: Sie wollen ein neues Update, eine Anwendung oder einen neuen Treiber installieren. In der Vergangenheit war dies möglicherweise mit Bauchweh verbunden. Diese Zeiten sind vorbei! Bevor Sie das Update installieren, erstellen Sie einen Snapshot. Falls es zu einem Problem während oder nach der Installation des Updates kommt, können Sie wieder zu dem zuvor erstellten Snapshot zurückkehren und somit die Betriebssicherheit der VM gewährleisten. Schulungs- oder Trainingsumgebung: Auch wenn heutige Möglichkeiten des Deployments mit Hilfe von Windows Deployment Service eine schnelle und sichere Möglichkeit der Installation von Schulungsserver bietet, hilft Ihnen die Snapshot-Technologie auch hier. Sie erstellen zu Seminarbeginn einen Snapshot und führen anschließend Ihre Schulung durch. Zu Seminarende spielen Sie dann den Snapshot, den Sie zu Seminarbeginn erstellt haben, wieder ein. Neuaufsetzen der Server wird damit hinfällig! Bevor Sie den ersten Snapshot einer VM erstellen, sollten Sie den Ort der Speicherung der Snapshots für dieses Gast-Betriebssystem definieren. Sie können dies über die Einstellung der VM im Abschnitt Verwaltung festlegen. So legen Sie den Speicherort für eine bestimmte VM fest: 1. Starten Sie den SERVER-MANAGER. Klicken Sie dazu auf das entsprechende Symbol in der Schnellstart- Symbolleiste von Windows Server Navigieren Sie zu der Rolle Hyper-V. 3. Öffnen Sie durch Klicken auf das +-Symbol die Rolle Hyper-V, bis Sie den Hyper-V Server sehen. 4. Wählen Sie den Hyper-V Server durch einen Klick aus. 5. Wechseln Sie in den mittleren Bereich des Hyper-V Mangers. Im oberen Teil des Fensters werden alle virtuellen Computer des Hyper-V Servers gelistet. 6. Machen Sie auf den virtuellen Computer, für den Sie den Speicherort der Snapshot Dateien angeben wollen, einen Klick. 7. Wechseln Sie in den linken Bereich des Fensters und wählen Sie im Abschnitt des virtuellen Computers den Eintrag EINSTELLUNGEN aus. Eine Alternative dazu ist ein Rechtsklick auf den virtuellen Computer und die Auswahl der Menüfunktion EINSTELLUNGEN. 8. Navigieren Sie im linken Teil des sich öffnenden Fensters Einstellungen für - zu den Eintrag Speicherort für Snapshot-Dateien. Klicken Sie auf diesen Eintrag. 9. Im rechten Teil des Fensters können Sie nun den Speicherort für die Snapshot-Dateien angeben. 2008, Microsoft Österreich GmbH Seite 196

197 Hyper-V Abbildung 159: Angabe des Speicherortes für Snapshots einer bestimmten VM Bei einem Snapshot wird für jede VM eine XML-Datei und zwei Ordner mit GUID-Bezeichnern erstellt, in denen der Snapshot abgespeichert wird. Um eine bessere Übersicht über die Snapshots der einzelnen VM zu erhalten, ist es sinnvoll pro VM einen eigenen Unterordner zu erstellen. In diesem Unterordner werden dann alle Snapshots einer VM abgespeichert. Beim ersten Snapshot einer VM wird nicht nur die vhd-datei und damit die VM gesichert. Zusätzlich wird auch der Inhalt des RAMS der VM zu diesem Zeitpunkt in komprimierter Form abgelegt. Der Snapshot wird binnen weiniger Sekunden in äußerst kompakter Form erstellt und gespeichert. Wenn die vhd-datei eine physische Größe von 6 GB hat, so hat der erste Snapshot lediglich eine Größe von 1 GB, also eine Größe von zirka 17% der VM. Bei jedem weiteren Snapshot, der von dieser Session gemacht wird, werden lediglich die Bits, die sich vom ersten Snapshot unterscheiden, abgespeichert. 2008, Microsoft Österreich GmbH Seite 197

198 Hyper-V Rücksetzen eines Gast-Betriebssystems mit Hilfe eines Snapshots Um einen Snapshot einzuspielen, also einen bestimmten Zustand des Gast-Betriebssystems wiederherzustellen, wählt man einfach den betreffenden Snapshot aus und anschließend klickt im linken Teil des Hyper-V-Managers auf ANWENDEN. Abbildung 160: Anwenden eines Snapshots Wählt man ANWENDEN, so wird der aktuelle Zustand des Snapshots an die heruntergefahrene VM übertragen. Das Einspielen des Snapshots wird im Hyper-V-Manager angezeigt. Abbildung 161: Rücksetzen eines VM mit Hilfe eines Snapshots (Fensterausschnitt) So verlockend Snapshots auch sind, sie sind kein Ersatz für eine Datensicherung des physischen Servers. Eine Sicherung des physischen Servers, und damit auch aller VMs, können und sollten Sie mit Hilfe der Windows Server Sicherung durchführen. 2008, Microsoft Österreich GmbH Seite 198

199 Windows Server Update Services 12 Windows Server Update Services Windows Server Update Services (WSUS) ermöglicht IT-Administratoren das Verteilen der aktuellsten Produkt Updates von Microsoft im Netzwerk Einführung in Windows Server Update Services WSUS wurde erstmals im Jahr 2002 unter dem Namen Server Update Service (SUS) 1.0 veröffentlicht. Das damals noch sehr simple eigenständige Produkt, welches sich ausschließlich um die Verteilung wichtiger, und kritischer Betriebssystemupdates kümmerte, entwickelte sich über die Zeit zu einer Vollständigen Updateverwaltung für alle Microsoft Produkte, die Sie in Ihrem Netzwerk einsetzen. Unter Windows Server 2008 wurde WSUS zu einem Bestandteil des Serverbetriebssystems, und kann als Serverrolle einfach hinzugefügt werden Vorteile durch den Einsatz von WSUS Zentraler Verteilerpunkt: Alle Clients beziehen ihre Updates gezielt von einem Server in Ihrem Netzwerk. Dadurch wird Bandbreite eingespart, da nicht jeder Client einzeln die Updates von Microsoft bezieht. Zentrale Steuerung: Mit WSUS haben Sie die volle Kontrolle über das Updateverhalten der Clients, Sie können genau definieren, welche Updates, zu welchem Zeitpunkt auf einer bestimmten Gruppe von Rechnern installiert wird. Zentrale Überwachung: WSUS generiert Berichte, die es Ihnen ermöglichen, auf einen Blick zu erkennen, ob Updates in Ihrem Netzwerk benötigt werden, oder ob es Probleme bei der Installation von Updates gibt. Rasche Reaktion: Durch das Konfigurieren automatischer Genehmigungen, werden Updates automatisch nach deren Veröffentlichung eingespielt. Dadurch sind Ihre Rechner z.b. rasch vor neuen Sicherheitsbedrohungen geschützt. Vereinfachtes Patchmanagement: WSUS ermöglicht das Anlegen von Computergruppen, welche es Ihnen ermöglichen, Updates zum Test zuerst auf eine kleinere Gruppe von Rechnern zu Installieren, und erst später diese im gesamten Netzwerk anzuwenden. 2008, Microsoft Österreich GmbH Seite 199

200 Windows Server Update Services 12.2 Installation der WSUS Rolle Bevor Sie die Windows Server Update Services installieren können, stellen Sie sicher, dass Sie alle Updates auf dem Server eingespielt haben. Windows Server 2008 wurde ohne die Rolle Windows Server Update Services ausgeliefert. Diese wird erst durch ein späteres Update hinzugefügt. Weiters ist es notwendig, dass Sie den Report Viewer 2005 von der Microsoft Seite ( herunterladen und installieren. Es ist ebenfalls notwendig, dass der Server während der Installation über eine aktive Internetverbindung verfügt, da das Installationspaket vom Server-Manager nachgeladen wird. Die Installation der Rolle Windows Server Update Services mit Hilfe des Server-Managers 10. Öffnen Sie den SERVER-MANAGER indem Sie das Startmenü öffnen, und auf Server Manager klicken. Wählen Sie in der linken Navigationsstruktur des Fensters den Knoten Rollen. 11. Rechtsklicken Sie auf den Knoten Rollen und wählen Sie ROLLE HINZUFÜGEN aus. 12. Es erscheint der Assistent Rollen hinzufügen und zeigt Ihnen eine Willkommensseite. Falls Sie diese Informationen schon bekannt sind, können Sie auf SEITE STANDARDMÄßIG ÜBERSPRINGEN klicken. Wählen Sie WEITER, um zur nächsten Seite zu gelangen. 13. Aktivieren Sie in der Liste Serverrollen auswählen die Option WINDOWS SERVER UPDATE SERVICES. 14. Es öffnet sich ein Dialogfeld, welches Sie darüber Informiert, dass weitere Rollendienste und Features zur Installation von WSUS notwendig sind. Klicken Sie auf ERFORDERLICHE ROLLENDIENSTE HINZUFÜGEN. Abbildung 162: Auswahl der Option Windows Server Update Services 15. Klicken Sie anschließend auf die Schaltfläche WEITER. 2008, Microsoft Österreich GmbH Seite 200

201 Windows Server Update Services 16. Falls Sie noch keinen IIS Webserver installiert haben, erscheint nun die Assistentenseite zur Installation von IIS. Um die Einführungsseite zu überspringen, klicken Sie auf WEITER. 17. Belassen Sie auf der Seite Rollendienste auswählen die Standardeinstellungen, diese wurden bereits vom Assistenten für Sie vorgewählt, und erfüllen alle Funktionen, die die Windows Server Update Services benötigen. Wählen Sie WEITER. Abbildung 163: Auswahl der Option Rollendienste für IIS 18. Nun, da die nötigen Einstellungen für IIS getroffen wurden, kommen Sie zur Einführungsseite für WSUS. Klicken Sie auf WEITER. 2008, Microsoft Österreich GmbH Seite 201

202 Windows Server Update Services 19. Sie erhalten eine Zusammenfassung der von Ihnen getroffenen Einstellungen. Kontrollieren Sie diese noch einmal, und klicken Sie danach auf INSTALLIEREN. Abbildung 164: Übersicht der gewählten Installationsparameter 20. Der Assistent beginnt nun, die aktuellste Version von WSUS herunterzuladen. Dies kann je nach Verbindungsgeschwindigkeit mehrere Minuten dauern. Abbildung 165: Downloadvorgang des Installationspaketes 2008, Microsoft Österreich GmbH Seite 202

203 Windows Server Update Services 21. Sobald der Download beendet ist, öffnet sich der Setup-Assistent für Windows Server Update Services. Klicken Sie auf WEITER, um die Willkommensseite zu überspringen. 22. Akzeptieren Sie die Lizenzbestimmungen, und fahren Sie mit WEITER fort. 23. Auf der Seite Updatequelle auswählen geben Sie den Speicherort an, indem die Updates auf dem Server zwischengespeichert werden. Geben Sie in das Eingabefeld den gewünschten Speicherort ein oder klicken Sie auf DURCHSUCHEN und wählen Sie den Speicherort aus. Bestätigen Sie mit WEITER. Abbildung 166: Auswählen des Speicherortes für Updates 24. Konfigurieren Sie den Datenbankserver der für WSUS verwendet werden soll. Standardmäßig wird die Windows Internal Database installiert. Sie können allerdings auch einen Bereits vorhandenen Datenbankserver nutzen. Hier wird davon ausgegangen, dass Sie den Standard, die Windows Internal Database nutzen. Geben Sie also den Speicherort der Datenbankdateien an, und klicken Sie danach auf WEITER. Abbildung 167: Festlegen der Datenbankoptionen 2008, Microsoft Österreich GmbH Seite 203

204 Windows Server Update Services 25. Auf der Seite Websiteauswahl können Sie festlegen, ob Sie die Standardwebsite für WSUS verwenden wollen, oder ob Sie eine neue Website erstellen möchten. Wenn WSUS die einzige Website ist, die auf dem Server gehostet wird, verwenden Sie die Option DIE VORHANDENE IIS-STANDARDWEBSITE VERWENDEN (EMPFOHLEN) und klicken Sie auf WEITER. Abbildung 168: Auswahl der Websitekonfiguration 26. Sie erhalten eine Übersicht ihrer gewählten Optionen, und können nun mit einem Klick auf FERTIG STELLEN die Installation starten. 27. Nach erfolgreicher Installation erhalten Sie eine Meldung, die Sie mit einem Klick auf FERTIG STELLEN bestätigen. 28. Danach befinden Sie Sich wieder im Servermanager, welcher die Ergebnisse der Installation sammelt, und Ihnen einen Bericht anzeigt. Den Assistent Rollen hinzufügen können Sie mit einem Klick auf SCHLIEßEN nun beenden. 2008, Microsoft Österreich GmbH Seite 204

205 Windows Server Update Services 12.3 Konfiguration der Windows Server Update Services Erstkonfiguration nach der Installation Für die Erstkonfiguration, muss sichergestellt sein, dass der Server eine funktionierende Verbindung ins Internet hat. Falls Sie für den Internetzugang einen Proxy Server nutzen, halten Sie diese Daten für die Konfiguration bereit. Direkt nach der Installation öffnet sich der Assistent für die Konfiguration von Windows Server Update Services. Sollten Sie diesen geschlossen haben, öffnen Sie die Update Services Konsole. Klicken Sie dazu auf START > VERWALTUNG > MICROSOFT WINDOWS SERVER UPDATE SERVICES. Öffnen Sie danach auf der linken Seite des Fensters den Knoten mit Ihrem Servernamen, und wählen Sie OPTIONEN. Klicken Sie nun auf den letzten Punkt ASSISTENT FÜR DIE WSUS-SERVERKONFIGURATION. 1. Nach dem Start des Assistenten klicken Sie auf WEITER, um die Seite Vorbemerkung zu überspringen. 2. Treffen Sie eine Entscheidung zum Programm zur Verbesserung von Microsoft Update, und klicken Sie auf WEITER. 3. Auf der Seite Upstreamserver angeben, können Sie wählen, ob Sie Updates direkt von Microsoft oder von einem anderen WSUS Server beziehen. Ist dies Ihr erster WSUS Server in Ihrem Netzwerk, wählen Sie die Option VON MICROSOFT UPDATE SYNCHRONISIEREN. Abbildung 169: Auswahl des Upsteamservers 2008, Microsoft Österreich GmbH Seite 205

206 Windows Server Update Services 4. Wenn Sie einen Proxyserver in Ihrem Netzwerk einsetzen, geben Sie auf dieser Seite die Informationen des Proxyservers ein. Andernfalls, lassen Sie die Kontrollkästchen und Eingabefelder leer, und klicken Sie auf WEITER. Abbildung 170: Eingeben der Proxydaten 5. Auf der folgenden Seite werden nun Informationen für die weitere Konfiguration aus dem Internet nachgeladen. Klicken Sie hierzu auf VERBINDUNG STARTEN. Das Abrufen der Informationen kann je nach Verbindungsgeschwindigkeit mehrere Minuten dauern. Klicken Sie nach dem Download auf WEITER. 6. Nachdem nun ebenfalls die verfügbaren Sprachen heruntergeladen wurden, können Sie nun wählen in welchen Sprachen Sie die Updates herunterladen möchten. Hier empfiehlt es sich, nur die Sprachen auszuwählen, die Sie auch auf Ihren Rechnern verwenden, da ansonsten die Downloadmenge enorm ansteigt. Klicken Sie auf UPDATES NUR IN FOLGENDEN SPRACHEN HERUNTERLADEN, und aktivieren Sie das Kontrollkästchen vor den entsprechenden Sprachen. Zur Bestätigung wählen Sie WEITER. Abbildung 171: Updatesprachen auswählen 2008, Microsoft Österreich GmbH Seite 206

207 Windows Server Update Services 7. Auf der Seite Produkte auswählen definieren Sie nun die Microsoft Produkte, die auf Ihren Rechnern installiert sind. Standardmäßig sind alle Versionen von Microsoft Office, sowie Windows ausgewählt. Passen Sie die Produktauswahl an, und klicken Sie auf WEITER. Abbildung 172: Produkte auswählen 8. Sie können nun die Updateklassifizierungen auswählen, Klassifizierungen sind Einstufungen der Updates nach ihrer Funktion, zum Beispiel Sicherheitsupdates, Treiber, oder Service Packs. Wählen Sie die gewünschten Updateklassen aus, und bestätigen Sie mit WEITER. Abbildung 173: Produkte auswählen 2008, Microsoft Österreich GmbH Seite 207

208 Windows Server Update Services 9. Geben Sie auf der neuen Seite an, wann, und wie oft, WSUS auf Updates prüfen, und diese gegebenenfalls herunterladen soll. Wenn Sie hier zum Beispiel 03:00 und 2 Synchronisationen am Tag konfigurieren, so wird um 03:00 und um 15:00 jeweils +/- 30min auf Updates geprüft. Wählen Sie AUTOMATISCH SYNCHRONISIEREN, und geben Sie die gewünschte Zeit ein. Klicken Sie zum fortfahren auf WEITER. Abbildung 174: Synchronisierungszeitplan festlegen 10. Als letzte Option können Sie nun entscheiden, ob die Erstsynchronisation gestartet werden soll. Dies sollten Sie im Normalfall aktivieren. Klicken Sie danach auf WEITER. 11. Auf der letzen Seite werden Ihnen noch fortführende Themen angezeigt. Sie können den Assistenten nun mit einem Klick auf FERTIG STELLEN beenden. 2008, Microsoft Österreich GmbH Seite 208

209 Windows Server Update Services Verwalten von Computern Damit WSUS Updates an Ihre Rechner verteilen kann, müssen diese erst auf den WSUS-Server eingestellt werden. Diese Einstellung wird mittels Gruppenrichtlinien auf die Computer angewandt. Sinnvoll ist es auch, vor dem ersten Hinzufügen von Rechnern, Computergruppen zu erstellen. Computergruppen dienen zur getrennten Verwaltung und Verteilung von Updates für bestimmte Rechner- bzw. Betriebssystemarten. Es ist zum Beispiel empfehlenswert, unterschiedliche Gruppen für Server und Clients zu erstellen, und eventuell auch eine Gruppe, in der Sie die Auswirkungen neuer Updates erst in einem Subset Ihres Netzwerkes testen können. Computer können Computergruppen entweder Manuell hinzugefügt werden, oder automatisch via Gruppenrichtlinien. Später ist es auch erforderlich, dass Sie Computer, die Sie nicht mehr in Betreiben, oder auf denen Sie das Betriebssystem neu installiert haben, aus der Datenbank von WSUS zu löschen. So erstellen Sie eine Computergruppe: 1. Öffnen Sie die Verwaltungskonsole für Windows Server Update Services. Klicken Sie dazu auf START > VERWALTUNG > MICROSOFT WINDOWS SERVER UPDATE SERVICES. 2. Öffnen Sie in der linken Navigationsstruktur Ihren Server, und erweitern Sie den Knoten COMPUTER. 3. Machen Sie einen Rechtsklick auf ALLE COMPUTER, und wählen Sie COMPUTERGRUPPE HINZUFÜGEN aus. 4. Geben Sie den von Ihnen gewünschten Namen in das Dialogfeld ein, und bestätigen Sie mit HINZUFÜGEN. 5. Die neue Computergruppe erscheint nun unter dem Knoten ALLE COMPUTER. So stellen Sie Computergruppen von manueller Zuweisung auf eine gruppenrichtliniengesteuerte Zuweisung um: 1. Öffnen Sie die Verwaltungskonsole für Windows Server Update Services. Klicken Sie dazu auf START > VERWALTUNG > MICROSOFT WINDOWS SERVER UPDATE SERVICES. 2. Öffnen Sie in der linken Navigationsstruktur Ihren Server, und wählen Sie den Knoten OPTIONEN. 3. Klicken Sie in der Liste verfügbarer Optionen auf Computer. 4. Wählen Sie die Option GRUPPENRICHTLINIE ODER REGISTRIERUNGSEINSTELLUNGEN AUF COMPUTERN VERWENDEN, und bestätigen Sie mit OK. 2008, Microsoft Österreich GmbH Seite 209

210 Windows Server Update Services So erstellen Sie eine Gruppenrichtline, um einen Computer zu WSUS hinzuzufügen: 1. Öffnen Sie am Client den Gruppenrichtlinien Editor. Öffnen Sie dazu den Ausführen Dialog START > AUSFÜHREN oder auf der Tastatur WINDOWSTASTE + R, und geben Sie GPEDIT.MSC ein. 2. Öffnen Sie in der linken Navigationsstruktur die Knoten COMPUTERKONFIGURATION > ADMINISTRATIVE VORLAGEN > WINDOWS KOMPONENTEN > WINDOWS UPDATE. Abbildung 175: Gruppenrichtlinieneditor 3. Doppelklicken Sie auf die Einstellung AUTOMATISCHE UPDATES KONFIGURIEREN. 4. Aktivieren Sie die Option Aktiviert, und wählen Sie unter Automatische Updates Konfigurieren 4 AUTOM. HERUNTERLADEN UND LAUT ZEITPLAN INSTALLIEREN AUS. 5. Wählen Sie einen GEPLANTEN INSTALLATIONSTAG, und eine GEPLANTE INSTALLATIONSZEIT. 6. Bestätigen Sie mit OK. 7. Öffnen Sie die Option INTERNEN PFAD FÜR DEN MICROSOFT UPDATEDIENST ANGEBEN, klicken Sie auf die Option AKTIVIERT, und tragen Sie in die Eingabefelder für den INTERNEN UPDATEDIENST und den INTRANETSERVER FÜR DIE STATISTIK die Adresse ein (Ersetzen Sie [IhrWSUS] durch den Namen Ihres WSUS-Servers, z.b Bestätigen Sie mit OK. 9. Um alle Updates über Ihren WSUS zu beziehen, öffnen Sie die Option EmpFOHLENE UPDATES ÜBER AUTOMATISCHE UPDATES AKTIVIEREN, klicken Sie auf die Option AKTIVIERT, und bestätigen Sie dies mit OK. 10. Falls Sie die Computergruppen für gruppenrichtliniengesteuerte Zuordnung eingerichtet haben, öffnen Sie die Option CLIENTSEITIGE ZIELZUORDNUNG AKTIVIEREN. Aktivieren Sie diese Einstellung, und tragen Sie im Eingabefeld Zielgruppenname für diesen Computer den genauen Namen der vorher erstellten Computergruppe ein. 11. Klicken Sie auf OK, und schließen Sie den Gruppenrichtlinien-Editor. Ab diesem Zeitpunkt ist der Client für Ihre Windows Server Update Services eingerichtet. Er wird erst bei der nächsten Updateüberprüfung in der WSUS Verwaltungskonsole erscheinen. Nähre Informationen, wie Sie Gruppenrichtlinien für Ihr gesamtes Netzwerk erstellen finden Sie im Kapitel 6 Sicherheitsrichtlinien (S.63). 2008, Microsoft Österreich GmbH Seite 210

211 Windows Server Update Services So löschen Sie einen Computer aus der WSUS Datenbank: 1. Öffnen Sie die Verwaltungskonsole für Windows Server Update Services. Klicken Sie dazu auf START > VERWALTUNG > MICROSOFT WINDOWS SERVER UPDATE SERVICES. 2. Öffnen Sie in der linken Navigationsstruktur Ihren Server, und erweitern Sie den Knoten COMPUTER. 3. Klicken Sie auf den Knoten Alle Computer. 4. Wählen Sie oben im Feld STATUS, ALLE, und klicken Sie auf AKTUALISIEREN. 5. Suchen Sie den Computer, den Sie aus der Datenbank löschen möchten, RECHTSKLICKEN Sie darauf, und wählen Sie LÖSCHEN. 6. Es erscheint eine Abfrage, ob Sie diesen Computer wirklich löschen möchten. Bestätigen Sie diese mit OK Verwalten von Updates Damit WSUS Updates an Ihre Rechner verteilt, müssen diese erst für die Installation genehmigt werden. Für Updates stehen Ihnen mehrere Genehmigungsstufen zur Verfügung: Für die Installation genehmigt: Wenn Sie ein Update für die Installation genehmigen, lädt WSUS dieses Update von der Microsoft Update Seite herunter, und wird es bei der nächsten Anfrage eines Clients diesem anbieten. Zum Entfernen genehmigt: Diese Option bewirkt, dass bei der nächsten Anfrage eines Clients, WSUS diesen anweist das Update zu deinstallieren. Diese Option ist nur Verfügbar, wenn das Update das Entfernen auch unterstützt. Nicht genehmigt: Dies ist die Standardgenehmigung. Alle Updates die neu erscheinen, befinden sich in dieser Stufe. Updates die nicht genehmigt sind, werden den Clients nur zur Ermittlung angeboten, und der Client teilt dem WSUS Server mit, ob er dieses Update benötigt. Dadurch, können Sie auf einen Blick feststellen, ob ein Rechner ein Update das noch nicht genehmigt ist benötigt. Ablehnen: Wenn Sie die Option Ablehnen wählen, wird WSUS das Update nicht herunterladen. Es wird ebenfalls nicht ermittelt, ob dieses Update für Computer benötigt wird. Updates können von Ihnen manuell genehmigt werden, sowie von WSUS durch vordefinierte Regeln automatisch. So genehmigen Sie Updates manuell: 1. Öffnen Sie die Verwaltungskonsole für Windows Server Update Services. Klicken Sie dazu auf Start > Verwaltung > Microsoft Windows Server Update Services. 2. Öffnen Sie in der linken Navigationsstruktur Ihren Server, erweitern Sie den Knoten UPDATES, und klicken Sie auf ALLE UPDATES. 2008, Microsoft Österreich GmbH Seite 211

212 Windows Server Update Services 3. Stellen Sie im Filter oben unter Genehmigung NICHT GENEHMIGT ein, und unter Status ALLE. Aktualisieren Sie die Liste mit einem Klick auf AKTUALISIEREN. Abbildung 176: Einstellen des Updatefilters 4. Wählen Sie die Updates für die Sie dieselbe Genehmigung vergeben wollen aus. Eine Mehrfachauswahl ist durch drücken der Steuerung- bzw. Umschalttaste möglich. 5. Wählen Sie das Menü Aktionen, und klicken Sie auf GENEHMIGEN. Falls Sie die Updates ablehnen möchten, klicken Sie in diesem Menü auf ABLEHNEN. 6. Sobald Sie auf Genehmigen geklickt haben, erscheint der Dialog Updates genehmigen. In diesem Dialog können Sie nun für alle Ihre Computergruppen, oder für einzelne Computergruppen die Genehmigungsstufe angeben. Klicken Sie hierzu auf das Symbol und wählen Sie eine der ersten 3 Optionen. Sobald Sie die Option für die Installation genehmigen, oder zur Entfernung genehmigen gewählt haben, können Sie durch einen erneuten Klick auf das Symbol, unter dem Menüpunkt Stichtag einen Zeitpunkt auswählen, wann die Updates installiert, oder entfernt werden. Abbildung 177: Genehmigen von Updates 7. Klicken Sie zum Abschließen auf OK, und danach auf SCHLIEßEN. 2008, Microsoft Österreich GmbH Seite 212

213 Windows Server Update Services So erstellen Sie eine Regel zur automatischen Genehmigung: 1. Öffnen Sie die Verwaltungskonsole für Windows Server Update Services. Klicken Sie dazu auf START > VERWALTUNG > MICROSOFT WINDOWS SERVER UPDATE SERVICES. 2. Öffnen Sie in der linken Navigationsstruktur Ihren Server und klicken Sie auf OPTIONEN. 3. Klicken Sie in der Liste verfügbarer Optionen auf AUTOMATISCHE GENEHMIGUNGEN. 4. Wählen Sie NEUE REGEL. 5. Wählen Sie im Abschnitt Schritt 1 ob Sie Updates nach Ihrer Klassifizierung, und nach den Produkten automatisch genehmigen wollen. 6. Klicken Sie im Abschnitt Schritt 2 auf die blauen Platzhalter im Text, um die jeweiligen Optionen anzugeben. 7. Geben Sie im Abschnitt Schritt 3 einen Namen für die Regel ein, und klicken Sie auf OK. Abbildung 178: Erstellen einer automatischen Genehmigung 2008, Microsoft Österreich GmbH Seite 213

214 ISA-Server ISA-Server 2006 Die aktuelle Firewall-Software ist der ISA-Server 2006 (Internet Security and Acceleration Server), der auf einem Windows Server 2003 installiert wird Gründe für den Einsatz von ISA-Server 2006 Einige der Gründe, warum diese Firewall den momentanen Ansprüchen in der EDV gerecht wird, sollen laut Davies (2004, Virtuelle Private Netzwerke mit Windows Server Unterschleißheim: Microsoft Press) auch hier genannt werden: Multi-Networking ISA-Server arbeitet als Proxy und kann beliebig viele physikalische Netzwerke miteinander über bestimmte Regeln verbinden oder voneinander trennen. Statusabhängige Paketfilterung Sehr viele der heutigen Angriffe aus dem Internet laufen nicht mehr über exotische Ports, sondern verwenden Standardports, z.b. Port 80. Wenn eine Firewall daher den Paketinhalt nicht genauer nach bösartigem Code untersuchen kann, ist sie somit auch nicht in der Lage, Angriffe abzuwehren. Zugleich werden nur jene Ports dynamisch geöffnet, um Pakete durchzulassen, die als Antwort auf eine abgesendete Anfrage zurückkommen. Filterung auf Sitzungsebene Der ISA Server verfügt über Proxy-Funktionalität. Dies bedeutet, dass für jede Verbindung in das Internet zwei Sitzungen aufgebaut werden: Eine Sitzung zwischen dem ISA-Server und dem Client im internen Netz und eine zweite Sitzung zwischen dem ISA-Server und dem Computer im externen Netzwerk. Anwendungsfilterung Bestimmte Protokolle (z.b. FTP) verwenden dynamisch zugewiesene Ports beim Verbindungsaufbau. In der Funktion als Proxy-Server kann ISA-Server diese Ports dynamisch öffnen und auch die Pakete entsprechend untersuchen, um eventuelle Angriffe zu blockieren. Content-Filterung Über das HTTP-Protokoll kann ein Anwender auch Dateien in das interne Netz einschleusen, die gefährlich sein könnten. Der ISA-Server kann daher sowohl unerwünschte Inhalte (z.b. Videos) oder Dateien (z.b. EXE-Dateien) als auch definierte Webseiten blockieren, sodass diese nicht zum Client gelangen können. Erkennen von Eindringlingsversuchen Ein integriertes IDS (Intrusion Detection System) kann aktiviert werden, um die Administratoren/innen auf schnellstem Weg (z.b. per Mail) über diese Angriffe zu informieren. Sichere Serververöffentlichung Wenn ein Webserver, der im internen Netz hinter dem ISA-Server steht, der Öffentlichkeit zugängig gemacht werden soll, nimmt der ISA-Server sämtliche Anfragen entgegen und leitet sie zum internen Webserver weiter. Gegenüber der Anfrage aus dem externen Netz agiert er wie der Webserver selbst, indem er mit seiner Web-Publishing- Funktion nach außen hin den Webserver darstellt. Durch dieses Reverse-Proxying können sämtliche Anfragen am ISA-Server inspiziert werden. Wenn allerdings an den Webserver mittels HTTPS eine verschlüsselte Anfrage gestellt wird, kann eine Firewall üblicherweise in diese Pakete nicht hineinsehen. Der ISA-Server hingegen kann diese Pakete entschlüsseln, untersuchen und anschließend wieder verschlüsselt weitersenden. 2008, Microsoft Österreich GmbH Seite 214

215 ISA-Server 2006 Benutzerauthentifizierung Da der ISA-Server mit dem Windows Server zusammen arbeitet, kann für jeden Benutzer definiert werden, welche Zugriffe (sowohl nach außen als auch von außen) für ihn erlaubt sind. Dies ist vor allem auch dann sinnvoll, wenn zum Beispiel aus dem Internet auf einen internen Mailserver zugegriffen werden soll, der nur von Mitarbeitern der Organisation erreicht werden darf. Virtual Private Networking (VPN) ISA-Server kann mit allen gängigen VPN-Paketen arbeiten, die auf den RAS-Dienst vom Windows Server aufsetzen (PPTP, L2TP/IPsec). Dabei werden sowohl Remote-Clients als auch Zugriffe von anderen Netzwerken unterstützt. Die VPN-Pakete werden vom ISA-Server entschlüsselt und inspiziert. Zugleich können den VPN-Benutzern mit speziellen Zugriffsregeln genau jene Rechte zugewiesen werden, die sie für diese Verbindung benötigen. Überwachung Sämtliche Aktivitäten des ISA-Servers können in Echtzeit betrachtet und mitprotokolliert werden. Die wichtigsten Ereignisse werden auf einer speziellen Übersichtsseite zusammengefasst, sodass die Administratoren/innen sofort darauf reagieren können Konfiguration der Netzwerkkarten Jede Netzwerkkarte, die im ISA-Server eingebaut ist, sollte eine aussagekräftige Bezeichnung bekommen, damit Fehleinstellungen bei ihrer Konfiguration weitestgehend vermieden werden können. Abbildung 179: Netzwerkverbindungen Die nächste Einstellung, die überprüft werden sollte, ist die Bindungsreihenfolge der Netzwerkkarten. Die Karte mit der höchsten Priorität wird immer als erste angesprochen und sollte unbedingt der interne Netzwerkadapter sein: 2008, Microsoft Österreich GmbH Seite 215

216 ISA-Server 2006 Abbildung 180: Bindungsreihenfolge der Netzwerkadapter Alle nicht benötigten Dienste sollten von den externen Netzwerkkarten deaktiviert werden. Dies erhöht die Sicherheit des internen Netzwerks, da dadurch einige Angriffsmöglichkeiten von vornherein ausgeschlossen werden können. Folgende Dienste sollten daher auf den externen Adaptern nicht aktiviert sein: Client für Microsoft-Netzwerke Datei- und Druckfreigabe für Microsoft-Netzwerke Dynamische DNS-Registrierung LMHosts-Abfragen NetBIOS über TCP/IP Die entsprechenden Bildschirmausdrucke zeigen diese Einstellungen: 2008, Microsoft Österreich GmbH Seite 216

217 ISA-Server 2006 Abbildung 181: Einstellungen der externen Netzwerkkarte 13.3 Installation von ISA-Server 2006 Nachdem die Vorbereitungsarbeiten abgeschlossen sind, kann die Software installiert werden. Wenn es möglich ist, sollte der ISA-Server auf einem eigenen Computer installiert werden, auf dem das Betriebssystem Windows Server 2003 installiert ist. Dies bedeutet, dass auf diesem Computer aus Sicherheitsgründen keine anderen Dienste (Domänencontroller, Web-Server, Exchange Server, ) installiert sein sollten. Für die Installation sind folgende Informationen notwendig und sollten bereitgehalten werden: Benutzerdaten (Name und Organisation) Seriennummer des Produkts IP-Adressbereich des internen Netzwerks Nach Eingabe der Kundeninformationen sollte der Setup-Typ BENUTZERDEFINIERT ausgewählt werden, damit der Installationspfad bzw. die zu installierenden Komponenten ausgewählt werden können. Im nächsten Schritt wird dem ISA-Server mitgeteilt, welche IP-Adressen sich im internen Netzwerk befinden. Dies ist für das korrekte Funktionieren der Firewall äußerst wichtig, da der ISA-Server damit weiß, welche Datenpakete von außen bzw. von innen kommen. Dazu klickt man im ersten Fenster auf den Button HINZUFÜGEN und anschließend auf den Button NETZWERKADAPTER AUSWÄHLEN. Die folgende Abbildung zeigt, wie die interne Netzwerkkarte und die damit verbundenen IP-Adressen ausgewählt werden. 2008, Microsoft Österreich GmbH Seite 217

218 ISA-Server 2006 Abbildung 182: Auswahl des internen Netzwerkadapters für den IP-Adressbereich Zur korrekten Kommunikation zwischen dem ISA-Server und den Client-Computern im internen Netzwerk ist die Verwendung einer Firewall-Client-Software notwendig. Mit Hilfe dieser Software wird der gesamte Datenverkehr zwischen diesen Computern verschlüsselt übertragen. Sollten sich noch Client-Computer im Netzwerk befinden, auf denen die Firewall-Client-Software von früheren ISA- Servern installiert ist, muss dies im nächsten Schritt angegeben werden, indem das Kontrollkästchen angeklickt wird. Da diese Software die Daten zwischen Client und ISA-Server noch nicht verschlüsseln konnte, wird durch dieses Häkchen bestimmt, ob der ISA-Server 2006 die Kommunikation mit diesen älteren Geräten zulassen soll oder nicht. Der eigentliche Installationsprozess wird nun mit den angegebenen Informationen gestartet Installation von ServicePacks Nach der Installation von ISA-Server 2006 sollte nicht verabsäumt werden, sämtliche in der Zwischenzeit erschienene Servicepacks einzuspielen. Zum Zeitpunkt des Erstellens dieser Unterlage ist gerade ServicePack 1 aktuell und unter folgendem Link zum Download verfügbar: Konfiguration des ISA-Server Interne Routen hinzufügen Sollten im internen Netz mehrere Netzwerksegmente vorhanden sein, müssen diese dem ISA-Server bekannt gegeben werden. Dazu muss die Routing-Tabelle des ISA-Servers entsprechend definiert werden, damit die Datenpakete im internen Netz korrekt zugestellt werden können. 2008, Microsoft Österreich GmbH Seite 218

219 ISA-Server / / / Abbildung 183: ISA-Server mit mehreren Netzwerksegmenten im internen Netz Die einfachste Möglichkeit, diese Information dem ISA-Server bekannt zu geben, geschieht mit dem Befehl ROUTE.EXE, der folgende Parameter besitzt: ROUTE ADD NETZWERK MASK SUBNETMASK GATEWAY P Das obige Beispiel wird daher mit folgenden Befehlen realisiert: ROUTE ADD MASK P ROUTE ADD MASK P Zusätzlich müssen diese IP-Adressen auch noch im internen Netzwerk des ISA-Servers deklariert werden, wie folgende Abbildung zeigt: Abbildung 184: IP-Adressen im internen Netzwerk des ISA-Servers Überprüfen der Installation mit einem Portscan Nachdem die Installation nun abgeschlossen ist, kann die korrekte Funktionsweise des ISA-Servers mit einem Portscanner überprüft werden. In der folgenden Abbildung wurde das Programm SuperScan 4.0 verwendet, mit dem sowohl die externe als auch die interne Netwerkkarte überprüft wurde. Dabei wird deutlich, dass sofort nach der Installation kein einziger Datenverkehr zugelassen wird, und der Computer, auf dem der ISA-Server läuft, nicht einmal erkannt wird (siehe Abbildung 185). Erst nach Konfiguration einiger Zulassungsregeln (siehe Kapitel ) erkennt man, dass auf der internen Netzwerkkarte mehr oder weniger Ports (je nach angewendeten Regeln) geöffnet sind. 2008, Microsoft Österreich GmbH Seite 219

220 ISA-Server 2006 Abbildung 185: Ergebnisse des Portscanns auf der externen und internen Netzwerkkarte Abbildung 186: Ergebnis des Portscanns auf der internen Netzwerkkarte nach Installation einer Zulassungsregel 2008, Microsoft Österreich GmbH Seite 220

221 ISA-Server Zugriffsregeln erstellen Nach der Installation des ISA-Servers ist der gesamte Netzwerkverkehr standardmäßig deaktiviert. Erst mit Hilfe von Zugriffsregeln kann definiert werden, ob und wie ein Client mit anderen Computern im Netzwerk kommunizieren darf. Dabei überprüft der ISA-Server zuerst, ob die beiden Netze, in denen sich der Quell- und Zielcomputer befinden, miteinander verknüpft sind. Ist dies der Fall, prüft der ISA-Server die Zugriffsregeln, die vom Administrator erstellt wurden. Wird eine entsprechende Zulassungsregel gefunden, wird das Datenpaket an die entsprechenden (Anwendungs- )Filter weitergeleitet, von denen es analysiert wird Internen Netzwerkverkehr gestatten Die erste Regel gestattet den gesamten Datenverkehr im internen Netzwerk. Diese Regel wird für alle Benutzer des Netzwerks erstellt. Die folgenden Abbildungen zeigen die Konfigurationsschritte, wie eine Zulassungsregel erstellt wird: Im Objekt FIREWALLRICHTLINIE wird der rechte Bereich geöffnet, und auf NEUE ZUGRIFFSREGEL ERSTELLEN geklickt. Anschließend kann der Name der neuen Regel eingegeben werden: Abbildung 187. Neue Zugriffsregel erstellen Die nächsten beiden Schritte definieren, dass der gesamte interne Datenverkehr zugelassen werden soll: 2008, Microsoft Österreich GmbH Seite 221

222 ISA-Server 2006 Abbildung 188: Zulassungsregel für alle Protokolle erstellen Anschließend wird der Quellbereich (das gesamte interne Netz) definiert, von dem aus die Kommunikation initiiert werden darf. Abbildung 189: Definition des Quellbereichs Der genau gleiche Vorgang wird im nächsten Schritt durchgeführt, um die Zielcomputer (ebenfalls das gesamte interne Netz) für die Kommunikation angeben zu können. Sollte der ISA-Server auf dem Computer installiert sein, der zugleich auch Domänencontroller ist, muss zusätzlich auch der LOKALE HOST in den Zielbereich mit eingeschlossen werden. Daraufhin wird bestimmt, dass alle Benutzer diese Regel verwenden dürfen. 2008, Microsoft Österreich GmbH Seite 222

223 ISA-Server 2006 Abbildung 190: Auswahl der Benutzer für die Regel Um die eben erstellte Regel wirksam werden zu lassen, klickt man auf den Button ÜBERNEHMEN im oberen Bereich des Fensters. Daraufhin ist der Datenverkehr im internen Netz wieder möglich. Abbildung 191. Konfiguration übernehmen 2008, Microsoft Österreich GmbH Seite 223

224 ISA-Server Internetzugriff erlauben Mit der nächsten Zulassungsregel werden der HTTP- und HTTPS-Datenverkehr sowie die gängigsten Protokolle für den E- Mail-Verkehr (POP3 und SMTP) in das externe Netz für Schüler gestattet. Zusätzlich wird diese Regel noch mit einem Zeitplan versehen, der angibt, wann die Zugriffe erlaubt sind. Die ersten Schritte zum Erstellen einer neuen Regel wurden bereits im Kapitel beschrieben und sind identisch. Bei der Angabe der Protokolle ergeben sich allerdings einige Unterschiede, wie in der nächsten Abbildung zu sehen ist: Abbildung 192: Auswahl der zugelassenen Protokolle Bei der Angabe der Quell- und Zieladressen sind das interne bzw. externe Netz anzugeben. 2008, Microsoft Österreich GmbH Seite 224

225 ISA-Server 2006 Abbildung 193: Angabe der Quell- und Zieladressen Die Objekte der Toolbox Sämtliche Objekte, die im ISA-Server für die Erstellung von Firewallrichtlinien verwendet und eingebunden werden können, befinden sich in der Toolbox. Diese Objekte sind nach Kategorien geordnet und können neu angelegt, bearbeitet oder auch wieder gelöscht werden. Abbildung 194: Die Toolbox 2008, Microsoft Österreich GmbH Seite 225

226 ISA-Server 2006 Sollte zum Beispiel eine Firewallregel nur für bestimmte Benutzer gelten, muss zuerst eine Benutzergruppe im ISA-Server angelegt werden, damit anschließend die Regel dieser Gruppe zugewiesen werden kann. Gleiches gilt auch für andere Objekte wie z.b. Computer, Zeitpläne usw Internetzugriff beschränken Im Bereich BENUTZER wird zuerst eine neue Benutzergruppe mit dem Namen SCHÜLER mit Hilfe der ISA-Server-Toolbox erzeugt. Dabei wird auf eine im Active Directory bereits vorhandene Gruppe LOCSCHÜLER zugegriffen. Ruft man nun die Eigenschaften der gerade erstellten Firewallregel auf und wechselt zur Registerkarte BENUTZER kann man die neue Gruppe SCHÜLER hinzufügen und den bestehenden Eintrag ALLE BENUTZER entfernen. Abbildung 195: Hinzufügen der Gruppe Schüler Nachdem die neue Regel erstellt wurde, muss sie noch übernommen werden: Die gerade erstellte Zugriffsregel sollte allerdings nur zu bestimmten Zeiten angewendet werden. Daher wird im nächsten Schritt ein Zeitplan erstellt, der anschließend mit dieser Zugriffsregel verknüpft wird. Für die Erstellung eines neuen Zeitplans wird der rechte Bereich des Bildschirms geöffnet, und auf der Registerseite TOOLBOX werden die Zeitpläne angeklickt. 2008, Microsoft Österreich GmbH Seite 226

227 ISA-Server 2006 Abbildung 196: Erstellung eines neuen Zeitplans Nachdem die Konfiguration übernommen wurde, kann dieser Zeitplan nun der vorhin erstellten Zugriffsregel zugewiesen werden. Dazu wird das Eigenschaftsfenster geöffnet, und auf der Registerseite ZEITPLAN ausgewählt Bestimmte Interseiten oder Domänen sperren Obwohl der HTTP-Datenverkehr durch eine Zulassungsregel grundsätzlich erlaubt wird, ist es trotzdem möglich, einzelne Webseiten oder sogar gesamte Domänen zu sperren. Dazu müssen entweder URL-Sätze (für bestimmte Webseiten) oder Domänennamensätze (für ganze Domänen) erstellt und der jeweiligen Zulassungsregel zugewiesen werden. Diese Objekte werden mit Hilfe der Toolbox (im rechten Fensterbereich) erstellt, wie die folgenden Abbildungen zeigen: Abbildung 197: Erstellung eines URL-Satzes 2008, Microsoft Österreich GmbH Seite 227

228 ISA-Server 2006 Abbildung 198: Zuweisen der verbotenen Seiten zu einer Zugriffsregel Anwendungs- bzw. Webfilter erstellen Bisher wurde die Kommunikation in erster Linie bzgl. der ausgewählten Protokolle und ihrer verwendeten Ports eingeschränkt. Viel interessanter sind allerdings Filtermethoden über die Anwendungs- oder Webfilter, welche die Datenpakete genau untersuchen können HTTP-Filter Der HTTP-Filter (Webfilter) ist der umfassendste und kann pro Zugriffsregel eigens konfiguriert werden. Die Konfiguration erfolgt dabei über die Eigenschaften der jeweiligen Regel auf der Registerseite PROTOKOLLE durch Klick auf den Button FILTERUNG: 2008, Microsoft Österreich GmbH Seite 228

229 ISA-Server 2006 Abbildung 199. Erstellung eines HTTP-Filters Dieser Filter kann folgende Aktionen durchführen: Längenbegrenzungen von Header, Nutzlasten und URLs: Manche DoS- oder Buffer Overflow-Attacken verwenden überlange Anforderungsheader, die durch diese Begrenzung verhindert werden können. Dabei kann eine von Microsoft empfohlene Länge von Bytes eingestellt werden. Diese Regel ist zugleich die einzige, die für sämtliche Regeln des ISA-Servers gilt. Die gesamte Größe des Datenpakets kann durch die maximale Nutzlast definiert werden. Üblicherweise wird für ausgehende Pakete keine Beschränkung definiert. Mit Hilfe des URL-SCHUTZES kann unter anderem die maximale Länge eines URLs definiert werden, da damit unter Umständen ebenfalls bösartiger Code eingeschleust werden kann. Diese Einstellung ist allerdings nur relevant, wenn ein eigener Webserver betrieben wird, um eingehenden HTTP-Verkehr zu filtern. Wird allerdings die maximale Headerlänge begrenzt, müssen auch diese beiden Werte eingegrenzt werden. Im Bereich AUSFÜHRBARE DATEIEN kann verhindert werden, dass z.b. exe-dateien von einer Webseite geladen und ausgeführt werden können. 2008, Microsoft Österreich GmbH Seite 229

230 ISA-Server 2006 Abbildung 200: Screenshot: Allgemeine Einstellungen des HTTP-Filters Prüfen der HTTP-Methoden Die Kommunikation zwischen Webserver und client verwendet unterschiedliche Methoden zur Datenübertragung. Dabei kann auf der Registerseite METHODEN definiert werden, welche dieser Methoden zugelassen werden: GET: Wird zum Anfordern von Informationen von einem Webserver verwendet. HEAD: Es werden nur Header-Informationen abgerufen, aber keine Inhalte. POST: Mit dieser Methode können Informationen (z.b. Inhalte von Webformularen) an der Server geschickt werden. PUT: Dateien können auf den Zielserver übertragen werden. DELETE: Diese Methode ermöglicht es, Dateien auf dem Zielserver zu löschen. OPTIONS: Damit kann ein Client informiert werden, welche Methoden der Webserver unterstützt. TRACE: Wird meist nur für Diagnosezwecke verwendet. Für einen normalen Zugriff auf einen Webserver reichen üblicherweise die Methoden GET und HEAD. Um auch das Ausfüllen von Formularen zu ermöglichen, muss zusätzlich die Methode POST zugelassen werden. 2008, Microsoft Österreich GmbH Seite 230

231 ISA-Server 2006 Abbildung 201: Screenshot: Zugelassene Methoden des HTTP-Filters Blockieren von Dateitypen Auf der nächsten Registerseite können Endungen von Dateien definiert werden, welche vom ISA-Server blockiert werden sollten. 2008, Microsoft Österreich GmbH Seite 231

232 ISA-Server 2006 Abbildung 202: Screenshot: Dateitypen, die vom HTTP-Filter blockiert werden Blockieren von HTTP-Signaturen Mittlerweile verwenden viele Applikationen im Internet den Port 80, um über das HTTP-Protokoll Daten tunneln zu können. Diese Art der Kommunikation bringt zwar einige Vereinfachungen mit sich, weil die Konfiguration der Firewall weniger Aufwand bedarf. Allerdings verwenden auch Anwendungen wie Edonkey, KaZaa usw., die in einem Netzwerk eigentlich nicht erlaubt sein dürften, ebenfalls dieses Protokoll. Mit Hilfe von Signaturen, die regelmäßig im Internet aktualisiert werden, kann der Anwendungsfilter diese Programme erkennen und blockieren. Eine mögliche Webseite, wo diese Signaturen veröffentlicht werden, lautet: , Microsoft Österreich GmbH Seite 232

233 ISA-Server 2006 Abbildung 203: Screenshot: Signaturen, die der HTTP-Filter blockieren soll Eine weitere sehr informative und auch hilfreiche Webseite in diesem Zusammenhang lautet: HTTPFILTER.HTM FTP-Filter Bei FTP wird der Verbindungsaufbau über Port 21 realisiert. Für die anschließende Datenübertragung werden dynamische Ports verwendet, welche von der Firewall auch dynamisch geöffnet werden müssen. Standardmäßig ist der FTP-Filter im ISA-Server nur für lesenden Zugriff konfiguriert. Wenn bestimmte Personen oder Gruppen auch schreibenden Zugriff erhalten sollten, muss dazu der Filter angepasst werden. Im folgenden Beispiel wurde der Internetzugang für Lehrer konfiguriert. Für diese Gruppe wurden zusätzlich noch weitere Protokolle zugelassen, als für die Schüler im vorigen Beispiel. Außerdem sollten sie die Möglichkeit bekommen, FTP aktiv zu benutzen, d.h. Daten nicht nur lesen, sondern auch schreiben zu können. Um dies konfigurieren zu können, wird wieder das Eigenschaftsfenster der Zugriffsregel geöffnet und auf die Registerseite PROTOKOLLE gewechselt. Klickt man dort auf den Button FILTER kann man nun auch das FTP-Protokoll genauer definieren. 2008, Microsoft Österreich GmbH Seite 233

234 ISA-Server 2006 Abbildung 204: Erstellen eines FTP-Filters Abbildung 205: Schreibzugriffe für FTP erlauben Es ist nun möglich, dass eine weitere Einstellung im jeweiligen Internet Explorer am Clientcomputer vorgenommen werden muss, damit die Benutzerauthentifizierung am ISA-Server funktioniert. Sollten dabei im IE Probleme bei der Verwaltung einer FTP-Site auftreten, muss die Einstellung EXTRAS INTERNETOPTIONEN ERWEITERT FTP- ORDNERANSICHT AKTIVIEREN deaktiviert werden. Der Grund dafür ist, dass bei aktivierter Einstellung die Anfrage direkt an das Standardgateway, und nicht über die Webproxy-Client-Funktionalität (siehe Kapitel ) gesendet wird. 2008, Microsoft Österreich GmbH Seite 234

235 ISA-Server 2006 Abbildung 206: Internet Explorer-Einstellung für die Verwendung von FTP 13.5 Veröffentlichung von internen Ressourcen Wenn in einer Schule ein eigener Webserver zur Verfügung steht, so sollte dieser sowohl durch den ISA-Server geschützt sein, als auch vom Internet aus erreichbar sein. Mit Hilfe von Veröffentlichungsfunktionen des ISA-Servers können diese Aufgaben erfüllt werden. Dabei nimmt der ISA-Server die externen Anfragen entgegen, prüft sie anhand der definierten Regeln und leitet sie an den internen Server weiter. Somit kommuniziert der interne Server niemals direkt mit dem Internet, sondern nur mit dem ISA-Server Webserververöffentlichung Erstellen einer DMZ Sinnvollerweise werden Server, die vom Internet aus erreicht werden sollen, nicht im internen Netzwerk platziert, sondern in einer geschützten Umgebung einer sogenannten DMZ. Dazu ist es natürlich erforderlich, dass eine zusätzliche Netzwerkkarte im ISA-Server vorhanden ist, welche dieses Segment verwaltet. Sofern dieses Netzwerk im ISA-Server noch nicht vorhanden ist, startet man dazu die Aufgabe NEUES NETZWERK ERSTELLEN unter dem Menüpunkt KONFIGURATION NETZWERKE, wie in folgenden Abbildungen zu sehen ist. 2008, Microsoft Österreich GmbH Seite 235

236 ISA-Server 2006 Abbildung 207: Neues Netzwerk erstellen Abbildung 208: Neues Netzwerk erstellen Erstellen eines Weblisteners Damit die Webserververöffentlichung funktioniert, muss sich der ISA-Server gegenüber einem Internet-Client als Webserver ausgeben und die Anfragen entgegen nehmen. Dafür muss ein Weblistener konfiguriert werden, der genau weiß, wie die eingehenden Anfragen behandelt werden müssen, und in welchem Netzwerk eine bestimmte IP-Adresse abgehört werden muss. Dieser neue WEBLISTENER wird im Bereich TOOLBOX unter dem Menüpunkt FIREWALLRICHTLINIE erstellt: 2008, Microsoft Österreich GmbH Seite 236

237 ISA-Server 2006 Abbildung 209: Weblistener erstellen Nach Eingabe eines aussagekräftigen Namens wird der Art des Zugriffs auf die Webseite definiert (http oder https) und welche Netzwerkkarte die eingehenden Anfragen aufnehmen sollte. Nachdem für einen Standard-Webserver keine Authentifizierung notwendig ist, wird dies im nächsten Schritt eingestellt und der Assistent beendet. Abbildung 210: Weblistener erstellen 2008, Microsoft Österreich GmbH Seite 237

238 ISA-Server Website veröffentlichen Wenn das Objekt FIREWALLRICHTLINIE ausgewählt ist, kann im rechten Bereich des Fensters der Punkt WEBSITES VERÖFFENTLICHEN ausgewählt werden. Nach Eingabe eines aussagekräftigen Namens für die Veröffentlichungsregel wird anschließend angegeben, wohin die Anfrage weitergeleitet werden sollte (in diesem Beispiel besitzt der interne Webserver den Namen WEBSERVER). Dieser Name muss im internen DNS eingetragen sein, damit der ISA-Server ihn korrekt auflösen kann. Die nachfolgende Abbildung zeigt die einzelnen Schritte für diese Webserververöffentlichung: Abbildung 211: Erstellung einer Webserver-Veröffentlichungsregel 2008, Microsoft Österreich GmbH Seite 238

239 ISA-Server 2006 Abbildung 212: Screenshot: Erstellung einer Webserver-Veröffentlichungsregel (4) Nachdem diese Veröffentlichungsregel übernommen wurde, kann der Webserver sowohl im internen (in diesem Beispiel unter dem Namen WEBSERVER.MEINESCHULE.AT) als auch im externen Netz ( erreicht werden Client-Installation Der ISA-Server kann mit einem Client auf drei verschiedene Arten kommunizieren: Secure NAT-Client Der Client leitet seine Pakete an das Standard-Gateway (= ISA-Server) weiter. Dort werden die Datenpakete dem Firewall-Dienst am ISA-Server übergeben, welcher sämtliche Zugriffsregeln überprüft und die Anfrage entsprechend weiterleitet, falls eine Zulassungsregel dafür existiert. Vorteil dieser Kommunikation ist, dass keine weitere Software am Client erforderlich ist. Der Nachteil ist allerdings, dass mit dieser Kommunikationsmethode keine Benutzerauthentifizierung durchgeführt werden kann. Ebenso werden Protokolle, die dynamische Portzuweisungen benötigen, nicht unterstützt Firewall-Client Für diese Kommunikationsart ist es notwendig, dass auf dem Client eine entsprechende Software, die Firewall-Client- Software, installiert wird. Bei Firewall-Clients ist die Benutzerauthentifizierung ebenso möglich, wie die Verwendung komplexer Protokolle, bei denen eine dynamische Portzuweisung erfolgt. Diese Software muss extra aus dem Internet (am besten von der Microsoft-Download Seite) heruntergeladen werden. Zum Zeitpunkt der Erstellung dieser Unterlage konnte man den Download finden unter: B15A-4990-B DA , Microsoft Österreich GmbH Seite 239

240 ISA-Server 2006 Abbildung 213: Installation des Firewallclients Konfiguration des Firewall-Client-Listeners am ISA-Server Für eine korrekt funktionierende Kommunikation zwischen Client und Server muss zusätzlich auf diesem der Firewall- Client-Listener aktiviert werden. Diese Kommunikation wird über den Port 1745 durchgeführt. Standardmäßig ist diese Funktion zwar aktiviert, aber zur Kontrolle ist es sinnvoll, dies zu überprüfen. In der ISA-Server-Verwaltung wird der Menüpunkt KONFIGURATION - NETZWERKE ausgewählt und die Eigenschaften des Netzwerkes INTERN aufgerufen (Klick mit rechter Maustaste). Auf der Registerseite FIREWALLCLIENT wird der Name oder die IP-Adresse des ISA-Servers eingetragen: 2008, Microsoft Österreich GmbH Seite 240

241 ISA-Server 2006 Abbildung 214: Aktivieren des Firewall-Listeners am ISA-Server Mit Hilfe der Firewall-Client-Software ist es auch möglich, spezielle Anwendungen komplett zu deaktivieren, wie untenstehende Abbildung zeigt. Dazu ruft man den Menüpunkt KONFIGURATION ALLGEMEIN FIREWALLCLIENTEINSTELLUNGEN DEFINIEREN auf. Auf der Registerseite ANWENDUNGSEINSTELLUNGEN können nun Einstellungen für spezielle Programme vorgenommen werden. In diesem Fenster ist auch ersichtlich, dass OUTLOOK standardmäßig deaktiviert ist (Disable = 1). Um eine Kommunikation von diesem Programm aus zu gestatten, ist es daher notwendig, dass DISABLE auf den Wert 0 gesetzt wird. Abbildung 215: Anwendungseinstellungen im Firewallclient Webproxy-Client Webproxy-Clients verfügen ebenfalls über eine Benutzerauthentifizierung, unterstützen aber nur die Protokolle HTTP, HTTPS, FTP und Gopher. Außerdem muss der Browser entsprechend konfiguriert werden, damit er mit dem Proxy-Server auf diese Art kommunizieren kann. Diese Konfiguration wird direkt im Browser (Internet Explorer) unter dem Menüpunkt EXTRAS INTERNETOPTIONEN auf der Registerkarte VERBINDUNGEN vorgenommen: 2008, Microsoft Österreich GmbH Seite 241

242 ISA-Server 2006 Abbildung 216: Konfiguration des Webproxy-Clients 13.7 Caching Der ISA-Server bietet auch die Möglichkeit, Webseiten zwischenzuspeichern, um die Leistung von Internetzugriffen für Benutzer deutlich zu verbessern. Die wichtigste Möglichkeit dabei ist das Forward-Caching, welches HTTP, HTTPS oder FTP-Daten am ISA-Server zwischenspeichert. Dadurch besteht die Möglichkeit, dass nicht bei jedem Zugriff auf eine Webseite der gesamte Inhalt herunter geladen werden muss, sondern die Anfrage direkt vom ISA-Server beantwortet werden kann. Damit der ISA-Server Daten zwischenspeichern kann, muss angegeben werden, auf welcher NTFS-Partition dies geschehen, und wie viel Speicher dafür reserviert werden soll. Dies geschieht unter dem Menüpunkt KONFIGURATION CACHE CACHELAUFWERKE DEFINIEREN. 2008, Microsoft Österreich GmbH Seite 242

243 ISA-Server 2006 Abbildung 217: Festlegen der Cachegröße Nachdem das Laufwerk für die Zwischenspeicherung ausgewählt wurde, kann man noch auf die Registerseite CACHEREGELN wechseln und die dort vorhandene Standardregel bearbeiten. Dabei kann z.b. bestimmt werden, ob httpbzw. FTP-Zwischenspeicherung aktiv sein sollte, und wie lang Daten im Cache bleiben dürfen. Für eine noch genauere Definition des Cache kann man auch eine eigene neue Cacheregel erstellen. 2008, Microsoft Österreich GmbH Seite 243

244 ISA-Server 2006 Abbildung 218: Screenshot: Erstellung einer Cache-Zugriffsregel (1) Abbildung 219: Screenshot: Erstellung einer Cache-Zugriffsregel (2) 2008, Microsoft Österreich GmbH Seite 244

245 ISA-Server 2006 Die nächsten beiden Schritte definieren die Gültigkeitsdauer für die Objekte, die sich im Cache befinden. Dabei können für HTTP- und FTP-Daten die Einstellungen getrennt vorgenommen werden. Abbildung 220: Screenshot: Erstellung einer Cache-Zugriffsregel (3) 13.8 Erweiterungen durch das Service Pack 1 Nach der Installation des Service Packs 1 sind einige sehr nützliche Erweiterungen im ISA-Server 2006 verfügbar. Die wichtigsten davon werden hier kurz vorgestellt Änderungsnachverfolgung Wenn Konfigurationsänderungen am ISA-Server durchgeführt werden, lassen sich diese Aktionen mit Klick auf den Button VERWERFEN sofort rückgängig machen. Wurden diese Schritte allerdings mit einem Klick auf ÜBERNEHMEN bestätigt, besteht keine Möglichkeit mehr, dass zu einem späteren Zeitpunkt genau nachvollzogen werden kann, welche Änderungen am System genau durchgeführt wurden. Nach der Installation des Service Packs 1 gibt es jetzt allerdings die Möglichkeit, dass der ISA-Server sämtliche Änderungen am System mit protokolliert. Dies kann zum einen für den Administrator selbst von großem Vorteil sein, da somit eine Übersicht über alle Systemänderungen vorhanden ist, und zum anderen ist diese Funktion eine wichtiges Protokollorgan, wenn mehrere Administratoren den ISA-Server verwalten. Abbildung 221: Änderungsnachverfolgung 2008, Microsoft Österreich GmbH Seite 245

246 ISA-Server 2006 Um diese Funktion zu aktivieren, wählt man zuerst den Menüpunkt ÜBERWACHUNG, wechselt daraufhin zur Registerseite ÄNDERUNGSNACHVERFOLGUNG und wählt anschließend im AUFGABEN-Bereich den Punkt ÄNDERUNGSNACHVERFOLGUNG KONFIGURIEREN. Abbildung 222: Änderungsnachverfolgung aktivieren und konfigurieren Sobald nun eine Veränderung am System vorgenommen und übernommen wird, erscheint ein Fenster, in dem eine Beschreibung für die eben getätigte Aktion eingetragen werden kann. Abbildung 223: Beschreibung der Konfigurationsänderung Möchte man nun zu einem beliebigen späteren Zeitpunkt eine Liste dieser Änderungen sehen, wählt man vorhin beschriebenen Aufgabenfenster den Menüpunkt Jetzt aktualisieren. Nun kann die Auswahl getroffen werden, ob die gesamte oder eine gefilterte Liste angezeigt werden soll. 2008, Microsoft Österreich GmbH Seite 246

247 ISA-Server 2006 Abbildung 224: Anzeige der Änderungen Veröffentlichungsregel testen Wenn man (wie in Kapitel 13.5 beschrieben) eine interne Ressource z.b. einen Webserver veröffentlichen möchte, wäre es sehr sinnvoll, diese Regel auf die korrekte Funktion zu testen, bevor man damit in die breite Öffentlichkeit geht. Durch Installation des Service Packs 1 ist es nun möglich, solche Tests für folgende Veröffentlichungsregeln durchzuführen: Veröffentlichung von Exchange-Webclientzugriff Veröffentlichung von SharePoint-Sites Veröffentlichung von Webseiten über HTTP Veröffentlichung von Webseiten über HTTPS Diese Möglichkeit, die Veröffentlichungsregel zu testen, verbirgt sich hinter dem Button REGEL TESTEN auf der Registerseite ALLGEMEIN der entsprechenden Regel. Abbildung 225: Veröffentlichungsregel testen 2008, Microsoft Österreich GmbH Seite 247

248 ISA-Server 2006 Sollten (wie in folgender Abbildung sichtbar) Fehler auftreten, werden diese beschrieben und die entsprechenden Ergebnisse angezeigt. Abbildung 226: Ergebnis eines Tests Datenverkehr simulieren Eine weitere Möglichkeit, die Installation des ISA-Servers auf seine Korrektheit zu überprüfen, besteht in der Simulation verschiedener Webzugriffe. Nachdem die entsprechenden Firewall-Richtlinien erstellt wurden, kann mit dem DATENVERKEHRSSIMULATOR geprüft werden, ob diese auch korrekt arbeiten. Folgende Simulationen können durchgeführt werden: Webzugriff Nicht aus dem Web erfolgender Zugriff Webveröffentlichung Serververöffentlichung Diese Simulationen können unter dem Menüpunkt PROBLEMBEHANDLUNG auf der Registerseite DATENVERKEHRSSIMULATOR gestartet werden. Im folgenden Beispiel wird ein Zugriff von einem internen Client auf das Web simuliert: 2008, Microsoft Österreich GmbH Seite 248

249 ISA-Server 2006 Abbildung 227: Datenverkehrssimulator Anschließend könnend die Ergebnisdetails dieser Simulation betrachtet werden: Abbildung 228: Ergebnisse des Datenverkehrssimulators 2008, Microsoft Österreich GmbH Seite 249