mcse2000.pdf

Transkript

1 Microsoft Management Console Funktion: Zentralisierte Verwaltung; Remote-Verwaltung; verschiedene Konsolen mit unterschiedlicher Funktion lassen sich einrichten. Vordefinierte Konsolen -Leistungskonsole -Computerverwaltung -Ereignisanzeige Benutzerdefinierte Konsolen --Start--Ausführen > mmc --Snap-Ins einfügen Remote-Verwaltung eines Rechners: --Snap-Ins 'Computer-Verwaltung' und 'Gruppenrichtlinie' -anderen Computer auswählen / angeben -Voraussetzung: Administrator-Berechtigung Konsolenmodi: (--Konsole--Optionen) Autorenmodus Benutzermodus -Vollzugriff -Beschränkter Zugriff (2 Stufen) Speicherung: als *.msc in \System32 z.b. gpedit.msc (Gruppenrichtlinie) compmgmt.msc (Computerverwaltung) Vom Administrator erstellte Konsolen werden standardmäßig unter \Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung gespeichert Lösungsweg OU 'Finanz' in der Domäne erstellen in 'Finanz' Benutzer erstellen Gruppe 'Manager' in 'Finanz' erstellen Benutzer in Gruppe 'Manager' einfügen Gruppenrichtlinie 'Finanz' erstellen und bearbeiten --Benutzerkonfiguration--Administrative Vorlagen --Desktop 'Symbol Netzwerkumgebung ausblenden' aktivieren --Systemsteuerung eine weitere Gruppenrichtlinie ('Mananger') erstellen und bearbeiten --Benutzerkonfiguration--Administrative Vorlagen --Desktop 'Symbol Netzwerkumgebung ausblenden' deaktivieren Gruppenrichtlinie 'Manager' bekommt Priorität --> nach oben setzen Gruppenrichtlinie 'Manager': --> Authentifizierte Benutzer entfernen (oder Berechtigung entziehen) --> Gruppe 'Manager' hinzufügen und Berechtigung

2 zuweisen 'Lesen' und 'Gruppenichtlinie übernehmen' Richtlinienvererbung deaktivieren: Gilt nur zwischen verschiedenen Containern, nicht innerhalb eines Containers. Lokale Anmeldung am Domänencontroller: --OU 'Domain Controllers'--Standard-Gruppenrichtlinie vordefinierte Einstellung: Administratoren; Server-Operatoren; Kontenoperatoren;... Standard-Gruppenrichtlinie für OU 'Domain Controllers' bearbeiten --Computerkonfiguration--Windows-Einstellungen--Sicherheitseinstellungen--Lokale Richtlinie-- Zuweisen von Benutzerrechten--> lokal Anmelden Drucken unter Windows 2000 Begriffe: Drucker > logischer Drucker, Softwareschnittstelle Druckgerät > Hardware Lokales Druckgerät > Drucker an Druckserver Netzwerkdruckgerät > Druckgerät mit eigener Netzwerkkarte (kann auch von einem Druckserver verwaltet werden) Einstellungen (--Fenster 'Drucker') Drucker--Eigenschaften zusätzliche Treiber für andere Plattformen Anschluß -Druckerpool aktivieren Erweitert -Priorität einstellen (niedrigste = 1, Höchste = 99) Datei-Servereigenschaften Erweiterte Optionen -Pfad zum Spoolordner Druckerpool: 1 logischer Drucker + mehrere Druckgeräte (verwenden den gleichen Treiber) Prioritäten festlegen: mehrere logische Drucker + 1 Druckgerät Netzwerkdruckgerät einrichten: -Lokaler Drucker -Anschluß: Standard TCP/IP Port -Port hinzufügen: IP-Adresse Druckumleitung - Druckgerät an einem Druckserver fällt aus, identisches Druckgerät an einem anderen Drucker ist vorhanden; Neuen Anschluß konfigurieren: --Drucker--Eigenschaften--Anschlüsse--Hinzufügen--Local Port--Anschluß mit UNC-Pfad angeben Drucker an Unix-Server Druckdienste für Unix erforderlich. Beispiel: Drucker an Unix-Server. Win2000-Server installiert Druckdienste für Unix. Richtet Drucker über LPR-Port und UNC-Pfad ein. Freigabe für Win2000-Clients.

3 DNS Funktion: löst 'FQDNs' (Full Qualified Domain Names) in IP-Adressen auf. bill.microsoft.com > bill=hostname, microsoft.com=domain NAME DNS kann wahrscheinlich nicht zwischen Host- und Unterdomänennamen (nachlesen!) unterscheiden Struktur des Namensraums "." -enthalten Rootserver = StammnamensserverS Stammdomäne -Verweise auf Root-Server in der Datei Cache.dns (\System32\dns) --Eigenschaften des DNS-Servers--'Hinweise auf das Stammverzeichnis.org;.edu;.com; Länder (.de;...)usw Top-Level-Domains wan-schulungscenter SGB2000 Untergeordnete Domänen Zonen -Verwaltungseinheit für DNS (Zonendateien werden in einer Datenbankdatei gespeichert) -bestehen aus mindestens einer Domäne oder aus Domäne + Unterdomäne(n) -für jede Zone hat nur ein DNS-Server die Autorität (führt die Master-Zonendatenbank) -sekundärer DNS-Server möglich, bekommt aber nur eine Kopie Zonentypen kann man auch von einem Typ in einen anderen konvertieren. -Active-Directory-integriert (Datenbankdatei wird in Active Directory gespeichert und auf alle DCs einer Domäne repliziert, d.h. nicht auf Unterdomänen) in Prüfungen fast immer die richtige Lösung -Primär (Standard): Datenbank wird als Textdatei in System32\dns gespeichert (*.dns) -Sekundär: Replikat einer bereits vorhandenen Zonendatei (i.allg. einer primären Zone) auch von einer Active-Dirctory-Datenbank möglich -Forward-Lookupzone: Name > IP-Adresse -Reverse-Lookup-Zone: IP-Adresse > Name ( z.b in-addr.arpa) (hauptsächlich für Test- und Diagnosezwecke mit Test- und Diagnosezwecke mit NSLOOKUP notwendig) Ressourceneinträge SOA Start auf Authority (kennzeichnet den DNS-Server und verschiedene Parameter der Zone) NS Nameserver A Adress, Hosteintrag CNAME Canonical Name (Aliasname; Rechner können mehrere Hostnamen haben) PTR Eintrag in der Reverse-Lookup-Zone neu bei Win2000 SRV identifizieren Netzwerkdienste; entsprechen in der Funktion dem 16. Zeichen

4 eines NetBIOS-Namens > z.b. Dienstekennung --Servereigenschaften--Überwachen: einfache Abfrage rekursive Abfrage Prüf: Rekursive Abfrage ist fehlgeschlagen. Grund: Reverse-Lookup-Zone ist nicht konfiguriert. Unter Win2000: DDNS (Dynamical DNS) konfigurierbar Rekursive Abfrage: 'Direktabfrage'; Client stellt eine Namensabfrage an einen DNS-Server > Antwort oder >Fehlermeldung keine Verweise auf andere DNS-Server Iterative Abfrage WINS > Root-Server bill.microsoft.com / / v lokaler DNS-Server Server für Zone 'com' ^ v Client Server für Zone 'microsoft' Auflösung von NetBIOS-Namen in IP-Adressen NetBIOS-Name: 16-byte-Adresse; 15 Zeichen für den Computernamen + 1 Zeichen (hex) für Diensteerkennung, Benutzername... z.b. Computername [20h] = Serverdienst Computername [03h] = Nachrichtendienst früher: Auflösung von NetBIOS-Namen über LMHOSTS-Datei (#PRE #DOM) immer noch Prüf-Thema LMHOSTS.SAM ist nur eine Beispieldatei, die richtige hat keine Endung \system32\drivers\etc (Auflösungsmethode ist abhängig vom Knotentyp B-Knoten Broadcast P-Knoten Point-to-Point (NetBIOS-Nameserver, z.b. WINS-Server wird für die Namensauflösung benutzt) Mixed B + P Hybrid P + B) Dynamische Aktualisierung der Datenbank Für nicht WINS-fähige Clients ist statische Zuordnung möglich Prüf: Wie erstellen Sie für nicht WINS-fähige Clients (Unix) die Namensauflösung? Replikation mit anderen WINS-Servern ist möglich > Push-/ Pull-Replikation Push-Partner : informiert andere WINS-Server über Änderungen in der Datenbank Pull-Partner: fordert Replikation der Datenbankeinträge an, kann zeitlich gesteuert werden (bei NW-Problemen evtl. nachts) DHCP Erweiterung des BOOTP-Protokolls (Remote-Boot) IP-Adressierung und Übergabe weiterer Optionen (z.b. Standard-Gateway, WINS-Server, DNS- Server) Anforderung der Clients erfolgen per Broadcast

5 Auch immer noch Prüf.-Thema, z.b. DHCP-Relay-Agent für Subnet nötig Client, der für automatische Zuweisung der IP-Adresse konfiguriert ist: -1. DHCP-Client versucht, einen DHCP-Server zu ermitteln -2. Wenn kein Server gefunden wird, erfolgt die Konfiguration automatisch aus einem reservierten Adressbereich: APIPA Automatic Private IP-Adressing (2^16-2) Ein Client hat folgende Adresse s.o., was für ein Problem liegt vor? > DHCP nicht gefunden, nicht konfiguriert, nicht verfügbar Der Client überprüft, ob ein Adressenkonflikt vorliegt. Wenn das der Fall ist, wird eine andere Adresse ausgewählt. -3. Nach erfolgreicher Autokonfiguration versucht der Client in 5-Minuten-Abständen, einen DHCP-Server zu erreichen DHCP einrichten -Installieren des DHCP-Dienstes -Server authorisieren -Adressbereich erstellen (evtl. Bereiche ausschliessen) -Optionen konfigurieren (-Adressen reservieren) DHCP-Relay-Agent --Snap-in 'Routing und RAS' 'Routing und RAS' aktivieren und konfigurieren --Option 'Netzwerkrouter'--IP-Routing--Allgemein--Neues Routingprotokoll--DHCP-Relay- Agent Prüfungsschwerpunkte Server Datenträgerverwaltung Berechtigungen DFÜ-Verbindungen, RAS Installation, unbeaufsichtigte Installation Problembehandlung Terminalserver, IIS Gruppenrichtlinien, OUs Professional Hardwaremanagement (Fehlerbehebung) Authentifizierungsprotokolle (z.b. PAP, EAP), Smartcards Remote-Installation Verschlüsselung, Wiederherstellungsagent Softwareinstallation über Gruppenrichtlinie Taskplaner Eingabehilfen Aktualisierung von NT 4.0 auf Win2000 Win 2000 unterstützt das Aktualisieren von NT 3.51 Server, NT 4.0 Server und Vorgängerversionen von Win2000. Aktualisieren von der Server-CD aus: Autostart oder WINNT32.exe

6 Wichtige Punkte Auf DC -> NTFS Als erstes den PDC auf Win2000 aktualisieren Eine Sicherung des Systems is' nich' schlecht Deaktivieren von DHCP und WINS Tabelle S.70 oben einfügen S.73 Nachteile des gemischten Modus Umwandlung gemischter Modus in einheitlichen Modus ist nicht reversibel. Unbeaufsichtigte Installation von WIN2000 S. 85 S. 769ff S. 88 oben Win2000 benutzt eine Antwortdatei z.b. Unattend.txt. Es gibt mehrere Antwortdateien für verschiedene Funktionen: Unattend.txt -- unbeaufsichtigte Installation winnt.sif -- bei Installation von Win2000 über ein startfähiges CD-Rom-LW sysprep. inf -- bei Verwendung des Tools Sysprep zur Erstellung eines Datenträgerabbildes Infos zur Unattend.txt: Server-CD \Support\Tools\deploy.cab --> Unattend.doc Datei anfertigen mit Text-Editor oder mit Setup-Manager Distributionsordner min. 313 MB für Server-Installation nötig Installationsverzeichnis, welches auf einem Server angelegt und freigegeben ist und auf den mehrere Computer für die Installation Zugriff haben. können Unterordner enthalten für: -z.b.: nicht-2000-treiber -Hilfedateien usw. S.98/ 99; S. 771/772 Startfähige CD-Rom: Die Antwortdatei muß WINNT.sif genannt werden. Startparameter richtet sich nach dem Betriebsmodus des zu installierenden Rechners: 16-bit --> WINNT.exe 32-bit --> WINNT32.exe SYSPREP SYSPREP.exe ist ein tool auf der Server-CD. Damit wird ein Abbild meines Systems vorbereitet (inclusive Anwendungen). Tool von Fremdanbieter zum Image-anfertigen nötig. Mit dem Abbild können dann Rechner installiert werden. -Vorsicht bei großen Hardwareunterschieden, --> Konfiguration von Hand nötig. S.771ff

7 SYSPART nur bei 32-bit-Systemen, bei unterschiedlichen S.100/ 101 Cmdlines.txt S.113 Enthält Befehle, die während der GUI-Phase ausgeführt werden sollen. Die Datei wird benutzt, um Anwendungen nach der Installation des BS zu konfigurieren und zu installieren (Kiste fertig machen und Image ziehen, evtl dann nachbessern. lokale/ Domänenbenutzerkonten runas NT 20 chs=name 14 chs=pw chs=name, nur die ersten 20 werden gelesen 128chs=Pw Profile: update= in \profiles Neuinstall. = in Dokumente und Einstellungen.man = verbindlich.rup = roaming user profile Verteilergruppen = Rechte verteilen Sicherheitsgruppen Gruppen: globale = Organisieren lokale = Zuweisen von Rechten universelle = Domänenübergreifendes Organisieren, nur im einheitlichen Modus, geht auch mit Gruppen globalen Gruppenverschachtelung: Gruppen in andere Gruppen einfügen Hauptbenutzer nicht auf DCs vorhanden Gruppenrichtlinien = Nachfolger von poledit " -Objekt:.gpo (.gpt = template; Vorlagen;.gpc = group policy container) kann Verzeichnisstruktur annehmen, kann man so aber nicht ansehen \system32\grouppolicy Übung 6 S.328 Anwendungsserver IIS zentraler Speicherort für öffentliche Informationen Jede WebSite und FTP-Site muß über ein Basisverweichnis verfügen. Der Basisordner ist der zuentrale Speicherort für die veröffentlichten Seiten. In diesem Basisverzeichnis steht z.b. die Homepage. Standardname: index.html; default.html default.asp index.htm; default.htm

8 für die Begrüßung und andere Seiten der Website Anschlußkennung, Hostname, Anschlußnummer IIS 4.0 Website Webseite Ordner, hat eine eigene IP-Adresse und Socket-Number. Socket ist eine Protokollkennung für einen bestimmten Knoten im Netzwerk. Seite im Ordner IIS 5.0 zuverlässiger als 4.0 und hat eine höhere interne Geschwindigkeit Mehrere Websites mit verschiedenen IP-Adressen, aber einer Socket-Number machbar. Jede Site hat dann eine eigene IP-Adresse. Verschiedene Abteilungen können ihre eigene Site in der Firma haben. Um Sites zu unterscheiden, wird eine dreiteilige eindeutige Kennung benutzt: eine Anschlußnummer eine IP-Adresse einen Hostheadernamen Der Installationsvorgang ist in 2000Server integriert. Verwalten und Konfigurieren mit dem Snap-In Internet-Informationsdienst Win2000Server ermöglicht Administratoren die Verwendung von Autoren und Verwaltungsfunktionen für FrontPage. Frontpage-Servererweiterungen ist ein Snap-In, benötigt z.b. für Abfragen, Unterverzeichnisse, Counter S.681 Auf einem Server für Websites und FTP-Sites müssen für jeden Dienst (www + ftp) eigene Basisverzeichnisse erstellt werden. Standardname: \InetPub\wwwroot \InetPub\ftproot S.693 Anwendungsserver Ein virtuelles Verzeichnis steht noicht im Basisverzeichnis, wird aber im Client -Browser so angezeigt. Ein virtuelles Verzeichnis verfügt über einen Aliasnamen, den der Webserver für den Zugriff verwendet. Dadurch, daß der Admin die Zuweisung von Verzeichnis und Basisordner herstellt, ist ein Alias sicher. Der User kennt den Speicherort nicht. Telnet -Dienst / -Server ausführen open Telnet ist ein Teil von TCP/ IP. Mit Telnet kann man eine Verbindung von einem Telnet-Client zu einem Computer mit Telnet-Dienst herstellen. Es ist möglich, sich an diesem Server anzumelden und auf ihm zu arbeiten (Anwendungen im Textmodus). Max. 63 Telnet-Client Verbindungen werden gleichzeitig unterstützt. Dienst starten -- Ausführen:net start telnet oder "Telnet Server Admin" Ausführen: tlntadmn

9 Wenn der Telnet-Admin nicht startet, ist wahrscheinlich das Pack für die Verwaltung (Adminpack.msi) nicht installiert. Durch Änderungen mit dem Telnet-Admin werden Teile der Registrierung geändert (nicht sachgemäße Behandlung kann zu Problemen führen) Terminaldienste Sie ermöglichen Client-Rechnern den Zugriff auf Win2000 und die neuesten Windows-basierten Anwendungen. Sie erlauben eine ortsunabhänge Remoteverwaltung. Man bekommt Zugriff auf Desktop und installierte Anwendungen. Sollte nicht auf einem Anmeldeserver laufen (eher auf einem Rechner, der irgendwo vor sich hindümpelt). Es werden 2 Modi bereitgestellt Remoteverwaltung z.b. Benutzerverwaltung Freigaben Drucker Registrierungsänderungen Verwalten aus der Ferne, z.b. über TCP/ IP Anwendungsserver Anwendungen- können von einem zentralen Ort bereitgestellt werden. Remotezugriff der Clients über WAN oder LAN Anwendungen werden direkt am Terminalserver installiert oder ein Teil über Remoteverbindung am Client. Gruppenrichtlinien oder AD-Dienste können benutzt werden, um Anwendungspakete von Windows- Installer zu veröffentlichen. Jeder Computer (Clientcomputer) muß sowohl über die Client-Lizensierung für Terminaldienste als auch über die Client-Zugriffslizenz für WIN2000 verfügen. Die Verwaltungstools: Terminal-Clientinstallation Diskettenerstellung für Terminaldienstsoftware für WfW; Win 9x; NT-Plattformen Terminaldienstverwaltung Verwaltungstool für alle WIN2000 Server, auf denen Termianldienste laufen Man bekommt Infos z.b. über: Benutzer, Server, Prozesse; man kann Nachrichten senden man kann Prozesse abbrechen über die Funktion Remotesteuerung Terminaldienstkonfiguration RDP-Einstellungen = Remote Desktop Protokoll Einstellbar sind z.b. Drucker Zwischenablage Zeitüberschreitung LPT Anfangsprogramme nach erfolgreicher Anmeldung Verbindungsverschlüsselung Anmeldungseinstellung Terminaldienstlizensierung (nur wenn der Anwendungsservermodus aktiviert oder Adminpack.msi installiert ist) S.728 / 729 Speichern und Überwachen der Clientzugriffslizenzen für den Terminalserver unter 2000 (fast wie DHCP) Komponenten der Lizensierung: MS-Clearinghouse: Lizenzserver; Terminalserver; Clientlizenzen

10 -MS-Clearinghouse Datenbank für Aktivieren von Lizenzservern; speichert alle Clientlizenzen der Terminaldienste. -Terminalserver Ein Rechner, auf dem Terminaldienste aktiv sind und laufen. Sollte Power haben und nichts anderes machen (Member- oder Stand-alone-Server). Auch Lizenzserver sollten auch auf einem anderen Server installiert werden. S.730 -Clientlizenzen Jeder Client und Terminal, die mit einem Terminalserver eine Verbindung eingehen, brauchen Lizenzen. Lizenzserver ist nur nötig, wenn man den Anwendungsmodus der Terminaldienste benutzt wird. Er muß mit Microsoft Clearinghouse aktiviert werden, um Lizenzen laden zu können. Domänenlizenzserver: im gemischter Modus nötig Unternehmenslizenzserver: für reine 2000-Umgebung S.730 DFS Verteiltes Dateisystem Distributed File System Vereinfacht den Zugang zu freigegebenen Ordnern im Netzwerk. DFS ist ein logisches Dateisystem und organisiert Freigaben (Ordner) im Netzwerk so zusammen, daß nur ein einziger Referenzpunkt (Stamm) dargestellt wird. Unter dem Stamm werden DFS-Verknüpfungen angelegt. Der physikalische Speicherort muß dem Benutzer nicht bekannt sein. S.176ff Eigenständiger DFS-Stamm Eine Ebene an DFS-Verknüpfungen. Keine Replikation, keine Sicherung. Verwendet kein AD. Kann auf FAT installiert werden, besser NTFS. Domänen- DFS-Stamm AD wird verwendet. Stämme von mehreren Servern können zusammengefügt werden. Replikation wird durchgeführt. Alternative Verbindungen zu Ressourcen werden gesucht. Ein fehlertolerantes System auf NTFS 5.0. FRS File Replication Service S.188ff NTFS-Berechtigungen sh. Kopien RRAS Routing > Verbinden von Netzwerken + RAS > Remotezugriff auf Netzwerke MPR = Multiprotokollrouter, 2000 kann IP/ IPX/ Apple Talk gleichzeitig routen VPN = Virtual Private Network, Computer können sich über eine verschlüsselte Internet-Verbindung so verhalten wie in einem privaten Netzwerk. PPTP = Point-to-Point Tunneling Protokoll Weiterentwicklung von PPP Sichere Datenverbindung über TCP/ IP von MS entwickelt für VPNs L2TP = Layer 2 Tunneling Protocol wie PPTP, nur keine Händlerspezifische Verschlüsselungstechnik

11 RAS-Server Bereitstellung von RAS-Verbindungen mit DFÜ- oder VPN- RAS-Clients mit den Protokollen IP / IPX / NetBEUI und AppleTalk. RRAS wird im deaktivierten Status installiert. Zur "Aktivierung" und Konfiguration wird ein Snap-In benutzt. Jeder Intranet-Computer mit einem RAS-Server sollte eine private IP-Adresse haben: Klasse A Klasse B Klasse C durch IANA vergeben S.445 Authentifizierung: das Bestätigen von Anmeldeinformationen, die in Textform oder verschlüsselter Form zwischen Server und Client ausgetauscht werden. Autorisierung: ist die Bestätigung, daß der Verbindungsversuch zugelassen wurde. -Unicast IP Adresse die einen bestimmten eindeutigen globalen Host definiert. Eine bidirektionale Verbindung zwischen zwei Rechnern zum Datenaustausch. IP-Routing Ein oder mehrere Rechner leiten die Pakete zwischen einer bidirektionalen PPP-Verbindung -IP Multicast Mehrfachvorstellung einer IP-Adresse -AppleTalk Win2000 routet AppleTalk-Pakete. Apple-Netzwerke können mit MS-Netzwerken verbunden werden. Ein Apple-Client kann über DFÜ-Remoteverbindung zu 2000 herstellen. -RADIUS-Clientserver Eingehende Verbindungen werden überprüft und verwaltet. Gruppen können mit Rechten versehen werden. Für große Netzwerke zum einfacheren Verwalten. Protokolle von Drittanbietern können genutzt werden. VPN-Server: Teil eines RAS-Servers, Protokolle: PPTP, L2TP über IPSec -Remotezugriff Zugriff auf Ressourcen eines Rechners oder Netzwerkes über einen RAS-Server. Zugriff über DFÜ-Remotezugriff > Telefonnetz oder VPN-Remotezugriff > IP-Netzwerk nötig: Client: 2000, Win9x, WfW, Apple, MS-DOS, NT, Unix, LAN-Manager nicht: SLIP (Vorgänger von PPP), OS/2

12 WAN-Infrastruktur: PSTN = analoge Telefonleitung In Zusammenarbeit mit Modems oder Modembänken wird der Zugriff hergestellt mit 33,6 bit/s V.90 (digital) = T-Carrier oder ISDN, 33,6 kbit/s senden, 56 kbit/s empfangen, Modem über digitale Leitung Zwischen Client und RAS-Server darf keine Datenkonvertierung von digital in analog stattfinden ISDN = Digitaler Ersatz für PSTN mehrere Kanäle mit 64 kbit/s normale ISDN-Karte: 2 x 64Kbit/s ; max 23 x 64 X.25 = Internationaler Standard zum Senden von Daten über öffentliche Paketvermittlungsnetzwerke. ATM über ADSL = höhere Bitrate. 64 kbit/s empfangen, 1544 Mbit/s senden Standardeinsatz im Internet. Kann als Ethernet oder DFÜ-Schnittstelle zum Einsatz kommen. S.373 Bei Verwendung von ATM über ADSL werden die LAN-Protokollpakete über (mit) ATM gesandt. RRAS -- Routing ist der kleinere Bereich, relativ wenig Aufwand. RAS überwiegt. Datenverschlüsselung Verschlüsselung der Daten zwischen Client und Server. Die Datenbverschlüssselung basiert auf einem geheimen Schlüssel, der bei der Benutzerauthentifizierung generiert wird. Man kann die Verschlüsselung zwingend machen. MPPE / 56 / 128 bit Server VPN S. 480ff Eine Erweiterung eines privaten Netzwerks, die eine gekapselte, verschlüsselte und authentifizierte Verbindung über gemeinsame oder öffentliche Netzwerke herstellen. Der Benutzer stellt aus seiner Sicht eine Punkt-zu-Punkt-Verbindung her. Das überbrückende Verbundnetzwerk ist uninteressant! Die Einwahl wird über den lokalen ISP hergestellt und dadurch eine VPN-Verbindung zwischen DFÜ-Benutzern und dem VPN-Server der Firma geschaffen. -Es müssen eigene Leitungen zwischen den Firmen und den lokalen ISPs bestehen. -Der VPN-Server muß täglich 24 Stunden eingehenden VPN-Verkehr abrufen können. Nur wer über richtige Anmeldeoptionen verfügt, kann auf Ressourcen des Netzes an einem VPN-Server zugreifen. VPN-Server sind keine Router Das Tunneling bewirkt, daß Datenpakete einen zusätzlichen Header (Kopfteil) bekommen, der Infos über Routingeigenschaften beinhaltet. Dieser Header wird erst am Ziel vom Datenpaket entbunden. Der Datenpfad wird "Tunnel" genannt. Um einen Tunnel aufbauen zu können, müssen die gleichen Tunnelingprotokolle benutzt werden, z.b. PPTP oder L2TP. Tunnelarten: Freiwilliger Tunnel

13 Der Client erstellt einen Tunnel zum Zielserver und braucht dafür ein Tunnelingprotokoll. Der Client hat die Möglichkeit direkt eine Verbindung mit Hilfe vom ISP zum Transitverbundnetz (Internet) herzustellen. Erzwungener Tunnel Hierbei ist der Client kein direkter Endpunkt, sondern es ist ein anderer Rechner der Tunnelclient. Das T- Protokoll muß somit nicht auf jedem Client installiert werden. Der Tunnelclient wird auch Zugriffskonzentrator genannt. -statisch -automatisch alle Einwahlclients werden über einen Tunnel mit einem bestimmten Tunnelserver verbunden -bereichsbasierend Der Tunnelserver wird durch einen Bereich im Benutzernamen z.b. (Bereich = Domänenname) festgelegt. Anderer Bereich = anderer Tunnel -dynamisch Beim Zugriff auf den Zugriffskonzentrator wird die Wahl des Tunnelzielortes für den Benutzer neu getroffen. Kerberos sh. Kopie + S. 540ff Bei Kerberos wird die Identität des Benutzers durch eine Drittpartei festgestellt (Kerberos). Kerberos ist der Standardsicherheitsanbieter von Win2000. Auf jedem Domänencontroller muß der Kerberosdienst laufen. Kerberos muß auch auf allen anderen Rechnern in einem Netz installiert sein. Unterstützung auch für Win95. Wenn Kerberos benutzt wird, wird die Identität auf einem Server (KDC) überprüft, der dann eine Bestätigung (Ticket) ausspricht. Mit dem Ticket bekommt der Benutzer dann Zugriff z.b. am Zielserver. In einem Ticket ist folgendes enthalten: z.b. -Sitzungsschlüssel -Name des Benutzers -Ablaufzeit des Tickets -zusätzliche Einstellungen Ein Leistungsmerkmal von Kerberos: Kerberosclients von anderen Plattformen wie UNIX können über 2000 authentifiziert werden. Netzwerk-Infrastruktur NW-Dienste im Überblick DNS

14 DHCP WINS Routing+ RAS NAT Zertifizierungsdienste DNS -Nachfolger von HOSTS und LMHOSTS -ordnet IP-Adressen Namen zu (Host+Domänen) -statisches Verfahren (NetBIOS-Name=16 Zeichen, Hostname=256 Zeichen) DHCP -dynamische Zuweisung von IP-Adressen (laut MS standardmäßig zu verwenden) -Übermittlung anderer Informationen (Zuweisung von Multicast-Adressen, statistische Daten usw.) WINS -dynamisches Verfahren, Vorgänger von DDNS -macht Sinn bei älteren Clients oder sehr viel Änderungen im Netzwerk -WINS-Proxy nötig bei verschiedenen Subnetzen RAS -DFÜ-RAS-Verbindung (Virtual Circuit, VC) -RAS über VPN Tunneling Virtuelle Point-to-Point-Verbindung (im Gegensatz zu PPP und SLIP) Protokolle: PPP SLIP (Legacy RAS) > nur Clients, nicht Server MS-RAS Protocol (=ASY BEUI) NAT Network Adress Translation Von innen nach draußen. Normalerweise sind Privatadressen des Intranets nicht routbar. Ein NAT-Server kann mehrere Intranet- Rechner mit dem Internet verbinden. Schreibt eine log-datei, um Antworten aus dem Internet zuzuordnen und weiterzuleiten. Dynamische Verwaltung (der IP wird zum Wiederauffinden noch ein Port zugordnet. Reverse-NAT: von außen nach innen. Ist ähnlich einem internen Port-Mapper, Win2000 muß den internen Port wissen, z.b. 21 für FTP-Server. SOHO-NW (Small Office/ Home Office): statt Standleitung für kleine Betriebe oder Privat mit einem NAT- Server. Zertifizierungsdienste -betrifft Sicherheit -vergleichbar mit Ausweispapieren (ID-Dateien), MS spricht von CAs. Name, z.b. ATI Geb.-Datum Rev.Nr. Gültigkeit 2005 Verweis auf neue Info CAs Unterschrift ID, Signatur der CA Vorsicht mit manchen Remote-Tools wie PCAnywhere, meist nur Neuinstallation möglich. Interne und externe Zertifizierungsstellen (Grundpaket ist enthalten)

15 Anwendung: sichere , Sicherheit zwischen Web-Client und Web-Server (e-commerce, Onlinebanking u.ä.) BS-Überblick Win2000 Professional Server Advanced ServerDatacenter Server min CPU P 133 MHZ P MHZ P 500MHZ P 500MHZ RAM 32-64MB 128MB 256MB 512MB bis 512MB bis 60GB HD 2GB 2GB >2GB >10GB SMP: CPUs Protokolle unter Win2000 Überlegung: welche LAN-Protokolle muß ich anwenden? Welche WAN-Protokolle? TCP/IP -Kernprotokolle von Win routbar, Sicherheit (IPSec, Filtering) neue Begriffe: -Empfangsfenster: es wird nicht jedes Paket einzeln bestätigt, kann auch dynamisch vergrößert oder verkleinert werden. -Selektive Bestätigungen: einzelne Pakete können neu angefordert werden, wenn nicht i.o. -Schätzung der Umlaufzeiten (RTT = Round Trip Time), früheres TTL wurde einfach nur festgelegt. -IP-Sicherheit (IPSec): Einstellung unter --Eigenschaften von TCP/IP--Erweitert--Optionen--Eigenschaften von IP-Sicherheit -in der IP-Schicht ist mit Paket und Datagramm das gleiche gemeint. -GQoS = Genenric Quality of Service DLC IrDA Extreme Subnetting NT 4 wiederholen, um wieder reinzukommen. Standarddienstprogramme unter Win2000 (TCP/IP) Telnet: Schnittstelle, hauptsächlich für UNIX-Clients FTP HTTP CIFS: Common Internet File System L2TP: Kombination aus PPTP (Tunnelprotokoll) und L2F (Protokoll für DFÜ-Zugangsserver). LPR: auf Windows-Client, will auf Unix-Drucker drucken LPD: auf Windows-Server, soll Druckserver mächen (Line Printing Daemon) LPQ: auf Unix-Rechner, zum Anzeigen der Drucker-Warteschlange Ping, ipconfig, tracert, nslookup, netstat, nbtstat Multicast-Adresse: IP wird von mehreren Gruppenmitgliedern geteilt.

16 Unterschied: PPP ist verbindungsorientiert, SLIP nicht. Legacy-Umgebung bedeutet gemischter Modus (ältere Rechner/ Betriebssysteme) Bytestromkommunikation: Große Datenmengen wird gesplittet in kleinere Datenmengen (TCP) WAN-Verbindungen bekommen eine Netzwerk-ID, Routerschnittstellen nicht. Schnittstellenmetrik: für Diagnose- und Statistikzwecke, Änderung der Metrik-Werte ändert die Ergebnisse in den.log-dateien. APIPA Automatic Private IP-Adressing bis wird einem Client unter Win2000 zugewiesen, wenn keine Konfiguration verfügbar ist. Subnetmask ist ping-befehl geht nicht auszuführen -->Neuinstallation des Rechners nötig Backbone = Aorta des Netzwerkes IP-Filter --Eigenschaften von TCP/IP--Erweitert--Optionen--TCP/IP-Filter Man kann nur einzelne Ports zulassen. Alle anderen Ports sind für das ganze Netzwerk gesperrt. So kann man beispielsweise die Benutzung des Messengers verhindern. Allerdings kann man die Benutzung dann auch nicht mehr für einzelne User freigeben. Routing Router sind sowohl logische als auch physikalische Gateways. statisches Routing: manuelle Leitwegeinträge werden erstellt Hilfsprogramm route route add -p Verkehr immer über diese Route, auch nach Neustart route print zeigt die Routing-Tabelle an route -f deltree für Routing-Tabelle S.51 weitere Befehle dynamisches Routing: Protokolle nötig (RIP, OSPF) Änderungen werden an andere Router weitergegeben Backbone = Aorta des Netzwerkes Router entspricht einem Rechner mit einem Haufen Netzwerkkarten ABR-Router = Area Border Router, verbindet Backbone mit einem Netzwerk NWLink wird als Protokoll betitelt, hat aber die Funktion eines Dienstes. DSMT Directory Services Migration Tool, Übernehmen von einzelnen oder mehreren Informationen aus Novell-Rechnern. Architektur S.63 IPX SPX SPXII verbindungslos verbindungsorientiert verbindungsorientiert Paket 576 byte 1518 byte Netzwerkmonitor Systemmonitor lokal Netzwerkmonitor lokal + LANweit

17 Echtzeit Prozessor usw. überwachen: Broadcastrahmen Multicastrahmen Nw-Auslastung Gesamtzahl der empfangenen Bytes/s Gesamtzahl der empfangenen Rahmen/s Active Directory Active Directory = (relationale) Datenbank = "Verzeichnis" X500 + LDAP + DNS = Active Directory enthält Objekte Benutzer mit ACL, siehe unten Eigenschaften Telefonnummer Werte Schema enthält Regeln Replikationsdienst sorgt für aktuelle Daten Global Catalog Alle Informationen zu allen Objekten.Man meldet sich jetzt nicht mehr an einem Anmeldeserver an, sondern in einer Struktur (über die Verzeichnisdatenbank). Sicherheitskonzept Policies, ACL (Access Control List, Zugriffssteuerungsliste), jedes Objekt hat eine ACL (wer darf was mit diesem Objekt machen?) Man kann AD über LDAP oder HTTP verwalten. Der Zugriff auf Ressourcen kann über FQDN oder IP-Adresse erfolgen. Distinguished Name (unterscheidbarer Name) JMeyer.59.PeterLorenzStrasse.Berlin.de LDAP-DN (Distinguished Name) CN=JMeyer;OU=59;OU=PeterLorenzStrasse;DC=Berlin;DC=De CN = Common Name = JMeyer = kleinste Einheit = Leaf Object, man kann kein anderes Objekt darin anlegen OU = Organisational Unit = 59 = kann andere OUs oder Leaf-Objekte enthalten OU = PeterLorenzStrasse DC = Domain Component = Berlin DC = de LDAP-RDN (Relative Distinguished Name) Relativ zum aktuellen Kontext, wie das Arbeiten in reinen DOS-Verzeichnissen. Hängt vom Ausgangsstandpunkt ab. Es kann mehrere Objekte mit dem gleichen relativen Namen geben, aber nur einen mit dem gleichen DN. LDAP-URL (uniform ressource locator) LDAP://Data.Berlin.de/CN=JMeyer,OU=59,OU=PeterLorenzStrasse,DC=Berlin,DC=de Data ist hier der LDAP-Server. UPN (User Principal Name) JMeyer@Berlin.de JMeyer= Domänenpräfix, Berlin.de = Domänensuffix

18 Voraussetzungen: LDAP-Client, Win2000, Win9x, AD-Client dafür benutzen: LDAP, IE oder NN Domäne Logische Einheit > AD Administration Verwaltungseinheit BENUTZER GRUPPEN NETZWERKDIENSTE COMPUTER FREIGEGEBENE RESSOURCEN Active Directory ist geeignet für -Skalierbarkeit -Sicherheit -Verwaltung -Zugang Rollen bei der Replikation innerhalb einer Win2000-Struktur FSMO (Flexible/ Single/ Master/ Operation) -Schema-Master ist für die Regeln zuständig. Hat eine Schablone und verteilt diese. Bei Ausfall können keine Änderungen an AD vorgenommen werden. Solange läuft alles weiter. Die Rolle kann man auf einen anderen Rechner verschieben, der alte Schema-Master muss jedoch neu installiert werden. -Domain-Names-Master -RID-Poolmaster Relative IDs werden zugewiesen -Infrastruktur-Master Locations verwalten, z.b. Verschieben eines Rechners -PDC-Emulator in gemischter Umgebung OU (Organisational Unit) ist ein AD-Objekt (Container) Anzahl der Vertrauensstellungen n = Anzahl der Domänen NT: n * (n - 1) Win2000: n-1 bei 5 Domänen: NT = 20; Win2000 = 4 Vertrauensstellungen Forest sind mehrere zusammengefasste Bäume mit unterschiedlichen Namensräumen. Der höchste Punkt des forests gibt den Namen. Dem höchsten Baum müssen alle anderen Bäume vertrauen. Es gibt nur einen Global Catalog.

19 Übergeordnete Domäne = Parent, Untergeordnete Domäne = Child Standort Subnetze - verbunden über Verbindungen mit hoher Bandbreite X500- Standard Ziel: schneller Datenzugriff ist auch hierarchisch aufgebaut, mit anderen Strukturnamen. Benutzerinformationsmodell Administratorinformationsmodell ACL DSAinformationsmodell Directory System Agents DIB Directory Information Base -Objekte enthält Attribute und Werte -Untereinträge -Alias DIT Directory Information Tree -tiefe Struktur für große Datenmengen Root C ountry O rganisation Computer (Objekt) WINS / DNS / DHCP Primärer und sekundärer WINS-Server haben die gleiche Funktionalität. (Können gegenseitig als primärer Server des anderen konfiguriert sein. Ein WINS-Server kann für ein Netz der Primäre sein, für ein anderes Netz der Sekundäre.) Nochmal ansehen: -B-Knoten -H-Knoten erst WINS, dann Broadcast: Can We Buy Large Hard Disks -M-Knoten erst Broadcast DNS - Zonen: -Primäre -Sekundäre -Active Directory-basierte Zone DNS-Server-Typen: -Primärer DNS-Server -Sekundärer DNS-Server -Cache-Only-Server ist bei den ersten beiden enthalten -Forwarder kann bei den ersten beiden auch mit eingerichtet werden

20 In jeder Zone muss standardmässig ein primärer und ein sekundärer DNS-Server vorhanden sein. (muss laut internic beim Beantragen einer öffentlichen IP sogar so eingerichtet sein) Die Zonendatendatei kann nur auf dem primären Server geändert werden. Sekundären Server heraufstufen = "Promotion". Nicht-Forwarder = "Slave" Namensauflösung: Resolver: Client-Cashing - Lokaler Cache DNS Server-Cashing Zoneninformationen Rekursive Ermittlung (anderer DNS-Server) oder iterative Ermittlung (Client fragt "Mein" Server fragt der Reihe nach anderen DNS-Server selbst) (von root nach unten) die DNS-Server- Der Client kämpft sich selber durch Kollegen und gibt dem Client das Ergebnis seiner Rundreise bekannt (von unten nach root und wieder nach unten) mit den Verweisen auf andere DNS-Server Standardmässig sind alle DNS-Server und Clients für Rekursive Abfrage konfiguriert. DNS statisch Änderungen per Hand DDNS dynamisch Erweiterung des DNS-Dienstes funktioniert erstmal nur innerhalb Win2000 bei AD: Zone = Container = OU System > Microsoft.dns das Objekt heisst immer so, wie die Zone nur auf DC DHCP Keine Konfigurationsfehler 030 Router WINS usw. wird auch automatisch übermittelt DHCP-Discover Client > DHCP-Server > Anforderung IP-LEASE (IP-Leaseerkennung) > (Client brüllt ins Netz, Quelladresse Zieladresse 9, 13, 16 Sekunden, alle 5 Minuten, sonst APIPA ( x.y) Initialisierung IP-Leaseprozess DHCP-Offer IP-Leaseangebot vom DHCP-Server: MAC-Adresse des Clients, IP-Adresse, SN-Mask, Gültigkeit der Lease, IP-Adresse des Servers IP-Leaseanforderung (Danke, hab ich) DHCP-Request (Habe Adresse angenommen, könnte alle anderen zurücknehmen)

21 DHCP-Pack, IP-Leasebestätigung vom Server (Gut, kannst anfangen) DHCPNACK vom Server, wenn etwas nicht stimmt Bei verschiedenen Subnetzen: Hardwarerouter müssen BOOTP-fähig sein, Computer als Router müssen den DHCP-Relay-Agenten installiert haben. IPs sollten nicht doppelt von DHCP-Servern vergeben werden können (Pools 75 / 25% verteilen) AD Planung 1. Logische und physische Umgebungsstruktur 2. Verwaltung dafür 3. Domänenanforderung 4. Domänenorganisationsbedarf DNS Namespace, interner wie externer Namespace? Installation von AD Bei den ersten Releases musste erst DNS installiert werden, bevor man AD installieren konnte. Kann man jetzt gleichzeitig machen. dcpromo = Assistent Schemamaster Domänennamensmaster Relative ID-Master (RID-M) PDC-Emulator Infrastrukturmaster beide nur 1x pro Struktur, muss eindeutig festgelegt werden diese drei dürfen nur 1x pro Domäne vorhanden sein movetree.exe (supporttools) verschiebt Benutzer. PDC-Emulator ist auch in reiner 2000-Umgebung vorhanden, macht z.b. Passwortänderungen. Der erste 2000-DC bekommt automatisch alle fünf Rollen. Ausgefallener Betriebsmaster: Empfehlung von MS: Formatieren und neu installieren. -Beim ersten DC darf in der Netzwerkkonfiguration kein anderer DNS-Server eingetragen sein (automatisch wird dann die Loopback-Adresse eingetragen). -Durch unterschiedliche Namensauflösung gab es Probleme beim Installieren von AD. Die neu eingerichteten Domänennamen ("bank3.de") konnten nicht aufgelöst werden. Lösung: Nur "bank3" eingeben. -Keine Berechtigung: Zum Installieren von AD ist das Administratorkonto des ersten DCs nötig. Lokaler Administrator funktioniert nicht. -Nach Einrichtung von AD kommen die Rechner nicht ins Netz. Lösung: Zumindest beim ersten DC in der Domäne muss im DNS-Server die root "." gelöscht werden. Dann kann man bei den DNS-Server- Eigenschaften die Weiterleitung aktivieren. Und funz. Eine DNS-Zone muss nicht mit Domänen übereinstimmen. Bei Eigenschaften einer Zone, z.b. von bank3.de, kann man Zonenübertragung zu einem anderen DNS- Server aktivieren. Zonenübertragungen sollen nur zwischen sekundären DNS-Servern erfolgen, um die Primären zu entlasten. Ein sekundärer DNS-Server, der Zonendaten überträgt, heisst Masterserver.

22 Jetzt: inkrementale Zonendatenübertragung (nur Änderungen) statt kompletter Übertragung früher. DNS-Fehlerbehebung: Buch S.180 Standorte einrichten Active Directory-Standorte und -Dienste Standorte = Sites Neue Standorte einrichten Inter-Site Transports = Standortverknüpfung Standorte verbinden Sites -- Standardname-des-ersten-Standortes -- License Site Settings = Lizenzserver einrichten Bridgeheadserver zur Verbindung von Standorten mit langsamen bzw. teueren Verbindungen einrichten. Benutzerkonten Domänenbenutzer melden sich nicht mehr am Rechner an, sondern an der Struktur (AD). Lokale Benutzerkonten: Domänen-Benutzerkonten: Ressourcen des lokalen PCs Lokale Sicherheitsdatenbank Netzwerkressourcen Zugriffstoken erstellen auf DC Integrierte Benutzerkonten: Administrator, Gast, (wenn IIS installiert ist: IUSR_Name, IWAM Name) (für Terminaldienst: TSInternetUser), krbtgt (Benutzerkonto als Dienst, für Zertifikatsdienste) 20 Zeichen erkennt Win2000 beim Benutzernamen (am besten immer klein schreiben). Empfehlung bei Passwortlänge 8 Zeichen, max 14 Zeichen. Verteilergruppen werden verwandt für Angelegenheiten, die nicht mit Sicherheit zusammenhängen, z.b. -verteiler. Die Programme müssen mit Active Directory zusammenarbeiten können. Sicherheit Verteilung globale Gruppen allgemeine Aufgabenbereiche (stammen aus einer Domäne) (haben Zugriff auf Ress. anderer Dom.) domänenübergreifende lokale Gruppen Freigegebene Ressourcen (stammen aus mehreren Domänen) Verwaltung (hat Zugriff auf Ress. einer Domäne) (in der Domäne mit den Ress. erstellen) universelle Gruppen (stammen aus allen Domänen) (können Ress. aller Domänen nutzen) (nur im einheitlichen Modus) Resourcen in mehr in einer Domäne Benutzer in globale Gruppen einordnen, die dann in lokale Gruppen eingefügt werden. Globale in unverselle, Rechte auf universelle Gruppen vergeben. Verschachtelungen möglichst minimieren. globale Gruppen (Standard), 4 Stück: Domänen-Admins -Gäste, -Benutzer, Organisations-Admins Prüf: aus dem Text erlesen, um welche Gruppen es geht Domänen + lokale Gruppen = Domänenübergreifende lokale Gruppen Benutzer = gemischter Modus Benutzerkonten = einheitlicher Modus Standardgruppen, -konten und deren Beschreibung sollte man wissen. (User und Gruppen in AD ansehen. Gruppen erhalten auch eine SID. Gruppe gelöscht und neu erstellt: Berechtigungen werden nicht erhalten.

23 Gruppe gelöscht: Benutzer bleiben erhalten. Die Gruppe "Jeder" gab es nur bei NT 3.51 und 4.0. Hauptbenutzer gibt es nur als lokale Gruppe. NTFS, Freigaben, DFS NTFS ACLs / ACEs Dateiberechtigungen vor Ordnerberechtigungen Verweigerung vor Gewährung Standardmässig Vererbung von Berechtigungen auf Unterordner Novell: erst mal keine Berechtigung, muss man hinzufügen MS: erst mal alle Berechtigungen, muss man einschränken Beim Verschieben einer Datei innerhalb einer Partition bleibt diese physikalisch am selben Ort, nur der Pfad wird geändert. Weil die Datei selber nicht neu geschrieben wird, bleiben nur in diesem Fall die Berechtigungen erhalten. Freigaben: Lw C:\ = C$ Admin$ = %Systemroot% (\WINNT) Print$ = %Systemroot%\System32\Spool\Drivers Verwalten von AD Verschieben von Objekten innerhalb einer Domäne mit AD-Snap-Ins. movetree zum Verschieben von Objekten zwischen Domänen verwenden (in einer Gesamtstruktur). Syntax: über cmd "movetree" eingeben, zeigt Optionen an. movetree /start /check Test durchführen, Ggs. /startnocheck Beim Verschieben von Gruppen zwischen Domänen müssen die Gruppen leer sein (wegen GUID = Global User ID). Die User kann man anschliessend wieder hineinverschieben. SID-History (nur in reiner 2000-Umgebung) sorgt dafür, dass Eigenschaften und Attribute nicht verlorengehen. Aus SID2 lässt sich auf SID1 schliessen. Verschieben ist fehlschlagen: Grund z.b. Gleicher Name Andere Kennwortbeschränkungen (unterschiedliche Regeln) Globale Gruppen nicht verschiebbarer vordefinierte OU wie "Lost and found" Backup AD kann mit dem Windows Backup-Programm sichern oder über F8 beim Starten wiederherstellen. Nichtautorisierende Wiederherstellung: Replizierung erfolgt durch andere DCs, um einen aktuellen Status zu erreichen. Autorisierende Wiederherstellung: meine Wiederherstellung überschreibt die anderen DCs. Vor einer Authorisierenden Wiederherstellung muss immer erst eine nichtauthorisiernde Wiederherstellung über Backup vorausgehen. Ausführen: ntdsutil authoritative restore restore database

24 oder restore subtree OU=xxx,OUxxx,DC=xxx,DC=xxx GPO Group Policies Objects Gruppenrichtlinenobjekte -Konfigurationseinstellungen für Computer Benutzer lokale GPOs Standorte Domänen OUs nicht lokale GPOs (AD), überschreiben lokale GPOs Gruppenrichtlinien für Win95 /98 oder NT müssen jeweils mit den dort enthaltenen Tools erstellt werden, nicht mit Win2000. Bei Win2000 muss man zum Verwalten von Gruppenrichtlinien das adminpack.msi (-- Systemsteuerung--Software) installiert haben. Standardmässig wird zuerst die Computerkonfiguration abgearbeitet, dann die Benutzerkonfiguration. Computerpolicy steht in HKEY_LOCAL_MACHINE. Benutzerpolicy steht in HKEY_CURRENT_USER. POST Speicher Bootplatte BS Netzwerk RPC MUP Multiple Universal Naming Convention Provider (Dienstaufrufanbieter) Liste GPOs Computer Standort Änderungen in der Reihenfolge der Abarbeitung? Verarbeitung der Konfigurationseinstellungen lokale für Computer (keine Benutzeroberfläche) Standort Domäne OUs Scripte STRG+ALT+ENTF Login Account / Password Domäne Benutzerprofil, von gültiger GPO gesteuert Liste der GPOs Benutzer Standort Änderungen in der Reihenfolge der Abarbeitung? Verarbeitung der Konfigurationseinstellungen lokale für Computer (keine Benutzeroberfläche) Standort Domäne OUs Scripte asynchrone Abarbeitung (nacheinander) Oberfläche

25 Man kann für jede Domäne, OU oder Server bei den Eigenschaften die Richtlinienvererbung deaktivieren, ausser man hat unter --Eigenschaften--Gruppenrichtlinien--Optionen "kein Vorrang" eingestellt. Beim Verändern von Standardrichtlinien sollte man vorher eine Kopie davon anfertigen. --Richtlinien für Computer--Computerkonfiguration--Administrative Vorlagen--System--Gruppenrichtlinien-- Loopbackverarbeitungsmodus: Einstellungen für Computer, Benutzer und danach nochmal für Computer werden abgearbeitet. -Richtlinientypen Einzelner Nur ein Typ von Einstellungen ist möglich, z.b. Druckerveröffentlichung zulassen Multipler Mehrer Einstellungen sind möglich. Dedizierter Hä? S.491 -Implementierung von GPOs 1. Möglichkeit: Basisrichtlinie für Domäne, spezielle Richtlinie für OUs usw. 2. Möglichkeit: Keine Basisrichtlinie, alle Richtlinien in OUs usw. Anmeldebeschleunigung: In den Eigenschaften eines Gruppenrichtlinienobjekts entweder für Computer oder Benutzer deaktiviert wählen, wenn nicht benötigt. (--OU wählen--eigenschaften--gruppenrichtlinien-- "Name des Gruppenrichtlinienobjekts"--Eigenschaften--Allgemein) -Verwalten von Software mit GPO Erstmalig Updates Entfernen Typen: Verbindlich = Zuweisen unverbindlich = Veröffentlicht Installer-Komponenten: -Betriebssystemdienst -Windows-Installer-Paket (*.msi) -Anwendungsprogrammierschnittstelle (API) *.msi-dateien werden normalerweise vom Hersteller geliefert. Für manche Programme kann man sie selber erstellen (soll z.b. für NT4 Terminalserver-Software gehen). *.msp für patches und Service-Packs *.aas Application Assignment Scripts siehe auch Kopie SDP Softwareverteilungspunkt Ordner einrichten und freigeben und die Ordner mit der Software dort einfügen Anwender = lesen, weitere Rechte nur für Administrator. DFS Distributed File System Sinn: User müssen den Kram nicht auf verschiedenen Servern zusammensuchen. Sieht aus wie ein Ordner, ist aber im Netz verteilt. Beziehen sich auf freigegebene Ordner, die physisch verteilt sind. Die Replikation erfordert NTFS 5 wegen PKT Partition Knowledge Table

26 Partitionsinformationstabelle, enthält die Zuordnungsinformationen (Stamm-/ Replikationsknoten im DFS-Namespace = AD-Standorte / Physische Server). Ähnlich FAT. Informationen erhalten auch ein TTL. Client > PKT > \\Server\Ordner DFS-Stamm (Stammreplikat) DFS-Verknüpfung1 (SVR1) DFS-Verknüpfung2 (SVR2) Maximale Pfadlänge = 260 Zeichen Maximal 1 DFS-Stamm pro Server Maximal freigegebene Ordner pro DFS-Verknüpfung = 1000 Ordner Maximale Anzahl von Stämmen pro Domäne = unbegrenzt Maximale Anzahl von Replikaten von einem domänenbasierten Satz = Typen: Domäne > AD -fehlertolerant Standalone -natürlich nicht PKT.TAB DFS-Pfad Link(Server/Freigabe) TTL DFS #1 UNC#1 5 min Über cmd: oder NET USE *\\Domänenname\DFSStamm\DFSFreigabe\Ordner NET USE *\\Servername\... Datei-Replikation ist etwas anderes als die AD-Replikation. FRS File Replikation Service Dateireplikationsdienst verteilt Dateien. DFSGUI.MSC + DFSGUI.DLL werden benötigt für die DFS-Verwaltungskonsole. Weitere Dateien, die auftauchen können: NETDFS.ADD NETDFS.ENUM NETDFS.SETINFO Hinzufügen von Verknüpfungen lies DFS-Infos aus füge DFS-Infos hinzu Auf dem Server, der den DFS-Stamm hält läuft der DFS-Dienst. DFSSVC.EXE > NETAPI32.DLL DFS.SYS > Weiterleitung der DFS-Infos an Clients Auf dem Client MUP.SYS (Mehrfacher UNC-Provider) = Redirector, Unterstützung für DFS-Client RDR.SYS Kommunikation zwischen DFS-Server / WIN-basierter Datei Server über SMB-Protokoll NWRDR.sys wie GSNW für Netware für DFS, über NCP-Protokoll Verwalten der Sicherheitskonfiguration Snap-In Richtlinien für Default Domain Policy -GPO Sicherheitskonfiguration -Sicherheitseinstellungen -Richtlinie für Konten -lokale Richtlinien -Ereignisprotokoll

27 -Eingeschränkte Gruppen -Systemdienste -Registrierung -Dateisystem -Richtlinien für öffentliche Schlüssel -IP-Sicherheitsrichtlinien Sicherheitsvorlagen Sicherheitsstufen: Standard Basic*.inf BasicDC.inf NT BasicSV.inf BasicWK.inf Kompatibel Compat*.inf NT (Win98) CompatWS.inf Sicher Secure*.inf DCSecurity.inf NT Hohe Sicherheit Hisec*.inf Besonders Notssid.inf Pfad: %Systemroot%\security\templates Wenn man diese Vorlagen verändern will, vorher eine Kopie vom Original speichern! Sicherheitskonfiguration und -Analyse kann man als Snap-In hinzufügen. Überprüft den lokalen Computer auf Sicherheit, indem er ihn mit einer Vorlage aus dem Pfad oben vergleicht und Unstimmigkeiten markiert. Sinn: Sicherheitslücken im Vergleich zu einer bestimmten Vorlage herausfinden. Vorgehen: Das Snap-In bauen, Eigenschaften von "Sicherheitskonfiguration und -Analyse"--Datenbank öffnen--neuen Namen eingeben--öffnen--eine Vorlage importieren--ok--eigenschaften von "Sicherheitskonfiguration und -Analyse"--Computer jetzt analysieren--ergebnisse in den Symbolen links ansehen oder mit--eigenschaften von "Sicherheitskonfiguration und -Analyse"-- Protokolldatei anzeigen die Textform begutachten. Vorsicht: --Eigenschaften von "Sicherheitskonfiguration und -Analyse"--System jetzt konfigurieren würde die Vergleichs-Vorlage auf den Computer jetzt anwenden! Verwaltung der Active-Directory-Leistung Überwachungsdaten: S.637ff soll irgendwie wichtig sein. -Snap-Ins: Leistungsprotokolle und Warnungen--Leistungsindikatorenprotokolle--Systemübersicht ist eine Protokollierungseinstellung, die nicht gelöscht oder überschrieben werden kann. Man kann nur neue Protokollierungen einrichten. Warnungen werden auch hier erstellt. System Monitor Control kann man unter Active-X-Steuerelemente finden und nur so als Snap-In hinzufügen. Ereignisanzeige: Möglichkeiten ansehen. AD-Replikationsmonitor (Support Tools müssen installiert sein): Server erst einzeln hinzufügen. Rechtsklick auf die einzelnen Server > gibt viel zu sehen.

28 AD-Administration Tool (Support Tools müssen installiert sein): LDAP-Verbindung zum Verwalten > weiss der Geier, wie. Befehlszeilen: repadmin dsastat sdcheck nltest acldiag Replikationstopologie anzeigen / konfigurieren zeigt Berechtigungen für ein Objekt RIS -Server BINL.SVC Boot Information Negotiation Layer (.SVC = Dienste) v Verwaltung: TFTPD Trivial File Tranfer Protocol Daemon, verbunden mit CIW Client Installation Wizard SIS Single Instance Store, spart Platz auf dem Datenträger RIS-Datenträger mit RiPrep-Abbild oder nur Installationsdateien -Client PXE > DHCP-basierte Boot-Proms NIC > PCI-Karte erforderlich, kein Legacy. RIS-Startdiskette nötig. BIOS > NetPC / PC98-kompatibel Empfohlen: 100 Mbit-Netzwerk oder schneller. Praxis DHCP- und RIS-Server sollten auf dem gleichen Server laufen (Client darf keinen falschen DHCP-Server erwischen) DOS-Namenskonventionen einhalten! Könnte sonst Probleme beim Client geben. -RIS-Clientinstallationsoptionen Automatisch Benutzerdefiniert Neustart eines vorherigen Setups Wartung / Fehlerbehebung Netzwerkinfrastruktur-Administration (Folge 2) IPSEC Aktivieren: Netzwerk- und DFÜ-Verbindungen--Eigenschaften einer Verbindung--Eigenschaften von TCP/IP--Erweitert--Karte Optionen IPSec nicht verwenden oder IP-Sicherheitsrichtlinie verwenden: Client (nur Antwort) Server (Sicherheit anfordern) Sicherer Server (Sicherheit erforderlich)