Autor: Kay Bollig 1 Dokumentation SBS-Netzwerk Firma XYZ GmbH Stand: Mittwoch, 29. Oktober 2003 Letzter Autor: Bollig
Autor: Kay Bollig 2 Inhalt Gründe für Neuinstallation... 3 Hardwarekonfiguration des Servers... 5 RAID Controller Mainboard Was wird benötigt? - CD s, Lizenz-Nummern etc... 7 Installation von Small Business Server... 8 Ablauf / Reihenfolge Grundinstallation W2K Server... 9 Komponentenliste, Grundeinstellungen sonstige Sicherheits-Tasks Tricks... 13 Festplatten... 15 Tools für Server... 16 Internetzugang einrichten... 17 PPP over Ethernet-Treiber installieren... 18 Grundinstallation SBS-Server... 19 Active Directory, SBS-Komponenten Protokolldefinitionen (Schicht 3 und höher)... 20 Filter- Definitionen / Einrichten Filter... 23 Exchange SMTP Connector konfigurieren... 25 Diensteliste zur Korrektur... 26 POP-Beamer-Konfiguration... 29 SBS-Cals installieren /MACINTOSH-Einbindung / Nettime Synchronisation... 32 Umgebungsvariablentabelle... 33 Drucker ( Konfiguration des Minolta PagePro und Brother Color-Laser)... 35 Notstromversorgung / Powerchute Software... 37 Lizenznummern, Zugangsdaten, Benutzernamen, Passwörter... 38 OSL Vertrag Firma Dahl GmbH, T-Online, Strato USER einrichten... 42 USER-Gruppen,Profile und Verteiler einrichten... 43 Verzeichnisstruktur und Zugriffsberechtigungen... 44 Schema Verzeichnisstruktur und Zugriffsberechtigungen... 45 Userliste mit Kennwörtern... 46 Freigaben... 47 Security Updates HFNETCHECK... 50 Security Updates QCHAIN- Utility... 51 Datensicherung und Archivierung... 52 Speicherorte... 54 KONVENTIONEN... 55 Fehlerfälle... 57 DYN-DNS, VPN- Zugang und Outlook Web Access... 59 Stichworte/ Notizen unsortiert... 65
Autor: Kay Bollig 3 Gründe für Neuinstallation Durch nachträgliche Installationen von Protokollen und Veränderungen am System ist ein Zustand aufgetreten, der nur noch durch eine Neuinstallation unter Vermeidung der bekannten Fehler behoben werden konnte. Diese Fehler sind nicht mutwillig oder durch Unwissenheit aufgetreten, sondern durch Softwarefehler, die uns leider auch weiterhin begleiten werden. Dann können wir jedoch durch unsere Datensicherung auf einen Installationsstand zurückgreifen, bevor sich der Fehler eingeschlichen hat (Rollback). Keine Anwendungen auf dem Server installieren! Wichtig für einen fehlerfreien Betrieb ist ferner, das keinerlei Anwendungen, die nicht mit Serverfunktionen zu tun haben und für SBS freigegeben sind auf dem System installiert werden. Es sollte möglichst kein MS-Office oder irgendeine Anwendung, welche zusätzliche Traps bieten kann, Konflikte verursachen kann oder Ressourcen verbraucht auf dem Server installiert werden. Eine dringende Empfehlung von Microsoft! Microsoft lässt die Windows-GUI auf dem Server zu, was zu dem irrtümlichen Schluss kommen lässt, dass er nicht dediziert läuft. Dies ist leider richtig, man muss leider nachträglich Rechte und Funktionen am Server wegnehmen und ihn letztendlich dann quasi wie einen dedizierten Server sehen. Maßnahmen : IP-Zugriffe von lokalen Shelldiensten unterbinden -> auf oberster Ebene als Zertifikatsherausgeber für die Domäne. Umgebungsvariablen kontrollieren und stutzen. CD-Autoplay disablen, Diskettenlaufwerk deaktivieren lokale Anmeldung nur durch Admins Automatische Abmeldung nach xx Minuten ohne Aktivität zurück zum Dienststatus Never change a running system! Es sind nachträglich Veränderungen an den an die Netzwerkkarten gebundenen Protokollen vorgenommen worden. Das Apple Talk Protokoll machte dauernd Probleme und ist entfernt und wieder hinzugefügt worden. Die Installationsroutinen von MS sind offensichtlich mit dieser Aufgabe überfordert gewesen und haben die Netzwerkkonfiguration zerschossen. Nach dieser Aktion (um die Macintosh s anzubinden) war eine Konfiguration des IP-Protokolls nicht mehr möglich.
Autor: Kay Bollig 4 Gründe für Neuinstallation Schwere Fehler Lösungsmaßnahme VBS-Applicationen wie wie bei TCP-Probl. Adduser etc. werden nicht??? keine Lösung außer gefunden, weil in Reg Neuinstallation irgendwo die Anfangsverz. falsch sind TCPIP / Netzinstallation nicht Regmonitor / Windiff mehr veränderbar DCpromo für Active directory neu Exchange / MTA... stürzt ab Exchange SP2 / neue Security und Rollbackpatches HFS-Netcheck, neue Patches downloaden/ Qchain install Macintosh Services mit Neuinstallation, die Macs haben jetzt beide os 8.5 ISA Cacheinitialisierungsfehler Cache einfach neu definieren Kleine Fehler : Profilverzeichnisse : USER PÜTTER korrupt Policy / für Profile lokal Policy Admins lok. + Domäne Übermenge/ global. NTBackup neue Version für Exchange- Export... Datensicherungskonzept (einfach 3fach Rot) dokumentiert fortlaufend mit Systemänderungen Internet Explorer Security Updates (relativ wichtig) HFNETCHECK Eine chirurgische Lösung ist nicht sinnvoll, da nicht ersichtlich ist, ob das System danach nicht noch versteckte Fehler hat und der Zeitaufwand nicht zu schätzen ist. Zielsetzung ist jetzt: Den Server von Anfang bis Ende neu installieren und die bei der Installation gemachten Fehler nicht wieder machen. Fehlervermeidung in Zukunft : Um eine solche komplette Installation zu vermeiden wird eine Datensicherung bereitgehalten, bei der nicht nur der Datenbestand, sondern auch der letzte funktionierende Installationsstand wieder herstellbar ist (Rollback). Es wird ein Installationslogbuch geführt, in dem Datum und Informationen zu notwendigen Veränderungen am Server festgehalten werden.
Autor: Kay Bollig 5 Hardwarekonfiguration des Servers Raid Controller: An GDT6118RD: Jumper S4 weg / DPMEM: Do not relocate Bios Version 1.26 flashen Alle angeschlossenen Festplatten müssen mit der neuen Firmware neu initialisiert werden. Das Bios bietet hierzu keine direkte Initialisierungsfunktion an. Es geht so: Zuerst mit falschen veränderten Parametern Initialisierung starten und abrechen, dann mit richtigen Parametern zu Ende initialisieren. Mainboard: Mainboard auf BIOS Version F4B updaten Sonst in der alten Bios Version Fehler im Zusammenhang mit IDE-Geräten
Autor: Kay Bollig 6 Hardwarekonfiguration des Servers Raid-Array Konfiguration: Die Konfiguration des Arrays erfolgt über das BIOS des Controllers, das bei Systemstart durch drücken von CTRL-G erreichbar ist
Autor: Kay Bollig 7 Was wird benötigt, - CD s, Lizenz-Nummern etc.? Beschreibung vorhanden Nummern : Small Business-Server :4 CD s mit SN ja xyz xyz xyz xyz xyz Outlook 2000 zu SBS :1 CD mit SN ja xyz xyz xyz xyz xyz Windows 2000 Service Pack 3... ja Exchange Server SP 2,... ja Qchain Utility ja ISA Server Service Pack 1,.. ja Aktuelle Patches die mit HFS-Netcheck ermittelt ja wurden! Popbeamer mit SN ja siehe unten! GDT DRIVER DISK ja! Firmware Updates für Serverhardware ja! TDSL-Treiber ja! Minolta und Brother IP/Port Infos, Passwörter ja siehe unten! Minolta und Brother Treiber, Deploy-SW! PPP over Ehternet-Treiber RASPPOE ja! ICP-Tools ja! Zugangsdaten T-Online ja T-Online-Nummer 021xyz3 Kennwort 00444444444444 4 Anschlussnummer 0002666666662 Anschlussnummer+T-Online-Nr+#0001@t-online.de 001111111111111113#0001@t-online.de Benutzername für DFÜ-Netzwerk! Zugangsdaten Puretec Ja siehe weiter unten! diese Dokumentation Ja Datenträger insgesamt : 4* SBS 1* Outlook zu SBS 1 oder zwei gebrannte CD s mit allen sonstigen Dateien, die oben angegeben sind Name der CD: XYZ-Server Add-Ons
Autor: Kay Bollig 8 Installation von Small Business Server Ablauf / Reihenfolge: Vorbereitungen: Hardware ist vorbereitet und BIOS e auf aktuellem Stand Alle Datenträger, Lizenznummern, vorhanden Informationen über Nameskonventionen, IP-Adressen, Passwörter, Domänen-Richtlinien etc. sind mit GSL geklärt und liegen bereit Start Umstellen Server-BIOS zum Boot von CD Booten von SBS-CD Nummer 1 (F6 drücken um von GDT DRIVER DISK Treiber für RAID-Controller zu laden) Grundinstallation W2K Server danach W2K SP3 Kopieren der Tools in C:\TOOLS Dienste korrigieren Sicherheitsrichtlinie für Domäne einrichten Ereignisprotokolle anpassen Grundinstallation SBS-Server Nettime Synchronisation sonstige Sicherheits-Tasks Tricks Security-Patches Update mit Qchain T-Online Setup Internetzugang einrichten PPP over Ethernet-Treiber installieren Exchange SMTP-Connector Filter definieren SBS-Cals installieren ISA Service Pack installieren Exchange SP3 installieren POP-Beamer-Konfiguration Anwendungsfilter Definitionen Protokolldefinitionen Anpassung SBS-SERVER USER-einrichten USER-Gruppen einrichten und Mitglieder USER-Profile einrichten Verteiler-Gruppen einrichten Verzeichnisberechtigungen und Freigaben einrichten
Autor: Kay Bollig 9 Grundinstallation W2K Server Umstellen Server-BIOS zum Boot von CD Booten von SBS-CD Nummer 1 (F6 drücken um von GDT DRIVER DISK Treiber für RAID-Controller zu laden) Partitionen: C: Bootpartition 8GB (1 RAID1-Paar) D: GGSERVER (1 RAID1-Paar) Die Datenplatten (Z: / 36GB bleiben noch draußen) Computername: GGSERVER Domäne: FIRMA XYZ.DE Administrator-Kennwort: KW1 Netbios-Name : FIRMA XYZ IP der private-nic: 192.168.0.1 Auswahl der Windows Komponenten
Autor: Kay Bollig 10 Unterkomponenten: Internet Informationsdienste Unterkomponenten: Netzwerkdienste
Autor: Kay Bollig 11 Unterkomponenten: Terminaldienste Unterkomponenten: Verwaltungs- und Überwachungsprogramme Unterkomponenten: Weitere Netzwerkdienste Unterkomponenten: Zubehör und Dienstprogramme
Autor: Kay Bollig 12 Unterkomponenten: Zubehör und Dienstprogramme, Unterkomponente: Zubehör Netzwerkeinstellungen bei Erstinstallation, (Grundinstallation W2K Server) Netzwerkkarte #2 (soll public, nach aussen werden) wie folgt: IP 192.168.1.1 Gateway: leerlassen, DNS-Einstellungen: erstmal egal, werden später definiert, NETBIOS über IP Häkchen deaktivieren Netzwerkkarte #1 (wird interne, "private" Schnittstelle) IP: 192.168.0.1 DNS: 192.168.0.1 = er selber macht DNS für die Geräte im Intranet Jetzt eine Weile warten, Installation läuft danach startet System neu LAN-Verbindungen umbenennen, entsprechend intern(#1) und extern(#2)
Autor: Kay Bollig 13 Sonstige Sicherheits-Tasks Tricks - Netbios over IP nach außen nicht auflösen (Häkchen weg) -.REG als ausführbaren Dateityp entfernen - Smartcard, Indexdienst und natürlich Telnet deaktivieren (falls aktiv) lokale Sicherheitsrichtlinie: - letzen Anmeldenamen nicht anzeigen
Autor: Kay Bollig 14 Sonstige Sicherheits-Tasks Tricks Sicherheitsrichtlinien für Domänen: - Administrator umbenennen Einstellungen zum Windows-Explorer: jeden Ordner in selben Fenster öffnen, Einstellung für alle Ordner übernehmen
Autor: Kay Bollig 15 Festplatten einrichten: Namensgebung : C: ROOT D: SBS Z: DATENVOLUME Dateisystem: immer NTFS Laufwerk Y: CD-ROM Ereignisprotokolleinstellungen anpassen: Größe: Anwendung 5MB, sonst 2MB, nie überschreiben
Autor: Kay Bollig 16 Kopieren der Tools in C:\TOOLS Sämtliche Servertools in C:\TOOLS kopieren und von dort aus installieren und dort belassen, es gilt als Installationsverzeichnis Name all_patches Brother2400c_ EXCHSRVSP2DE hfnetchk hplj1100 icptools.exe ISASP1 LAN-Tools Minolta Pagepro pc523.exe popbeam330 RASPPPOE_098 TDSL-download Bedeutung aktuelle W2K Patches sowie Qchain Brother Utils+ Treiber Exchange Service Pack HF-NETCHK Utility HP-Treiber Raid Controller ISA Service Pack Monitoring Tools Minolta Utils+ Treiber Powerchute für Notstromversorgung aktueller Popbeamer PPP over Ethernet Treiber TDSL-Treiber
Autor: Kay Bollig 17 Internetzugang einrichten: 1) TDSL-Treiber installieren mit TDSL - Setup auf die Public-Schnittstelle installieren 2) DFÜ-Verbindung einrichten Tel.-Nummer: 1 (egal) Benutzername: 7777777777777777#0001@t-online.de Kennwort: 006666666666 Netzwerk und DFÜ-Verbindung (DFÜ-Eintrag) - Zeit nach der aufgelegt wird: nie auflegen - Protokolle (siehe oben) - auf keinen Fall gemeinsame Nutzung der Internetverbindung aktivieren Diese DFÜ-Verbindung wird später für Small Business Server als Standardverbindung definiert. Manuell nachinstallierte Verbindungen oder geänderte Verbindungen können dann nicht mehr so einfach nachinstalliert werden, weil Sie in das System eingebunden werden müssen. Danach aktuelles Windows 2000 Service Pack über Installation laufen lassen Stand Okt: XXXX PRE SP4
Autor: Kay Bollig 18 PPP over Ethernet-Treiber installieren Der PPP over Ethernet Treiber wird für die Strecke vom Server zum ADSL-Modem benötigt. Die gepackte Installationsdatei in C:\tools\RASPPPOE_098 entpacken. Dann wie üblich auf die externe Netzwerkverbindung ein neues Protokoll hinzufügen und als Quellpfad C:\tools\RASPPPOE_098 angeben. Das Protokoll wird installiert. Feineinstellungen (NETZWERK-DFÜ-VERBINDUNGEN- >Eigenschaften): Danach Server neu starten. Originalanleitung: Unpack the downloaded archive to a temporary installation directory. Make sure that the following files are correctly extracted: README9X.HTM, READMENT.HTM, README2K.HTM, NETPPP95.INF, RASPPP95.INF, WINPPPOE.INF, OEMSETNT.INF, NETPPPOE.INF, RASPPPOE.INF, WINPPPOE.DLL, RASPPPOE.DLL, RASPPPOE.EXE, RASPPPOE.SYS and RMSPPPOE.SYS. The Intel Itanium 64-bit CPU release only contains the files README2K.HTM, NETPPPOE.INF, RASPPPOE.INF, RASPPPOE.DLL, RASPPPOE.EXE and RMSPPPOE.SYS. NOTE: Explorer may be configured to hide DLL and SYS files, so it may not display these files. Right-click the Network Neighborhood icon on your desktop and select Properties to bring up the Network window. Click on the Protocols tab. On the Protocols property sheet, click the Add... button. In the Select Network Protocol window, click the Have Disk... button. In the Insert Disk window, type the full path of your temporary folder. Then click the OK button. A new window opens, offering the PPP over Ethernet Protocol for installation. Click OK to start installing the protocol. During installation, you may be asked for Windows NT files. If possible, specify the location of the Service Pack you had applied. If you specify the location of the original Windows NT files, you will have to re-apply the Service Pack after the installation of the protocol. Back at the Network window, click on the Bindings tab. On the Bindings property sheet, select Show Bindings for: all adapters. If you have a network adapter dedicated to your broadband modem, it is recommended that you disable the bindings to all other components and leave only PPP over Ethernet Protocol bound. To do this, double-click the dedicated network adapter in the list to expand it and right-click each unneeded component below it and select Disable. After you are done, all components below that adapter except the PPP over Ethernet Protocol should have a little stop sign next to them. If you have more than one network adapter in your system, you may want to disable the PPP over Ethernet Protocol for all adapters but the one your broadband modem is actually connected to. To do this, double-click each network adapter in the list you want to disable the protocol for, right-click the PPP over Ethernet Protocol item below it and select Disable. Click on the Close button to close the Network window and restart your computer to make the protocol functional. After the reboot, you need to create a dial-up connection to use it. See the next section for details. IMPORTANT: If you were prompted for Windows NT files during the installation and you specified the location of the original Windows NT files, you will first have to re-apply the latest Service Pack after the restart and then restart your computer again to make the protocol functional.
Autor: Kay Bollig 19 Grundinstallation SBS-Server 1. Active Directory einrichten: DCPROMO ausführen Active Directory einrichten wie folgt: neue Domäne DNS-Name:Firma XYZ.de NETBIOS-Name : FIRMA XYZ Einstellungen - für NTDS Datenbank und Protokoll auf C:\NTDS\... belassen - Gruppenrichtlinien in \winnt\sysvol belassen Danach Neustart 2. SBS installieren: SBS-CD #1 einlegen, falls Setup nicht automatisch startet manuell starten. IP übernehmen, ISA Server soll 192.168.0.0 Netz betreuen, 192.168.1. die eine IP der externen NIC soll raus Standard-Gateway: leerlassen, (ist er selbst) Komponentenauswahl was alles installiert werden soll: alles Default lassen, nur Pfade für die SBS-Programme auf unsere SBS Platte, also D: setzen Die folgenden Anwendungen werden standardmäßig installiert: Microsoft Internet Security & Acceleration (ISA) Server 2000 Faxdienst Modemdienst Microsoft Exchange 2000 Server Small Business Server-Komponente (Zusatzfunktionen) Das ganze dauert ca. 2-3 Stunden! Geduld!! Danach aktuelle Service Packs installieren: - zu ISA Server momentan ISA SP1 - zu Exchange momentan Exchange2K SP3 Dauer ca. 1-2 Stunden
Autor: Kay Bollig 20 Protokolldefinitionen (Schicht 3 und höher) Die folgenden Standard-TCP-Protokolle sind als factory-default zu SBS definiert und werden bei Einsatz/ Konfiguration der entsprechenden Anwendungen mit den angegebenen Attributen genutzt. In den Filterdefinitionen wird aus dieser Obermenge der zugelassene, bzw. unterbundene Verkehr bestimmt. Die Filterdefinitionen folgen danach. Name Beschreibung Definiert von Port Protokolltyp Richtung Any RPC Server Alle RPC-Schnittstellen zulassen Anwendungsfilt 135 TCP Eingehend er AOL Instant AOL Instant Messenger-Protokoll ISA Server 5190 TCP Ausgehend Messenger Archie Archie-Protokoll ISA Server 1525 UDP Senden Empfangen Chargen(TCP) Character Generator-Protokoll (TCP) ISA Server 19 TCP Ausgehend Chargen(UDP) Character Generator-Protokoll (UDP) ISA Server 19 UDP Senden Empfangen Daytime(TCP) Daytime-Protokoll (TCP) ISA Server 13 TCP Ausgehend Daytime(UDP) Daytime-Protokoll (UDP) ISA Server 13 UDP Senden Empfangen Discard(TCP) Discard-Protokoll (TCP) ISA Server 9 TCP Ausgehend Discard(UDP) Discard-Protokoll (UDP) ISA Server 9 UDP Senden Empfangen DNS Query DNS (Domain Name System) ISA Server 53 UDP Senden Empfangen DNS Query Server Domain Name System - Server ISA Server 53 UDP Empfangen Senden DNS Zone Transfer DNS Zone Transfer-Protokoll ISA Server 53 TCP Ausgehend DNS Zone Transfer DNS-Zonentransfer - Server ISA Server 53 TCP Eingehend Server Echo (TCP) Echo-Protokoll (TCP) ISA Server 7 TCP Ausgehend Echo (UDP) Echo-Protokoll (UDP) ISA Server 7 UDP Senden Empfangen Exchange RPC Ermöglicht Exchange-Server für RPC- Anwendungsfilt 135 TCP Eingehend Server Zugriff von einem externen Netzwerk zu veröffentlichen. er Finger Finger-Protokoll ISA Server 79 TCP Ausgehend FTP FTP-Protokoll Anwendungsfilt 21 TCP Ausgehend er FTP Download only FTP-Protokoll, nur Download Anwendungsfilt 21 TCP Ausgehend er FTP Server FTP-Serverprotokoll Anwendungsfilt 21 TCP Eingehend er Gopher Gopher-Protokoll ISA Server 70 TCP Ausgehend H.323 Protocol H.323-Protokoll - Zulassen von Anwendungsfilt 1720 TCP Ausgehend Q.931/H.245/RTP/RTCP/T.120 er HTTP Hyper Text Transfer-Protokoll (HTTP) ISA Server 80 TCP Ausgehend HTTPS Secure Hyper Text Transfer-Protokoll ISA Server 443 TCP Ausgehend HTTPS Server Secure Hyper Text Transfer-Protokoll - ISA Server 443 TCP Eingehend Server ICA Citrix Intelligent Console Architecture- ISA Server 1494 TCP Ausgehend Protokoll ICQ ICQ Instant Messenger-Protokoll ISA Server 4000 UDP Senden (Legacy) ICQ 2000 ICQ 2000-Protokoll ISA Server 5190 TCP Ausgehend Ident Ident-Protokoll ISA Server 113 TCP Ausgehend IMAP4 Interactive Mail Access-Protokoll ISA Server 143 TCP Ausgehend IMAP4 Server Interactive Mail Access-Protokoll (IMAP) ISA Server 143 TCP Eingehend Server IMAPS Secure Interactive Mail Access-Protokoll ISA Server 993 TCP Ausgehend IMAPS Server Secure Interactive Mail Access-Protokoll (IMAP) Server ISA Server 993 TCP Eingehend
Autor: Kay Bollig 21 Protokolldefinitionen (Schicht 3 und höher) IRC Internet Relay Chat ISA Server 6667 TCP Ausgehend Kerberos- Kerberos-Verwaltung (TCP) ISA Server 749 TCP Ausgehend Adm(TCP) Kerberos- Adm(UDP) Kerberos-Verwaltung (UDP) ISA Server 749 UDP Senden Empfangen Kerberos-IV Kerberos IV-Authentifizierungsprotokoll ISA Server 750 UDP Senden Empfangen Kerberos-Sec(TCP) Kerberos V-Authentifizierungsprotokoll ISA Server 88 TCP Ausgehend Kerberos-Sec(UDP) Kerberos V-Authentifizierungsprotokoll (UDP) ISA Server 88 UDP Senden Empfangen LDAP Lightweight Directory Access-Protokoll (LDAP ) ISA Server 389 TCP Ausgehend LDAP GC (Global Lightweight Directory Access-Protokoll Global ISA Server 3268 TCP Ausgehend Catalog) Catalog-Protokoll LDAPS Secure Lightweight Directory Access-Protokoll ISA Server 636 TCP Ausgehend LDAPS GC (Global Secure Lightweight Directory Access-Protokoll ISA Server 3269 TCP Ausgehend Catalog) Global Catalog-Protokoll Microsoft SQL Microsoft SQL Server-Protokoll ISA Server 1433 TCP Eingehend Server MMS - Windows Microsoft Media Streaming-Protokoll (Client) Anwendungs 1755 Gemisch Gemischt Media filter t MMS - Windows Microsoft Media Streaming-Protokoll (Server) Anwendungs 1755 Gemisch Gemischt Media Server filter t MSN MSN-Internetzugangsprotokoll ISA Server 569 TCP Ausgehend MSN Messenger MSN Messenger-Protokoll ISA Server 1863 TCP Ausgehend Net2Phone Net2Phone-Protokoll ISA Server 6801 UDP Senden Net2Phone Net2Phone-Registrierungsprotokoll ISA Server 6500 TCP Ausgehend registration NetBios Datagram NetBIOS Datagram-Protokoll ISA Server 138 UDP Senden NetBios Name Service NetBIOS Name Service-Protokoll ISA Server 137 UDP Senden Empfangen NetBios Session NetBIOS-Sitzungsprotokoll ISA Server 139 TCP Ausgehend NNTP Secure Network News Transfer-Protokoll ISA Server 119 TCP Ausgehend (NNTP) NNTP Server Network News Transfer-Protokoll - Server ISA Server 119 TCP Eingehend NNTPS Secure Network News Transfer-Protokoll ISA Server 563 TCP Ausgehend NNTPS Server Secure Network News Transfer-Protokoll - ISA Server 563 TCP Eingehend Server NTP (UDP) UDP-Protokoll (Network Time-Protokoll) ISA Server 123 UDP Senden Empfangen PNM RealNetworks protocol (Client) RealNetworks Streaming Media-Protokoll (PNM) (Client) Anwendungs filter 7070 TCP Ausgehend PNM RealNetworks protocol (Server) RealNetworks Streaming Media-Protokoll (PNM) (Server) Anwendungs filter 7070 TCP Eingehend POP2 Post Office-Protokoll, V.2 ISA Server 109 TCP Ausgehend POP3 Post Office-Protokoll, V.3 ISA Server 110 TCP Ausgehend POP3 Server Post Office-Protokoll, v.3 - Server ISA Server 110 TCP Eingehend POP3S Secure Post Office-Protokoll, V.3 ISA Server 995 TCP Ausgehend POP3S Server Secure Post Office-Protokoll, v.3 - Server ISA Server 995 TCP Eingehend Quote (TCP) Quote of the day-protokoll (TCP) ISA Server 17 TCP Ausgehend Quote (UDP) Quote of the day-protokoll (UDP) ISA Server 17 UDP Senden Empfangen
Autor: Kay Bollig 22 Protokolldefinitionen (Schicht 3 und höher) RADIUS Remote Authentication Dial-In User Service- Protokoll ISA Server 1812 UD P Senden Empfangen RADIUS Accounting Remote Authentication Dial-In User Service Accounting-Protokoll ISA Server 1813 UD P Senden Empfangen RDP (Terminal Remote Desktop-Protokoll (Terminaldienste) ISA Server 3389 TCP Ausgehend Services) RIP Routing Information-Protokoll ISA Server 520 UD P Senden Empfangen Rlogin Remote Login-Protokoll ISA Server 513 TCP Ausgehend RTSP Real Time Streaming-Protokoll (Client) Anwendungsfilte 554 TCP Ausgehend r RTSP Server Real Time Streaming-Protokoll (Server) Anwendungsfilte 554 TCP Eingehend r SMTP Simple Mail Transfer-Protokoll (SMTP) ISA Server 25 TCP Ausgehend SMTP Server Simple Mail Transfer-Protokoll - Server ISA Server 25 TCP Eingehend SMTPS Secure Simple Mail Transfer-Protokoll ISA Server 465 TCP Ausgehend SMTPS Server Secure Simple Mail Transfer-Protokoll (SMTP) ISA Server 465 TCP Eingehend - Server SNMP SMTP-Protokoll (Simple Network Management- Protokoll) ISA Server 161 UD P Senden Empfangen SNMP Trap SMTP-Protokoll (Simple Network Management- Protokoll) - Trap ISA Server 162 UD P Senden Empfangen SSH Secure Shell-Protokoll ISA Server 22 TCP Ausgehend Telnet Telnet-Protokoll ISA Server 23 TCP Ausgehend Telnet Server Telnet-Protokoll - Server ISA Server 23 TCP Eingehend TFTP Trivial File Transfer-Protokoll ISA Server 69 UD Senden P Time (TCP) Time-Protokoll (TCP) ISA Server 37 TCP Ausgehend Time (UDP) Time-Protokoll (UDP) ISA Server 37 UD P Senden Empfangen WhoIs Nickname/Whois-Protokoll ISA Server 43 TCP Ausgehend
Autor: Kay Bollig 23 Protokoll-Filter Definitionen SBS ist installiert sowie die aktuellen Patches Jetzt werden TCPIP-Filter definiert wie folgt: Small Business-Administrator-Konsole starten auf folgenden Knoten (siehe Abb.) gehen : rechte Maustaste neuer Filter Die fehlenden Filter hinzufügen (siehe nächste Seite):
Autor: Kay Bollig 24 Protokoll-Filter Definitionen Die Filter sind schon vorinstalliert bis auf die fett gedruckten (Custom-Filter) zu SMTP und POP3 Name BackOffice DHCP Client BackOffice IcmpPingQuery PredefinedType BackOffice IdentdPredefine dtype BackOffice POP3 110 Out CustomFilter (USR_pop3) BackOffice Pop3Predefine dtype BackOffice SMTP 25 Out CustomFilter (usr_smtp) BackOffice SmtpPredefine dtype DHCP-Client DNS-Filter ICMP ausgehend ICMP nicht erreichbar ICMP-Ping- Antwort (eingehend) ICMP- Sourcequench ICMP- Zeitüberschreit ung (eingehend) Modus Zulasse n Zulasse n Filtertyp Prot okoll Richtung Lokaler Port Benutzerdefinie rtes Filter UDP Beide 68 67 Rem oteport ICMP- Typ ICMP- Code ICMP-Ping- Anfrage ICMP Eingehend 8 0 Zulasse n Identd TCP Eingehend 113 Zulass en Benutzerdefini ertes Filter TCP Ausgehend Alle Ports Dynami sch 110 Zulasse n POP3 TCP Eingehend 110 Zulass en Benutzerdefini ertes Filter TCP Ausgehend Alle Ports Dynami sch 25 Zulasse n SMTP TCP Eingehend 25 Zulasse n Alle Ports Benutzerdefinie rtes Filter UDP Beide 68 67 Zulasse n DNS-Suche UDP Zulasse n Zulasse n Zulasse n Zulasse n Zulasse n Senden und Empfangen ICMP, alle ausgehend ICMP Ausgehend Alle Ports 53 Alle Typen ICMP nicht erreichbar ICMP Eingehend 3 Alle Codes Alle Codes ICMP-Ping- Antwort ICMP Eingehend 0 0 ICMP- Sourcequench ICMP Eingehend 4 0 ICMP- Zeitüberschreit ung ICMP Eingehend 11 Alle Codes Lokaler Computer Externe IP- Adresse - Remo tecomp uter 0.0.0.0 Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Standardmäßig e externe IP- Adresse Alle Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle Externe IP- Adresse - 0.0.0.0 Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle Standardmäßig e externe IP- Adresse Alle
Autor: Kay Bollig 25 Exchange SMTP-Connector einrichten Small Business-Administrator-Konsole starten auf folgenden Knoten gehen: Einstellungen SMTP-Connector so setzen: Dienste korrigieren
Autor: Kay Bollig 26 Dienste korrigieren: Mit dieser Liste vergleichen und Starttyp entsprechend einstellen. Name Beschreibung Status Autostarttyp Distributed Transaction Coordinator Koordiniert Transaktionen, die über mindestens zwei Datenbanken, Message Queues, Dateisysteme oder andere transaktionsgeschützte Ressourcen-Manager verteilt sind. Ablagemappe Unterstützt die Ablagemappe und erlaubt Seiten auf Remoteablagemappen anzuzeigen. Manuell Anmeldedienst Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne. Anwendungsverwa Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation. Manuell ltung Arbeitsstationsdien Bietet Netzwerkverbindungen und -kommunikation st Automatische Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Updates Das Betriebssystem kann manuell über die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird. COM+- Stellt COM-Komponenten automatische Verteilung von Ereignissen zur Verfügung. Gestartet Manuell Ereignissystem Computerbrowser Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an Programme weiter. Dateireplikationsdi Gewährleistet die Dateisynchronisation von Verzeichnissen über mehrere Server. enst Dateiserver für Ermöglicht es Macintosh-Benutzern, Dateien auf diesem Windows-Server zu Macintosh speichern und abzufragen. DHCP-Client Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden. DHCP-Server Bietet dynamische IP-Adresszuweisung und Netzwerkkonfiguration für DHCP-Clients (Dynamic Host Configuration Protocol.) Dienst "Ausführen als" Aktiviert das Starten von Prozessen unter alternativen Anmeldeinformationen DNS-Client Wertet DNS-Namen (Domain Name System) aus und speichert sie zwischen. DNS-Server Beantwortet Abfrage- und Aktualisierungsanforderungen für DNS-Namen (Domain Name System.) Druckwarteschlang Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken. e Ereignisprotokoll Protokolliert von Programmen und Windows gesendete Ereignisnachrichten. Das Ereignisprotokoll beinhaltet Informationen, die zur Diagnose von Problemen hilfreich sein können. Das Protokoll kann mit der Ereignisanzeige angesehen werden. Faxdienst Unterstützt Sie beim Senden und Empfangen von Faxen. Manuell Gemeinsame Bietet allen Computern über eine DFÜ-Verbindung Netzwerkadressübersetzungs- und Namensauflösungsdienste auf Manuell Nutzung der Internetverbindung Ihrem Netzwerk. Geschützter Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Speicher Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Hilfsprogramm- Startet und konfiguriert Eingabehilfen über einen zentralen Dialog. Manuell Manager ICPService IIS Admin-Dienst Ermöglicht die Verwaltung von Webdiensten und FTP-Diensten mit Hilfe des Snap-In der Internet-Informationsdienste. Indexdienst Indiziert Dateiinhalt und -eigenschaften auf lokalen und Remotecomputer und bietet schnellen Dateizugriff durch eine flexible Abfragesprache. Deaktiviert Intelligenter Hintergrundübertra gungsdienst IPSEC- Richtlinienagent Kerberos- Schlüsselverteilun gscenter Leistungsdatenprot okolle und Warnungen Überträgt Dateien im Hintergrund unter Verwendung von sich in Leerlauf befindender Netzwerkbandbreite. Falls dieser Dienst beendet wird, können Funktionen wie Windows Update und MSN Explorer Programme und andere Informationen nicht automatisch übertragen. Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber. Generiert Sitzungsschlüssel und liefert Diensttickets für gegenseitige Client-/Server- Authentifizierung. Konfiguriert Leistungsdatenprotokolle und Warnungen. Manuell Manuell Lizenzprotokollierdienst Microsoft Microsoft Exchange Server zum Abrufen von POP3-Mail von unabhängigen Dienstanbietern aktivieren. Die Nachrichten Manuell Connector for POP3 Mailboxes werden dann zu den lokalen Exchange Server-Postfächern weitergeleitet. Microsoft Exchange IMAP4 Stellt Microsoft Exchange IMAP4-Dienste zur Verfügung. Deaktiviert
Autor: Kay Bollig 27 Microsoft Stellt Microsoft Exchange X.400-Dienste zur Verfügung. Exchange MTA- Stacks Microsoft Stellt Microsoft Exchange POP3-Dienste zur Verfügung. Exchange POP3 Microsoft Überwacht Ordner und meldet Ereignisse; für Exchange 5.5-kompatible Serveranwendungen. Exchange-Ereignis Microsoft Verwaltet die Microsoft Exchange-Informationsspeicher. Exchange- Informationsspeich er Microsoft Verarbeitet Routinginformationen von Microsoft Exchange. Exchange- Routingmodul Microsoft Exchange-Standortreplikationsdienst Microsoft Exchange- Systemaufsicht Microsoft Exchange- Verwaltung Microsoft Faxserver Stellt systembezogene Dienste für Microsoft Exchange zur Verfügung. Stellt Microsoft Exchange-Verwaltungsinformationen mittels WMI zur Verfügung. Manuell Unterstützt Sie beim Senden und Empfangen von Faxen mit diesem Computer oder einem anderen angeschlossenen Windows-Computer. Deaktiviert Deaktiviert Microsoft Firewall Bietet Firewallschutz für Firewall- und SecureNAT-Clients. Microsoft geplanter Überträgt den Cacheinhalt von Webservern, basierend auf angegebenen geplanten Cacheinhaltdownlo ad Aufträgen. Microsoft H.323- Unterstützt die Kommunikation zwischen H.323-Gatekeeper-kompatiblen Gatekeeper Anwendungen. Microsoft ISA Steuert ISA Server-Dienste. Server-Steuerung Microsoft Search Erstellt Volltextindizes für Inhalte und Eigenschaften strukturierter und teilweise strukturierter Daten. Dies ermöglicht das rasche sprachliche Durchsuchen dieser Daten. Microsoft Bietet Webkonnektivität mit den Webproxyclients. Webproxy Nachrichtendienst Sendet und empfängt Nachrichten, die von Administratoren oder vom Warndienst übertragen wurden. NetMeeting- Ermöglicht autorisierten Personen auf Ihren Windows-Desktop mit NetMeeting zuzugreifen. Deaktiviert Remotedesktop- Freigabe Network News- Transportiert Netzwerkbotschaften über das Netzwerk Transportprotokoll (NNTP) Netzwerk-DDE- Netzwerktransport und Sicherheit für DDE (Dynamic Data Exchange.) Manuell Dienst Netzwerk-DDE- Verwaltet den Austausch von gemeinsamen dynamischen Daten und wird vom Netzwerk-DDE verwendet. Manuell Serverdienst Netzwerkverbindun Verwaltet Objekte im Ordner 'Netzwerk- und DFÜ-Verbindungen', in dem sowohl LAN- Gestartet Manuell gen, als auch WAN-Verbindungen angezeigt werden. NT-LM- Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Gestartet Manuell Sicherheitsdienst Named Pipes verwenden. Plug & Play Verwaltet Geräteinstallationen sowie -konfigurationen und informiert Programme über Geräteänderungen. POPBeamer QoS RSVP Bietet Programmen und Systemsteuerungssymbolen, die QoS unterstützen, Installationsfunktionen zur Steuerung von Manuell Netzwerksignalen und lokalem Netzwerkverkehr. RAS- Stellt eine Netzwerkverbindung her. Gestartet Manuell Verbindungsverwal tung Remoteprozedurau Endpunktzuordnung und andere verschiedene RPC-Dienste. fruf (RPC) Remote- Ermöglicht die Bearbeitung der Registrierung über das Netzwerk. Registrierungsdien st Routing und RAS Bietet Routingdienste in LAN- und WAN-Netzwerkumgebungen. Deaktiviert RPC-Locator Verwaltet die Datenbank für den RPC-Namensdienst. Server Bietet RPC-Unterstützung sowie Datei-, Drucker-, und Named Pipe-Freigabe. SFM-Druck-Server Ermöglicht es Macintoshbenutzern, Druckaufträge an einen Spooler auf einem Server mit Windows 2000 zu senden. Sicherheitskontenv erwaltung Speichert Sicherheitsinformationen für lokale Benutzerkonten.
Autor: Kay Bollig 28 Simple Mail- Transportprotokoll (SMTP) Smartcard Transportiert E-Mail über das Netzwerk Verwaltet und steuert Zugriff auf eine Smartcard, die sich in einem Smartcard-Leser befindet, das an den Computer angeschlossen ist. Unterstützt herkömmliche Smartcard-Leser, die an den Computer angeschlossen sind. Ermöglicht das Senden und Empfangen von Nachrichten zwischen Windows Advanced Server-Standorten. Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen. Deaktiviert Deaktiviert Smartcard- Hilfsprogramm Standortübergreife nder Meldungsdienst Systemereignisben achrichtigung Taskplaner Ermöglicht es, ein Programm zu einer vorgegebenen Zeit auszuführen. TCP/IP-NetBIOS- Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die Hilfsprogramm NetBIOS-Namensauflösung. Telefonie Bietet Telefonie-API-Unterstützung (TAPI) für Programme, die Telefoniegeräte Gestartet Manuell steuern, sowie IP-basierte Sprachverbindungen am lokalen Computer und über das LAN, auf Servern, die diesen Dienst ebenfalls ausführen. Telnet Ermöglicht es einem Remotebenutzer, sich am System anzumelden und Konsolenprogramme unter der Verwendung Deaktiviert der Befehlszeile auszuführen. Terminaldienste Bietet eine Multisessionumgebung, die es Clientgeräten ermöglicht, auf eine virtuelle Windows 2000 Professional-Desktopsitzung zuzugreifen und Windows-basierte Programme auf dem Server auszuführen. Überwachung verteilter Verknüpfungen (Client) Sendet Benachrichtigungen über Dateien, die zwischen NTFS-Laufwerken in einer Netzwerkdomäne bewegt werden. Überwachung verteilter Verknüpfungen (Server) UPS - APC PowerChute plus Verteiltes Dateisystem (DFS) Verwaltung für automatische RAS-Verbindung Verwaltung logischer Datenträger Verwaltungsdienst für die Verwaltung logischer Datenträger Speichert Informationen, damit Dateien, die zwischen Laufwerken verschoben werden, für jedes Laufwerk in der Domäne überwacht werden können. Verwaltet eine an den Computer angeschlossene unterbrechungsfreie Spannungsversorgung (USV). Verwaltet logische Datenträger, die sich auf einem LAN- oder WAN-Netzwerk befinden. Erstellt immer eine Verbindung zu einem Remotenetzwerk her, wenn ein Programm eine Remote-DNS- oder -NetBIOS- Deaktiviert Adresse anspricht. Überwachungsdienst für die Verwaltung logischer Datenträger Verwaltungsdienst für Datenträgerverwaltungsanforderungen Warndienst Benachrichtigt bestimmte Benutzer und Computer über administrative Warnungen. Wechselmedien Verwaltet austauschbare Medien, Geräte und Bibliotheken. Manuell Windows Installer Installiert, repariert oder entfernt Software gemäß der in MSI-Dateien enthaltenen Anweisungen. Manuell Windows- Verwaltungsinstru mentation Windows- Verwaltungsinstru mentations- Treibererweiterung en Windows- Zeitgeber WINS (Windows Internet Name Service) WWW- Publishingdienst Zeigt Systemverwaltungs-Informationen an. Bietet Systemverwaltungsinformationen für und von Treibern. Stellt die Systemuhr. Bietet einen NetBIOS-Namensdienst für TCP/IP-Clients, die NetBIOS-Namen registrieren und auswerten müssen. Stellt Webverbindung und Webverwaltung mit Hilfe des Snap-In der Internet- Informationsdienste zur Verfügung. Gestartet Manuell
Autor: Kay Bollig 29 POP-Beamer-Konfiguration: Grundinstallation: Start Setup.exe or create a directory on your machine and copy all the files into this directory. 1. Start MBAdmin.exe to configure POPBeamer. o The first time you run POPBeamer you will be prompted for the following information: o Postmaster's address The address of the person who is responsible for maintaining POPBeamer. POPBeamer will send all error messages and undeliverable messages to this address. o Send Messages to Host The name or IP address of the Exchange server. If POPBeamer is running on the same machine as the Exchange server than you can use localhost for this name. 2. If you are using a dial-up connection to the Internet then click on the dial-up tab and enable it. 3. For every POP3 or IMAP mailbox that POPBeamer should scan, you need to create a mailbox in File->New POP3 mailbox or File->New IMAP mailbox. 4. POPBeamer needs to know the mailbox, the password and the server (host) where the mailbox resides. 5. POPBeamer also needs the to know which e-mail address the message(es) should be forwarded to. 6. If you select Auto Detect, POPBeamer will try to decipher the recipient from the SMTP header of the message. Popbeamer Registrierung : C:\Dokumente und Einstellungen\Administrator>cd \popbeam Note: In case POPBeamer can not find a valid recipient in the SMTP header it will forward the message to the postmaster. By default POPBeamer scans the POP3 or IMAP mailbox every 15 minutes for new messages unless you change the schedule. 7. POPBeamer needs to know which addresses are on your Exchange server so that it can properly route the messages to the final recipient. C:\popbeam>mbserver -r99999 POPBeamer v3.28 (Win2000) (c) copyright DataEnter, Michael Kocum 1993-2001 portions (c) Microsoft Corp. Die Registrierungnummer wird online überprüft... Die Applikation wurde erfolgreich registriert und wird in den nächsten 60 Sekunden neu starten. C:\popbeam> The method can be changed in View->Options->Verify. The methods are: o o o Domain List This option works with all versions of Exchange server as long as your Exchange server is responsible for the complete domain. If you own your own domain, then this method should be used. Do not forget to add your domain to the Domain List in View->Domain List Address List This option works with all versions of Exchange server, but the Address List needs to be updated every time an address is changed. This can be done manually in View->Address List or by using the ExchImp.exe, which is included with POPBeamer. SMTP VRFY Command This option requires an Exchange v5.x and it does not work on an Exchange 2000. The VRFY command needs to be enabled for the Internet Mail Service. By default the VRFY is disabled, because it can be uses to query your e-mail addresses. However, due the fact that a DUN connection is usually used, there should be no risk in enabling this. Note: The Exchange server threats a Custom Recipient the same way as a mailbox. It makes POPBeamer thinking the user is on your server, whereas in fact it is somewhere on the Internet. If you have Custom Recipient, then you should use the Address List option, because then you have full control over the addresses.
Autor: Kay Bollig 30 POP-Beamer-Konfiguration:
Autor: Kay Bollig 31 POP-Beamer-Konfiguration:
Autor: Kay Bollig 32 SBS-Cals (Client Access Licenses) installieren: ORIGINAL-Diskette für 5 zusätzliche Clientlizenzen in Server einlegen und A: Setup ausführen. Das war es! SERVERZEIT einstellen: Start Ausführen CMD In DOS-Fenster : C:\> net time /setsntp:ggserver Danach sollte "Der Befehl wurde erfolgreich ausgeführt" erscheinen. MACINTOSH-Einbindung: Damit Macinstoshes auf den Server und angeschlossene Geräte zugreifen können, wie auf einen Appleshare-Server und Apple-Talk Postscript-Drucker müssen die Dienste SFM- Druckmanager sowie die Services für Macintosh laufen und gestartet sein. Wenn bei der Grundinstallation von W2K Server die folgenden Komponenten installiert wurden starten diese Dienste automatisch und es wird automatisch eine Freigabe "Microsoft UAM Datenträger" erstellt, auf dem sich die Macintosh Installationsprogramme für die erweiterte Authentifizierung an Windows Domänen für ältere MAC-OS-Systeme befinden. Nie nachträglich diese Komponente installieren oder hinzufügen. Finger weg! Auch nie die Apple-Talk Protokolle nachträglich binden oder entbinden! Das war mit ein Grund warum der Server neu installiert werden musste. Um Verzeichnisse auf dem Server freizugeben in Computerverwaltung mit der rechten Maustaste auf Freigaben klicken und Kontextmenü neue Datenfreigabe wählen Danach erscheint dieses Fenster: Für erweiterte Funktionen wird auf CMD-Ebene der Befehl MACFILE benutzt (brauchen wir aber nicht).
Autor: Kay Bollig 33 Umgebungsvariablen Wenn später irgendwas mal nicht laufen sollte, hiermit zur Kontrolle vergleichen und evtl. nachträglich manuell korrigieren. Variable Wert Benutzername ComSpec %SystemRoot%\system32\cmd.exe <SYSTEM> Os2LibPath %SystemRoot%\system32\os2\dll; <SYSTEM> Path %SystemRoot%\system32;%SystemRoot%;%SystemRoot% <SYSTEM> \System32\Wbem;%BackOfficeProgramDir%\Management; %BackOfficeProgramDir%\ClientSetup;%BackOfficeProgra mdir%\connectivity\icw; windir %SystemRoot% <SYSTEM> OS Windows_NT <SYSTEM> PROCESSOR_ARCHITEC x86 <SYSTEM> TURE PROCESSOR_LEVEL 6 <SYSTEM> PROCESSOR_IDENTIFIER x86 Family 6 Model 8 Stepping 1, GenuineIntel <SYSTEM> PROCESSOR_REVISION 801 <SYSTEM> NUMBER_OF_PROCESSO 2 <SYSTEM> RS PATHEXT.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH <SYSTEM> TEMP %SystemRoot%\TEMP <SYSTEM> TMP %SystemRoot%\TEMP <SYSTEM> EXCHICONS D:\Programme\Exchsrvr\bin\maildsmx.dll <SYSTEM> BackOfficeProgramDir D:\Programme\Microsoft BackOffice <SYSTEM> PWRCHUTE C:\Programme\Pwrchute <SYSTEM> TEMP %USERPROFILE%\Lokale Einstellungen\Temp PRer TMP %USERPROFILE%\Lokale Einstellungen\Temp PRE\er TEMP %USERPROFILE%\Lokale Einstellungen\Temp EON\Bo TMP %USERPROFILE%\Lokale Einstellungen\Temp P\Bo
Autor: Kay Bollig 34 Drucker (Konfiguration des Minolta PagePro und Brother Color-Laser) Beide Drucker verfügen über eine 802.03 Ethernet-Schnittstelle 10Base2 Beide unterstützten TCP/IP und SPX-Protokoll Beide unterstützen DHCP, in unserem Fall vergeben wir den Druckern jedoch manuell eine IP- Adresse um Sie hinterher über einen manuell definierten IP-Port anzusprechen. Sie verfügen jeweils über einen kleinen WEB-Server um sie über einen Browser zu konfigurieren. Brother Color-Laser: IP 192.168.0.247 / Port 9100 Minolta PagePro : IP 192.168.0.199 / Port 10001
Autor: Kay Bollig 35 Drucker (Konfiguration des Minolta PagePro und Brother Color-Laser) Brother Color-Laser Einstellungen über Browser: Ich habe die IP-Einstellungen manuell am Bedienfeld vorgenommen. Kennwort für den Drucker: 000 für die Extended-Net MEA-Karte: xyz Mit dem Programm BRADMIN kann man komfortabel den Drucker verwalten. Administration über Browser:
Autor: Kay Bollig 36 Drucker Konfiguration des Minolta PagePro Minolta PagePro Einstellungen über Browser: Ich habe die IP-Einstellungen manuell am Bedienfeld vorgenommen. Kennwort für den Drucker und MEA: gkgggggg3 Auch Minolta bietet eine Anwendung zur Verwaltung des Druckers über Konsole Administration über Browser:
Autor: Kay Bollig 37 Notstromversorgung / Powerchute Software Unsere Smart-UPS USV unterstützt nur Smart Signaling. Das graue Smart-Signaling Kabel von APC kommt in die zum Tastaturstecker des Mainboards gelegene serielle Schnittstelle, die als COM2 definiert ist Powerchute (momentan 5.23) installieren und Communications-Parameter wie folgt einstellen. Dann müssen noch die Event-Actions eingestellt werden.
Autor: Kay Bollig 38 Lizenznummern, Zugangsdaten, Benutzernamen, Passwörter - T-Online - Microsoft OSL T-Online DSL / Internetzugangsdaten T-Online-Nr.: 0232432432413 Mitbenutzer T-Online- Kenwort Anschlußnummer+T-Online-Nr+#0001 Nummer (=Mitbenutzernummer) 0001 fffffff 0014324 000232423432413#0001 Mitbenutzerkonten 000444443244444443#0001 funktioniert 00ffff 0004309244fffff4413#0005 funktioniert KW3 00023244092024444#1111 Es funktionieren nicht : 33,33, 00324,f 0012345678901234567#1112 Es funktionieren nicht : 3,33, 00106344,f 0012345678901234567#1113 Es funktionieren nicht : KW2,KW1, 234567,g 00123456789012345673#0002 funktioniert admink 000123456789012345673#0100 funktioniert musicus inakt.->aktiv inakt.->aktiv inakt.->aktiv Link zu OSL https:\\osl. Kennwort KW2 E-Mail : info@firma XYZ.com OSL Vertrag XXYZ GmbH OSL-Home Login https://osl.microsoft.ce http://login.passport.net/uilogin.srf?id=ff9 OSL-Vertragsnummer bei Microsoft: 12346 Support Vertragsnummer: 12346 CSM=Customer-Support Manager CSM-Access-ID: 12346 Passwort: 12346 Allgemeine Acces-ID: 12346 Passwort 12346
Autor: Kay Bollig 39 Lizenznummern, Zugangsdaten, Benutzernamen, Passwörter - Microsoft OSL Kontoauszug Kontoauszug 10.Oktober 2002 Der folgenden Aufstellung können Sie alle Informationen zu Ihrer OPEN Subscription License Vereinbarung entnehmen. Bitte beachten: Sollte die ursprüngliche Währungsauswahl für Ihre Bestellungen DEM gewesen sein, ist diese nun auf den Euro convertiert zu einem Wechselkurs von 1.95583 (ab 1st November 2001). Sollte Ihre ursprüngliche Währungsauswahl ATS gewesen sein, ist diese nunmehr auf den Euro convertiert zu einem Wechselkurs von 13.7603 (ab 1st November 2001) Kundeninformationen Kunden ID Firmenname Beginn der Laufzeit Ende der Laufzeit Zahlungsweise Rechnungsstellung Währung Land des Rechnungsempfänger Preisstufe 1f XY GmbH dfsdf sdf einmal im Jahr Rechnung Euro Deutschland B Informationen zum Software Advisor Firmenname Ansprechpartner Telefonnummer Email-Adresse fff GmbH ffff +49(ff c.gaulffffffe Komponenten Name Order Status - Datum Menge Geliefert Gesamtpreis Jahr 1 Gesamtpreis Jahr 2 Gesamtpreis Jahr 3 Gesamtpreis Microsoft Office Professional Component 4,2.79 Microsoft Windows Professional Upgrade Component Zusätzliche Produkte 1,56.24 Gesamt.03 Name Order Status - Datum Menge Geliefert Gesamtpreis Jahr 1 Gesamtpreis Jahr 2 Gesamtpreis Jahr 3 Gesamtpreis Microsoft FrontPage 2001-06-06 163.27 Microsoft Small Business Server 2001-06-06 1,244432.82 Small Business Server CAL (5 Per-Pack) 2002-01-23 220.53 Umsatzsteueridentifikationsnummer Gesamt 489.87 563.37 563.37 44444.62 Wert Gesamt 1,666666666.50 Gesamtwert Gesamtwert Wert Rechnung Rechnungsdatum Bezahlt Rechnungssumme 2001-05-18 Ja 2002-01-23 Ja 2002-05-18 Ja 2003-05-18 Nein Gesamt 8,06665.64
Autor: Kay Bollig 40 Lizenznummern, Zugangsdaten, Benutzernamen, Passwörter - Software Dahl Service Softwarebezeichnung Lizenz / Seriennummer Lizenztyp Adobe Photoshop 5 LE 12346 Adobe Premiere 5 123461234612346 DVDit MAtrox 123461234612346 Infochannel Designer 123461234612346 IPLAY Studio 123461234612346 Winlabel 3.0 123461234612346 Office XP Enterprise 123461234612346 Windows 2000 123461234612346 Windows ME 123461234612346 Office 2000 Update CD1&2 123461234612346 Office 2000 Update CD3&4 123461234612346 Windows NT 4 Server 123461234612346 Works 2001 Suite 123461234612346 Small Business Server 2000 123461234612346 Frontpage 2000 123461234612346 Windows 2000 Update SR1 123461234612346 Outlook 2000 SR1 123461234612346 FRITZ! CARD USB 2.0 123461234612346 123461234612346 IRCPLUS Professional Edition 123461234612346 Netobjects Fusion 3.0.1 123461234612346 WEBSuccess Startup 3.0 123461234612346 Hello Engines 123461234612346
Autor: Kay Bollig 41 Lizenznummern, Zugangsdaten, Benutzernamen, Passwörter Zugangsdaten XYZ: Link: www.puretec.de Benutzername für Kundenlogin: Firma XYZ.com Kundennummer: 123461234612346 Kennwort: Herr Chef fragen Kennwörter zu den einzelnen Konten: KW2 POP / SNTP Server: pop.rrr. de FTP - Zugang: Login-Id 123461234612346 Passwort 123461234612346 E-Mail-Konten Stand 10.10.02 Ihre E-Mail-Adressen: 1-20 (20) da.com webmaster@ postmaster@firma XYZ.com dahlektor.com webmaster@dahltor.com postmaster@firma XYZ.com Firma XYZ.com Name. Name @Firma XYZ.com Name 5 Name 5-abre Name @Firma XYZ.com Name info@firma XYZ.com Name Name.Name@Firma XYZ.com Name. @Firma XYZ.com Name.schulte@Firma XYZ.com Name Name. Name @Firma XYZ.com Name postmaster@firma XYZ.com Name Name @Firma XYZ.com Name Name. Name @Firma XYZ.com Name udo. Name @Firma XYZ.com Name. Name @Firma XYZ.com webmaster@firma XYZ.com postmaster@firma XYZ.com Firma XYZ.de webmaster@firma XYZ.de postmaster@firma XYZ.com Firma XYZ.net webmaster@firma XYZ.net postmaster@firma XYZ.com Name.de webmaster@ Name.de Firma XYZ@t-online.de Name.net webmaster@ Name.net Firma XYZ@t-online.de Name.org webmaster@ Name.org Firma XYZ@t-online.de Name.de webmaster@ Name.de postmaster@firma XYZ.com
Autor: Kay Bollig 42 Small Business Aufgaben: Benutzer anlegen Bisher haben wir Windows 2000 Server, Active Directory, Small Business Server, Internetzugang, Cals, Drucker etc. Service-Packs eingerichtet. Jetzt können wir Nutzer anlegen, die wir später den noch zu definierenden Gruppen zuordnen. Dieses geht am einfachsten über den unten gezeigten Weg: 1 3 2 4 5 1) über Aufgabenliste User hinzufügen 2) Nomenklatur für Anmeldename = Anfangsbuchstabe Vorname groß gefolgt von Nachname Anfang groß 3) Kennwort manuell 4) nur für entsprechende Benutzer PF anlegen 5) Standardmäßig zu Small Business Usern hinzufügen
Autor: Kay Bollig 43 Small Business Aufgaben: Sicherheitsgruppen anlegen Knoten SBS Sicherheitsgruppen rechtes Fenster re. Maustaste neue Gruppe anlegen globale Gruppe Sicherheit Mitglieder hinzufügen die Benutzer, die wir vorher angelegt haben hinzufügen Windows NT Domänenmodell gilt Verteilergruppen anlegen: Diese Gruppe wird z. B. für die Verteilung von eingegangener E-Mail an mehrere Benutzer benötigt. Konten SBS Verteilergruppen rechtes Fenster re. Maustaste neue Gruppe anlegen universale Gruppe Verteiler Mitglieder hinzufügen die Benutzer, die wir vorher angelegt haben, die dieser Gruppe angehören sollen hinzufügen
Autor: Kay Bollig 44 Verzeichnisstruktur und Zugriffsberechtigungen: Datenvolume auf XYZ (Z:) BILDER VA-DOKUMENTE TECHNIK VERWALTUNG XYZNEUTRAL XYZNEUTRAL XYZNEUTRAL Buchhaltung MARKETING / QM QM-SYSTEM MESSEN MAILINGS AKTIONEN EINKAUF / EK-BESTELLUNGEN EK-ANGEBOTE VK-ANGEBOTE VK-AUFTRÄGE VK-RECHNUNGEN PERSONAL Oben links die erste Planung mit Stefanie Müller. Grundsätzlich sollten zwei Datenbereiche angelegt werden, - und zwar Verwaltung und Technik zur Trennung der Art der Daten die dort abgelegt werden und der Zugriffsberechtigungen auf diese Bereiche. Rechts sehen wir die aktuelle oberste Verzeichnisstruktur von GGSERVER Die Zugriffberechtigungen sind wie folgt eingestellt (nächste Seite):
Autor: Kay Bollig 45 Verzeichnisstruktur und Zugriffsberechtigungen: SG_Verwaltung KBohl MBerr S Müller MSchulte MMüller Verwaltung Technik USER Pohl SG_Technik KBohl MSchulte MHelm Buchhaltung Photos USER KBrom MXYZ JEDER Domänenbenutzer MACVOL Schreiben und lesen Benutzer Benutzer ADMINI- STRATOREN 60GB IDE Schreiben und lesen nur lesen Resource Resource Benutzer KBrrs MScete MHeeh MBreees SReeceel MScheee MKrause individuell Zugriff auf
Autor: Kay Bollig 46 Eingerichtete USER: Name E-Mail-Adresse Anmeldename Kennwort Administrator Administrator@Firma XYZ.com 123456789 123456789 Gast TsInternetUser IUSR_GGSERVER IWAM_GGSERVER krbtgt Small Business User Small Business Power User Small Business Administrator SystemMailbox{546546 SystemMailbox{43F6C76B-1737-43634r70AB2256665A3}@Firma XYZ.com Nachname KBeeg@Firma XYZ.com KBohllig@Firma XYZ.de Nachname Kurers@Firma XYZ.com h@firma XYZ.de Nachname Steel@Firma XYZ.com hh@firma XYZ.de Nachname Moka.Nachname@Firma XYZ.com h@firma XYZ.de Nachname Mich.Nachname@Firma XYZ.com mshe@firma XYZ.de Nachname Erik.Nachname@Firma XYZ.com EZihhms@Firma XYZ.de Nachname h@firma XYZ.de Nachname h@firma XYZ.de Nachname hhhh@firma XYZ.de Nachname Name.Nachname@Firma XYZ.com hhhh@firma XYZ.de Nachname Name.Nachname@Firma XYZ.com hhhh@firma XYZ.de Nachname Name.Nachname@Firma XYZ.com hhh@firma XYZ.de Nachname hhhh@firma XYZ.de
Autor: Kay Bollig 47 Freigaben Freigabe- und Sicherheitseinstellungen eines Ordners ändern: Am Beispiel MACVOL wurde als Freigabe (für das Netzwerk) Muhs und KBohs zugefügt mit den angegebenen Berechtigungen. Entsprechende Berechtigungen wurden bei den Sicherheitseinstellungen (die lokal für die Ressource gelten) gewählt. "Jeder" ist mit grau unterlegten Checkboxen zu sehen und hat nur die vom System gegebenen Minimalrechte = effektiv keine.
Autor: Kay Bollig 48 Aktuelle Freigaben mit Berechtigungen (Stand 16.10.2002) (diese Liste wurde erstellt mit dem Tool Hyena 4.3 (www.systemtools.com)) Objektname Mitglied Zugriff Pfad 60GB Administratoren Vollzugriff E:\ 60GB FIRMA XYZ\Images Ändern (RWED) E:\ Address Jeder Lesen (RE) D:\Programme\Exchsrvr\address Address Administratoren Vollzugriff D:\Programme\Exchsrvr\address Address FIRMA XYZ\GGSERVER$ Vollzugriff D:\Programme\Exchsrvr\address ADMIN$ Administrative Freigabe C:\WINNT Buchhaltung Administratoren Vollzugriff Z:\Buchhaltung Buchhaltung FIRMA XYZ\kMüller Ändern (RWED) Z:\Buchhaltung Buchhaltung FIRMA XYZ\mMüller Ändern (RWED) Z:\Buchhaltung C$ Administrative Freigabe C:\ ClientApps5 Jeder (Nicht ACL) Vollzugriff D:\ClntApps\ClientApps5 Clients Jeder (Nicht ACL) Vollzugriff D:\Programme\Microsoft BackOffice\ClientSetup\Clients Company Administratoren Vollzugriff D:\Company Shared Folders Company FIRMA XYZ\Domänen-Benutzer Ändern (RWED) D:\Company Shared Folders COVERPG$ Jeder (Nicht ACL) Vollzugriff C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Faxe\Allgemeine Deckblätter D$ Administrative Freigabe D:\ E$ Administrative Freigabe E:\ Fax$ Jeder (Nicht ACL) Vollzugriff C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\MSFax FxsSrvCp$ Administratoren Vollzugriff C:\Dokumente und Einstellungen\All Users\Dokumente\Microsoft\Shared Fax\CoverPages FxsSrvCp$ Jeder Lesen (RE) C:\Dokumente und Einstellungen\All Users\Dokumente\Microsoft\Shared Fax\CoverPages images Administratoren Vollzugriff E:\ images FIRMA XYZ\Images Vollzugriff E:\ Objektname Mitglied Zugriff Pfad Inventur FIRMA XYZ\mPütter Lesen (RE) Z:\verwaltung\INVENTUR MACVOL Administratoren Vollzugriff Z:\MACVOL MACVOL FIRMA XYZ\kMüller Ändern (RWED) Z:\MACVOL MACVOL FIRMA XYZ\mMüller Ändern (RWED) Z:\MACVOL mspclnt Jeder Lesen (RE) D:\Programme\Microsoft ISA Server\clients NETLOGON Jeder Lesen (RE) C:\WINNT\SYSVOL\sysvol\Firma XYZ.de\SCRIPTS NETLOGON Administratoren Vollzugriff C:\WINNT\SYSVOL\sysvol\Firma XYZ.de\SCRIPTS Photos Administratoren Vollzugriff Z:\Photos Photos FIRMA XYZ\Azubi Lesen (RE) Z:\Photos Photos FIRMA XYZ\Technik Lesen (RE) Z:\Photos Photos FIRMA XYZ\Verwaltung Lesen (RE) Z:\Photos print$ Jeder Lesen (RE) C:\WINNT\System32\spool\drivers print$ Administratoren Vollzugriff C:\WINNT\System32\spool\drivers print$ Druck-Operatoren Vollzugriff C:\WINNT\System32\spool\drivers print$ Server-Operatoren Vollzugriff C:\WINNT\System32\spool\drivers
Autor: Kay Bollig 49 Aktuelle Freigaben mit Berechtigungen (Stand 16.10.2002) Objektname Mitglied Zugriff Pfad Profile Jeder (Nicht ACL) Vollzugriff D:\Profile Resources$ Jeder Lesen (RE) D:\Programme\Exchsrvr\res Resources$ Administratoren Vollzugriff D:\Programme\Exchsrvr\res Resources$ FIRMA XYZ\GGSERVER$ Vollzugriff D:\Programme\Exchsrvr\res GGSERVER.log Jeder Lesen (RE) D:\Programme\Exchsrvr\GGSERVER.log GGSERVER.log Administratoren Vollzugriff D:\Programme\Exchsrvr\GGSERVER.log GGSERVER.log FIRMA XYZ\GGSERVER$ Vollzugriff D:\Programme\Exchsrvr\GGSERVER.log SYSVOL Jeder Lesen (RE) C:\WINNT\SYSVOL\sysvol SYSVOL Administratoren Vollzugriff C:\WINNT\SYSVOL\sysvol SYSVOL Authentifizierte Benutzer Vollzugriff C:\WINNT\SYSVOL\sysvol technik Administratoren Vollzugriff Z:\technik technik FIRMA XYZ\Azubi Ändern (RWED) Z:\technik technik FIRMA XYZ\Technik Ändern (RWED) Z:\technik unsortierte Fotos Administratoren Vollzugriff Z:\Photos\AAA.unsortierte Fotos unsortierte Fotos FIRMA XYZ\Azubi Ändern (RWED) Z:\Photos\AAA.unsortierte Fotos unsortierte Fotos FIRMA XYZ\Technik Ändern (RWED) Z:\Photos\AAA.unsortierte Fotos unsortierte Fotos FIRMA XYZ\Verwaltung Ändern (RWED) Z:\Photos\AAA.unsortierte Fotos Users Administratoren Vollzugriff D:\Users Shared Folders Users FIRMA XYZ\Domänen-Benutzer Ändern (RWED) D:\Users Shared Folders Users FIRMA XYZ\BackOffice Folder Vollzugriff D:\Users Shared Folders Operators verwaltung Administratoren Vollzugriff Z:\verwaltung verwaltung FIRMA XYZ\Verwaltung Ändern (RWED) Z:\verwaltung Werkstatt Administratoren Vollzugriff Z:\technik\Werkstatt Werkstatt FIRMA XYZ\Azubi Ändern (RWED) Z:\technik\Werkstatt Werkstatt FIRMA XYZ\Technik Ändern (RWED) Z:\technik\Werkstatt WOCHENPLAN FIRMA XYZ\mPütter Lesen (RE) Z:\verwaltung\WOCHENPLAN Y$ Administrative Freigabe Y:\ Z$ Administrative Freigabe Z:\
Autor: Kay Bollig 50 HFNNETCHECK Der Ablauf der Softwareupdates bei Microsoft geht so: OS kommt raus, dann Patch 1-x, dann werden diese Patches in ein Service-Pack gebracht. Service Pack 3 ist momentan für W2K aktuell. Die folgenden Patches vor SP4 installieren. Das HFNETCHK Tool überprüft den aktuellen Stand des Servers in Bezug auf Security-Patches und Service Packs. Es lädt eine Datei MS-Secure.cab herunter und vergleicht mit dem System. Rechts ein Beispiellauf: Die Datei Mssecure.xml wir in das aktuelle hfnetchk-verzeichnis extrahiert. Wenn ein Patch fehlt sieht man so was wie rechts Patch NOT Found MS02-042 Q326886 File C:\WINNT\system32\netman.dll has an invalid checksum and its file version is equal to or less than what is expected. MS02-042 verweist auf die MS-Security- Bulletin Nummmer 02-042 Qxxxx auf den Technet-Artikel URL für die aktuellen Security-Bulletins von Microsoft: C:\tools>hfnetchk -v Microsoft Network Security Hotfix Checker, 3.2 Developed for Microsoft by Shavlik Technologies, LLC info@shavlik.com (www.shavlik.com) ** Attempting to download the XML from: http://download.microsoft.com/download/xml/security/1.0/nt5/en- US/mssecure.cab ** File was successfully downloaded. ** ** Attempting to load C:\tools\mssecure.xml. ** Using XML data version = 1.0.1.405 Last modified on 10/9/2002. An updated version of HFNETCHK is available. Please go to: http://www.microsoft.com/downloads/release.asp?releaseid=31154 to download the latest version. Scanning GGSERVER Done scanning GGSERVER Please use the -nosum switch when scanning non English-language systems. ---------------------------- GGSERVER ---------------------------- * WINDOWS 2000 SP3 NOTE MS01-022 Q296441 Please refer to Q306460 for a detailed explanation. Patch NOT Found MS02-042 Q326886 File C:\WINNT\system32\netman.dll has an invalid checksum and its file version is equal to or less than what is expected. Patch NOT Found MS02-045 Q326830 File C:\WINNT\system32\xactsrv.dll has an invalid checksum and its file version is equal to or less than what is expected. Patch NOT Found MS02-048 Q323172 The registry key **SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{43F8F289-7A20-11D0-8F06-00C04FC295E1}** does not exist. It is required for this patch to be considered installed. Patch NOT Found MS02-050 Q328145 File C:\WINNT\system32\adsldp.dll has an invalid checksum and its file version is equal to or less than what is expected. Patch NOT Found MS02-051 Q324380 File C:\WINNT\system32\drivers\rdpwd.sys has an invalid checksum and its file version is equal to or less than what is expected. NOTE MS02-053 Q324096 Please refer to Q306460 for a detailed explanation. Patch NOT Found MS02-055 Q323255 File C:\WINNT\hh.exe has an invalid checksum and its file version is equal to or less than what is expected. www.microsoft.com/technet/security/current.asp Dort kann man sich den Patch runterladen und dann installieren. Runterladen der Patches und zwar für Windows 2K und die deutsche Sprachversion, wenn verfügbar. * Internet Information Services 5.0 INFORMATION All necessary hotfixes have been applied * Internet Explorer 5.01 SP3 Patch NOT Found MS02-009 Q318089 File C:\WINNT\system32\vbscript.dll has an invalid checksum and its file version is equal to or less than what is expected. Patch NOT Found MS02-047 Q323759 File C:\WINNT\system32\mshtml.dll has an invalid checksum and its file version is equal to or less than what is expected. C:\tools>
Autor: Kay Bollig 51 QCHAIN Utility zur Patchinstallation im Batch-Betrieb: Mit HFNETCHK haben wir herausgefunden, was dem Server an UPDATES fehlt, von der www.microsoft.com/technet/security/current.asp Security-Bulletin-Seite haben wir brav alle angemeckerten Patches runtergeladen und jetzt wollen wir in einem Rutsch, - ohne den Server für jede Patch-Installation neu starten zu müssen, die Patches installieren. Hierzu verwenden wir das QCHAIN-Utility. Es spoolt den die Update-Tags für die Registry und wickelt die Updates ab anhand einer manuell erstellten Batchdatei, die wie folgt aussieht (Beispiel): Verzeichnis, in dem sich die Patches befinden qchain.exe muss sich im gleichen Verzeichnis wie die Batch-Datei (hier: "qchaino.bat"), die Pfadangaben mit set pathfixes= \path... müssen stimmen Anstatt die Patchbezeichnungen manuell einzutippen in MS-DOS Eingabeaufforderung markieren und in die Batchdatei kopieren: Start: In CMD- Eingabeaufforderung "qchaino" (die Batch-Datei) aufrufen. Wenn alles richtig ist, sieht man den Verlauf der Patch-Installationen automatisch ablaufen
Autor: Kay Bollig 52 Datensicherung und Archivierung Zeitschema MO DI MI DO FR MO DI MI DO FR Band C Band C Band C Band C BandAB inkremental inkremental inkremental inkremental Fullbackup MO DI MI DO FR Band C Band C Band C Band C BandDE inkremental inkremental inkremental inkremental Fullbackup MO DI MI DO FR Datensicherungseinheit: Quantum DLT 4000 20GB bei 1.5 MB/s Mit Compression 40 GB 3MB/s Band C Band C Band C Band C BandAB inkremental inkremental inkremental inkremental Fullbackup MO DI MI DO FR Band C Band C Band C Band C BandAB inkremental inkremental inkremental inkremental Fullbackup MO DI MI DO FR Band C Band C Band C Band C BandDE inkremental inkremental inkremental inkremental Fullbackup MO DI MI DO FR Band C Band C Band C Band C BandDE inkremental inkremental inkremental inkremental Fullbackup MO DI MI DO FR Vogaben: Jede Woche: Fullbackup ( Freitagabend) Medium Quelle : Medium nach Sicherung Mo bis Do Abend: inkremental Backup jeden Monat: 1 Band raus -> Archiv an Frau Müller Dokumentation (LOGS): In C:\ Logs Band C Band C Band C Band C BandDE inkremental inkremental inkremental inkremental Fullbackup Band C Band C Band C Band C BandDE inkremental inkremental inkremental inkremental Fullbackup Monatswechsel : AB an Müller
Autor: Kay Bollig 53 Datensicherung und Archivierung Datensicherung Datenquellen und -ziele Was wird gesichert? QUELLE Server Datenvolume Z: fertig konfigurierte Selfservice- Konfigurationen auf Server Exchange POSTFÄCHER SBS- C: D: Größe Wohin? Wann? ZIEL INTERVALL ca. 15GB Tape siehe Zeitschema je ca. 1GB auf 60GB sofort nach E:\IMAGES_Dahl\ Installation Womit? NTBACKUP TCPIP- Bootdisk / PQ-Drive Image M: 6GB siehe Zeitschema NTBACKUP C: 5.1 GB siehe NTBACKUP D: 6.5 GB Zeitschema Ca. 50 GB 2 separate Bänder monatlich NTBACKUP 60GB Volume Server Notfalldiskette 1,44 MB Erstmalig, dann monatlich und die fertig generierte Diskette mit Winimage auf den Server monatlich NTBACKUP Job- Name Datensicherungsintervalle SBS Full inkr. Laufwerk C: D: Z: Postfächer Exchange täglich inkrementell SBS Fullbackup Laufwerk C: D: Z: Postfächer Exchange wöchentlich Fullbackup auf Band SBS 60 GB komplett auf Band monatlich auf zwei separate Bänder FERTIGE WORKSSTATION auf SBS-Images sofort nach Installation Mitarbeiter Workstation-Images noch nicht geplant
Autor: Kay Bollig 54 Speicherorte: Welche Dateien befinden sich wo? GGSERVER 60GB IDE (E:) nicht gespiegelt Z: (36GB) gespiegelt D: (8GB) gespiegelt AW_CLIENT PHOTOS VERWALTUNG PROFILE AW_SERVER TECHNIK MACVOL AW_TREIBER Firmenordner IM_IMAGES
Autor: Kay Bollig 55 KONVENTIONEN Wann sind Konventionen sinnvoll? Konventionen sind Vereinbarungen, Standards die mutwillig als geltend definiert werden um einen ständigen erneuten Entscheidungsprozess zu vermeiden. Anhand dieser erstmalig definierten Konvention wächst das System so lange bis die Konvention als nicht mehr tragbar, nicht mehr zeitgemäß, nicht mehr umfassend genug gilt. In Bezug auf unsere Haus-EDV sind folgende Konventionen zu beachten: KONVENTIONEN vereinbarte Konvention Erklärung SBS-Netz_Computernamen VA-Rechner: GGservicexx Firmenrechner: Compxx, Werkstatt, Pütter, Studio SBS-Netz_Freigaben gemäß Vorgaben GSL rekursive Freigaben: ja SBS-Netz_IP-Adressen Vergabe über DHCP, feste IP s nur für Drucker internes Netz verwendet private IP s private NIC Server 192.168.0.1 SBS-Netz_Anmeldenamen 1. Buchstabe Vorname gefolgt von Nachname Beispiel : LMüller SBS-Netz_Profile: Pfad D:\Profile\Anmeldename Beispiel : D:\Profile\KMüller SBS-Netz_Profile: Profilgröße SBS-Netz_Profile: Servergespeichert / lokale Kopie gelöscht nach Abmeldung SBS-Netz_Internet-Explorer Client Sicherheitseinstellungen / Stufe SBS-Netz_Internet-Explorer Client Einstellungen Verbindung noch nicht definiert noch nicht definiert noch nicht definiert noch nicht definiert SBS-Netz_Speicherorte D: (SBS) Inhalt Z: (DATEN) Inhalt E: (AW/IM/BU) Inhalt AW_CLIENT Anwendungspr ogramme Service Packs Verwaltung USER Folder "eigene Dateien" der USER AW_SERVER AW_TREIBER BU_Backups SBS IM_IMAGES Programme und auch Treiber Treiber, Hardwareinstal lationsanwend ungen inkrementelle Backups SBS Technik Profile DESKTOP, FAVORITEN lokale Einstellungen... MACVOL Firmenordner frei für alle Photos
Autor: Kay Bollig 56 KONVENTIONEN SBS-Netz_Rechte in Bezug Lokaladministrator SBS-Netz_erlaubte lokale Profile TCP-Bootdiskette: Unterstützte NICS mit einer Diskette noch nicht definiert!!! Entscheidung steht offen, ob der USER auch lokal Anwendungen installieren darf, was ein erpütteres Sicherheitsrisiko darstellt, oder ob er als USER unter seinem Namen standardmäßig lokal keine Anwendungen installieren kann sondern sich dafür abmelden und unter einem anderen Namen anmelden muss. Es wird sein: Start von Diskette in MS-DOS Bootmenü zur Wahl: - 3COM 3C905 C-TX / 3C905B - 3COM 3C905 CX-TX-M (neue Charge) - REALTEK 8139 A-D Familie - für unsere PCMCIA Karte Standard-Domäne: FIRMA XYZ DHCP Nutzung: Ja Computername: Image Username: Images Kennwort: KWoo NET USE: \\GGSERVER\IMAGES als LW Y: also Freigabe Images muss auf entsprechenden Ordner verweisen VA-Rechner Standardinstallationsvorgang für W2K Konfiguration 1) Booten des einzurichtenden Systems von TCP IP Boot-Diskette 2) Runterkopieren des entsprechenden Images, Beispiel W2K Grundkonfiguration komplett ohne OFFICE 3) Anpassen der rechnerspezifischen Einstellungen : - IP-Adresse - Admin-Kennwort - Computername 4) Nachinstallieren der entsprechenden Komponenten (z.b. OFFICE XP) VA-Rechner eingerichtete USER nur Administrator VA-Rechner Kennwort = uuu Administrator Namensgebung Images noch nicht definiert Achtung 8 Zeichen MS-DOS!
Autor: Kay Bollig 57 Fehlerfälle/ Abdeckung durch Windows-Sicherheitsmaßnahmen und Datensicherung (Worst Case Szenarien): Fehlerfall Menschliches Versagen Administrator Menschliches Versagen mit nicht Admin-Rechten Diebstahl / Vernichtung des Servers Schleichender Virus nicht direkt erkannt Worst Case Szenario Beschreibung Mit Administratorrechten wird auf Server Registry zerstört wird die Festplatte des Servers formatiert User installiert Spielprogramm mit fehlerhaften DLL s User installiert Software mit SPY- Funktionen User downloadet Virus Programm User downloadet BO2K Remote Steuerung Server ist nicht mehr vorhanden Ein Virus, der sich zuerst repliziert und erst nach einigen Tagen zerstörerische Auswirkungen zeigt schleicht sich ein Was muss getan werden, um den vorigen Zustand wiederherzustellen? Rücksicherung von einem DLT Streamer auf neuen Rechner Small Business muss neu installiert werden a) Wenn möglich mit Antivirus Software Dateien bereinigen b) System ist nicht mehr herstellbar, nicht nachvollziehbar, was infiziert ist... Worauf kann zurückgegriffen werden? Bänder Bandsicherung Software aus Schrank vorige Sicherungen vorausgehende Tapes
Autor: Kay Bollig 58 Fehlerfälle/ Abdeckung durch Windows-Sicherheitsmaßnahmen und Datensicherung (Worst Case Szenarien): Administrator nicht mehr verfügbar / Unfall / Tod Hardwaredefekte am Server Administrator nicht mehr vorhanden, kann auch nicht mehr gefragt werden RAID-Controller defekt nach zerstörendem Schreiben auf Platten Motherboard Server defekt RAID - Platte defekt NIC oder VGA-Karte defekt Alle Kennwörter bekannt. Doku vorhanden Controller erneuern (wir haben 2. Controller da) Komplette Neuinstallation von SBS nicht nötig Motherboard erneuern möglichst identischer Typ (wir haben Spare da) Server fängt an zu piepen Server runterfahren defekte Platte erneuern betroffenes RAID-Array rebuilden. Komplette Neuinstallation von SBS nicht nötig Dokumentation Letztes Fullbackup Letztes Increment BU Notfalldiskette alle Platten sind weiterhin vorhanden. WIN2K wird mit neuem Mainboard im Server booten. Exchange wird nur bei gleicher Hardwarekonfiguration ohne Neuinstallation laufen gespiegelte Platte vorhanden. Win2K wird booten Exchange laufen. NIC muss selber TYP sein!! VGA nicht! Stromausfall Stromausfall > 10 Minuten Server bekommt Meldung von USV "Laufe auf Akku". Nach 3 Minuten schickt er Warnung an die Benutzer und fährt sich sauber runter Netzwerkkarte jabbert Intrusion / Sabotage von außen via Internet Intrusion / Sabotage von innen durch Mitarbeiter 1 Netzwerkkarte jabbert, d.h. schickt ununterbrochen so viele BROADCASTS ins Netz, dass es auf unter 1% Durchsatz gehen würde Von Außen dringt eine böswilliges Objekt in unser System ein, um beispielsweise unsere Kundendaten herunterzukopieren Ein böswilliges Objekt, welches innerhalb der private Zone auf Rechner zugreifen kann - kopiert Firmendaten herunter Keine Aktionen notwendig wir verwenden einen Switch und keinen HUB, wir haben also getrennte Kollisionsdomänen. Der Switch hat Jabberdetection Unsere Firewall und unsere Netzkonfiguration ist nahezu dem C2-Standard gesichert, d. h. von außen ist ein Eindringen nahezu ausgeschlossen. Es müssten an allen Workstations die lokalen Schnittstellen durch die Daten nach außen gebracht werden können deaktiviert werden. = -USB, parallele, serielle, CD, Floppy deaktivieren
Autor: Kay Bollig 59 VPN-Zugang und DynDns Account : DynDns stellt ein paar Domains zur Verfügung und erlaubt kostenlos ein eigenes Präfix+Doainname über ein DynDns-Account zu verwalten. Anmeldung DYN-DNS (www.dyndns.org) NIC USERNAME : MÜLLER E-Mail : Müllerr@Firma XYZ.com Password : KW2 1. Account mit obigen Daten : GGFIRMA.homeip.net Server startet ISA Server wählt T-Online an und bekommt Lease-IP für externe NIC DYNDNS.EXE bemerkt IP Change und versucht bei DYNDNS account einzuloggen und IP für GGFIRMA.HOMEIP.NET upzudaten. Bitte beachten HTTP- Settings für Proxy mit Account-Name angeben!
Autor: Kay Bollig 60 VPN-Zugang / RRAS Einrichtung : Small Business muss mitgeteilt werden, dass ein Remote-Zugang über die externe NIC von aussen erwünscht wird, - und zwar wie folgt : Routing und RAS konfigurieren : Start... Routing und RAS auf Ansicht Aufgabenliste stellen und dann re. Maustaste auf Knoten GGSERVER Routing und RAS konfigurieren weiter siehe Screendumps links. Danach muss noch der Client-VPN-Zugang eingerichtet werden : SBS-Admin -> ISA Server -> GGSERVER -> Netzwerkkonfiguration -> L2P Encryption-Protokoll für 192.168.0.1 Eine VPN-Verbindung von Aussen ist jetzt möglich. Das bringt aber noch garnichts, solange keine Dienste über Schicht 4 nach aussen freigegeben sind. Beispiele : VPN-Einwahlrecht für USER ändern in den Active-Directory-Eigenschaften auf erlaubt setzen Vom Client aus einwählen : Veränderungen nach Schicht : 7 6 5 keine ausser rdp nach aussen (sbs user manager / term) 4 3 l2p vpn 2 dhcp rel to ext port 1 keine (callback nicht aktiv)
Autor: Kay Bollig 61
Autor: Kay Bollig 62 REMOTE DESKTOP unter XP Zuerst muß eine VPN Verbindung zu Dahl hergestellt werden : Einwahlberechtigungen haben KMüller und Lbruns (ohne Callback)