07.11.2001

Vervollständigung zu gestern:

Bei Problemen des Systems schaut man meist als Erstes in die Ereignisanzeige. Dort gibt es mehrere Protokolle wie das Systemprotokoll, welche unerwartete Systemfehler aufzeichnet, das Anwendungsprotokoll, welches Anwendungsfehler von Dr. Watson aufzeichnet und das Sicherheitsprotokoll, welches sicherheitsrelevante Informationen speichert. Je nach Installation können in der Ereignisanzeige weitere Protokolle auftauchen, wie DNS o.ä.

Der Netzwerkmonitor, eine zusätzliche Komponente, welche den Netzwerktraffic mitlogt, ist nur auf dem Server verfügbar, der Treiber dafür ist aber auch auf der Professional-Variante installierbar. Somit kann man vom Server den Netzwerktraffic auf einer W2k-Prof.-Station einsehen. Der Monitor kann aber nur ein- und ausgehenden Verkehr des jew. Rechners überwachen. Drittanbietertools können meistens das gesamte Netzwerksegment anzeigen, welches erst die Variante des Netzwerkmonitors im SMS beherrscht. Die Netzwerkkarten, die das komplette Netzwerksegment mit aufnehmen sollen, müssen im Promiscious-Mode betrieben werden. Dazu ist meist ein spezieller Treiber notwendig, der entweder der jew. Karte oder der Software beiliegt, oder aber extern beschafft werden muss. Sinnvoll ist der Netzwerkmonitor zum Untersuchen von Netzwerkpaketen und Datenströmen...

 

Terminal-Server (TS)

Wenn ein TS-Client mit einem TS-Server kommuniziert, ist das Transportprotokoll TCP/IP, das Anwendungsprotokoll ist RDP (Remote-Desktop-Protokoll). Der Sinn dahinter war ursprünglich eine Remote-Verwaltung. Mittlerweile werden damit auch Anwendungen zentral zur Verfügung gestellt. Damit sind W2k-Anwendungen auch auf Nicht-W2k-fähigen Rechner möglich. Die Ausführung der Programme läuft komplett auf dem Server. Der Client ist wie eine verlängerte Tastatur mit Monitor.

 

TS-Client RDP over TCP/IP TS-Server
OS Pro. RAM
W2k Pent. 32 (64)
NT 3.51 /4.0 486 16
W98 486 16
W95 386 16
WfW 3.11 386 16
Win CE k.A. k.A.
Thin Clients k.A. k.A.
 

Hardware

- braucht Ein- und Ausgabegerät (tw. VGA)
- braucht Netzwerkzugang
- braucht TS-Clientsoftware (HDD od. EEPROM)
- UNIX u. MAC-BS funktionieren mit Citrix-Metaframe (Client-Software)

 

 

Typ

- Mitgliedsserver empfohlen (DC möglich)
 
- viel RAM (+ 4 bis 10 MB pro Client)
- Multiprozessor empfohlen (nicht zwingend)
- schnelle HDD
- schneller Netzwerkzugang
- man kann einen Server nur im Anwendungs- oder Remoteverwaltungsmodus einrichten. Im Anwendungsmodus ist Remoteverwaltung möglich, umgekehrt nicht...

Modus

Remoteverwaltungsmodus Anwendungsmodus
- max. 2 gleichzeitige Verbindungen - Lizenzen nötig
- Standard: nur Admins
- keine Lizenzen nötig
 

TS-Installation:

Man klickt folgenden Weg: Systemsteuerung \ Software \ Windows Komponenten \ Terminaldienste oder Terminaldienstelizenzierung. Als Modus wählt man die Remoteverwaltung oder den Anwendungsmodus aus. Wir nehmen den Anwendungsmodus. Die Berechtigungskompatibilität bietet W2k (sicher) und TS NT4.0 (kompatibel). Da wir komplett mit W2k arbeiten, erübrigt sich hier eine Frage. Schon vorher installierte Programme werden aufgelistet, wobei das System nicht erkennen kann, ob das auch Multiuser-fähige Programme sind. Ein Lizenz-Server will den Pfad zur Lizenz-Server-Datenbank wissen (Das übergehen wir). Danach ist ein Neustart des Systems fällig.

Als Auswirkungen besitzen wir jetzt einen Terminalserver mit folgenden Verwaltungsmöglichkeiten: TerminalDienste (TD)-Clientinstallation, TD-Konfiguration, TD-Verwaltung und eine TD-Lizensierung (nur bei Lizenzserver). Bei der TD-Clientinstallation werden 4 Disketten für 16Bit-Clients oder 2 Disketten für 32Bit-Clients gefordert. Alternativ kann man das Verzeichnis winnt \ system32 \ clients \ tsclients \ net aufrufen: dort befinden sich die benötigten Dateien... Das Setup vom Client aus ist schnell erledigt.

Um vom Client auf einen Server zuzugreifen, muss erst die lokale Anmeldung am Client gestartet sein. Die TS-Client-SW wird gestartet und der Client wählt sich direkt ein. Der Verbindungsmanager hat vorkonfigurierte Einwahldaten zur Anmeldung am Terminal-Server, denn der Benutzer benötigt das Recht zur lokalen Anmeldung (welches, wie wir wissen, ein im Token gesteuertes Privileg ist). Normalerweise dürfen sich nur "-oren" (Administratoren, Replikatoren, usw.) lokal an einem Domänencontroller anmelden, ist der TS aber auf eben diesem eingerichtet, sind in dem Fall auch Benutzerzugriffe möglich. Auf dem Client gelten etwas andere Tastenkombinationen als üblich: Zum Beispiel muss man, um das Kennwort zu ändern, normalerweise ALT+STRG+ENTF drücken. Das gilt für den Client auch weiterhin, aber um das Kennwort der Einwahl am Server zu ändern, muss man ALT+STRG+ENDE drücken. Hilfe zu den Tastenkombinationen stehen unter Start \ Programme\ Terminaldiensteclient \ Terminaldiensteclient. Wenn man ihn startet, wird das Auswahlfenster gezeigt, da ist auch ein Hilfe-Button. Die Profile der TS-Client-Benutzer sind standardmässig als lokales Profil auf dem Terminalserver gespeichert. Unter Start \ Beenden gibts normalerweise folgende Optionen:

- Benutzer abmelden - alle Programme auf TS werden beendet und gespeichert
- Benutzer trennen - Programme laufen auf TS weiter, Wiederverbindung möglich
- Computer herunterfahren - der TerminalServer wird heruntergefahren!!! (Die beiden Punkte treten nur bei Admins auf)
- Computer neu starten

In der TD-Verwaltung können Informationen zu Sitzungen angezeigt werden, z.B. der Status (aktiv, Leerlauf, getrennt) und Infos zum Client wie Name, IP-Adresse und laufende Prozesse usw. Weiterhin kann man Sitzungen verwalten. Darunter gilt: trennen, verbinden, Nachrichten senden, getrennte Verbindungen zurücksetzen und Benutzer überwachen. Getrennte Verbindungen kann man im Standard wieder aufnehmen, ohne Daten verloren zu haben. Setzt der Server oder der Admin aber die Verbindung in den Ausgangszustand zurück, gehen nicht gespeicherte Daten verloren. Normalerweise muss der Clientbenutzer der Überwachung zustimmen, aber das kann man als Admin auch ändern. Sinnvoll ist sowas im HelpDeskbereich. Zur Überwachung muss ich aber selbst eine TS-Client-Sitzung starten; das geht nicht einfach vom Server aus. Dann kann man auch alles tun, was der Benutzer darf, in dem Fall gibt es keine Datensicherheit für den Benutzer.

Die lokalen Benutzerprofile in der Verwaltung werden um einige Karteireiter erweitert...

Terminal-Server-Lizensierung:

Der Lizenzserver ist nur dann erforderlich für den Anwendungsmodus, wenn man ihn länger als 90 Tage betreiben möchte. Er muss aber nicht explizit auf dem Terminalserver installiert werden und benötigt ca. 10 MB auf HDD und 10 MB im RAM. Der LS kann mehrere TS bedienen und muss in einer Domäne gleichzeitig der Domänencontroller sein (im Gegensatz zum TS / siehe weiter oben). Die Terminal-Server-Zugriffslizenzen werden zusätzlich zu den CAL's benötigt und sind pro Client zu vergeben. Es gibt mehrere Lizenzarten: temporär, Build-In, Internetverbindung und Client Access. Letzterer ist eher der Normalfall. Im Internet oder per Telefon kann man die Lizenzen ordern. Temporäre Lizenzen sind die unregistrierten und ohne Lizenzserver vergebenen Lizenzen. Normalerweise haben alle W2k-Rechner integrierte Lizenzen, deswegen Build-In. Die Internetverbindungslizenzen dürfen laut Microsoft nicht von Firmenmitarbeitern benutzt werden. Es sind auch nur maximal 200 Lizenzen erlaubt. Diese gehen nämlich auch über anonyme Konten, gedacht also für Internetcafés...

Anwendungen auf einem Terminalserver müssen Multi-User-fähig und W2k-kompatibel sein. Eventuell muss man für den letzteren Punkt ein Kompatibilitätsskript ausführen. W2k liefert das für einige Programme wie Office '97 mit. Die Anwendungen müssen über Systemsteuerung \ Software \ Neues Programm hinzufügen \ setup.exe o.ä. definitiv installiert werden. Alternativ lässt sich das natürlich auch über die Kommandozeile regeln: change user /install, danach change user /execute.

Die Kompatibilitätsskripte befinden sich unter winnt \ Application Compatibility Scripts.

Die Eigenschaften eines Benutzers haben sich wie folgt erweitert:

Unter Terminaldienstprofile kann man das Häkchen setzen, womit dem Benutzer erlaubt wird, sich am TS überhaupt anzumelden (standardmässig gesetzt). Weiterhin gibt es noch einen Profilpfad und das Basisverzeichnis, falls diese vom normalen Profil oder dem Basisverzeichnis abweichen. Somit kann man bei einer Terminalanmeldung das Verzeichnis von einer lokalen Anmeldung trennen. Als weitere Karte gibts die Umgebung: Dort kann man ein Programm angeben, welches statt des Explorers bei der Anmeldung gestartet wird. Beim Beenden dieses Programms wird die Verbindung gespeichert und beendet. Man kann deshalb auch nur eines angeben. Zusätzlich kann man dort noch Clientgeräte auswählen, denn normalerweise würde man ja den Drucker des Servers benutzen. Unter Sitzungen kann man noch einstellen, ob und wann und wie Sitzungen beendet werden.

So kann man wunderbare Zeitbeispiele definieren: Wenn nach 10 Minuten nichts getan wurde, wird die Sitzung getrennt. Nach weiteren 10 Minuten wird sie beendet und die Ressourcen wieder freigegeben.

Für getrennte Sitzungen kann man auch eine erneute Verbindung zulassen.

Für Beobachtungsneurotiker gibts noch folgende Optionen...:

Alle diese Optionen sind benutzerspezifisch.

Terminaldienste-Konfiguration:

Unter Start \ Programme \ Verwaltung \ Terminaldienstkonfiguration

Hier finden wir die Servereinstellungen des TS-Dienstes.

Wenn wir unter den Verbindungen auf der rechten Seite die Eigenschaften des RDP doppelklicken, erscheint wieder so ein tolles Fenster:

Unter Allgemein stellt man den Verschlüsselungsgrad ein. Man hat keine Möglichkeit, die Verschlüsselung komplett zu entfernen. Die Karte, an die der Server gebunden wird, stellt man unter Netzwerkadapter einstellen. Weiterhin gibts dort das Limit der gleichzeitigen Verbindungen. Zusätzlich gibt es die Karten Clienteinstellungen, Remoteüberwachung, Sitzungen und Umgebung. Wir stellen fest, dass man entweder auf Benutzerebene oder globale Einstellungen vornehmen kann..., fast alles zumindest (Hintergrund z.B. ausgenommen). Entgegen zu den meisten Einstellungen in Windows überschreiben die Servereinstellungen die benutzerspezifischen Einstellungen der Benutzer. Anmeldeeinstellungen legen zum Beispiel dar, ob alle T-Benutzer nur ein Konto verwenden oder jeder Benutzer einen eigenen Benutzernamen hat. Unter den Berechtigungen finden wir folgende Zugriffsarten: Vollzugriff für Admins und das System, Benutzerzugriff für Benutzer und den Gastzugriff. Der Vollzugriff beinhaltet unter erweitert die Remoteüberwachung.