15.11.2001

Installation:

Aus der Aufgabe des Rechners kann man entscheiden, was für Software, bzw. was für ein Betriebssystem installiert werden muss. Weiterhin sind auch die Hardwarevorraussetzungen entscheidend, besonders in Punkten wie die Kompatibilität oder die Minimalanforderungen der Software. Als Installationsmethoden gab es die Installation von CD oder Bootdisketten (makeboot zum Erstellen) oder aber aus dem Netzwerk. Bei der letzteren Auswahl muss natürlich ein Netzwerkclient installiert sein. Über das LAN lässt sich auch RIS nutzen (was wir bis jetzt noch nicht gemacht haben, aber nachholen). Bei dieser Installation bekommt der Client über einen DHCP seine Adresse und weitere Informationen, die ihn mit Hilfe von DNS auf den RIS-Server lenken, welcher auch ADS unterstützt. Logischerweise muss sich der DHCP-Server im selben Teilnetz wie der Client befinden, damit dieser auch seine Informationen erhält. Der RIS-Server kann kein alleinstehender Server sein, er muss ein Member-(Mitglieds-)Server oder ein Domänencontroller sein. Obligatorischerweise braucht der RIS-Server den Plattenplatz für die Abbilder, welcher sich im Format NTFS-5 befindet und nicht die Startpartition sein darf. Ist die LAN-Karte am Client nicht PXE-fähig, kann man eine Startdiskette mit dem Befehl RBFG.EXE erstellen. Das Tool ist von 3com, und unterstützt deswegen wahrscheinlich nur 3com und Intel-Karten. Als weitere Installationsrichtung kann man das Tool RIPREP.EXE benutzen. Dieses stellt die einzelnen Dateien zur Verfügung (sinnvoll bei Single Install Store / SIS), im Gegensatz zu Sysprep, welches direkt ein Image der HDD erzeugt. Bevor ichs vergesse: Mit RIS kann man nur W2k-Professional installieren. Sysprep entfernt eindeutige ID wie den Rechner- und den Benutzernamen. Zusätzlich benötigt man ein 3rd-Party-Tool, um das Abbild zu erstellen und auf den Server zu kopieren. Neue Versionen von Norton Ghost beispielsweise benötigen keine vorherige Ausführung von Sysprep. Sie besitzen eine eigene Sysprep-Version. Der einfachste Weg ist aber ein Wechselrahmen, der die HDD mit dem mit Sysprep aufbereiteten System enthält und in den Server als Slave-HDD angeschlossen wird. So besitzt der Server gleich das Abbild zum Verteilen.

Als Schalter für winnt32 gibts syspart. Mit diesem Schalter werden die Dateien schon auf die Festplatte kopiert und diese Partition als aktiv markiert. Fertig. Beim Neustart des Systems kann man dann mit dem zweiten Schritt fortfahren ohne eine CD zu besitzen.

Bei einer unbeaufsichtigten Installation wird eine Antwortdatei benötigt (unattend). Dafür ist ein Programm aus der deploy.cab notwendig. Will ich von der CD installieren, muss die unattend.txt als winnt.sif (Setup Information File) auf einer Diskette vorliegen.(Diese Datei würde zum Beispiel das System selbst erstellen, wenn man ganz normal installiert.) Allerdings klappt das wahrscheinlich nur, wenn man direkt von CD bootet. Weitere Dateien sind die unattend.bat, welche einen Zähler setzt zur weiteren Installation mit derselben unattend.txt. Die unattend.udf enthält eindeutige Merkmale  (IP-Adresse, Computername z.B.). Sie ist wichtig, wenn man mit derselben unattend.txt mehrere Systeme installieren möchte. Sobald man bei der Erstellung der unattend.txt mehrere Computernamen angibt, wird eine udf-Datei erzeugt. In der Text-Datei stehen stattdessen Sternchen, somit werden die Daten aus der udf-Datei ausgelesen und durch die Sternchen ersetzt. Gibts keine udf, werden diese Daten automatisch generiert.

Es gibt auch eine Remboot.sif. Das ist ebenfalls eine Antwort-Datei, welche für RIS-Installationen benötigt wird. Man kann somit ein Image und mehrere Remboot.sif-Dateien besitzen. Für Sysprep heisst das dann sysprep.inf.

Die Antwortdateien sind einfache Textdateien, welche durch eckige Klammern abgeteilte Sektionen enthalten. Im W2k-Server-Buch von MS-Press befinden sich im hinteren Teil etliche Sektionen, die man per Hand nachtragen kann.

Netzwerke:

TCP/IP. Befinden sich Rechner im Netzwerk, benötigen diese eine IP-Adresse. Wir nehmen mal als Beispiel einen Rechner mit 172.20.0.1 / 255.255.0.0. Der hintere Teil der Subnetmask bedeutet, dass genau dieser Teil der IP-Adresse der Hostanteil ist (0.1), der erste Teil (172.20) ist der Netzanteil. Ein anderer Rechner muss als eine Adresse mit 172.20.x.x benutzen. Es sind alle Zahlen erlaubt ausser 0.0 bzw. 255.255. Letzterer ist die Broadcastadresse für alle Rechner. 172.20.0.0 ist die Netz-ID. Bei Linux würde mit einem Ping auf diese Adresse alle Rechner aus dem Teilnetz antworten... Es gab bis vor kurzer Zeit noch Klassen-Netze. Unterteilt in A,B,C,D und E; dargestellt durch die Subnetmask. Dadurch ergibt sich auch eine maximale Anzahl der Rechner pro Netz. Private Adressen (das C-Klasse-Netz) werden im Internet komplett gefiltert. Somit sind sie nicht sichbar. Ein Router besitzt mindestens zwei Ports mit jeweils einer eigenen IP-Adresse. Er leitet die ankommenden Pakete auf der einen Seite zu der anderen Seite weiter. Somit kann er mehrere Teilnetze voneinander trennen. Will ein Rechner auf der einen Seite des Routers mit einem Rechner auf der anderen Seite kommunizieren, muss er als Stndardgateway die Seite des Routers eingetragen bekommen, die er sieht.

Besitzt er keine IP-Adresse, sucht er einen DHCP-Servernimmt, oder er nimmt sich selbst eine APIPA-Adresse. Der DHCP sollt eine feste IP-Adresse besitzen. Weiterhin hat er einen Adresspool, aus dem er die Adressen an die Clients verteilt. Aus diesem Pool kann man dabei auch Adressen ausschliessen. An den Client wird eine IP-Adresse und die dazugehörige Subnetmask übermittelt. Der Server kann auch Optionen wie DNS, WINS und das Gateway an den Client übermitteln. Dazu muss aber dem Client gesagt werden, dass er Adressen automatisch beziehen soll. Ein DHCP-Server kann die Adressen aber nur in seinem Teilnetz vergeben, welches durch den Router getrennt wird. Damit auch das andere Teilnetz Adressen bekommt, gibt es drei Methoden: In dem jew. Teilnetz einen Relay-Agent aufstellen, der den Broadcast auffängt und an den DHCP weiterleitet, der DHCP-Server braucht zusätzlich einen zweiten Adressbereich mit anderen Optionen. Der Relay-Agent besitzt selbst eine feste IP-Adresse, bekommt den Router als Gateway eingetragen und kennt die Adresse des DHCP-Servers. Die zweite Methode ist die Konfiguration des Routers. Dieser beherrscht die RFC 1542, welche bedeutet, dass er Broadcastsignale (nur nach einem DHCP!) durchlässt. Die dritte Methode wäre, einfach in jedem Teilnetz einen eigenen DHCP-Server aufzustellen.

Steht in einem Teilnetz ein DNS-Server, sollte dieser ebenfalls eine eigene IP-Adresse besitzen. Ebenfalls hat dieser natürlich auch das Standardgateway eingetragen bekommen. Der DNS-Server beinhaltet eine hierarchische Namensstruktur; den Namen sind IP-Adressen zugeordnet. Die Namen sehen meistens aus wie Host.Domain.TLD. Diesen Namen nennt man FQDN (Full Quality Domain Name). Damit sich die Clients über DNS unterhalten können, müssen sie den DNS-Server kennen, manuell oder über DHCP. Aus dem anderen Teilnetz kann ich trotzdem den DNS-Server angeben (oder angeben lassen). Er wird ihn natürlich nicht sofort finden, der Router leitet aber die Anfrage an den richtigen DNS im anderen Teilnetz weiter. Weil die Clients direkt den DNS-Server ansprechen, gibt es fast keine Broadcasts mehr. DHCP und DNS können zusammen arbeiten, das nennt man DDNS (dynamisches DNS). Diese Kombination ist aber erst seit W2k nutzbar. Die Auflösung des Namens erfolgt nach einer festen Strategie. Der Client fragt sich zuerst selbst, schaut danach im Cache, ob er den Namen kennt, schaut in die Hosts-Datei und fragt danach den DNS-Server. Dieser kann eine Zone enthalten (Domain.de). Es gibt auf dem DNS-Server zwei Zonentypen: In einer werden Namen in IP-Adressen aufgelöst (forward-lookup-zone). Diese erhält die (Host-)Namen mit den IP-Adressen oder Aliasnamen (CName) zum Namen oder zu IP-Adressen. Der zweite Zonentyp (reverse-lookup-zone)enthält PTR (pointer)-Einträge, denen eine IP-Adresse und eine Name zugeordnet ist. Ein DNS-Server braucht keine eigene Zone, er kann auch die Anfrage an den nächsthöheren DNS-Server weiterleiten. Achja: ein Client besitzt auch einen negativen Cache: er merkt sich also, wenn er einen Host nicht erreicht hat.

Bei NetBIOS sieht das ganze etwas anders aus. NetBIOS ist zwar auch eine Namensauflösung, aber diese ist nicht hierarchisch aufgebaut (flach) und ist ein Broadcast-Protokoll. Dafür ist NetBIOS dynamisch. Die Auflösung erfolgt erst durch den Cache, dann durch den Knotentyp (B für Broadcast) und dann durch die lmhosts-Datei. Damit die Kommunikation über den Router hinweg fuktioniert, müsste man die Rechner des anderen Teilnetztes in die lmhosts-Datei eintragen. Um die Broadcasts zu vermeiden, kann man einen WINS-Server aufstellen. Dieser sollte natürlich eine feste IP-Adresse besitzen, die dem Teilnetz entspricht. Das Standard-Gateway und das DNS ist obligatorisch, letzteres aber nicht notwendig. Dem DNS-Server sollte bekannt gemacht werden, dass ein WINS-Server im LAN steht, dann kann man nämlich auch beide nutzen, um z.B. die Datenbank untereinander auszutauschen. Die Clients in allen Teilnetzen müssen auch den WINS-Server erhalten. Die Auflösung läuft genauso: Cache, Knoten, lmhosts-Datei, aber der Knotentyp hat sich geändert. Es ist ein Hybrid-(H-)Knoten, welcher sich aus einem Peer-(P-) und einem Broadcast-(B-)Knoten besteht. Bei Peer wird der WINS-Server gefragt, ob er den Namen kennt. Es können dem Client 12 WINS-Server bekannt gegeben werden. Antwortet der erste WINS-Server, dass er den Namen nicht kennt, wird ein Broadcast geschickt. Antwortet er gar nicht, wird der nächste WINS-Server der Liste gefragt oder ein Broadcast geschickt, wenn die Liste leer ist. Nicht WINS-Clients benötigen einen WINS-Proxy-Agent. Dafür ist jeder Rechner ab NT4 möglich, der ähnlich wie ein DHCP-Relay-Agent sich in dem Teilnetz befinden muss. Weiterhin ist eine Registry-Einstellung in dem Server nötig. Nicht-NetBIOS-fähige Rechner bekommen eine IP-Adresse und im WINS-Server wird fest ein Name für die Adresse vergeben. Der Rechner ist dann zumindest von anderen Rechnern aus erreichbar, aber er kann selbst nicht über NetBIOS-Namen suchen.

Will man aus einem LAN heraus ins Internet, benötigt man einen Proxy, NAT oder ICS. Ein Proxy hat einen relativ grossen Cache. Die nächstkleinere Lösung ist NAT, die kleinste ist ICS. Bei ICS ist nur eine Verbindung ins Internet möglich und die interne Seite hat die Adresse 192.168.0.1 / 24, bei NAT kann eine beliebige Adresse vergeben werden und gleichzeitig mehrere Verbindungen möglich. Die Aussenseite bei ICS ist nur über eine Einwahl möglich, bei NAT sind mehrere Einwahlen über die NIC's erlaubt. ICS ist das Gateway ein MiniDHCP und ein DNS-Proxy, damit sind Probleme mit schon vorhandenen DHCP's vorprogrammiert. Bei NAT sind DNS-Proxy und MiniDHCP möglich und konfigurierbar, man kann sie aber auch deaktivieren. Bei ICS muss eigentlich nur ein Haken für die Verbindungsfreigabe gesetzt werden und die Clients erhalten dann das Standardgateway. Bei NAT muss man unter der Managementkonsole Routing und RAS die Schnittstellen aktivieren und konfigurieren. ICS ist aktivierbar auf W2k-Prof. und Server. NAT ist nur ab W2k-Server einrichtbar. ICS arbeitet ebenfalls mit Network Adress Translation, die Adressen werden also nicht übersetzt, deswegen funktionieren Tools wie Netmeeting nicht; sie arbeiten auf IP-Ebene.

W2k beherrscht noch mehr Protokolle wie AppleTalk, womit Mac-PC's W2k-Ressourcen nutzen und W2k-Server das Protokoll routen können, IPX/SPX, Druckdienst für Unix (da wird dann eine Art Printer-Daemon installiert) und NWLink. Man konnte einen W2k-Rechner dafür einrichten, dass Ordner von Novell darin sichtbar waren. Somit konnten mehrere Windows-Nutzer über eine Verbindung Novellfreigaben nutzen. Der Novell-Server benötigt nur eine Zugriffslizenz. Ein älteres, für kleine Netzwerke geeignetes und nicht routfähiges Protokoll ist NetBEUI. DLC war ein Protokoll, mit dem ältere grosse Server kommunizierten.

Active Directory:

Die Installation und die Deinstallation erfolgt mit dem Befehl dcpromo oder die Serverkonfiguration.  Der Hauptgrund, eine Domäne einzusetzten ist, einen Sicherheitsbereich zu schaffen. In jeder Domäne muss ein Domänencontroller (DC) stehen, es sollten aber zwei sein. Der Grund dafür ist Lastenausgleich und Ausfallsicherheit. Man kann mehrere TopLevelDomains (TLD) zu einer Gesamtstruktur (forest) zusammenfassen Die Domänen sind dann Strukturübergreifend (z.B.: die Domain de und die Domain mcse). Weiterhin kann man auch aus mehreren Domänen eine Struktur (tree) bilden, die dann in eine Gesamtstruktur integriert werden. Die Domänen sind dann über- bzw. untergeordnet. In einer Struktur herrscht ein durchgehender Namensraum. Eine Gesamtstruktur  besitzt ein gemeinsames Verzeichnis, einen globalen Katalog. Somit besitzen sie auch ein gemeinsames Schema. Damit Rechte und Freigaben domänenübergreifend genutzt werden können, müssen sich die Domänen vertrauen. Innerhalb der Gesamtstruktur gibt es drei Vertrauensregeln: implizit, transitiv, gegenseitig. Zwischen zwei Gesamtstrukturen und in älteren NT4-Netzwerken existieren etwas andere Vertrauensstellungen: explizit, nicht transitiv und einseitig. Die Domänencontroller unter W2k arbeiten im Multi-Master-Prinzip, d.h. eine Änderung an der AD-Datenbank ist auf jedem DC möglich; bei NT4 gab es ein Master-Slave-Prinzip, nämlich immer einen PDC und mindestens einen BDC. Letztere bieten nur eine schriebgeschützte Kopie der PDC-Datenbank. Ein DC unterhält zustzlich zur Datenbank (ntds.dit) öffentliche Dateien, das sysvol. Nur ein Domänencontroller kann die Anmeldung in einer Domäne steuern. DNS stellt den Namensraum für AD bereit. Mit dem DNS in AD ist aber auch eine Abwärtskompatibilität zu dem NetBIOS-Protokoll von NT4 gegeben. Im AD kann man Standorte einrichten, damit definiert man eine langsame und nicht dauerhafte Verbindung zwischen ihnen. Damit ist auch eine Zeitsteuerung der Replikation der AD-Datenbank möglich.

Die logische Strukturierung in einer Domäne haben wir testweise über zwei OU's geregelt: Hamburg und Berlin. In den OU's haben wir weitere OU's eingefügt: nämlich z.B. Verwaltung und Produktion. Diese Möglichkeit nutzt man häufig zur Verwaltungsdelegation und zum Erstellen von Gruppenrichtlinien. Verwaltungsdelegation bedeutet, dass man dem Admin in Hamburg das Privileg einrichten kann, Benutzer in Hamburg zu verwalten oder neu anzulegen. Das Ganze richtet man entweder über den Assistenten "Objektverwaltung zuweisen" oder direkt über die ACL's ein. Bei den Gruppenrichtlinien existiert eine Abarbeitungsreihenfolge: lokal, Standort, Domäne, und dann die OU. Alle werden angewendet, aber bei einem Konflikt gilt die letzte Richtlinie. Es gibt aber auch eine Möglichkeit, die Domänen-GPO "gewinnen" zu lassen (kein Vorrang nannte sich das!), damit konnte man auch Vererbungsunterbrechungen ignorieren. Man kann auch mehrere Richtlinien gleichzeitig anwenden, durch die Anordnung der Richtlinien definiert man deren Priorität. Für GPO's gelten ähnliche Vererbungsregeln wie für das NTFS. Weiterhin kann man eine einmal erstellte GPO auch zu anderen OU's verknüpfen, man braucht sie nicht neu zu erzeugen. Man kann die GPO's computerabhängig oder benutzerabhängig einrichten. Um Software in AD zu verteilen, kommen häufig msi-Dateien zum Einsatz. Weitere Derivate von msi sind mst- und zap-Dateien. Mit zap-Dateien konnte man Software nur veröffentlichen, nicht zuweisen.

Überwachung + Optimierung:

Mit dem Taskmanager könne wir die aktuelle Leistung des Systems begutachten, Prozesse und Prozessstrukturen beenden oder ihnen Prioritäten bzw. Prozessoren zuweisen. Alternativ gehen diese Dinge auch mit dem start-Befehl. Man kann in dem Manager auch Tasks starten. Der Systemmonitor bietet eine grafische Anzeige des aktuellen Systems oder aus einer vorher aufgezeichneten Datei. In dieser gibt man Leistungsindikatorenprotokolle vor. Es gibt im Systemmonitor eine Unmenge von vorgefertigten Indikatoren. Mit diesen kann man dann eine Datei erzeugen. Sinnvoll ist es, als erstes eine Baseline zu erzeugen. Diese beinhaltet dann die ungefähre Grundauslastung des Systems. Einige grundlegende Indikatoren sind die HDD-Performance (man muss vorher diskperf aktivieren) und das Netzwerk (Netzwerkmonitoragent für W2k nötig). Zusätzlich sind auch Warnungen konfigurierbar. Als Optimierungen gelten Veränderungen folgender Komponenten: Auslagerungsdatei, Systemleistung, Serverdienst, Hard- und Software. Weiterhin zählt dazu die Defragmentierung und Bereinigung des Systems. Die Umgebungsteilsysteme wie win32, ntvdm und wow kann man mit dem start-Befehl oder einer Verknüpfung ebenfalls konfigurieren.

Datenträger:

Man kann einen Basisdatenträger in einen dynamischen Datenträger umwandeln. Dafür werden 1MB für die Konfigurationsdaten belegt. An dynamischen Datenträgern gibt es Einfache (1 HDD)und Übergreifende (2-32 HDD's). Sie bieten keinen Geschwindigkeitsvorteil. Dann gibt es noch StripeSet-Datenträger aus 2-32 HDD's. Das ist der schnellste Datenträger, aber ist nicht fehlertolerant (RAID0). RAID5-Systeme bestehen aus 3-32 Datenträgern und bieten durch eine XOR-Parität eine gewisse Geschwindigkeit mit Fehlertoleranz. Es darf eine HDD ausfallen. Gespiegelte Datenträger (RAID1) benötigen 2 HDD's und bieten die grösste Sicherheit. Dies ist der einzige Datenträger, der aus einem einfachen Datenträger im Nachhinein erzeugt werden kann. Sämtlich aufgelisteten Datenträger sind softwaregesteuertund nur mit W2k-Betriebssystemen lesbar. RAID5 und RAID1-Datenträger sind nur im Server einrichtbar. In der Datenträgerverwaltung werden Statusmeldungen angezeigt. Es gibt getrennte Statusmeldungen nach HDD und nach Datenträger.

Man kann Laufwerke Pfaden zuordnen. So kann man auch eine Laufwerksumleitung definieren.