Kapitel 5   Netzwerke

5.1 Microsofts Netzwerkkonzepte

Wenn Sie in diesem Kapitel Anleitungen suchen, um Benutzer oder ein Active Directory einzurichten, sind Sie an der falschen Stelle. Mehr hierzu finden Sie in Teil III des Buches. Wenn Sie jedoch kurz Luft holen und Informationen über die Netzwerk- und Sicherheitskonzepte von Microsoft erhalten möchten, sind Sie hier richtig.

Dieses Kapitel führt Sie in die Grundkonzepte von Microsoft-Netzwerken ein. Ein Grundverständnis der Netzwerkkonzepte hilft Ihnen, wenn Sie Entscheidungen zur Infrastruktur der Computer in einem Netzwerk treffen müssen. Im Verlauf des Buches werden verschiedene Hardwarekomponenten und Verwaltungsprogramme beschrieben. Dieses Kapitel legt den Grundstein, um diese Systeme zu verstehen.

Um ein Windows 2000-Netzwerk verwalten zu können, sollten Sie die Grundkonzepte der Netzwerktechnologie von Microsoft kennen. Dies bedeutet nicht, dass Microsoft PCs mit Angelschnüren und -haken miteinander verbindet, oder dass die Dinge sich so grundsätzlich unterscheiden, dass ein erfahrener Netzwerkingenieur sie nicht wiedererkennen kann. Microsoft hat jedoch eigene Nuancen und diese zu kennen, kann sehr nützlich sein.

Die meisten Besonderheiten von Microsoft-Netzwerken sind nicht neu. Es gibt sie schon seit der Einführung der Microsoft-NetBIOS-Netzwerke Anfang und Mitte der achtziger Jahre. Wenn Sie jedoch bisher noch nichts mit Windows NT, LAN Manager oder sogar LANtastic zu tun hatten, erhalten Sie hier die so sehr benötigten Grundlagen.

Ein Hauptmerkmal von Microsoft Windows-Netzwerken ist die Art und Weise, wie Windows die Berechtigungen für Ressourcen verwaltet. Ein Microsoft-Netzwerk ist zunächst ein offenes System. Wenn eine Ressource wie beispielsweise ein Netzwerkdrucker oder ein Ordner freigegeben wird, haben zunächst alle Benutzer einen Vollzugriff darauf. Um den Zugriff auf die freigegebene Ressource zu steuern, muss der Administrator aktiv die Berechtigungen für die Ressourcen ändern.

Im Gegensatz dazu sind die meisten anderen Netzwerkbetriebssysteme zunächst geschlossen. Wenn Ressourcen eingerichtet werden, werden dafür normalerweise zunächst keine Berechtigungen vergeben. Standardmäßig hat also ausschließlich der Administrator Zugriff auf die Ressourcen und er kann dann festlegen, wer welche Zugriffsberechtigungen hat.

Es ist schwer zu sagen, was besser ist. Aber ohne sich dieses Unterschieds bewusst zu sein, könnte es einem NetWare-Administrator z.B. leicht passieren, dass er das Burgtor weit offen stehen lässt (ganz zu schweigen von der Datei mit den Gehaltsdaten).

5.1.1 Arbeitsgruppen und Domänen

In Windows 2000 haben sich viele Features geändert. Arbeitsgruppen und Domänen bleiben aber die Säulen der Benutzerkontenverwaltung. Workstation-Computer, Benutzer und Gruppen werden in diesen beiden Formen organisiert, aktiviert und verwaltet. Um die Verwaltung von Active Directory zu verstehen, müssen Sie sich zuerst mit diesen beiden Formen der Verwaltung auseinandersetzen.

Arbeitsgruppen

Das Arbeitsgruppen-Modell kommt in Peer-to-Peer-Netzwerken mit fünf bis zehn Benutzern zum Einsatz. Dies liegt an der Art und Weise, in der Arbeitsgruppen Benutzer und Gruppen verwalten.

Der Begriff Peer-to-Peer entspringt der Tatsache, dass es in einem solchen Netzwerk keinen Computer gibt, der als »Server« oder als »Client« betrachtet wird. Alle Computer dienen sowohl als Server als auch als Clients. Deshalb sind sie Gleichgestellte (engl. Peers).

Arbeitsgruppen setzen sich aus Windows 2000-, Windows 95/98-, Windows NT- und Windows für Workgroups-Computern zusammen. Die Computer werden in derselben Gruppe in der Netzwerkumgebung angezeigt. Wenn Benutzer aus einer Arbeitsgruppe versuchen, auf freigegebene Ressourcen zuzugreifen, können sie alle Ressourcen auf Computern benutzen, die in der Arbeitsgruppe enthalten sind. Aus diesem Grund wäre es exakter, Arbeitsgruppen als Zusammenschluss von Computern und nicht von Benutzern zu beschreiben. Dass Sie eine Ressource sehen können, heißt nicht, dass Sie Zugriff darauf haben oder dass für Sie ein Benutzername auf dem Server eingerichtet ist.

In einer Arbeitsgruppe muss jeder Server Benutzer und Gruppen verwalten (siehe Abbildung 5.1). Diese Benutzer- und Gruppenlisten werden nicht freigegeben und Benutzer von einer fremden Liste können nicht auf die Ressourcen eines Computers zugreifen. Wenn ein Benutzer z.B. bei Server A in der Arbeitsgruppe 1 authentifiziert wurde, hat er keinen Zugriff auf die Ressourcen auf Server B, obwohl sich Server B in derselben Arbeitsgruppe befindet. Möglicherweise existiert auf Server B nicht einmal ein Benutzerkonto für ihn.

Wird ein Benutzername nebst Kennwort auf allen Servern in der Arbeitsgruppe manuell eingerichtet - was häufig geschieht -, kann der Benutzer auf alle Server zugreifen. Der Benutzer würde dann einmal seinen Namen und das Kennwort eingeben. Wenn er versucht, auf einen anderen Server zuzugreifen, behält er einfach den bereits eingegebenen Benutzernamen und das Kennwort bei. Dies ist für den Benutzer komfortabel. Der Administrator muss jedoch auf allen Computern dieselbe Benutzerliste warten.

In einem Peer-to-Peer-Netzwerk werden die Benutzer sehr wahrscheinlich nur sehr wenige Ressourcen freigeben. Peer-to-Peer-Netzwerke haben ihren Ursprung darin, dass sich kleine Unternehmen sehr teure Ressourcen wie den ursprünglichen Hewlett-Packard LaserJet-Drucker nicht für jeden Arbeitsplatz leisten konnten. Die Lösung bestand darin, die PCs miteinander zu verbinden und den Drucker freizugeben. Wenn nur eine kleine Anzahl an PC-Dateien, Freigaben oder Druckern freigegeben wird, ist es für die einzelnen Benutzer kein so großer Aufwand, eine Benutzerliste zu pflegen.

Abbildung 5.1:  Der Benutzermanager in einer Arbeitsgruppe.

Wenn ein Benutzer in einem kleinen Unternehmen einen neuen Drucker an seinen Computer anschließt, kann er diesen einfach installieren und freigeben (siehe Abbildung 5.2). Nachdem der Benutzer den Drucker freigegeben hat, können alle Computer in der Arbeitsgruppe den Computer und die Ressourcen in der Netzwerkumgebung sehen (siehe Abbildung 5.3). Der Benutzer kann dann Berechtigungen für die Ressource in seiner Benutzerliste einrichten.

Abbildung 5.2:  Die Registerkarte Freigabe.

Abbildung 5.3:  Die Netzwerkumgebung mit freigegebenen Ordnern und Druckern.

Wenn das Netzwerk jedoch mehr als fünf bis zehn Benutzer oder Freigaben enthält, stürzt das gesamte Modell in sich zusammen. Wichtig ist hier, dass der Administrator die Benutzer, Gruppen und Berechtigungen für jede Freigabe auf dem Server verwalten muss, der die freigegebenen Ressourcen bereitstellt. Der Administrator eines Peer-to-Peer-Netzwerks mit 100 PCs müsste z.B. 100 separate Benutzerlisten, 100 verschiedene Gruppenkonfigurationen und 100 verschiedene Ressourcensammlungen verwalten. Dazu müsste er alle 100 Server manuell einrichten.

In einer solchen Umgebung ist der Einsatz des Domänenmodells sinnvoll.

Domänen

In Windows 2000 ist das Domänenmodell zum Bestandteil eines wesentlich umfassenderen Schemas namens Active Directory geworden und Domänen sind Bestandteil der Active Directory-Installation. In diesem Abschnitt soll jedoch nur das Domänenmodell beschrieben werden. Active Directory ist ein eigenes Kapitel gewidmet.

Wenn ein Netzwerk sehr viele Benutzer und Ressourcen enthält, eignet sich das Domänenmodell besser als das Arbeitsgruppenmodell zur Verwaltung des Netzwerks. Eine Domäne ist eine Sammlung von Benutzerkonten und Gruppen von Benutzerkonten, die von mehreren Servern gemeinsam genutzt werden (siehe Abbildung 5.4). Im Domänenmodell lassen sich alle Computer, Benutzer und Gruppen zentral verwalten. Für große Organisationen ist dies wesentlich attraktiver als das Arbeitsgruppenmodell.

Das Benennungsschema von Domänen sollte Internetnutzern bekannt sein. Die Benennungskonventionen in Windows 2000 folgen dem Domain Name System (DNS), das im Internet verwendet wird.

Abbildung 5.4:  Das Konzept einer Domäne.

Beim DNS gibt es sechs Topleveldomänen, d.h. übergreifende Namenskategorien, für Domänen in den USA sowie Länderkürzel für Domänen in allen übrigen Ländern, wie z.B. .de für Deutschland oder .fr für Frankreich, denen alle weiteren Domänen untergeordnet sind. Diese Topleveldomänen und Länderkürzel sind den Domänennamen als Suffixe angehängt. Aus diesem Schema resultieren Domänennamen wie microsoft.com oder yahoo.de. Es gibt die folgenden Topleveldomänen:

Dadurch, dass in Windows 2000 nun das DNS-Benennungssystem zur Benennung von Domänen verwendet wird, steht ein globales Standardbenennungsschema zur Verfügung. Windows 2000-Server lassen sich damit global an jedem beliebigen Standort einsetzen, wenn der DNS-Server registriert und mit dem Internet verbunden ist. Einzelheiten zur Registrierung des Domänennamens bei InterNic finden Sie in Kapitel 8. In diesem Kapitel brauchen Sie nur zu wissen, woher die Benennungskonvention stammt.

Das Konzept der Domänen wurde erweitert, sodass Domänen nun über so genannte Domänenstrukturen miteinander verbunden werden können.

Domänenstrukturen

Eine Domänenstruktur ist eine Sammlung von Domänen, die weitere Domänen und Subdomänen in einer DNS-Hierarchie enthält. Die Stammdomäne in einer Domänenstruktur kann einen DNS-Namen wie z.B. yahoo.de, indiana.edu oder mcp.com tragen). Der Name der untergeordneten Domänen wird auf der Basis der Domänenstruktur gebildet. Das heißt, der Name der Unterdomäne wird dem der Stammdomäne vorangestellt, wie z.B. bei den Domänen sams.mcp.com und architecture.indiana.edu.

Die einzelnen Domänenstrukturen lassen sich zu übergeordneten Strukturen, so genannten Gesamtstrukturen, zusammenfassen, die keinen gemeinsamen Domänennamen benutzen müssen. Die Domäne mcp.com kann z.B. mit der Domäne indiana.edu zur einer Gesamtstruktur verknüpft werden. Die Stammdomäne kann dann z.B. bellind.com heißen. Der Name der Stammdomäne muss also nichts mit den Namen der einzelnen Domänenstämme zu tun haben.

Die meisten Unternehmen werden niemals eine Größe erreichen, bei der es nötig wäre, solche Gesamtstrukturen mit Stammdomänen einzurichten. Bei dem momentanen Trend zur Globalisierung von Unternehmen wird dies jedoch zukünftig öfter erforderlich sein. Dank des neuen Domänenmodells und Benennungsschemas ist dies auch problemlos möglich.

Organisationseinheiten

Die Domänen sind größer geworden und sie lassen sich außerdem in kleinere Einheiten aufteilen. Diese Einheiten heißen Organisationseinheiten (OU = Organizational Unit). Wenn Sie mit der Welt von NetWare NDS vertraut sind, werden Sie hier etwas Altbekanntes wiedererkennen, das bereits seit Jahren existiert. Falls Sie dieses Konzept noch nicht kennen, finden Sie nachfolgend eine Beschreibung.

Es ist noch immer so, dass die Überwachung innerhalb der Grenzen der Domäne erfolgt. Aus diesem Grund wurde das Domänenmodell häufig kritisiert. Ein Domänenadministrator hat alle Macht und es gibt wenig Möglichkeiten, das Modell feinkörniger zu machen.

Der Administrator einer Domäne kann nun aber Container (Organisationseinheiten) einrichten, Objekte in diesen Containern erstellen und verschiedenen Administratoren die Verantwortung für diese Container übertragen (siehe Abbildung 5.5). Der Administrator kann jedoch weiterhin den Domänenstamm überwachen. Dies verleiht dem Domänenmodell erheblich mehr Flexibilität als bisher und lässt auch ein Wachstum zu.

Durch die Aufteilung der Verwaltung kann die Arbeitslast von einem einzelnen Administrator genommen werden. Die Flexibilität der Informationsnetzwerke innerhalb von Unternehmen lässt sich so erhöhen.

Abbildung 5.5:  Die Organisationseinheiten in einer Domäne.

Domänenkontrolle

An dieser Stelle werden die Änderungen in Windows 2000 ganz offensichtlich und sie entsprechen auch dem, was schon lange erwünscht war. Domänen sind nun, was die Anpassung der Größe und die sonstigen Möglichkeiten betrifft, erheblich flexibler.

Die Domänenkontrolle beinhaltet die Verwaltung und die Verteilung von Domäneninformationen auf den Servern im Netzwerk. Wenn an der Definition eines Benutzers oder einer Gruppe eine Veränderung vorgenommen werden muss, muss eine Autorität eingerichtet werden, damit dieses System funktioniert. Um Wachstum zuzulassen, muss ein Weg gefunden werden, die Veränderungen auf mehr als einem Computer zu speichern und den Zugriff auf diese Informationen zu erleichtern. Dies ist mit der Domänenkontrolle möglich.

DNS-Master

Eine Domäne wird auf dem ersten Server in der Domäne erstellt und dieser Server ist für einen Augenblick der DNS-Master. Diese Tatsache ist sehr wichtig, weil Sie wissen müssen, dass Domänen Informationssammlungen sind, die zentral gesteuert werden müssen. Diese Ebene der Kontrolle kann später auf einen anderen Server übertragen werden, aber während der Lebensdauer einer Domäne ist in einer strikten Domänenumgebung ein Computer für die Aufzeichnung verschiedener Änderungen in der Domäne verantwortlich.

Bei Windows NT Server wurden alle Änderungen in einer Domäne von einem Computer überwacht. Bei Windows 2000 ist die Kontrolle in einzelne Funktionen unterteilt. Es gibt Funktionen, die in jeder Gesamtstruktur einmal enthalten sein müssen, und Funktionen, die in jeder Domänenstruktur einer Gesamtstruktur enthalten sein müssen.

Hier nun die Funktionen, die in jeder Gesamtstruktur genau einmal enthalten sein müssen:

Hier die Funktionen, die in jeder Domänenstruktur enthalten sein müssen:

Nachdem ein Betriebsmaster eingerichtet wurde, muss sich jeder Computer, der in der Domäne enthalten sein soll, bei der Domäne registrieren. Durch die Registrierung wird der Computer Bestandteil der Ressourcen, die von der Domäne angeboten werden. Alle freigegebenen Ressourcen dieses Computers werden von der Domänensicherheit überwacht. Beschränkungen, die für Domänenbenutzer und Gruppen eingerichtet wurden, werden auf Computern angewendet, die Bestandteil der Domäne sind.

Windows 95/98-Computer können nicht in eine Windows 2000- oder Windows NT-Domäne aufgenommen werden. Benutzer können jedoch über Windows 95/98-Computer auf die Domäne zugreifen. Dies beinhaltet jedoch nur die Überwachungsebene, die auf diesen Computern unterstützt wird.
Domänencontroller

Domänencontroller werden wie Betriebsmaster eingerichtet, wenn der erste Server in der Domäne installiert wird. Zu den Funktionen von Domänencontrollern gehören die Verwaltung der Benutzer- und Gruppenkonten sowie die Verwaltung des Zugriffs auf Verzeichnisse und auf freigegebene Ressourcen. Um die Fehlertoleranz zu erhöhen, sollte ein Verzeichnis mindestens zwei Domänencontroller enthalten (siehe Abbildung 5.6).

Abbildung 5.6:  Einen Domänencontroller installieren.

Nachdem der erste Server installiert wurde, können andere Server in der Domäne installiert werden und an der Domänenkontrolle teilnehmen. Der Computer ist dann Bestandteil einer Multimaster-Systemdomäne. Dies stellt eine starke Veränderung gegenüber dem NT-Modell des allein stehenden Servers oder des primären Domänencontrollers dar.

Wenn der primäre Domänencontroller unter Windows NT heruntergefahren war, konnte kein Benutzer sein Kennwort ändern. Bei einem Multimastermodell kann ein Domänencontroller die Änderungen annehmen und Replikate an die anderen Domänencontroller in der Domäne verschicken.

Vertrauensstellungen

Eine Vertrauensstellung wird zwischen Domänen eingerichtet, damit die Benutzer und Gruppen aus einer Domäne auf Ressourcen einer anderen Domäne zugreifen können. In Windows 2000 gibt es zwei neue Formen von Vertrauensstellungen und das Konzept der Vertrauensstellungen wurde sehr stark verbessert.

Explizite Vertrauensstellungen (Klassische Vertrauensstellungen)

Domänen wurden bisher über so genannte Vertrauensstellungen miteinander verbunden. Diese werden nun als explizite Vertrauensstellungen bezeichnet. Eine explizite Vertrauensstellung ist eine einseitige Beziehung, mit der eine Verbindung zwischen den Ressourcen einer Domäne und den Benutzern und Gruppen einer anderen Domäne hergestellt wird. Die Bezeichnung »explizite Vertrauensstellung« stammt daher, dass die Vertrauensstellung von den Administratoren der teilnehmenden Domänen explizit eingerichtet werden muss.

Wenn z.B. der Administrator von Domäne A eine Vertrauensstellung für Domäne B einrichtet, erhalten die Benutzer und Gruppen aus Domäne B Zugriff auf die Ressourcen in Domäne A (siehe Abbildung 5.7). Es handelt sich um eine unidirektionale Vertrauensbeziehung, die explizit eingerichtet wurde.

Abbildung 5.7:  Eine klassische unidirektionale Vertrauensstellung.

Damit die Benutzer und Gruppen aus Domäne A auf Ressourcen in Domäne B zugreifen können, muss eine separate Vertrauensstellung eingerichtet werden. Dadurch würde Domäne B Domäne A vertrauen. Wurden zwei Vertrauensstellungen eingerichtet, gibt es vollständiges Vertrauen. Jede Vertrauensstellung muss separat eingerichtet werden und die Administratoren in jeder Domäne müssen sich darum kümmern.

In dieses Schema muss nur eine weitere Domäne integriert werden und schon wird es ziemlich problematisch, die Vertrauensstellungen aufrecht zu erhalten (siehe Abbildung 5.8). Wenn ein Unternehmen mit zwei Domänen ein anderes Unternehmen mit einer Domäne kauft und diese Domäne in einer vollständigen Vertrauensstellung mit allen aktuellen Domänen verbinden möchte, wird für jede Domäne eine bidirektionale Vertrauensstellung benötigt:

Abbildung 5.8:  Der Anfang einer umfangreichen kompletten Vertrauensstellung.

Wird eine Vertrauensstellung von Domäne A nach Domäne B und von Domäne B nach Domäne C eingerichtet, heißt dies jedoch nicht, dass eine Vertrauensstellung von Domäne A nach Domäne C besteht. Diese klassischen Beziehungen sind nicht transitiv, sie stehen jedoch in einem Active Directory-Modell zur Verfügung.

Um zu verstehen, warum das Betriebssystem Windows 2000 mit einem solchen Enthusiasmus erwartet wurde, müssen Sie wissen, dass die explizite Vertrauensstellung nicht mehr die bevorzugte Methode ist, um mehrere Domänen miteinander zu verbinden. Stellen Sie sich vor, Sie müssten verschiedene Domänen miteinander verbinden und dafür Vertrauensstellungen einrichten.

Nichttransitive Vertrauensstellungen

Eine nichttransitive Vertrauensstellung ist eine Vertrauensstellung zwischen zwei Domänen, die nicht in derselben Domänenstruktur enthalten sind oder bei denen eine teilnehmende Domäne keine Windows 2000-Domäne ist. Diese Vertrauensstellungen können unidirektional und bidirektional, nicht aber transitiv sein (siehe hierzu den nächsten Abschnitt). Hier einige Beispiele für nichttransitive Vertrauensstellungen:

Transitive Vertrauensstellungen

Eine transitive Vertrauensstellung ist eine Vertrauensstellung zwischen zwei Domänen innerhalb einer Domänenstruktur oder einer Gesamtstruktur. Wenn untergeordnete Domänen in einer Domänenstruktur erstellt werden, besteht zwischen der untergeordneten und der übergeordneten Domäne automatisch eine transitive Vertrauensstellung. Diese ist immer bidirektional und wird automatisch eingerichtet.

Es lassen sich auch so genannte verknüpfte Vertrauensstellungen einrichten. Mehr hierzu erfahren Sie in Kapitel 9.

5.1.2 Active Directory

Die größte Nachfrage bestand nach einem System, das eine hierarchische Verwaltung von Benutzern und Ressourcen ähnlich wie bei der Verwaltung von Dateien in einem Verzeichnis oder von Datensätzen in einer Datenbank erlaubt. Mit Active Directory wird diese Struktur nun eingeführt.

Wie Sie bei der Bildung von expliziten Vertrauensstellungen sehen können, wird in den heutigen großen unternehmensweiten PC-Netzwerken eine Möglichkeit benötigt, Benutzer und Ressourcen zuzuordnen. Diese Methode muss flexibel genug sein, um eine lokale Verwaltung zu ermöglichen. Sie muss aber auch transitive Beziehungen zulassen, die zu mobilen Mitarbeitern oder Ressourcen bestehen. Die lokalen Manager müssen ihre Mitarbeiter und Mitarbeiterinformationen überprüfen können und die EDV-Abteilung muss die Systeme und Richtlinien auf diesen Systemen überwachen können.

Active Directory bietet all diese Dinge. Mit Active Directory wird eine mehrschichtige Struktur eingerichtet, bei der Beziehungen über die Grenzen eines bestimmten Containers oder einer Domäne hinweg eingerichtet werden können (siehe Abbildung 5.9).

Abbildung 5.9:  Eine Hierarchie aus Domänen, Benutzern und Computern

Die Struktur

In Active Directory sind Domänen Bestandteil einer so genannten Struktur. Innerhalb der Struktur ist jedes Element wie beim Dateisystem über eine baumartige Struktur mit anderen Objekten verbunden. Eine Struktur besteht aus Container- und Blattobjekten. Ein Blatt ist einfach ein Benutzer oder eine Ressource, die im Container enthalten ist und in diesem überwacht wird.

Containerobjekte wurden bereits in diesem Kapitel beschrieben, jedoch unter einer anderen Bezeichnung. Domänen und Organisationseinheiten sind Beispiele für Containerobjekte.

Benutzer- und Ressourcenobjekte sind leistungsfähiger als einfache Benutzerkonten, denen nur Zugriffsberechtigungen für Freigaben zugeordnet werden können. Ein Blattobjekt kann nun mehrere Elemente enthalten, die zuvor getrennt verwaltet werden mussten. Blattobjekte enthalten Informations- und Kontrollfelder und werden so zu Kontrollcentern für die Benutzeraktivität und -kontrolle.

Ein Benutzerobjekt kann den vollständigen Namen, die E-Mail-Adresse und die Telefonnummer eines Individuums enthalten. Es kann auch Informationen darüber enthalten, wie die Windows-Umgebung des Benutzers aussehen soll, wenn er sich von einem beliebigen Standort innerhalb des Unternehmens aus anmeldet. Bei den Dienstprogrammen, die in Windows NT enthalten waren, musste der Administrator die Informationen an mehreren Stellen speichern und verschiedene Dienstprogramme verwalten, um dasselbe zu erreichen.

Kein Master

Im klassischen Domänenmodell ist das Konzept eines einzelnen Masters nie ganz verschwunden. Bei einem Systemversagen musste der Administrator intervenieren, um alles wiederherzustellen. Active Directory ist ein Multimaster-System.

In dieser Konfiguration werden mehrere Exemplare des Verzeichnisses auf verschiedene Server im Netzwerk verteilt. Wenn eine Veränderung vorgenommen wird, repliziert das System, das die Änderung bemerkt, diese über das Verzeichnis. Änderungen werden bei jedem Kontrollpunkt nach Zeit und Wichtigkeit aufgezeichnet. Dies ermöglicht einen effizienten Informationstransfer.

Es resultiert eine bessere Leistung und Fehlertoleranz, genau wie beim Sicherheitsdomänencontroller im klassischen Domänenmodell. Es können jedoch von jeder Stelle aus Änderungen am Verzeichnis vorgenommen werden und diese Änderungen werden unabhängig von einem System wirksam.

Die verzeichnisbasierte Netzwerksicherheit und -verwaltung ist nicht neu. Novell NetWare benutzt sie bereits seit fast zehn Jahren. Sie ist jedoch neu für den Microsoft-Administrator.

5.1.3 Netzwerkdienste

Windows 2000 enthält viele Schichten, die an der Oberfläche nicht sichtbar sind. Dazu gehören die Dienste, die die Dienstprogramme steuern, die der Server anbietet. Diese Dienste sind nicht mehr im Dialogfeld Netzwerk enthalten (falls Sie ein alter Windows NT-Veteran sind). Sie befinden sich an einem Ort, der Windows 95/98-Nutzern bekannter sein dürfte. Bei Windows 2000 sind sämtliche Dienste, Protokolle und Adapter unter den Eigenschaften einer bestimmten Verbindung aufgeführt. Die Verbindungen sind im Ordner Netzwerk- und DFÜ-Verbindungen enthalten. Die Eigenschaften einer Verbindung können Sie einsehen, indem Sie doppelt darauf klicken und dann die Schaltfläche Eigenschaften wählen.

Die Netzwerkdienste sorgen dafür, dass Benutzer sich anmelden können, Computer eine IP-Adresse erhalten und vieles mehr.

5.2 Netzwerke (Ihr LAN oder WAN) und Netzwerke (Segmentierung)

Um zu verstehen, wie Windows 2000 und Active Directory verteilt werden müssen, müssen Sie das Netzwerk kennen, über das Sie die Ressourcen verteilen. Sie werden z.B. feststellen, dass Sie das Netzwerk lahm legen, wenn Sie keine Domänen und Strukturen einrichten. Die Netzwerkinfrastruktur sollte im Idealfall auf eine maximale Bandbreite ausgelegt sein. Es ist jedoch Ihre Aufgabe als Windows 2000-Administrator, so viel wie möglich über die Systeme und darüber, wie Ihr System mit ihnen interagiert, in Erfahrung zu bringen.

Die Replikation von Domäneninformationen über kostspielige WAN-Leitungen (WAN = Wide Area Network) kann dazu führen, dass Benutzeranforderungen langsamer beantwortet werden. Deshalb sollten Sie wissen, was ein WAN ist. Wenn Sie mit einem LAN arbeiten (LAN = Local Area Network), brauchen Sie vielleicht nicht unbedingt eine Struktur einzurichten. Zu den Begriffen LAN und WAN kommen nun noch die Begriffe SAN (System Area Network) und MAN (Metropolitan Area Network) hinzu. Hier die Definitionen für die vielen Abkürzungen:

Bei Netzwerken ist ein möglichst hoher Durchsatz wünschenswert. Die Datenmenge, die das Netzwerk durchlaufen kann, d.h. die Datenübertragungskapazität, wird als Bandbreite bezeichnet. Das Ziel ist es, jedem Computer eine möglichst hohe Bandbreite zu bieten, egal, ob dieser in ein LAN oder WAN integriert ist.

Eine Möglichkeit, eine hohe Bandbreite zu gewährleisten, besteht darin, die Bandbreite auf der Basis des Bedarfs in Bereiche aufzuteilen und den Datenfluss entsprechend zu steuern. Das Ethernet ist die vorherrschende Topologie, mit der PCs in einem Netzwerk verbunden werden. Um eine Überlastung zu vermeiden, können die Computer aufgeteilt werden. Dieser Vorgang wird als Segmentierung bezeichnet. Zur Veranschaulichung nun ein paar Beispiele. Die Benutzer in der Grafikabteilung eines Unternehmens versenden z.B. große Bilddateien über das Netzwerk, was zu Spitzenzeiten zu einer Verringerung der Netzwerkleistung führt. Das Problem lässt sich dadurch lösen, dass die Grafikabteilung in ein separates Netzwerksegment verlegt wird.

Wenn ein Netzwerk auf mehrere Standorte verteilt ist, greifen die Benutzer eines Standorts möglicherweise nicht auf den anderen Standort zu. Hier wäre es sinnvoll, dafür zu sorgen, dass der Netzwerkverkehr der beiden Standorte nicht vermischt wird. Wenn Sie eine passende Domänenstruktur einrichten, können Sie derartige Probleme mit dem Netzwerkverkehr vollständig vermeiden.

Netzwerke lassen sich auf zwei Arten segmentieren, die nachfolgend beschrieben werden.

5.2.1 Switched Ethernet

Die erste Möglichkeit, ein Netzwerk zu segmentieren, besteht darin, es in verschiedene Domänen aufzuteilen, die miteinander kollidieren könnten. Bei einem Ethernet sind die einzelnen Computer über eine Bus- oder eine Sterntopologie miteinander verbunden (siehe Abbildung 5.10).

Abbildung 5.10:  Ethernet-Topologien

Wenn ein System versucht, über eine Leitung zu kommunizieren, horcht es zunächst an dieser um festzustellen, ob die Leitung bereits von einem anderen System benutzt wird. Dies liegt daran, dass immer nur ein System die Leitung benutzen kann. Wenn die Leitung frei ist, beginnt das System, ein Signal zu senden. Wenn gleichzeitig ein anderes System beginnt, Daten zu senden, führt dies zu einer Kollision. Nun warten die beiden Systeme eine zufällige Zeitspanne und versuchen dann noch einmal zu senden. Wegen dieses Verhaltens werden die Systeme in einem Segment eines Ethernets auch als Mitglieder einer Kollisionsdomäne bezeichnet.

Kollisionen sind in Ethernets nichts Ungewöhnliches und werden sogar erwartet. Treten sie jedoch zu häufig auf, verbringen die Computer im Ethernet die meiste Zeit damit, auf eine freie Leitung zu warten und nicht damit, zu kommunizieren. Dieses Problem lässt sich dadurch lösen, dass die Computer entweder dedizierte Leitungen erhalten oder dass zumindest die Anzahl der Teilnehmer verringert wird. Dazu werden einzelne Segmente eingerichtet, die über Vermittlungseinrichtungen oder Brücken miteinander verbunden sind.

Switches (Vermittlungseinrichtungen) sind die Nachfolger der so genannten Brücken, d.h. der Geräte, die zwei lokale Netzwerke miteinander verbinden. Switches teilen nicht nur ein Signal auf der Basis der MAC-Adressen auf, sondern sie übernehmen auch Routingfunktionen, d.h., sie suchen die beste Route für die Daten.

Die Geräte, die diese Aufgaben erfüllen, werden als Switches bezeichnet. Wenn ein PC versucht, mit einem anderen zu kommunizieren und die Kontrolle über die Leitung erhält, sendet er zunächst einen Rundspruch und wartet auf eine Antwort, die ihm die Hardwareadresse des PCs mitteilt, an den er die Daten senden möchte. Er sendet dann die Signale an diese spezielle MAC-Adresse (MAC = Media Access Control). Bei diesem Verfahren müssen alle Computer die Leitung abhören um festzustellen, ob die Signale für sie bestimmt sind. Das kostet Zeit.

Wenn sich die Computer in einem Netzwerk so aufteilen ließen, dass nicht so viele Signale gesendet werden müssten, ließe sich das ganze Durcheinander verhindern. Werden die Computer so aufgeteilt, dass sie nur die Elemente abhören, die auf ihren Leitungen gesendet werden, entstehen separate Kollisionsdomänen. Die getrennten Kommunikationsleitungen der einzelnen Kollisionsdomänen werden über einen Switch miteinander verbunden.

Ein Switch ist ein Hochgeschwindigkeitsschalter, über den entweder die einzelnen Computer oder Gruppen von Computern auf einem Hub miteinander verbunden sind. Jede Kommunikationsleitung ist eine separate Kollisionsdomäne. Diese separaten, aber trotzdem miteinander verbundenen Abschnitte des Netzwerks werden als Segmente bezeichnet. Der Switch horcht die Leitungen ab, mit denen er verbunden ist und notiert die MAC-Adressen der verbundenen Computer (siehe Abbildung 5.11). Wenn ein Computer Daten senden möchte, registriert der Switch die MAC-Adresse des Zielcomputers und leitet die Daten an das passende Segment weiter.

Abbildung 5.11:  Das Switched Ethernet gewährleistet eine hohe Bandbreite durch eine spezifische Kommunikation.

Eine Kollisionsdomäne im Ethernet (10 oder 100 MB) sollte maximal 35 aktive Benutzer enthalten. Sie sollten nun keine Panik bekommen, wenn Sie daran denken, dass mehrere Hundert Benutzer mit dem Hub in Ihrem Unternehmen verbunden sind. Der Begriff aktiver Benutzer bezeichnet einen Computer, der Signale versendet. Wenn fünfzig Benutzer an ihrem Schreibtisch sitzen, während nur der Bildschirmschoner läuft, zählen sie nicht als aktive Benutzer. Nur Sie können feststellen, wie viele Benutzer jeweils aktiv sind. Um jedoch Probleme mit der Bandbreite zu vermeiden, sollten Sie darauf achten, dass maximal 35 aktive Benutzer in einer Gruppe enthalten sind.

Denken Sie auch an Gruppen wie die erwähnte Grafikabteilung. Bei solchen Gruppen sollten Sie in Erwägung ziehen, diese allein an einen Switch oder Switch-Port zu hängen.

Serververbindungen mit diesen Gruppen sollten über den Switch laufen. Optimal wäre ein direkter Pfad zwischen Benutzern und den Serverressourcen. Dahinter steckt das Konzept zu verhindern, dass der Server mit Workstations von Benutzern um die Kollisionsdomäne konkurrieren muss. Es wäre katastrophal, wenn ein Server eine geringe Leistung aufweisen würde, weil ein Benutzer die neueste Version eines Action Games herunter lädt.

5.2.2 Mit Routern verbundene Segmente

Die Netzwerkkommunikation erfolgt in vielen verschiedenen Schichten. Diese Schichten werden im OSI-Modell (OSI = Open Systems Interconnection) zusammengefasst. Dieses Modell hilft zu verstehen, warum ein Segment in diesem Zusammenhang sich von einer Kollisionsdomäne unterscheidet. Abbildung 5.12 zeigt das OSI-Modell.

Abbildung 5.12:  Das OSI-Modell

Es soll nun nicht das OSI-Modell beschrieben werden, sondern Sie sollen einfach nur sehen, dass es in den Kommunikationsschichten verschiedene Punkte gibt, an denen Entscheidungen getroffen werden und der Datenfluss geändert werden kann. Dies sind die Netzwerk- und die Sicherungsschicht. Diese beiden Schichten sind für die Kommunikation zuständig, nachdem eine physische Verbindung hergestellt wurde.

Die Sicherungsschicht wird in einem Switched Ethernet verwendet. Sie hat unter anderem die Aufgabe, die MAC-Adresse des Computers zu ermitteln.

Die Netzwerkschicht ermittelt dann die Netzwerkadresse des Signals und stellt fest, ob sie zu dem Computer gehört, der das Signal empfangen hat.

Router sind Vermittlungsvorrichtungen, die ähnlich wie Switches den Datenfluss weiterleiten. Statt den Datenfluss jedoch auf der Basis von MAC-Adressen zu verteilen, kennen Router jedoch nur das Netzwerk, in dem sich das Zielsystem befindet und leiten die Daten an dieses weiter (siehe hierzu die Definition von Netzwerksegmenten am Anfang des Netzwerkabschnitts in diesem Kapitel).

Router werden häufig eingesetzt, um den Datenfluss in einem WAN zu steuern, weil der Datenfluss von Router zu Router spezifischer ist. Router kennen die Pfade zu bestimmten Netzwerken oder lernen diese. Es ist also keine Rundsendung einer MAC-Adresse erforderlich, sondern ein System landet zunächst im korrekten Netzwerk und sendet dann die Anforderung.

5.3 RRAS

RRAS (Routing and Remote Access Services) fasst Dienste zusammen, die den Fernzugriff auf Systeme erlauben. Ursprünglich hieß dieser Dienst RAS (Remote Access Services) und wurde eingesetzt, um Benutzern den Zugriff auf den Server über ein Modem zu ermöglichen. Der Routingbestandteil des Dienstes macht den Dienst zu einem robusteren System für die Kommunikation über Standardtelefonleitungen und das Internet.

5.3.1 Der Remote-Zugriff

Remote-Benutzer können über RRAS auf ihren Computer im Büro zugreifen und die anderen Computer im Netzwerk so benutzen, als säßen sie vor ihrem Computer im Büro. RRAS erlaubt den Zugriff auf einen Server über eine DFÜ-Netzwerkverbindung. Das Modem oder die ISDN-Karte des Benutzers erfüllt dann die Funktion einer Netzwerkkarte, die mit dem Netzwerk im Büro verbunden ist. Der Hauptunterschied zwischen einer normalen Netzwerkverbindung und einer Verbindung über die Telefonleitung ist die Geschwindigkeit, da eine Standardtelefonleitung erheblich langsamer arbeitet als die Netzwerkverbindung im Büro (57,6 Kbps im Gegensatz zu 10.000 Kbps). Aus diesem Grund werden die Benutzer, die auf diese Weise auf das Netzwerk zugreifen, nur Daten abrufen und die Anwendungen dann auf ihren lokalen Workstations ausführen.

Einen guten Vergleich für diese Art der Kommunikation bieten das Internet und das World Wide Web. Um auf das Web zuzugreifen, stellen Sie eine Verbindung zum Internet her und starten dann den Webbrowser auf Ihrem Computer. Der Browser überträgt Daten von verschiedenen Hosts und zeigt sie an.

5.3.2 Multiprotokollrouting

Für kleine Unternehmen und in vielen kleinen Routinganwendungen kann es unerschwinglich sein, einen separaten Router zu erwerben, der den Datenfluss an eine Remote-Site oder ein anderes Segment im Haus leitet. Es wäre gut, wenn sich einfach eine andere Netzwerkschnittstelle auf dem Server einrichten ließe, die den Datenfluss mittels des Netzwerkbetriebssystems und des Routers lenkt.

Um Computer mit Windows als Router miteinander verbinden zu können, mussten viele Änderungen vorgenommen werden. Windows 2000 bietet diese Möglichkeit nun.

RRAS kann den Datenfluss in IP- und IPX-Netzwerken über den Server routen. Es ist auch möglich, Protokolle von Drittanbietern einzubinden, aber IP (das Protokoll, das im Internet verwendet wird) und IPC (das Protokoll, das von vielen NetWare-Netzwerken verwendet wird) sind integriert.

Routing on demand

Wenn Sie Netzwerke über Standardtelefonleitungen miteinander verbinden, kann es unerschwinglich teuer sein, diese Verbindung 24 Stunden am Tag verfügbar zu halten. Aus diesem Grund kann RRAS so konfiguriert werden, dass die Verbindung nur dann hergestellt wird, wenn ein Bedarf vorhanden ist. Wenn ein Benutzer beispielsweise versucht, auf eine Ressource im Netzwerk zuzugreifen, die sich auf der anderen Seite eines DFÜ-Netzwerk-WANs befindet, würde die Leitung aktiviert werden. Nach einer bestimmten Zeitspanne, in der keine Aktivität verzeichnet wird, würde die Verbindung wieder getrennt werden.

Virtuelles privates Netzwerk (VPN)

Wegen der Kosten, die bei der Installation von Standleitungen zwischen verschiedenen Standorten entstehen, verwenden viele Unternehmen das Internet und andere öffentliche Netzwerke für ihre WAN-Verbindungen. Dadurch entsteht ein kostengünstigeres Kommunikationssystem, es birgt aber zahlreiche neue Probleme in sich. Das Internet ist weit von einem sicheren Netzwerk entfernt und Eindringlinge könnten leicht feststellen, was ein Unternehmen produziert.

Eine Lösung für dieses Problem besteht darin, die Informationen vor dem Versand in ein sicheres Paket zu packen. Genau das macht ein VPN (Virtual Private Network). VPNs nehmen die Pakete, die versendet werden sollen, und packen sie in ein privates (verschlüsseltes) Paket um, das nur vom passenden System auf der anderen Seite des öffentlichen Netzwerks gelesen werden kann. Der Versand erfolgt über ein Protokoll namens PPTP (Point-to-Point Tunneling Protocol). Um eine solche Verbindung herzustellen, müssen die beiden Parteien mit dem öffentlichen Netzwerk verbunden sein. Ein Vorteil dieser Technik ist auch, dass Clients über eine Einwahlverbindung von jeder Stelle aus auf das Netzwerk zugreifen können, von der auch ein Zugriff auf das Internet besteht.


© Copyright Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH
Elektronische Fassung des Titels: Windows 2000 Server Kompendium, ISBN: 3-8272-5611-9 Kapitel: Netzwerke