archiv.galad.com

MCSE

Windows NT Server 4.0 im Unternehmen

---

Inhalt:

• Windows NT Setup
  • Installation
  • Deinstallation
  • Serverdienst Konfiguration
• Virtueller Speicher
• Multiple Disk Sets
• Datei-Systeme
• Domänen (Vertrauensstellungen)
• Sicherheit
• Benutzer- und Gruppenkonten
• RAS
• Novell NetWare
• Netzwerk
  • Computer-Namen Auflösung
  • TCP/IP
  • Sonstiges
• DHCP
• WINS
• Profile
• Richtlinien
• Drucken
• PDCs und BDCs
• Domänen (Erweiterung und Optimierung)
• Suchdienst
• Fehlerbehebung
• ARC-Pfade
• Systemmonitor
• Netzwerkmonitor

Windows NT Setup

---

Installation

WINNT32.EXE

Wird nur verwendet, um ein Upgrade einer bereits installierten Windows NT Version (3.51 oder 4.0) durchzuführen.

WINNT.EXE

Zur regulären NT-Installation, auch von DOS oder Windows 95 aus.

Optionen
/B	Bootdateien werden auf die Festplatte geschrieben, statt Bootdisketten zu benutzen. Benötigt zusätzliche 4-5MB Plattenplatz.
/S	Pfad der NT-Quelldateien definieren. Mehrere Pfade beschleunigen die Installation.
/U	Pfad der Antwortdatei zur unbeaufsichtigten Installation. Muß zusammen mit /S verwendet werden. (/u:Antwortdatei)
/UDF	ID des UDF-Abschnittes, der vom Setup anstelle des entsprechenden Abschnittes der Antwortdatei verwendet wird. (/udf:id[,UDF-Datei])
/T	Laufwerk für temporäre Dateien festlegen. (/t:tempdrive)
/OX	Boot-Disketten werden erstellt. Zum Ersetzen beschädigter bzw. zum Erstellen neuer Boot-Disketten.
/F	Dateien werden beim Kopieren nicht überprüft. Kann die Installation beschleunigen.
/C	Beim Erstellen der Boot-Disketten wird nicht geprüft, ob genug Platz ist.
/I	Namen (kein Pfad) der Setup-Informationsdatei angeben. Standard ist DOSNET.INF. Steuert die Ausführung des Setup-Programms. (/i:inffile)
/L	Protokolldatei $WINNT.LOG erstellen. Enthält Fehler, die während des Kopiervorgangs in den temporären Ordner festgestellt wurden.

Wenn man Windows NT 4.0 über Windows 3.1x oder Windows NT 3.51 installiert, werden alle Benutzer-, Netzwerk- und Programmeinstellungen übernommen. Es gibt keine Möglichkeit die Benutzer-, Netzwerk- und Programmeinstellungen von Windows 95 zu übernehmen. Die Installation von Windows NT 4.0 neben einem existierenden Windows 95 ist möglich. Sämtliche Applikationen müssen in diesem Fall für beide Betriebssysteme installiert werden.

UNATTEND.TXT

Antwortdatei, beinhaltet Informationen, die normalerweise während der Installation vom Benutzer gemacht werden müssen. Dadurch läßt sich NT "unbeobachtet" installieren.

$UNIQUE$.UDF

UDF - Uniqueness Database File, kann zusammen mit der Datei "UNATTEND.TXT" verwendet werden und beeinhaltet zusätzliche Informationen, wie Benutzer- oder Gruppenspezifische Einstellungen.

---

Deinstallation

FAT-Partition

Zuerst muß DOS gebootet werden. Mit dem Tool "SYS.COM" wird auf der Systempartition ein neuer Bootrecord geschrieben. Danach können alle Windows NT-Dateien und Verzeichnisse gelöscht werden.

NTFS-Partition

Die Partition muß formatiert werden, eine Deinstallation ist nicht möglich.

---

Serverdienst Konfiguration

Einstellungsmöglichkeit: Netzwerk-> Eigenschaften-> Dienste-> Server-> Eigenschaften

Minimale Speichernutzung	10 gleichzeitige Netzwerkverbindungen
Ausgeglichen	64 gleichzeitige Netzwerkverbindungen (Default)
Dateifreigaben	Speichernutzung für Dateifreigaben optimiert
Netzwerk Applikationen	Speichernutzung für Netzwerkdienste optimiert (Stichworte: SQL, PDC)

Virtueller Speicher

Einstellungsmöglichkeit: Systemsteuerung-> System-> Leistungsmerkmale

PAGEFILE.SYS

Auslagerungsdatei. Kann vergrößert oder verkleinert werden, empfohlen sind physischer Hauptspeicher +12MB. Zur effektivsten Einstellung (Geschwindigkeit) sollte die Auslagerungsdatei auf mehrere physische Festplatten verteilt werden mit Ausnahme der System- und der Bootpartition. Dadurch kann jedoch bei einem "Blue Screen" kein Speicherabbild mehr erstellt werden. Im Betrieb kann die Größe durch Auslagerung steigen, wird aber nicht sinken, sondern erst durch einen Neustart wieder zurückgesetzt.

Multiple Disk Sets

Durch Multiple Disk Sets kann die Leistungsfähigkeit von Festplattensystemen gesteigert und/oder ein gewisses Maß an Fehlertoleranz gewährleistet werden. Fehlertoleranz kann ein ordentliches Backup aber auf keinen Fall ersetzen. Unter Windows NT 4.0 stehen folgende Verfahren als Software-Implementierung zur Verfügung:

Stripe Set ohne Parität (RAID 0)

Die Daten werden in 64KB großen Blöcken gleichmäßig auf zwei oder mehr Festplatten verteilt, wobei keine Redundanz und damit keine Fehlertoleranz erzeugt wird. Bei einem Defekt einer einzelnen Platte sind die Daten des gesamten Stripe Sets verloren.

Stripe Set mit Parität (RAID 5)

Die Daten werden in 64KB große Blöcke zerlegt und zusammen mit Paritätsinformationen auf mindestens 3 und auf bis zu 32 Festplatten verteilt. Jede Blockreihe über alle Platten enthält einen Paritätsblock. Bei Ausfall einer einzelnen Platte können die fehlenden Blöcke auch im laufenden Betrieb aus den restlichen Blöcken der Reihe rekonstruiert werden.

Disk Spiegelung (RAID 1)

Dupliziert eine Partition auf eine andere physische Festplatte und bietet damit durch die Verdoppelung der Daten Fehlertoleranz, falls eine der Platten ausfällt.

Disk Duplizierung (RAID 1)

Dieses Verfahren entspricht der Disk Spiegelung mit dem Unterschied, daß für jede Platte ein eigener Controller verwendet wird. Der zusätzliche Controller sichert den Betrieb auch bei einem Controller-Schaden.

Datenträgersatz

Mehrere kleine Partitionen werden zu einer logischen großen Partition zusammengefaßt. Es existiert keine Fehlertoleranz, fällt eine Platte aus, ist der gesamte Datenträgersatz verloren.

Die System- und die Bootpartition dürfen sich nicht auf einem Stripe Set oder einem Datenträgersatz befinden, aber auf einem Spiegel- oder einem Duplexsatz.

Methode	Kosten pro MB	Geschwindigkeit	Wiederherstellung
Stripe Set ohne Parität	Normal, keine Redundanz	Es können mehrere Platten gleichzeitig gelesen und geschrieben werden.	Von Backup
Stripe Set mit Parität	Je mehr Platten desto kostengünstiger, da effektiv nur eine Platte für die Parität verwendet wird.	Beim Schreiben muß die Parität erzeugt werden. Bei Ausfall einer Platte müssen beim Lesen die fehlenden Daten berechnet werden.	Neue Festplatte(n) installieren, NT booten. Eine Platte defekt: Regenerierung im Festplattenmanager auswählen. Mehrere Platten defekt: Von Backup wiederherstellen.
Spiegelung Duplizierung	Doppelt so hoch wie bei einer einzelnen Partition, da alle Daten zweimal vorliegen.	Alle Daten müssen zweimal geschrieben werden.	Neue Festplatte installieren, NT booten (ggf. die Datei BOOT.INI anpassen). Im Festplattenmanager Disk Spiegelung aufheben, Disk Spiegelung neu anlegen.
Datenträgersatz	Normal, keine Redundanz	Es kann immer nur eine Platte gelesen/beschrieben werden.	Von Backup

Datei-Systeme

FAT	NTFS
FAT16 ist kompatibel mit DOS und Win95. FAT32 wird von NT4.0 nicht unterstützt.	Schnellerer Zugriff bei Partitionen über 400MB, aber größerer Overhead. Disketten können nicht mit NTFS formatiert werden, keine Unterstützung durch DOS, Win3.x, Win95 und OS/2.
Dateien und Verzeichnisse können nur die Standardattribute Nur-Lesen (Read-Only), System, Versteckt (Hidden) und Archiv haben. Es gibt keine Sicherheit bei lokalem Zugriff.	Neben den Standardattributen existiert Sicherheit auf Dateiebene, auch bei lokalem Zugriff.
Mit CONVERT.EXE ist eine Konvertierung nach NTFS jederzeit möglich.	Kann nicht nach FAT konvertiert werden. Die Partition muß gelöscht und als FAT neu angelegt werden.
Eine Defragmentierung ist möglich. Dazu muß mit einer DOS-Diskette gebootet und DEFRAG.EXE gestartet werden.	Eine Defragmentierung ist nicht direkt möglich. Dazu muß die Partition formatiert und von einem Backup wiederhergestellt werden.
Eine Datei, die von FAT nach NTFS verschoben wird, behält ihre Attribute und einen langen Dateinamen.	Eine Datei, die von NTFS nach FAT verschoben wird, verliert ihre Attribute und Sicherheitsbeschreibungen, ein langer Dateiname bleibt erhalten.

Für ein Upgrade von NT3.51 HPFS müssen zuerst alle Partitionen nach NTFS konvertiert werden, bevor das Betriebssystem upgegradet wird.

Domänen (Vertrauensstellungen)

Die in der Kontendomäne registrierten Benutzer können die Ressourcen der Ressourcendomäne benutzen. Eine beidseitige Vertrauensstellung besteht aus zwei einseitigen Vertrauensstellungen. Jede Domäne vertraut dabei den Benutzern der anderen Domäne für die Benutzung der eigenen Ressourcen.

Arbeitsgruppe

Geeignet für Netzwerke mit weniger als 20 Benutzern. Die einzelnen Benutzer verwalten alle Ressourcen und Freigaben auf ihren Rechnern selbst. Keine Domänen und keine Vertrauensstellungen.

Einfachdomänenmodell

Eine einzelne Domäne. Alle Benutzer und Ressourcen werden zentral verwaltet, Vertrauensstellungen werden nicht benötigt. Theoretisch sind bis zu 40.000 Benutzer möglich, das Modell ist jedoch für 20-500 Benutzer empfohlen.

Hauptdomänenmodell

Besteht aus einer Hauptdomäne, in der die Konten zentral verwaltet werden sollten, und einer oder mehrerer weiterer Domänen, die der Hauptdomäne vertrauen und in denen die Ressourcen lokal verwaltet werden. Kann theoretisch bis zu 40.000 Benutzer enthalten, ist jedoch für 500-10.000 Benutzer empfohlen.

Mehrfachhauptdomänenmodell

Mehrere Hauptdomänen, die sich gegenseitig vollständig vertrauen, und eine oder mehrere Ressourcendomänen, die allen Hauptdomänen vertrauen. Empfohlen für mehr als 10.000 Benutzer, kann theoretisch auf jede Größe skaliert werden.

Vollständiges Vertrauensmodell

Alle Domänen vertrauen sich untereinander vollständig gegenseitig.

Sicherheit

Freigabe-Berechtigungen

Regeln die Remote Benutzer-Zugriffe auf eine Ressource über das Netzwerk, der lokale Zugriff wird nicht eingeschränkt. Können auf NTFS- und auf FAT-Partitionen über die Freigabe-Option in den Eigenschaften der jeweiligen Ressource eingerichtet werden.

NTFS-Berechtigungen

Nur auf NTFS-Partionen verfügbar, bieten Sicherheit auf Verzeichnis- und Datei-Ebene auch bei lokalem Zugriff. Können über die Sicherheit-Option in den Eigenschaften der jeweiligen Ressource eingerichtet werden.

Freigabe-Berechtigungen
Vollzugriff	Standardmäßig der Gruppe Jeder zugeordnet. Erlaubt Benutzern die Inbesitznahme von Dateien und Verzeichnissen. Benutzer können Zugriffsrechte für Dateien ändern. Beinhaltet alle Rechte von Ändern und Lesen.
Ändern	Benutzer können Dateien hinzufügen, erzeugen, ändern und löschen. Datei-Attribute können geändert werden. Beinhaltet alle Rechte von Lesen
Lesen	Dateien können angezeigt und geöffnet werden. Datei-Attribute können angezeigt werden. Programm-Dateien können ausgeführt werden.
Kein Zugriff	Benutzer können Dateien nicht anzeigen, nicht darauf zugreifen und sie nicht ändern.

Die verschiedenen Benutzer- und Gruppen-Berechtigungen eines Benutzers werden kombiniert, mit Ausnahme von Kein Zugriff, das immer gilt und alles andere außer Kraft setzt. Sind für eine Ressource sowohl Freigabe- als auch NTFS-Berechtigungen aktiviert, so gilt für den Benutzer die effektive Berechtigung mit der größten Einschränkung.

Die Priorität der Attribute für eine Datei lautet: Datei - Verzeichnis - Freigabe. Datei-Attribute überschreiben Verzeichnis-Attribute, diese überschreiben Freigabe-Attribute.

Datei erzeugen

Der Datei werden die Berechtigungen des Ziel-Verzeichnisses zugewiesen.

Datei kopieren

Erzeugt eine Kopie im Zielverzeichnis, diese erhält die Berechtigungen des Ziel-Verzeichnisses.

Datei innerhalb derselben Partition verschieben

Es wird keine neue Datei erzeugt, sondern lediglich der Directory-Eintrag umgebogen. Die Berechtigungen bleiben erhalten.

Datei auf eine andere Partition verschieben

Erzeugt eine Kopie im Ziel-Verzeichnis und löscht die Quell-Datei. Die Datei erhält die Berechtigungen des Ziel-Verzeichnisses.

Für Ziel- und Quell-Verzeichnis müssen die entsprechenden Berechtigungen vorhanden sein.

Der Besitz einer Ressource kann nur übernommen, aber nicht übergeben werden. Administratoren können den Besitz immer übernehmen.

Die Ressourcen-Überwachung wird im Benutzer-Manager aktiviert. Die Ergebnisse der Überwachung können in der Ereignis-Anzeige betrachtet werden. Nur Administratoren und Server-Operatoren können das Sicherheits-Protokoll einsehen, aber standardmäßig kann jeder die anderen Protokolle einsehen.

Nur Administratoren, Server-Operatoren und Hauptbenutzer können Verzeichnisse auf einem NT Server freigeben.

Benutzer- und Gruppenkonten

Berechtigungen (Permissions)

Regeln die Zugriffe auf Ressourcen (Dateien, Drucker).

Benutzerrechte

Erlauben das Ausführen von Aktionen im System (Erstellen von Konten, Anmelden am lokalen Computer).

Benutzerkonto (Account)

Konto für einen einzelnen Benutzer, der sich an der Domäne anmelden kann.

Vordefinierte Benutzerkonten
Administrator	Systeminternes Konto zur Verwaltung der gesamten Computer- und Domänenkonfiguration.
Gast	Systeminternes Konto für gelegentliche Benutzer, standardmäßig deaktiviert.

Zum Erzeugen eines neuen Benutzerkontos werden lediglich Benutzername und Kennwort benötigt. Zum Kopieren eines Kontos wird zusätzlich der vollständige Name benötigt. Beim Kopieren bleiben für den neuen Benutzer alle Gruppenmitgliedschaften und die entsprechenden Gruppenberechtigungen und -rechte des alten Benutzers erhalten, alle Benutzer-spezifischen Berechtigungen und Rechte gehen verloren.

Ein Konto sollte deaktiviert werden, wenn jemand anders die Stelle des Benutzers übernimmt oder der Benutzer später wiederkommen könnte. Ein Konto sollte nur gelöscht werden, wenn dies aus Platzgründen oder aus organisatorischen Gründen unbedingt notwendig ist.

Globale Gruppe

Enthält Benutzer mit ähnlichen Rechten und Bedürfnissen, dienen zur strukturellen Organisation der Domänenbenutzer nach Funktion oder Standort. Können nur mit dem Benutzer-Manager für Domänen auf dem PDC erzeugt werden und nur Benutzer aus der jeweiligen Domäne enthalten.

Vordefinierte globale Gruppen
Domänen-Admins	Enthält Benutzerkonto Administrator
Domänen-Gäste	Enthält Benutzerkonto Gast
Domänen-Benutzer	Enthält Benutzerkonto Administrator; alle neu angelegten Benutzer werden automatisch hinzugefügt.

Globalen Gruppen können Zugriffsberechtigungen erteilt werden, dies ist jedoch nicht empfohlen. Globale Gruppen haben keine vordefinierten Benutzerrechte.

Lokale Gruppe

Wird zur Regelung des Zugriffs auf Ressourcen verwendet. Kann auf jedem NT System erzeugt werden und Benutzer des lokalen Computers sowie Benutzer und globale Gruppen der eigenen und aus vertrauten Domänen enthalten.

Vordefinierte lokale Gruppen
Konten-Operatoren	Nur auf DC: Erstellen, Löschen und Ändern von Benutzern, globalen und lokalen Gruppen.
Server-Operatoren	Nur auf DC: Freigeben von Festplattenressourcen, Sichern und Wiederherstellen des Servers.
Druck-Operatoren	Nur auf DC: Installieren und Verwalten von Netzwerkdruckern.
Benutzer	Alle lokalen (in der lokalen Verzeichnisdatenbank enthaltenen) Benutzerkonten sind Standard-Mitglied.
Administratoren	Lokaler Benutzer Administrator ist Standard-Mitglied. Ausführen aller Verwaltungsaufgaben auf dem lokalen Computer, auf DC auch aller Verwaltungsaufgaben der Domäne.
Gäste	Lokaler Benutzer Gast ist Standard-Mitglied. Können keine dauerhaften Änderungen an ihrer lokalen Umgebung vornehmen.
Sicherungs-Operatoren	Sichern und Wiederherstellen von Dateien auf dem lokalen Computer mit der Windows NT Bandsicherung.
Hauptbenutzer	Erstellen und Ändern von Konten und Ressourcenfreigabe auf dem lokalen Computer. Ist nur auf Mitglieds-Servern und auf Windows NT Workstation verfügbar.
Replikations-Operator	Wird vom Verzeichnisreplikationsdienst verwendet.

 

Systemgruppen

Die Mitgliedschaft in Systemgruppen wird automatisch geregelt und kann nicht gesteuert werden.

Jeder	Enthält alle lokalen und Remote-Benutzer einschließlich Gäste mit Verbindung zum Computer. Dieser Gruppe können Rechte und Berechtigungen erteilt werden. Für die meisten Ressourcen hat diese Gruppe als Standard Vollzugriff!
Ersteller-Besitzer	Enthält Benutzer, der eine Ressource erstellt oder deren Besitz übernommen hat.
Netzwerk	Enthält alle aktuell mit einer Ressource verbundenen Remote-Benutzer.
Interaktiv	Enthält alle lokal angemeldeten Benutzer.

Die Ressourcenzugriffe sollten nach dem AGLP-Prinzip (Account - Global - Local - Permission) geregelt werden: Alle Benutzer, die Zugriff auf eine Ressource benötigen, werden in einer globalen Gruppe zusammengefasst. Für die Ressource wird eine lokale Gruppe angelegt, dieser wird die globale Gruppe hinzugefügt. Der lokalen Gruppe werden die Zugriffsberechtigungen erteilt.

Verzeichnisdatenbank
Benutzerkonto	1,0 KB
Computerkonto	0,5 KB
Globale Gruppe	0,5 KB + 12B/Mitglied
Lokale Gruppe	0,5 KB + 36B/Mitglied

Die Gesamtgröße der Verzeichnisdatenbank (SAM) einer einzelnen Domäne sollte 40MB nicht übersteigen. In diesem Fall ist eine Aufteilung in mehrere Domänen notwendig. Die Hauptspeichergröße sollte mindestens das 2,5-fache der SAM-Größe betragen.

RAS - Remote Access Services

SLIP - Serial Line Internet Protocol

Serielle TCP/IP-Verbindung. Hat weniger Overhead als PPP, unterstützt aber außer TCP/IP keine anderen Protokolle. DHCP/WINS können nicht verwendet werden, Kennworte werden unverschlüsselt übertragen. Der Windows NT RAS-Server beinhaltet keine SLIP-Server-Komponente.

PPP - Point-to-Point Protocol

Unterstützt Verschlüsselung, Kompression und weitere Protokolle neben TCP/IP (Windows NT: TCP/IP, NetBEUI und IPX/SPX).

MP - PPP-Multilink-Protocol

Kann mehrere physische Verbindungen (Modems) zu einer logischen zusammen fassen, um die Bandbreite zu erhöhen. Auf dem DFÜ-Client und auf dem RAS-Server muß jeweils MP aktiviert sein.

RAS unterstützt Rückrufsicherheit, d.h. die Verbindung wird unterbrochen und der Client vom Server über eine festgelegte Telefonnummer zurückgerufen. MP wird nur unterstützt, wenn mehrere ISDN-Modems mit derselben Telefonnummer konfiguriert werden.

NetBEUI wird als Standard-Protokoll verwendet. Um Programme zu benutzen, die Windows Sockets (WinSock) verwenden, muß TCP/IP benutzt werden. Alle auf dem Computer installierten Protokolle sind automatisch RAS-fähig, wenn der RAS-Dienst installiert und konfiguriert wird.

Um die NetBIOS Namensauflösung auf den RAS-Clients zu beschleunigen, kann ein LMHOSTS-File auf jedem Client angelegt werden.

Zur Problembehebung können RAS-Zugriffe mit PPP geloggt werden. Dies muß in der Registry aktiviert werden.

RAS-Verschlüsselung
Echtheitsbestätigung auch als unverschlüsselten Text	Es können eine Reihe von Protokollen zur Echtheitsbestätigung von Kennworten verwendet werden, einschließlich PAP (Password Authentication Protocol), das die Kennworte im Klartext überträgt.
Nur verschlüsselte Echtheitsbestätigung	Erlaubt jede RAS-Echtheitsbestätigung außer PAP.
Nur Microsoft-verschlüsselte Echtheitsbestätigung	Erlaubt nur Microsoft CHAP (Challenge Handshake Authentication Protocol). Wird von allen MS Betriebssystemen unterstützt.
Datenverschlüsselung fordern	Nur mit CHAP: Verschlüsselt alle über die RAS-Verbindung gesendeten Daten.

Novell NetWare

NWLink

Die Microsoft-Implementierung von IPX/SPX, ermöglicht Windows NT die Kommunikation mit NetWare-Servern und -Clients. Unterstützt Windows Sockets für NetWare-Anwendungen, die die NetWare IPX/SPX-Sockets-API verwenden, und NetBIOS für Novell NetBIOS-Packets. Für diese Anwendungen wird nur NWLink benötigt.

CSNW - Client Services for NetWare

Ermöglicht einem Windows NT System den Zugriff auf Datei- und Druckressourcen auf einem NetWare-Server.

GSNW - Gateway Services for NetWare

Nur auf NT Server, ermöglicht den Zugriff auf Datei- und Druckressourcen auf einem NetWare-Server. Der NT Server arbeitet als Gateway für MS-Clients. Auf dem NetWare-Server muß ein Benutzerkonto mit demselben Namen und Kennwort des NT-Kontos eingerichtet werden, dem die Zugriffsberechtigungen erteilt werden. Außerdem wird ein Gruppenkonto namens NTGATEWAY benötigt, dem das Benutzerkonto hinzugefügt wird.
Bei der Installation von GSNW werden automatisch CSNW und NWLink installiert.

FPNW - File and Print Services for NetWare

Add-On, nicht in Windows NT enthalten. Ermöglicht NetWare-Clients den Zugriff auf NT Server Ressourcen.

Die Rahmentypen des NWLink Protokolls auf dem NT-System und des NetWare-Sytems müssen übereinstimmen, ansonsten gibt es Verbindungsprobleme. Werden mehrere Rahmentypen benutzt, sollten sie manuell konfiguriert werden. Eine automatische Erkennung ist möglich, es wird aber nur ein Rahmentyp in der folgenden Reihenfolge erkannt:
802.2; 802.3; Ethernet-II; 802.5 (Token Ring).

NetWare 3.x Server benutzen die Bindery Emulation (bevorzugter Server in CSNW), NetWare 4.x Server benutzen die NDS (NetWare Directory Services). Zur Änderung eines Kennwortes auf einem NetWare Server gibt es zwei Möglichkeiten: SETPASS.EXE und die Option zum Ändern des Kennwortes im STRG-ALT-ENTF Dialog (nur unter NetWare 4.x mit NDS).

Für die Migration eines NetWare Servers auf einen NT Server müssen NWLink und GSNW auf dem NT Server installiert sein. Ist FPNW installiert, können außerdem die Anmeldeskripte übernommen werden. Nach der Migration muß auf allen NetWare-Clients der Microsoft (SMB) Redirector installiert werden, um den Clients den Zugriff auf den NT Server zu ermöglichen, falls nicht die FPNW vorhanden sind.

Standardmäßig werden Benutzerkonten des NetWare Servers, die denselben Namen eines Benutzerkontos auf dem NT Server haben, nicht übertragen. Mit einer Mapping Datei kann festgelegt werden, ob dem NW-Benutzerkonto ein neuer Name zugewiesen oder das NT-Konto überschrieben wird. Damit kann auch die Behandlung der Konten festgelegt werden, wenn mehrere NW Server konvertiert werden, auf denen mehrere Konten mit demselben Namen liegen. Die Kennworte, die bei der Übernahme gelöscht werden, können damit erhalten werden.

Netzwerk

---

Computer-Namen Auflösung

DNS - Domain Name System

Auflösung von DNS Hostnamen in IP-Adressen.

WINS - Windows Internet Naming Service

Auflösung von NetBIOS Computernamen in IP-Adressen.

HOSTS

Datei, die die Auflösung von DNS Hostnamen in IP-Adressen enthält.

LMHOSTS

Datei, die die Auflösung von NetBIOS Computernamen in IP-Adressen enthält.

---

TCP/IP

Das Internet-Protokoll. Dieses Protokoll wird mittlerweile von fast allen neuen Netzwerk-Betriebssystemen unterstützt. Es ist der "Quasi-Protokoll-Standard". UNIX-Systeme benutzen TCP/IP.

IP-Adresse

Jeder Computer, der TCP/IP benutzt, muß im Netzwerk eine eindeutige IP-Adresse der Form x.x.x.x (x zwischen 0 und 255 einschließlich) besitzen. Die IP-Adresse besteht aus 2 Teilen: Netzwerk-ID und Host-ID.

Subnet-Maske

Wird mit der IP-Adresse verknüpft, um die Netzwerk-ID von der Host-ID zu trennen.

Standard-Gateway

Anhand der Netzwerk-ID von Quell- und Zielrechner wird überprüft, ob sich der Zielrechner im lokalen Netz oder Remote befindet. Ist er lokal werden die Daten ins lokale Netz gesendet, ist er Remote werden die Daten an das Standard-Gateway geschickt (meistens eine Bridge oder ein Router).

Die meisten TCP/IP-Probleme werden durch inkorrekte Subnet-Masken und Standard-Gateways verursacht.

Werden in einem TCP/IP-Netz durch eine Benutzergruppe Bandbreitenprobleme verursacht, kann ein separates physikalisches Subnetz angelegt werden, indem auf dem Server eine zweite Netzwerkkarte mit einem weiteren Hub installiert wird, und alle betroffenen Benutzer an diesen Hub angeschlossen werden.

---

Sonstiges

Zusätzlich zu einem DNS-Server kann ein WINS-Server installiert werden, um den Netzwerkverkehr durch B-Knoten Rundsendungen zu vermindern.

NetBEUI ist ein nicht routbares Protokoll, das nur von Microsoft Betriebssystemen benutzt wird.

UNC (Universal Naming Convention) stellt in Microsoft-Systemen Netzwerk-Pfade der Form "\\Computername\Freigabename" zur Verfügung. Computername ist der NetBIOS-Name des Computers, Freigabename der Name der Freigabe.

Trap-Nachrichten werden mittels SNMP (Simple Network Management Protocol) verschickt.

DHCP - Dynamic Host Configuration Protocol

DHCP ist ein Protokoll, um Clients automatisch und dynamisch IP-Adressen zuzuweisen, sowie weitere Konfigurationsparameter: Subnet-Mask, IP-Adressen der Standard-Gateways, WINS- und DNS-Server, etc.

Dazu können IP-Adress-Bereiche für ein Subnetz definiert werden. Die Parameter können über die Bereichs-Optionen zugewiesen werden. Es gibt drei Arten von Bereichs-Optionen:

Global

Diese Einstellungen gelten für alle definierten Bereiche im DHCP-Server.

Bereich

Diese Einstellungen gelten für den ausgewählten Bereich und überschreiben die Global-Einstellungen.

Client

Diese Einstellungen gelten nur für den spezifischen Client und überschreiben die Bereich-Einstellungen.

Für DHCP-Clients kann eine statische IP-Adresse reserviert werden. Dies empfiehlt sich bei WINS-Servern und Standard-Gateways.

Die Kommunikation zwischen DHCP-Clients und DHCP-Servern geschieht über BOOTP-Rundsendungen. Um DHCP in einem Subnetz ohne DHCP-Server nutzen zu können, gibt es zwei Möglichkeiten:

• RFC 1542 konforme Router, bei denen die BOOTP-Rundsendungs-Weiterleitung aktiviert wird.
• DHCP-Relay-Agenten im jeweiligen Subnetz, die die DHCP-Rundsendungen abfangen und gerichtet an einen DHCP-Server weiterleiten. Die Antwort des DHCP-Servers senden sie zurück ins Subnetz.

IP-Adressen werden mit einer Lease-Dauer an die Clients verteilt. Nach 50 Prozent der Lease-Dauer oder nach einem Neustart versucht der Client, seine IP-Lease beim DHCP-Server zu erneuern. Ist der Server nicht erreichbar, versucht er nach 87,5 Prozent, einen beliebigen DHCP-Server zu erreichen.

Mit IPCONFIG kann die Konfiguration angezeigt und erneuert werden.

IPCONFIG Optionen
IPCONFIG	Zeigt die Basiskonfiguration an: IP-Adresse, Subnet-Mask und Standard-Gateway.
IPCONFIG /ALL	Zeigt eine ausführliche Übersicht der IP-Konfiguration.
IPCONFIG /RELEASE	Gibt die aktuelle IP-Lease beim DHCP-Server frei.
IPCONFIG /RENEW	Erneuert die IP-Lease beim DHCP-Server bzw. fordert eine neue an.

WINS - Windows Internet Name Service

WINS ist die Microsoft-Implementierung eines NetBIOS Name Servers (NBNS). Es handelt sich um eine dynamische Datenbank auf einem Windows NT Server, die NetBIOS-Namen in IP-Adressen auflöst.

Die WINS-Clients melden ihre NetBIOS-Namen zusammen mit ihrer IP-Adresse beim WINS-Server an. Für je 10.000 WINS-Clients wird ein primärer Server und ein sekundärer Backup-Server empfohlen.

Die Datenbanken der WINS-Server können untereinander repliziert werden. Dazu kann ein WINS-Server als Push- oder als Pull-Partner oder als beides konfiguriert werden.

Push

Der Server sendet seine Datenbank-Änderungen, sobald eine in der Push-Konfiguration vordefinierte Anzahl an Änderungen erreicht ist. Dies kann Netzwerkverkehr zum falschen Zeitpunkt erzeugen und ist insbesondere über langsame WAN-Verbindungen nicht empfohlen.

Pull

Der Server holt Datenbank-Änderungen zu einem in der Pull-Konfiguration vordefinierten Zeitpunkt oder in regelmäßigen Intervallen ab. Dies sollte für WAN-Verbindungen verwendet werden, da der Zeitpunkt auf Zeiten mit geringem Netzwerkverkehr gelegt werden kann.

Um eine beschädigte Datenbank wiederherzustellen, gibt es 3 Möglichkeiten, wenn im WINS-Manager eine Sicherheitskopie konfiguriert wurde:

1. Den WINS-Dienst anhalten und neu starten. Wenn die Datenbank als beschädigt erkannt wird, wird sie automatisch von der Sicherheitskopie wiederhergestellt.
2. Im WINS-Manager "Lokale Datenbank wiederherstellen" wählen.
3. Die Sicherheitskopie manuell kopieren.

Mit einem WINS-Proxy-Agenten, der nicht selbst ein WINS-Server sein darf, kann für Nicht-WINS-Clients eine WINS-Unterstützung eingerichtet werden. Der Proxy fängt B-Knoten Rundsendungen ab. Zunächst prüft er seinen lokalen NetBIOS-Cache auf den gesuchten Namen. Steht er dort nicht drin, wird die Anforderung an einen WINS-Server weitergeleitet. Der Proxy leitet die Antwort des Servers wiederrum zurück an den Nicht-WINS-Client.

Die NetBIOS-Namen von Nicht-WINS-Computern können manuell in die WINS-Datenbank eingetragen werden. LMHOSTS-Dateien, die vor der Konfiguration des WINS-Servers verwendet wurden, können importiert werden.

Profile

Profile werden bei der Anmeldung eines Benutzers geladen und enthalten die Einstellungen des Desktops und des Startmenüs für diesen Benutzer. Sie können lokal gespeichert werden, oder zentral auf einem Server (servergespeichertes Profil), der im Benutzer-Manager angegeben wird.

NTUSER.DAT und *.DAT-Dateien sind typische, Benutzer-konfigurierbare Profile. NTUSER.MAN und *.MAN-Dateien (mandatory - vorgeschrieben) sind Nur-Lese-Profile. Änderungen, die der Benutzer am Desktop vornimmt, bewirken keine Änderung der *.MAN-Datei. Das ursprüngliche Profil wird bei der nächsten Anmeldung wiederhergestellt. Ein Benutzer-konfigurierbares Profil kann in ein verbindliches Profil umgewandelt werden, indem NTUSER.DAT in NTUSER.MAN umbenannt wird.

Benutzerprofile können unter Systemsteuerung -> System -> Benutzerprofile kopiert werden.

Richtlinien

Richtlinien legen fest, was auf dem Desktop eines Benutzers angezeigt wird und welche Aktionen er ausführen kann.
Richtlinien überschreiben Profile.
Benutzerrichtlinien überschreiben Gruppenrichtlinien.
Computerrichtlinien überschreiben alle Richtlinien.
Bei mehrfachen Gruppenrichtlinien werden sie in der Reihenfolge angewendet, die im Richtlinieneditor (POLEDIT.EXE) festgelegt wurde.

Um eine domänenweit gültige Richtlinie festzulegen, kann sie mit POLEDIT.EXE als NTCONFIG.POL in der NetLogon-Freigabe auf dem PDC gespeichert werden. Bei der Anmeldung eines Benutzers wird von NetLogon geprüft, ob hier eine Richtlinie existiert. Um diese Richtlinien mit weiteren Richtlinien zu ergänzen, kann Copy und Paste im Richtlinieneditor verwendet werden.

Die Richtlinien-Datei für Windows 95 heißt CONFIG.POL.

Drucken

Druckgerät

Physikalisches Gerät zur Druckausgabe.

Druckgerät mit Netzwerkschnittstelle

Druckgerät mit eigener Netzwerkkarte.

Drucker

Software-Schnittstelle zwischen Betriebssystem und Druckgerät, repräsentiert durch das Drucker-Icon. Durch Neu starten im Dokumenten-Menü des Druckers kann der Druck eines Dokuments vom Beginn neu gestartet werden, falls ein Fehler auftritt (Papierstau). Mit Fortsetzen kann der Druck an der aktuellen Stelle fortgesetzt werden.

Druckserver

Computer mit Drucker-Software zur Bearbeitung der Druckaufträge von den Clients.

Warteschlange

Reihe von Druckaufträgen.

Druck-Spooler

DLLs für den Empfang, die Verarbeitung und die Ausführung von Druckaufträgen, schreiben in die Spool-Datei. Das Verzeichnis der Spool-Datei kann in den Optionen der Server-Eigenschaften des Druckers geändert werden. Ein hängengebliebener Spooler kann durch Beenden und Neustart des Spooler-Dienstes wieder aktiviert werden.

Drucker-Pool

Drucker, dem über mehrere Anschlüsse des Druck-Servers mehrere identische Druckgeräte zur Verfügung stehen.

Priorität

Wenn mehrere Drucker auf demselben Druck-Server über denselben Anschluß ein Druckgerät steuern, kann über die Priorität festgelegt werden, welcher Drucker zuerst drucken kann. Der Bereich liegt von 1 bis 99 mit 1 als niedrigster und 99 als höchster Priorität.

Treiber können auf dem Druck-Server installiert werden. Jedes Betriebssystem benötigt einen eigenen Treiber, auch bei unterschiedlichen Versionen (z.B. NT 3.51 und NT 4.0). Windows NT 3.51 und 4.0 Clients laden aktualisierte Treiberversionen automatisch vom Druck-Server. Windows 95 lädt den Treiber nur beim ersten Drucken vom Druck-Server, Aktualisierungen werden nicht automatisch übernommen. Für Windows 3.x und DOS müssen die Treiber manuell auf dem Client installiert werden.

Auf Nicht-MS-Clients müssen die passenden Treiber manuell installiert werden, auf dem Druck-Server muß der passende Dienst laufen: Mac: Services for Macintosh (SFM); NetWare: FPNW; UNIX: TCP/IP-Druckdienst.

Zum Drucken an einem TCP/IP-Drucker wird die IP-Adresse und der Druckername benötigt. Das DLC-Protokoll muß installiert sein, um eine Verbindung zu einem HP Druck-Server herstellen zu können. Das AppleTalk-Protokoll wird zur Kommunikation mit Apple Druckern benötigt.

PCL.SEP

Trennseite, schaltet von PostScript nach PCL um.

PSCRIPT.SEP

Trennseite, schaltet von PCL nach PostScript um.

PDCs und BDCs

Um einen Mitglieds-Server in einen BDC oder PDC umzuwandeln, oder einen BDC oder PDC in einen Mitglieds-Server umzuwandeln, muß NT Server neu installiert werden.

Im Server-Manager kann ein BDC zu einem PDC aufgestuft werden. Es gibt keine Möglichkeit, einen PDC zu einem BDC abzustufen. Ein im Netzwerk vorhandener PDC wird automatisch deaktiviert, der Rest läuft automatisch.

Ein BDC wird sich nicht automatisch zum PDC aufstufen, falls dieser ausfällt. Anmeldungen werden weiterhin über den/die BDC/s vorgenommen, solange der PDC nicht erreichbar ist.

Die Synchronisierung zwischen den Domänen-Controllern kann in der Registrierung gesteuert werden, falls sie zu viel Netzwerkverkehr erzeugt und das Netz verlangsamt. Um den Verkehr zu reduzieren, kann der Pulse in der Registrierung des PDCs erhöht werden (Standard 5min), die PulseConcurrency kann erniedrigt werden (Anzahl der gleichzeitig synchronisierten BDCs, Standard 20). Der ReplicationGovernor gibt an, wieviel Prozent der Bandbreite für die Synchronisierung verwendet werden kann (Standard 100).

Domänen (Erweiterung und Optimierung)

Um einen Mitglieds-Server oder eine Workstation als Mitglied einer Domäne zu konfigurieren, ohne physikalisch an die Domäne angeschlossen zu sein, muß NT installiert und als Mitglied einer Arbeitsgruppe desselben Namens konfiguriert werden. Wird er an die Domäne angeschlossen, kann die Mitgliedschaft in den Netzwerk-Eigenschaften entsprechend umgewandelt werden. Ein BDC kann ohne Verbindung zur Domäne nicht als Domänenmitglied konfiguriert werden, da er eine andere Domänen-SID erhält als die Domäne.

Wenn das Netzwerk über langsame WAN-Verbindungen in mehrere Remote Teildomänen aufgeteilt ist, unabhängig vom Domänenmodell, kann der Anmeldeprozess für die Benutzer in den jeweiligen Teildomänen beschleunigt werden, wenn mindestens ein BDC in jeder Teildomänen untergebracht wird.

DHCP-Relay-Agenten in jeder Teildomäne ermöglichen die zentrale Vergabe von IP-Adressen von einem Server aus, erhöhen aber den WAN-Verkehr.

WINS-Proxy-Agenten in jeder Teildomäne reduzieren die lokale Subnetz-Last, weil sie B-Knoten Rundsendungen von Nicht-WINS-Clients abfangen. Außerdem reduzieren sie den WAN-Verkehr, indem sie nach Möglichkeit ihren lokalen Cache zur Namensauflösung verwenden.

Um WINS-Redundanz und Fehlertoleranz zu erreichen, kann ein WINS-Server in jeder Teildomäne installiert und als Push-Pull-Partner mit dem Haupt-WINS-Server konfiguriert werden. Dies erhöht aber den WAN-Verkehr.

In einem TCP/IP-Netwerk mit mehreren NT Servern als Router zwischen den Subnets kann RIP für IP auf den Route-Servern installiert werden, um die manuelle Wartung statischer Routingtabellen zu vermeiden. Dies erhöht aber den Datenverkehr zwischen den Subnetzen.

Suchdienst

Alle NT-Systeme unterstützen den Suchdienst. Der Hauptsuchdienst pflegt eine Suchliste mit allen Workstations, Servern und Domänen im Netz. Es gibt immer nur einen Hauptsuchdienst pro Subnet. Der PDC ist standardmäßig der Domänenhauptsuchdienst. Alle BDCs werden Sicherungs- Domänenhauptsuchdienste und können den Domänenhauptsuchdienst übernehmen, falls der PDC ausfällt. Alle Mitglieds-Server und NT Workstations können Hauptsuchdienst oder Sicherungssuchdienst werden.

Registrierung: MaintainServerList
NO	Nicht-Suchdienst, Rechner übernimmt keine Suchdienst-Funktion.
YES	Kann Suchdienst übernehmen (Standard Server).
AUTO	Potentieller Suchdienst (Standard Workstation).

Fehlerbehebung

Zum Erstellen einer Startdiskette muß diese unter Windows NT formatiert werden (Win 95 und DOS funktionieren nicht). Die Dateien NTLDR, NTDETECT.COM, BOOT.INI und NTBOOTDD.SYS (nur bei SCSI-Systemen) müssen darauf kopiert werden.

Eine Notfalldiskette kann während der Installation von NT erstellt werden, oder nachträglich mit RDISK.EXE. Mit der Option /S werden zusätzlich die Verzeichnisdatenbank und die Sicherheitsdateien gesichert. Um die Notfalldiskette zu benutzen, muß der Server mit der NT Installations-Diskette gestartet werden. Es kann dann die Reparatur einer bestehenden NT-Installation mit der Notfalldiskette ausgewählt werden. Ein Booten von der Notfalldiskette ist nicht möglich. Der Reparaturprozess kann:

• die Registrierungs-Dateien prüfen und auf den Stand der Notfalldiskette zurückbringen,
• die Start-Umgebung prüfen,
• die System-Dateien prüfen und
• den Bootsektor prüfen.

Um Probleme während des Startvorgangs zu erkennen, kann in BOOT.INI die Option /SOS an das Ende der Windows NT Einträge im [Operating Systems] Bereich hinzugefügt werden, um die gerade geladenen Treiber anzuzeigen. Der VGA-Eintrag enthält die Option als Standard.

Mit der Last Known Good-Option kann das System in einen startbaren Zustand zurück gebracht werden, wenn es Probleme mit neuen Grafiktreibern oder geänderten Registrierungseinträgen gibt. Last Known Good wird nach erfolgreicher Anmeldung mit der aktuellen Konfiguration überschrieben.

In der Systemsteuerung -> System -> Starten/Herunterfahren gibt es Optionen, um bei einem Stop-Fehler ein Speicherabbild in eine .DMP-Datei zu schreiben. Diese kann von DUMPEXAM.EXE gelesen werden. Dazu muß die Auslagerungsdatei auf der Bootpartition liegen und mindestens so groß wie der physikalische Hauptspeicher sein.

ARC-Pfade

ARC-Pfade (Advanced Risc Computing) werden in der BOOT.INI verwendet und von NTLDR benutzt, um das Laufwerk festzulegen, auf dem sich das Betriebssystem befindet.

multi(x) scsi(x)	Legt den Hardware-Adapter / Festplatten-Controller fest. scsi wird nur bei SCSI-Controllern mit deaktiviertem SCSI-BIOS verwendet, ansonsten multi. x = Ordnungszahl des Adapters (0..n).
disk(y)	SCSI-Busnummer (SCSI-ID). Bei multi immer 0.
rdisk(z)	Ordnungszahl der Platte. z = 0/1 am primären Controller, z = 2/3 am sekundären EIDE-Controller. Bei scsi immer 0.
partition(a)	Nummer der Partition (a = 1..n).

multi(0)disk(0)rdisk(0)partition(1) ist der kleinstmögliche Wert.

Systemmonitor

Die vier kritischen Hauptressourcen sind: Speicher, Prozessor, Festplatte und Netzwerk. Für den entsprechenden Bereich sollte ein Upgrade bzw. eine Optimierung durchgeführt werden, wenn es dauerhafte Probleme mit den folgenden Werten gibt.

Speicher
Seiten/sec	Ausgelagerte Seiten pro Sekunde	< 20
Verfügbare Bytes	Zur Verfügung stehender freier realer Speicher	> 4MB
Bytes zugesichert	Verwendeter virtueller Speicher	< RAM
Nichtauslagerungsseiten	Speicher, der nicht ausgelagert werden darf	-

Prozessor
%Prozessorzeit	Anteil der Zeit, die der Prozessor ausgelastet ist	< 75%
%Privilegierte Zeit	Zeit für Betriebssystemdienste	< 75%
%Benutzerzeit	Zeit für Benutzerdienste	< 75%
Interrupts/sec	Unterbrechungen, generiert von Anwendungen oder Hardware	Je nach CPU
System: Prozessor-Warteschlangenlänge	Anforderungen in der Warteschlange des Prozessors	< 2
Server-Warteschlangenlänge	Anforderungen in der Warteschlange des ausgewählten Prozessors	< 2

Festplatte
DISKPERF -y	Aktiviert Leistungsstatistik des lokalen Rechners, Neustart erforderlich.
DISKPERF -y \\Server	Aktiviert Leistungsstatistik eines Remote-Rechners, Neustart erforderlich.
DISKPERF -ye	Aktiviert erweiterte Leistungsstatistik für RAID-Systeme.
%Zeit	Zeit für Festplattenaktivitäten	< 50%
Aktuelle Warteschlange	Anzahl der wartenden E/A-Anforderungen	0-2
Mittlere Bytes/EA	Mittlere Anzahl der bei einem Vorgang zur oder von der Platte übertragenen Bytes	Je nach Teilsystem
Bytes/s	Durchschnittliche Rate pro Sekunde	Je nach Teilsystem

Netzwerk
Server-Dienst: Bytes/s	Gesendete und empfangene Bytes pro Sekunde	Je nach NICs und Protokolle
Server-Dienst: Anmeldungen/s	Umfang der Anmeldungeversuche in der letzten Sekunde	-
Server-Dienst: Anzahl Anmeldungen	Anmeldeversuche seit Serverstart	-
Netzwerksegment: %Netzwerkausnutzung	Ausgenutzte Bandbreite	I.a. < 30%
Netzwerkschnittstelle: Bytes gesendet/s	Gesendete Bytes	Je nach NIC und Protokolle
Netzwerkschnittstelle: Bytes/s	Gesendete und empfangene Bytes	Je nach NIC und Protokolle

Systemmonitor-Ansichten
Warnungen	Warnungen, wenn Datenquellen Werte über- oder unterschreiten.
Diagramm	Zeitlicher Verlauf von Datenquellen-Werten.
Report	Aktuelle Werte von Datenquellen.
Protokoll	Datenquellen-Werte werden für eine spätere Analyse auf der Festplatte aufgezeichnet, z.B. für Basislinien.

Netzwerkmonitor

Mit dem Netzwerkmonitor kann der Netzwerkverkehr von und zu einem Computer gesammelt und analysiert werden. Dazu stehen Filterfunktionen zur Verfügung, um nur bestimmte Rahmentypen oder Rahmen von bestimmten Quellen zu sammeln und anzuzeigen.

Um alle Rahmen im Netzsegment zu sammeln, muß der Promiscuous-Modus aktiviert werden, ansonsten werden nur die für diesen Rechner bestimmten Rahmen gesammelt. Dies erhöht jedoch die Rechnerauslastung erheblich.

Inhaltlicher Stand: 1999-10-20