Letzte Änderung: 22.9.98 von B. Tritsch
Wie auch für die lokale Administration werden eine Reihe von Werkzeugen mit dem Windows NT Server ausgeliefert, die der netzwerkweiten Verwaltung einer NT-Umgebung dienen. Im folgenden sollen speziell die benötigten Optionen für den Betrieb eines NT-Netzwerks betrachtet werden.
Auf den ersten Blick erscheint unter Windows NT der Explorer das zentrale Werkzeug für den Zugriff auf Dateien und Verzeichnisstruktur der lokalen Festplatten zu sein. Jedoch hat der Explorer die Eigenschaft, bestimmte Informationen gefiltert oder interpretiert an den Benutzer weiterzugeben. Dies ist für den normalen Benutzer optimal, jedoch nicht unbedingt für einen Administrator. Daher arbeiten viele Administratoren weiterhin mit dem älteren Datei-Manager, der ein eher rohes Abbild der Anordnung von Dateien und Verzeichnissen erstellt. Zudem ist es so, daß einige administrative Aufgaben (z.B. die Einbindung von Macintosh-Dateisystemen) auschließlich über den Datei-Manger ausgeführt werden können.
Der Start des Explorers geschieht über das Anklicken des Arbeitsplatz-Icons auf dem Desktop oder der Start-Schaltfläche mit der rechten Maustaste. Klickt man das Startmenü mit der linken Maustaste an, so findet sich der Explorer im Menüpunkt <Programme>.
Der Datei-Manager wird zwar immer mit Windows NT 4.0 ausgeliefert, jedoch nicht als Icon im Startmenü oder auf dem Desktop angezeigt. Daher muß man manuell auf die Datei winfile.exe zugreifen und sie ausführen. Dies kann entweder über den Explorer, über den Punkt <Ausführen...> im Startmenü oder durch Aufruf des entsprechenden Kommandos in der NT-Shell (DOS-Box) geschehen.
Gemeinsam ist jedoch sowohl dem Explorer als auch dem Datei-Manager, daß sie den Zugriff auf Festplatten, Diskettenlaufwerke oder im Netz freigegebene Ressourcen erlauben. Hierbei können beide Werkzeuge auch für die Modifikation der Sicherheitseinstellungen auf Ressourcen mit einem entsprechenden Dateisystem (z.B. NTFS) verwendet werden. Weiterhin sind beide als zentrales Verwaltungswerkzeug für Datei und Verzeichnisressourcen im Netzwerk verwendbar.
Die Ereignisanzeige erlaubt die Überwachung von Ereignissen in einem NT-System. Sie ersetzt dadurch die Ausgabe von Nachrichtenfenster an Benutzer, die mit deren Inhalt in der Regel nicht allzu viel anfangen können. Die Nachrichten über Systemereignisse sind viel mehr für Administratoren gedacht und werden daher als Protokolle von einem speziellen Systemdienst gesichert. Die Ereignisanzeige kann hierbei Protokolle für System-, Sicherheits- und Anwendungs-Ereignisse anzeigen und verwalten, sowie diese Ereignisprotokolle archivieren. Der dafür benötigte Ereignisprotokollierdienst wird automatisch beim Start von Windows NT initialisiert.
Das Hauptfenster der Ereignisanzeige zeigt die im folgenden aufgeführten Informationen für die ausgewählte Protokollkategorie an. Hierbei gilt es zu beachten, daß das Sicherheitsprotokoll nur von Administratoren betrachtet werden kann.
Der Menüpunkt <Protokoll> <Computer auswählen...> erlaubt es Domäne-Administratoren auch die Protokollinformationen anderer Computer unter Windows NT im Netzwerk abzurufen. Dies ist insbesondere nützlich, wenn ein Benutzer ein instabiles Systemmeldet und der Administrator durch einen Fernzugriff eine erste Diagnose stellen möchte.
Zu Archivierungszwecken können die Protokolle in Dateien gesichert werden. Diese lassen sich mit verschiedensten Werkzeugen (z.B. Crystal Report, MS-Excel) auswerten und aufbereiten. In vielen Unternehmen gehört das Aufbewahren der Protokollinformationen zur Firmenpolitik. Hierdurch können insbesondere Sicherheitsverstöße von Mitarbeitern auch im Nachhinein rekonstruiert werden.
Sollen die Protokolle regelmäßig gesichert werden, dürfen keine Informationen verloren gehen. Dies erreicht man durch entsprechende Einstellungen der Protokollgrößen und der Definition, wie ältere Protokolleinträge behandelt werden.
Der Server-Manager ist eines der wichtigsten Werkzeuge für die Überwachung des Netzwerks. Er ergänzt die Funktionen des Benutzer-Managers für Domänen.
Der Server-Manager zeigt nach seinem Start eine Liste aller Computer der Domäne an. Veränderungen der Computer-Rollen können über den Server-Manager kontrolliert werden, z.B. die Auf- oder Abstufung eines Domain Controllers. Die Synchronisation der Benutzerkonten- und Rechnerdatenbank läßt sich hier ebenfalls erzwingen. Die wichtigste Eigenschaft ist jedoch wahrscheinlich die Möglichkeit zur Fernadministration von NT-Computern. Dies betrifft z.B. die freigegebenen Verzeichnisse, das Replikationsverhalten oder die Kontrolle von NT-Diensten (Services).
Abbildung: Das Hauptfenster des Server-Managers.
Wird einer der aufgelisteten Computer selektiert, so können seine Eigenschaften im Detail untersucht werden und Modifikationen durchgeführt werden, die sowohl den individuellen Rechner als auch seine Rolle innerhalb der Domäne beinflussen. Die untenstehende Abbildung zeigt die Struktur des Menüpunkts <Computer>.
Wird der Menüpunkt <Computer> <Eigenschaften...> ausgewählt, so gelangt man zu einem Dialogfenster, das eine Zusammenfassung von bestimmten Rechnereigenschaften und eine Reihe von Schaltflächen für die Ermittlung von Detailinformationen bereitstellt. Die zusätzlichen Angaben betreffen Benutzer, Freigaben, benutzte Ressourcen, die Replikation und administrative Warnungen.
Der Menüpunkt <Computer> <Dienste...> erlaubt den Zugriff auf die Hintergrundprozesse (Services, Dienste) eines entfernten Computers. Das hierbei erscheinende Dialogfenster entspricht von seinem Aussehen jenem, das auch mit der Systemsteuerung und dem Applet "Dienste" angesprochen wird. Die Systemsteuerung gewährt jedoch im Gegensatz zum Server-Manager nur den Zugriff auf die eigenen Dienste des lokalen Computers (siehe auch Kapitel "4.2.2: Das Geräte- und das Dienste-Applet").
Die Möglichkeit zur Modifikation von entfernten Diensten über den Server-Manager erlaubt einem Domäne-Administrator ein hohes Maß an Flexibilität bei der Konfiguration eines Client-Rechners. Jedoch sollten immer die Auswirkungen beachtet werden, die eine Konfiguration dieser zum Teil sehr wichtigen Systemkomponenten zur Laufzeit mit sich bringen kann. Aktuell angemeldete und arbeitende Benutzer können unter Umständen von den Modifikationen direkt betroffen sein.
Einige der Untermenüs des Menüpunktes <Computer> im Server-Manager sind abhängig vom selektierten Computer im Hauptfenster. Ist beispielsweise der PDC ausgewählt, so besteht die Option, daß die Benutzer- und Rechnerdatenbank für die Domäne auf alle BDC verteilt wird und somit die Synchronisation der gesamten Domäne erfolgt. Hiermit kann ein Administrator sicherstellen, daß alle Domain Controller die selbe Information besitzen.
Ist ein BDC ausgewählt, so kann gezielt angefordert werden, daß die Benutzer- und Rechnerdatenbank für die Domäne vom PDC auf ihn repliziert wird. Weiterhin kann ein BDC zu einem PDC heraufgestuft werden, wobei der bisherige PDC automatisch zum BDC herabgestuft wird. Auf diese Weise läßt sich das Original der Domänedatenbank sehr leicht verschieben.
Es gibt Fälle, an denen kein PDC mehr für eine bestehende Domäne im Netzwerk vorhanden ist. Dieser Zustand kann durch einfaches Ausschalten des PDCs oder seine physikalische Zerstörung eintreten. Ein BDC kann auch hierbei mit Hilfe des Server-Managers zu einem neuen PDC heraufgestuft werden. Der "alte" PDC darf dann jedoch nicht mehr ohne weiteres eingeschaltet werden, da sonst eine Konfliktsituation zwischen den beiden PDCs auftritt, die problematisch für die gesamte Domäne werden kann.
Ein WINS-Server ist ein Computer unter Windows NT 4.0, auf dem Microsoft TCP/IP und die WINS-Server-Software ausgeführt werden. WINS-Server besitzen eine Datenbank, die Computer-Namen TCP/IP-Adressen zuordnet, so daß die Benutzer auf einfache Weise mit anderen Computern kommunizieren können, während gleichzeitig alle Vorteile des TCP/IP zur Verfügung stehen
Einem Computer, der als WINS-Server installiert ist, sollte eine feste IP-Adresse zugewiesen werden. Außerdem sollte der WINS-Server kein DHCP-Client sein. Verfügt der WINS-Server über mehrere Netzwerkkarten, so muß sichergestellt werden, daß die Bindungsreihenfolge der IP-Adressen nicht beeinträchtigt wird.
Der WINS-Manager dient der Verwaltung und der Konfiguration der WINS-Datenbank auf dem WINS-Server. Dies kann nur durch einen Administrator ausgeführt werden. Hierbei wird nach dem Aufrufen des WINS-Mangers über den Menüpunkt <Server> <WINS-Server hinzufügen...> die Verbindung zu einem WINS-Server aufgenommen. Das Hauptfenster zeigt danach die Statistik des betreffenden Servers an.
Abbildung: Hauptfenster des WINS-Managers. Die Statistik zeigt die Server-Startzeit, die letzte Replikationszeit beim Austausch der Datenbank mit einem anderen WINS-Server, die Anzahl der Anforderungen zur Namensabfrage, Anzahl der empfangenen Meldungen über die Beendigung von NetBIOS-Anwendungen und die Anzahl der empfangenen Meldungen für die Namensregistrierung.
Durch das Konfigurieren mehrerer WINS-Server wird eine bessere Verfügbarkeit und eine gleichmäßigere Auslastung der Server erreicht. Jeder WINS-Server ist mit mindestens einem anderen als Replikationspartner zu konfigurieren. Für jeden WINS-Server müssen für einen bestimmten Zeitpunkt, eine Zeitdauer oder eine bestimmte Anzahl von Datensätzen Schwellenwerte festgelegt werden, bei deren Erreichen eine Datenbankreplikation erfolgen soll. Falls für die Replikation ein bestimmter Zeitpunkt angegeben wurde, wird diese nur einmal durchgeführt. Ist dagegen eine Zeitdauer festgelegt, so wiederholt sich die Replikation in den jeweiligen Abständen. Die Aktivierung dieser Funktionalität wird durch Aufruf des Menüpunkts <Server> <Konfiguration...> erreicht.
Die in der Datenbank eines WINS-Servers gespeicherten aktiven und statischen Zuordnungen können mit dem Menüpunkt <Zuordnungen> <Datenbank anzeigen...> betrachtet werden. Hierbei läßt sich die Sortierreihenfolge nach IP-Adresse, Computer-Namen, Versions-ID, Typ oder Ablaufdatum einstellen.
Die angezeigten NetBIOS-Namen haben eine Länge von 16 Zeichen, wobei das sechzehnte Zeichen ein Sonderzeichen ist. Es wird von den meisten Microsoft-Netzwerkdiensten für verschiedenste Zwecke genutzt.
Tabelle: Bedeutung des 16. Byte im NetBIOS-Namen
16. Byte |
Art |
Beschreibung |
| <00> | UNIQUE | Name des Workstation-Dienstes, gleichbedeutend mit dem NetBIOS-Computer-Name. |
| <03> | UNIQUE | Nachrichtendienstname für den Empfang und das Senden von Meldungen. Wird für den Computer-Namen und an den Namen des angemeldeten Benutzers verwendet. |
| <06> | UNIQUE | RAS-Server-Dienst. |
| <1B> | UNIQUE | Name das Hauptsuchdienstes (Master-Browser) in einer Domäne. Zeigt den PDC und die Clients an, die für den Kontakt mit dem Hauptsuchdienst verwendet werden. |
| <1F> | UNIQUE | NetDDE-Dienst. |
| <20> | UNIQUE | Name des Server-Dienstes, der freigegebene Ressourcen bereitstellt. |
| <21> | UNIQUE | RAS-Client. |
| <BE> | UNIQUE | Agent des Netzwerk-Monitors. |
| <BF> | UNIQUE | Netzwerk-Monitors-Dienst. |
| <00> | GROUP | Domänenamen. |
| <1C> | GROUP | Domäne-Gruppennamen, der die Liste der Computer enthält, die eine Domäne bilden. Der Domäne-Controller registriert diesen Namen. |
| <1D> | GROUP | Name des Hauptsuchdienstes (Master-Browser), über den Clients Zugriff darauf erhalten. |
| <1E> | GROUP | Bezeichner für einen Gruppennamen. |
| <20> | GROUP | Bezeichner für einen speziellen Gruppennamen, der das Internet betrifft. |
Das Werkzeug "System Difference Package" dient der Erstellung und der Anpassung von Steuerdateien zur automatischen Installation von Programmen. Es kann jedoch auch dafür verwendet werden, um den NT-Systemzustand vor und nach einer Installation zu vergleichen. Sysdiff untersucht dabei sowohl die Registry als auch die Dateisysteme aller lokalen Festplatten. Die drei zentralen Funktionalitäten von Sysdiff sind daher:
Abbildung: Sysdiff bei der Erstellung eines System-Schnappschusses.
Als Einschränkung für die Verwendung des Sysdiff-Werkzeugs muß beachtet werden, daß zwischen Original- und Zielsystem eine Reihe von Übereinstimmungen bestehen müssen. So dürfen sich auf den Systemen keine unterschiedlichen Prozessoren befinden, die %SystemRoot%-Verzeichnisse müssen an der identischen Stelle liegen und es muß der gleiche Zugriff auf die Quelldateien der zu installierenden Anwendung bestehen.
Das Vorgehen bei der Duplizierung einer Anwendungsinstallation besteht aus dem mehrmaligen Aufruf von Sysdiff mit unterschiedlichen Parametern.
Die ASCII-Datei Sysdiff.inf entscheidet über das Verhalten des Sysdiff-Werkzeugs bei seiner Arbeit. So können dort z.B. Bereiche ausgeklammert werden, die für die Differenzenbildung dann nicht mehr beachtet werden. Dies sind insbesondere temporäre Dateien, Papierkorb, Logdateien, Profile angemeldeter Benutzer und andere bestimmte Registry-Bereiche.
Der Netzwerk-Monitor ist ein Werkzeug, mit dem komplexe Untersuchungen im Netzwerk durchgeführt werden können. Insbesondere dient es zur Fehlerbehebung bei Netzwerkproblemen. Hierfür sammelt der Netzwerk-Monitor selbst oder daran angebundene Agents sämtliche Daten, die an einer Netzwerkkarte (NIC) anliegen. Die Agents sind auf den auf allen Installationsmedien von Windows NT und Windows 95 enthalten.
Sowohl der Windows NT Server als auch der Systems Management Server werden mit dem Netzwerk-Monitor ausgeliefert. Auf den ersten Blick wirken beide Werkzeuge identisch. Es bestehen jedoch bei der Windows NT Variante einige funktionale Einschränkungen. Nur der vollausgebaute Netzwerk-Monitor aus dem Systems Management Server kann von anderen Netzwerk-Monitoren gesammelte Datenpakete empfangen und somit einen globaleren Blick auf das Gesamtsystem gewähren.
Abbildung: Der Netzwerk-Monitor beim Protokollieren einer Backup-Aktion.
Der Netzwerk-Monitor erlaubt die Definition von Sammelfilter, so daß nur bestimmte Netzwerkdaten für die Analyse gespeichert werden. Die Filteroptionen können dabei auf NIC-Quell- und Zieladressen, auf Protokoll-Quell- und Zieladressen und auf Mustern basieren. Sobald eine Sammlung abgeschlossen wurde, kann die Anzeige mit weiteren Filtern eingeengt oder auch nur spezielle Protokolle ausgewählt werden.
Zur Erleichterung der Analyse werden die gesammelte binären Netzwerk-Datenströme in Abhängigkeit von ihrem Protokoll interpretiert und in einer aufbereiteten Form dargestellt. Hierdurch können Protokollköpfe klar von Nutzdaten getrennt und die einzelnen Kopfinformationen leicht gelesen und verstanden werden.
Vorsicht: Der Netzwerk-Monitor eignet sich hervorragend, um unverschlüsselte Paßworte von Fremdsystemen (z.B. UNIX-Kommunikation mit NIS) gezielt abzufangen und im Klartext darzustellen. Ein Administrator sollte daher Kenntnis über die Verwendung des Netzwerk-Monitors in seiner Unternehmensumgebung haben. Der Netzwerk-Monitor des Systems Management Servers kann alle im Netzwerk betriebenen Netzwerk-Monitore aufspüren.
Ein Netzwerk-Monitor in einem traditionellen LAN sieht außer den an seinen Wirtsrechner gerichteten Datenstrom beim Einsatz moderner Netzwerkkarten den gesamten Datenstrom, der sich auf seinem Netzwerksegement befindet. Erst der Einsatz von MAC-basierten VLANs (Virtual LANs) verhindert dies effektiv. Die Switches des Netzwerks schicken dann nur noch jene Datenpakete an einen individuellen Computer, die auch wirklich für ihn bestimmt sind. Alle anderen Pakete, die nur "vorbeikommen" würden, sind dann ausgeblendet, was für Fremdsysteme einen erhöhten Schutz darstellt.
Das Microsoft Resource Kit for Windows NT (dt.: "Die Technische Referenz") stellt eine umfangreiche Sammlung an Informationen und Systemwerkzeugen speziell für Administratoren dar. Im folgenden werden einige der wichtigsten Werkzeuge vorgestellt, die im Administratoren-Alltag oftmals ihren Einsatz finden. Zum Teil sind dies einfach "Bequemlichkeits"-Werkzeuge, die Arbeitsvorgänge vereinfachen. Zum Teil ermöglichen sie jedoch auch Einblicke in das NT-System, die über keinen anderen Mechanismus geboten werden. Viele der Resource Kit Tools finden sich daher mit der Zeit auch in der Standarddistribution von Windows NT.
Der Domain-Monitor zeigt den Status der Server in einer Domäne an. Hierzu gehört auch der Verbindungsstatus zwischen den Domain Controllers innerhalb von Vertrauensstellungen. Hierdurch läßt sich der Zustand einer komplexen Domänestruktur verwalten und kontrollieren.
Der Domain-Monitor verbindet sich zur Sammlung der Informationen zu den betroffenen Servern und nutzt dafür die Benutzer-ID und das Paßwort des momentan angemeldeten Benutzers. Daher ist die steht Funktionalität des Domain-Monitors nur einem Administrator mit entsprechenden Privilegien zur Verfügung.
Abbildung: Statusanzeige einer aktiven Domäne und ihrer Vertrauensstellungen. Die vorliegende Konfiguration zeigt eine Master-Domäne mit drei angebundenen sicheren Domänen.
Mit dem Befehl At können Befehle und Programme zu einem vorbestimmten Termin gestartet werden. Als Voraussetzung muß hierfür der Zeitplandienst (Scheduler) ausgeführt werden. Die über At initiierten Befehle und Programme laufen nicht im Sicherheitskontext des interaktiv angemeldeten Benutzers. Vielmehr werden sie in jenem Kontext gestartet, unter dem auch der Zeitplandienst ausgeführt wird. Dies ist in den meisten Fällen das Systemkonto der NT-Installation, das jedoch keine Netzwerkzugriffe erlaubt. Aus diesem Grund wird auf bestimmten Computern der Zeitplandienst so konfiguriert, daß er im Kontext eines Domäne-Administrators abläuft und damit aufgerufenen Befehlen die entsprechenden Privilegien zu verleihen.
Das WinAt-Werkzeug erfüllt die gleiche Aufgabe wie das At-Kommando, hat jedoch eine graphische Benutzerschnittstelle. Dadurch müssen Administratoren keine kryptischen Befehle auswendig lernen, sondern können den Zeitplandienst sehr einfach konfigurieren. Auch der Zugriff auf entfernte Computer gestaltet sich als unproblematisch, wobei sogar die Differenz zwischen den lokalen Uhren angezeigt wird.
Um NetWatch mit seiner vollen Funktionalität verwenden zu können, muß man als ein Benutzer angemeldet sein, der zur Gruppe der Domäne-Administratoren gehört. Zudem muß auf allen Computern, auf die ein Zugriff erfolgen soll, der Server-Dienst gestartet sein.
Der Shutdown-Manager ShutGui besitzt in beiden Modi die Möglichkeit eine administrative Nachricht auf dem Ziel-Computer anzuzeigen und die Zeit bis zum Herunterfahren zu spezifizieren.
Nach der Installation des Rconsole-Dienst erfolgt der Zugriff über das Client-Programm Rclient. Im Falle des Remote Command Servers muß zunächst der Rcmdsvc-Dienst im Verzeichnis %SystemRoot%\System32 installiert werden, auf den dann mit dem Client-Programm Rcmd zugegriffen wird.
HandleEx erlaubt die Untersuchung von DLL-Problemen oder die Erkennung von Handle-Lecks, d.h. Handles, die trotz Beendigung der zugehörigen Applikation nicht mehr freigegeben werden und im Speicher akkumulieren. Dieser angehäufte "Speichermüll" führt oftmals zu instabilen Systemzuständen, da der Hauptspeicher damit angefüllt wird, jedoch keine Möglichkeit besteht die betroffenen Speicherbereiche wieder zu "säubern".
Abbildung: HandleEx beim Betrachten der DLLs von Winword.exe.