Windows Nt 4.0
Windows Nt 4.0
Windows Nt 4.0
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Windows</strong> NT<br />
(<strong>Windows</strong> New Technology)<br />
von NMS è zu WNT ( oder von HAL è IBM ?)<br />
J
Vorwort<br />
Bei jeder Arbeit mit dem Registriereditor die notwendige Vorsicht walten lassen, und<br />
immer daran denken: REGEDIT.EXE ist nicht REGEDT32.EXE.<br />
Während ernsteres unter <strong>Windows</strong> 95 prima seinen Dienst versieht, hat es unter<br />
<strong>Windows</strong> NT unter ein paar Restriktionen zu leiden. Die schlimmste ist vermutlich,<br />
daß einige Datentypen von <strong>Windows</strong> NT von REGEDIT.EXE nicht erkannt werden.<br />
Der Datentyp „REG_MULTI_SZ“ wird so z.B. nicht erkannt und von REGEDIT beim<br />
Editieren in einen ihm bekannten Datentyp umgewandelt.<br />
REGEDT32 ist für <strong>Windows</strong> NT konzipiert und unterliegt solchen Beschränkungen<br />
nicht. Dennoch ist es nicht die reine Freude damit zu arbeiten. Man stolpert doch<br />
immer wieder über die fehlende Suchfunktion. Auch wird in der Statusleiste des<br />
Fensters nicht – wie von Regedit gewohnt – die aktuelle Position innerhalb der<br />
Registry angezeigt; dies macht das Leben auch nicht leichter.<br />
Kurz: es ist schöner mit REGEDIT.EXE zu arbeiten, doch wer auf Nummer Sicher<br />
gehen möchte, sollte REGEDT32:EXE verwenden.<br />
II
Inhaltsverzeichnis<br />
1 WINDOWS NT Server - Installation________________________________________ 1<br />
1.1 Vorabinformationen ________________________________________________________ 1<br />
1.2 Der Installationsvorgang ____________________________________________________ 2<br />
1.2.1 Installation über Boot-Disketten___________________________________________________ 2<br />
1.2.2 Installation über bereits installiertes Betriebssystem ___________________________________ 2<br />
1.3 Der Setup-Vorgang _________________________________________________________ 2<br />
1.3.1 Abschluß der Installation ________________________________________________________ 5<br />
1.4 Netzwerkprotokolle einrichten _______________________________________________ 8<br />
1.4.1 TCP/IP ______________________________________________________________________ 8<br />
1.4.1.1 IP-Adressen ________________________________________________________________ 9<br />
1.4.1.2 Konfiguration von TCP/IP____________________________________________________ 10<br />
1.4.1.3 TCP/IP konfigurieren _______________________________________________________ 11<br />
1.4.2 DNS- /WINS- /DHCP-Server____________________________________________________ 11<br />
1.4.2.1 DNS-Dienst einrichten ______________________________________________________ 13<br />
1.4.2.2 WINS-Dienst einrichten _____________________________________________________ 14<br />
1.4.2.3 DHCP-Server______________________________________________________________ 14<br />
1.4.3 IPX/SPX____________________________________________________________________ 16<br />
1.4.3.1 NWLink installieren ________________________________________________________ 16<br />
1.4.3.2 NWLink konfigurieren ______________________________________________________ 16<br />
1.4.3.3 Gateway Service für NetWare (GSNW) konfigurieren ______________________________ 16<br />
1.4.4 DLC Protokoll und Remote-Boot_________________________________________________ 18<br />
1.4.4.1 Allgemeines und Voraussetzungen _____________________________________________ 18<br />
1.4.4.2 Remote-Boot konfigurieren___________________________________________________ 19<br />
1.4.4.3 Menü des Remote-Boot-Managers _____________________________________________ 20<br />
1.5 Sicherheitssystem _________________________________________________________ 21<br />
1.5.1 Sicherheitseinrichtungen _______________________________________________________ 22<br />
1.5.2 <strong>Windows</strong> NT-Sicherheits-Fenster ________________________________________________ 22<br />
1.6 Service Packs _____________________________________________________________ 23<br />
1.6.1 Service Pack 1 und seine Hotfixes ________________________________________________ 24<br />
1.6.2 Service Pack 2 und seine Hotfixes ________________________________________________ 24<br />
1.6.3 Service Pack 3 und seine Hotfixes ________________________________________________ 25<br />
2 WINDOWS NT Start ___________________________________________________ 25<br />
2.1 Startvorgang _____________________________________________________________ 25<br />
2.1.1 Bootmanager ________________________________________________________________ 26<br />
I
2.1.2 Hardware-Profile _____________________________________________________________ 27<br />
2.1.3 Standard-Installationspfad ändern ________________________________________________ 28<br />
2.2 Winlogon ________________________________________________________________ 28<br />
2.2.1 Nachricht beim Einloggen ______________________________________________________ 28<br />
2.2.2 Automatisches Anmelden_______________________________________________________ 29<br />
2.2.3 Checkdisk beim Start __________________________________________________________ 29<br />
2.3 System <strong>Windows</strong> NT_______________________________________________________ 29<br />
2.3.1 Executive ___________________________________________________________________ 30<br />
2.3.2 Subsysteme__________________________________________________________________ 31<br />
3 Tools ________________________________________________________________ 31<br />
3.1 Diagnose-Tools ___________________________________________________________ 31<br />
3.1.1 Dumpexam __________________________________________________________________ 31<br />
3.1.2 NT Hardware-Query___________________________________________________________ 32<br />
3.2 Fehlerbehebung___________________________________________________________ 32<br />
3.2.1 NTDETECT.CHK ____________________________________________________________ 32<br />
4 User-Verwaltung_______________________________________________________ 33<br />
4.1 Überwachung_____________________________________________________________ 33<br />
4.1.1 Ereignisanzeige ______________________________________________________________ 33<br />
5 Sicherheit ____________________________________________________________ 33<br />
5.1 Rechte unter <strong>Windows</strong> NT__________________________________________________ 33<br />
5.1.1 Übersicht NetWare und <strong>Windows</strong> NT _____________________________________________ 33<br />
5.1.1.1 Verzeichnisberechtigungen ___________________________________________________ 33<br />
5.1.1.2 Dateiberechtigungen ________________________________________________________ 34<br />
5.1.1.3 Dateiattribute ______________________________________________________________ 34<br />
5.1.2 Berechtigungen in Verzeichnissen ________________________________________________ 35<br />
5.1.3 Berechtigungen in Verzeichnissen auf NTFS-Laufwerken _____________________________ 35<br />
5.1.4 Zugriffschutz für Dateien auf NTFS-Laufwerken ____________________________________ 36<br />
5.1.5 Zugriffschutz auf freigegebene Verzeichnisse _______________________________________ 36<br />
5.1.6 Überwachung von Verzeichnissen ________________________________________________ 36<br />
5.1.7 Überwachung von Dateien ______________________________________________________ 37<br />
5.2 Rechteverwaltung nach Installation __________________________________________ 37<br />
5.2.1 Zugriffsrechte für Dateien ______________________________________________________ 37<br />
5.2.2 Standardrechte entziehen _______________________________________________________ 37<br />
5.2.3 Falsche Zugriffsrechte bei NT ___________________________________________________ 38<br />
5.2.4 Absichern des Dateizugriffes ____________________________________________________ 39<br />
5.2.5 Absichern der Startdateien ______________________________________________________ 39<br />
II
5.2.6 Rechteverteilung nach Installation ________________________________________________ 40<br />
5.3 Diskettensatz _____________________________________________________________ 40<br />
5.3.1 Setup-Diskettensatz ___________________________________________________________ 40<br />
5.3.2 Repair-Disk _________________________________________________________________ 40<br />
5.3.3 Rettungsdiskette ______________________________________________________________ 41<br />
5.4 Paßwörter _______________________________________________________________ 41<br />
5.4.1 keine Anzeige des letzten Anwenders _____________________________________________ 41<br />
5.4.2 Backup des Administrator-Paßwortes _____________________________________________ 41<br />
5.5 BlueScreen of Death (BSOD) ________________________________________________ 42<br />
5.5.1 Section 1: Debug Port Status Indicators____________________________________________ 42<br />
5.5.2 Section 2: Bug Check Information________________________________________________ 42<br />
5.5.3 Section 3: Driver Information ___________________________________________________ 42<br />
5.5.4 Section 4: Kernel Build and Stack Dump___________________________________________ 43<br />
5.5.5 Section 5: Debug Port Information________________________________________________ 43<br />
6 Nützliches ____________________________________________________________ 44<br />
6.1 Workstation / Server_______________________________________________________ 44<br />
6.1.1 Serien-Nummer verändern ______________________________________________________ 44<br />
6.1.2 NumLock automatisch einschalten________________________________________________ 44<br />
6.1.3 Anwendungen zu bestimmten Zeiten ausführen______________________________________ 44<br />
6.1.4 NT im DOS-Modus starten _____________________________________________________ 44<br />
6.1.5 Ausschalten von „Arbeitsstation sperren ___________________________________________ 45<br />
6.1.6 Default Screen-Saver zu Open GL Text Saver ändern_________________________________ 45<br />
6.1.7 Shutdown ___________________________________________________________________ 45<br />
6.1.8 Wie kann ich die Zeit des „Shutdown“ verkürzen? ___________________________________ 46<br />
6.1.9 Systemsteuerung für User unsichtbar machen _______________________________________ 47<br />
6.1.10 Verschieben der Systemsteuerung in das Startmenü __________________________________ 48<br />
6.1.11 Option „Drucker“ in das Startmenü ergänzen _______________________________________ 48<br />
6.1.12 Registry löschen ______________________________________________________________ 49<br />
6.1.13 Sicherheitsdiskette auf Server aufspielen___________________________________________ 49<br />
6.1.14 Login Script _________________________________________________________________ 49<br />
6.1.15 Keyboard-Shortcuts ___________________________________________________________ 50<br />
6.2 NT-Server _______________________________________________________________ 51<br />
6.2.1 Synchronisierung der Zeit einer Workstation mit dem Server ___________________________ 51<br />
6.2.2 Informationen über den Domänen-Account_________________________________________ 51<br />
6.2.3 NT von einer Festplatte auf eine andere überspielen __________________________________ 51<br />
III
1 WINDOWS NT Server - Installation<br />
1.1 Vorabinformationen<br />
Wird der Server zu einem bestehenden Netz hinzugefügt, so muß der Name der<br />
Domäne bekannt sein. Der Computer muß einen Namen erhalten, der im Netz<br />
eindeutig ist. Bei einem neu zu installierenden Netz muß eine Entscheidung für den<br />
Domänen-Namen getroffen werden.<br />
Ist bereits ein Betriebssystem (DOS oder <strong>Windows</strong> 95) installiert, kann die Installation<br />
direkt von dort erfolgen. Soll MS-DOS auch nach der Installation von <strong>Windows</strong> NT<br />
gestartet werden können, empfiehlt es sich, dieses zuvor zu installieren. Eine<br />
nachträgliche Installation kann bei einem NTFS-Filesystem nur noch sehr schwer<br />
durchgeführt werden. Damit MS-DOS nach der Installation von <strong>Windows</strong> NT<br />
aufgerufen werden kann, ist das Dateisystem FAT erforderlich (zumindest auf der<br />
DOS-Partition).<br />
Soll <strong>Windows</strong> NT vom Netzwerk aus installiert werden, so muß unter dem laufendem<br />
Betriebsystem ein Zugriff auf das Netzwerk möglich sein, z.B. unter DOS Netware<br />
oder LAN-Manager von <strong>Windows</strong> 3.11. Die gesamte Installations-CD muß auf ein<br />
verfügbares Netz-Laufwerk kopiert werden. Das Verzeichnis muß für den Benutzer<br />
Lese-/Schreibberechtigung haben. Das Verzeichnis heißt „x:\i386“ (oder \MIPS,<br />
ALPHA). Dateien werden von der CD kopiert mit „xcopy /S :\<br />
muß eine Boot-Diskette über MS-DOS mit den entsprechenden Treibern des CD-<br />
Laufwerks erstellt werden.<br />
Steht auf der Festplatte genügend Platz (etwa 100 Mbyte) zur Verfügung, und wird<br />
das booten unter einem anderem Betriebssystem (DOS oder <strong>Windows</strong> 95)<br />
durchgeführt, so kann das Verzeichnis für das verwendete System, z.B. „i386“ für<br />
Intel-Prozessoren, auf ein lokales Laufwerk kopiert werden und die Installation von<br />
dort aus durchgeführt werden.<br />
1.2 Der Installationsvorgang<br />
1.2.1 Installation über Boot-Disketten<br />
1) CD-Rom in CD-Laufwerk einlegen,<br />
2) Boot-Diskette Nr. 1 in Laufwerk A: einlegen<br />
3) Computer neu starten<br />
1.2.2 Installation über bereits installiertes Betriebssystem<br />
1) Computer neu starten, der Zugriff auf das CD-Laufwerk muß nach dem Boot-<br />
Vorgang gesichert sein<br />
2) Aufruf von „WINNT.EXE“ von DOS oder <strong>Windows</strong> 3.x oder „WINNT32.EXE“ bei<br />
<strong>Windows</strong> 95 oder älteren Versionen von <strong>Windows</strong> NT im Verzeichnis<br />
„x:\i386\winnt.exe" des Installationslaufwerkes. Installationslaufwerk ist die lokale<br />
Festplatte, ein Netzlaufwerk oder das CD-Rom Laufwerk<br />
Aufruf von „WINNT.EXE /?“ bzw. „WINNT32.EXE“ zeigt die Parameter, die für die<br />
Installation gesetzt werden können.<br />
1.3 Der Setup-Vorgang<br />
Nachdem der Installations-Vorgang auf eine der oben beschriebenen Methoden<br />
durchgeführt wurde, werden nachstehende Schritte ausgeführt, welche noch<br />
verschiedene Benutzereingaben erfordern.<br />
1) Erkennung der angeschlossenen Hardware<br />
2) Eingabe, ob Reparatur oder Neuinstallation<br />
2
• Reparatur: Das System kann repariert werden, falls das booten von <strong>Windows</strong><br />
NT nicht mehr möglich ist<br />
• Neuinstallation: Die Installation wird fortgeführt<br />
3) Die eingebauten Festplatten-Controller werden gesucht<br />
• Frage nach automatischer Suche der Controller<br />
• Nur wenn für den eingebauten Festplatten-Controller eine Treiberdiskette für<br />
<strong>Windows</strong> NT <strong>4.0</strong> vorliegt, darf die automatische Suche abgelehnt werden<br />
• Wird bei der automatischen Suche der Controller erkannt, so kann davon<br />
ausgegangen werden, daß <strong>Windows</strong> NT beim nächsten Starten alle<br />
eingebauten Laufwerke erkennt-<br />
4) Sind SCSI-Controller eingebaut, so wird eine Liste aller Geräte angezeigt<br />
• Bestätigen der Liste<br />
• Die Treiber für die verschiedenen Dateisysteme FAT (DOS), NTFS (<strong>Windows</strong><br />
NT), CD FS (CD-Laufwerk) werden geladen<br />
5) Bei DIE- und EIDE-Laufwerken ist die Erkennung der Geräte nicht möglich,<br />
deswegen erfolgt keine Anzeige<br />
6) Die weitere Installation ist erst möglich, wenn der auf dem Bildschirm angezeigte<br />
Lizenzvertrag vollständig durchgeblättert wurde und mit der Taste „F8“ bestätigt<br />
wurde. Durchgeblättert wird mit den Tasten „Bild hoch“ und „Bild runter“.<br />
7) Suche nach bereits vorhandener Installation<br />
• Falls vorhanden: Neu installieren oder Upgrade erstellen<br />
8) Hardware des Computers analysieren<br />
• Computertyp<br />
• Grafik (wird auf VGA gestellt)<br />
• Tastatur und Tastatur-Layout<br />
• Maus<br />
9) Festlegen der Partition, auf der <strong>Windows</strong> NT installiert werden soll<br />
• Die Partition darf kein Wechselmedium sein<br />
3
• Die Partition darf nicht komprimiert sein<br />
• Die Partition muß entweder FAT oder NTFS sein<br />
• Eine neue Partition kann zu diesem Zeitpunkt erzeugt werden oder bestehende<br />
gelöscht werden<br />
• Die Partition, auf welcher <strong>Windows</strong> NT installiert wird, sollte mindestens 100<br />
bis 150 Mbyte klein sein<br />
• Ist auf dem System der OS/2 Boot-Manager installiert, so deaktiviert <strong>Windows</strong><br />
NT diesen. Er kann später über den Festplatten Manager von <strong>Windows</strong> NT<br />
wieder aktiviert werden<br />
10) Wahl des Dateisystems und der Formatierung<br />
• Partition als FAT formatieren<br />
• Partition als NTFS formatieren<br />
• Partition als FAT belassen (bereits formatiert)<br />
• Partition von FAT auf NTFS umwandeln (bereits formatiert)<br />
• Mit dem Programm „CONVERT.EXE“ kann die Umwandlung von FAT nach<br />
NTFS auch später erfolgen. Dies kann jedoch nicht rückgängig gemacht<br />
werden.<br />
11) Eingabe des Verzeichnis-Namens<br />
• Vorgabe ist „\WINNT“<br />
• Wird <strong>Windows</strong> NT in das Verzeichnis einer früheren Version von <strong>Windows</strong> (3.x,<br />
NT 3.x) installiert, so übernimmt die neue Version die Einstellungen der alten<br />
• Die Registry von <strong>Windows</strong> 95 wird in <strong>Windows</strong> NT nicht übernommen, alle<br />
Anwendungen müssen unter <strong>Windows</strong> NT neu installiert werden<br />
12) Die Partition wird einer Prüfung unterzogen<br />
13) Kopieren der Systemdateien in das ausgewählte Verzeichnis<br />
• Wurde bei der vorgehenden Installation das CD-Laufwerk nicht richtig erkannt,<br />
so wird davon ausgegangen, daß der Installationsvorgang über Disketten<br />
erfolgt; ist dies nicht der Fall, muß die Installation hier abgebrochen werden<br />
4
14) Der erste Teil der Installation ist nun abgeschlossen<br />
• Eine Prüfung des Datenträgers und des installierten Dateisystems wird<br />
durchgeführt; ist das Startlaufwerk als NTFS-Partition eingerichtet, wird der<br />
Computer nach der Prüfung neu gestartet und anschließend das<br />
Betriebssystem von FAT nach NTFS automatisch konvertiert<br />
• Nach der Konvertierung wird nochmals ein Systemneustart durchgeführt und<br />
der Datenträger überprüft<br />
1.3.1 Abschluß der Installation<br />
Nach der Prüfung und Konvertierung des Datenträgers wird die Installation auf<br />
<strong>Windows</strong> <strong>Nt</strong>-Ebene fortgesetzt. Es erscheint das Dialogfenster „<strong>Windows</strong> NT Server-<br />
Setup“ mit dem Setup-Assistenten mit den 3 Phasen zur Installation<br />
• Zusammenstellung von Informationen über diesen Computer,<br />
• Installation des <strong>Windows</strong> NT-Netzwerkes,<br />
• Abschluß der Installation.<br />
Jedes Fenster innerhalb der Installationsroutine ist mit zwei Schaltflächen „Zurück“<br />
und „Weiter“ versehen, ein Abbrechen ist nicht möglich:<br />
• Schaltfläche „Weiter“: zum nächsten Fenster der Installation<br />
• Schaltfläche „Zurück“: zum vorherigen Fenster der Installation<br />
• Schaltfläche „Hilfe“: Hilfe zum Thema des Dialoges wird aufgerufen.<br />
Dialogfenster: Lizenzmodus:<br />
Die Lizenzvereinbarung durch den Kauf des Produktes: „pro Server“ = der Server<br />
unterstützt eine bestimmte Anzahl angeschlossener Workstations; „pro Client“ = für<br />
jede Workstation gibt es eine eigene Lizenzvereinbarung. Mit der Schaltfläche<br />
„Weiter“ geht es zum nächsten Fenster,<br />
Dialogfenster: Wahl des Servertyps<br />
Optionsfelder:<br />
• Primärer Domänen Controller<br />
• Sicherungs Domänen Controller<br />
5
• Alleinstehender Server<br />
Das gewünschte Optionsfeld markieren und mit „Weiter“ zum nächsten Fenster.<br />
Dialogfenster: Administratorkonto<br />
Damit es nach dem Installieren möglich ist, in das System zu kommen, muß ein<br />
Benutzerkonto angelegt werden, dem Administratorrechte vergeben werden. Das<br />
Benutzerkennwort darf nicht vergessen werden, sonst muß das Betriebssystem neu<br />
installiert werden. Das Benutzerkonto wird beim Installieren automatisch mit dem<br />
Namen „Administrator“ belegt.<br />
• Kennwort eingeben: Zwischen Groß- und Kleinschreibung wird unterschieden<br />
• Kennwort bestätigen: Zur Kontrolle muß das Kennwort nochmals eingegeben<br />
werden<br />
Mit der Schaltfläche „Weiter“ zum nächsten Fenster.<br />
Dialogfenster: Notfalldiskette<br />
Optionsfelder<br />
• Ja, Notfalldiskette erstellen<br />
• Nein, keine Notfalldiskette erstellen<br />
Ein Optionsfeld auswählen und auf „Weiter“ klicken. Die Notfall Diskette kann auch<br />
später mit dem Programm „RDISK.EXE“ erstellt werden.<br />
Dialogfenster: Komponenten-Auswahl<br />
Auswahl der Software-Komponenten durch Kontrollfelder<br />
• Eingabehilfen: Anpassung der Eingabegeräte<br />
• Multimedia: Audio- und Video-Programme<br />
• Spiele<br />
• Verbindungen: Online-Dienste<br />
• <strong>Windows</strong> Messaging: Email<br />
• Zubehör: Zubehörprogramme<br />
Nach entsprechender Auswahl auf „Weiter“ klicken.<br />
Dialogfenster: Netzwerkanschluß<br />
6
Optionsfelder<br />
• direkt am Netzwerk anschließen<br />
• Remote Zugriff auf das Netzwerk<br />
Wird das Optionsfeld „direkt am Netzwerk anmelden“ gewählt, so wird die Installation<br />
mit dem Einrichten der Netzwerkkarte fortgesetzt. Wird das Optionsfeld „Remote<br />
Zugriff auf das Netzwerk“ gewählt, so wird die Installation mit dem Einrichten des<br />
RAS-Dienstes einschließlich des Modems fortgesetzt. Der RAS-Dienst kann später<br />
auch noch eingerichtet werden.<br />
Das gewünschte Optionsfeld markieren und „Weiter“.<br />
Dialogfenster: Microsoft Internet Information Server<br />
Dies ist der in <strong>Windows</strong> NT integrierte Web-Server, der bei Bedarf installiert werden<br />
kann. Mit „Weiter“ zum nächsten Fenster.<br />
Dialogfenster: Netzwerkkarte<br />
Die Netzwerkkarte kann vom System gesucht werden. Dies ist jedoch nicht zu<br />
empfehlen, da der Computer hierfür eine längere Zeit benötigt. Wird die Schaltfläche<br />
„Aus der Liste auswählen“ benutzt, muß das Fabrikat und der Typ der Karte bekannt<br />
sein. Befindet sich die Karte nicht auf der Treiberliste, so muß eine Treiberdiskette<br />
des Herstellers vorliegen. Es können mehr als eine Netzwerkkarte installiert werden.<br />
Sind alle Netzwerkkarten installiert, mit „OK“ zum nächsten Fenster.<br />
Dialogfenster: Netzwerkprotokolle<br />
Die Netzwerkprotokolle werden ausführlich im dortigen Kapitel besprochen.<br />
Hier die benötigten Protokolle aktivieren. Werden zusätzliche Protokolle benötigt,<br />
Schaltfläche „Aus der Liste auswählen“ anklicken. Sind alle benötigten Protokolle<br />
ausgewählt und aktiviert, mit „weiter“ zum nächsten Fenster.<br />
Dialogfenster: Netzwerkdienste<br />
Netzwerkdienste, die in direktem Zusammenhang mit einem Protokoll stehen,<br />
werden mit dem Protokoll automatisch geladen. Zusätzliche Dienste müssen hier<br />
eigens installiert werden.<br />
Sind alle gewünschten Dienste ausgewählt, „Weiter“ anklicken.<br />
Dialogfenster: TCP/IP-Eigenschaften<br />
7
Entweder TCP/IP-Adresse eingeben oder DHCP für automatische Vergabe der<br />
Adressen bestimmen. Anschließend „Weiter“.<br />
Dialogfenster: Netzwerkverbindungen<br />
Mit „Weiter“ zum nächsten Fenster<br />
Dialogfenster: Domänen-Name eingeben<br />
Der Computer-Name ist bereits eingegeben, jedoch muß der Domänen-Name hier<br />
eingetragen werden. „Weiter“<br />
Dialogfenster: Microsoft Internet Information Center<br />
Die zu installierenden Dienste auswählen, „OK“ anklicken. Die angezeigten<br />
Veröffentlichkeitsverzeichnisse bestätigen oder neu vergeben. Weiter mit „OK“. Jetzt<br />
noch die gewünschten ODBC-Treiber auswählen. „Weiter“<br />
Dialogfenster: Anzeige<br />
Die erkannte Grafikkarte wird angezeigt. Mit der Schaltfläche „OK“ zum nächsten<br />
Fenster. Register „Einstellungen von Anzeige“: die Einstellungen können hier nach<br />
Wunsch angepaßt werden.<br />
Nach dem Abschluß der Installation wird das System heruntergefahren und neu<br />
gestartet. <strong>Windows</strong> NT startet nun mit den Parametern, die in der Installation<br />
angegeben wurden, und zu dem Servertyp, zu dem er ausgewählt wurde.<br />
1.4 Netzwerkprotokolle einrichten<br />
1.4.1 TCP/IP<br />
Ein Netzwerk, welches unter <strong>Windows</strong> NT/<strong>Windows</strong> 95 läuft, kann ohne Probleme<br />
ganz auf dem TCP/IP-Protokoll aufgebaut sein. Alle Computer in einem TCP/IP-<br />
Netzwerk müssen eine eindeutige Adresse besitzen. Die Adresse besteht aus 4<br />
Bytes (im Internet Sprachgebrauch „Oktetten“) und ist in 4 Klassen eingeteilt. Besteht<br />
ein Anschluß am globalen Internet, muß eine Netzwerkadresse beantragt werden, da<br />
die Adresse einmalig sein muß. Um dem Netzwerk einen Namen geben zu können,<br />
ist DNS (Domain Name System) und ein DNS-Server erforderlich.<br />
8
1.4.1.1 IP-Adressen<br />
Schreibweise: 0.0.0.0 ( z.B. 193.25.22.31)<br />
Die 4 Bytes (=32 Bits) werden als 4 Dezimalstellen jeweils durch einen Punkt<br />
getrennt dargestellt. Ein Teil dieser Adresse stellt die Adresse des Netzwerkes dar,<br />
ein anderer Teil die Adresse des Hosts. Abhängig ist dies vom ersten Bit der<br />
Adresse.<br />
Es gibt drei Klassen von Adressen, in jeder Klasse werden verfügbare Bits zwischen<br />
Netzwerkadresse und Hostadresse anders verteilt:<br />
Class A: 0xxxxxxx.yyyyyyyy.yyyyyyyy.yyyyyyyy<br />
erstes Bit Inhalt : = 0<br />
Netzwerkadresse: x = / 7 Bits<br />
= 126 Adressen möglich<br />
Hostadresse: y = / 24 Bits = 16 777 214 Adressen<br />
Class B: 10xxxxxx.yyyyyyyy.yyyyyyyy.yyyyyyyy<br />
erstes Bit Inhalt : = 10<br />
Netzwerkadresse: x = / 14 Bits<br />
= 16 284 Adressen<br />
Hostadresse: y = / 24 Bits = 65 534 Adressen<br />
Class C: 110xxxxx.yyyyyyyy.yyyyyyyy.yyyyyyyy<br />
erstes Bit Inhalt : = 110<br />
Netzwerkadresse: x = / 21 Bits<br />
= 2 097 151 Adressen<br />
Hostadresse: y = / 24 Bits = 254 Adressen<br />
Bei der Vergabe der Adressen im globalen Internet werden die Adressen der Klasse<br />
A nur an wenige, sehr große Unternehmen vergeben, die Adressen der Klasse C<br />
können kleinere Unternehmen leicht bekommen.<br />
Damit bei großen Netzen die Adressen flexibel sind, wird zusätzlich eine Subnet-<br />
Maske vergeben. Mit diesen Subnet-Masken wird der Anteil, der für die Hostadresse<br />
reserviert ist, in einen Teil für ein Unternetz und einen Host eingeteilt.<br />
Ist das korrespondierende Bit in der Subnet-Maske eine „1“, so gilt dieser Teil der<br />
Hostadresse als Adresse für das Unternetz, der Rest wird für die Hostadresse<br />
9
enutzt. Die korrespondierenden Bits zur Netzwerkadresse müssen auf jeden Fall „1“<br />
sein. Subnet-Maske ohne Unternetz in Punkt-Dezimal-Schreibweise:<br />
Class C: 255.0.0.0<br />
Class B: 255.255.0.0<br />
Class A: 255.255.255.0<br />
Zwei Computer können innerhalb eines Netzes nur miteinander kommunizieren,<br />
wenn sie sich im gleichen Netzwerk befinden: die Netzwerkadresse muß gleich sein,<br />
während die Hostadresse innerhalb des Netzwerkes verschieden sein muß. Die<br />
Verbindung zwischen Computern in unterschiedlichen Netzen mit unterschiedlicher<br />
Netzwerkadresse erfolgt über Router. Ein Router besitzt mindestens zwei IP-<br />
Adressen; er besitzt auch mindestens zwei Netzwerkadapter, einen innerhalb des<br />
Netzwerkes und mindestens einen nach außen.<br />
Damit mehrere Subnetze miteinander in Kontakt treten können, sind IP-Gateways<br />
notwendig. Es ist entweder die IP-Adresse eines Standard-Gateways (FH-Dortmund:<br />
193.25.22.1) einzugeben oder eine Anzahl von verfügbaren Gateway-Adressen.<br />
1.4.1.2 Konfiguration von TCP/IP<br />
Vorab sind einige Informationen zu sammeln und Vorüberlegungen zu treffen:<br />
• IP-Adresse des Netzwerks und die<br />
Subnet-Maske<br />
• IP-Adresse vom Standard-Gateway<br />
(Router)<br />
• IP-Adresse des DNS-Servers (FH<br />
Dortmund: 193.25.16.3)<br />
• Domänenname des DNS-Server im<br />
Netzverbund (FH Dortmund: inf.fhdortmund.de)<br />
• IP-Adresse des WINS-Servers (falls<br />
vorhanden)<br />
• DHCP-Server installieren?<br />
• DHCP-Relay-Agent installieren?<br />
• DNS-Server vorhanden? (T-Online:<br />
194.25.2.129, DE-NIC: 193.196.32.1)<br />
• TCP/IP-Druckserver einrichten?<br />
• einfache TCP/IP-Dienste installieren?<br />
• RIP für das Internet Protokoll<br />
10
installieren?<br />
Wenn mehrere Netzwerkkarten eingebaut sind, so kann an jede Netzwerkkarte das<br />
TCP/IP gebunden werden. Die Hostkennung der IP-Adresse muß sich dann<br />
allerdings unterscheiden.<br />
1.4.1.3 TCP/IP konfigurieren<br />
Sind mehrere Netzwerkkarten eingebaut, muß diejenige ausgewählt werden, an die<br />
das Protokoll mit der spezifizieten Adresse gebunden werden soll.<br />
In Register IP-Adresse die IP-Nummer für den Computer / die Netzwerkkarte<br />
eintragen oder Option „IP-Adresse von einem DHCP-Server beziehen“ auswählen.<br />
Wird „IP-Adresse angeben“ ausgewählt wurde:<br />
Eingabe der IP-Adresse in der Form:<br />
Eingabe der Subnet-Maske in der Form:<br />
Eingabe des Standard-Gateway in der Form:<br />
x.x.x.x<br />
x.x.x.x<br />
x.x.x.x<br />
Für x steht eine Zahl zwischen 0, ..., 255, die erste Stelle von x muß größer als 0<br />
sein.<br />
Im Register DNS in das Feld „Host-Name“ den Computernamen eintragen. In das<br />
Feld „Domäne“ den Namen für den DNS-Server eintragen (z.B. „inf.fh-dortmund.de“).<br />
Schaltfläche „Hinzufügen“ anklicken und die IP-Adresse des/der Router(s) eintragen.<br />
Der Computer- und Domänenname, der hier beim Installieren vergeben wird, wird<br />
vom NetBios verwendet, während die Namen hier vom DNS aufgelöst und einer IP-<br />
Adresse zugeordnet werden.<br />
Registerkarte WinS (<strong>Windows</strong> Internet Service): Der WinS-Dienst benötigt einen<br />
WinS-Server im Netz. WINS löst die Namen, die von NetBIOS verwendet werden, in<br />
IP-Adressen auf. WINS arbeitet hierbei ähnlich wie DNS, arbeitet jedoch dynamisch,<br />
d.h. die Adressen werden ständig aktualisiert. WINS arbeitet mit NetBIOS-Namen,<br />
während DNS Internet-Namen umsetzt.<br />
1.4.2 DNS- /WINS- /DHCP-Server<br />
DNS:<br />
WINS:<br />
Domain Name System<br />
<strong>Windows</strong> Internet Name System<br />
11
DHCP:<br />
Dynamic Host Configuration System<br />
In einem Netzwerk werden Computernamen, Hostnamen und IP-Adressen<br />
verwendet. Um diese miteinander in Verbindung zu bringen, sind diese Dienste<br />
erforderlich. Damit die installierten Dienste DNS und WINS auf dem<br />
Domänencontroller überhaupt eingesetzt werden können, sind im Netz die<br />
entsprechenden Datenlieferanten/Server zur Verfügung zu stellen. Dies kann ein<br />
anderer Server sein, aber auch der Domänencontroller.<br />
DNS-Server lösen Hostnamen in IP-Adressen auf oder auch umgekehrt („revers<br />
name resolution“). Hat ein Netzwerk eine Verbindung zum globalen Internet oder zu<br />
anderen Netzen, so ist dieser Dienst zu verwenden.<br />
WinS-Server lösen Computernamen (NetBIOS) in IP-Adressen auf. WINS wird<br />
verwendet, wenn ein Netzwerk keine Verbindung nach außen, d.h. zum globalen<br />
Internet, hat, aber intern ein TCP/IP-Netzwerk verwendet. WINS ist vorteilhaft in<br />
Kombination mit DHCP. Für ein Netzwerk ist daher immer entweder WINS oder DNS<br />
erforderlich.<br />
Der DHCP-Server verwaltet einen Pool von IP-Adressen. Der Computer erhält beim<br />
Booten die erforderliche IP-Adresse. Die Vergabe erfolgt entweder statisch oder<br />
dynamisch. Bei einer statischen Vergabe bekommt ein Host immer die gleiche, bei<br />
einer dynamischen Vergabe die zunächst freie Adresse zugewiesen.<br />
Um dem Server eine feste Adresse zuzuweisen, kann die Datei „Hosts“ verwendet<br />
werden. In ihr steht die IP-Adresse ab der ersten Spalte, gefolgt von dem<br />
dazugehörigen Hostnamen. Diese Möglichkeit der Namensauflösung bietet sich<br />
gerade in kleineren Netzen geradezu an. Die Datei befindet sich im Unterverzeichnis<br />
„\WINNT\SYSTEM32\Drivers\etc“.<br />
Die Datei „LMHOSTS“ ist für die Namensauflösung von NetBIOS-Namen<br />
(Computernamen) zur IP-Adresse erforderlich. Sie kann Verwendung finden, wenn<br />
das entsprechende Kontrollfeld im WinS-Register des TCP/IP-Protokolls aktiviert ist.<br />
Diese Datei befindet sich im gleichen Verzeichnis wie die Datei „Hosts“.<br />
Der Dienst RPC-Konfiguration muß zuvor über „Netzwerk“ und Register „Dienste“<br />
geladen und konfiguriert sein.<br />
12
1.4.2.1 DNS-Dienst einrichten<br />
DNS ist in einem Unix-Netzwerk die einzige Möglichkeit, eine Auflösung von Namen<br />
zu IP-Adressen vorzunehmen. Deshalb ist dieser Dienst auch im globalen Internet für<br />
die Namensauflösung zuständig. Die Namen sind hierarchisch strukturiert, deshalb<br />
müssen nacheinander folgende Aktionen durchgeführt werden:<br />
• neuen Server angeben,<br />
• dazu zugeordnet: neue Zone oder Domäne angeben,<br />
• dazu zugeordnet: Host einrichten.<br />
DNS-Server-Dienst hinzufügen<br />
In der Systemsteuerung „Netzwerk“ öffnen und Register Dienste auswählen. Dann<br />
den Button „Hinzufügen“ anklicken, woraufhin dann das Dialogfenster „Auswahl<br />
Netzwerkdienste“ erscheint. Aus dieser Liste „Microsoft DNS-Server“ auswählen und<br />
sie Schaltfläche „OK“ zur Bestätigung anklicken. Die Register-Gruppe „Netzwerk“<br />
schließen. Jetzt werden die Bindungen aktualisiert und im Ordner „Verwaltung“<br />
erscheint jetzt das Symbol „DNS-Manager“. Der Computer muß neu gestartet<br />
werden.<br />
DNS-Manager aufrufen<br />
Im Ordner „Verwaltung“ das Symbol „DNS-Manager“ anklicken bzw. im Menü<br />
„Start/Programme/Verwaltung/DNS-Manager“ anklicken. Jetzt aus dem Menü „DNS“<br />
den Menüpunkt „Neuer Server“ auswählen. Hier den Host-Namen oder die IP-<br />
Adresse eintragen und mit „OK“ bestätigen.<br />
DNS-Zonen einrichten<br />
Unter DNS werden Zonen benötigt, eine Zone entspricht einer Domäne. Hierzu wird<br />
im Menü „DNS“ der Menüpunkt „Neue Zone“ ausgewählt und über „Primäre Zone“<br />
der Name der Zone als Domänenname (in der Internet-Form) eingetragen.<br />
Schließlich müssen noch die Hosts mit Namen und IP-Adresse eingegeben werden.<br />
Dazu wird im Menü „DNS“ der Menüpunkt „Neuer Host“ aufgerufen. Damit eine<br />
Auflösung von IP-Adresse zu Hostnamen möglich ist, muß das Kontrollfeld „PTR<br />
Eintrag erzeugen“ aktiviert werden.<br />
13
1.4.2.2 WinS-Dienst einrichten<br />
Auf einem WinS-Server unter <strong>Windows</strong> NT muß das Netzwerkprotokoll TCP/IP und<br />
der Dienst WINS installiert sein. WinS-Server besitzen eine Datenbank, die<br />
Computernamen TCP/IP-Adressen zuordnen. Alle Benutzer können dadurch auf<br />
einfache Weise mit anderen Computern kommunizieren, während gleichzeitig alle<br />
Vorteile von TCP/IP zur Verfügung stehen.<br />
Ein Computer, welcher als WinS-Server installiert ist, sollte eine feste IP-Adresse<br />
zugewiesen bekommen. Außerdem sollte der WinS-Server kein DHCP-Client sein.<br />
Verfügt der WinS-Server über mehrere Netzwerkkarten, so muß sichergestellt sein,<br />
daß die Bindungsreihenfolge der IP-Adressen nicht beeinträchtigt wird.<br />
WinS-Dienst hinzufügen<br />
In der Systemsteuerung „Netzwerk“ öffnen und Register Dienste auswählen. Dann<br />
den Button „Hinzufügen“ anklicken, woraufhin dann das Dialogfenster „Auswahl<br />
Netzwerkdienste“ erscheint. Aus dieser Liste „Microsoft WinS-Dienst“ auswählen und<br />
sie Schaltfläche „OK“ zur Bestätigung anklicken. Die Register-Gruppe „Netzwerk“<br />
schließen. Jetzt werden die Bindungen aktualisiert und im Ordner „Verwaltung“<br />
erscheint jetzt das Symbol „WinS-Manager“. Der Computer muß neu gestartet<br />
werden.<br />
WinS-Manager aufrufen<br />
Im Ordner „Verwaltung“ auf das Symbol „WinS-Manager“ oder im Menü „Start/<br />
Programme/Verwaltung/“ auf WinS-Manager mit der Maustaste klicken. Im Menü<br />
„Server“ jetzt den Menüpunkt „WinS-Server hinzufügen“ auswählen. Hier den Host-<br />
Namen oder die IP-Adresse eingeben und mit „OK“ bestätigen.<br />
1.4.2.3 DHCP-Server<br />
Auf einem DHCP-Server muß das Netzwerkprotokoll TCP/IP und der DHCP-Server<br />
installiert sein. Hier kann der Administrator globale und Subnet-spezifische TCP/IP-<br />
Parameter zentral für den gesamten Netzwerkverbund festlegen und Parameter für<br />
die Clients, die reservierte Adressen verwenden, zentral definieren. Für einen Client-<br />
Computer sind keine manuellen TCP/IP-Konfigurationen erforderlich. Die Server<br />
Datenbank enthält folgende Informationen:<br />
• Konfigurationsparameter für die Clients,<br />
14
• gültige IP-Adressen, welche für die Zuweisung verwaltet werden,<br />
• reservierte Adressen für die manuelle Zuweisung,<br />
• Werte für die vom Server angebotene Lease-Dauer.<br />
DHCP-Server hinzufügen<br />
In der Systemsteuerung „Netzwerk“ öffnen und Register Dienste auswählen. Dann<br />
den Button „Hinzufügen“ anklicken, woraufhin dann das Dialogfenster „Auswahl<br />
Netzwerkdienste“ erscheint. Aus dieser Liste „Microsoft DHCP-Server Dienst“<br />
auswählen und sie Schaltfläche „OK“ zur Bestätigung anklicken. Die Register-Gruppe<br />
„Netzwerk“ schließen. Jetzt werden die Bindungen aktualisiert und im Ordner<br />
„Verwaltung“ erscheint jetzt das Symbol „DHCP-Manager“. Der Computer muß neu<br />
gestartet werden.<br />
DHCP-Manager aufrufen<br />
Über das Menü „Start/Programme/Verwaltung“ den DHCP-Manager aufrufen und im<br />
dortigen Menü „Server“ den Menüpunkt „Hinzufügen“ auswählen. Hier den Host-<br />
Namen oder die IP-Adresse eintragen und mit „OK“ bestätigen.<br />
Mit diesen Schritten wurde ein Computer im Netzwerk als DHCP-Server bestimmt.<br />
Damit dieser Server seiner Funktion gerecht werden kann, muß ihm ein Pool von<br />
TCP/IP-Adressen zur Verfügung gestellt werden, die er den Clients zur Verfügung<br />
stellen kann.<br />
DHCP-Adresspool erstellen<br />
Im Menü „Start/Programme/Verwaltung“ den DHCP-Manager aufrufen und im<br />
Listenfeld „DHCP-Server“ den gewünschten Server anklicken. Im darauf<br />
erscheinenden Menü wird „Bereich erstellen“ ausgewählt und die Anfangs- und<br />
Endadresse des Pools eingegeben. Jetzt muß noch die Subnet-Maske eingetragen<br />
werden und – falls notwendig – die Ausschlußbereiche eingegeben werden. Die<br />
„Dauer der Lease“ entspricht die Dauer der Vergabe einer Adresse und kann in<br />
Tagen, Stunden und Minuten angegeben bzw. auf „unbegrenzt“ gesetzt werden.<br />
Jetzt noch Name und Beschreibung eintragen und mit das Ganze mit „OK“<br />
bestätigen.<br />
15
1.4.3 IPX/SPX<br />
Damit eine Verbindung zu Novell-Netware möglich ist,, muß das Protokoll IPX/SPX<br />
installiert werden.<br />
1.4.3.1 NWLink installieren<br />
In der Systemsteuerung „Netzwerk“ öffnen und Register Dienste auswählen. Dann<br />
den Button „Hinzufügen“ anklicken, woraufhin dann das Dialogfenster „Auswahl<br />
Netzwerkdienste“ erscheint. Aus dieser Liste „NWLink IPX/SPX kompatibler<br />
Transport“ auswählen und sie Schaltfläche „OK“ zur Bestätigung anklicken. Die<br />
Register-Gruppe „Netzwerk“ schließen. Jetzt werden die Bindungen aktualisiert.<br />
Wurde zuvor RAS installiert, wird beim installieren des Protokolls angeboten RAS für<br />
NWLink zu installieren. Mit dem NWLink IPX/SPX-Protokoll wird das NWLink<br />
NetBIOS-Protokoll geladen. Damit der Dienst „Gateway Service für Netware“ geladen<br />
werden kann, muß das IPX/SPX-Protokoll eingebunden sein.<br />
1.4.3.2 NWLink konfigurieren<br />
In der Registergruppe „Netzwerk“ das Register „Bindungen“ anwählen. Die Protokolle<br />
werden nun an eine Netzwerkkarte gebunden, erst danach kann das Protokoll<br />
konfiguriert werden. Jetzt im Register „Protokolle“ „NWLink IPX/SPX“ auswählen und<br />
die Schaltfläche „Eigenschaften“ anklicken, woraufhin die Registergruppe<br />
„Eigenschaften von NWLink IPX/SPX“ erscheint. Im Register „Allgemein“ wird die<br />
interne Netzwerknummer, das ist die Netzwerknummer von Netware, eingegeben. Im<br />
Listenfeld „Netzwerkkarte“ die Netzwerkkarte heraussuchen, an welche die<br />
Einstellung gebunden werden soll. Jetzt muß noch das Optionsfeld „Rahmenfeld<br />
automatisch erkennen“ oder „Rahmentyp manuell eingeben“ ausgewählt, bzw.<br />
eventuell ein Rahmentyp hinzugefügt werden. Rahmentypen sind 802.2 oder 802.3<br />
oder Ethernet II oder Ethernet Swap. Das Kontrollfeld „Routing“ wird automatisch<br />
aktiviert, wenn im Register „Dienste“ der Dienst „RIP für NWLink IPX“ geladen wurde.<br />
Der Computer muß nach der Installation neu gestartet werden.<br />
1.4.3.3 Gateway Service für NetWare (GSNW) konfigurieren<br />
GSNW einfügen<br />
16
In der Systemsteuerung „Netzwerk“ öffnen und Register Dienste auswählen. Dann<br />
den Button „Hinzufügen“ anklicken, woraufhin dann das Dialogfenster „Auswahl<br />
Netzwerkdienste“ erscheint. Aus dieser Liste „Gateway Service für Netware“<br />
auswählen und sie Schaltfläche „OK“ zur Bestätigung anklicken. Die Register-Gruppe<br />
„Netzwerk“ schließen. Jetzt werden die Bindungen aktualisiert und im Ordner<br />
„Verwaltung“ erscheint jetzt das Symbol „GSNW“. Der Computer muß neu gestartet<br />
werden.<br />
Ist dieser Dienst gestartet, so wird der Server, auf dem er läuft, ein Gateway zu<br />
einem Novell-Server. Der NT-Server muß hierfür jedoch über eine Netzwerkkarte an<br />
das Novell-Netz angeschlossen sein. Die Clients, die an diesem NT-Server<br />
angeschlossen sind, können dann auf das Novell-Server zugreifen.<br />
Im Novell-Netz müssen die Benutzer, die über das Gateway zugreifen, auch die<br />
erforderlichen Rechte besitzen.<br />
GSNW konfigurieren<br />
Aus dem Ordner „Systemsteuerung“ „GSNW“ aufrufen. In dem daraufhin<br />
erscheinenden Dialogfenster mit verschiedenen Optionsfeldern.<br />
In dem Optionsfeld „Bevorzugter Server“ wird der Name des bevorzugten Servers<br />
eingegeben. Wird hier „Keiner“ eingetragen, so wird der nächste verfügbare Server<br />
zur Anmeldung genutzt.<br />
Das Optionsfeld „Standardstruktur und –kontext“ muß ausgewählt werden, wenn<br />
unter Novell eine NDS eingerichtet ist. Die entsprechenden Angaben von NetWare<br />
sind dann erforderlich.<br />
Im Optionsfeld „Drucken“ die gewünschten Listenfelder aktivieren/deaktivieren. Das<br />
Optionsfeld „Anmeldeskript ausführen“ ist für die Anmeldung an NetWare zu<br />
aktivieren. Mit dem Button „Überblick“ wird das Hilferegister aufgerufen.<br />
Über den Button „Gateway“ wird das Dialogfenster „Gateway konfigurieren“<br />
aufgerufen. Über das Kontrollfeld „Gateway aktivieren“ wird das Gateway auf dem<br />
NT-Server aktiviert. Im Listenfeld „Gateway-Konto“ erfolgt die Eingabe des<br />
Benutzernamens. Das Konto muß auf dem NT-Server Mitglied der Gruppe<br />
„NTGATEWAY“ sein und auf dem NetWare-Server vorhanden sein. In den<br />
Listenfeldern „Kennwort“ und „Kennwort bestätigen“ wird das entsprechende<br />
17
Kennwort eingegeben. Ist das Gateway aktiviert, so können in dem<br />
darunterliegendem Listenfeld freigaben erfolgen.<br />
Der „Freigabename“ der Novell Ressourcen kann bis zu 8 Zeichen (MS-DOS) oder<br />
bis zu 12 Zeichen lang sein. Der „Netzwerkpfad“ auf dem Novell-Server hat das<br />
Format „\\\“. Jetzt kann noch ein „Kommentar“ für<br />
Benutzer eingefügt werden. Über das Listenfeld „Laufwerk-Buchstabe“ wird ein<br />
Laufwerkbuchstabe mit der Ressource verbunden. Mit der „Benutzerbegrenzung“<br />
kann die Anzahl der maximal gleichzeitig zu bedienenden Benutzer dieser Ressource<br />
festgelegt werden.<br />
Client Service für NetWare (CSNW)<br />
Über diesen Dienst kann eine <strong>Windows</strong> NT 4-Workstation auf einen Novell-Server<br />
zugreifen. Bei <strong>Windows</strong> NT 4-Server ist dieser Dienst im Gateway-Service enthalten.<br />
Jeder Client, der auf einen Novell-Server zugreifen möchte, muß unter NetWare ein<br />
Benutzerkonto besitzen.<br />
1.4.4 DLC Protokoll und Remote-Boot<br />
DLC:<br />
Data Link Control Protocol<br />
1.4.4.1 Allgemeines und Voraussetzungen<br />
Das DLC-Protokoll ist auf <strong>Windows</strong> NT 4 für den Remote-Boot-Dienst erforderlich.<br />
Um diesen Dienst zu aktivieren, muß zuvor das „DLC-Protokoll“ und der „Remote-<br />
Boot-Dienst“ auf dem Server installiert sein. Hierzu müssen Dateien von der Original-<br />
CD kopiert werden. Nachdem das Protokoll und der Dienst kopiert wurden, befinden<br />
sich im Ordner „Verwaltung“ der „Remote-Boot-Manager“. Mit ihm lassen sich<br />
Arbeitsstationen erstellen. Damit die Station erstellt werden kann, muß der<br />
betreffende Computer angeschlossen und eingeschaltet sein. Im Remote-Boot-<br />
Manager müssen zuerst Profile der Arbeitsstationen erstellt werden, erst dann<br />
können die Arbeitsstationen erstellt werden.<br />
Der Remote-Dienst kopiert Dateien der verfügbaren Betriebssysteme auf die<br />
Festplatte des Servers und lädt die Software beim Booten einer Arbeitsstation nicht<br />
von der lokalen Festplatte, sondern von der Festplatte des Servers. Damit lassen<br />
sich Arbeitsstationen ohne Laufwerke realisieren. Arbeitsstationen ohne Laufwerke<br />
haben in bestimmten Bereichen Vorteile:<br />
18
• der Computer steht in einem öffentlich zugänglichen Bereich und ist für den<br />
Zugriff der Öffentlichkeit bestimmt<br />
• vereinfachte, zentrale Aktualisierung der Software<br />
• verringerte Kosten bei Anschaffung von standardisierten Arbeitsstationen<br />
• kopieren von Daten oder das Einschleusen von Viren ist erschwert.<br />
Ein Computer muß für einen Remote-Boot mit einer Netzwerkkarte ausgerüstet sein,<br />
auf der sich ein Boot-Eprom befindet. Remote-Boot ist nur unter den<br />
Betriebssystemen DOS, <strong>Windows</strong> 3.1x und <strong>Windows</strong> 95 möglich.<br />
1.4.4.2 Remote-Boot konfigurieren<br />
Der Remote-Boot-Dienst wird nicht automatisch gestartet, er muß über das Symbol<br />
„Dienste“ in der Systemsteuerung auf „automatisch“ gestellt werden. Der Dienst kann<br />
auch über die Kommandozeile „net start remoteboot“ manuell gestartet bzw. mit „net<br />
stop remoteboot“ beendet werden.<br />
Arbeitsstation vorbereiten<br />
Zuerst werden die Daten vom Server auf eine formatierte MS-Dos-Diskette mit dem<br />
Befehl „copy :\winnt\rpl\rplfiles\binfiles\binr\rpl??abl.exe a:“ kopiert. Dann<br />
wird die Arbeitsstation über eine Diskette gebootet, die vorbereitete Diskette<br />
eingelegt und „a:\rplenabl“ an der Eingabeaufforderung eingegeben. Die<br />
Informationen werden angezeigt und das ROM auf der Netzwerkkarte initialisiert. Das<br />
Programm „rpldsabl.exe“ auf der Diskette deaktiviert die Konfiguration wieder, und<br />
eine eventuell vorhandene Festplatte ist dann wieder zugänglich.<br />
Bevor jedoch eine Arbeitsstation eingerichtet wird, muß auf dem Server dafür ein<br />
Profil hergestellt werden. Hierfür ist es erforderlich, daß die Arbeitsstation in der oben<br />
beschriebenen Weise vorbereitet und an das Netz angeschlossen ist.<br />
Profil der Arbeitsstation auf dem Server erstellen<br />
Aus der Systemsteuerung über „Dienste“ den „Remote-Boot-Dienst“ auswählen und<br />
Button „Startart“ anklicken. Jetzt wird die Startart über das entsprechende<br />
Optionsfeld auf „automatisch“ gesetzt und mit „OK“ bestätigt. Jetzt mit dem Button<br />
„Starten“ den Dienst starten und das Dialogfenster „Dienste“ schließen.<br />
19
Über das Startmenü „Start/Programme/Verwaltung“ den Remote-Boot-Manager<br />
starten. Im dortigen Menü „Remote-Boot“ „Neues Profil“ auswählen.<br />
In dem erscheinenden Dialogfenster Profilname und Beschreibung (maximal 16<br />
Zeichen !) in die entsprechenden Listenfelder eintragen. Im Listenfeld „Konfiguration“<br />
können die verfügbaren Betriebssysteme mit den Netzwerkkarten für die<br />
Arbeitsstationen hier ausgewählt werden. Mit „OK“ alles bestätigen und Dialogfenster<br />
schließen.<br />
Über den Menüpunkt „Remote-Boot“ jetzt „Neue Arbeitsstation“ anwählen. Es<br />
erscheint wiederum ein neues Dialogfenster „Neue Remote-Boot-Arbeitsstation“. In<br />
das Listenfeld „Adapter ID“ wird die eindeutige Nummer der Netzwerkkarte, die in<br />
dem Computer eingebaut ist, eingetragen. In das Listenfeld „Arbeitsstationsname“<br />
wird der Arbeitsstation ein im Netz eindeutiger Name zugeteilt, mit dem die<br />
Arbeitsstation im Netz angesprochen werden kann. Das Listenfeld „Beschreibung“<br />
erhält einen kurzen Kommentar, der auf allen Stationen vom Computersuchdienst<br />
angezeigt wird. Im Listenfeld „Kennwort“ wird das Kennwort für das Einrichten der<br />
Arbeitsstation eingetragen (nicht das Benutzer-Kennwort). Im Listenfeld „Profil wird<br />
das entsprechende Profil ausgewählt. Jetzt muß nur noch das TCP/IP-Feld ausgefüllt<br />
werden und das ganze mit „Hinzufügen“ bestätigt werden.<br />
1.4.4.3 Menü des Remote-Boot-Managers<br />
• Menüpunkt Remote-Boot / Adapter konvertieren<br />
Der Client ist gestartet, die Adapter-ID wird geholt, für die Datenbank müssen<br />
noch die restlichen Daten eingetragen werden.<br />
• Menüpunkt Remote-Boot / Eigenschaften<br />
Zeigt die Eigenschaften einer zuvor ausgewählten Arbeitsstation oder eines<br />
Profils an<br />
• Menüpunkt Remote-Boot / Fokus setzen<br />
Der Remote-Server befindet sich auf einer anderen Station, den Namen dieses<br />
Servers eintragen<br />
• Menüpunkt Konfiguration / Sicherheit überprüfen<br />
Ausführen des Befehls nach der Installation<br />
20
• Menüpunkt Konfiguration / Konfiguration überprüfen<br />
Die Konfiguration aus Betriebssystem und Netzwerkkarte wird überprüft. Nach<br />
der Installation sollte dieser Befehl ausgeführt werden.<br />
• Menüpunkt Konfiguration / Datenbank sichern<br />
Die Daten des Remote-Boot-Managers werden gespeichert.<br />
1.5 Einrichten von Clients mit unterschiedlichem<br />
Betriebssystem<br />
1.5.1 Netzwerk-Client-Manager<br />
Der Netzwerk-Client-Manager unterstützt die Installation von Clients, die unter<br />
Microsoft-Betriebssystemen auf x86- bzw. Pentium-Prozessoren laufen.<br />
Die Client-Software, die von <strong>Windows</strong> NT Server auf die Arbeitsstationen kopiert<br />
wird, ist identisch mit der Software des LAN-Managers unter der Version 3.0.<br />
Benutzer des LAN-Managers können die Arbeitsstationen damit einrichten.<br />
Die Original <strong>Windows</strong>NT-Server-CD enthält Installationsdateien für folgende<br />
Betriebssysteme:<br />
• LAN-Manager für MS-DOS<br />
• LAN-Manager für OS/2<br />
• NetWare-Client für MS-DOS<br />
• RAS für MS-DOS<br />
• <strong>Windows</strong> 95<br />
• TCP/IP-32 für <strong>Windows</strong> für Workgroups<br />
Verwaltungsprogramme dazu:<br />
• clientbasiertes Netzwerk-Verwaltungsprogramme für <strong>Windows</strong> NT<br />
• clientbasiertes Netzwerk-Verwaltungsprogramme für <strong>Windows</strong> 95<br />
21
1.6 Sicherheitssystem<br />
<strong>Windows</strong> NT entspricht dem Sicherheitsstandard C2, der Voraussetzung ist, um bei<br />
amerikanischen Behörden eingesetzt zu werden. Dies gilt jedoch nur, wenn das<br />
Dateisystem NTFS eingesetzt wurde.<br />
1.6.1 Sicherheitseinrichtungen<br />
Der C2-Standard ist durch mehrere Maßnahmen realisiert:<br />
• eigenes Dateisystem NTFS,<br />
• Sicherheitssubsystem im Betriebssystem,<br />
• Zugangskontrolle und Logon,<br />
• Anwenderkonten und Gruppeneinrichtungen,<br />
• Überwachung durch einen Sicherheitsmonitor.<br />
Das Sicherheitssubsytem beinhaltet zwei Methoden:<br />
• Objekte werden durch jemanden kontrolliert, der Zugriffsrechte auf dieses<br />
Objekt hat, z.B. der Eigentümer einer Datei, der Administrator für<br />
Anwenderkonten usw.<br />
• Zugriffe, die das Sicherheitssystem betreffen, werden protokolliert und können<br />
über die „Ereignisanzeige“ angezeigt werden.<br />
1.6.2 <strong>Windows</strong> NT-Sicherheits-Fenster<br />
Die Tastenkombination „STRG“+“ALT“+“ENTF“ ruft dieses Fenster auf, in welchem 6<br />
Optionen zur Verfügung stehen:<br />
1) Arbeitsstation sperren<br />
• Sperrt den Bildschirm ab, wenn der Arbeitsplatz verlassen werden muß.<br />
Zugang ist erst dann wieder möglich, wenn der angemeldete Anwender sein<br />
Kennwort eingibt oder der Administrator die Anmeldesperre aufhebt.<br />
• Werden die Tasten „STRG“+“ALT“+“ENTF“ gedrückt, erscheint das<br />
Anmeldefenster mit der Aufforderung zur Kennworteingabe<br />
2) Kennwort ändern<br />
22
• Über diese Funktion kann ein angemeldeter Anwender sein eigenes Paßwort<br />
ändern. Hierfür muß zunächst das alte, dann das neue und zur Sicherheit<br />
nochmals das neue Kennwort angegeben werden.<br />
3) Abmelden<br />
• Führt die Abmeldung am Computer durch. Sämtliche laufenden Anwendungen<br />
werden geschlossen. Mit dieser Art des Abmeldens sollte vorsichtig<br />
umgegangen werden, da dies unter Umständen zu Datenverlust bei nicht<br />
geschlossenen Anwendungen führt.<br />
Vor dem endgültigen Abmelden wird eine Sicherheitsabfrage ausgegeben.<br />
Über die Schaltfläche „Abbrechen“ kann das Abmelden abgebrochen werden<br />
4) Task-Manager<br />
• Ruft den Task-Manager auf<br />
5) Herunterfahren<br />
• Führt einen Systemabschluß durch, wobei wahlweise ein Neustart des<br />
Computers durchgeführt werden kann<br />
6) Abbrechen<br />
• Löscht das Fenster „<strong>Windows</strong> NT-Sicherheit“, der Desktop wird in seiner<br />
vorherigen Form wiederhergestellt.<br />
1.7 Service Packs<br />
Es existieren drei Service Packs:<br />
Datei Verzeichnis Beschreibung<br />
Sp1_400i.exe /ussp1/i386 Service Pack 1<br />
Sp2_400i.exe /ussp2/i386 Service Pack 2 (≈14 MB)<br />
<strong>Nt</strong>4sp3_i.exe /ussp3/i386 Service Pack 3 (≈18 MB)<br />
Die Servicepacks haben alle etwas gemeinsam: für jedes Loch was sie stopften,<br />
schufen sie mindestens ein neues. Daher gilt immer noch die alte Regel: Bricht das<br />
System nicht zusammen, fix es nicht!<br />
23
Die Service Packs beheben unterschiedliche Probleme, d.h. man sollte bei Bedarf<br />
die Service Packs der Reihe nach aufspielen.<br />
1.7.1 Service Pack 1 und seine Hotfixes<br />
Datei Verzeichnis Microsoft Artikel-Nr.<br />
KRNL40I.EXE /32proc-fix Q140065<br />
AFD40I.EXE /afd-fix Q140059<br />
CDFS40I.EXE /cdfs-fix Q142687<br />
NDIS40I.EXE /mcanet-fix Q156324<br />
NTIS40I.EXE /ndis-fix Q142903<br />
NTBCKUOI,EXE /NTBackup-fix Q142671<br />
NTVDM40I.EXE /ntvdm-fix Q134126<br />
PCM40_I.EXE /pcmcia-fix Q108261<br />
SPX40I.EXE /spx-fix Q153665<br />
SYN40I.EXE /syn-attack Q142641<br />
NTFS40.I.EXE /toshiba-fix Q150815<br />
STONE97I.EXE /winstone97 Q141375<br />
1.7.2 Service Pack 2 und seine Hotfixes<br />
Datei Verzeichnis Microsoft Artikel-Nr.<br />
ALPHA40.EXE /Alpha-fix Q156410<br />
DNS40I.EXE /dns-fix Q142047, Q162927<br />
IISFIX.EXE /iis-fix Q163485, Q164059<br />
KRNL40I.EXE /krnl-fix Q135707, Q141239<br />
TCP40I.EXE /oob-fix Q143478<br />
RAS40I.EXE /ras-fix Q161368<br />
RPC40I.EXE /RPC-fix Q159176, Q162567<br />
24
SECFIX.EXE /sec-fix Q143474<br />
SERIALI.EXE /serial-fix Q163333<br />
SETUPDI.EXE /setupdd-fix Q143473<br />
SFMSRVI.EXE /sfmsrv-fix Q161644<br />
WTCP40I.EXE /TCPIP-fix Q163213<br />
1.7.3 Service Pack 3 und seine Hotfixes<br />
Datei Verzeichnis Microsoft Artikel-Nr.<br />
ASPFIX.EXE /asp-fix Q165335<br />
DNSFIX_I.EXE /dns-fix Q140247<br />
ADMNFIXI.EXE /getadmin-fix Q146965<br />
ICMPFIXI.EXE /icmp-fix Q154174<br />
IIIS-FIXI.EXE /iis-fix Q143484<br />
JAVAFIXI.EXE /java-fix Q168748<br />
DISBLLMI.EXE /lm-fix Q147706<br />
LSA-FIXI.EXE /lsa-fix Q154087<br />
OOBFIX_I.EXE /oob-fix Q143478<br />
W32KFIXI.EXE /dblclick-fix Q170510<br />
CHARGENI.EXE /simptcp-fix Q154460<br />
ZIP-FIXI.EXE /zip-fix Q154094<br />
2 WINDOWS NT Start<br />
2.1 Startvorgang<br />
• Das BIOS liest und lädt den Master Boot Record<br />
• Der Master Boot Record ermittelt die System-Partition<br />
• Die Datei NTLDR übernimmt den Boot-Vorgang<br />
25
• NTLDR liest die BOOT.INI und stellt dem Anwender die vorhandenen<br />
Betriebssysteme zur Auswahl<br />
• Wählt der Anwender als System nicht <strong>Windows</strong> NT, wird die Datei<br />
BOOTSECT.DOS aufgerufen; sie enthält den früheren Boot-Sektor für DOS oder<br />
<strong>Windows</strong><br />
• Als nächstes läuft die Hardware-Erkennung über NTDETECT.COM; sie übergibt<br />
Infos an NTLDR, damit die Werte in „HKEY_LOCAL_MACHINE\HARDWARE“<br />
eingetragen werden<br />
• Wird von einer SCSI-Platte gebootet wird jetzt NTBOOTDD.SYS geladen<br />
• Anschließend kann der Anwender die Hardware-Profile auswählen<br />
• NTOSKRNL.EXE übernimmt nun den restlichen Startvorgang (Blue Screen, nicht<br />
Systemabsturz); diese Datei lädt HAL.DLL (HAL = Hardware Abstraction Layer),<br />
führt die Dienste aus und liest die Registry<br />
• Nach Anmelden des Anwenders ist <strong>Windows</strong> NT bereit<br />
2.1.1 Bootmanager<br />
Die früheste Möglichkeit, den Startvorgang von <strong>Windows</strong> NT zu beeinflussen, ist der<br />
Bootmanager. Über ihn bestimmt der Anwender beim Start, welches Betriebssystem<br />
hochfahren soll.<br />
Einige Einstellungen am Boot-Menü werden über den System-Eigenschaften-Dialog<br />
gesteuert. Dieser wird geöffnet, indem mit der rechten Maustaste auf das<br />
Arbeitsplatz-Symbol geklickt wird und aus dem Kontextmenü der Punkt<br />
„Eigenschaften“ ausgewählt wird. Auf der Registerkarte „Starten/Herunterfahren“<br />
kann die Zeit in Sekunden angegeben werden, in welcher das Boot-Menü zu sehen<br />
ist. Unter „Autostart“ wird ausgewählt, welches Betriebssystem nach Ablauf der Zeit<br />
automatisch hochfährt.<br />
Weitere Optionen bietet das Editieren der „BOOT.INI“ (vorher den Schreibschutz<br />
entfernen!). Im Bereich [boot loader] kann mit dem Befehl „timeout=“ die Wartezeit<br />
des Boot-Managers ausgeschaltet werden, indem hier der Wert auf „-1“ gesetzt wird.<br />
26
Der Start von <strong>Windows</strong> NT kann auch mit diversen Schaltern beeinflußt werden.<br />
Diese Schalter brauchen lediglich hinter der Pfadangabe zu <strong>Windows</strong> NT in der<br />
Rubrik [operating systems] angefügt zu werden:<br />
• /SOS – Wenn NT startet, sieht man nicht, welche Treiber es lädt. Dies wird<br />
geändert , wenn der Schalter /SOS an die Zeile multi(0)disk(0)rdisk(0)<br />
partition(2)\WINNT=“<strong>Windows</strong> NT Workstation, version <strong>4.0</strong>“ angehängt wird.<br />
<strong>Windows</strong> NT zeigt dann alle Treiber an, die erfolgreich geladen werden<br />
konnten.<br />
• /BASEVIDEO – Dieser Befehl bewirkt, daß <strong>Windows</strong> NT nur den Standard-<br />
VGA-Grafiktreiber lädt.<br />
• /MAXMEM:xy – Mit der Variablen „xy“ dieses Schalters wird festgelegt,<br />
wieviel Hauptspeicher <strong>Windows</strong> NT belegen darf. Sinnvoll ist dieser Schalter,<br />
wenn der Verdacht besteht, daß ein Speicher-Chip defekt ist.<br />
• /DEBUG – Mit „debug“ wird der Kernel-Debugger beim Booten in den<br />
Arbeitsspeicher geladen<br />
• /crashdebug – Mit „crashdebug“ wird dem System mitgeteilt, das der Kernel-<br />
Debugger geladen, aber in die Swappartition ausgelagert werden soll<br />
• /debugport – Hier wird dem System gesagt, welcher Com-Port (Default<br />
COM 2) beim debuggen des Systems benutzt werden soll<br />
• /baudrate – legt die Baudrate fest (Default 19200, besser ist jedoch 9600)<br />
Beispiel für Debug-Eintrag in die BOOT.INI:<br />
[oerating systems]<br />
multi(0)disk(0)rdisk(0)partition(0)\<strong>Windows</strong>=“<strong>Windows</strong>NT“<br />
/debug /debugport=com3 /baudrate=9600<br />
Aufschluß über den Debug-Code gibt der Knowledge-Base Artikel von Microsoft:<br />
http://www.microsoft.com/kb/articles/q103/0/59.htm<br />
2.1.2 Hardware-Profile<br />
Bevor Hardware-Profile angelegt werden können, muß zuerst der Plug&Play Dienst<br />
von <strong>Windows</strong> installiert werden. Der Dienst findet sich auf der Installations-CD im<br />
27
Ordner „DRVLIB\PNPISA\“ als Datei „PNPISA.INF“. Diese Datei mit der rechten<br />
Maustaste anklicken und „Installieren“ wählen. Anschließend startet das System neu.<br />
(Sicherheitshalber vergewissern, daß im Dialog „Dienste“ der Systemsteuerung der<br />
Service Plug&Play gestartet ist.)<br />
Um jetzt Hardware-Profile anlegen zu können, muß der Dialog „Systemsteuerung“<br />
geöffnet werden. Auf der Registerkarte „Hardwareprofile“ findet sich eine Liste der<br />
aktuellen Hardware-Profile des Rechners. Einen Button „Neu“ gibt es nicht, ein<br />
vorliegendes Profil muß kopiert und bearbeitet werden.<br />
Anschließend können in der Systemsteuerung in den Menüs „Geräte“ und „Dienste“<br />
genau bestimmt werden, welche Dienste und Geräte für das aktuelle Hardware-Profil<br />
gelten soll (Button „HW-Profile“).<br />
2.1.3 Standard-Installationspfad ändern<br />
Falls ein neues Laufwerk installiert wurde, verschiebt sich in der Regel auch der<br />
Buchstabe des CD-ROM-Laufwerkes. Mit „REGEDT31.EXE“ kann der neue<br />
Standardpfad für die Installation angegeben werden: unter<br />
„HKEY_LOCAL_MACHINE\SOFTWARE\Microsofft\<strong>Windows</strong>NT\CurrentVersion\“ ist<br />
hierzu nur der Eintrag „Source Path“ zu ändern.<br />
2.2 Winlogon<br />
Die interessantesten Ergebnisse erzielt man nur über einen Eingriff in die Registry.<br />
Hierzu im Menü „Start“ den Dialog „Ausführen“ wählen, dort den Befehl<br />
„REGEDT31.EXE“ eingeben. Die Ordner im linken Fenster sind die Schlüssel der<br />
Registry.<br />
Für das Anmelden ist der Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>Windows</strong><br />
NT\CurrentVersion\Winlogon“ verantwortlich. Über ihn wird der Logon-<br />
Dialog beeinflußt.<br />
2.2.1 Nachricht beim Einloggen<br />
Sollen die Anwender eine Nachricht beim Starten erhalten, kann <strong>Windows</strong> NT eine<br />
Dialog-Box vor dem Logon-Screen ausgeben. <strong>Windows</strong> NT hat dazu im Schlüssel<br />
„Winlogon“ die Einträge „LegalNoticeCaption“ und „LegalNoticeText“. Als Werte<br />
28
dieser Einträge wird der Nachrichten-Text genommen: LegalNoticeCaption speichert<br />
die Überschrift der Dialogbox, LegalNoticeText die Meldung selbst.<br />
2.2.2 Automatisches Anmelden<br />
Bei einem Einzelplatzsystem macht es Sinn, das Anmelden beim Start zu umgehen.<br />
Hierzu muß der Eintrag „AutoAdminLogon“ im Schlüssel Winlogon als Zeichenfolge<br />
eingefügt werden. Anschließend wird dieser Wert auf „1“ gesetzt. Der Wert des<br />
Eintrags „DefaultUserName“ muß den Anmelde-Namen enthalten (besitzt dieser<br />
Name keine Administrator-Rechte, kann diese Änderung nicht rückgängig gemacht<br />
werden). Wenn jetzt der Eintrag „DefaultDomain“ den richtigen Wert besitzt, wird der<br />
Eintrag „DefaultPassword“ als Zeichenfolge angelegt und in dessen Wert das<br />
Paßwort geschrieben.<br />
2.2.3 Checkdisk beim Start<br />
Im Schlüssel „HKEY_LOCAL_MACHINE\System\CurrentContolSet\Control\Session<br />
Manager“ findet sich der Eintrag „BootExecute“. In ihm stehen binär verschlüsselt die<br />
Befehle, die beim Starten von NT ausgeführt werden. Klickt man zweimal auf den<br />
Wert, können im folgenden Dialog auf der rechten Seite der Text der Binär-Zahlen<br />
gelesen werden: autocheck autochk *.<br />
Hier muß der Befehl „autocheck /P * „ angehangen werden. Wichtig ist das<br />
Leerzeichen zwischen dem Schalter „/P“ und dem Stern.<br />
2.3 System <strong>Windows</strong> NT<br />
• HAL: Der Hardware Abstraction Layer (HAL) hat die Aufgabe, den restlichen<br />
Modulen von <strong>Windows</strong> NT eine gleiche Schnittstelle für verschiedene Hardware-<br />
Komponenten zu liefern. Bis auf wenige Ausnahmen greift NT ausschließlich über<br />
den HAL auf Hardware zu. Der HAL ist eine DLL, sie findet sich im Ordner<br />
„WINNT\SYSTEM32\“ als Datei „HAL.DLL“. Allerdings gibt es auch Teile des<br />
Betriebssystems, die den HAL bewußt umgehen. So greifen beispielsweise<br />
Grafiktreiber und CD-ROM-Treiber direkt auf ihre Geräte zu.<br />
• Kernel: Der Kernel ist das Herzstück von <strong>Windows</strong> NT und ist als DLL in das<br />
System eingebettet. Die Datei „KERNEL32.DLL“ liegt im Ordner<br />
„WINNT\SYSTEM32\“. Der Kernel verteilt die Aufgaben an den Prozessor. So<br />
29
estimmt er genau, welche Anwendungen zu welcher Zeit den Prozessor nutzen<br />
dürfen. dabei geht der Prozessor nach einer strikten Prioritäten-Verteilung vor.<br />
Gleichzeitig kümmert er sich noch um die Behandlung von Interrupts.<br />
2.3.1 Executive<br />
• Objektmanager: Objekte sind Datenstrukturen. So eine Datenstruktur kann zum<br />
Beispiel eine Datei auf der Festplatte sein oder der Prozeß eines Programms. Der<br />
Objektmanager verwaltet diese Datenstrukturen. Er schützt, löscht und lokalisiert<br />
Objekte.<br />
• Sicherheitsmanager: Dieser Teil der Executive ist für die Sicherheit von<br />
<strong>Windows</strong> NT verantwortlich. Er überprüft das Anmelden von Benutzern und<br />
überwacht die Freigabe von Ordnern und Dateien.<br />
• Prozeßmanager: Er ist verwaltet die Anwendungen. Von ihm verlangt die<br />
Software den Start eines Prozesses und dessen Threads. Der Prozeßmanager<br />
arbeitet eng mit dem Objektmanager zusammen.<br />
• LPC-Dienste: Auch die unterschiedlichen Prozesse und Abläufe eines<br />
Programms oder des Betriebssystems müssen Daten miteinander austauschen.<br />
Die Local-Procedure-Dienste (LPC) ermöglichen diese Kommunikation.<br />
• VM-Manager: VM steht für Virtual Memory. Braucht eine Anwendung mehr<br />
Hauptspeicher als RAM-Bausteine vorhanden sind, schafft der VM-Manager<br />
einen virtuellen Speicher: was an Daten nicht benötigt wird, lagert der VM-<br />
Manager auf die Festplatte aus und kann so einen virtuellen Speicher bis zu 2<br />
GByte verwalten – eine entsprechende Festplatte vorausgesetzt. Informationen<br />
über den virtuellen Speicher gibt der Task-Manager. In der Registrierkarte<br />
„Systemleistung“ findet man unter „Zugesicherter virtueller Speicher“ genaue<br />
Auskunft“.<br />
• I/O-Manager: Dieser Teil des Betriebsystems kümmert sich um die<br />
Kommunikation mit den Peripheriegeräten des Rechners. Der I/O-Manager<br />
arbeitet eng mit den Treibern der verschiedenen Hardware-Komponenten<br />
zusammen. Dazu gehören auch die Dateisystem-Treiber von <strong>Windows</strong> NT,<br />
beispielsweise FAT oder NTFS.<br />
30
2.3.2 Subsysteme<br />
• MS-DOS-VDM: Die Abkürzung VDM bedeutet Virtual DOS Machine. Dieses<br />
Modul simuliert die Umgebung von MS-DOS.<br />
• WIN-16-VDM: Für Programme aus den 16-Bit-Zeiten von <strong>Windows</strong> stellt dieser<br />
Teil die Umgebung zur Verfügung.<br />
• WIN-32: Dies ist die eigentliche <strong>Windows</strong>-Umgebung. Sie ermöglicht, daß<br />
<strong>Windows</strong> NT (bis auf wenige Ausnahmen) die gleichen Programme verarbeiten<br />
kann, wie <strong>Windows</strong> 95.<br />
• Posix: Dieses Subsystem führt Programme aus, die dem Unix-Standard Posix<br />
(Portable Operating System Interface for Unix; bildet den kleinsten gemeinsamen<br />
Standard verschiedener Unix-Derivate) entsprechen.<br />
• OS/2: Zum Betriebssystem OS/2 von IBM schafft dieses Subsystem<br />
Kompatibilität.<br />
Da <strong>Windows</strong> NT den Subsystemen einen strikt getrennten Adreßraum im Speicher<br />
zur Verfügung stellt, kann eine abstürzende Anwendung weder ein anderes<br />
Programm geschweige denn das ganze Betriebssystem mit in den Abgrund reißen.<br />
So sorgen die Subsysteme für Stabilität.<br />
3 Tools<br />
3.1 Diagnose-Tools<br />
3.1.1 Dumpexam<br />
Dieses Tool befindet sich auf der Installastions-CD im Ordner „\SUPPORT\DEBUG\<br />
I386“. Die Aufgabe dieses Tools besteht in der Umwandlung der Datei<br />
„MEMORY.DMP“ in die lesbare „MEMMORY.TXT“. In der Datei „MEMORY.DMP“<br />
werden die Informationen nach dem berücksichtigten „Blue Screen“ festgehalten,<br />
sofern die Überwachung aktiviert worden ist.<br />
Um die Überwachung zu aktivieren, mit der rechten Maustaste auf das Symbol<br />
Arbeitsplatz klicken und die Eigenschaften aus dem Kontextmenü. Dann die<br />
Registerkarte „Starten/Herunterfahren“ auswählen. Der Bereich „Wiederherstellung“<br />
31
eschäftigt sich ausschließlich mit der Reaktion auf einen Stop-Fehler. Mit der Option<br />
„Debug Info festhalten in“ speichert <strong>Windows</strong> NT die Meldungen des „Blue Screen“ in<br />
der angegebenen Datei „MEMORY.DMP“ (siehe oben).<br />
In „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl\“ ist<br />
im Eintrag „AutoReboot“ für die Server-Version von <strong>Windows</strong> NT der Wert „1“<br />
eingetragen, d.h. der Rechner führt nach einem Absturz einen System-Neustart<br />
durch. Hier ist es wichtig, sich zu vergewissern, daß im Parameter „OverWrite“<br />
ebenfalls der Wert „1“ steht, so daß das Logfile beim Neustart gelöscht wird. Wurde<br />
OverWrite deaktiviert, LogEvent jedoch eingeschaltet, ist NT Server nicht mehr in der<br />
Lage, eine Datei neu zu schreiben. In diesem Fall gibt NT eine Fehlermeldung aus<br />
und speichert keine weiteren Ergebnisse. Dies kann verhindert werden, indem unter<br />
„HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa“ der Wert „Crash<br />
OnAuditFail“ mit „1“ besetzt wird. Tritt dann beim Speichern des Logfile ein Fehler<br />
auf, bleibt der Rechner stehen und führt auch keinen Neustart durch.<br />
Ein anderes File, „USER.DMP“, wird von Dr. Watson angelegt, wenn ein Programm<br />
abstürzt. Die Syntax für „DUMPEXAM.EXE“ lautet: „dumpexam –y <br />
“, z.B. „dumpexam –y c:\winnt\symbols c:\winnt\<br />
memry.dmp“. Die lesbare Ausgabe erfolgt dann in „%systemroot%\MEMORY.TXT“<br />
3.1.2 NT Hardware-Query<br />
Dieses Tool befindet sich auf der Installastions-CD im Ordner „\SUPPORT\<br />
HQTOOL“. Am besten wird eine Boot-Diskette mit Hardware-Query erzeugt: Zuerst<br />
wird eine Diskette formatiert. Anschließend wird die Stapelverarbeitungsdatei<br />
„MAKEDISK.BAT“ im obengenannten Ordner aufgerufen. Dieses Tool erkennt<br />
unabhängig vom Betriebssystem jedes funktionierende Gerät.<br />
3.2 Fehlerbehebung<br />
3.2.1 NTDETECT.CHK<br />
Erkennt <strong>Windows</strong> NT die Hardware im System nicht mehr korrekt, kann dies an<br />
einem Fehler in dem File „NTDETECT.COM“ liegen. Für diesen Fall hat Microsoft<br />
eine Debug-Version der Datei mitgeliefert, die sich auf der Installations-CD im Ordner<br />
„SUPPORT\I386\DEBUG“ befindet: NTDETECT.CHK. Diese Datei wird in die aktive<br />
32
Partition kopiert, die Datei „NTDETECT.COM“ in „NTDETECT.000“ und<br />
„NTDETECT.CHK“ in „NTDETECT.COM“ umbenannt. Die Debug-Version von<br />
NTDETECT zeigt beim Starten eine Übersicht der gefundenen Geräte.<br />
4 User-Verwaltung<br />
4.1 Überwachung<br />
4.1.1 Ereignisanzeige<br />
Zunächst wird der Benutzermanager von <strong>Windows</strong> NT gestartet (Start – Programme<br />
– Verwaltung (Allgemein)). Im Menü Richtlinien wird der Punkt „Überwachung“<br />
markiert. Im folgenden Menü können die Ereignisse ausgewählt werden, welche das<br />
Sicherheitsprotokoll aufzeichnen soll. Schlüssel zur Überwachung ist nun die<br />
Ereignisanzeige. Unter dem Menüpunkt „Protokoll – Sicherheit“ können nun die<br />
Aktionen der User überwacht werden.<br />
5 Sicherheit<br />
5.1 Rechte unter <strong>Windows</strong> NT<br />
5.1.1 Übersicht NetWare und <strong>Windows</strong> NT<br />
5.1.1.1 Verzeichnisberechtigungen<br />
Netware<br />
<strong>Windows</strong> NT<br />
Supervisor (S)<br />
Lesen (R)<br />
Schreiben (W)<br />
Erstellen (C)<br />
Löschen (E)<br />
Ändern (M)<br />
Dateiabfrage (F)<br />
Vollzugriff (alle) (alle)<br />
Lesen (RX) (RX)<br />
Ändern (RWXD)(RWXD)<br />
Hinzufügen (WX) (nicht angegeben)<br />
Ändern (RWXD)(RWXD)<br />
Ändern (RWXD)(RWXD)<br />
Anzeigen (RX) (not specified)<br />
33
Zugriffssteuerung (A)<br />
Berechtigungen ändern (P)<br />
5.1.1.2 Dateiberechtigungen<br />
NetWare<br />
<strong>Windows</strong> NT<br />
Supervisor (S)<br />
Lesen (R)<br />
Schreiben (W)<br />
Löschen (E)<br />
Ändern (M)<br />
Zugriffsteuerung (A)<br />
Erstellen/Create (C)<br />
Dateiabfrage (F)<br />
Vollzugriff (alle Rechte)<br />
Lesen (RX)<br />
Ändern (RWXD)<br />
Ändern (RWXD)<br />
Ändern (RWXD)<br />
Beschränkter Zugriff (P)<br />
Ignoriert<br />
Ignoriert<br />
5.1.1.3 Dateiattribute<br />
NetWare<br />
<strong>Windows</strong> NT<br />
Read Only (Ro)<br />
Archive Needed (A)<br />
System (SY)<br />
Hidden (H)<br />
Read Write (Rw)<br />
Copy Inhibit (C)<br />
Delete Inhibit (D)<br />
Execute Only (X)<br />
Indexed (I)<br />
Purge (P)<br />
Read Audit (Ra)<br />
Shareable (Sh)<br />
Schreibgeschützt (R)<br />
Archiv (A)<br />
System (S)<br />
Versteckt (H)<br />
Keines<br />
Ignoriert<br />
Ignoriert<br />
Ignoriert<br />
Ignoriert<br />
Ignoriert<br />
Ignoriert<br />
Ignoriert<br />
34
Transactional (T)<br />
Write Audit (Wa)<br />
Ignoriert<br />
Ignoriert<br />
5.1.2 Berechtigungen in Verzeichnissen<br />
Kein Zugriff Lesen Ändern Vollzugriff<br />
Unterverzeichnisse / Dateien anzeigen X X X<br />
Inhalt / Attribute der Dateien anzeigen X X X<br />
Datei starten X X X<br />
Zu Unterverzeichnis gehen X X X<br />
Unterverzeichnisse / Dateien erstellen X X<br />
Dateiattribute ändern X X<br />
Unterverzeichnisse / Dateien löschen X X<br />
Rechte ändern (nur NTFS)<br />
Besitz übernehmen (nur NTFS)<br />
X<br />
X<br />
5.1.3 Berechtigungen in Verzeichnissen auf NTFS-Laufwerken<br />
kein<br />
Anzeigen Lesen Hinzu<br />
Hinzu.<br />
Ändern<br />
Vollzugriff<br />
Zugriff<br />
-fügen<br />
/Lesen<br />
Verzeichnisnamen anzeigen X X X X X<br />
Attribute anzeigen X X X X X X<br />
Zu Unterverzeichnis gehen X X X X X X<br />
Attribute ändern X X X X<br />
Unterverzeichnisse / Dateien erstellen X X X X<br />
Besitzer und Rechte anzeigen X X X X X X<br />
Verzeichnis löschen X X<br />
Unterverzeichnisse / Dateien löschen<br />
Rechte ändern<br />
Besitz übernehmen<br />
X<br />
X<br />
X<br />
35
5.1.4 Zugriffschutz für Dateien auf NTFS-Laufwerken<br />
kein Zugriff Anzeigen Lesen Hinzu<br />
Hinzu.<br />
Ändern<br />
Vollzugriff<br />
-fügen<br />
/Lesen<br />
Besitzer und Rechte anzeige X X X X<br />
Datei einsehen X X X X<br />
Attribute anzeigen X X X X<br />
Datei starten X X X X<br />
Attribute ändern X X<br />
Dateiinhalt ändern X X<br />
Datei löschen X X<br />
Rechte ändern<br />
Besitz übernehmen<br />
X<br />
X<br />
5.1.5 Zugriffschutz auf freigegebene Verzeichnisse<br />
Kein Zugriff Lesen Ändern Vollzugriff<br />
Unterverzeichnisse / Dateien anzeigen X X X<br />
Inhalt / Attribute der Dateien anzeigen X X X<br />
Datei starten X X X<br />
Zu Unterverzeichnis gehen X X X<br />
Unterverzeichnisse / Dateien erstellen X X<br />
Dateiattribute ändern X X<br />
Rechte ändern (nur NTFS)<br />
Besitz übernehmen (nur NTFS)<br />
X<br />
X<br />
5.1.6 Überwachung von Verzeichnissen<br />
Lesen Schreiben Ausführen Löschen Rechte<br />
ändern<br />
Besitz<br />
übernehmen<br />
Dateien anzeigen<br />
X<br />
Attribute anzeigen X X<br />
36
Unterverzeichnisse / Dateien<br />
hinzufügen<br />
X<br />
Attribute ändern ´X<br />
Zu Unterverzeichnissen gehen<br />
X<br />
Besitzer und Rechte anzeigen X X X<br />
Verzeichnis löschen<br />
X<br />
Rechte ändern<br />
X<br />
Besitz übernehmen<br />
X<br />
5.1.7 Überwachung von Dateien<br />
Lesen Schreiben Ausführen Löschen Rechte<br />
ändern<br />
Besitz<br />
übernehmen<br />
Dateiinhalt anzeigen<br />
X<br />
Attribute anzeigen X X<br />
Besitzer und Rechte anzeigen X X X<br />
Datei ändern<br />
Attribute ändern<br />
X<br />
X<br />
Datei starten<br />
X<br />
Datei löschen<br />
X<br />
Rechte ändern<br />
X<br />
Besitzer ändern<br />
X<br />
5.2 Rechteverwaltung nach Installation<br />
5.2.1 Zugriffsrechte für Dateien<br />
NT legt per Voreinstellung auf jedem PC einen Anwender mit Namen „Gast“ ohne<br />
Paßwort an. Dieses Konto sollte deaktiviert werden, sonst kann sich jedermann als<br />
Gast auf dem PC einloggen<br />
5.2.2 Standardrechte entziehen<br />
Per Voreinstellung vergibt NT für alle Ordner eines Laufwerks das Recht „Vollzugriff“<br />
für die Gruppe „Jeder“. Ist ein Anwender einmal eingeloggt, kann ein Anwender<br />
37
nahezu alles. Um das zu verhindern, muß der Gruppe „Jeder“ sämtliche<br />
Zugriffsrechte für alle Ordner eines Laufwerks entzogen werden und statt dessen nur<br />
Administratoren und Domänen-Administratoren der Vollzugriff gewährt werden.<br />
Gleiches gilt für Ordner-Freigaben. Auch dort definiert NT erst einmal das Recht<br />
„Vollzugriff“ für die Gruppe „Jeder“. Diese Gruppe sollte beim Anlegen einer Freigabe<br />
gelöscht werden und statt dessen wiederum nur Administratoren der Vollzugriff<br />
gestattet werden. Für Benutzer und Domänen-Benutzer genügt das Recht „Ändern“.<br />
5.2.3 Falsche Zugriffsrechte bei NT<br />
Mit falsch gesetzten Default-Zugriffsrechten in der <strong>Windows</strong> NT Registry können sich<br />
Benutzer Administrator Rechte verschaffen.<br />
Der Registry-Eintrag „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<br />
Schedule“ steuert den Scheduler-Dienst. Server-Operatoren dürfen in diesem<br />
Bereich der Registry schreiben, was ihnen auch erlaubt, Prozesse unter der System-<br />
Kennung zu starten. Ein solcher Prozeß kann den Server-Operator zum<br />
Administrator machen.<br />
Der Eintrag „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>Windows</strong>NT\Current<br />
Version\Winlogon“ in der Registry besitzt zwei Werte, welche den Start eines<br />
Prozesses beim Booten oder Einloggen eines Benutzers auslösen können. Diese<br />
Systemprozesse können die Rechte von Benutzern ändern. Server Operatoren<br />
können diesen Registry-Eintrag ändern und sich so wiederum zum Administratopr<br />
machen.<br />
Folgende Registry-Einträge sind per Default für „Jeder“ schreibbar, wodurch<br />
Benutzer ihre Rechte ausweiten können:<br />
• HKEY_LOCAL_MACHINE\Software\Microsoft\<strong>Windows</strong>\CurrentVersion\Run<br />
• HKEY_LOCAL_MACHINE\Software\Microsoft\<strong>Windows</strong>\CurrentVersion\RunOnce<br />
• HKEY_LOCAL_MACHINE\Software\Microsoft\<strong>Windows</strong>\CurrentVersion\Uninstall<br />
Alle drei Sicherheitslücken lassen sich mit dem Registry-Editor („REGEDT32.EXE“)<br />
beheben, indem man über das Security-Menü den Schreibzugriff auf die Einträge<br />
entfernt.<br />
38
5.2.4 Absichern des Dateizugriffes<br />
Verzeichnis<br />
\WINNT und Unterverzeichnisse<br />
\WINNT\REPAIR<br />
WINNT\System32\config<br />
WINNT\System32\Spool<br />
\WINNT\Cookies<br />
\WINNT\Forms<br />
\WINNT\OCCACHE<br />
\WINNT\PROFILES<br />
\WINNT\SENDTO<br />
\WINNT\TemporaryInternetFiles<br />
Rechte<br />
Administratoren: Vollzugriff<br />
Erzeuger/Inhaber: Vollzugriff<br />
Jeder: Lesen<br />
System: Vollzugriff<br />
Administratoren: Vollzugriff<br />
Administratoren: Vollzugriff<br />
Erzeuger/Inhaber: Vollzugriff<br />
Jeder: Lesen<br />
System: Vollzugriff<br />
Administratoren: Vollzugriff<br />
Erzeuger/Inhaber: Vollzugriff<br />
Jeder: Lesen<br />
Hauptbenutzer: Ändern<br />
System: Vollzugriff<br />
Administratoren: Vollzugriff<br />
Erzeuger/Inhaber: Vollzugriff<br />
Jeder: Lesen<br />
System: Vollzugriff<br />
5.2.5 Absichern der Startdateien<br />
Datei<br />
\BOOT.INI, \NTDETECT.com, \NTLDR<br />
\AUTOEXEC.BAT, \CONFIG.SYS<br />
Rechte<br />
Administratoren: Vollzugriff<br />
System: Vollzugriff<br />
Administratoren: Vollzugriff<br />
System: Vollzugriff<br />
Jeder: Lesen<br />
39
5.2.6 Rechteverteilung nach Installation<br />
Workstation, Stand-Alone-Server<br />
Domänencontroller<br />
Benutzerrechte<br />
Gruppen, die diese<br />
notwendige<br />
Gruppen, die diese<br />
notwendige<br />
Rechte haben<br />
Änderungen<br />
Rechte haben<br />
Änderungen<br />
lokale<br />
Administratoren,<br />
Jeder und Gäste<br />
Konten-, Backup-,<br />
keine Änderung<br />
Anmeldung<br />
Jeder, Gäste,<br />
Recht entziehen<br />
Server- und<br />
Hauptbenutzer,<br />
Druckoperatoren,<br />
Benutzer<br />
Administratoren<br />
System<br />
Administratoren,<br />
Jeder und Gäste<br />
Konten-, Backup-,<br />
keine Änderung<br />
herunterfahren<br />
Jeder, Gäste,<br />
Recht entziehen, bei<br />
Server- und<br />
Hauptbenutzer,<br />
Server zusätzlich<br />
Druckoperatoren,<br />
Benutzer<br />
Benutzer<br />
Administratoren<br />
Zugriff über das<br />
Administratoren<br />
Administratoren,<br />
Administratoren,<br />
Konten-, Backup-,<br />
Netz<br />
Jeder,<br />
Benutzer,<br />
Jeder<br />
Server- und<br />
Hauptbenutzer<br />
Hauptbenutzer<br />
Druckoperatoren,<br />
sollten Recht haben<br />
Administratoren<br />
sollten Recht haben<br />
5.3 Diskettensatz<br />
5.3.1 Setup-Diskettensatz<br />
Der Setup-Boot-Diskettensatz besteht aus drei Disketten. Zum Erstellen werden drei<br />
formatierte und leere Disketten benötigt. Die NT-Cd in das Laufwerk geben und in<br />
der Eingabeaufforderung den Befehl „D:\I386\WINNT32 /OX“ eingeben, wobei der<br />
Buchstabe „D“ den Pfad des CD-Rom-Laufwerks entspricht.<br />
Das <strong>Windows</strong>-NT-setup verlangt dann die drei Disketten und kopiert die<br />
Notwendigen Dateien, begonnen mit der dritten Diskette.<br />
5.3.2 Repair-Disk<br />
Um die Repair-Disk zu erstellen, wird eine Diskette eingelegt und der Befehl „rdisk“ in<br />
der Eingabeaufforderung eingegeben. Die Diskette wird formatiert und anschließend<br />
auf ihr wichtige Systemdateien gesichert.<br />
Die Repair-Disk sollte regelmäßig auf den neuesten Stand gebracht werden. Hierzu<br />
dient der Button „Aktualisieren aus dem RDISK-Dialog.<br />
40
5.3.3 Rettungsdiskette<br />
Die Setup-Diskette 1 wird mit diskcopy auf eine leere, formatierte Diskette<br />
übertragen. Anschließend werden alle Dateien gelöscht, benötigt wird nämlich nur<br />
der Bootsektor. Aus dem Root-Ordner der aktiven Partition werden nun die Dateien<br />
„NTLDR“, „NTDETECT.COM“ und „BOOT.INI“ auf die Diskette kopiert. Die Datei<br />
„NTLDR“ wird in „SETUPLDR.BIN“ umbenannt.<br />
Soll mit der Startdiskette auch das Booten eines anderen Betriebsystems notwendig<br />
sein, muß sich auch die Datei „BOOTSECT.DOS“ auf der Diskette befinden.<br />
Bei SCSI-Platten sollte die Diskette auch noch mit dem entsprechende Treiber,<br />
beispielsweise „AIC78XX.SYS“ für den Adaptec AHA-2940, versehen werden. Dies<br />
ist jedoch eigentlich nur notwendig, wenn das BIOS auf dem SCSI-Controller<br />
abgeschaltet und die Platte nicht als int13h-Gerät angesprochen wird.<br />
5.4 Paßwörter<br />
5.4.1 keine Anzeige des letzten Anwenders<br />
Nach dem Abmelden erscheint der Name des letzten Anwenders standardmäßig<br />
beim nächsten Login. Beim Server, wo in der Regel der letzte Anwender der System-<br />
Administrator gewesen ist, wird so einem potentiellen Angreifer direkt der Name des<br />
Administrator-Kontos verraten. Jetzt muß er nur noch das Administrator-Paßwort<br />
herausfinden.<br />
Um dies zu verhindern sollte mit „REGEDT31.EXE“ unter dem Schlüssel „HKEY_<br />
LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>Windows</strong>NT\CurrentVersion\Winlogon“<br />
der Wert „DontDisplayLastUserName“ von „0“ auf „1“ gesetzt werden.<br />
5.4.2 Backup des Administrator-Paßwortes<br />
Während der Installation legt <strong>Windows</strong> NT eine Kopie des Administrator- und<br />
Gastaccounts in das Verzeichnis „\\WINNT\REPAIR“ an. Dieses Verzeichnis ist für<br />
alle zugänglich und lesbar. Hat der Administrator nach der Installation das Paßwort<br />
nicht geändert, kann es hier ausgelesen werden.<br />
41
Im Ordner „\\WINNT\System32\config\SAM“, das per Default für alle lesbar ist, liegen<br />
in der Regel auch Dateien „SAM.SAV“. Diese enthalten die Paßwort-Datenbank der<br />
letzten Sicherung.<br />
Auf der Repair-Disk ist das File „SAM._“, auch hier ist die Paßwort-Datenbank<br />
abgespeichert.<br />
5.5 BlueScreen of Death (BSOD)<br />
Der BSOD besteht aus drei Sektionen.<br />
5.5.1 Section 1: Debug Port Status Indicators<br />
Diese Sektion wird nur angezeigt, wenn der Systemstart mit „/debug“ oder<br />
„/crashdebug“ erfolgte. Angezeigt wird ein Wort bestehend aus drei Buchstaben: RTS<br />
(ready to Send), DSR (Data Send Ready), CTS (Clear to Send) und SNS, was<br />
bedeutet, das Daten zum COM-Port gesendet wurden.<br />
5.5.2 Section 2: Bug Check Information<br />
Diese Sektion enthält den Fehler- (oder BugCheck-) Code.. Für eine vollständige<br />
Liste der Fehler-Codes: http://www.microsoft.com/kb/articles/q103/0/59.htm.<br />
Beispiel:<br />
DSR CTS SND<br />
5.5.3 Section 3: Driver Information<br />
Hier werden alle Treiber angezeigt, die zum Zeitpunkt des Systemabsturzes geladen<br />
waren. Die Sektion ist in zwei Seiten aufgeteilt, mit drei Spalten auf jeder Seite. Die<br />
erste Spalte ist die Zeit (in Sekunden seit dem Jahr 1970) und kann mit Hilfe von<br />
„CVTIME.EXE“ in die Real-Zeit konvertiert werden:<br />
Beispiel:<br />
Dll Base DateStmp - Name Dll Base DateStmp - Name<br />
80100000 2cd348a4 - ntoskrnl.exe 80400000 2cd348b2 - hal.dll<br />
80010000 2cd348b5 ncrc810.sys 80013000 2cda574d - SCSIPORT.SYS<br />
etc.<br />
42
5.5.4 Section 4: Kernel Build and Stack Dump<br />
Hier wird die Versionsnummer des Betriebssystems und ein Abbild des stack („stack<br />
dump“ angezeigt, welches die Adressierung des Modules zeigt, welches den Fehler<br />
verursachte. Häufig (aber nicht immer!) zeigen die ersten Zeilen den betreffenden<br />
Code bzw. die betroffenen Treiber, aber nicht immer schafft der Kernel es, diese<br />
Informationen zu sammeln.<br />
Beispiel:<br />
Address dword dump Build[1381] –Name<br />
xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx – matrxmil.SYS<br />
xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx – ntoskrnl.exe<br />
xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx – ntoskrnl.exe<br />
etc.<br />
5.5.5 Section 5: Debug Port Information<br />
Diese Sektion erscheint nur, wenn der Systemstart mit Option „/debug“ erfolgte. Hier<br />
wird angezeigt, wie die Parameter des Verbindungsaufbaus aussahen und ob ein<br />
„.dmp“-File erzeugt wurde.<br />
Beispiel:<br />
Restart and set the recovery options in the system control panel<br />
or the /CRASHDEBUG system start option if this message reappears,<br />
contact your system administrator or technical support<br />
Beispiel (wenn mit „/debug“ oder „/crashdebug“ gestartet wurde):<br />
Kernel Debugging Using: Com2(Port 0x2f8, BaudRate 9600)<br />
Beginning Dump of physical memory<br />
Physical memory dump complete. Contact your system administrator or<br />
technical support<br />
43
6 Nützliches<br />
6.1 Workstation / Server<br />
6.1.1 Seriennummer verändern<br />
Die Seriennummer ist im Boot-Sektor des Volume versteckt: für FAT sind es 4 Byte<br />
angefangen offset 0x27, für NTFS 8 Byte bei offset 0x48. Mit einem Diskeditor (z.B.<br />
Diskprobe aus dem <strong>Windows</strong> NT Ressource Kit von Microsofts Webseite) kann die<br />
Nummer verändert werden.<br />
6.1.2 NumLock automatisch einschalten<br />
In der Registry den Schlüssel „HKEY_CURRENT_USER\ControlPanel\Keyboard“<br />
aufsuchen. Hier muß der Wert von „InitialKeyboardIndicators“ von „0“ auf „2“<br />
geändert werden.<br />
6.1.3 Anwendungen zu bestimmten Zeiten ausführen<br />
Hierfür ist das „at“-Kommando (Administrator-Rechte erforderlich) gut, das erlaubt,<br />
ein Kommando an einen bestimmten Wochentag ausführen zu können:<br />
c:\ at 20:00 /every:M,T,W,Th,F““:<br />
6.1.4 NT im DOS-Modus starten<br />
1) Starten des Registrier-Editors<br />
2) Suche Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>Windows</strong>NT\<br />
CurrentVersion\Winlogon“<br />
3) Doppel Klick auf Parameter „Shell“<br />
4) Ändern des Eintrags von „explorer.exe“ zu „command.com“<br />
5) Beenden des Registrier-Editors<br />
6) Rechner herunterfahren und neu starten mit der Kommandozeile<br />
44
6.1.5 Ausschalten von „Arbeitsstation sperren<br />
Hierzu muß mit einem 32bit Ressourcen-Editor (z.B. Visual c++) eine dll verändert<br />
werden.<br />
1) Kopiere %systemroot%\system32\msgina.dll zu msgina_orig.dll (Sicherheits-<br />
Backup)<br />
2) Starte Visual C++ und wähle Dialog „öffnen“<br />
3) Wechsle zu den ausführbaren Dateien (.dll, .exe, .ocx)<br />
4) öffne %systemroot%\system32\msgina.dll<br />
5) Nach dem Öffnen, klicke auf den Dialog-Baum, Doppelklick auf „1650“<br />
6) Doppelklick auf „Arbeitsstation sperren“-Button und „sichtbar“ deaktivieren<br />
7) Schließe Dialogbox und speichere alles ab<br />
8) Visual C++ beenden<br />
9) Nach dem nächsten Booten ist der Button „Arbeitsstation sperren nicht länger<br />
sichtbar<br />
6.1.6 Default Screen-Saver zu Open GL Text Saver ändern<br />
Mit dem Registriereditor „HKEY_USERS\.DEFAULT\ControlPanel\Desktop\<br />
SCRNSAVE.EXE“ zu „C:\WINNT\System32\sstext3d.scr“ ändern. Dann einen<br />
Parameter „HKEY_USERS\.DEFAULT\ControlPanel\ScreenSaver.3DText erzeugen<br />
(Edit – New – Key). In diesem Schlüssel zwei neue Einträge vom Typ String<br />
erzeugen: „Font“ und „Text“. Für „Font“ „Arial“ einsetzen, und bei „Text“ den<br />
gewünschten Text einsetzen.<br />
6.1.7 Shutdown<br />
Das Kommando „shutdown“ gibt es auch für NT mit verschiedenen Parametern<br />
/L den lokalen Rechner herunterfahren<br />
/r Reboot<br />
/c schließe alle Programme<br />
/y sag „ja“ zu allen Fragen<br />
45
Das Shutdown Kommando kann auch mit dem at-Befehl verknüpft werden:<br />
at 16:00 /every:M,T,W,Th,F shutdown /l /y /c<br />
läßt dem Anwender Montags bis Freitags 20 Sekunden Zeit, um an den Feierabend<br />
zu denken.<br />
6.1.8 Wie kann ich die Zeit des „Shutdown“ verkürzen?<br />
Mit dem Kommando „net start“ werden alle gestarteten Dienste angezeigt (– ebenso<br />
kann ich mit dem Pipe-Symbol > einen neuen Dienst starten, z.B. „net start ><br />
services.lst“). Das Kommando „net stop
:reboot<br />
shutdown /l /y /r /t:0<br />
exit<br />
Die Dienste müssen für den eigenen Bedarf noch angepaßt werden, ebenso ob<br />
Server oder Workstation. Wird das Batch-File mit dem Parameter „reboot“ aufgerufen<br />
(also: „name.bat reboot“), wird ein Reboot durchgeführt, ansonsten der Computer<br />
lediglich heruntergefahren.<br />
6.1.9 Systemsteuerung für User unsichtbar machen<br />
Im system32-Verzeichnis befinden sich „.cpl“-dateien. Diese Files repräsentieren ein<br />
oder mehrere Symbole in der Systemsteuerung:<br />
access.cpl<br />
appwiz.cpl<br />
console.cpl<br />
desk.cpl<br />
devapps.cpl<br />
inetcpl.cpl<br />
intl.cpl<br />
joy.cpl<br />
main.cpl<br />
mlcfg32.cpl<br />
mmsys.cpl<br />
modem.cpl<br />
ncpa.cpl<br />
ntguard.cpl<br />
odbccp32.cpl<br />
ports.cpl<br />
Eingabehilfen<br />
Software<br />
MS-DOS Konsole<br />
Anzeige<br />
PCMCIA, SCSI und Bandgeräte<br />
Internet<br />
Ländereinstellungen<br />
Joystick<br />
Schriftarten, Tastatur, Maus, Drucker<br />
Mail<br />
Akustische Signale, Multimedia<br />
Modem<br />
Netzwerk<br />
Dr. Solomons<br />
32Bit ODBC<br />
Anschlüsse<br />
47
ascpl.cpl<br />
srvmgr.cpl<br />
sysdm.cpl<br />
telephon.cpl<br />
timedate.cpm<br />
tweakui.cpl<br />
ups.cpl<br />
DFÜ-Monitor<br />
Server, Dienste, Geräte<br />
System<br />
Telefon<br />
Datum/Uhrzeit<br />
TWEAKUI<br />
USV<br />
Wird nun eine Datei umbenannt, so wird sie von der Systemsteuerung nicht mehr<br />
angezeigt.<br />
Die radikalere Methode ist ein Eingriff in die Registry: „HKEY_CURRENT_USER<br />
\Software\Microsoft\<strong>Windows</strong>NT\CurrentVersion\Policies\Explorer\NoSetFo“ auf „1“<br />
setzen (REG_DWORD). Dies verbirgt „Systemsteuerung“, „Drucker“ und<br />
„Arbeitsumgebung“ im Explorer und im Startmenü.<br />
6.1.10 Verschieben der Systemsteuerung in das Startmenü<br />
Mit der rechten Maustaste das Kontextmenü des Startmenüs aufrufen und den<br />
Befehl Explorer auswählen. Auf der rechten Seite des Explorers mit der rechten<br />
Maustaste das Kontextmenü öffnen und mit „Neu/Ordner“ einen neuen Ordner<br />
anlegen. Das Verzeichnis erhält folgenden Namen:<br />
Systemsteuerung.{21EC2020-3AEA-1069-A2DD-08002B30309D}<br />
Ab jetzt steht die Systemsteuerung direkt im Startmenü zur Verfügung.<br />
6.1.11 Option „Drucker“ in das Startmenü ergänzen<br />
Mit der rechten Maustaste das Kontextmenü des Startmenüs aufrufen und den<br />
Befehl Explorer auswählen. Auf der rechten Seite des Explorers mit der rechten<br />
Maustaste das Kontextmenü öffnen und mit „Neu/Ordner“ einen neuen Ordner<br />
anlegen. Das Verzeichnis erhält folgenden Namen:<br />
Drucker.{2227A280-3AEA-1069-A2DE-08002B30309D}<br />
Ab jetzt steht ein Vertzeuchnis mit den installierten Druckern direkt im Startmenü zur<br />
Verfügung.<br />
48
6.1.12 Registry löschen<br />
Das Tool „ROLLBACK.EXE“ löscht die Registry. Da es von jedem, der Zugang zum<br />
Rechner hat, benutzt werden kann und der Sinn dieses Tools weitestgehend fraglich<br />
bleibt, sollte es vom Rechner gelöscht werden.<br />
6.1.13 Sicherheitsdiskette auf Server aufspielen<br />
Hierzu kann ein kleines Batch-File dienen, welches auf den Workstations aufgespielt<br />
wird (Z: gemapptes Laufwerk auf dem NT-Server):<br />
%windir%\system32\rdisk /s<br />
net use z:\\\temp /persistent:no<br />
if not exist z:\%computername% md z:\%computername%<br />
copy %windir%repair\*.* z:\%computername%\<br />
net use z: /delete<br />
exit<br />
Das Batch-File kann z.B. in das Login-Script eingebunden werden, so wird immer,<br />
wenn der Anwender sich einloggt, eine Repair-Disk auf dem Server erzeugt.<br />
Die Batch kann dann auch mit dem „at“-Befehl kombiniert werden:<br />
at /interactive /every:M,T,W,Th,F <br />
Verzeichnis\name.bat<br />
6.1.14 Login Script<br />
Ein Script sollte die Systemzeit von Server und Workstation synchronisieren und mit<br />
dem Home-Verzeichnis verbinden, z.B.<br />
@echo off<br />
net time \\servername /set /yes<br />
net use p:/home<br />
Im NT Resource Kit befindet sich KIX, welches bei der Erstellung von Scripten hilt.<br />
Sehr zu empfehlen ist ebenfalls das Freeware Utility KixTart.<br />
49
Folgende Variablen können in Login Scripten und Batch-Files in Verbindung mit<br />
Anwendern benutzt werden:<br />
%COMPUTERNAME%<br />
%HOMEDRIVE%<br />
%HOMEPATH%<br />
%HOMESHARE%<br />
%LOGONSERVER%<br />
%OS%<br />
%PROCESSOR%<br />
%USERDOMAIN%<br />
%USERNAME%<br />
Name des Rechners<br />
lokales Verzeichnis des Anwenders<br />
Der vollständige Pfad des Homeverzeichnisses des<br />
Anwenders<br />
Der Teil, der des Anwenders Home-Verzeichnis beinhaltet<br />
Dies ist der Name des Servers, der des Users Login<br />
validiert<br />
Das Bedienungssystem, mit welchem der User verbunden<br />
ist<br />
z.B. 486; kann benutzt werden, um die Anmeldung von<br />
Rechnern mit 386 Prozessoren zu verhindern<br />
Domain, zu welcher der Account des Anwenders zählt<br />
Der Name des Anwenders<br />
6.1.15 Keyboard-Shortcuts<br />
F1<br />
F2<br />
F3<br />
F4<br />
F5<br />
F6<br />
F10<br />
Alt + Enter<br />
Help<br />
Umbenennen<br />
Suche<br />
Auswahlbox im Explorer anzeigen<br />
Refresh<br />
im Explorer zwischen den Fenstern wechseln<br />
Menü<br />
Eigenschaften<br />
CTRL + File fallenlassen kopieren<br />
CTRL + G<br />
Gehe zu<br />
50
CTRL + U<br />
CTRL + A<br />
CTRL + ESC<br />
CTRL + SHIFT + ESC<br />
Rückgängig<br />
Alles auswählen<br />
Start-Menü<br />
Task Manager<br />
6.2 NT-Server<br />
6.2.1 Synchronisierung der Zeit einer Workstation mit dem Server<br />
Start – Ausführen: „NET TIME\\computername /SET /YES“; das Utility „TimeServ“<br />
aus dem <strong>Windows</strong> NT Resource Kit erledigt die Zeitsynchronisation allerdings<br />
automatisch.<br />
6.2.2 Informationen über den Domänen-Account<br />
Das Kommando „net user /domain“ gibt den Anwender alle<br />
Informationen über seinen Domänen-Account, wie z.B. letzte Paßwort-Änderung,<br />
letzte Login-Datum ...<br />
6.2.3 NT von einer Festplatte auf eine andere überspielen<br />
Auf beiden Festplatten muß NTFS instralliert sein: „scopy . : /o /a /s<br />
Wenn scopy beendet ist, Rechner herunterfahren, die neue Festplatte als Master<br />
benutzen und von den NT-Installations-Disketten booten, „reparieren“ wählen und<br />
„Check System Files“ auswählen.<br />
Einre andere Methode besteht in der Benutzung des Utility „ghost copy“ von<br />
http://www.ghostsoft.com.<br />
51
7 Anhang<br />
7.1 Die wichtigsten Dateitypen<br />
Erweiterung<br />
Beschreibung<br />
386 Virtuelle Systemtreiber<br />
3gr<br />
adm<br />
ani<br />
auf<br />
avi<br />
cab<br />
cda<br />
cfg<br />
cnt<br />
cpi<br />
cpl<br />
crd<br />
csv<br />
da0<br />
dat<br />
dll<br />
dos<br />
drv<br />
fnd<br />
fon<br />
Bildschirmtreiber für MS-DOS<br />
Anwenderprofile<br />
animierte Maustreiber<br />
Konfigurationsdatei Administration<br />
Videoclip<br />
Kabinettdatei; gepackte Datei für <strong>Windows</strong>-Setup<br />
Audiospur<br />
Konfigurationsdatei<br />
Inhalt der Hilfe<br />
internationale Codeseite<br />
Gerätetreiber für die systemsteuerung<br />
<strong>Windows</strong> backup Karteikasten<br />
Datenbankdatei mit Komma getrennt<br />
Sicherheitskopie der Registrierungsdateien<br />
Datenbanken der Registrierung<br />
Dynamic Link Library<br />
MS-DOS-datei<br />
Gerätetreiber<br />
gespeicherte Suche<br />
Schriftartdatei<br />
52
fot<br />
grp<br />
hlp<br />
ht<br />
icm<br />
idf<br />
inf<br />
ini<br />
kbd<br />
lgo<br />
lib<br />
lnk<br />
log<br />
mci<br />
mdb<br />
mid<br />
mif<br />
mmf<br />
mmm<br />
mnf<br />
mpd<br />
msg<br />
msn<br />
pab<br />
pdr<br />
pf<br />
Verknüpfung zu Schriftartdatei<br />
Programmgruppe<br />
Hilfedatei<br />
HyperTerminal-Datei<br />
ICM-Profile<br />
MIDI-Instrumentendefinition<br />
Setup-Information<br />
Konfigurationsdatei (NT erzeugt sie bei Bedarf aus der Registrierung)<br />
Tastaturlayout<br />
Treiber für das <strong>Windows</strong>-Logo<br />
Link-Bibliothek<br />
Verknüpfung auf ein <strong>Windows</strong>-Objekt<br />
Logdatei<br />
MCI-Befehlsset<br />
Dateibetrachter<br />
MIDI-Sequence<br />
MIDI-Instrumentdatei<br />
Microsoft Mail Datei<br />
Animation<br />
gespeichertes Suchergebnis im MSN<br />
Mini-Port-Treiber<br />
Microsoft Exchange Mail<br />
Microsoft Network<br />
Microsoft Exchange Adreßbuch<br />
Treiber für Schnittstellen<br />
ICM-Profil<br />
53
pif<br />
pol<br />
ppd<br />
prt<br />
pst<br />
pwl<br />
qic<br />
rec<br />
reg<br />
rmi<br />
scr<br />
shb<br />
swp<br />
sys<br />
tmp<br />
ttf<br />
vbx<br />
ver<br />
vxd<br />
wav<br />
wpc<br />
Konfiguration eines DOS-Programmes<br />
Dateien für die Zugriffsbeschränkung<br />
PostScript-Datei<br />
für den Drucker formatierte Datei<br />
Microsoft Exchange<br />
Dateien mit Kennwortlisten ("Paßwort"-Dateien)<br />
Backup-Set<br />
Datei für den Audiorecorder<br />
exportierter Eintrag aus der Registrierung<br />
MIDI-Sequenz<br />
Bildschirmschoner<br />
Verknüpfung zu einem Dokument<br />
Auslagerungsdatei<br />
Systemdatei<br />
Temporärdatei<br />
TrueType-Schrift<br />
VisualBasic-Modul<br />
Versionsbeschreibung<br />
Virtueller Gerätetreiber<br />
Sounddatei<br />
Konverter des WordPad<br />
7.2 Dateien, die nie gelöscht werden sollten<br />
*.386, *.adm, *.cab, *.cpl, *.dat, *.da0, *.dll, *.drv, *.inf, *.ini, *.mpd, *.pdr, *.pol, *.pwl,<br />
*.sys, *.vxd<br />
54