Installation Windows 2000 Server als DC
1. Installationsvorbereitungen
Im BIOS das CD-ROM als erstes Bootlaufwerk einstellen.
Rechner booten.
Setup wird automatisch gestartet.
Partitionen erstellen:
Im Installationsprogramm können Partitionen menügesteuert gelöscht,
erstellt und formatiert werden.
Für das System erstellen wir eine Partition von 4 GB.
Die restlichen Partitionen werden später mit der Computerverwaltung/Datenträgerverwaltung
vorgenommen.
Formatieren der Systempartition:
Die Formatierung mit dem NTFS-Filesystem bietet erweiterte Sicherheitseinstellungen.
Nach dem Formatieren der Systempartition den Anweisungen des Setup-Programms
bis zum Neustart folgen. Damit ist der erste Teil abgeschlossen. Das System
bootet neu.
2. Installation
Im BIOS sollte als erstes Bootlaufwerk wieder die Festplatte
aktiviert werden.
Es folgt nun selbständig die Installation der Geräte. Anschließend
können die Einstellungen für das Gebietsschema
(Ländereinstellungen, Zeit, Tastatur, ...), Zugriffslizenzen etc. vorgenommen
werden.
Den Hinweisen folgen bis zur Frage nach dem Computernamen. Dieser muss im Netzwerk eindeutig sein. Wir verwenden den Namen „SERVER“.
Bei der Komponentenauswahl können die Standardkomponenten
übernommen werden. Nach den Datums- und Uhrzeiteinstellungen
werden die Netzwerkkomponenten selbständig installiert. Im Dialogfenster
„Netzwerkeinstellungen“ können die Standardeinstellungen belassen
werden.
Zusätzlich sollten aber weitere Netzwerkdienste
aktiviert werden. (DHCP-Dienst, etc)
Der IIS (Internet-Informationsserver) könnte deaktiviert werden, sodass
er nicht installiert wird.
Im nächsten Fenster „Arbeitsgruppe oder Computerdomäne“ ist als richtige Einstellung der Button „Nein, dieser Computer ist entweder nicht im Netzwerk oder ...“ bereits aktiviert. Den vorgeschlagenen Namen der Arbeitsgruppe kann man belassen, da später eine Domäne eingerichtet wird.
Mit dem anschließenden „Weiter“ wird die Installation vervollständigt.
Die Grundinstallation des WINNT2000-Servers ist nun abgeschlossen.
Das auf der nächsten Seite abgebildete Dialogfenster
„Windows 2000 Server Konfigurieren“
wird automatisch geöffnet. Das Fenster vorläufig schließen.
2.1 Netzwerkeinstellungen
Nach dem Klick mit der rechten Maustaste auf Netzwerkumgebung im Kontextmenu
Eigenschaften anklicken. Ein weiterer
rechter Mausklick auf LAN-Verbindung - Eigenschaften
öffnet das Fenster:
Internetprotokoll (TCP/IP) markieren und auf Eigenschaften
klicken.
Im folgenden Fenster die Adressierung der Netzkarte durchführen.
!!Diese Einstellungen ensprechen den Standards
in den Schulen, und müssen/könnten nicht mit Ihren übereinstimmen!!
Sie enthält die IP-Adresse 192.168.1.200 und die Subnetmask 255.255.255.0.
Als Gateway ist die adresse des Routers (192.168.1.254) einzugeben.
Als DNS-Einträge verwenden wir die internen Nameserver des TSN 10.13.0.224,
10.13.0.225.
3. ADS – Active Directory Service installieren/aktivieren
Active Directory speichert Informationen über Netzwerkobjekte
( z.B. Benutzerkennungen und freigegebene Drucker),
verwaltet den Netzwerkzugriff von Benutzern, einschließlich Anmeldung,
Authentifizierung und Zugriff auf freigegebene Resourcen.
Active Directory konfiguriert diesen Server als Domänenkontroller und richtet
DNS ein, falls dies im Netzwerk noch nicht verfügbar ist.
Eine formatierte Partition mit der NTFS-Version von Windows 2000 wird als Host
für Active Directory benötigt.
Wir wählen unter dem Startmenü den Punkt Programme/Verwaltung
das Programm Konfiguration des Servers
aus.
Im Dialogfeld Active Directory auswählen
und auf Starten des Assistenten für Active
Directory klicken.
Folgende Standardeinstellungen können in den nächsten Dialogfenstern
belassen werden:
Domänenkontroller für neue Domäne – Neue Domänenstruktur
erstellen – Neue Gesamtstruktur aus Domänen erstellen .
Als DNS-Namen für die neue Domäne wählen wir schulnetz.hs
und als NETBIOS-Name SCHULNETZ.
DNS ist ein Dienst für die Namensauflösung (IP-Nummer
– Hostname eines Rechners).
Dieser Dienst wird in der NT 2000-Domäne verwendet.
Bei den weiteren Dialogfenstern „Datenbank und Protokolldatei“ - „Freigegebenes
SYSVOL“ –
„DNS Konfiguration“ – „Berechtigungen“ kann mit den
vorgegebenen Standardeinstellungen auf Weiter
geklickt werden.
Im letzten Dialog besteht die Möglichkeit, dass später auch NT 4.0
Workstations in die Domäne eingebunden werden können:
Active Directory Service wird nun konfiguriert.
Nach erfolgtem Neustart ist dieser Server nun Domänenkontroller für
die Domäne schulnetz.hs
(DNS-Name) bzw. SCHULNETZ (Netbiosname).
Der Hostname dieses NT2000-Servers ist server.schulnetz.hs (DNS-Name) bzw. SERVER
(Netbiosname).
Mit Systemsteuerung – Arbeitsplatz –
Netzwerkidentifikation können die Namen überprüft werden:
Die Netzwerkidentifikation des Computers kann nur mehr geändert werden,
wenn der PDC
zum alleinstehenden Server zurückgestuft wird - durch Eingabe von „dcpromo“
in Ausführen.
Alle PDC-Konfigurationen
(Benutzer, Gruppen, Drucker, Computer, ....) gehen dabei verloren.
4. DNS Server
Das Active Directory baut auf die DNS Namensauflösung auf. Das bedeutet,
dass alle Domänennamen DNS kompatibel sind.
DNS (Domain Name System) wandelt sprechende Rechnernamen oder Domänennamen
in die von den Computern
benötigten TCP/IP-Adressen um.
Bei den meisten von Clients durchgeführten DNS-Anfragen Lookups handelt
es sich um Forward-Lookups.
Dies ist eine Suche anhand des DNS-Namens eines anderen Computers, der in einem
Adressresourceneintrag (A-Eintrag) gespeichert ist. Bei dieser Abfrage wird
eine IP-Adresse als Antwort erwartet.
DNS bietet auch Reverse-Lookup, wobei Clients eine bekannte IP-Adresse für
eine Namensabfrage verwenden können, um einen
Computernamen anhand der Adresse zu suchen. Reverse-Lookup wird in Form einer
Frage durchgeführt, beispielsweise
"Wie lautet der DNS-Name des Computers mit der IP-Adresse 192.168.1.20?
Das Dialogfenster der DNS-Serverkonfiguration sollte folgendes Aussehen haben:
Sollte die Forward-Lookupzone nicht
eingerichtet sein, kann dies mit rechtem Mausklick auf Forward-Lookupzonen
und Neue Zone einfach gemacht werden.
Analog das Einrichten der Reverse-Lookupzone
:Rechter Mausklick auf Reverse-Lookupzonen
und Neue Zone:
Mit „Weiter“ wird die Konfiguration abgeschlossen.
5. Einrichten und Formatieren weiterer Partitionen
Wir starten über das Startmenü Verwaltung
- Computerverwaltung die Datenträgerverwaltung.
Dieses Tool bietet die Möglichkeit, Festplattenpartitionen zu verwalten.
Mit einem rechten Mausklick auf den entsprechenden Datenträger können
mit dem erscheinenden Kontextmenü
Partitionen, logische Laufwerke erstellt und Laufwerksbuchstaben zugewiesen
werden.
Beim Formatieren kann man zwischen einer FAT32 und einer NTFS-Formatierung
wählen. Dabei bietet erst eine NTFS-Formatierung
erweiterte Sicherheitseinstellungen. Dafür kann auf diese Partition nicht
ohne weiteres aus dem DOS-Modus zugegriffen werden.
Wichtig: Das heißt aber nicht, wie vielfach angenommen wird, dass MSDOS-Programme
auf WIN2000 nicht lauffähig sind.
TIPP: Qickformat ist auch beim ersten Formatierungsvorgang möglich! Es empfiehlt sich jedoch eine "normale" Formatierung.
6. Weitere Tools und Programme im Ordner ‚Verwaltung’
6.1 Lokale Servertools
Die Ereignisanzeige gibt einen Überblick über den Start von Diensten,
Ereignissen und Initialisieren von Gerätetreibern.
Die Protokolle umfassen Informationen (blau) und Warnungen (gelbe Icons). Ist
ein Icon rot, dann weist es auf einen Fehler hin.
Ein Doppelklick auf ein Ereignis gibt dann weitere Informationen. Die Nummer
des Ereignisses
gibt bei schwerwiegenden Fehlern einen Hinweis auf den Grund des Fehlers.
Die meisten
Dienste des NT2000-Servers werden beim Start des Rechners automatisch gestartet.
Klappt dies einmal nicht, dann gibt es nach dem Start eine Fehlermeldung. In
der Ereignisanzeige ist dann dieser Dienst mit der entsprechenden Fehlermeldung
aufgelistet.
Dienste können auch manuell gestartet oder auch deaktiviertet werden. Z.
B. DHCP –Dienst.
Durch Doppelklicken auf den entsprechenden Dienst kann dieser konfiguriert
werden: Startart verändern;
Dienste, die nicht benötigt werden, können deaktiviert werden; etc
Die Dienste dürfen nicht mit den Hardwarekomponenten verwechselt werden.
Diese werden über die Computerverwaltung
– Gerätemanager verwaltet
Zeigt Systemleistungsgraphen
und Diagramme an, konfiguriert Datenprotokolle und Warnungen
Ermöglicht
Verknüpfungen zu Ereignisanzeige und Dienste
Ermöglicht
Verknüpfungen zur Ereignisanzeige, Systeminformationen, Leistungsprotokolle
und Warnungen, Gerätemanager, Datenträgerverwaltung, Dienste etc
Verwaltet
lokale Sicherheitsrichtlinien
6.2 ADS- Dienste (Active Directory Service)
Genauere
Beschreibung und Anleitungen sind in der Beschreibung „Benutzermanagment“
zu finden.
Mit der Sicherheitsrichtlinie für PDC können für bestimmte Benutzer
oder Gruppen diverse Berechtigungen zum lokalen Anmelden am Server, zum Ändern
der Systemzeit, zum Herunterfahren des Servers, etc gegeben werden.
Die folgenden ADS-Dienste sind für komplexere
Domänenstrukturen mit mehreren
Domänenbäumen und DC, wie sie in Schulnetzen kaum zur Anwendung kommen:
6.3 Diverse weiterte Serverprogramme
Weitere verschiedene Serverprogramme und Dienste sind für
File- und Printserver, sowie
für die Verwaltung einer Computerdomäne nicht unbedingt notwendig,
sondern ermöglichen
zusätzliche Dienste wie Internetserverdienste, Routing, RAS, diverse Servererweiterungen,
Lizenzierung, etc
7. Arbeitsplatz – Explorer
Einstellen der gewohnten Ordner und Dateiansichten, der langen Dateinamen und
versteckten
Ordner und Dateien. Im Menü Extras-Ordneroptionen anklicken und die Einstellungen
folgender Dialogfenster übernehmen.
8. Ordner und Dateizugriffe – Sicherheitseinstellungen
Um den Schutz eines Computersystems und seiner Daten lokal oder in einem Netzwerk
vor
Beschädigung oder Verlust zu gewährleisten, bietet die NTFS-Formatierung
Sicherheitseinstellungen, damit
nur autorisierte Benutzer auf gemeinsam genutzte Dateien zugreifen können.
WinNT2000 bietet drei
Gruppen, deren Mitgliedschaften vom Administrator überwacht werden: "Benutzer",
"Hauptbenutzer" und "Administratoren".
Die Gruppe, deren Mitgliedschaften vom Betriebssystem oder der Domäne überwacht
werden, hat
den Namen „Authentifizierte Benutzer". Abgesehen davon, dass sie keine
anonymen Benutzer oder
Gäste umfasst, entspricht sie der Gruppe „Jeder". Im Unterschied
zur Gruppe „Jeder" in Windows NT 4.0 kann
die Gruppe „Authentifizierte Benutzer" nicht für die Zuweisung
von Berechtigungen verwendet werden.
Nur die vom Administrator überwachten Gruppen wie „Benutzer"
und „Hauptbenutzer" sowie Mitglieder
der Gruppe „Administratoren" werden für die Zuweisung von Berechtigungen
verwendet..
Verändern der Zugriffsberechtigungen:
Mit einem rechten Mausklick auf. den entsprechenden Ordner bzw. die Datei kann
über das
Kontextmenü mit einem Klick auf Eigenschaften folgendes Dialogfenster geöffnet
werden.
Durch den Wechsel zur Registerkarte Sicherheitseinstellungen können die
Einstellungen verändert werden.
==>Bei den Berechtigungen kann zwischen Zulassen und Verweigern unterschieden
werden.
Bei Berechtigungskonflikten zwischen Zulassen und Verweigern dominiert Verweigern.
==>Folgende Berechtigungen sind möglich:
Vollzugriff, Ändern, Lesen & Ausführen, Lesen, Schreiben bei Dateien.
Bei Ordnern noch zusätzlich Ordnerinhalt auflisten.
==>Weitere Benutzer (Gruppen) können je nach Bedarf hinzugefügt
und entfernt werden.
Um Berechtigungen für eine neue Gruppe oder einen neuen Benutzer festzulegen,
klicken
wir auf Hinzufügen und wählen einen neuen Benutzer bzw. Gruppe aus
und vergeben die
Berechtigungen. Wenn die Kontrollkästchen unter Berechtigungen schattiert
angezeigt werden, hat die Datei oder der Ordner bereits die Berechtigungen vom
übergeordneten Ordner geerbt.
==>Wenn wir eine Gruppe oder einen Benutzer und die zugehörigen Berechtigungen
entfernen möchten, klicken Sie auf den entsprechenden Namen und dann auf
Entfernen.
Wenn die Schaltfläche Entfernen nicht verfügbar ist, deaktivieren
Sie das Kontrollkästchen
Vererbbare übergeordnete Berechtigungen übernehmen. Von diesem Zeitpunkt
an erbt die
Datei oder der Ordner keine Berechtigungen mehr. Wenn die Kontrollkästchen
unter Berechtigungen
schattiert angezeigt werden, hat die Datei oder der Ordner bereits die Berechtigungen
vom übergeordneten Ordner geerbt.
Tipp:
Diese Änderungen beziehen sich in NT2000 auch immer auf die untergeordneten
Ordner und Dateien.
Wenn neue Benutzerberechtigungen nicht an die untergeordneten Ordner und Dateien
im
Verzeichnisbaum vererbt werden sollen, klicken wir auf Erweitert, auf Hinzufügen
, suchen den
entsprechenden Benutzer, aktivieren das Kontrollkästchen Berechtigungen
nur für
Objekte .... und wählen die entsprechenden Berechtigungen aus.
Überlegung:
Manche Programme benötigen für ein richtiges Funktionieren bei einigen
Dateien Schreibrechte.
Zu „enge Berechtigungen“ stören ein sinnvolles Arbeiten –
Zu „lockere Rechte“ machen
das System für beabsichtigte, aber auch unwissentliche Veränderungen
anfällig.
9. Freigabe von Verzeichnissen
Wie schon unter WinNT 4.0 (Windows95 oder 98) werden Zugriffe
im Netzwerk auf andere
Rechner und Ordner über Freigaben ( z.B. mit den Explorer) gesteuert.
Freigabe von Ordnern für Zugriffe aus dem Netzwerk:
Klickt man mit der rechten Maustaste auf den entsprechenden Ordner, den man
im
Netzwerk anderen Rechnern zur Verfügung stellen will, erscheint folgendes
Dialogfenster:
Erstellt man eine neue Freigabe, dann hat per Default jeder User den Zugriff
auf diese Resource.
Die Berechtigungen der Freigaben für die einzelnen Laufwerke (Handsymbol
vor den Laufwerken)
sollten alle auf „Vollzugriff“ belassen werden, um Zugriffsprobleme
mit den Sicherheitseinstellungen
und Berechtigungen der einzelnen Ordner zu vermeiden!
TIPP:
Doppelte Vergabe von Berechtigungen für denselben Ordner (Freigabe- und
Verzeichnisberechtigungen) führen leicht zu Problemen.
Erstellt von: Stefan Haßlinger
Im: Jahr 2003