Teil 1 – Grundwissen und Theorie
Dieser Artikel richtet sich an alle Hobby-Administratoren, die für ihr privates Netzwerk über einen Windows Server 2003 verfügen und dessen Möglichkeiten auch ausreizen wollen. Der Artikel wird sich aufgrund der Fülle an Möglichkeiten in mehrere Teile aufgliedern, wobei ein Teil auf dem anderen aufbauen wird.
Inhalt
Grundwissen und ein bisschen Theorie
Wünschenswert sind Grundkenntnisse über die Funktionsweise eines Netzwerks sowie die Kenntnis über Fachterminologie. Wem einige Fachbegriffe nicht geläufig sind, der kann diese im Glossar von AT-Mix nachschlagen.
Entsprechend dieser Vorgabe werde ich in diesem Artikel nicht alle technischen Details ausführlich behandeln (können) und einen Großteil der Theorie aussparen – erfahrene Administratoren werden also das ein oder andere vermissen. Nichtsdestotrotz wird der komplette Weg zur eigenen Domäne mit den für ein privates LAN nützlichen Features so ausführlich wie möglich geschildert.
Zur Person
Mein Name ist Jörg Alexander Ott, ich bin Baujahr 1976 und beschäftigte mich seit annähernd 20 Jahren mit Computern. Seit einigen Jahren arbeite ich als System- und Netzwerk-Administrator und bin für Planung, Installation, Wartung und Troubleshooting der Systeme in einem heterogenen Umfeld zuständig – so betreue ich neben Windows- auch Linux-Server und eben alle Client-Systeme (W9x bis XP). Passend dazu nehme ich momentan die Möglichkeit zur Weiterbildung zum MCSE2003 wahr, was wohl bis zum Herbst 2004 abgeschlossen sein sollte.
Teil 1 – Grundwissen und ein bisschen Theorie
Vor die Installation hat Gott die Theorie gestellt – an diesem Leitsatz kommt auch dieser Artikel (leider) nicht vorbei, wobei ich versuchen werde, die Theorie auf ein Mindestmaß zu beschränken. Ganz weglassen kann ich sie allerdings nicht…
Was ist eigentlich eine „Domäne“ ?!?
Der Begriff Domäne dürfte vor allem in Verbindung mit Internet-Domänen bekannt sein. Ähnlich verhält es sich auch mit lokalen Domänen, auch hier besteht eine Domäne aus mindestens zwei „Teilen“. In der Praxis sieht das dann meist so aus: domaene.local oder standort.domaene.local. Und genau wie bei Internet-Domänen müssen auch hier die Richtlinien für korrekte DNS-Auflösung beachtet werden (zwar bietet auch der 2003-er Server noch NetBios-Auflösung, aber primär wichtig ist die DNS-Auflösung).
Sinn und Zweck einer lokalen Domäne – seit Windows 2000 als Active Directory bekannt – ist es im Grunde, Rechner eines Netzwerks in einer zentral verwaltbaren Umgebung einzufassen und somit von zentraler Stelle aus alle Rechner verwalten zu können. Gleichzeitig lassen sich mit einer Domäne alle Nicht-Domänenmitglieder von der Benutzung von Ressourcen ausgrenzen, was z.B. in einem Peer-to-Peer-Netz ohne Domäne fast aussichtslos ist.
Der Begriff „Domäne“ stammt noch aus NT4-Zeiten, mittlerweile spricht man vom „Active Directory“ (nachfolgend AD genannt), und das hat auch seinen Grund:
Das AD stellt einen Verzeichniskatalog dar, in dem Objekte unterschiedlichster Art gespeichert werden können. Objekte können Benutzerkonten sein, Computerkonten oder auch Drucker. Mittels der AD-Funktionalitäten können jedem Objekt bestimmte Sicherheitseinstellungen zugewiesen werden, sodass z.B. User1 auf Drucker1 Dokumente drucken kann, User2 aber nicht usw. Gleiches gilt natürlich insbesondere für die Datei-Freigaben innerhalb des AD – hier kommen die Möglichkeiten der Sicherheitseinstellungen erst richtig zur Geltung.
Jedes Objekt im AD erhält eine eigene SID und ist somit einzigartig, entsprechend auch relativ leicht wiederzufinden (wobei der Punkt mit dem „Wiederfinden“ eher in großen Netzen zur Geltung kommt; in einem privaten Netz sollte das Wiederfinden von Objekten kein Problem sein).
Wichtig dabei ist, dass jedem AD-Mitglied der Zugriff auf ein beliebiges Objekt im AD gestattet oder verweigert werden kann – dazu später mehr.
Wichtigster Rechner im AD ist der Domänen-Controller (nachfolgend DC genannt) – er enthält alle Infos des AD, den sog. „Globalen Katalog“. Gleichzeitig dient er als Anmeldeserver, der die Authentifizierung vornimmt und somit Zugriff gestattet oder verweigert. In einer „Ein-Server-Umgebung“ wird der DC auch als Anwendungs- und File-Server genutzt.
Was ist vor der Heraufstufung eines Windows 2003 Servers zum Domänencontroller zu beachten?
Wichtig für das erfolgreiche Nachbauen anhand dieses Artikels ist vor allem, dass der Server frisch installiert wurde und noch keinerlei Einstellungen verändert wurden – eine ganz normale Standard-Installation mit den beim Setup vorgeschlagenen Default-Werten also. Sicherlich ist es auch möglich, einen bereits im Produktivbetrieb befindlichen und entsprechend konfigurierten Server zum DC heraufzustufen – das aber muss vorher gut geplant werden und bedarf vor allem der Rücksetzung einiger Einstellungen auf die Default-Werte, worauf ich hier verständlicherweise nicht eingehen kann.
Die einzige Einstellung, die vor dem Heraufstufen geändert werden muss, ist die Vergabe einer statischen IP-Adresse, dazu später mehr.
Voraussetzungen für den Betrieb eines Domänen-Controllers
Um ein AD im LAN zu betreiben, bedarf es ein wenig Vorplanung. Man muss sich vorher darüber im Klaren sein, welches IP-Segment man wählt – ist der DC erst mal mit einer statischen IP-Adresse versehen und heraufgestuft, lässt sich dies nachher nur noch schwer ändern. Insbesondere wenn vom LAN aus später Zugriffe auf externe Netze stattfinden sollen, ist die Wahl des IP-Segments ausschlaggebend: Verwendet z.B. das Firmennetz das gleiche IP-Segment, dann sind VPN-Verbindungen später ein Problem etc. Auch dazu später mehr Details. Wählt das IP-Segment eures DCs (und somit eures LANs) also am besten außerhalb aller bereits vorhandenen Netze (in diesem Artikel wird das IP-Segment 192.168.10.0/24 sein), also ein privates Klasse-C-Netz.
Weiterhin ist das Betriebssystem der Clients im Netz wichtig: Windows 2000 Professional oder Windows XP Professional sind die Betriebssysteme, die in ein AD hineingehören, mit älteren Systemen wie 9x, ME oder NT lässt sich im AD nicht viel anstellen. In diesem Artikel gehe ich von Windows XP Professional als Client-Betriebssystem aus, wobei die meisten Einstellungen 1:1 auch für Windows 2000 Professional übernommen werden können.
Last but not least muss natürlich das Netzwerk selbst vernünftig laufen, es sollte also zumindest ein Switch oder ein Router mit integriertem Switch samt der passenden Kabel zum Anschluss der Clients vorhanden sein. Von Direktverbindungen via Crossover-Kabel rate ich an dieser Stelle ab, das führt unweigerlich zu Problemen, wenn nicht permanent beide Rechner laufen – jeder DC muss permanent an eine aktive Netzwerkverbindung angeschlossen sein, sonst hagelt es Fehlermeldungen. Bei einer Crossover-Verbindung wird die Netzwerkverbindung aber beim Abschalten des Clients deaktiviert, somit sind die Probleme vorprogrammiert. Davon abgesehen stellt sich die Frage, ob für einen Rechner unbedingt ein DC her muss…
So, das sollte an Theorie erst mal genügen – der zweite Teil, der dann – wie alle anderen nachfolgenden Teile auch – mit Screenshots versehen sein wird, beschäftigt sich mit der Heraufstufung eines Windows 2003 Servers zum Domänen-Controller und beschreibt Vorgehensweise und Auswirkungen.
Teil 2: Einrichten des Active Directory
Teil 3: Konfiguration von DNS-/WINS- und DHCP-Serverdienst etc.
Teil 4: Erstellen der benötigten Freigaben, Anlegen von Usern etc.
Teil 5: Erstellen und Verknüpfen eines Login-Skripts, Setzen von lokalen Berechtigungen etc.
Teil 6: Installation und Konfiguration der Software Update Services (SUS)
Grundsätzlich sollte es genauso funktionieren, wobei selbst AD nun weitere Features bietet.
Ich habe diesen Artikel jetzt aus aktuellem Anlass gefunden. Zwischen dem Erstellen und heute liegen eine Menge Betriebssysteme. Bevor ich anfange mich damit intensiv auseinander zu setzen, hätte ich eine Frage : ist al dies hier auch anwendbar, wenn auf den Clientcomputer Windows 7 installiert ist mit Explorer 9 oder höher ?