9 NT-Server von Windows 9x aus managen

Werbung
Ergänzungen zur Verwaltung von Windows NT
Inhalt
Ergänzungen zur Verwaltung von Windows NT ...................................................................................... 1
1 NT Installation und Vervielfältigung .................................................................................................. 1
1.1
Voraussetzungen: ..................................................................................................................... 1
1.2
Weg 1: ....................................................................................................................................... 1
1.3
Weg 2: ....................................................................................................................................... 2
2 Nutzung von Festplatten > 8 GB ...................................................................................................... 2
2.1
ATAPI-Treiber ........................................................................................................................... 2
2.2
Druckertreiber HP ..................................................................................................................... 2
3 DMA-Zugriff ...................................................................................................................................... 3
4 NE2000-kompatible Netzwerkkarten und SCSI-Karten ................................................................... 3
5 Optimierung der Auslagerungsdateien (Last nur mit Office oder Corel erzeugbar)......................... 4
6 Zeitgesteuerte Aufgaben .................................................................................................................. 4
6.1
Die Aufgaben ............................................................................................................................ 4
6.2
Kommandozeile – at ................................................................................................................. 4
6.3
Explorer ..................................................................................................................................... 5
7 Der NT Security-Manager ................................................................................................................ 5
7.1
Zur Erinnerung: Poledit ............................................................................................................. 5
7.2
Die MMC ................................................................................................................................... 5
7.3
Der Security-Manager ............................................................................................................... 5
8 NT-Server von Windows 9x aus managen ....................................................................................... 8
9 Rechte im Dateisystem mit cacls ..................................................................................................... 8
10
Stapeldateien. Wiederholung und Ausbau ................................................................................... 8
Anhang: Benötigte Software .................................................................................................................. 10
1 NT Installation und Vervielfältigung
1.1


Voraussetzungen:
Auf allen Computern ist Windows 98 vorhanden
Die Computer sind über Windows 98 vernetzt
oder
 Kommandozeilen-Netzwerkfunktionalität von der Installations-CD (funktioniert nur für wenige Karten, von WFW 3.1, veraltet)
oder
 Kopie von i386 über UNIX-Netz (Weg 2)
Installation eines NT auf einem Computer
Einrichtung Netzwerkfunktionalität
Einrichtung Grafikkarte
Falls Software mit kopiert werden soll, dann installieren.
Nutzer x als zweiter Administrator
Nutzer y
Sichern der Registrierdatenbank mit rdisk /S
1.2
Weg 1:
Kopieren des Systems mittels xcopy
Restaurierung der Registrierdatenbank mit expand
Auf Zielcomputer
Prüfung der neuen Partitionsnummer mit Objektmanager
Erweiterung der boot.ini
Mit Objektmanager Zuordnung zwischen Partitionsnummern und Partitionsbuchstaben herstellen.
Die Liste der Partitionen findet man unter ArcName
Unter ?? steht eine Liste der symbolischen Bezeichnungen. Hier sucht man den LW-Buchstaben und
findet rechts die Partitionsnummer.
Anmerkung: Auch Netzwerklaufwerke sind korrekt eingetragen. Es wird aber nicht der UNC-Name,
sondern folgender Eintrag benutzt (Beispiel):
\Device\LanManRedirector\T:\C3PO\Tausch
Auf anderen Computer
boot.ini, ntldr, ntdetect.com nach C:\
Bootsektor restaurieren
1.3
Weg 2:
MSBatch installieren
Vorlage für mehrere verschiedene Computer erzeugen (Unterschiedliche Namen beachten).
i386-Verzeichnis mit erzeugter Vorlage verbinden
Über Netzwerk eingerichtetes NT installieren
1.4
Weg 3: Systems Management Server
Anwendung: Hunderte oder Tausende von Computern in Netzwerken, auf denen Windows 98 installiert, eingerichtet und verwaltet werden soll.
SMS organisiert die Computer in einer Hierarchie von Sites. Eine Site ist eine Gruppe von Servern
und Clients in einem bestimmten geografischen Gebiet. Eine Site besteht aus einer oder mehreren
Domänen, wobei jede Domäne ein LAN repräsentiert.
Unterteilung in central site, primary site and secondary site.
Die central Site ist eine primary site an der Spitze der Hierarchie, von der aus alle Sites und Computer
in der Hierarchie verwaltet werden können.
Als „Verwaltungssystem“ ist NT erforderlich (ab 3.51).
Weiter wird ein SQL-Server benötigt. In ihm speichert SMS Hardware- und Software-Informationen zu
allen Computern.
SMS verteilt automatisch Software in Packages und installiert sie.
2 Nutzung von Festplatten > 8 GB
2.1
ATAPI-Treiber
Standardinstallation von NT erkennt Festplatten nur bis zu 8 GB. Der Platz darüber wird nicht angezeigt.
Der Treiber ist im Service Pack 4 enthalten oder kann einzeln aus dem Internet bezogen werden (atapi.sys und oemsetup.inf).
Vorgehen bei Neuinstallation:
 Die Installation bricht mit „unsinnigen“ Fehlern ab, zerstört u.U. die ganze Partitionstabelle.
 Beide Dateien auf Diskette kopieren.
 Bei Installation wird nach Geräten gesucht. „Weitere“ angeben, Gerät von Diskette laden.
 Installation durchziehen. Bei jedem Neustart so verfahren.
 Wenn die Installation fertig ist, Systemsteuerung/SCSI, alten Treiber deinstallieren, neuen Treiber
installieren.
Achtung:
 Falls ein anderer Treiber vorher installiert war (z.B. PIIXIDE.SYS), dann ist dieser grundsätzlich
vorher zu deinstallieren.
 Dazukommende HD: Nach Installation des Treibers zeigt der Festplattenmanager den zusätzlichen Platz über 8 GB an. Er kann nach belieben benutzt werden.
2.2
Druckertreiber HP
Neueste Treiber von HP haben für manche Drucker Probleme.
Beispiel: HP 720C.
Treiber 10.1 funktioniert auf allen HD (aber zeigt Farbverfälschungen).
Treiber 10.3:
Läßt sich auf HD > 8 GB weder unter NT noch unter Windows 98 installieren. Setup startet nicht erst
oder bricht mit Fehlermeldung ab.
Falls das System durch Kopie auf eine große Platte gekommen ist, funktioniert er für kleine Druckdateien.
Bei großen Druckdateien (< 90 – 100 MB) wird ca. 2 h auf der HD gearbeitet. Dann bricht der Vorgang
ab mit der Meldung: Zuwenig Speicherplatz (Obwohl GB frei sind).
Ausweg: Druckereigenschaften/Zeitplanung, Direkt zum Drucker leiten  hilft für etwas größere Dateien, aber nicht für ganz große.
Achtung: Problem tritt auch auf, wenn von einer kleinen Platte im Netz gedruckt wird, aber der Drucker
hängt an der großen Platte.
3 DMA-Zugriff
DMA-Zugriff auf IDE-Festplatten ist in Windows 98 standardmäßig eingestellt, in NT standardmäßig
nicht. Einstellung mittels Software möglich. Ab einem Service Pack soll die Unterstützung eingebaut
sein.
Vorgehen
 Programm Dmacheck.exe benutzen (Internet o.ä., s.u.)
 Archiv der Registry mit rdisk /S
 DMA-Zugriff für gewünschte Controller einstellen. Beide Geräte müssen DMA-tauglich sein.
 Neu booten.
 DMACheck erneut starten. Ablesen, ob DMA-Modus läuft oder nicht.
 Falls DMA-Modus nicht läuft:
 Per Hand Änderung in der Registry.
 HLM\System\CurrentControlSet\Services\atapi\Parameters\Device0
 Eintrag DriverParameter steht auf 0x1. Mit diesem Wert testet das System, erzwingt den Zugriff
aber nicht.
 Setzen des Wertes auf 0x2 erzwingt den Zugriff.
 Falls Tauglichkeit nicht zutrifft, Absturz beim Hochfahren mit blauem Bildschirm.
 Falls Absturz eintritt, ist die Datenbank system zu restaurieren (zweites NT oder R/W-Treiber ntfsdos).
Im Internet gibt es Stellungnahmen zu erfolgreichem Einsatz und zu vergeblichen Versuchen.
Bei mir: Funktioniert nicht. HD 2 läuft, UDMA 1 nicht. System startet, da auf HD 2.
Anscheinend darf die HD nicht für UDMA vorgesehen sein.
Links:
Registry Changes
Programm starten:
,
NT with DMA-Drives
,
Shuttle Support NT
,
DMACheck erhalten
DMACheck
4 NE2000-kompatible Netzwerkkarten und SCSI-Karten
Der NE2000-kompatible „Standard“ wurde von Novell erarbeitet. Seit Existenz dieser Karten gibt es
Schwierigkeiten, die auf ihrer Signalgebung beruhen. Hier – eigene Erfahrungen.
 Installation von SCO-Unix, alte Version vor mehreren Jahren.
Hardwareerkennung läuft nicht durch.
Signatur zeigt ein SCSI-Gerät an.
Nach Entfernen der Karte läuft alles.
Ursache: Die Karte wird als SCSI-Karte interpretiert. Da ihre Signalgebung dem aber nicht vollständig
entspricht, folgt das Aufhängen.
 NE2000-kompatible RTL8029.
Scanner an SCSI-Karte läuft völlig zufällig, nach Entfernen der Karte exact.
Ursache: Die Netzwerkkarte stört die SCSI-Karte
5 Optimierung der Auslagerungsdateien (Last nur mit
Office oder Corel erzeugbar)
5.1
Systemmonitor
Mit dem Systemmonitor lassen sich Engpässe in der Hardware aufdecken und folglich beseitigen.
Allerdings weiß man i.a. auch so, wo diese Engpässe liegen.
Die einzige Stelle, an der eine echte Optimierung möglich ist, ist die der Auslagerungsdateien.
Sie werden vom Administrator i.a. nach Partitionsgröße proportioniert. Die frühere Mindestgröße
(Hauptspeicher + 12 MB) ist nicht mehr aktuell (wurde für Speicherdump benötigt).
Optimierung
 Starten Systemmonitor.
 Diagramm erweitern (+)
 Objekt Auslagerungsdatei
 Alle Auslagerungsdateien wählen, gesamte Auslastung wählen (überall Prozent in Benutzung).
 Starke Last erzeugen. Etwa umfangreiche Powerpoint-Präsentation mit Bildauflistung.
 Prüfen, welche Auslagerungsdateien unterbelastet und welche überbelastet (voll) sind.
 Größe anpassen.
Ziel: Alle Kurven sollten gleichmäßig in einer Höhe liegen. Das Ganze ist natürlich nur dann sinnvoll,
wenn mehrere Partitionen vorliegen.
5.2
Neueste Variante: Stress
Stress-Software für Windows NT (gab es für Windows 98 schon immer).
Erforderlich: Client und Server, beide verbunden durch ein Null-Modem.
Der Server wird mit Stress belastet, die Daten werden über das Nullmodem an den Client gesendet,
wo sie ausgewertet werden.
6 Defragmentieren der Auslagerungsdateien und HiveDateien
Beide können nur defragmentiert werden, wenn sie nicht geöffnet sind. Das ist möglich während des
Boot-Prozesses.
Tool Pagedefrag von sysinternals. Man benötigt Pagedfrg.exe und den Service pgdfgsvc.exe. PagePagedefrag starten
Tool starten:
Every Boot wählen.
7 Zeitgesteuerte Aufgaben
7.1
Die Aufgaben
 Defragmentierung mit contig
Reine Defragmentierung, Lücken im Dateisystem werden nicht verdichtet.
-v Ausgabe der Dateinamen
-s Rekursiv mit Unterverzeichnissen
-q Quiet, ohne Dateinamen,
Dateinamen und wildcards sind erlaubt.
Nicht interaktiv.
 Komplettes Archiv der Registrierdatenbanken: rdisk /S, interaktiv, einmal in der Woche
 Check der Partitionen mit chkdsk, verteilt auf verschiedene Tage, interaktiv, pro Partition einmal in
der Woche.
Syntax: chkdsk LW: /F
Bei gesperrten Laufwerken ist Abfrage mit J zu beantworten.
Die Rücknahme eines chkdsk erfolgt mit chkntfs.
7.2
Kommandozeile – at
Bei at ist sehr genau die Reihenfolge der Optionen zu beachten.
Die Aufgaben dürfen keine Eingaben erfordern. Falls doch, ist die Option /interactive zu benutzen.
Nicht interaktive Aufgaben laufen völlig im Hintergrund, auch ohne Bildschirmausgabe. Falls Bildschirmausgabe indirekt gewünscht ist, dann Umleitung (alles in Anführungszeichen). Die Prozesse
sind in der Prozessliste enthalten, dazu ein Prozess mstask.
at ohne Parameter: Überblick über die Aufgaben. Die Aufgaben sind mit IDs durchnumeriert
at ID: Genaue Informationen zur Task
Beispiel: at 13:34 contig –s –q c:\*.*
Der ID wird angezeigt.
at ID /delete: löscht die Aufgabe
Obiges Beispiel wird einmal ausgeführt zur nächsten Zeit. Die Zeit muss immer angegeben sein.
Wiederholungen: /every:Datum
Datum können Tagesnummern des Monats oder Wochentage sein.
Beispiele: /every:Di,FR
/every:1,7,14,25
Einmal in der Zukunft: /next:Datum
Reihenfolge : Zeit /interactive /every /next Befehl
Aufgaben:
 contig
Jeden Wochentag um 10:301 Start von contig für jedes Laufwerk im quiet-Modus
 chkdsk
Für den Start von chkdsk ist eine Stapeldatei check.cmd zu schreiben, so dass kein interaktiver Modus erforderlich ist.
Jeden Dienstag um 13:00 Start von check.cmd
 rdisk
Jeden Freitag um 12:00 Start von rdisk /S
7.3
Explorer
Die Zeitplanaufgaben könne auch im Grafikmodus abgelesen und bearbeitet werden: Explorer  Arbeitsplatz  Geplante Vorgänge (Auch davon Kontextmenü  Öffnen)
Man hat wesentlich mehr Optionen, etwa Start beim Computerstart oder beim Anmelden.
Mangel: Interaktive Vorgänge nicht startbar.
Aufgabe: Löschen Sie die Aufgaben mit contig und fügen Sie sie neu ein.
Testen Sie clock.exe (am besten um 16:00!).
8 Der NT Security-Manager
8.1
Zur Erinnerung: Poledit
Festlegung für Zugriffsrechte bei Benutzern und Computern.
Poledit wird mit jedem Service Pack von NT neu ausgeliefert mit stets modernisierten Einstellungen
8.2
Die MMC
Teil des OS von Windows 2000, anwendbar unter NT 4 und Windows 9x
Interface für alle zukünftigen Management-Tools von Microsoft
Die Management-Tools werden als Snap-Ins geladen. Sie werden in die Console aufgenommen, ihre
Einstellungen werden gespeichert und können als Datei an andere Computer gegeben werden.
8.3
Der Security-Manager
Erinnern uns: Sicherheit spielt an vielen Stellen eine Rolle:
 Dateisystem
 Drucker
 Registry
 Eventlog
 Benutzermanager (Richtlinien, Konten, Überwachung).
Diese vielen Stellen für Untersuchung und Einstellung werden zu einer zusammengefaßt.
Ausgeliefert wird eine Kommandozeilenversion und ein Snap-In für die MMC.
1
Zeiten und Tage entsprechend der Verfügbarkeit modifizieren.









Erforderlich ist mindestens SP 4.
Für den Grafikmodul ist erforderlich IE3 und die MMC.
Der Manager wird im SP 4 mitgeliefert, und zwar in \MSSCE\<Plattform>.
Mit mssce.exe /C wird nur die Kommandozeilenversion installiert.
Installation des Snap-In
Der MMC ist zu öffnen
Im Menü Konsole wählen Snap-In hinzufügen/löschen
Hinzufügen wählen
Den SCM auswählen
Eine Reihe von vordefinierten Konfigurationsdateien wird mitgeliefert.
Configuration File Security Level
Platform
---------------------------------------Basicwk.inf
Default
NT4 Wksta
Basicsv.inf
Default
NT4 Server
Basicdc.inf
Default
NT4 DC
Compws4.inf
Compatible
NT4 Wksta\Server
Compdc4.inf
Compatible
NT4 DC
Securws4.inf
Secure
NT4 Wksta\Server
Securdc4.inf
Secure
NT4 DC
Hisecws4.inf
High Security
NT4 Wksta\Server
Hisecdc4.inf
High Security
NT4 DC
Off97SR1.inf
w/ Compatible
NT4 Wksta\Server
Die Datenbank des SCM steht darüber.
Klick mit rechter Maustaste öffnet das Kontextmenü.
Import eines Templates, wir nehmen basicwk4.
Öffnen ist möglich im Autorenmodus (Änderungen zugelassen) oder Benutzermodus (Keine Änderungen).

Nun lassen wir das System analysieren.
Kontextmenü der Datenbank, Analyse des Systems.
 Die Logdatei wird irgendwo untergebracht (Standard ist der Temppfad).
 Wenn die Analyse beendet ist, zeigt die Darstellung links die Einstellung des geladenen
Templates in der Datenbank, rechts die Einstellung auf dem Computer.
 Probleme werden durch ein Stoppschild gekennzeichnet.
Allerdings sind einige Probleme möglicherweise durch Sprachunterschiede entstanden (en –
dt). Sie lassen sich beseitigen durch Entfernen von Checks und wieder Setzen.
 Folgende Rubriken werden verwaltet:
- Kontenrechte (Account Policies) (Passwort, Lockout)
- Lokale Rechte (Local Policies) (Kontrolle, Nutzerrechte, Sicherheit)
- Eventlog
- Restricted Groups (Recht zur Konfiguration)
- System Services (Rechte der Dienste)
- Registry
- Dateisystem
 Bei den letzten beiden mit Baumstruktur wird noch angezeigt, wieviele Unterelemente vorhanden sind.
Die Einstellungen der Datenbank werden komplett in der MSC-Datei gespeichert.
Man geht nun folgendermaßen vor:
 Die Einstellungen des importierten Templates werden durchgegangen.
 Man vergleicht mit den Einstellungen des Computers. Gegebenenfalls werden Einstellungen vorgenommen.
 Bei Non Configured ist die Erfassung ausgeschaltet.
 Einstellung: Rechte Maustaste auf Eintrag, Wahl Security.
 Einstellung vornehmen, eventuell die Erfassungssperre beseitigen.
 Speichern der Änderungen.
 Falls die Änderungen zu verwerten sind: Rechte Maustaste auf Datenbank, Exportieren, Dateinamen festlegen.
 Die Endung ist .INF. Es handelt sich um eine Textdatei.
 Einarbeiten der INF-Datei: Rechte Maustaste, Installieren.
Leider funktioniert bei NT 4 nicht alles, offensichtlich ist der Installer noch nicht auf dem neuesten
Stand.
Wenn bereits eine INF-Datei im Computer eingearbeitet ist, kann später wieder mit einem Muster verglichen werden.
 Man kann damit etwa das Sicherheitsniveau eines Computer auf zwei verschiedenen Stufen betreiben, indem man die Umstellung mit INF-Dateien vornimmt.
 Auch lassen sich beliebig viele Computer damit einstellen.
8.4
Übung zu Einstellungen
8.4.1 Kontenrechte
Minimale Passwortlänge: 4 Zeichen
Konto zwischen zwei Fehleingaben PW für 5 Minuten sperren
Gesperrtes Konto nach 45 Minuten freigeben.
8.4.2 Lokale Rechte
Logons sind erfolgreich und fehlerhaft zu protokollieren.
Einstellung von Rechten ist im Fehlerfall zu protokollieren.
8.4.3 Benutzerrechte
Besitzübernahme an Dateien auch für Hauptbenutzer
Laden und Entfernen von Gerätetreibern auch für Hauptbenutzer
Herunterfahren von Fernsystem für niemanden erlaubt.
Systemzeit darf durch Nutzer geändert werden.
8.4.4 Sicherheitsoptionen
Konto des Administrators umbenennen zu root
Auf das Floppy sollen nur lokale Nutzer zugreifen können
8.4.5 Eventlog
Maximalgrößen für Security (1024), System (720)
Einträge für 7 Tage behalten
Einträge überschreiben, wenn nötig
Gästezugriff auf alle Logs verbieten
8.4.6 Restricted Groups
Administrator und zweitem Administrator Editieren erlauben
8.4.7 System Services
Zeitplandienst: System darf schreiben und lesen
8.4.8 Registry
Sorgen Sie dafür, dass der Nutzer Ernst Änderungen des Eintrages für .txt vornehmen kann.
8.4.9 Dateisystem
Verzeichnis „Programme“. Vollzugriff für jeden entfernen, einsetzen für Admin-Nutzer und System.




Führen Sie die Änderungen durch.
Speichern Sie und erzeugen Sie eine INF-Datei.
Installieren Sie die Einstellungen der INF-Datei.
Prüfen Sie, dass sich die Änderungen nicht ausgewirkt haben.
9 NT-Server von Windows 9x aus managen
9.1
Servertools
Installation: Systyemsteuerung --> Software, Windows Setup, Diskette.
srvtools.inf wählen. Nach Installation liegt Programmgruppe vor.
Verwaltet werden:
 Server-Manager
 Properties - Systemsteu/Server für den Remote Computer
 Eingeloggte Nutzer
 Benutzung von Freigaben
 Benutzte Ressourcen
 Directory Replication
 Warnungen
 Freigaben
 Neue Freigabe
 Freigabe beenden
 Eigenschaften und Berechtigungen
 Dienste
 Verwaltung wie bei Systemsteuerung
 Message: Mitteilung an alle Nutzer, die mit diesem Computer verbunden sind
 Das übrige sind Aufgaben für eine Domain

Benutzer-Manager für Domänen
 Funktioniert nur, wenn eine Domäne festgelegt ist. Nicht, wenn nur in Arbeitsgruppen gearbeitet wird.

Event-Viewer
 Die Logs von System, Sicherheit und Anwendung können durchgesehen werden.
9.2
Netinfo
Netzwerk-Diagnostik-Tool der Uni Cottbus, Informatik. In Vorabversion im Internet.
Sichtbar sind:
Computer und darauf
Transportprotokolle
Gestartete Dienste
Geräte und ihre Einstellungen
Vorhandene Gruppen und Nutzer
Freigegebene Verzeichnisse
Eingeloggte Nutzer (Sessions)
Das alles ohne Administratorenrechte!
10 Rechte im Dateisystem mit cacls
11 Stapeldateien. Wiederholung und Ausbau
for-Anweisung
Archive mit Winzip auf der Kommandozeile
Einbau der Archivierung in Stapeldatei
Archiv in einem Verzeichnis mit Datum anlegen
Archiv in durch numerierten Unterverzeichnissen eines Datumverzeichnisses anlegen
12 Verbindung zwischen NT und Unix
Dokument von Microsoft:
Dokument öffnen
13 Das Sicherheitsmodell als Beispiel
14 Erste Bekanntschaft mit Windows 2000
14.1
14.2
14.3
14.4
14.5
Versionen
Neuheiten in Professional
Neuheiten in Server
Neuheiten in Advanced Server
Persönliche Ansichten und Probleme
Darüber installieren über ein vorhandenes System: winnt32 mit Option /unattend.
Dann werden sämtliche Einrichtungen und Einstellungen übernommen.
Option /B nicht mehr vorhanden. Diskettenfreie Installation ist jetzt Standard
+
Minimalanforderung 133 MHz. Läuft ordentlich mit 120 MHz.
Fast keine Interaktion mehr bei der Hardware erforderlich.
Weniger neu booten.



Vorhandenes System. Darüber installiert mit /unattend.
Beim Systemstart blauer Bildschirm. Verursacht durch Treiber NeroCDNt.sys von Brennersoftware.
Treiber schreibt in schreibgeschützten Bereich. Kein Verfahren gefunden, mit dem Treiber beseitigt werden kann  System ist futsch. Also völlige Neuinstallation.
Grafikkarte ist ATI Mach32 Ultra Pro (mit Busmaus).
Eingerichtet wird ATI 32.
- Zugelassen ist bei 800x600 nur Refresh von 60 Hz und 70 Hz. Mit 70 Hz Bildschirmverzerrung. Mit altem Treiber mit 72 Hz ordentlich gelaufen.
- Busmaus wird nicht erkannt.
Verwaltung über normale Systemsteuerung, wo ich MMC erwartet hätte
Anhang: Benötigte Software
CD NT
Servicepack 5
MS Office
Last für Office (Optimierung Auslagerung), Urlaubs-CD, vorher Office installieren
contig
Objektmanager
MMC
Security Configuration Manager
Winzip 7
Winzip 7 Kommandozeile
dmacheck.exe
Herunterladen