Minna-Handbuch Minna-Server und Minna-Netz Planung, Installation, Verwaltung Version 1.5 – Januar 2006 minna-server Unternehmen www.minna-server.de http://handbuch.minna-server.de Minna ist ein kompakter und universeller Standard-Server für kleine und mittlere Netze. Dieses Buch enthält eine Beschreibung aller notwendigen Schritte zu Planung, Installation und Verwaltung des Minna-Servers. Inhalt Minna - von Null auf Hundert: Arbeitsschritte im Überblick 3 1. Einsatz und Planung 1.1 Minna-Dienste im Überblick 1.2 Minna-Netze im Überblick 1.3 Server- und Netz-Hardware 5 5 6 9 2. Vorbereitung 2.1 Installationsdaten 2.2 DynDNS-Registrierung 2.3 Router und Netz 10 10 11 14 3. Installation 3.1 Minna-Server Basis-Installation 3.2 Minna Dienste-Installation 3.3 Minna-Administrator Einrichtung 15 15 17 19 4. Verwaltung 4.1 Benutzer und Gruppen 4.2 Verzeichnis-Freigaben 4.3 Mail-Einstellungen 4.4 Daten-Sicherung und Wiederherstellung 4.5 Fax und ISDN 4.6 SPAM- und Virenschutz 4.7 Router-Konfiguration 4.8 WEB-Proxy 4.9 Benutzer-Passwörter ändern 20 22 23 25 29 33 34 38 38 39 5. Minna-Dienste von Windows aus nutzen 5.1 Netz-Einstellungen 5.2 Windows-Setup 5.3 Zentrale Nutzer-Domäne oder Lokale Anmeldung 5.4 Windows Dienste - Einstellung und Nutzung 40 40 42 43 45 6. Minna WEB-Dienste 47 Anhang A: Minna-Hardware-Kriterien Anhang B: DynDns HowTo - Minna-Dienste und DNS Anhang C: Beispiel einer Minna-Konfigurationsdatei Anhang D: Erweitere Konfigurationseinstellungen Anhang E: Lizenzbestimmungen 48 52 58 62 62 Abkürzungsverzeichnis und Begriffserklärung 63 Das Handbuch ist so kurz und einfach wie möglich gehalten. Es soll auch Leuten mit wenig IT- Fachkenntnissen als Anleitung dienen. 2 Minna - von Null auf Hundert: Arbeitsschritte im Überblick Minna ist ein einfacher, modular integrierter und konfigurierter Standard-Server auf Linux und OpenSource-Basis, welcher alle Dienste für die Kommunikation, Organisation und Verwaltung in einem Netz mittlerer Größe bereitstellt. Für den Aufbau von Minna-Server und Netz ist eine sorgfältige Planung und Vorbereitung Vorraussetzung. Die Installation erfolgt weitgehend automatisch. Die Konfiguration wird nach der Installation in der Minna-Verwaltung vorgenommen. Der Aufbau erfolgt in folgenden Schritten: 1. Planung 1. Wählen Sie die benötigten Minna-Dienste anhand der Minna-Dienste Tabelle (Kapitel 1.1). 2. Bestimmen Sie den günstigsten Netz-Aufbau mit Hilfe des Überblicks über die MinnaNetze (Kapitel 2). Überlegen Sie, ob Sie alle Dienste auf einem Server bereitstellen oder ob mehrere Server mit verteilten Diensten notwendig sind. 3. Minna-Server Software ist auf unterschiedlichster Hardware lauffähig. Stellen Sie die Hardware für Server und Router zusammen, oder nutzen Sie vorhandene Rechner-Hardware. Anhaltspunkte finden Sie in Kapitel 1.3 Server- und Netz-Hardware sowie im Anhang A. 2. Installations-Vorbereitung: 1. Bestimmen Sie die Installationsdaten für jeden zu installierenden Server mit Hilfe der Installationsdaten-Tabelle (Kapitel 2.1). 2. Optional: Bei Betreiben von WEB-Diensten auf dem Minna-Server nehmen Sie eine DynDNS Registrierung vor (Kapitel 2.2 und DynDNS-HowTo, Anhang B). 3. Router-Konfiguration und Netzanschluss: Nehmen Sie notwendige Router-Einstellungen vor: Provider-Zugangsdaten, LAN-IPAdresse, DynDNS-Zugangsdaten, VPN. Verbinden Sie Server, Router und lokales Netz. (Kapitel 2.3) 3 3. Installation Komplett-Installation von Minna-Server Installations-DVD 1. Basis-Installation: Installation eines an die Minna-Dienste angepassten LinuxBetriebssystems (Kapitel 3.1) 2. Minna Dienste-Installation (Kapitel 3.2) o Installation zusätzlicher Basis-Packete (os) und Updates (update) o Einbringen der Minna-Daten (config) und Packete (minna) 3. Einrichtung des Minna-Administrators in der Minna-Verwaltung (Kapitel 3.3) 4. Setup der Windows-Arbeits-Stationen (Kapitel 5.2) o Optional: Ausführen des Minna-Setups auf den Arbeitsstationen o Optional: Windows-Arbeitsstationen in die Minna-Domaine aufnehmen 4. Konfiguration und Verwaltung Nach der Installation richten Sie den Server über die Minna-Verwaltung ein: Folgende Schritte sind üblicherweise durchzuführen: Richten Sie Gruppen und Nutzer ein! (Kapitel 4.1) Erstellen Sie Verzeichnis-Freigaben! (Kapitel 4.2) Ordnen Sie externe Mail-Adressen zu! (Kapitel 4.3) Richten Sie das automatische Backup ein! (Kapitel 4.4) Konfigurieren Sie den FAX- und ISDN-Zugriff! (Kapitel 4.5) Stellen Sie auf Viren zu überwachende Verzeichnisse und Spam-Level ein! (Kapitel 4.6) Nehmen Sie Port-Umleitungen auf Minna-WEB-Dienste vor! (Kapitel 4.7) Ändern Sie Passwörter! (Kapitel 4.9) 4 1. Einsatz und Planung 1.1 Minna-Dienste im Überblick Minna stellt eine Reihe von Diensten auf einem oder mehreren Servern im Netz bereit. Welche Dienste bereitgestellt werden sollen, ist bis auf den Basis-Dienst frei wählbar. Die Minna-Dienste können komplett auf einem Server bereit gestellt werden oder auf verschiedene Server verteilt werden. Alle Dienste sind nach der Installation sofort nutzbar, sie sind konfiguriert und gestartet. Die Auswahl erfolgt während der Installation. Standardmäßig werden alle Dienste installiert. Die Dienste sind auch nach der Installation einzeln deaktivierbar. Tabelle 1: Minna-Dienste Dienste für lokales Netz und VPN NET, BIND, SOS, DHCPD Verwaltung aller angeschlossenen Arbeitsstationen, DNS-Server, Zeit-Synchronisation, Fehler-und Dateisystem- Überwachung, USB-Erkennung, Nutzerverwaltung, DHCP Dienst mit DNS-Synchronisation für LAN/WLAN/VPN WEBPROXY Internet-Proxy mit oder ohne Zugriffs-Kontrolle und Cache MAIL SMTP Server, POP2/POP3-Server, IMAP-Server, zentrale Mail-Verwaltung, MailAbholung und Zustellung von externen Mail-Server GUARD Mail-Spam-Schutz, Mail-Viren-Schutz, Viren-Schutz des Datei-Systems ISDN CAPI-Schnittstelle für alle Arbeitsstationen, Fax- Versand und Empfang, ISDNAnruf-Monitor für Arbeitsstationen SAMBA Windows Datei-Server, Windows Domain- und Nutzer-Verwaltung BASIC BACKSTORE Daten-Sicherung und Daten-Wiederherstellung, System-Wiederherstellung WINCLIENT Setup für Windows- Arbeitsstationen Dienste für WEB und/oder lokales Netz und VPN HTTPD beliebig viele WEB-Server für Internet und/oder lokale Nutzung FTP zugriffskontrollierter FTP-Server SQLDB MySQL-Datenbank Verbindung von Internet und lokalem Netz: ROUTER DSL-Zugang, automatische VPN-Verbindung und VPN-Einwahl, Firewall, DMZ-Trennung, DynDNS-Update, Subnetz-Trennung, Bandbreiten-Begrenzung 5 1.2 Minna-Netze im Überblick Minna-Dienste können in verschiedenen Netz-Konfigurationen zentral oder verteilt betrieben werden. Netz-Varianten: Der Aufbau des Netzes richtet sich im Wesentlichen danach, a) Standard-Netz b) Sicherheits-Netz c) Home-Netz welche Art von Diensten benötigt wird (WEB-Dienste, File-ServerDienste, ...) wie hoch die Anforderungen an deren Sicherheit sind ob mehrere Minna-Netze zu verbinden sind wie groß der Datenverkehr ist, lokal und von und zum Internet Bild 1: Minna-Netz Beispiel Das Netz besteht aus Router, Server und den Arbeitsstationen des lokalen Netzes Es können bei Bedarf weitere lokale Subnetze angeschlossen werden, z.B. 10.3.10.* via eth2, 10.4.10.* via eth4 usw. Datenaustausch zwischen INTRANET und Internet erfolgt über das ROUTERNET und die RouterFirewall. Alle gewählten Dienste sind auf einem Server installiert. File-Server-Dienste wie SAMBA werden nur im lokalen Netz bereitgestellt. Zugriffe aus dem Internet sind auf Web-Server-Dienste des ROUTERNET beschränkt. VPN-Kommunikation erfolgt über den VPN-Server des Routers. Über den ISDN-Dienst ist der CAPI-Bus für beliebige ISDN-Anwendungen auf den lokalen Arbeitsstationen verfügbar. 6 Drei typische Netz-Konfigurationen Im folgenden sind beispielhaft häufig eingesetzte Netz-Konfigurationen beschrieben. Legen Sie auf dieser Grundlage Ihren Netzaufbau fest. a) Die Standard-Netz-Konfiguration: erfüllt optimal die üblichen Sicherheits- und Leistungs-Anforderungen. Sicherheit durch Hardware-Router-Firewall Der Teil des lokalen Netzes, der durch die Router-Firewall hindurch vom öffentlichen Netz aus zugreifbar ist (DMZ für Web-Server-Dienste) und daher nur teilweise geschützt ist, läuft in separatem Subnetz und wird durch die zweite Netzwerk-Schnittstellen vom lokalen Netz logisch getrennt. Der Datenverkehr im lokalen Netz belastet nicht den Netzverkehr vom/zum Internet und umgekehrt. Alle Minna-Dienste sind zentral auf einem Server installiert. Bild 2: Minna-Standard-Netz 7 b) Die Sicherheits-Netz-Konfiguration mit verteilten Diensten: entspricht hohen Anforderungen an die Sicherheit des lokalen Netzes und an das NetzLeistungsverhalten. Alle von außen zugänglichen Minna-Dienste werden auf einem separaten Web-Server betrieben. Der SAMBA-Dienst wird auf einem separaten internen File-Server bereitgestellt, wenn große Belastung und sicherheits-relevanten Daten zu erwarten sind (in kleinen Netzen mit niedriger Last kann SAMBA auch auf dem zentralen Minna-Server laufen). Das lokale Netz mit allen lokalen Diensten ist logisch und physikalisch vom Internet getrennt. Netzbelastung im lokalen Netz ist unabhängig von der Netzlast durch Zugriff auf WebServer-Dienste. Bild 3: Minna-Sicherheits-Netz c) Die Home-Netz-Konfiguration: für Netze ohne hohe Sicherheitsanforderungen oder mit nur lokal genutzten Diensten. Gewährleistet Internet-Zugang für alle Arbeitsstationen. Alle Server-Dienste sowie die Arbeitsstationen befinden sich in einem Subnetz. Trennung zwischen Internet und lokalem Netz erfolgt ausschließlich durch Router. Bild 4: Minna-Home-Netz 8 1.3 Server- und Netz-Hardware Server Der Aufbau des Servers richtet sich nach Anforderungen an Ausfall-Sicherheit, Daten-Sicherheit und benötigtem Speicher-Volumen, nach Ansprüchen an Rechenleistung und DatenÜbertragungsgeschwindigkeit. Die Minna-Server-Software kann auf beliebiger üblicher PC-Hardware oder auf einer der speziellen Hardware-Varianten laufen. Wesentlich Merkmale der Minna-Hardware-Varianten sind: DSL- und/oder ISDN- Hardware-Router für LAN und/oder WLAN Server-Festplatten mit/ohne RAID-Spiegelung leistungsfähiges Motherboard ISDN-Karte, mindestens 2 Netzwerk-Karten, USB-Schnittstellen Band-Laufwerk (optional) USV (optional) Die Server-Hardware kann anhand der Hardware-Kriterien (Anhang A) und eigenen Vorstellungen zusammengestellt werden. Router Die Minna Server-Software selber beinhaltet NICHT das Routing von und zum Internet. Für den Betrieb am Internet wird generell ein separater Hardware-Router eingesetzt. Das bringt erhebliche Vorteile an Sicherheit und Leistung. Der Minna-Server kann an die verschiedensten handelsüblichen Breitband DSL (oder ISDN) Router angeschlossen werden. Unter der Vielzahl verfügbarer Router favorisiert Minna die Vigor-Router der Firma Draytek. Nach Preis/Leistungs-Verhältnis sehr gut geeignet ist der Vigor2900 Router. Eine ausführliche Beschreibung befindet sich unter handbuch.minna-server.de/Vigor2900_Handbuch. Es können aber auch andere Router wie z.B. die der Firmen Netgear oder D-Link genutzt werden. Der Router sollte folgende Leistungsmerkmale unterstützen: NAT (Network Address Translation) DynDns (nur für externe Dienste nötig) VPN Tunnel Basis-Firewall-Funktionalitäten 9 7 2. Vorbereitung 2.1 Minna Installationsdaten In der folgenden Tabelle sind die Installationsdaten der Minna-Dienste gelistet. Tragen Sie als Hilfe Ihre Werte vorab in die Tabelle ein! Für alle einstellbaren Daten gibt es einen Standard-Wert, der aktiv ist, wenn kein anderer Wert angegeben wird. Minna empfiehlt, Daten nur dann zu ändern, wenn notwendig. Bei Neu-Aufsetzen eines Netzes können die Standard-Daten beibehalten werden, bei Integration in ein bestehendes Netz sind zumeist Anpassungen notwendig. Die Daten werden während der Minna-Dienste-Installation ins System übernommen. Die Tabelle listet nur die zur Installationszeit einzustellenden Daten, alle weiteren Einstellungen erfolgen über die Minna-Verwaltung. Die Daten können vorab als Datei 'custom.dat' auf Diskette bereitgestellt werden (siehe Beispiel in Anhang C). Tabelle 2: Minna-Server Installationsdaten Installationsdaten Name Standard Wert Server-Name SERVER:Name minna Name der lokalen DNS Domaine SERVER:Localdomain local Gewünschter Wert Hinweis BASIC Standard-Gateway des ROUTE:default Servers (Router-Adresse) 10.1.10.1 Subnetze SUBNETLIST:Subnets ROUTERNET, INTRANET1 Router-Schnittstelle IP-Adresse Subnetz-Maske ROUTERNET:Interface ROUTERNET:IP ROUTERNET:Netmask eth0 10.1.10.2 255.255.255.0 1. interne Schnittstelle IP-Adresse Subnetz-Maske INTRANET1:Interface INTRANET1:IP INTRANET1:Netmask eth1 10.2.10.1 255.255.255.0 2. interne Schnittstelle IP-Adresse Subnetz-Maske INTRANET2:Interface INTRANET2:IP INTRANET2:Netmask eth2 10.3.10.1 255.255.255.0 DNS-Server des Internet-Providers DNS:Forwarders 217.237.151.33, 217.237.149.225 nicht über MinnaVerwaltung änderbar siehe Netzplanung (Kapitel 1.2) in der RouterVerwaltung ablesbar (siehe Kapitel 2.3, Punkt 2) 10 WEBPROXY Web-Proxy Port WEBPROXY:DefaultPort 8080 ______ über Minna-Verwaltung änderbar Server und Proxy-Port müssen in den WebBrowsern der Arbeitsstationen angegeben werden. ISDN LandesKennung Fax:LANDES_KENNUNG 49 Ortsvorwahl Fax:VORWAHL 0815 Fax:AMT Kennziffer NebenstellenAnlage FAXNummer über Minna-Verwaltung änderbar - Fax:FAX_NUMMER 4711 SAMBA:DomainName Easy weitere Einstellung über Minna-Verwaltung www, mww Nicht über Minna-Verwaltung änderbar! SAMBA Name der WindowsDomaine HTTPD HTTPD:Servicenames Namen der HTTP-Hosts In Einzelfällen können zusätzliche Konfigurationsdaten notwendig sein. Welche weiteren Daten einstellbar sind und wie sie ins System gebracht werden, schlagen Sie bei Bedarf im Anhang D: Erweitere Konfigurationseinstellungen nach. Die Router-Konfiguration erfolgt separat in der jeweiligen Router-Verwaltung. Folgenden Daten sind mindestens notwendig: Tabelle 3: Router Installationsdaten Installationsdaten Wert Hinweis Internet ZugangsDaten: • Internet-Provider • Benutzername • Password DynDns Zugangs-Daten: • Provider-URL • Domain-Name • Benutzer • Password Besorgen Sie sich eine DynDns-Registrierung! IP-Adresse des Routers Die IP-Adresse des Draytek-Routers ist nach Fabrik-Einstellungen 192.168.1.1. Da die Router-Konfiguration über dessen WebSchnittstelle erfolgt, muss er von einem Web-Browser über seine IP-Adresse erreichbar sein (im gleichen Subnetz liegen). Wenn Sie eine Domaine unter MeinName.de registriert haben und unter diesem Namen Dienste bereitstellen wollen, nehmen Sie zusätzlich eine CNAME Verknüpfung für eine Sub-Domaine ihrer Internet-Domaine zu ihrem DynDns-Host-Namen vor. (Anleitung siehe Kapitel 2.2) 11 2.2 DynDNS-Registrierung Vorraussetzung für WEB- und VPN-Zugriff von außen ist ein öffentlicher DNS/DynDns-Name . Der Minna-Server muss im Internet bekannt sein, wenn Dienste, wie HTTPD oder FTP über das Internet genutzt werden sollen oder VPN-Einwahl ins Minna-Netz möglich sein soll. Um einen Rechner im Internet bekannt zu machen, muss seine IP-Adresse einem festen öffentlichen DNS-Namen zugeordnet werden. Die meisten Internet-Provider vergeben eine jeweils andere IPAdresse bei Internet-Einwahl eines Rechners oder nach bestimmtem Zeitablauf. Eine konstante IP-Adresse ist nur gegen Zusatz-Gebühren erhältlich. Für eine konstante IP-Adresse erfolgt einmalig die Zuweisung dieser Adresse auf einen DNS-Namen. Ist keine konstante Adresse vorhanden, so muss bei jeder IP-Adress-Änderung auch die Zuweisung der Adresse auf den DNS-Namen geändert werden (dynamisches DNS). Nachfolgend werden die Arbeitsschritte beschrieben, um einen Rechner, der an einen InternetZugang mit veränderlicher IP-Adresse angeschlossen ist, permanent unter festem DNS-Namen über Internet zugänglich zu machen (siehe auch Anhang B: DynDNS HowTo). Es wird eine einfache Variante beschrieben für den Adress-Abgleich auf: a) kostenlosen Domain-Namen b) eigenen Second-Level-Domain-Namen <MeinName>.dyndns.org <MeinName>.de Wählen Sie eine der Varianten und führen sie die Arbeitsschritte aus. a) Arbeitsschritte <MeinName>.dyndns.org: 1. dyndns.org Nutzer-Account einrichten: o Starten Sie die Web-Seite: www.dyndns.org o Klicken Sie: obere Menü-Leiste: Account → linke Menü-Leiste: Create Account o Füllen Sie die Felder: Username, E-mail, Password aus und klicken sie Create Account o Warten Sie die Mail-Bestätigung ab (10-15 Minuten) 2. DynDNS-Domain-Namen anlegen o Starten Sie die Web-Seite: www.dyndns.org und melden Sie sich mit Ihrem Nutzernamen und Password an (oben rechts) o Klicken Sie jeweils linke Menü-Leiste: My Services → Add Host Services o Wählen Sie Add Dynamic DNS Host Tragen Sie in das Feld:Hostname Ihren gewünschten Namen MeinName ein und wählen Sie aus der Auswahlliste dahinter die Domaine aus, hier dyndns.org Aktivieren Sie Enable Wildcard, wenn Sie auch unter Namen wie z.B. www.<MeinName>.dyndns.org oder ftp.<MeinName>.dyndns.org erreichbar sein wollen. Wenn der Minna MAIL-Dienst installiert werden soll, tragen Sie in das Feld 'Mail Exchanger' den DNS-Namen <MeinName>.dyndns.org ein und aktivieren Backup MX. Die angezeigte IP-Adresse ist nicht relevant, solange der Router noch nicht eingestellt ist bzw. nicht über den Router auf die Web-Seite zugegriffen wird. Schließen Sie die Eingabe mit Add Host ab. 3. Auf dem Router sind die DynDNS-Daten Host-Name (<MeinName>.dyndns.org), Username und Password einzustellen (siehe Kapitel 2.3 Router-Konfiguration). 12 b) Arbeitsschritte <MeinName>.de: 1. Anlegen eines DynDNS-Nutzers und eines DynDNS-Domain-Namen <MeinName>.dyndns.org wie unter a) beschrieben 2. Wenn schon eine Domaine <MeinName>.de vorhanden ist: muss geprüft werden, ob bei dem entsprechenden DNS-Provider das Setzen von Links (CNAMES) für einzelne Hosts/Subdomainen und das Setzen von MX (Mail-eXchange) Einträgen möglich ist. o Ist das der Fall, so fahren Sie fort mit Schritt 4. o Ist das nicht der Fall und mit Ihrem DNS-Provider kann darüber nicht verhandelt werden, so müssen Sie Ihre Domaine zu einem Provider transferieren, der dies ermöglicht, z.B. zu domaindiscount24.com oder zu united-domains.de: Nutzer-Account unter domaindiscount24 oder united-domains etc. anlegen Bestätigung abwarten (3-4 Stunden) Transfer zum neuen Provider einleiten (2-10Tage) 3. Wenn noch keine Domaine <MeinName>.de vorhanden ist: nehmen Sie eine Domain-Registrierung für <MeinName.de> vor bei einem DNS-Provider, bei dem das Setzen von Links (CNAMEs) und MX-Einträgen auf andere Hosts/SubDomainen möglich ist (Preis ca. 10 € bei domaindiscount24 oder united-domains). 4. Anlegen von jeweils einem Link für die gewünschten Namen der Minna-Dienste zur dyndns Domaine: Melden Sie Sich bei Ihrem Provider von <MeinName>.de an und konfigurieren Sie Ihre Domaine <MeinName>.de: Legen Sie eine SubDomaine an, z.B. www.<MeinName>.de Setzen Sie für diese SubDomaine den CNAME auf Ihren dyndns-Host-Namen, z.B. <MeinName>.dyndns.org 5. Setzen Sie als Mail-eXchanger (MX) <MeinName>.dyndns.org, wenn der Minna-Server Mails, wie <Nutzer>@<MeinName>,.de empfangen soll. 6. Auf dem Router sind die DynDNS-Daten Host-Name (MeinName.dyndns.org), Username und Password einzustellen (siehe Kapitel 2.3 Router-Konfiguration). 13 2.3 Router und Netz Netz-Anschluss für Minna-Standard-Netz: Verbinden Sie den WAN-Anschluss des Routers mit Ihrem DSL- bzw. ISDN Zugang Verbinden Sie einen LAN-Anschluss des Routers mit einer Netzwerk-Karte des Servers (via Ethernet-Kabel) Schließen Sie die zweite Netzwerk-Karte des Server an Ihr lokales Netz an (z.B. via Ethernet Switch). Verbinden Sie die ISDN-Karte des Servers mit Ihrem NTBA-Anschluss bzw. mit Ihrer TKAnlage (nur für ISDN-Dienst). Router-Einstellungen: Im Folgenden wird die Konfiguration für den Minna Standard-Router Vigor Draytek 2900 mit Standard-Netz-Parametern beschrieben. Der Router ist über seine WEB-Schnittstelle konfigurierbar, d.h. von einem Web-Browser einer beliebigen Arbeitsstation des Netzes. Eine ausführliche Beschreibung der Konfiguration des Vigor-Routers befindet sich unter http://handbuch.minna-server.de/Vigor2900_Handbuch. Führen Sie folgende Schritte aus: 1. IP-Verbindung zwischen Router und Server/Arbeitsstationen checken Die IP-Adresse des Routers nach Fabrik-Einstellung ist: 192.168.1.1. Wenn Sie diese Adresse nicht während der Vorbereitung (siehe Router InstallationsDaten) auf ihr Netz eingestellt haben, ändern Sie die IP-Einstellungen eines Rechners Ihres Netzes entsprechend, um von diesem die Router-Konfiguration durchzuführen. Gewährleisten Sie, dass Sie von der Standard-Router-Konfiguration ausgehen Web Browser Start → Router-Url: http://<Router-IP>, User: admin, kein Password → Startseite → Neustart → Zurücksetzen auf Werks-Einstellungen 2. Nehmen Sie die folgenden Einstellungen manuell über die WEB-Schnittstelle der RouterVerwaltung vor: WEB-Browser Start: Router-URL: http://10.1.10.1, User:admin, kein Password DSL-Zugang konfigurieren: Router-Startseite → Einwahl ins Internet → Verbindungstyp für den Internetzugriff: PPPoE → Internet-Provider (ISP-Name), Benutzer-Name und Password eingeben DNS-Server des Internet-Providers: Router-Startseite → Online-Status: Primärer DNS, Secundärer DNS Tragen Sie die IP-Adressen beider DNS-Server in die Tabelle der Minna Installationsdaten, ROUTER-Dienst ein . DynDNS-Einstellungen: Router-Startseite: → Dynamisches DNS → Index 1. auswählen: folgende Daten anpassen: Servive-Provider, Service-Typ, Domain-Name, Benutzer, Password WLAN: Funknetz aktivieren (bei Bedarf): Router-Startseite → Funknetz → Grund-Einstellung → Funknetz aktiv Verschlüsselung einstellen: Router-Startseite → Funknetz → WEP/WPA Verschlüsselung: Verschlüsselung auf WEP stellen und Key angeben Passwort für Router-Verwaltung setzen: Router-Startseite: → Passwort 14 3. Installation Zur Installation benötigen Sie die Minna-Server Installations-DVD (Linux-Minna). Auf der DVD befindet sich sowohl das Basis-System als auch die komplette Software für die MinnaDienste. Die DVD verbleibt während der gesamten Installation im Laufwerk. Achtung! Auf dem Rechner vorhandenen Daten und Betriebssysteme werden gelöscht und sind nach der Installation nicht mehr benutzbar. 3.1 Minna-Server Basis-Installation Im ersten Schritt erfolgt eine Mini-Linux Installation: 1. Legen Sie die "Minna-Server Installations-DVD" in das DVD-Laufwerk und starten Sie den Rechner von DVD. 2. Wählen Sie im angezeigten Boot-Menü → Installation aus, bestätigen Sie die LizenzBestimmungen → I Aggree . Im Anschluss wählen Sie → die Sprache (vorzugsweise Deutsch) und im darauffolgenden Menü → Neuinstallation 3. Im Menü "Installationseinstellungen" nehmen Sie folgende Einstellungen vor: o Partitionierung : Ändern Sie die Partitionen auf dem angezeigten Vorschlag aufbauend ab: Mount-Punkt Größe swap ungeändert o o / min. 10 GB /home jeweils Hälfte der verbleibenden Größe /var jeweils Hälfte der verbleibenden Größe Software: Minimales grafisches System (ohne Gnome/KDE) Zeitzone: Region: Europa, Zeitzone: Deutschland, aktuelles Datum, Rechneruhr auf Ortszeit Übernehmen Sie die Auswahl und bestätigen Sie den Installations-Start Die Basis-Packete werden installiert, die Installation dauert einige Minuten. Das System bootet während der Installation. 15 4. Führen Sie nach dem Boot im benutzer-geführten YaST-Installations-Programm folgende Konfigurationen aus: o Legen Sie das Passwort für den Systemadministrator root fest. Merken Sie sich das root Passwort! o Netzwerkkonfiguration: Firewall: Aktivieren Sie ssh, deaktivieren Sie Firewall! Netzwerkschnittstellen: Prüfen Sie, ob die Netzwerk-Karte(n) als eth0 (eth1,...), bzw. eth<MACAdresse> erkannt wurden und die Grundeinstellung (mit DHCP konfiguriert) besitzen. Falls nicht, konfigurieren Sie die Netzwerk-Karten mit den StandardEinstellungen. Die Netzwerkeinstellungen müssen nicht verändert werden, sie werden während der Installation der Minna-Dienste automatisch eingestellt. Beenden Sie die Netzwerkkonfiguration ohne weitere Änderungen mit: Weiter o Test der Internetverbindung: Überspringen Sie den "Test der Internetverbindung". wählen Sie: Nein, diesen Test überspringen und klicken Sie auf: Weiter o Im Menü "Methode zur Benutzer-Authentifikation" wählen Sie: Lokal bzw. Einzelplatzrechner und klicken: Weiter o Im Menü "Neuen Lokalen Benutzer hinzufügen" lassen Sie alle Felder leer und klicken auf: Weiter Bestätigen Sie die Warnung zum fehlenden Eintrag für den Benutzernamen mit Ja o Im Menü "Hinweise zur Version" bestätigen Sie die "Release Notes" mit: Weiter o Im Menü "Hardware-Konfiguration" passen Sie u.U. die Einstellungen für GrafikKarte, Monitor, Soundkarte oder andere im Server befindliche Geräte an. Hinweis: Der Server benötigt nur zur Erst-Installation ein Terminal, er kann danach remote (von entfernten Arbeitsstationen) über Web und VNC betrieben werden (das VNC-Client-Programm wird mit dem Minna-Windows-Setup auf den Arbeitsstationen installiert). Beenden Sie die Hardware-Konfiguration mit: Weiter o Am Ende der Basis-Installation nehmen Sie die Glückwünsche zur erflogreichen Linux-Installation entgegen und klicken auf Beenden. o Die Anmelde-Konsole wird gestartet. 16 3.2 Minna Dienste-Installation Hinweise zum Arbeiten auf dem Server Kommando-Fenster starten: → mit linker Maustaste auf Bildschirm klicken → Xterm wählen → Maustaste loslassen und nochmal links klicken Dateien editieren: → Kommando nedit starten Verzeichnisse browsen: → Kommando mc starten Nach erfolgreicher Basis-Installation erfolgt die Installation der Minna-Dienste weitgehend automatisch in folgenden Schritten: 0. Start Melden Sie sich als Nutzer root am Server an! Starten Sie ein Kommando-Fenster Wechseln sie ins InstallationsVerzeichnis auf der DVD: cd /media/SU930_001/minna Starten Sie die Installation mit dem Kommando: ./Install 1. Linux-AddOn - Installation notwendiger Server-Packete Es erfolgt die Installation zusätzlicher Basis-Packete (nimmt einige Minuten in Anspruch). Am Ende bestätigen Sie die Frage: Fortfahren mit Linux-Update-Installation? mit → Enter 2. Linux-Update - Aktualisierung vorhandener Server-Packete Wenn notwendig, erfolgt hier ein Update. Falls das Kernel-Packet aktualisiert wird, werden Sie zum Reboot aufgefordert. Bestätigen Sie die Reboot-Meldung mit Enter Nach dem Reboot melden Sie sich wieder als root an, öffnen ein Kommando-Fenster, wechseln wieder ins Installations-Verzeichnis (/media/SU930_001/minna) und führen die Installation fort mit dem Kommando: ./Install minna Wenn kein Reboot erforderlich ist, wird die Installation mit der Meldung: Fortfahren mit der Minna-Installation? fortgesetzt. Bestätigen Sie die Frage mit → Enter. 17 3. Einbringen der Minna-InstallationsDaten Es wird die Minna-Konfigurationsdatei erstellt. Nehmen Sie die vorbereitete Minna-DatenTabelle zu Hilfe. Im Anhang C befindet sich ein Beispiel (die vollständige Liste aller einstellbaren Daten ist auf der DVD unter 'minna/Minna.Data/default/') Haben Sie die Konfigurations-Daten vorab erstellt, können Sie diese auf Diskette unter dem Namen custom.dat speichern und zur Minna-Dienste-Installation in das Disketten-Laufwerk legen. Wenn keine Konfigurations-Datei vorhanden ist, wird eine Konfiguration für die üblicherweise einzustellenden Daten angezeigt. Wählen Sie die zu installierenden Minna-Dienste aus: SELECTED: Features Ändern Sie weitere Werte entsprechend ihrer Daten-Tabelle. Speichern Sie die Datei und beenden Sie den Editor! Die Daten werden geprüft. Bei Unstimmigkeiten wird die Datei zum Editieren erneut angezeigt. Bei erfolgreicher Prüfung, bestätigen Sie die Meldung Konfiguration ok. Fortfahren mit Minna-Installation mit → Enter. 4. Minna-Packete - Installation der Minna-Dienste Die Minna-Packete werden den Daten entsprechend installiert. Verfolgen Sie die Ausgaben auf dem Bildschirm. Während der Installation werden Sie aufgefordert, das 'root' Password anzugeben und und u.U. die Netzwerk-Karten-Anschlüsse zu tauschen. Am Ende nehmen Sie die Glückwünsche zur erfolgreichen Minna-Installation entgegen. Sie werden zum Reboot aufgefordert. Starten Sie den Server neu: shutdown -r now Alle direkten Aktionen auf dem Server sind damit erledigt. Alle weiteren Schritte können entspannt über die WEB-Schnittstelle der Minna-Verwaltung von einer beliebigen Arbeitsstation im Netz ausgeführt werden. 18 3.3 Minna-Administrator Einrichtung Zum Abschluss der Server-Installation ist der Minna-Administrator einzurichten. Wozu ein Administrator? Der Administrator ist der Verwalter des Minna-Servers und des lokalen Netzes. Er ist derjenige, an den wichtige Meldungen über Ereignisse und den Zustand des Servers geschickt werden. Der Server läuft weitgehend wartungsfrei und verschickt solche Meldungen nur, wenn u.U. ein Eingreifen von Hand notwendig ist. Dies erfolgt in folgenden Fällen: Überlaufen von Dateisystemen: Platte ist voll → es muss zusätzlicher Fest-Speicher eingebaut oder Daten gelöscht werden Fehler beim automatischen Backup: Backup hat nicht geklappt, weil die Ziel-USB-Festplatte nicht angeschlossen oder kein Band im Laufwerk war Mail-Adressen sind nicht zuzuordnen: Server empfängt Mails für nicht existierende Adressen → in der Minna-Verwaltung Adress-Zuweisung erstellen AntiVir-Updates schlagen fehl: AntiVir-Update-Server ist überlastet → Beschweren bei AntiVir Der Minna-Administrator muss daher jemand sein, der seine Mails regelmäßig liest. Bestimmen Sie eine Person, die diese Aufgaben übernimmt! Einrichtung Folgende Schritte sind durchzuführen: 1. Starten Sie die Minna-Verwaltung. Auf dem Server geben Sie dazu das Kommando: 'mozilla http://localhost:10000' an. (auf einem anderen Rechner im Netz geben Sie im Web-Browser die URL http://<NameDesMinnaServers>:10000 an). Authentifizieren Sie sich als Minna-Administrator: Nutzer-Name: minnaadm [Password] 2. Legen Sie den Nutzer für den verantwortlichen Minna-Administrator an: → Minna → Benutzer und Gruppen → Neuen Benutzer erstellen Füllen Sie die Felder: 'Benutzername', 'Wirklicher Name' und 'KlartextKennwort' aus und Erstellen Sie Ihren ersten Nutzer. 3. Weisen Sie dem neu angelegten Nutzer die Mails von 'minnaadm' zu: → Minna → Mail → Adressen und Empfänger → Neue Adresse erstellen Tragen Sie in das Feld 'Adresse' minnaadm ein! Tragen Sie in das Feld 'Empfänger' den Namen des unter 2. angelegten Nutzers ein! Klicken Sie auf 'Adress-Zuordnung speichern'. Der Server ist damit vollständig installiert. Verbleibende Arbeitsschritte, wie weitere Nutzer einrichten, Freigaben erstellen, Backup einrichten usw. sind in der Minna-Verwaltung beschrieben. 19 4. Minna-Server Verwaltung Die Minna-Server Einrichtung und Verwaltung kann vollständig über die WEB-Schnittstelle des Minna-Servers erfolgen: URL: http://<NameDesMinnaServers>:10000 Melden Sie sich als Minna-Administrator minnaadm mit Passwort an und klicken Sie auf das MinnaSymbol. Die Minna-Verwaltung wird angezeigt: Bild 6: Minna-Verwaltung 20 Folgende Schritte sind nach der Installation zur Einrichtung üblicherweise durchzuführen: 1. 2. 3. 4. 5. 6. weitere Nutzer anlegen (4.1 Benutzer und Gruppen) Verzeichnis-Freigaben erstellen (4.2 Freigabe-Verwaltung) Mail-Einstellungen: Abholen von externen Servern, Adress-Zuordnung (4.3 Mail) automatisches Backup einrichten (4.4 Daten-Sicherung und Wiederherstellung) ISDN- und Fax einstellen, ändern, prüfen (4.5 Fax und ISDN) Mail-Spam-Werte einstellen, auf Viren zu überwachende Verzeichnisse festlegen (4.6 Spamund Viren Schutz) 7. Router-Einstellungen für Port-Umleitungen auf Minna-WEB-Dienste vornehmen (4.7 RouterKonfiguration) 8. WEB-Proxy-Einstellungen checken (4.8 WEB-Proxy) 9. Passwort für Minna-Administrator ändern (4.9 Benutzer Passwörter ändern) Klicken Sie vom Minna-Menü aus auf das Symbol für die jeweils gewünschte Aktion. Die meisten auszuführenden Aktionen sind selbsterklärend. Wenn etwas unklar ist, lesen Sie die angezeigten kurzen Hinweise oder klicken auf die Hilfe-Links. Durch Klick auf das Minna-Symbol gelangen Sie von überall in das Ausgangsmenü. Hinweis: Stellen Sie das Browser-Fenster auf maximale Breite bzw. Maximal-Größe, um alle Felder richtig zuordnen zu können. 21 4.1 Benutzer und Gruppen Neue Gruppen anlegen Gruppen werden benutzt, um Zugriffsrechte einfach festlegen zu können. Überlegen Sie, ob und wenn ja, welche unterschiedlichen Zugriffsrechte Sie für Ihre servergespeicherten Daten und Programme benötigen. Legen Sie dementsprechende Gruppen an, z.B. Gruppe "Leitung" und Gruppe "Mitarbeiter". Die Gruppe users existiert bereits, in diese werden standardmäßig alle "normalen" Nutzer aufgenommen. Die Gruppe "users" hat Standard-Berechtigungen auf den Server-Datei-Systemen, welche für die meisten Zwecke ausreichend sind. Für Standard-Berechtigungen benötigen also keine neue Gruppe. Erstellen Sie so viele Gruppen, wie Sie unterschiedliche Rechte benötigen. Lokale Gruppen → Neue Gruppe erstellen: → Tragen Sie nur in das Feld: "Gruppenname" den Namen der Gruppe ein (z.B. Leitung). Alle anderen Felder können leer bleiben bzw. die Standard-Werte behalten. Achtung! Die vom System bereits angelegten Gruppen dürfen nicht gelöscht werden. Neue Benutzer anlegen Den Nutzer, der die Minna-Verwaltung mit übernimmt, haben Sie bereits am Ende der Installation angelegt (Abschnitt 3.3). Legen Sie für jeden weiteren Nutzer, der Minna-Dienste nutzen können soll einen Nutzer an: Lokale Benutzer → Neuen Benutzer erstellen: → Füllen Sie die Felder Benutzername und Wirklicher Name aus → Aktivieren Sie unter Kennwort: Klartextkennwort → Tragen Sie das initiale Passwort des Nutzers ein (dem Nutzer mitzuteilen). Gruppenzugehörigkeit → Primäre Gruppe → Existierende Gruppe → Wählen Sie die Gruppe, welcher der Nutzer angehören soll: Klick auf '...' (Vorbelegung mit Gruppe users kann beibehalten werden, wenn keine speziellen Berechtigungen notwendig sind.) → Soll ein Nutzer zusätzliche Rechte haben, so markieren Sie die entsprechenden Gruppen unter 'Sekundäre Gruppe'. Alle anderen Felder können leer bleiben bzw. Standard-Belegung beibehalten. Achtung! Das Feld 'Benutzer in anderen Modulen anlegen' muss mit Ja aktiviert sein! Legen Sie den Nutzer durch Klick auf Erstellen an. Erstellen Sie soviele Nutzer, wie Sie benötigen. 22 4.2 Freigabe-Verwaltung Es werden die bereits angelegten Freigaben angezeigt. Bild 7: Vordefinierte Minna-Freigaben Die ersten vier Freigaben, homes, profile, netlogon, Minna , sowie die letzten beiden: printers und print$ sollten NICHT verändert werden (sie sind für das einwandfreie Funktionieren nötig). Beispiel-Freigaben Die Freigaben Standard, Privileg, Secret, Temp sind angelegte Beispiele für die entsprechenden Zugriffsarten. Sie können direkt benutzt werden oder als Copy-Vorlage für weitere Freigaben dienen oder auch gelöscht werden. Die Freigabe Standard ist eine Freigabe, mit der ein Nutzer automatisch verbunden wird, wenn er eine nicht existierende oder falsche Freigabe anfordert. Sie können in das Verzeichnis also Daten legen, die für jeden Nutzer, bei Zugriff auf den Server sofort zugänglich sein sollen. o o Die Freigabe ist so angelegt, dass jeder Nutzer Daten schreiben und löschen kann. Wollen Sie den Zugriff ändern, dass, bis auf eine privilegierte Gruppe, nur gelesen werden darf, ändern Sie den Zugriff z.B. wie folgt: → Klick auf den Freigabe-Namen (Standard) → Sicherheit und Zugriffskontrolle → Aktivieren Sie in der oberen Zeile: Beschreibbar? Nein → Tragen Sie unter 'Lese-/Schreibberechtigung (Gruppe)' den Namen der Gruppe ein, die Schreib-Rechte haben soll, z.B. privileg (Auswahl aus Liste: Klick auf '...') → Aktivieren der Einstellungen: → Speichern → Speichern Wollen Sie eine solche Freigabe garnicht haben (Sicherheit usw.), so löschen Sie diese: 23 Die Freigabe Privileg ist ein Beispiel für eingeschränkte Zugriffe. Nur die Gruppe privileg hat Schreibberechtigung, alle anderen können nur lesend zugreifen. o Sie können die Berechtigung ändern, z.B. weitere Gruppen hinzufügen, wie folgt: → Klick auf den Freigabe-Namen (Privileg) → Sicherheit und Zugriffskontrolle → Tragen Sie in das Feld 'Lese-/Schreibberechtigung (Gruppe)' die Gruppen ein (Auswahl aus der Liste: Klick auf '...') → Aktivieren der Einstellungen: → Speichern → Speichern Die Freigabe Secret ist ein Beispiel für eine versteckte Freigabe. Sie wird beim Browsen der Server-Freigaben nicht angezeigt. Man kann die Freigabe für bestimmte Nutzer zugänglich machen von Windows z.B. durch das Kommando: "net use S: \\<MinnaServer>\Secret" o Ob eine Freigabe sichtbar oder unsichtbar ist, stellen Sie folgendermaßen ein: → Klick auf den Freigabe-Namen (Secret) → Aktivieren Sie in mittlerer Zeile; Sichtbar? Ja (bzw. Nein) → Speichern Die Freigabe Temp ist ein Beispiel für uneingeschränkte Zugriffsrechte für Jeden, auch für Gäste (Nutzer, die nicht auf dem Server existieren oder sich nicht ordnungsgemäß authentifiziert haben). o Soll der Zugriff auf existierende Minna-Nutzer beschränkt werden,ändern Sie: → Klick auf den Freigabe-Namen (Temp) → Sicherheit und Zugriffskontrolle → Aktivieren Sie obere Zeile: Gastzugang? Keine → Aktivieren der Einstellungen: → Speichern → Speichern Neue Freigaben erstellen Um eine Freigabe neu zu erstellen haben Sie zwei Möglichkeiten: a) eine 'Neue Dateifreigabe' erstellen und alle notwendigen Felder ausfüllen → Neue Dateifreigabe → Die Felder: 'Freigabename und 'Freigegebenes Verzeichnis' müssen mindestens ausgefüllt werden. Freigabe-Verzeichnisse sollten unterhalb von: "/var/data/Freigaben/" liegen (für Virenschutz und Backup). → Erstellen → Klick auf den Freigabe-Namen → Sicherheit und Zugriffskontrolle Welche Felder wie zu belegen sind, entnehmen Sie den obigen Beispielen. → Dateiberechtigungen Welche Felder wie zu belegen sind, entnehmen Sie ebenfalls den Beispielen. → Aktivieren der Einstellungen jeweils: → Speichern b) eine existierende 'Freigabe kopieren' und entsprechenden Werte ändern Eine Kopie clont die Freigabe und übernimmt alle Einstellungen der Vorlage. Jeder dann veränderte Wert des Clones überschreibt den aus der Vorlage, alle anderen Werte bleiben erhalten. Freigabe kopieren → Wählen Sie die zu kopierende Freigabe und den Freigabenamen und klicken Sie auf Erstellen Ändern Sie gewünschte Werte Hinweis: Freigabe-Verzeichnisse werden nicht generell automatisch angelegt, und erhalten nicht automatisch die richtigen UNIX-Berechtigungen. Dies muss über den Datei-Manager oder per Kommando erfolgen. Legen Sie als Eigentümer "minnaadm" und die schreibberechtigte Gruppe fest. mkdir <Verzeichnis> chown -R minnaadm:<Gruppe> <Verzeichnis> chmod -r 775 <Verzeichnis> 24 4.3 Mail-Einstellungen 4.3.1 Allgemeine Mail-Einstellungen 1. Post-Ausgangs-Server Der Post-Ausgangs-Server (SMTP) ist der Server über den Mails an externe Adressen (Adressen ausserhalb der eigenen lokalen Domaine) versendet werden. Standard ist, dass der Minna-Server selber der Post-Ausgangs-Server ist und alle Mails direkt zum Mail-Server der Ziel-Adresse sendet. Der Minna-Mail-Server kann aber auch alle extern zu verschickenden Mails erst an einen anderen externen SMTP-Server senden, der dann die eigentliche Mail-Verteilung übernimmt. Vorraussetzungen, dass Minna selbst Post-Ausgangs-Server ist, sind: 1. der Name des Minna-Servers muss im Internet bekannt sein (DNS oder DynDNS-Eintrag) 2. der Internet-Zugang sollte möglichst nicht über einen Zugang mit veränderlicher IP-Adresse betrieben werden Wann ist ein externer Post-Ausgangs-Server notwendig? Falls der Minna-Server über einen Zugang mit veränderlicher IP-Adresse betrieben wird, kann die Mail auf der Gegenseite als SPAM abgewiesen werden. Dies geschieht, weil man auf der Gegenseite davon ausgeht, dass Mail-Server nur mit konstanter IP-Adresse betrieben werden. Die dynamischen IP-Bereiche von T-Online sind zum Teil in 'Schwarzen Listen', den Real-time Spam Black Lists (RBL) als potenziell mögliche SPAM-Quellen gelistet. So sind z.B. die gesamten IP-Bereiche 217.5.0.0/17 und 84.160.0.0/11 'geblacklistet' als Dial-Up Bereiche (NJABL-List, DUL, siehe http://www.mail-abuse.com) Testen Sie unter einem der folgenden Links, ob Ihr Internet-Zugang in einer RBL-Liste enthalten ist: http://openrbl.org/lookup http://www.njabl.org/lookup.html (Unter http://www.email-policy.com/Spam-black-lists.htm befindet sich eine Liste aller Schwarzen Listen.) Wenn ihre IP-Adresse in einer RBL-Liste auftaucht, sollten Sie einen Externen Mail-AusgangsServer festlegen. Wählen Sie dazu den Mail-Server ihres Internet-Providers. Dieser hat eine statische IP-Adresse und wird daher nicht in den RBL-Listen geführt. Damit gewährleisten sie, dass Mails, die durch ihren Mail-Server über einen dynamischen IP-Port verschickt werden, sicher am Ziel ankommen, und nicht als SPAM weggefiltert werden. Externen Post-Ausgangs-Server einstellen → Allgemeine Einstellungen → Ausgehende Mail durch externen Mail-Server versenden: Ja, Server: Geben Sie die Adresse des Mail-Servers Ihres Providers an (meist smtp.<ProviderDomaine>) → Einstellungen speichern und aktivieren 25 2. Für welche Domänen soll Mail empfangen werden Vorraussetzung für den Empfang von externen Mails mit Adressen [email protected] ist ein MX-Eintrag im DNS für Ihren Server (MX = Mail eXchanger), siehe dazu (siehe DynDNSRegistrierung, Mail-Exchanger) . Sie haben also eine Domaine registriert, z.B. MeineName.de, und keine POP3 Postfächer gekauft, sondern lediglich einen MX-Eintrag auf Ihre DynDNS-Domaine, z.B. MeineName.dyndns.org gesetzt. Sie möchten Mails an Adressen, wie [email protected] direkt empfangen, ihre lokale MinnaDomaine heisst aber anders, z.B. MeineName.local. Tragen Sie dann im Feld: "Für welche Domänen soll E-Mail empfangen werden" den externen Domain-Namen MeineName.de zusätzlich zu den bestehenden Einträgen ein (durch Komma getrennt). Achtung! Die Standard-Einträge "$myhostname, $mydomain, localhost.$mydomain" dürfen NICHT gelöscht werden! 3. Zieladresse für unbekannte Empfänger Normalerweise werden Mails an nicht existierende Adressen ihrer Domaine zurückgeschickt an den Sender oder verworfen. Falls Sie dies nicht möchten, legen Sie hier die Adresse fest, an die diese Mails geleitet werden sollen (minnaadm). 26 4.3.2 Mail-Adressen und Empfänger zuordnen (Aliases) Vorraussetzung für den Empfang von externen Mails mit Adressen wie [email protected] ist ein MX-Eintrag im DNS für Ihren Server (MX = Mail eXchanger) (siehe DynDNS-Registrierung, Mail-Exchanger) . Mit Mail Aliases können Mails an Adressen der Domaine auf ein oder mehrere andere MailAdressen, Benutzer oder Dateien umgelenkt werden. Standardmäßig haben alle Benutzer ihren lokalen Nutzer-Namen als Mail-Adresse. Sie können weitere Mail-Adressen für Ihre Domaine erstellen und lokalen Benutzern zuordnen, auf externe Adressen lenken, auf mehrere Adressen verteilen (Mail-Listen). an Dateien anhängen oder unbemerkt löschen Beispiele Adressen der Domäne Empfänger meierkaminbau.local Dem Nutzer meier zusätzlich zur automatisch eingerichteten Adresse [email protected] Hans.Meier meier die Adresse [email protected] zuordnen Für Schulz, die Adresse [email protected] einrichten und Mails an diese Adresse Klaus.Schulz an den lokalen Nutzer schulz und an seine externe Adresse [email protected] leiten schulz, [email protected] Adresse [email protected] für Mails an alle Mitglieder des Vereins wandervoegel einrichten wandervoegel schulz,meier,[email protected], [email protected] Bild 8: Beispiel für Zuordnung 'Adressen und Empfänger' 27 4.3.3 Mails von weiteren Servern abholen Der Mail-Server ermöglicht das Abholen von Mails von anderen Mail-Servern. Dies ist für die zentrale Mail-Verwaltung mehrerer Postfächer von großem Vorteil. Die Mails werden dann ebenso wie die Mails der Minna-Domaine zentral nach Spams und Viren gefiltert und können verschiedenen Nutzern zugestellt werden. Um Mails von weiteren Mail-Servern abzuholen, klicken Sie auf 'Hinzufügen eines neues Servers'! Um die Einstellungen eines Mail-Servern zu ändern, klicken Sie auf den betreffenden Server! Füllen Sie die folgenden Felder aus: o o o o Mailserver-Name Benutzername auf Mailserver Passwort auf Mailserver Lokaler Benutzer Für einen sogen. 'MultiDrop-Account' (Domaine mit beliebigen Mail-Nutzer-Namen, die unverändert auf die lokalen Nutzer verteilt werden sollen, geben sie für Lokaler Benutzer nur * an! Alle weiteren Felder sollten unverändert bzw. leer gelassen werden. Testen Sie, ihre Einstellungen durch den Schalter: 'Überprüfen der Server'! Dazu muss das Fetchmail-Programm vorher gestoppt werden. Achtung! Vergessen Sie nicht, das Fetchmail-Programm nach der Prüfung wieder zu starten! Achtung! Das Fetchmail-Programm läuft im Normalfall ständig auf dem Server. Falls Sie zu Test-Zwecken das Abholen der Mails stoppen durch: 'Stopp FetchmailDämon' vergessen Sie nicht, das Abholen der Mails wieder zu starten durch: 'Start Fetchmail-Dämon'! 28 4.4 Daten-Sicherung und Wiederherstellung 4.4.1 Daten-Sicherung (Backup) → DatenSicherung Ein regelmäßiges Backup sollte Ihnen so wichtig sein, wie die Daten selber, die Sie auf dem Server speichern, denn niemand kann Sie vor einem Hardware-Ausfall oder Verlust schützen. Unumgänglich ist das Backup, wenn Sie auf ein RAID-System verzichtet haben. Minna-Backup kann automatisch oder manuell Daten auf externe Medien, lokale oder gemountete Platten, USB-Speicher und herkömmliche Band-Laufwerke schreiben. Backup einrichten Bei der Backup-Einrichtung definieren Sie, welche Daten, wohin, wann und wie oft, gesichert werden sollen. Wenn Sie das Backup auf eine separate Festplatte ausführen, muss diese den Platz für die Anzahl aufzuhebender Backups bieten. Die Einrichtung der Datensicherung ist weitestgehend selbsterklärend, falls Sie unsicher sind, klicken Sie auf die Hinweis ... Felder. Wählen Sie "Daten-Sicherung". Klicken Sie nacheinander auf die Schalter: Backup-Inhalt, Backup-Ziel, Backup-Zeit, Backup-Pflege und füllen Sie die entsprechenden Felder aus. Wenn alle vier Felder ausgefüllt sind: "Backup-Konfiguration speichern" Die Backup-Konfiguration erscheint in der Sicherungsliste. → Durch Klick auf den Namen wird die Größe ermittelt und angezeigt. → Bei Klick auf das Kalender-Symbol wird Name und Start-Zeit der nächsten Sicherung angezeigt. Ist das Backup aktiviert, wird es automatisch durch das System gestartet. Treten Probleme während der Sicherung auf, erhält der Minna-Administrator eine Mail mit der Ursache und Hinweisen zur Problembehebung. 29 Backup ausführen a) Automatisches Backup Das Backup kann ohne Verwaltungsaufwand automatisch zeitgesteuert durch das System durchgeführt werden. 1. Definieren Sie Backup-Zyklus und Anzahl aufzuhebender Zyklen: Wählen Sie in der Liste der Sicherungen das entsprechende Backup Klicken Sie auf den Schalter für Konfiguration Anzeigen/Ändern Im angezeigten Backup klicken Sie auf Backup-Zeit Aktivieren Sie den Zyklus (1.Spalte) und bestimmen Sie die Tage (2./3. Spalte) In der Spalte 'Wieviele Zyklen aufheben?' bestimmen Sie, ab wann ältere Sicherungen wieder überschrieben werden. Achten Sie darauf, dass auf dem Backup-Ziel genügend Speicherplatz vorhanden ist: Anzahl Zyklen * Anzahl gewählte Tage * Größe einer Sicherung Falls der Platz nicht ausreicht, arbeiten Sie mit Voll- und Differenz-Sicherungen. 2. Die Backup-Konfiguration muss aktiv sein: Wählen Sie in der Liste der Sicherungen das entsprechende Backup Klicken Sie auf den Schalter für Konfiguration Anzeigen/Ändern Im angezeigten Backup klicken Sie auf Backup-Pflege Selektieren Sie unter 'Aktivierung' den Schalter Backup aktivieren Kontrollieren Sie die Mail-Adresse des Backup-Administrators b) Manuelles Backup Das Backup kann jederzeit direkt ausgeführt werden. Wählen Sie in der Liste der Sicherungen das entsprechende Backup. Klicken Sie auf den "Starten" Schalter. 30 4.4.2 Daten-Wiederherstellung (Restore) → DatenWiederherstellung Wenn versehentlich Daten zuerstört wurden oder eine Festplatte ausgefallen ist, führen Sie eine Daten-Wiederherstellung durch: Wählen Sie "Daten-Wiederherstellung". Schalten Sie während des Restores die Datensicherung ab. Sie können ein komplettes Backup oder Teile eines Backups zurückspielen. o Um Teile eines Backups zurückzulesen, geben Sie im Feld "Suche in der BackupVerwaltung", "nach:" den Datei- oder Verzeichnis-Namen oder einen Teil des Datei oder Verzeichnis-Namen ein. und klicken auf "Suchen". In der angezeigten Liste wählen Sie Ihre Daten aus. o Um ein komplettes Backups zurückzulesen, lassen Sie das Feld "Suche in der BackupVerwaltung", "nach:" leer, selektieren das entsprechende Backup und klicken auf "Suchen" und in der darauffolgenden Liste auf "Vollständig zurücklesen". Legen Sie das Zielverzeichnis fest (falls nicht der Original-Platz), aktivieren Sie die Überschreib-Option und starten Sie das Zurückspeichern. Achtung! Vergessen Sie nicht, die automatische Datensicherung wieder einzuschalten nach Beendigung der Daten-Wiederherstellung!. 31 4.4.3 System-Daten Export/Import (Recover) → System-Datem Import/Export Systemdaten-Export Minna sorgt für sich selber. Das heisst, von Minna veränderte und benötigte System-Daten werden automatisch während jeder Datensicherung mit gesichert. Sie sind also in der Lage, den System-Zustand, wie er zu jedem Zeitpunkt der Ihnen zur Verfügung stehenden Backups existierte, wieder herzustellen. Unabhängig davon können Sie die System-Daten auch separat durch einen System-Daten-Export sichern. Systemdaten-Import Durch einen System-Daten-Import werden alle System-Daten zurückgespeichert, die notwendigen Re-Konfigurationsschritte durchgeführt und der Minna-Server neu gestartet. Damit bringen Sie Ihr System in den Zustand, wie er zum Zeitpunkt der gewählten Sicherung vorherrschte. Ein System-Daten-Import kann notwendig sein: Zur System-Wiederherstellung o wenn Ihr System nach einem Hardware-Ausfall neu installiert wurde und Sie Ihre alten Einstellungen wieder herstellen möchten, o wenn Sie versehentlich System-Daten zerstört haben Zur System-Migration o wenn Sie einen 'neuen' Server in Betrieb nehmen wollen und die System-Einstellungen eines 'alten' Minna-Servers übernehmen möchten. Achtung! Durch einen Systemdaten-Import werden keine von Ihnen angelegten DatenSicherungen eingelesen. Dazu müssen die Daten nach dem Systemdaten-Import über die DatenWiederherstellung zurückgespeichert werden. 32 4.5 Fax und ISDN 4.5.1 Fax-Einstellungen Wenn der ISDN-Dienst ausgewählt wurde und eine ISDN-Karte im Server zur Verfügung steht, stellt Minna über die angeschlossenen ISDN-Leitung ankommende Faxe als eMail zu. Ausgehende Faxe werden auf Windows über einen speziellen "Fax-Drucker" gesendet. Der FaxDrucker wird beim Minna-Windows-Setup installiert. Nehmen Sie die entsprechenden Einstellungen vor. Das Bild zeigt ein Beispiel. Bild 9: Beispiel für Fax-Einstellungen Zentrale Fax-Nummern-Liste Beim Senden von Faxen von Windows-PC's kann die Ziel-Nummer direkt angegeben oder aus einer Liste mit privaten und zentralen Bereichen ausgewählt werden. Um diese Liste zu erstellen, steht der Schalter: "Zentrale Fax-Nummern-Liste erstellen/anzeigen/ändern" zur Verfügung. 4.5.2 ISDN-Nutzung Minna stellt allen PC's im Netz eine CAPI-Schnittstelle für beliebige ISDN-Anwendungen zur Verfügung. Über den Schalter: ISDN-Nutzer sperren/zulassen legen Sie fest, welche Nutzer diesen Dienst nutzen dürfen. Als eine Windows ISDN-Anwendung steht ein Anruf-Monitor zum Download zur Verfügung (beim Client-Setup wird der Monitor automatisch installiert.) 33 4.6 Spam- und Viren Schutz Minna-GUARD schützt das Dateisystem vor Viren und eingehende Mails vor Spams und Viren. Ein Unix-Server ist von Natur im Wesentlichen sicher und schützt sich durch eigene Mechanismen selber. Selbst Viren, die von Windows theoretisch auf den Server-Freigaben abgelegt werden könnten, schaden dem Server nur wenig, wohl aber den Windows-Arbeitsstationen. Daher werden standardmäßig alle Server-Freigaben permanent auf Viren überwacht. Bild 10: Übersicht Viren- und Spam- Schutz Der Minna-Administrator erhält bei Auftreten eines Virus oder bei Problemen mit dem Viren-DatenUpdate eine entsprechende Mail. Folgende Dienste stehen zur Verfügung: Bild 11: Auswahl Viren- und Spam- Schutz Klicken Sie auf das entsprechende Symbol. Die Standard-Eintragungen brauchen für normalen Betrieb nicht geändert werden. Die Tabelle ist weitgehend selbsterklärend. Falls Sie sich unsicher sind, klicken Sie auf die entsprechenden Hilfe-Links. 34 4.6.1 Mail-Spam-Schutz Allgemeine Spam-Werte Minna filtert Spams (unerwünschte Mails) mithilfe von drei Spam-Filtern nach allgemeinen Kriterien. Jede Mail wird auf allgemeine Spam-Merkmale untersucht und im Ergebnis mit einem sogenannten Spam-Wert (0 bis 20) versehen. Je höher der Spam-Wert, desto mehr Spam-Merkmale sind zutreffend. Zwei Spam-Wert Grenzen sind einstellbar: 1. Spam-Wert, ab welchem die betreffende Mail als wahrscheinliche Spam gilt. Die Mail wird zugestellt, aber die Betreff-Zeile wird gekennzeichnet [SPAM]. Der entspechende Spam-Wert wird im Mail-Header vermerkt. Der voreingestellte Wert 4.0 ist in den meisten Fällen ausreichend. 2. Spam-Wert, ab welchem die betreffende Mail mit Sicherheit eine Spam-Mail ist. Die Mail wird nicht an den Empfänger zugestellt, sondern sofort verworfen. Der voreingestellte Wert ist 7.5. Die Spam-Werte können nach Bedarf höher oder tiefer gesetzt werden. Um sicher zu gehen, dass keine Mail fälschlicherweise als Spam verworfen wird, sollten Sie anfangs keine zu niedrigen 2. Spam-Wert einstellen. Spezielle Mail-Adressen Eine Spam-Filterung auf Basis spezieller Mail-Adressen ist nur selten notwendig. Falls jedoch erwünschte Mails bestimmter Absender als Spam erkannt werden, Sie die allgemeinen Spam-Werte jedoch nicht niedriger setzen wollen, so können Sie die erwünschten Absender-Adressen in die "WhiteListe" eintragen. Das führt dazu, dass die betreffenden Mails immer und ohne SpamCheck zugestellt werden. Falls Sie wiederholt unerwünschte Mails erhalten, die jedoch niedrige Spam-Werte haben, so tragen Sie die Absender-Adressen in die "BlackList" ein. 4.6.2 Mail-Viren-Schutz Der Minna-Mail-Server scannt jede eingehende Mail einschließlich der Anhänge nach Viren. Hier kann der Viren-Filter für Mails abgeschaltet werden. Der Mail-Viren-Schutz sollte, wenn der MAIL-Dienst gewählt wurde, immer aktiv sein. 4.6.3 Verzeichnis-Überwachung Minna kann alle Datei-Systeme des Servers ständig auf Viren prüfen. Im Allgemeinen ist dies jedoch nur für Datei-Systeme notwendig, auf die von den Arbeitsstationen aus zugegriffen wird. Die betreffenden Verzeichnisse (/var/data/) sind voreingestellt. Definieren Sie, zusätzliche auf Viren zu überwachende Verzeichnisse, wenn Sie Server-Freigaben nicht unter '/var/data' erstellt haben. 35 4.6.4 Viren-Daten-Update Um Viren erkennen und bekämpfen zu können, ist eine aktuelle Viren-Definitions-Datei (VDF) notwendig. Die Viren-Definitions-Datei wird vom Hersteller des AntiViren-Programms ständig aktualsiert. Das AntiVir-Programm fragt zyklisch, ob auf dem AntiVir-Internet-Server eine neuere VDF-Datei existiert und lädt diese bei Bedarf auf den Server. Sie brauchen dafür nichts zu tun. Der voreingestellte Zyklus von zwei Stunden ist mit Bedacht auf den niedrigsten Wert eingestellt, um Viren-Sicherheit bestmöglich zu gewährleisten. Hier können Sie den Update der VDF-Datei unabhängig vom Zyklus selbstständig durchführen. Sie sollten den Viren-Daten-Update nach der Installation wenigstens einmalig testen. 4.6.5 AntiVir Registrierung und Lizenz Minna nutzt den Viren-Scanner "AntiVir" der Firma 'H+BEDV'. Minna ist standardmäßig mit der AntiVir Unix-Workstation Variante installiert (PersonalEdition Classic) und enthält einen dementsprechenden Lizenz-Key zur privaten nicht-kommerziellen Nutzung. Für den professionellen Einsatz des Servers ist eine kommerzielle Lizenz notwendig. Bei der Firma "H+BEDV" muss eine ordungsgemäße Registrierung erfolgen. Die Lizenz-Datei wird per Mail zugesandt. Lizenzen können jederzeit in den Server eingebracht werden. Folgende AntiVir Varianten sind möglich: 1. Unix Workstation für private Nutzung (AntiVir Unix PersonalEdition Classic): o Sie ist kostenfrei, eine Registrierung ist nicht notwendig. o URL: (www.free-av.de) o Gepackte Archiv-Dateien werden erst beim Öffnen gescannt. o Automatisches Update ist nicht immer gewährleistet aufgrund der Überlastung der Antivir-Server. Minna versucht alle zwei Stunden eine Aktualisierung durchzuführen. Wenn sie fehlschlägt, wird an den Minna-Administrator eine Mail versandt. Das kann bei dieser Lizenz-Variante häufiger vorkommen und ist kein Grund zur Beunruhigung. 2. Unix Workstation für kommerzielle Nutzung: o Sie kostet ca. 59,- € (zum Zeitpunkt der Erstellung dieses Dokuments) o Lizenz-Registrierung: www.antivir.de/de/produkte/antivir_workstation o Gepackte Archiv-Dateien werden erst beim Öffnen gescannt. o Automatisches Update ist immer möglich (andere AntiVir-Update-Server). 3. Unix Server für kommerzielle Nutzung: o Sie kostet ca. 500,- € (zum Zeitpunkt der Erstellung dieses Dokuments) o Lizenz-Registrierung: www.antivir.de/de/produkte/antivir_server o Gepackte und komprimmierte Archiv-Dateien werden sofort gescannt. o Automatisches Update ist immer möglich Der Abschnitt 'Registrierung und Lizenz' dient der Anzeige Ihrer aktuellen AntiViren-Lizenz und Versionen, es sind keine Werte einzustellen. 36 4.6.6 AntiVir-Lizenz ins System einbringen Im Allgemeinen wird die AntiVir-Lizenz jährlich erneuert und muss ins System eingebracht werden: Speichern Sie die von AntiVir zugesandte Lizenz (Datei HBEDV.KEY. Geben Sie den Pfadnamen der Datei an im Feld 'HBEDV.KEY' Datei oder navigieren Sie über den Durchsuchen-Schalter zum Speicherort der Datei. Drücken Sie im Anschluß auf: Lizenz-Datei einbringen. Die Lizenz wird eingebracht. Die AntiVir System-Programme werden automatisch entsprechend der Lizenz angepasst. Hinweis: AntiVir stellt für Windows-Arbeitsstationen ebenso Viren-Scanner bereit: "AntiVir Personal Edition" o Private Nutzung kostenfrei o Registrierung: www.free-av.de o Download: http://www.free-av.de/personal/de/avwinsfx.exe "AntiVir Windows Workstation" o kommerzielle Nutzung: 69,- € pro Jahr o Registrierung: secure.element5.com o Download: www.antivir.de/de/produkte/antivir_workstation 37 4.7 Router-Konfiguration Während der Installationsvorbereitung haben Sie die Grund-Einstellungen des Routers gesetzt. Nehmen Sie nun die speziellen Einstellungen für Ihre Minna-Dienste vor. Unabhängig vom RouterTyp sind folgende Einstellungen vorzunehmen: Stellen Sie die DynDns- Zugangsdaten ein (Domain/Host-Name, Benutzer, Passwort) Stellen Sie Port-Weiterleitungen auf die ROUTERNET IP-Adresse des Servers ein (meist zu finden unter NAT oder NAT-Ports): HTTP: Port 80, 8080, 443 FTP: Port 20, 21 SSH: Port 22 MAIL: Port 25 Nehmen Sie die VPN-Einstellungen vor: o VPN-Einwahl über: PPTP, IPSec, L2TP o PPP: Benutzername und Passwort, DHCP-Adress-Bereiche für VPN-Clienten o IPSec-Schlüssel: Wenn der Server einen Schlüssel vergibt, muss dieser auf der ClientSeite ebenfalls bekannt gemacht werden. o Benutzername und Passwort für externe Nutzer (bei Bedarf) 4.8 WEB-Proxy Die Standard Proxy-Einstellungen müssen nicht verändert werden. Neue angelegte Nutzer haben automatisch das Recht, den Proxy-Server zu benutzen. Wollen Sie einzelne Nutzer für die Proxy-Benutzung sperren, so klicken Sie auf: ProxyAuthentifizierung , selektieren den angezeigten Nutzer und aktivieren Erlauben/Enabled: Nein. 38 4.9 Benutzer Passwörter ändern Jeder Minna-Nutzer ist in allen Server-Modulen eingerichtet mit dem Passwort, dass dem Nutzer bei dessen Einrichtung vergeben wurde (siehe 4.1 Benutzer und Gruppen). Danach kann der Nutzer das Passwort selber ändern z.B. durch CTRL+Alt+Entf von Windows aus. Hier kann das Passwort eines Nutzers auf einen von Ihnen gewünschten Wert zurückgesetzt/geändert werden. 39 5. Minna-Dienste von Windows aus nutzen Der Minna-Server ist nach der Installation sofort einsatzbereit. Alle installierten Dienste stehen den Arbeitsstationen und Nutzern zur Verfügung. So sollten Sie von den Windows-Arbeitstationen auf die installierte Domaine, den Minna-Server und dessen Standard-Freigaben sofort mit Gast-Berechtigung zugreifen können. Testen Sie dies (z.B über: Windows-Explorer → Arbeitsplatz → Gesamtes Netzwerk → Microsoft Windows-Netzwerk → <Domaine> → <Server>). 5.1 Netz-Einstellungen DHCP Minna stellt für jedes Subnetz einen DHCP-Server bereit, der den Arbeitsstationen dynamisch IP-Adressen zuweist und die Namen der Arbeitsstationen dynamisch in DNS verwaltet. Hinweis: Jede Arbeitsstation, die keine Serverdienste bereitstellt sollte diesen Dienst nutzen. Die dynamischen IP-Adressen werden aus dem Bereich der oberen Subnetz-Hälfte zugewiesen: Dynamische IP-Adress-Bereiche im Standardnetz sind: eth0: 10.1.128.129 - 10.1.254.254 eth1: 10.2.128.129 - 10.2.254.254 eth2: 10.3.128.129 - 10.3.254.254 Für Arbeitsstationen mit statischen IP-Adressen kann die untere Subnetz-Hälfte verwendet werden: Statische IP-Adress-Bereiche im Standardnetz sind: eth0: 10.1.10.10 - 10.1.128.128 eth1: 10.2.10.10 - 10.2.128.128 eth2: 10.3.10.10 - 10.3.128.128 40 Windows-Netz-Einstellungen Testen Sie, ob der installierte Minna-Server von den Arbeitsstationen aus sichtbar ist: Windows-Explorer → Arbeitsplatz → Gesamtes Netzwerk → Microsoft Windows-Netzwerk → <Domaine> → <Server> Wenn Zugriff möglich ist, können die Netzeinstellungen beibehalten werden und das MinnaWindows-Setup kann ausgeführt werde ( weiter mit 5.2). Wenn kein Zugriff auf den Minna-Server möglich ist, prüfen und ändern Sie die NetzEinstellungen der Arbeitsstationen: Start → Einstellungen → Netzwerkverbindung → <Netzwerkkarte> → Eigenschaften → Internetprotokoll (TCP/IP) Arbeitsstationen mit dynamischer IP-Adresse: Aktivieren Sie die Einstellung "IP-Adresse automatisch beziehen" um die TCP/IP und DNS- Werte vom Minna-Server zu beziehen. Starten Sie den PC neu. Arbeitsstationen mit statischer IP-Adresse (Standard-Netz): o IP-Adresse: eindeutige Adresse aus Bereich statischer IP-Adressen o Subnetz-Maske: 255.255.255.0 o Standard-Gateway: bei Netz-Aufbau a) und b): IP-Adresse der INTRANET-Schnittstelle des Minna-Servers (Standard: 10.2.10.1) bei Netz-Aufbau c): IP-Adresse des Routers (Standard: 10.1.10.1) o DNS-Server-Adressen: Als Bevorzugten DNS-Server sollte die IP-Adresse den Minna-Servers eingetragen werden, Alternativer DNS-Server kann die IPAdresse des Routers bzw. des DNS-Servers Ihres Providers sein. Testen Sie die Netz-Einstellungen indem Sie von einem Kommando-Eingabe-Fenster ein ping auf die IP-Adressen des Standard-Gateways und die INTRANET-Schnittstelle des Servers ausführen. Um dem Windows-Explorer die geänderten Einstellungen mitzuteilen, muss der Computer neu gestartet werden. Hinweis: Bei Änderung der Netz-Einstellungen ist unter Windows u.U. ein zweimaligen Booten erforderlich. 41 5.2 Windows-Setup Das Minna-Windows Setup führt alle nötigen Konfigurationseinstellungen zur Nutzung der ServerDienste durch. Das Minna-Setup installiert ein Icon auf dem Desktop mit folgendem Inhalt: Bild 5: Minna-Windows-Fenster Setup ausführen Melden Sie sich als lokaler Administrator an Ihrem Windows System an! Browsen Sie zur Minna-System-Freigabe: Windows-Explorer → Netzwerk-Umgebung → Gesamtes Netzwerk → MS Windws Netzwerk → <Domaine> → <Server> → Minna Doppelklicken Sie auf Setup.bat Während des Setups wird auch der Fax-Drucker und Anruf-Monitor installiert (bei ISDN-Dienst). Führen Sie die Anweisungen des Setups aus. Nach dem Setup starten Sie den PC neu. Domänen-Beitritt Wenn der PC entsprechend 5.3 in die Minna Nutzer-Domäne aufgenommen werden soll (empfohlen), führen Sie nach dem Setup den Domänen-Beitritt durch: Start → Einstellungen → Systemsteuerung → System → Computername → Ändern Tragen Sie in das Feld Mitglied von Domäne den Namen der Minna-Samba-WindowsDomäne ein und klicken Sie auf OK. Der Domän-Server wird gesucht, Sie werden zur Eingabe von Nutzername und Passwort aufgefordert. Die Anmeldung muss mit Nutzer root und root-Passwort erfolgen! Bei erfolgreicher Aufnahme erhalten Sie die Meldung: 'Willkommen in der Domäne ...'. Hinweis: Sollte der Domän-Server nicht gefunden werden, prüfen Sie die Netz-Einstellungen und booten noch einmal. Starten Sie den PC neu. Nach dem Neustart haben Sie die Möglichkeit sich entweder in der zentralen Minna-Domäne als Minna-Nutzer oder in der lokalen Computer-Domäne anzumelden. 42 5.3 Zentrale Nutzer-Domäne oder Lokale Anmeldung Damit Windows-Nutzer die Minna-Dienste in vollem Umfang nutzen können, müssen Sie auf dem Server bekannt sein, d.h. mit Namen und Passwort in der Minna-Verwaltung eingerichtet sein. Ansonsten erfolgt der Zugriff auf die Minna-Dienste nur mit Gast-Berechtigung. Die Authentifizierung eines Nutzers erfolgt während der Windows-Anmeldung. Minna stellt eine zentrale Domänen Nutzer- und Profile-Verwaltung für Windows bereit. Um sich in der Domäne anmelden zu können, muss der betreffende PC Mitglied der Domäne sein (siehe Domänen-Beitritt oben), der Domänen-Beitritt kann jederzeit erfolgen. Zur Nutzung der Minna-Dienste ist die Mitgliedschaft des PC's in der Minna-Domäne und die Domänen-Nutzer-Anmeldung nicht zwingend erforderlich. Der PC kann auch Mitglied einer anderen Domäne oder nur der eigenen lokalen Domäne sein. Für Zugriffe auf die Minna-Dienste gilt dann jedoch folgende Vorraussetzung: Nutzername und Passwort der Anmeldung müssen übereinstimmen mit Nutzernamen und Passwort des Nutzers in der Minna-Domäne (Minna-Verwaltung). Bei einer Domänen-Anmeldung ist dies auch bei Passwort-Änderungen immer gewährleistet. Bei Anmeldung lokal oder in einer anderer Domäne muss die Passwort-Synchronisierung bei Änderung eines Passworts in der Minna-Verwaltung manuell erfolgen. Ist die Nutzername-Passwort Vorraussetzung nicht erfüllt, wird der Nutzer automatisch als Gast an Minna angemeldet. Die folgende Tabelle zeigt die Anmelde-Möglichkeiten und deren Merkmale. Anmeldung als Minna-Nutzer in der zentralen Minna Windows-Domäne Anmeldung als Minna-Nutzer in der lokalen oder einer anderen Domäne Anmeldung als Nutzer, der nicht in der MinnaVerwaltung existiert Authentifizierung während der Anmeldung: als Minna-Nutzer mit den entspr. GruppenZugehörigkeiten • bei gleichem Passwort als Minna-Nutzer mit den entspr. GruppenZugehörigkeiten, • bei unterschiedlichem Passwort wird Name und Passwort für den Minna-Server extra abgefragt als Minna Gast-Nutzer PasswortSynchronisierung erfolgt automatisch bei Änderungen per Hand in MinnaVerwaltung - 43 Minna-Dienste Anmeldung als Minna-Nutzer in der zentralen Minna Windows-Domäne Verwaltung von Profil-Daten ja nein nein Home-Verzeichnis ja ja nein Zugriff auf MinnaFreigaben als Minna-Nutzer als Minna-Nutzer als Gast-Nutzer auf Minna-StandardFreigaben Drucker-Zugriff (auf vom Server verwaltete) ja ja ja Fax ja ja ja ISDN ja ja nein Mail (einschließlich Spam-Schutz) ja ja nein (bzw. mit MailKonto Zugangsdaten eines Minna-Nutzers) Virenschutz für Profildaten, HomeVerzeichnis, alle Server-Freigaben, Mails für HomeVerzeichnis, alle Server-Freigaben, Mails für alle Server-Freigaben WEB-Proxy ja ja nein (bzw. mit Zugangsdaten eines Minna-Nutzers) WEB-Server Dienste ja ja ja 1. 2. 3. Anmeldung als MinnaNutzer in der lokalen oder einer anderen Domäne Anmeldung als Nutzer, der nicht in der MinnaVerwaltung existiert Entscheiden Sie vorab über die Art der gewünschten Nutzeranmeldung und Verwaltung. Ein späterer Wechsel führt zu Irritationen bei den Profile-Daten. Die zentrale Minna Windows-Domäne ist die effektivste und sicherste und wird empfohlen (ist jedoch bei Integration in ein bestehendes Netz nicht immer möglich). Führen Sie nach dem Minna-Windows-Setup einmalig den Domänen-Beitritt der Windows PC's aus. Richten Sie vorab die Nutzer in der Minna Nutzer-Verwaltung mit initialen Klartext-Passwort ein. In der Minna-Domäne werden Passwort-Änderungen von Nutzer-Seite dann automatisch in verschlüsselter Form in die Nutzerverwaltung übertragen und sind in der Verwaltung nicht mehr lesbar. Das Passwort kann bei Bedarf jeweils im Klartext zurückgesetzt. 44 5.4 Windows-Dienste: Einstellung und Nutzung Informationen über die aktuellen Server-Daten Über das 'Info'-Symbol im Minna-Fenster erhalten Sie alle relevanten Informationen zu den aktuellen Minna-Daten (Mail-Server-Adresse, Web.Proxy-Port etc.). Entsprechend der angezeigten Informationen können die Einstellungen vorgenommen werden. Desktop-Verknüpfung Minna → Info öffnen Verzeichnis-Freigaben Die Freigaben des Minna-Servers sind z.B. über das Freigabe-Symbol oder den WindowsExplorer zugänglich. Zugriffsberechtigungen: Sind Sie als Minna-Nutzer angemeldet (Minna-Windows-Domaine oder lokal mit gleichem Nutzernamen und Passwort), so haben Sie die Berechtigungen, die Ihrer Gruppe und Ihrem Nutzer für die jeweilige Freigabe entsprechen (siehe 4.2 Verzeichnis-Freigaben). Sind Sie kein Minna-Nutzer, so haben Sie automatisch 'Gast-Zugriff' auf die Freigaben. Wollen Sie sich im nachhinein mit Freigaben als spezieller Minna-Nutzer verbinden, so löschen Sie vorab alle eventuell zum Server existierenden Freigabe-Verbindungen und authentifizieren Sie sich neu (Windows lässt zu einer Server-Ressource keine unterschiedlichen Nutzer-Authentifizierungen zu). Home-Verzeichnis: Jeder Minna-Nutzer erhält ein Home-Verzeichnis vom Server, welches beim Login standardmäßig mit dem Laufwerk U: verbunden wird. Durch Klick auf das 'Prompt'-Symbol wird die Windows-Eingabe-Aufforderung im HomeVerzeichnis gestartet. Virenschutz: Auf allen Freigaben des Servers wird bei Datei-Zugriffen permanent auf Viren geprüft. Wird ein Virus gefunden, so versucht Minna die Datei zu reparieren. Falls dies nicht gelingt, so wird die Datei in ein Quarantäne-Verzeichnis Server gestellt und gelöscht. Der Datei-Zugriff schlägt fehl. Es erfolgt keine Dialog-Meldung aber es wird sofort eine Mail an den Nutzer und den Administrator versandt. Backup: Alle Verzeichnis-Freigaben des Minna-Servers werden über das automatischen MinnaBackup regelmäßig gesichert (siehe 4.4 Datensicherung und Wiederherstellung). Bei Datenverlust sind diese Daten also leicht wiederherstellbar. Hinweis: Speichern Sie Daten und Programme wenn möglich stets auf den Server-Freigaben und nicht auf den Arbeitsstationen (mit Ausnahme von Windows selber). Dadurch halten Sie die Arbeitsstationen schlank, gewährleisten Datensicherheit und Virenschutz, ermöglichen zentralen Daten-Zugriff, ermöglichen eine schnelle Austauschbarkeit der Arbeitstationen. Mail-Einstellungen Erstellen Sie ein Mail-Konto in Ihrem Mail-Programm. Geben Sie den Namen des Minna-Servers an unter: SMTP-Server (Server für ausgehende Mails) und POP oder IMAP Server für eingehende Mails). Tragen Sie als Benutzer-Namen Ihren Minna-Nutzer Namen ein und als Passwort Ihr MinnaNutzer Passwort. 45 Web-Proxy Einstellungen Zum schnellen Zugriff auf Internet-Seiten kann Minna-Web-Proxy genutzt werden. Tragen Sie dazu Adresse und Port des Web-Proxys in den Proxy-Einstellungen Ihres InternetBrowsers ein. Um z.B. die Standard-Einstellung des Minna-Web-Proxys im MS Internet Explorer vorzunehmen, führen Sie folgendes aus: Internet Explorer → Extras → Internetoptionen → Verbindungen → LAN-Einstellungen → Proxyserver: Proxyserver für LAN verwenden: Adresse: minna, Port: 8080 . Eventuell geänderte Proxy-Daten sind auf der Minna-Info-Seite ablesbar ('Info'-Symbol im Minna-Fenster). VPN-Verbindung zu Minna von Windows-XP Um über VPN mit den Minna-Diensten zu arbeiten, können Windows-XP Nutzer an entfernten Arbeitsplätzen direkt den Standard-Windows-XP VPN-Clienten benutzen (PPTPProtokoll). Einrichtung eines Windows-XP VPN-Clienten: Start → Einstellungen → Netzwerkverbindungen → Neue Verbindung → Verbindung mit dem Netzwerk am Arbeitsplatz herstellen → VPN-Verbindung → ... VPN-Server-Adresse: muss der im Internet bekannte DNS/DynDNS-Name sein Alle Standard-Einstellungen können beibehalten werden. Fax-Versand Fax-Versand erfolgt über einen Fax-Drucker. Der Fax-Drucker steht automatisch in der Drucker-Auswahl zur Verfügung. Wird auf diesen Drucker "gedruckt", erfolgt vorab eine Abfrage der Fax-Nummer des Empfängers. Die Nummer kann aus der zentralen oder persönlichen Fax-Nummern-Liste gewählt oder direkt angegeben werden. Mit Klick auf den OK-Button der Nummern-Eingabe wird das Fax an den Minna-Server übermittelt und von dort an den Empfänger gesendet. Fax-Empfang erfolgt per Mail (siehe 4.5 Fax und ISDN) Anruf-Monitor Der Anruf-Monitor wird bei jeder Windows-Anmeldung automatisch gestartet. Er ist über das Telefon-Symbol in der Task-Leiste zu finden. Bei eingehenden Anrufen wird der Monitor automatisch aktiviert und angezeigt. Weitere ISDN-Anwendungen Sollen weitere Anwendungen über ISDN betrieben werden, wie z.B. WinFAX-Pro, pcAnyWhere, ... so geben Sie in deren Konfigurationseinstellungen als CAPI-Server den Minna-Server an (Name oder IP-Adresse). Eine ISDN-Karte im PC wird nicht benötigt. Minna-Verwaltung starten Über das Verwaltungs-Symbol starten Sie einen WEB-Browser mit der Adresse der MinnaVerwaltung (siehe 4. Verwaltung) und können Verwaltungs-Aktionen vornehmen. Direktes Arbeiten auf Minna über VNC Über das VNC-Symbol starten Sie den Win32 VNC-Viewer mit dem Minna-Server Desktop um direkt auf Ihrem Bildschirm am Server zu arbeiten. Hinweis: Diese Möglichkeit sollte nur von Nutzern mit Linux/Unix-Kenntnissen genutzt werden. Für das Betreiben des Minna-Servers besteht dazu keine Notwendigkeit. 46 6. Minna WEB-Dienste 6.1 HTTP-Server Http-Verzeichnisse unter: /srv/www/<HttpHost>.<DnsDomain>/ Minna selber legt intern generell den Http-Host minna an. 6.2 FTP-Server FTP-HostName: ftp.<DnsDomain> Verzeichnis für anonymous FTP: /srv/ftp/ FTP-Nutzer Zugriffe: • Authentifizierung mit Benutzer-Name und Kennwort des Minna-Nutzers • Verzeichnisse: jeweils die HOME-Verzeichnisse 6.3 MySQL-Datenbank-Server Datenbank-Verzeichnis: /var/lib/mysql Name: test 47 Anhang A Hardware-Auswahl-Kriterien Die Hardware für Minna ist offen und wird von der Firma ctberger zusammengstellt. Es können alle üblichen im Handel verfügbare HardwareKomponenten genutzt werden. Überlegen Sie bei der Zusammenstellung Ihrer Hardware, welche Kriterien für Sie wichtig sind. Entscheiden Sie nach folgenden Gesichtspunkten: Mainboard: Rechenleistung, Geschwindigkeit RAID: Ja, Nein? Software-oder Hardware-RAID? Welche Festplatten? Welche Datensicherung? Gehäuse Stromausfall - was nun? → Mainboard: Rechenleistung und Geschwindigkeit Welche Anforderungen werden an Rechenleistung und Geschwindigkeit gestellt? Wird der Rechner als Datei-Server, Mail- und Intranet-WEB-Server eingesetzt, ist eine kleine CPU mit niedriger Takt-Frequenz ausreichend. Laufen hingegen zentrale hochfrequentierte Datenbanken parallel zu Mail- und WEBServer mit Viren-Filter, muss ein leistungsfähiges Motherboard verwendet werden. Setzen Sie Minna zur Vernetzung mehrerer Betriebsstellen ein? Greifen viele lokale Arbeitsstationen aus mehreren Subnetzen und über VPN gleichzeitig zu, muss ein leistungsfähiges Motherboard verwendet werden. Bei 5 bis 15 Arbeitstationen in bis zu zwei Subnetzen ist ein Standard-Mainboard ausreichend. Klein Mittel Groß Mainboard mit VGA und LAN on Board Prozessor Intel Celeron 3,0 GHz Arbeitssp. 512 MB Mainboard mit VGA und LAN on Board Prozessor Intel Pentium 4 2,8 GHz Arbeitssp. 1024 MB Mainboard mit VGA und LAN on Board Prozessor Intel Pentium XEON 3,4 GHz Arbeitssp. 2048 MB Generell: Disk.LW + DVD/CD-LW, zwei Netzwerk-Karten Fritz-ISDN-Karte 48 → RAID: Ja, Nein? Software-oder Hardware-RAID? Bei RAID-Einsatz werden Daten auf zwei Platten synchron geschrieben. Sollte eine Festplatte ausfallen, wird auf die funktionierende umgeschaltet und eine Nachricht gesendet. RAID ist hier Synonym für Festplattenspiegelung nach RAID-1. Benötigen Sie gespiegelte Festplatten? Müssen Sie bei Festplatten-Ausfall ohne Zeitverzögerung sofort mit aktuellen Daten weiter arbeiten? oder Ist es ausreichend, bei Festplatten-Ausfall auf Datensicherungen zurückgreifen? Minna stellt bei Bedarf ein Software-RAID zur Verfügung. Durch Software-RAID ist es möglich, preiswerte Festplatten ohne spezielle Hardware-RAID-Controller zu spiegeln. Einziger Nachteil des Software-RAID besteht darin, dass Rechenleistung der CPU benötigt wird, wobei Messungen für Server mit mittlerer Belastung keine relevanten Leistungs-Einbußen ergeben haben. Bei Servern mit vielen Schreib-/Lese-Vorgängen pro Sekunde gleichzeitig macht sich ein Hardware-RAID als leistungssteigernd bemerkbar. → Welche Festplatten? Machen Sie sich vorab bewusst, welche Datenmengen zu speichern sind. Laufen die Platten im Dauerbetrieb? Ist ein Hardware unterstütztes RAID-System notwendig? Ist ein schneller Platten-Zugriff notwendig? (bei Datenbank-Anwendungen z.B.) Achten Sie auf die Geschwindigkeits-Angaben (rpm - rotations per minute) und durchschnittlichen Zugriffszeiten (kleiner 10 ms) Preiswerte S-ATA Festplatten: Schnellere S-ATA Festplatte: Schnelle Festplatten mit zusätzlichen Controller: 2x Festplatten 120GB S-ATA 7200rpm 2x Festplatten 74GB Enterprise S-ATA 10.000rpm 5,2ms 2x Festplatten 74GB Enterprise SATA 10.000rpm 5,2ms mit RAIDContoller 49 → Welche Datensicherungs-Variante? Datensicherung ist trotz RAID nötig. RAID schützt nicht vor Datenverlust durch versehentliches Überschreiben oder Programm-Fehler. Welche Varianten kommen in Frage? Sichern von Daten auf Bandlaufwerk: o ist nach wie vor die sicherste Variante o und mit Datenvolumen von bis zu 80 GByte auch für schnelle Sicherung von großen Datenmengen bisher ungeschlagen o einziger Nachteil ist der Preis: mindestens einige 100 Euro (je nach Typ) Sichern von Daten auf externe USB-Festplatten: o ist elegant und auch für große Datenmengen geeignet, o bei mehreren Backups jedoch ebenso eine Preisfrage o und unhandlich zu lagern Sichern auf externe Netz-Laufwerke (Arbeitsstationen, Server) o nicht für datenschutz- und sicherheitsrelevante Daten nutzbar o ausser-Haus-Lagerung zumeist problematisch o Netz wird belastet, daher nur nachts Brennen von CD's / DVD's o ist derzeit noch für nur relativ kleine Datenmengen einsetzbar o und schlecht automatisierbar Beispiele: DAT Bandlaufwerk DDS3 12/24 GB und 10 Tape DDS3 DAT Bandlaufwerk DDS4 20/40 GB und 10 Tape DDS4 Externe USB Festplatte 120GB Jede Hardware-Variante ist nur so gut, wie die benutzte Backup-Software. Wesentlich ist, dass Daten-Sicherung und Daten-Wiederherstellung möglichst unabhängig von der Hardware-Variante arbeiten dass die Backup-Software einfach und effizient zu bedienen ist, dass die Daten-Wiederherstellung übersichtlich und robust ist, d.h. auch bei geänderter System-Konfiguration und gewechselter Hardware funktioniert. Es gibt unzählige Backup-Programme, die teuer oder an bestimmte Hardware gebunden sind oder kompliziert zu bedienen sind. Jede Datensicherung ist nur so gut, wie die Datenwiederherstellung. Minna-Backup ( Minna-BACKSTORE Dienst) ist die preiswerteste und momentan die optimale Alternative. Es genügt allen Ansprüchen, und bietet vor allem eine robuste und vielfältig einsetzbare Daten-Wiederherstellung, ist kostenlos im minna-server enthalten und kann sowohl auf Band als auch auf externe USB und Netz-Laufwerke schreiben. 50 → Gehäuse Soll der Server in einen 19 Zoll Schrank? Muß er leise sein? Ist der Preis entscheidend? Gedämmtes Gehäuse, leiser Lüfter für CPU, Grafik, Netzteil Preiswertes Standard Gehäuse Gehäuse zum Einbau in 19 Zoll Schrank → Stromausfall - was nun? Muß der Server ausfallsicher bei Stromunterbrechung weiter arbeiten? oder Kann ein Datenausfall toleriert werden? Häufig kommt es zu Spannungsschwankungen und kurzen Unterbrechungen oder Stromspitzen (im ms, und µs Bereich), die von uns nicht wahrgenommen werden. Einige Netzteile gleichen diese Schwankungen aus, die preiswerteren jedoch nicht. Netzteile mit ausreichend Schwankungs-Toleranzen sind teuer. Besonders gefährlich sind Stromschwankungen für Festplatten: Der Lese-/Schreib-Kopf fällt schlagartig auf die mit 12000 rpm drehende Scheibe, das führt zu mechanischen Beschädigungen der Festplatte, welche im Extremfall den totalem Daten-Verlust zur Folge haben. Aus diesem Grund kommen USV's zum Einsatz (Unterbrechungsfreie Strom-Versorgungen, große Akkumulatoren mit elektronischer Steuerung). Die USV ist über eine Schnittstelle einstellbar in der Weise, dass der Server ordnungsgemäß runter gefahren wird nach voreingestellter stromloser Zeit. Das sind nur einige Gesichtspunkte zur Hardware-Auswahl. Haben Sie bitte Verständnis dafür, dass aus Aktualtätsgründen keine Preise angegeben werden können. Spezielle Angebote erteilt ctberger gerne und umgehend auf Anfrage. ctberger baut PC's, Server und Netze in eigener Werkstatt und vor Ort auf, aus und um. 51 Anhang B Datum: September 2005 DynDNS HowTo: Minna-Dienste und DNS 1. Interne Dienste und lokale DNS-Domaine 2. Warum DynDNS? 3. Grundsätzliches zur DNS-Verwaltung im Internet 3.1 DNS - Domain Name Service 3.2 Domain-Registrierung 3.3 Domain-Verwaltung 3.4 Domain-Delegierung 3.5 Domain-Transfer 4. DNS- und DynDNS-Provider 5. Zwei Varianten für DynDNS A: DynDNS: <MainName>.dyndns.org B: DNS-DynDNS: <MainName>.de 6. Feste IP-Adresse Links 1. Interne Dienste und lokale DNS-Domaine Minna stellt Dienste, wie File-Server, ISDN, Mail oder WEB-Proxy intern den Arbeitsstationen im lokalen Netz (LAN und WLAN) zur Verfügung. Für das interne Minna-Netz wird eine lokale DNS-Domaine verwaltet, welche die festen und die durch den DHCP-Server vergebenen dynamischen IP-Adressen festen Namen zuordnet. Der lokale DNS-Server stellt diese Information allen anfragenden Arbeitsstationen und Diensten im lokalen Netz zur Verfügung. Der Name der lokalen DNS-Domaine wird bei der Installation festgelegt. Der lokale DNS-Server beantwortet ebenso Anfragen zu Namen und IP-Adressen, die nicht zur lokalen Domaine gehören (indem er dazu andere Name-Server befragt). Er ist für das lokale Minna-Netz der Dolmetscher für die Übersetzung von allen Domain- und Rechner-Namen zu IP-Adressen und umgekehrt. Vorraussetzung ist die Eintragung des Minna-Servers als DNS-Server in den NetzwerkEinstellungen der Arbeitsstationen. Die Rechner des Minna-Netzes können über den von Windows bereitgestellten NETBIOS Namen, über IP-Adressen und über ihren DNS-Namen angesprochen werden. 52 2. Warum DynDNS? Lokale Dienste und VPN Um lokale Dienste von außen über das Internet nutzen zu können, stellt Minna einen VPN-Server zur Verfügung. Zugriffe von außen auf die internen Dienste sollten ausschließlich über diesen VPNDienst erfolgen. Der VPN-Dienst verschlüsselt nicht nur die Verbindung zwischen einem externen Clienten und dem Server und tunnelt sie damit durchs Internet, sondern VPN leistet mehr. Es wandelt den externen Clienten in einen quasi im LAN befindlichen internen Clienten um (VLAN) indem ihm eine Adresse aus dem internen Netz zugeteilt und diese in die lokale DNS-Domain-Verwaltung aufnimmt. Externe Dienste Der Minna-Server kann Dienste, wie Http, Mail, FTP, SSH zur externen Nutzung im Internet zur Verfügung stellen. Damit entsteht folgende Forderung: Externe Zugriffe dürfen keine sicherheits-relevanten Auswirkungen auf das interne Netz haben. Erreicht wird dies, indem diese Dienste auf einem zweiten, vom internen LAN abgesetzten Server-Interface, in separatem Subnetz bereitgestellt werden (wird häufig als DMZ bezeichnet). Externe Zugriffe sind nur in dieses Subnetz (ROUTERNET) möglich, Zugriffe aus diesem Subnetz ins interne Subnetz (INTRANET) sind nicht möglich. Dies wird durch die MinnaServer und Router-Konfiguration gewährleistet. Um lokale Minna-Dienste über VPN und externen Minna-Dienste über HTTP, FTP, MAIL nutzen zu können, wird ein fester und im Internet bekannter Name oder eine feste IP-Adresse benötigt. Der Internet-Provider vergibt für den Standard-Internet-Zugang eine IP-Adrese, die sich zyklisch und/oder bei Internet An/Abwahl ändert. Falls keine feste IP-Adresse vorhanden ist, benötigt man eine öffentliche zugängliche Zuordnung der veränderlichen IP-Adresse zu einem festen Namen - Dynamisches DNS, kurz DynDNS. Dynamisches DNS, kann nicht vom Minna-Server bereit gestellt werden. Für DynDNS benötigt man: Zugang zum DNS-Server eines DynDns-Providers einen DynDns-fähigen Router oder ein frei erhältliches DynDNS-Update-Programm Im Minna-Netz übernimmt der Router diese Aktualisierung. 53 3. Grundsätzliches zur DNS-Verwaltung im Internet DNS - Domain Name Service allgemein Definiert das Namenssystem des Internet und die Dienste, welche zum Übersetzen der Namen in Adressen dienen. Für jede Domaine jeder Ebene gibt es einen Master-NameServer, der alle Namen seiner Ebene kennt. Alle anderen NameServer fragen diesen NameServer, wenn sie nach einem Namen gefragt werden, den sie selber nicht kennen. Eine Anfrage beginnt immer an oberster Stelle, den Root-NameServern. Die DNS-Verwaltung umfasst: o die Domain-Registrierung und Delegierung der Domain-Verwaltung an die zuständigen NameServer, o die Domain-Verwaltung, d.h. die Verwaltung der DNS-Daten der Domaine selber Registrierung und Verwaltung einer Domain können durch verschiedenen Provider erfolgen. Domain-Registrierung Die Registrierung wird von Internet-Behörden vorgenommen. Oberste Internet-Behörde ist die ICANN = "Internet Corporation for Assigned Names and Numbers". Die ICANN arbeitet mit den Verantwortlichen der Länder-Top-Level-Domainen (de, at, uk, ...) und der sogenannten Generischen Domainen (com, net, org, edu, ...) zusammen. (www.icannchannel.de/tlds) Für DE Domainen ist die DENIC = "Domain Verwaltungs- und Betriebsgesellschaft eG, Frankfurt" die zentrale Behörde und Registrierungsstelle. Die DENIC betreibt die Root-Name-Server der .DE Domaine und ist verantwortlich für die Registrierung aller DE Domainen. Domains werden nicht direkt bei der jeweiligen Landesbehörde beantragt und registriert sondern über bestimmte von der ICANN oder Landes-Behörde akkreditierte Registrare bestellt. Diese müssen Mitglieder der Behörde sein. Registrierungs-Dienste werden von den meisten Internet-Providern angeboten. Die Domain-Registrierung bestimmt: den Domain-Namen und neben dem Besitzer, Verwalter und technisch Verantwortlichen vor allem den zuständigen NameServer. Domain-Verwaltung Im folgenden sind die hier wesentlichen DNS-Datensätze (Resource Records) gelistet. Eine vollständige Liste befindet sich unter: http://de.wikipedia.org/wiki/Resource_Record : Die Verwaltung der DNS-Daten findet auf den für die Domaine zuständigen NameServern statt, welche zumeist vom Provider selber betrieben werden. Sie kann auch an andere NameServer delegiert werden. Die Verwaltung umfasst: die Zuordnung von DNS-Namen zu IP-Adressen und umgekehrt (A, PTR Records) die Zuordnung zusätzlicher Namen innerhalb der Domaine, welche auf existierende DNSNamen innerhalb der gleichen Domaine oder aber auch auf DNS-Namen innerhalb anderer Domainen verweisen können (CNAME Record, oft auch als Link bezeichnet) Addressen der für die Domaine zuständigen Mail-Server (MX Record) Zuordnung von bekannten oder gehosteten Domainen und Sub-Domainen zu den jeweils verantwortlichen Name-Servern (NS Record) 54 Domain-Delegierung Die Domain-Delegierung bestimmt die NameServer, die für die Beantwortung von Anfragen zu Namen dieser Domaine zuständig sind. (Die Domain-Verwaltung wird an einen anderen NameServer delegiert.) Domain-Transfer Unter Domain-Transfer versteht man den Umzug einer Domaine von einem Provider A zum Provider B, d.h. i.A.: der NameServer-Eintrag für die Domaine muss geändert werden. Der Domain-Transfer betrifft die Registrierung und Verwaltung, während bei einer DomainDelegierung nur die NameServer mit der dazugehörigen Verwaltung wechseln. Eine Domaine muss generell mindestens 60 Tage registriert sein, bevor sie transferiert werden kann. 4. DNS- und DynDNS-Provider DNS-Provider ist jemand der einen öffentlich abfragbaren DNS-Name-Server betreibt und in diesem verschiedene Sub-Domainen verwaltet. Jeder Internet-Service-Provider (ISP) ist i.A. auch DNS-Provider. DynDNS-Provider ist ein DNS-Provider, der zusätzlich die Änderung der Zuordnung von IP-Adresse zu Namen unterstützt. Unter der Vielzahl von DNS- und DynDNS Anbietern beschränkt sich Minna auf die Folgenden: DNS-Provider: domaindiscount24.de und united-domains.de Beide sind Mitglied der DENIC und gleichzeitig akkreditierte Registrare bei der ICANN. Sie können daher direkt sowohl dyndns.org Delegierungen als auch DE-Domainen Delegierungen, Registrierung und Transfers vornehmen. Z.Z. wird nur über DomainDiscount24 eine volle Unterstützung der DynDns-Delegierung gewährleistet. Jährliche Domain-Gebühr für eine DE Domain Registrierung: ca. 10 € (zum Datum des Dokuments) Beide bieten vollständige Konfigurations-Möglichkeit der Domain-Daten DynDNS-Provider: dyndns.org dyndns.org - "Dynamic Network Services, Inc. Manchester USA" ist der nach Leistung und Preis z.Z. günstigste DynDNS-Anbieter für generische Domainen dyndns.org ermöglicht die Delegierung von .DE-Domainen, nur in Kooperation mit Domaindiscount24.com dyndns.org ermöglicht einen sofortigen, kostenlosen User-Account. dyndns.org ermöglicht pro User 5 sofortige kostenlose DynDNS Domain-Namen dyndns.org bietet komplette Konfigurations-Möglichkeit der Domain-Daten 55 5. Zwei Varianten für DynDNS A: DynDNS: B: DNS-DynDNS: <MeinName>.dyndns.org: Registrierung und Verwaltung durch dyndns <MeinName>.de: Registrierung und Verwaltung durch DNS-Provider, Verweis zu dyndns-Domain A: DynDNS: <MeinName>.dyndns.org dyndns.org bietet nur einen Third-Level-Domain-Namen, wie <MeinName>.dyndns.org. Second-Level-Domaine ist eine von 40 vorgegebenen: www.dyndns.org/services/dns/dyndns/domains.html Es können beliebig viele verschiedene Namen vor den DNS-Namen gesetzt werden, wie: 'www.<MeinName>.dyndns.org', 'mail.<MeinName>.dyndns.org' dyndns.org (dynamisch oder statisch) ist kostenlos. Was ist bei dyndns der Unterschied zwischen dynamischer und statischer DynDNS-Domain? o Eine dynamische DynDns Domaine wird gelöscht, wenn sie nicht innerhalb von 35 Tagen wenigstens einmal mit einer gültigen IP-Adresse aktualisiert wurde. Bei Änderung der IP-Adresse wird der Name schon nach maximal 15 Minuten im gesamten Internet korrekt aufgelöst. o Eine statische DynDns Domaine verfällt nicht. Die Aktualisierungs-Zeit ist aber wesentlich größer. Bei Änderung der IP-Adresse wird der Name erst nach 4 bis 5 Stunden im gesamten Internet korrekt aufgelöst. Welche Schritte sind notwendig: dyndns.org User-Account einrichten: www.dyndns.org - Account - Mail-Bestätigung abwarten (ca. 1/2 Stunde) DynamicDNS-Host hinzufügen: www.dyndns.org - UserLogin - Dynamic DNS (Add Host) o den gewünschte Host-Namen (z.B. 'MeinName') und die Second-Level-Domain (z.B. 'dyndns.org')angeben o Als IP-Adresse wird die aktuelle IP-Adresse (das WAN-Interface des Routers) angezeigt o 'Enable Wildcars' aktivieren o Achtung! Das Feld 'Mail Exchanger' kann nur ausgefüllt werden, wenn der Minna-MailService auf dem Minna-Server aktiviert ist. Wenn Mails anderweitig empfangen werden, bleibt das Feld leer. Ist der Minna-Mail-Service aktiv, so ist in das Feld 'Mail Exchanger' der DynDNS-Namen ('MainName.dyndns.org') einzutragen. Auf dem Minna-Router sind der DynDNS-Host-Namen ('MeinName.dyndns.org') und die DynDNSZugangs-Daten: User und Password einzutragen. Finanzieller Aufwand = 0 Vorteil: Sie ist einfach, schnell und kostenlos Nachteil: Sie kann nur gewählt werden, wenn kein eigener Domain-Namen ('MeinName.de') benötigt wird. 56 B: DNS-DynDNS: <MeinName>.de Es wird eine kostenlose DynDNS Domain von dyndns.org benutzt, genau so, wie unter A beschrieben Zusätzlich werden einer DNS-Domaine (<MeinName>.de) CNAME Records hinzugefügt, die auf den DynDNS-Domain-Namen verweisen. Für jeden externen Minna-Dienst kann ein CNAME-Record erstellt werden <Dienst>>.<MeinName>.de <TTL> CNAME <MeinName>.dyndns.org Ebenso können die MX-Records auf den DynDNS-Domain-Namen verweisen, wenn der Minna-MailDienst aktiviert ist. Es ist eine Domain Registrierung/Transfer für eine öffentliche Domaine notwendig, und zwar bei einem DNS-Anbieter, welcher die Einstellung zusätzlicher CNAME-Records für die Domaine oder Sub-Domainen zulässt. Für neue Domainen empfiehlt sich domaindiscount24.de bzw. united-domains.de. Welche Schritte sind notwendig: Einrichtung der DynDNS Domaine wie unter A beschrieben Domain-Registrierung oder Transfer, falls keine existierende CNAME-konfigurierbare DNS-Domaine verfügbar ist Einstellen der CNAME-Records in der DNS-Domaine: <Dienst>.<MeinName>.de <TTL> CNAME <MeinName>.dyndns.org Falls Minna-Mail-Service aktiviert ist, muss der Mail-Server-Eintrag ebenfalls auf den DynDNSNamen verweisen: <MeinName>.de <TTL> MX 10 <MeinName>.dyndns.org auf dem Minna-Router den DynDNS-Eintrag vornehmen('<MeinName>.dyndns.org') und DynDNSZugangs-Daten: User und Password eintragen Finanzieller Aufwand: Domain-Registrierung (Domaindiscount24): ca. 10 € pro Jahr Vorteile: einfach und schnell. Konfiguration aller DNS-Daten für eine Second-Level-Domaine möglich Nachteile: hängt ab von der CNAME-Konfigurations%Möglichkeit des DNS-Providers, RegistrierungsGebühr 6. Feste IP-Adresse Eine feste IP-Adresse bedeutet zusätzliche Gebühren. Wird trotz der DynDNS-Möglichkeit eine feste IP-Adresse gewünscht, so empfiehlt sich die "TAL.DE Klaus Internet Service GmbH" als preiswerter Anbieter: www.tal.de/dsl/pluspunkte.html#FesteIP Mit dem dort offerierten ADSL-Basic Zugang erhält man für monatlich 9,90 € eine feste IP-Adresse (T-DSL ist Vorraussetzung und nicht im genannten Preis enthalten). Es empfiehlt sich in diesem Fall, auch die Domaine dort zu registrieren. Links www.dyndns.org www.domaindiscount24.com wikipedia: DNS 57 Anhang C Beispiel Minna-Konfigurationsdatei (custom.dat) Die geänderten (von der Standard-Konfiguration abweichenden) Daten sind farbig hervorgehoben. ################################################################################# ## Minna-Server Konfigurations-Daten ## Ändern Sie die Daten (letztes Feld jeweils) entsprechend Ihren Erfordernissen! ################################################################################# ## 1. Wählen Sie die Dienste, die auf dem Server installiert werden sollen: SELECTED:Features: DHCPD, MAIL, GUARD, HTTPD, FTP, SQLDB, WEBPROXY, BACKSTORE, SAMBA, WINCLIENT, ISDN ## 2. Geben Sie dem Server einen Namen: SERVER : Name : frieda ## 3. Wie soll die lokale DNS-Domaine heissen? ## Hinweis: Heisst Ihre InternetDomaine z.B. "FirmenName.de", so nennen Sie ## die lokale Domaine "FirmenName.local" SERVER : Localdomain : ls-immobilien.local ## 4. Dienste, die auf andere Server verteilt werden koennen: ## Falls Sie Minna-Dienste von anderen Server nutzen, geben Sie hier die Namen ## der Server an. Ansonsten aendern Sie diese Werte nicht! SERVICE : HTTPD : <SERVER><Name> SERVICE : FTP : <SERVER><Name> SERVICE : SQLDB : <SERVER><Name> SERVICE : SAMBA : <SERVER><Name> SERVICE : ISDN : <SERVER><Name> SERVICE : MAIL : <SERVER><Name> SERVICE : WEBPROXY : <SERVER><Name> SERVICE : GUARD : <SERVER><Name> ## 5. Server-Namen fuer die entsprechenden Dienste ## (DNS: <Servicenames>.<Localdomain>) ## Die Einstellungen brauchen i.A. nicht geaendert zu werden. MAIL : Servicenames : smtp, pop3, pop, imap GUARD : Servicenames : guard WEBPROXY : Servicenames : proxy SAMBA : Servicenames : samba ISDN : Servicenames : isdn FTP : Servicenames : ftp SQLDB : Servicenames : sqldb ## 6. Mit dem HTTPD-Dienst können Sie mehrerere WEB-Server parallel ## betreiben. Geben Sie hier die Namen der gewünschten WEB-Server an. HTTPD : Servicenames : www, intra-ls 58 ## 7. Wenn Sie den SAMBA-Dienst selektiert haben, wird ein ## Windows-Datei-Server und eine Windows-Nutzer-Domaine aufgesetzt. ## Geben Sie hier den Namen der Windows-Domaine an Samba: DomainName: lsimmobilien ## 8. Für WEBPROXY-Dienst geben Sie hier an, über welchen Port ## der WEB-Proxy von den Arbeitsstationen erreichbar sein soll. WEBPROXY : DefaultPort : 8080 ################################################################################ ## 9. Sub-Netz und TCP/IP-Werte ## Der Standard-Server besitzt zwei Ethernet-Schnittstellen: ## ROUTERNET, INTRANET1. ## Über die ROUTERNET-Schnittstelle wird im allgemeinen die DMZ betrieben. ## Über die INTRANET-Schnittstelle werden die ausschliesslich intern genutzten ## Dienste bereitgestellt. ## ## Wenn der Server nur eine Ethernet-Karte hat, werden alle Dienste über die ## ROUTERNET-Schnittstelle bereitgestellt. ## Geben Sie in diesem Fall in der SUBNETLIST nur ROUTERNET an ## (INTRANET-Werte sind dann gegenstandslos). SUBNETLIST IPFORWARD : Subnets : ROUTERNET, INTRANET1 : Enable ## Geben Sie die gewuenschten ROUTERNET : Interface ROUTERNET : IP ROUTERNET : Netmask ROUTERNET : DhcpdService INTRANET1 INTRANET1 INTRANET1 INTRANET1 : : : : Interface IP Netmask DhcpdService : yes TCP/IP Werte an: : eth0 : 192.168.1.2 : 255.255.255.0 : yes : : : : eth1 192.168.2.1 255.255.255.0 yes ## 10. Standard-Gateway (Default Route) des Servers #################################################### ## Geben Sie hier die IP-Adresse des Routers an. ## Bei Betrieb ohne externen Router geben Sie an. ## ROUTE : default : ROUTE IPFORWARD : default : Enable : 192.168.1.1 : yes 59 ######################################################################### ## Zur Verdeutlichung der Netz-Struktur ######################################################################### # # Standard Netzwerk-Aufbau mit zwei Ethernet Karten eth0, eth1: # SUBNETLIST : Subnets : ROUTERNET, INTRANET # # +-----------------------------+ # | Minnaserver | # +-+-------------------------+-+ # | | # | eth0 (10.1.10.2) | eth1 (10.2.10.1) # | | # | -+| -+# | | | | # +---+ +---+ # | | # ROUTERNET INTRANET1 # | | # | +----------+ | +----------+ # +--+RClient 01| +--+IClient 01| # | +----------+ | +----------+ # | | # | +----------+ | +----------+ # +--+RClient 02| +--+IClient 02| # | +----------+ | +----------+ # | | # . . . . . . # | | # | -+# | (10.1.10.1) +----------------+ # +--------------+ DSL/WLAN Router| # | +----------------+ # -+# # Standard Netzwerk-Aufbau mit einer Ethernet Karte (eth0): # SUBNETLIST : Subnets : ROUTERNET # # +-----------------------------+ # | Minnaserver | # +-+-------------------------+-+ # | # | eth0 (10.1.10.2) # | # | -+# | | # +---+ # | # ROUTERNET # | # | +----------+ # +--+RClient 01| # | +----------+ # | # | +----------+ # +--+RClient 02| # | +----------+ # | # . . . # | # | (10.1.10.1) +----------------+ # +--------------+ DSL/WLAN Router| # | +----------------+ # -+################################################################################ 60 ## 11. Falls Sie in Ihrem Netz weitere Rechner mit fester IP-Adresse betreiben, ## geben Sie hier deren Namen und IP-Adressen an: ADDRESS ## 12. ## ## DNS : router : 192.168.1.1 DNS : ConfigureServer: bestimmt, ob ein DNS-Nameserver aufgesetzt werden soll. Er verwaltet die lokale Minna-Domaine <SERVER><Localdomain>. : ConfigureServer : Yes ## 13. DNS : Forwarders: beinhaltet die Adressen der DNS-Server (durch Komma ## getrennt), an die Anfragen geleitet werden, die nicht in der lokalen Domaine ## verwaltet werden. ## Tragen Sie hier die DNS Server ihres DSL-Providers ein. DNS : Forwarders : 217.237.151.33, 217.237.149.225 ################################################################################ ## 14. Mit dem MAIL-Dienst, können Sie Mails von Ihren ## eventuell vorhandenen externen Postfaechern verwalten. ## Fetchmail: Configure: Konfiguriert Abholen und Verwalten von Mails von ## externen Mail-Servern. ## Die Daten zu den Postfächern werden in der Minna-Verwaltung angegeben. ## Wollen Sie keine Mails von externen Postfächern abholen, ## deaktivieren Sie Fetchmail, indem Sie den Wert auf NO setzen. ## Wollen Sie keine Mails von externen Postfächern über den Minna-Server ## verwalten, deaktivieren Sie Fetchmail, indem Sie den Wert auf NO setzen. Fetchmail: Configure: YES ############################################################################## ## ISDN und Fax Dienst: ## 15. Soll auf den Minna-Arbeitsstationen der ISDN-Monitor installiert werden? Isdn: Monitor: YES ## 16. Fax-Daten: ## Fax: LANDES_KENNUNG: 49 Fax: VORWAHL : 033785 Fax: FAX_NUMMER : 2088888 ## An wen sollen eingehende Faxe gemailt werden ## (mehrere Empfaenger mit Komma trennen)? Fax: SENDTO : [email protected] ## In welches Format sollen Faxe konvertiert werden (pdf, tif)? Fax: FILETYPE: tif ## Dieser Name erscheint als oberste Zeile auf allen Faxen, die Sie senden: Fax: ABSENDER_NAME : L&S Immobilien GmbH ## Falls Sie eine Ziffer zur Amtsholung benoetigen (Anschluss des Servers an ## Nebenstelle) geben Sie diese hier an: Fax: AMT : "" ############################################################################### ## 17. Router-Administrations-Port ## Geben Sie den Port an, unter der die Router-Verwaltung erreichbar ist router : AdminPort : 80 ################################################################################ 61 Anhang D: Erweitere Konfigurationseinstellungen Daten: /etc/opt/minna/defaults/ Die entsprechenden Einträge sind selbsterklärend. Alle gelisteten Daten können geändert werden, indem die gewünschten Werte in die Datei: /etc/opt/minna/custom.dat eingetragen werden. Ändern Sie nicht die Standard-Daten direkt! Aktivierung: /etc/opt/minna/scripts/<minnaPacket> configure DeAktivierung: /etc/opt/minna/scripts/<minnaPacket> unconfigure Anzeige und Prüfung: /etc/opt/minna/bin/customcat Anhang E: Lizenzbestimmungen 1. Minna basiert auf Open-Source Software. Es gelten die Bestimmungen der "GNU General Public License" (GPL): o Englische Originalversion der GPL o Deutsche Übersetzung der GPL 2. Für enthaltene Programme, die anderen Lizenzen unterliegen, gelten die jeweiligen spezifischen Lizenz-Bestimmungen. Die Bestimmungen sind nachzulesen in den Lizenzbedingungen der jeweiligen Produkte, zu finden in 'LICENSE.non_gpl.txt' auf dem Installationsmedium. 3. Die Minna-Server Software steht unter Anwendung der "GNU General Public License". Zur Minna-Server Software gehören die vom minna-server Unternehmen entwickelten Bestandteile zur datengesteuerten Konfiguration, zur vollständigen Web-basierten Verwaltung, zur Datensicherung und Datenwiederherstellung, zur ISDN-Anbindung und zur Systemüberwachung. Die Quellen stehen auf dem Installationsmedium zur Verfügung. 4. Die Minna-Server Vertragsbedingungen sind nachzulesen unter: minnaserver.de/lizenz_minna.html Urheberrechtshinweis 1. Das Urheberrecht am Minna-Handbuch hat das minna-server Unternehmen. Veränderung, Vervielfältigung und Weitergabe sind ohne Zustimmung von minna-server nicht gestattet. 2. Alle verwendeten Logos, Markenzeichen und Markennamen sind Eigentum der jeweiligen Hersteller oder Besitzer. 62 Abkürzungsverzeichnis und Begriffserklärung Für eine genaue Erklärung der Begriffe schlagen Sie bitte unter Wikipedia nach. CAPI Common ISDN Application Programming Interface CNAME Canonischer Name - DNS-Ressource-Record, der zu einem vorhandenen DNS-Namen einen Alias (Link) definiert DNS Domain Name System DUL Schwarze Liste für Dial-Up Adressen, Dynamic User List Datenbank DynDNS Dynamisches DNS - dynamische Änderung der IP-Adress-Zuordnung für einen DNS-Namen FTP File-Transfer Protocol IP Internet Protokoll LAN Local Area Network VDF Viren-Definitions-File VLAN Virtuelles LAN - quasi LAN durch VPN VNC Virtual Network Computing ist eine Software, die den Bildschirminhalt eines entfernten Rechners (auf dem ein VNC-Server läuft) auf einem lokalen Rechner (auf dem ein VNCViewer läuft) anzeigt und im Gegenzug Tastatur- und Mausbewegungen des lokalen Rechners an den entfernten Rechner sendet. Damit kann man auf einem entfernten Rechner arbeiten, als säße man direkt davor. VPN Virtuell Privates Netz - verschlüsselte Übertragung von IP-Packeten über das Internet WAN Wide Area Network WLAN Wireless LAN - drahtloses LAN durch Funk RBL Realtime Black Lists - Schwarze Listen von potenziellen SPAM-Mail Versendern, die zur Laufzeit von MailServern abgefragt werden kann Links www.minna-server.de siehe www.minna-server.de/knowhow.html siehe www.minna-server.de/links.html 63