Mit Windows-NT im Internet

Franz Fiala

LAN/WAN

Windows-NT

Ein Sprichwort meint, ein Mensch müsse in seinem Leben “.. ein Haus bauen, ein Buch schreiben und einen Baum pflanzen”. Heutzutage wird man den Spruch erweitern müssen mit “...und seinen Rechner mit dem Internet verbinden”.

Franz Fiala

In der PCNEWS-Redaktion wird einiges an Daten verwaltet, das bis vor einem Jahr über den Web-Server des TGM im Internet abrufbar war. Insbesondere die Providerseiten fanden in Fachkreisen durchaus Anklang, wenn auch das Layout von den Spezialisten eher belächelt wurde.

Das Übertragen und Aktualisieren der Daten erfolgte in etwa 3-monatigen Abständen. Die aktuellen Daten wurden entweder mit FTP und Modem oder vom TGM-LAN mit Disketten/ZIP-Drive in den WWW-Server übertragen Es war nicht prinzipiell kompliziert mit FTP einen Verzeichnisbaum zu transferieren, wenn aber einmal die Übertragungszeiten mehrere Stunden oder Nächte Telefonbelegung verursachen, begann der Betrag auf der Telefonrechnung unangenehm anzusteigen. Auch die Diskettenübertragung inklusive aller erforderlichen Tests konnte sehr zeitraubend sein. Außerdem ist der Mensch im allgemeinen faul und der EDV-Mensch noch viel mehr, sodaß man sich dringend wünscht, daß jede Veränderung der Daten am eigenen Rechner auch gleich im Internet sichtbar ist. Das ist aber nur mit einer Standverbindung möglich. Ich beschloß Content-Provider zu werden; nicht als Untermieter, sondern mit dem eigenen, etwas ergrauten Rechner (PENTIUM 120MHz/48MB/12GB).

Die rasche Entwicklung des Internet veranlaßte alle Softwareerzeuger ihre Produkte Internet-fähig zu machen. Zwar riet mein Provider – als ich ihm den Wunsch vortrug, mit Windows-NT an Netz gehen zu wollen – zu LINUX, da er dabei mehr Hilfestellung bieten könnte, aber schließlich verwendete ich Windows-NT seit vielen Jahren als File-Server-Betriebssystem, warum also fürs Internet LINUX kaufen, wenn man auch bei Windows-NT alle erforderlichen Tools mitbekommt? Es ist auch gar nicht der Kaufpreis des Systems, der eine Rolle spielt, die Einarbeitungszeit in LINUX ist es, die mich abschreckt, es als Internet-Server zu verwenden.

Motivation

Auslösend für die Installation des Servers war der Gegenstand Telekommunikation im Kolleg Multimedia am TGM. Der Server wird gleichermaßen für Unterrichtszwecke (Schülerwebs, Sammlung von Unterrichtsmaterialien, Informationen des BMUK, Sammlung von Pressemeldungen) wie auch für die Präsentation des Informationsangebots der PCNEWS (Verzeichnisse von Schulen, Providern, Tagung Mikroelektronik) verwendet.

Lizensierung

Die Developer-Version des MSDN (Microsoft Developer Network) eröffnet Entwicklern die Möglichkeit, zu einem relativ geringen Preis an den neuen Entwicklungen teilzunehmen. Das MSDN ist in 4 Stufen erhältlich. Stufe 1 ist eine Wissensdatenbank über alle Bereiche einer Entwicklertätigkeit, Stufe 2 sind zusätzlich alle Betriebssysteme und alle dazugehörigen SDKs und DDKs in allen Sprachen. Stufe 3 sind zusätzlich alle Produkte des hier vorgestellten Back-Office-Programms, Stufe 4 sind zusätzlich alle Office-Produkte in der Developer-Version und auch alle Compiler. Es erfolgt jeweils ein Update pro Quartal.  Achtung: die Lizenz erlaubt keine kommerzielle Anwendungen.

Als Schulversion (laut  Preisliste von PABLITOS) kostet das hier beschriebene Softwarepaket Back-Office inklusive Exchange ca. 10.000,-; in einer Aktion war es kurzzeitig auch um5.000,- inklusive Frontpage und 50 Clients erhältlich.

Version

Die aktuelle Version von Windows-NT ist 4.0, das aktuelle Service Pack hat die Nummer 3. Es wird die englische Sprachvariante benutzt, da die englische Version erfahrungsgemäß 3 Monate vor ihren lokalisierten Varianten erscheint. Das Service Pack installiert jeweils alle bis dahin bekanntgewordenen Patches und einige Leistungserweiterungen. Sollten nach Installation des Service-Pack neue Komponenten zugefügt werden, muß immer das Service-Pack noch einmal installiert werden.

Literatur

Windows NT 4.0 Server Resource-Kit
Windows NT Server Internet Guide,
Windows NT Server Networking Guide,
Windows NT Server Resource Guide,
Routing with Windows NT Server

Web

IIS    http://www.microsoft.com/
iis/default.asp

NT Server    http://www.microsoft.com/
NTServer

Anschlußvarianten

Internetserver oder LAN

Man muß unterscheiden zwischen der Anbindung eines Internet-Servers allein und einer Rechner- oder LAN-Anbindung. Während bei einem Internet-Server allein lediglich ein Port zum Provider anzusprechen ist, erfordert die LAN-Anbindung die Kommunikation dieses Ports mit einer Gruppe zusammenghöriger IP-Adressen. Damit jeder Rechner des LAN genauso wie der Server selbst angesprochen werden kann, muß es eine Einrichtung geben, die Datenpakete jeweils dem richtigen Rechner bzw. Port zuordnet. Diese Einrichtung bezeichnet man als Router. Diese Aufgabe kann ein selbständiger Rechner, ein modernes Modem mit integriertem Router oder der Server selbst übernehmen.

Die Routing-Aufgabe belastet den Server zusätzlich, doch wenn das nachgeschaltete LAN nicht sehr viel Internet-Verkehr abverlangt, kann man dem Server diese zusätzliche Aufgabe durchaus zumuten.

Bevor man den eigenen Rechner mit Datenleitung an einen Provider hängt, ist es nützlich, Alternativen zu erwägen:

Allein zur Präsentation eines Web, könnte man sich zur Gänze der Dienste des Providers bedienen und auf eine Standverbindung zur Gänze verzichten. Man kann ein virtuelles Verzeichnis beim Provider mieten, allerdings kann man damit praktisch keine Datenbankanwendungen realisieren und natürlich auch kein Intranet. Ebenso möglich wäre ein Serverhosting. Damit entfallen zwar die Wartungsarbeiten, doch ein LAN kann immer noch nicht angebunden werden. Für ernsthaften internet-Betrieb bleibt daher nur eine ständige Verbindung mit dem Internet.

Große Web-Sites setzen für jede Aufgabe einen eigenen Rechner ein (Proxy, Firewall, Externer- und Interner Web-Server, DNS, Mail...). Das ist für kleine Unternehmen unrealistisch. Kleinere Organisationen können auf manches verzichten und zum Provider auslagern oder alle Services auf einem Rechner vereinigen, wie es auch beim PCNEWS-Web der Fall ist. Alle Agenden, beginnend beim Primary Domain Controller und alle hier beschriebenen Tools, auch der Exchange-Server und nicht zu vergessen auch einige Konsolenanwendungen teilen sich die Arbeitskraft eines einzelnen Rechners.

Wie sehr das auf die Geschwindigkeit drück, kann man der Aktivität der Festplatte bemerken, denn alle diese gleichzeitig ablaufenden Prozesse verlangen viel Speicherplatz. Inzwischen ist der Haupspeicher auf 180 MB ausgebaut worden, um auch einem SQL-Server ausreichend Raum zu bieten.

Externer Router

Der übliche Betriebsfall eines NT-Internet-Servers ist der, daß die Verbindung zum Provider und die Routing-Aufgaben von einem getrennten Gerät wahrgenommen werden. Der NT-Server ist von Aufgaben des Routing oder der Verbindungsaufbaus entlastet. Das LAN wird vom Router kontrolliert.

NT als Router

Ein externer Router kostet etwa ab 30000,- und erfordert auch an der Gegenstelle einen entsprechenden Port. Router können entweder mit ISDN-Standleitungen oder mit synchronen DDL-L Standleitungen (oder DDL-S) betrieben werden. Zweiteres ist ebenfalls kostenintensiver. ISDN-Standleitungen haben wieder den Nachteil, dass sie etwas weniger stabil sind. Kurzzeitige Abschaltungen im Amt kommen fallweise vor.

Möchte man NT als Router einsetzten, dann sind einige Einstellungen vorzunehmen, die im Windows-NT-Resource-Kit im Dokument “Routing with Windows NT Server” festgehalten sind. Das LAN wird vom NT-Server kontrolliert.

Leitungsvarianten

Die billigste Lösung ist die 2-dr-Leitung mit einem schnellen Modem, wobei im Ortsbereich die Basisbandmodems Hochgeschwindigkeit zum Spartarif erlauben (allerdings nicht postzugelassen). Danach kommt aber schon die ISDN-Standverbindung, allerdings nur dann, wenn man sich mit dem Provider im selben Ortsamt befindet. Die Mietleitungen der Datakom DDL-L und DDL-S sind relativ teuer, es entfällt der Kauf eines Endgeräts, da es von der Datakom zur Verfügung gestellt wird.

Auf der Begleitdiskette zu diesem Heft gibt es ein kleines Dokument, das 2 gängige Router für Schulanwendungen beschreibt.

PCNEWS-Lan

NT: Network-Termination: wird von der Post bei Miete eines ISDN-Anschlusses zur Verfügung gestellt. Primärseitig wird die gewöhnliche Telefonleitung (2-Draht-Leitung) angeschlossen, sekundärseitig liegt der S0-Bus an, an dem bis zu 8 Geräte angeschlossen werden können. Der Network-Terminator sollte möglichst nahe an den ISDN-Engeräten liegen

ISDN-Betriebsart: Ein ISDN-Anschluß kennt 2 Betriebsarten: Point-To-Point (verwendet für echte Nebenstellenanlagen verwendet mit Durchwahl) und Point-To-Multipoint (verwendet für parallelgeschaltete ISDN-Endgeräte ohne Durckwahl, Unterscheidung durch Wahlparameter oder MSN). In Österreich ist auch der Point-To-Multipoint-Betrieb mit Durchwahl möglich. Die obige Skizze zeigt die Anwendung: Der ISDN-Adapter wird durch das Dienstmerkmal ”Daten” angewählt. Die Nebenstellenanlage reagiert auf das Dienstmerkmal ”Sprache” und kümmert sich um alle Sprach-, Modem- und Fax-Rufe.

Terminal-Adapter: (=ISDN-Modem), liefert 64kBit/s an der V.24-Schnittstelle, konfigurierbar für Wählleitung und Standleitung. In diesem Betriebsfall wurde auf Standleitung konfiguriert, daher bleibt für die Nebenstellenleitung nur mehr 1 Kanal über.

Modem:Das Modem dient zur Einwahl in den Rechner für Wartungszwecke oder als Internet-Zugang (Mini-Provider)

Fernschaltung: Server haben immer dann Probleme, wenn der Operator nicht anwesend ist. Die Fernschaltung der UPS über Modem erlaubt das geregelte Ausschalten des Servers.

UPS: Damit bei Spannungsausfall der Rechner geregelt abschaltet, wird eine unterbrechungsfreie Stromversorgung verwendet, die über eine serielle Schnittstelle mit dem Server kommuniziert.

Nachtrag: Die obige Darstellung stammt vom Juni-97. Bedingt durch einen Umzug des Servers hätte die ISDN-Nebenstellenanlage auch übersiedeln müssen, da die Leitungsverbindung nach dem Network-Terminator eher kurz sein soll. Damit wären aber familiäre Probleme aufgetreten, da die Nebenstellenanlage für die gemeinsame private Nutzung ausgefallen wäre. Die Lösung: die ISDN-Standleitung wurde durch eine sogenannte DP-Leitung ersetzt. Als Endgeräte dienen 700 kBit Basisbandmodems mit eingebautem Router. Die neue DP-Leitung ist zwar bedeutend billiger als die ISDN-Leitung, dafür sind neue Endgeräte erforderlich.

Auch der Server wurde durch ein neues Motherboard mit vielen Speicherplätzen verstärkt, in das alle verfügbaren Speichermodule einen Gesamtspeicher mit stattlichen 180 MB ergeben, gerüstet für die Installation des SQL-Servers. Der Taskmanager meldet mit einigen Konsolen-Anwendungen eine Belegung von ca. 100 MB.

Software

BackOffice

Windows NT allein befähigt nur zum Betrieb eines LANs und gemeinsam mit dem kostenlosen Internet Information Server (IIS) zu einer einfachen Web-Seite oder eines einfachen Intranet-Servers. Weitere Server-Produkte des Back-Office Pakets erweitern die Möglichkeiten dieser Web-Site.

NT

Windows NT in der Version 4.0 ist die Grundlage zur Installation aller weiteren Produkte. Derzeit aktuell ist das Service-Pack 3, das verschiedene Fehler behebt aber auch in kleinen Portionen neue Features einbaut. Beispielsweise enthält das Service-Pack 3 erweiterte Bedingungen für Paßwörter und den “authenticated user”, der im Gegensatz zum User “everyone” keine nicht identifizierten User enthält.

Es ist empfehlenswert, den NT-Server in der englischen Version zu benutzen, da neue Versionen immer zuerst im englischen Original und erst mit einer Zeitverzögerung von etwa 3 Monaten in der deutschen Übersetzung vorliegen.

NT-Server Resource Kit

Die zahlreichen Tools und Zusatzdokumentationen des NT Resource Kit sind für den Betrieb des NT-Servers mit Lan und Internet-Verwaltung unerläßlich.

Internet-Information Server

Der Internet-Information-Server wird derzeit in der Version 2.0 gemeinsam mit Windows-NT ausgeliefert und durch das Service-Pack 3.0 auf die Version 3.0 upgedatet. Der IIS enthält in der Basisversion je einen ftp-, gopher- und WWW-Server. Im WWW- und FTP-Server stellt man je ein Home-Directory ein, zu dem man beliebige weitere virtuelle Verzeichnisse “parallelschalten” kann. Diese virtuellen Verzeichnisse sind für den User nicht sichtbar (etwa durch das ftp-Kommando DIR) schon aber, wenn der Pfad explizit angegeben wird.

Index Server

Der Index-Server ist ein im Hintergrund ablaufender Prozeß, der das gesamte Web oder auch nur Teile davon indiziert. Man kann dann über eine sehr einfache Eingabemaske eine Volltextsuche über den Serverinhalt absetzen. Eine Beispiel-Suchseite wird mitgeliefert und kann man PCNEWS-Server unter http://pcnews.at/samples/search/query.htm ausprobiert werden.

MS-Mail oder MS-Exchange

Solange man keine eigene Mailbox besitzt, hat man die Adresse seines Providers, der die Mailbox verwaltet. Mit einem eigenen Postoffice à la MS-Exchange tritt der eigene Hostname an die Stelle des Provider-Namens.

E-Mail-Adresse ohne Exchange: name@provider.at

E-Mail-Adresse mit Exchange: name@pcnews.at

DBWeb

Mit dbWeb ist eine dynamische Verbindung zwischen einer Datenbank und dem Internet Information Server möglich

Proxy Server

Der Proxy-Server (vormals Catapult-Server) vereinigt 3 Eigenschaften unter einer Oberfläche:

l Caching von Dateien (auch aktiv),

l IP-Masquerading (eine IP-Adresse in Richtung zum Internet, beliebig viele “vorgetäuschte” Internet-Adressen im internetn LAN) (LAT=Local Address Table),

l Firewall (durch zahlreiche schaltbare Beschränkungmöglichkeiten der Protokolle)

SQL-Server

Der SQL-Server ist für den ersten Internet-Zugang nicht erforderlich. Erst wenn ein LAN mit dem Systems Management Server verwaltet werden soll, muß der SQL-Server installiert werden.

Merchant-Server

Der Merchant-Server erleichtert den Aufbau einer kommerziellen Web-Site.

Kosten

Neben den Kosten für den Server, muß man pro Endstelle eine Datenendeinrichtung (entfällt bei Miete) und einen Router (entfällt, wenn der NT-Server Routing-Funktionen übernimmt) besorgen. Installationskosten seitens der Post fallen jedenfalls an.

Softwarekosten fallen insofern an, als die rasche Entwicklung der diversen Programmversionen einen laufenden Uppgrade erfordern. Das MSDN, Universal-Level kostet für Lehrer und Schulen etwa S 24.000,-/Jahr.

Konfiguration

ISDN-Standverbindung

Die ISDN-Standverbindung ist eine sehr günstige Verbindungsvariante im Bereich desselben Vermittlungsamtes. Als Nachteil kann man anführen, daß es durch Wartungsarbeiten im Postamt zu kurzzeitigen Unterbrechungen kommen kann, die bekämpft werden wollen. Weiters muß man beachten, daß Windows-NT für den Betrieb von Standleitungen an seinen Ports nicht gerüstet ist. Man kann diesen Mangel aber umgehen.

Ein gewöhnlicher ISDN-Anschluß verfügt über zwei vollwertige Sprachkanäle. Bei Standverbindungen wird einer von ihnen fest mit einem vorgegeben Ziel verbunden. Der Vorteil für die Datenübertragung ist die hohe Geschwindigkeit mit gleichbleibend geringer Fehlerrate. Anschlußgeräte sind Terminal-Adapter oder ISDN-Karten.

Im allgemeinen beginnt man mit der Miete eines ISDN-Anschlusses, der 2 Sprachkanäle zur Verfügung stellt. Von der Post erhält man einen Terminal-Adapter, dessen “Sekundärseite”, der S-Bus vom Benutzer frei beschaltet werden kann. Der S-Bus kann im Multipoint-Betrieb oder Point-To-Point-Betrieb verwenden werden.

Beim Multipoint-Betrieb erfolgt die Unterscheidung der Endgeräte durch das Dienstmerkmal (Sprache, Fax, Daten). Man benötigt ISDN-kompatible Endgeräte. Analog-Geräte erfordern sogenannte a/b-Adapter, deren Anwahl über eine MSN (Multiple Subscriber Number) erfolgt.

Beim Point-To-Point-Betrieb werden ISDN-Nebenstellenanlagen mit Durchwahl angeschlossen, die vielfältige Teilnehmergeräte verwendbar machen, sowohl analog als auch digital.

Der Nachteil des Multipoint-Betriebs sind die kostenpflichtigen MSN, die darüberhinaus noch von der Nummer des Grundanschlusses verschieden sind, der Nachteil der ISDN-Nebenstellenanlage sind die hohen Kosten.

Eine österreichische Sonderlösung ist der Multipoint-Anschluß mit Durchwahl. Er erlaubt einerseits eine Parallelschaltung von ISDN-Karte oder Terminaladapter und der ISDN-Anlage (Multipoint-Feature) und anderseits kann die Nebenstellenanlage die Durchwahl auswerten (Point-To-Point-Feature).

Modem

Das Modem wird unter “Control Panel”-“Modems” gewählt. Es können mehrere Geräte voreingestellt werden. Wenn das Auto-Detect-Feature das Modem nicht erkennt, kann man auch händisch ein Modem aus einer Liste einfügen. Neben einer großen Zahl von Standard-Modems findet man in der Liste auch ISDN-Modems (Terminal-Adapter), Funk-Modems und ISDN-Karten.

Terminal-Adapter oder ISDN-Karte

Zwar gibt es zahlreiche preiswerte ISDN-Karten, doch sollte man sich zum Kauf eines etwas teureren Terminal-Adapters entschließen, den man an die V.24-Schnittstelle anschließen kann, da man damit sämtliche Treiberprobleme umgehen kann. Anders als die ISDN-Karte, bei der man für jedes Betriebssystem einen Treiber benötigt, braucht man für die Terminaladapter nichts weiter, da sie mit AT-Kommandos an der seriellen Schnittstelle betrieben werden. Der ELINK-Terminal-Adapter ist sehr bewährt und ist auch in der Treiber-Sammlung von Windows-NT in der Grundausstattung mit dabei. Der Terminaladapter wird an einen freien COM-Port angeschlossen und mit dem Terminalprogramm “Hyperterminal” konfiguriert.

Testen des Terminal-Adapters

Getestet wird mit einem Terminal-Programm, z.B. mit dem Hyperterminal. Das Terminalprogramm wird auf die Baudrate 115kbit/s eingestellt.

Das Modem sollte sich mit “CONNECT X.75” melden. Diese händisch gefundenen Einstellungen müssen aber bei jedem Neustart aktiviert werden. Daher müssen die Einstellungen bleibend in der Modemkonfiguration festgehalten werden.

Anpassung der Modemeinstellungen

Die an den Routerports angeschlossenen Kanäle sind immer permanent-Verbindungen. An die Möglichkeit, den NT-Rechner selbst als Router zu schalten, hat man bei Microsoft nie gedacht, dazu sind die komplett erhältlichen Router schon viel zu spezialisiert. Daher fehlt auch bei allen vorhandenen Modemtypen jede Möglichkeit zur Einstellung einer Festverbindung. Die Festverbindung würde auch erfordern, daß der Verbindungsaufbau nicht erst auf Benutzerwunsch erfolgt sondern gleich nach dem Einschalten.

Für jede Gruppe von Modems (meist nach Herstellern benannt) gibt es eine INF-Datei. Diese Dateien befinden sich im Verzeichnis C:\WINNT\INF. Die Datei für das ELINK-Modem heißt MDMELINK.INF. In dieser Datei werden 4 Modems und ihre Steuersequenzen definiert, darunter auch das ELINK 310. Um die Originaleinträge nicht zu verlieren, wurde ein 5ter Typ definiert, dessen Grundeinstellung vom ELINK 310 kopiert wurde. Übrigens wird jede Modemaktivität in einer Log-Datei mitgeschrieben, was man besonders in der Inbetriebnahmephase nutzen kann. (Control Panel – Modems – General/Properties – Connection – Advanced Connection Settings – “Record a log file”)

Folgende Ergänzungen werden an der INF-Datei vorgenommen (neue Zeilen mit “*” markiert, INF-Datei nur auszugsweise dargestellt):

Konfiguration von Windows NT als Router

Ein Provider stellt einem Stand- oder Wählleitungsabnehmer eine oder mehrere IP-Adressen zur Verfügung.

Bei einem Wählleitungsabnehmer ist es eine Adresse, die immer eine andere sein kann. Bei einem Standleitungszugang ist die Anzahl der IP-Adressen im allgemeinen eine Potenz von 2. Ein einzelner angeschlossener Rechner benötigt eine IP-Adresse (er ist dann ein Teil des Provider-LAN), ein LAN mit zwei Rechnern mindestens vier (eine Adresse ist die sogenannte Netzwerkadresse, eine weitere die “Broadcast-Adresse”, zwei Adressen bleiben für Rechner, genauer für deren Ports über).

Ein Router hat mindestens zwei Ports: Entweder zwei Netzwerkkarten (LAN zu LAN Routing) oder eine Netzwerkkarte für das LAN und einen seriellen Port für die Verbindung zum Provider.

Der serielle Port wird von RAS-Service (Remote Access Service) gesteuert. Man kann in den entsprechenden Dialogfenstern Einstellungen analog zur Netzwerkkarte vornehmen.

Windows NT ist nicht für den Routerbetrieb vorgesehen, doch kann man sich mit der Dokumentation ganz gut zurechtfinden (wenn man einmal die richtige Stelle gefunden hat).

Wenn ein eigener Router verwendet wird, beschränkt sich die TCP/IP-Konfiguration auf die Einstellung der IP-Adresse der Netzwerkkarte, alles andere besorgt der Router.

Soll hingegen Windows-NT auch Routing-Funktionen übernehmen, dann muß darüberhinaus auch der Verbindungport (serielle Schnittstelle über ”Dial-Up-Networking” konfiguriert werden.

Zwei Dinge muß man wissen:

1.    Jeder Port benötigt eine eigene IP-Adresse (soweit mir bekannt ist, benötigt ein LINUX-Rechner nur eine IP-Adresse. Die einzelnen Ports werden dort durch symbolische Namen unterschieden)

2.    Damit der Rechner routen kann, muß man den zur Verfügung stehenden IP-Adreßraum in zwei Teile teilen und jedem der beiden betroffenen Ports eine Hälfte zuordnen. Da jedes der beiden Teilnetze aus mindestens 4 IP-Adressen bestehen muß, benötigt man daher mindestens 8 IP-Adressen vom Provider, und kann dann damit gerade 2 Rechner betreiben. Jedes Teil-LAN hat daher zwei freie Adressen für Ports. Von dem einen LAN wird eine Adresse für den providerseitigen Port verbraucht, die andere bleibt ungenutzt. Am hauseigenen LAN wird der Netzwerkkarte des als Router dienenden Rechners eine IP-Adresse zugewiesen, die zweite IP-Adresse bleibt für einen weiteren Rechner frei.

Die folgende Skizze (aus dem Dokument RIPROUTE.WRI aus den NT-Server Resource-Kit) zeigt die Situation an einem Beispiel eines Subnetzes mit 32 Adressen. 16 Adressen werden für die providerseitige Anschaltung verwendet. Von den 16 verbleibenden IP-Adressen sind zwei für den LAN-Betrieb reserviert, eine für den Server-Port, daher können weitere 13 Rechner angeschlossen werden.

Beispiel für das PCNEWS-Netz

Der Internet-Provider stellt dem nachgeschalteten Abnehmer IP-Adressen zur Verfügung. Die kleinste Menge ist 4. Die folgenden Angaben gelten für  das PCNEWS-Web.

Adressraum, der durch den Provider zur Verfügung gestellt wird:

194.152.163.24..31

Dieser Adressraum muß wegen der obigen Musterbeschaltung in zwei Bereiche geteilt werden, wobei die einzenen Adressen wie folgt belegt sind:

Providerseitiges Netzwerk (eingestellt in “Dial-up Networking”)

194.152.163.24    Netzwerk

194.152.163.25    Internet-Server RAS-Port

194.152.163.26    unbenutzt

194.152.163.27    Broadcast

LAN-seitiges Netzwerk (eingestellt in Control panel – Network – Protocols – TCP/IP..)

194.152.163.28    Netzwerk

194.152.163.29    Internet-Server LAN-Port

194.152.163.30    weiterer Rechner

194.152.163.31    Broadcast

255.255.255.252    Subnet-Mask

Einzustellen ist beim RAS noch das Standard-Gateway und der Domain-Name-Server des Providers:

192.81.12.3    Standard Gateway

192.81.12.1    Domain name Server

Aus dieser Tabelle ist ersichtlich, daß mit 8 IP-Adressen neben dem Router nur ein weiterer Rechner angeschlossen werden kann.

Einige nützliche Tips

Konfiguration eines kleinen LAN zum Routen von Datenpaketen über einen PPP-Account

1.    Normalerweise wird in jedem Datenpaket, das über die PPP-Verbindung gesendet wird, die IP-Adresse des eigenen Rechners als Quelle eingetragen. Wenn aber Pakete von dahinterliegenden LAN stammen, stimmt diese Zuordnung nicht. Der Eintrag DisableOtherSrcPackets in der Registry muß daher auf den Wert 0 gestellt werden. Damit wird erreicht, daß Pakete über den PPP-Link weitergegeben werden.

\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasArp\Parameters

DisableOtherSrcPackets                     REG_DWORD

Range: 0-1

Default: 1 (not in Registry)

2.    Wenn die IP-Adressen, die Ihnen vom Service-Provider zugewiesen worden sind, demselben Subnetz angehören, muß auch der Parameter PriorityBasedOnSubNetwork zur Registry hinzugefügt und auf den Wert 1 gesetzt werden.  Beispiel: Netzwerkkarte hätte die IP-Adresse 17.1.1.1 (subnet mask 255.255.0.0) und die RAS-Verbindung hätte die Adresse 17.2.1.1. In diesem Fall sendet RAS alle Pakete 17.x.x.x über die RAS-Verbindung.
Wenn dagegen der Parameter PriorityBasedOnSubNetwork existiert und auf 1 gesetzt ist, schickt RAS 17.2.x.x-Pakete über RAS und 17.1.x.x über die Netzwerkkarte.

\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\IPCP

PriorityBasedOnSubNetwork                     REG_DWORD

Range: 0-1

Default: 0 (not in registry)

3. Einstellung des Default-Gateway: Im Gateway-Rechner selbst bleibt die Einstellung des Default-Gateway leer. In den Rechnern des LAN stellt man die IP-Adresse des RAS-Ports des Gateway-Rechners ein.

Konfiguration des ”Dial-up Networking”

Bei der Verbindung zum Provider verhäkt sich Windows-NT etwas anders als sein Vorgänger 3.51. Während bei 3.51 die Verbindung über des RAS-Server (Remote-Access-Server) erfolgte, wird bei 4.0 die Verbindung über das “Dial-Up-Networking” eingestellt. Der RAS-Server, der früher dafür verwendet werden mußte, kann stillgelegt werden. (Er wird dann verwendet, wenn man Benutzern die Möglichkeit zur direkten Einwahl in den Server geben will und damit auch als Access-Provider auftreten möchte.)

Man definiert mit “New” ein neues Profil, im Beispiel heißt es “Standverbindung”. Die wesentlichen Einstellungen findet man in den beiden ersten Ordnern unter “More” als “Edit Phonebook Entry”. Hier wird der Standverbindung ein Modem, hier “ELINK...” zugeordnet und als Telefonnummer “1” obwohl für Standverbindung nicht erforderlich. Weiter mit “Configure”.

Bei der Modemeistellung wird die Terminalgeschwindigkeit auf 115kBit/s eingestellt. Wichtig ist, daß die serielle Schnittstelle von neuerer Bauart ist und diese Geschwindigkeit verarbeiten kann.

In der nächsten Karteikarte “Server” wird die Verbindung wird auf PPP eingestellt. Es wird nur das TCP/IP-Protokoll zugelassen.

Im Unterpunkt “TCP/IP Settings”  muß die eigene IP-Adresse eingetragen werden. Man erhält vom Provider im allgemeinen eine Gruppe von IP-Adressen, von denen die erste die Netzwerkadresse ist und nicht verwendet werden darf (hier 194.152.163.24). Weiters wird vom Provider ein DNS Server betrieben, der einzutragen ist. Die Check-Box “Use default gateway on remote network” bewirkt, daß alle Pakete, die im internen LAN kein Ziel finden automatisch über die Wählverbindung aufgelöst werden.

Konfiguration des LAN-seitigen TCP/IP-Protokolls

Der Netzwerk-Ordner in der Systemsteuerung (Control Panel) konfiguriert die Netzwerkfunktionalität der Netzwerkkarten und deren Treiber.

Die erste Registerkarte “Identification” legt (bereits bei der Erstinstallation von NT) den Namen der Domain und den Computernamen fest. Die bei der Installation von Windows NT vergebenen Namen sollte man gut überlegen, eine Änderung des Domänennamens ist nachher nicht mehr möglich.

In der zweiten Registerkarte können die “Services” (“Daemons” bei UNIX) konfiguriert werden. Der Startmodus eines Service wird im Ordner Control Panel – Services festgelegt. Das folgende Beispiel zeigt die Konfiguration des RAS-Service, da es für das Routen von Bedeutung ist: Beim vorliegenden Server gibt es nur eine einzige Datenverbindung über einen ISDN-Terminal-Adapter. Der belegte COM-Port 2 dient nur zur Einwahl zum Provider und kann keine Rufe entgegennehmen.

Die nächste Registerkarte “Protocols” legt die verwendeten Protokolle fest.

Es werden die Protokolle NetBEUI (für das Lokale LAN) und TCP/IP unterstützt. NetBEUI muß nicht besonders konfiguriert werden. Dagegen muß TCP/IP für jeden LAN-Adapter konfiguriert werden.

In der obigen Darstellung ist die eingestellte IP-Adresse (10.0.0.1) bereits aus dem Pool der LAT, die der Proxy-Server zur Verfügung stellt (siehe Konfiguration des Proxy-Servers). Wäre kein Proxy-Server installiert, müßte hier mit dem Adressbeispiel von vorhin die Adresse 194.152.163.29 eingetragen werden. Die Subnet-Maske ist ein bißchen großzügig dimensioniert; aber man hat somit die Möglichkeit, jeder 8-bit-Gruppe die Rechner eines anderen Arbeitsraums zuzuweisen.

Die Karteikarte “DNS” legt die eigene Domain, den Rechnernamen und den Domain Name Server fest.

Die beiden folgenden Karteikarten “WINS” und “DHCP” sind nicht in Verwendung.

Die Karteikarte “Routing” muß mit einem Proxy-Server so eingestellt werden wie hier abgebildet, da sich der Proxy-Server um das Routen kümmert. Wenn allerdings bei ersten Installationsarbeiten noch kein Proxy-Server verwendet wird, muß das Feld “Enable IP Forwarding” angekreuzt werden.

Konfiguration des Internet-Information Servers

Der Internet-Information Server (IIS) wird über den Service-Manager gewartet. Es können alle Internet-Server eines Netzwerks gleichzeitig gewartet werden, in unserem Beispiel ist immer nur ein Rechner zu sehen.

Bei der Erstinstallation sind nur die Services “WWW”, “FTP” und “Gopher” verfügbar. “WinSock Proxy” und “Web Proxy” kommen nach Installation des Proxy-Servers dazu.

Internet/Intranet

Der Internet Information Server kann (pro Service) für alle offen sein (mit Ausnahme bestimmter Internet-Adressen). Das entspricht einem Internet-Server. Er kann auch für alle gesperrt sein (mit Ausnahme bestimmter Internet-Adressen, z.B. der hauseigenen). Damit läßt sich ein Intranet-Server realisieren. Ein Mischbetrieb, etwa Freigabe eines Teils der Information und Sperren eines anderen Teils auf einem Server ist nicht möglich, dazu müssen zwei getrennte Rechner installiert werden.

WWW-Server

Der WWW-Server wird mit 4 Karteikarten konfiguriert.

Die grundlegenden Eigenschaften steuert das Karteiblatt “Service”. Wichtig ist, ob man anonymen Zugang erlaubt und welcher Art die Passwort-Authentifizierung ist. Jeder anonyme User bekommt den Usernamen IUSR_Rechnername und ein zufälliges Passwort zugewiesen. Damit Zugang gewährt wird, ist es wichtig, daß derselbe Name in der Benutzerverwaltung mit demselben Passwort definiert ist. Die Grundinstallation erfolgt auch genauso und ohne weiteres Zutun. Sollte man jedoch aus irgendeinem Grund die Bezeichnung oder das Passwort für diesen anonymen User ändern, muß man das an beiden Orten tun: beim IIS-“Service” und in der Benutzerverwaltung von NT.

Die Größe “Maximum Connections” ist ein bißchen optimistisch eingestellt.

Das Karteiblatt “Directories” zeigt einen kleinen Auszug aus der großen Zahl der virtuellen Verzeichnisse eines Web.

Interessant sind die Checkboxen “Enable Default Document” und “Directory Browsing Allowed”. Mit “Enable Default Document” erspart sich der Benutzer die Eingabe einer Dokumentbezeichnung, falls ein Dokument “index.htm” existiert. Mit “Directory Browsing Allowed” erlaubt man dem Benutzer ein konkretes Verzeichnis anzusehen, wenn kein Dokument mit dem Namen index.htm existiert.

Fügt man mit “Add...” ein neues virtuelles Verzeichnis hinzu, erhält man ein weiteres Dialog-Fenster (“Directory Properties”).

Das Karteiblatt “Directory” gibt man einen Pfad an, den man im Internet veröffentlichen möchte. Dieser Pfad kann im “Alias”-Feld einen abgekürzten Namen bekommen. Nur ein einziger Pfad kann das “Home-Directory” sein, alle anderen sind “Virtuelle Verzeichnisse”, die sich so verhalten, als hätten sie denselben Rang wie das Home-Directory. Wichtig ist zu wissen, daß ein User diese virtuellen Verzeichnisse nicht “sieht”, außer ein Link führt dorthin oder er kennt ihren Namen und gibt ihn explizit im Browser-Adreßfenster an.

Beispiel:

Das Home-Directory kann keinen Alias-Namen haben.

Das Feld “Account Information” ist nur sichtbar, wenn der Server im vorigen Karteiblatt nicht als anonym zugänglich eingestellt wurde.

Normale WWW-Verzeichnisse sind immer im “Read”-Modus. Man kann zwar alles lesen aber nicht schreiben. Besondere Verzeichnisse, die Scripts enthalten, erhalten auch das Recht “Execute”, um Programme und Scripts ausführen zu können.

Beachten Sie, daß man jederzeit den Zugang für einzelne Verzeichnisse oder Dateien mit der Rechtevergabe im Dateimanager von Windows-NT verwehren kann. Beispiel: Am PCNEWS-Server sind das zum Beispiel die Seiten ab http://pcnews.at
/edu/sch/presse/~presse.htm.

Virtuelle Server können abweichende Domänennamen haben. Statt http://pcnews.at/bucsics/ könnte man mit einem virtuellen Server http://bucsics.at/ verwenden. Allerdings verbraucht eine virtuelle Domain eine IP-Adresse und außerdem muß für jede Domain ein jährlicher Betrag an EUNET oder ACONET bezahlt werden.

Das Karteiblatt “Logging” legt die Protokollierung des Systems fest. Vorsichtshalber sollte man die LOG-Dateien auf ein eigenes Laufwerk legen, um sich vor einem eventuellen Überlauf des Systemlaufwerks zu schützen.

Die Zugangsmodalitäten im Karteiblatt “Advanced” legen fest, ob man den Server als Internet-Server (alle Rechner erhalten generelles Zugriffsrecht) oder als Intranet-Server (allen Rechnern wird der Zugriff verwehrt, außer den Usern des eigenen LAN) betrachtet.

Man kann einzelnen Rechnern oder Gruppen von Rechnern Zugriff erlauben oder verwehren.

FTP-Server

Die Konfiguration des ftp-Servers folgt in den Karteiblättern “Logging” und “Advanced” ähnlichen Regeln, daher werden diese Karteiblätter hier nicht abgebildet.

Das Karteiblatt “Service” legt fest, ob der Server anonym zugänglich sein soll. Beachten Sie, daß man jederzeit den Zugang für einzelne Verzeichnisse oder Dateien mit der Rechtevergabe im Dateimanager von Windows-NT verwehren kann.

Im Karteiblatt “Messages” werden Bildschirmmeldungen eingetragen.

Das Karteiblatt “Directories” enthält eine Liste aller virtuellen Verzeichnisse. Am Beispiel des Users “Bucsics” sieht man im folgenden Blatt die Einstellmöglichkeiten:

Ähnlich wie beim WWW-Server kann man dem Verzeichnis einen Alias-Namen geben, der bei User-Directories mit jenem des WWW-Service übereinstimmen sollte. Wenn der Benutzer ftp-Zugang erhalten soll, muß bei “Access” neben “Read” auch “Write” angekreuzt werden.

Proxy-Server

Die Installations des Proxy-Servers erfolgt nach des Installations des Internet-Information-Servers und fügt zwei neue Dienste in das Schaltfeld des Information Server Managers ein: WinSockProxy und WebProxy. Während der Installation wird auf Wunsch die sogenannte LAT (Local Address Table) erstellt. Das sind IP-Adressen, die im LAN vergeben werden können (aber von Außerhalb des LAN unsichtbar sind). Die LAT wird vom Installationsprogramm selbsttätig erstellt und enthält bei genauerem Hinsehen neben den Eintragungen
10.0.0.0-10.255.255.255,
172.16.0.0-172.31.255.255 und
192.168.0.0-192.168.255.255
auch die IP-Adressen, die man vom Provider zugeteilt bekam. Dieser Adressbereich ist zu löschen.

Für die ersten Versuche wird man einmal allen Benutzern Zugriffsrechte erlauben. Daher ist in den Einstellungen WinSockProxy-Servers im Karteiblatt “Permissions” “Unlimited Access” für “Everyone” einzustellen. Im Web-Proxy-Server ist im Karteiblatt “Permissions” einmal Die Check-Box  “Enable Access Control” anzukreuzen und danach für jeden der drei eingetragenen Dienste “FTP-Read”, “WWW”, “Gopher” und “Secure” die Rechte für “Everyone” vergeben. Damit ist der Server konfiguriert. Weitere Tips für die Handhabung findet man in der umfangreichen HTML-Dokumentation. Wenn alles läuft, kann man eine Einschränkung einzelner Rechte überlegen.

Der Installationsprozeß nimmt nun nicht alle Änderungen selbst vor, einiges muß von Hand geschehen:

Systemsteuerung-Netzwerk-Protokolle-TCP/P-Eigenschaften

Hier müssen 3 Änderungen durchgeführt werden:

l Eintragung einer der LAT-Adressen alf IP-Adresse für die Netzwerkkarte, z.B. 10.0.0.1 und einer Netzmaske, z.B. 255.0.0.0. Achtung: Die Netzmaske gibt das verwendete Teilnetz an. Da man hier ein gesamtes B-Netz zur Verfügung hat, kann man die Zahlengruppen auch verschiedenen Lehrsälen zuordnen und danach muß man die Netzmaske ausrichten. Im Beispiel wird das 4. Oktett für einen Raum A das 3.Oktett für einen Raum B und das 2. für einen Raum C benutzt. An allen Clients ist dann dieselbe Netzmaske einzustellen.

l Das Default Gateway ist zu löschen, diese Funktion übernimmt jetzt der Proxy-Server

l Karteiblatt “Routing”: Die CheckBox “Enable IP-Forwarding” ist auszuschalten, auch diese Funktion wird jetzt vom Proxy-Server wahrgenommen

l Das Domain-Name-Service kann gleich bleiben.

Ohne Proxy-Server muß die Checkbox “Enable IP-Forwarding” in ControlPanel-Network-Protocols-Routing eingeschaltet sein, denn dann kümmert sich NT um die Weitergabe von Datenpaketen. Bei Verwendung eines Proxy-Servers muß diese Check-Box ausgeschaltet sein, denn der Proxy-Server ist von nun an für das Routen verantwortlich.

Die interne IP-Adresse stammt bei Verwendung eines Proxy-Servers aus der LAT, bei Verwendung von NT als Router aus der zweiten Hälfte des zugeteilten Adressraums.

Das Default-Gateway wird in beiden Fällen nicht eingetragen.

Der Proxy-Server installiert zwei zusätzliche Dienste im Internet-Information Manager: WinSock Proxy und Web Proxy.

WinSock Proxy

WinSock Proxy ist für die Generietung interner, von außen unsichtbarer IP-Adressen (LAT) und für die Freischaltung oder Sperrung bestimmter Protokolle.

Eine wichtige Einstellung ist die der LAT (Local Addess Table) (bei LINUX “IP-masquerading”). Das sind jene IP-Adressen, die der Proxy-Server dem internen LAN zur Verfügung stellt. Die LAT wird beim Installationsprozess automatisch gebildet und kann danach händisch editiert werden. Am PCNEWS-Server wurde der interne Adressbereich 10.0.0.0 bis 10.0.0.10 freigegeben.

Das Datenblatt für Protokolle enthält eine große Zahl unterstützter Protokolle, die bei Bedarf individuell entfernt oder modifiziert werden können, wie nachfolgend am FTP-Protokoll gezeigt wird:

Wichtig ist noch, daß im Karteiblatt “Permissions” die Zugriffsrechte eingestellt werden

Für jedes verwendete Protokoll kann das Benutzungsrecht eingeschränkt werden.

Die Freigabe kann pro Benutzer oder pro Benutzergruppe erfolgen.

Ebenso wie beim WWW- und FTP-Server kann man Zugriff generell erlauben (mit Ausnahmen) oder generell verwehren (mit Ausnahmen), wobei die Ausnahmen für Rechner, Rechnergruppen oder Domains gewährt werden können.

Proxy-Clients

Ohne Proxy-Server verfügt jeder Rechner des internen LAN über eine IP-Adresse, die vom Provider zugewiesen wurde. Jede Arbeitsstation ist daher Bestandteil des Internet und kann von außen erreicht werden, solange nicht jeder User die Zugriffsrechte restriktiv handhabt.

Mit Proxy-Server erfolgt die Adressvergabe aus dem Adresspool der LAT, und das ganze LAN erscheint von außen mit nur einer IP-Adresse. Ab diesem Zeitpunkt können nur mehr jene Protokolle verwendet werden, die durch den Proxyserver bereitgestellt werden.

Damit alle Clients mit dem Proxa-Server korrekt kommunizieren können, muß noch an jedem der angeschlossenen Clients das Client-Installationsprogramm aufgerufen. Das Installationsprogramm für Clients wurde bereits bei der Installations des Servers in das Directory \proxy\clients geschrieben. Dieses Directory erhielt den Freigabenamen \mspcslnt und enthät für jedes Betriebsystem ein eigenes Subdirectory (I386, Alpha, ppc, Win3x). Man verbindet sich vom Clientarbeitsplatz über die “Netzwerkumgebung” in dieses Verzeichnis und ruft das dortige Setup-Programm auf.

Wie bei jeder Konfiguration ist das Programm “Netzwerk” in der “Systemsteuerung” die Schlüsselstelle für die weitere Konfiguration.

Karteiblatt Konfiguration

Primäre Netzwerkanmeldung: “Client für Microsoft-Netzwerke”

Netzwerkkomponente “Client für Microsoft-Netzwerke”: An Windows NT_Domäne anmelden

Netzwerkkomponente “Netzwerkkarte”: Bindungen: NetBEUI und TCP/IP

Netzwerkkomponente “NetBEUI-Karte”: Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke

Netzwerkkomponente “TCP/IP-Karte”: Karteikarte “Gateway”: Kein Eintrag; Karteikarte “WINS”: Kein Eintrag; Karteikarte “IP-Adresse”: IP-Adressen festlegen, z.B. 10.0.0.2, Subnet-Mask: 255.0.0.0; Karteikarte “Bindungen”: ”Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke”; Karteikarte “Erweitert”: Kein Eintrag; Karteikarte “NetBIOS”: NetBIOS wird über TCP/IP ausgeführt; Karteikarte “DNS-Konfiguration”: DNS aktivieren, Host: “portable”, Domäne: pcnews.at, Suchreihenfolge für DNS-Server 193.81.12.1.

Anmerkung: Der DNS-Eintrag ist nicht erforderlich, da der Proxy-Server über den gleichlautenden Eintrag im Server die Namenssuche selbst ausführen kann.

Karteiblatt Identifikation

Computername, Arbeitsgruppe (entspricht der NT-Domain)

Karteiblatt Zugriffssteuerung

Zugriffssteuerung auf Benutzerebene, Benutzerliste beziehen von: Domänenname

Jeder Rechner erhält die jeweils nächste IP-Adresse. Entscheidend für die korrekte Funktion der Dienste sind:

l identische Einstellungen der Netzmaske,

l Anmeldung am Netzwerk,

l User-Accounts am NT-Server, die alle als Domain-Users eingetragen sein müssen und die auch im System-Verzeichnis Leserechte besitzen müssen.

Sonstiges

Benutzerverwaltung

Auch wenn es beim PCNEWS-Server nicht um die Verwaltung eines LAN geht, kommen auch hier einige Benutzer zusammen, wenn man etwa Web-Space vergibt. Man kann jeden Benutzer über die interaktive Benutzer-Verwaltung von NT eingeben, nur wird das im Falle eines Systemneuaufbaus etwas mühsam. Das Resource-Kit stellt für die Benutzerverwaltung einfache DOS-Kommandos zur Verfügung, die in einem Batch-Prozess abgesetzt werden können. Dazu verwaltet man die User besser in einer eigenen Datenbank, die neben allen sonstigen Angaben auch die Passwörter enthält. Damit kann man einen Server mit Hilfe des Programms ADDUSERS und CACLS komplett umkonfigurieren ohne auch nur einen einzigen User manuell eingeben zu müssen.

Access-Tabelle mit den Feldern:

„USERNAME“; "FULLNAME"; "PASSWORT"; "DESCRIPTION"; "HOMEDRIVE"; "HOMEPATH"; "PROFILE"; "SCRIPT"; "FTPPATH"; "PCNAUTOR"; "ADMIN"; "DOMAINUSER"; "SCHUELER"; "ID"; "n"

Beispieleintrag

„Bucsics“;"Stefan Bucsics";"12345";"PCNEWS-Autor";"P:";"\~autor\Bucsics";;;"/Bucsics";1;0;0;0;44;6870

USERS.BAT

ADDUSERS \\pcnsrv1 /e users.txt

ADDUSERS \\pcnsrv1 /c users.txt

USERSSEC

USERS.TXT

[User]

Bucsics,Stefan Bucsics,12345,PCNEWS-Autor,,,,

...

Anlegen des Autorenverzeichnisses (USERSSEC.BAT, benutzt CACLS.EXE)

MD P:\~autor\Bucsics

CACLS P:\~autor\Bucsics /T /G Bucsics:F Administrator:F pcnews:F everyone:R y.txt

...

Sicherheit

Ein NT-Server ist ohne weitere Maßnahmen völlig ”offen”, d.h. Jede Datei kann von jedem User beliebig verändert werden. Diese ”Offenheit” kann relativ einfach durch eine ”Zugeknöpftheit” ersetzt werden, indem den lokalen Platten jeweils das Recht für “everyone” genommen wird und nur für “administrators” eingeräumt wird. Dazu kommen einzelne Verzeichnisse, auf die auch der anonyme Internet-User (IURS_PCNSRV1) zugreifen können muß, wie z.B. das Verzeichnis, in dem sich Perl befindet, für der Fall, daß Scripts zur Anwendung kommen.

Sicherheit auf Dateiebene

Jedes Verzeichnis, jede Datei kann für einzelne User oder Gruppen freigegeben werden. (Eigenschaft von Windows-NT)

Sicherheit auf Serverebene

Der Internet-Information-Server gibt nur jene Ressourcen frei, die auch freigegeben sind. Alle anderen bleiben Surfern verborgen. Der Proxy-Server gibt nur eingestellte Protokolle frei.

Autostart

Manche Programme können normalerweise nur durch Benutzerinteraktivität gestartet werden, wie z.B. alle Anwenderprogramme. Man kann zwar einen Verweis im Autostart-Ordner anbringen, doch diese Programme werden erst gestartet, wenn sich jemand am Server einloggt. Für das selbsttätige Hochfahren des Servers ist aber jede “Handarbeit” unzweckmäßig. Beim simplen Einschalten loggt sich niemand ein, daher starten auch die Programme im Autostart-Ordner nicht.

Leider wird zur Verbindungsherstellung das Programm “Dial-Up Networking” zum Herstellen einer Wählverbindung benötigt.

Die Lösung des Problems findet man – wie so oft – im Resource Kit von Windows NT Server.

Vor dem Einloggen eines Benutzers starten nur die sogenannten “Services”, die man am ehesten mit den diversen Treibern aus der CONFIG.SYS vergleichen kann. Die Programme im Autostart-Ordner könnte man daher mit der alten AUTOEXEC.BAT-Datei von DOS vergleichen. Während aber beim DOS die beiden Dateien nacheinander ausgeführt werden, liegt im Falle von NT das Login des Benutzers dazwischen.

Man kann bei Windows-NT jedes Programm auch als Service starten. Man benutzt dazu ein Tool aus dem Resource-Kit (SRVANY.EXE). Dazu wird zunächst mit

INTSTSRV BootStart c:\tools\srvany.exe

Das Programm srvany.exe als Service “BootStart” beim Bootvorgang geladen und danach im Control-Panel/Services der Startup-Dialog entsprechend auf “Automatic” eingestellt. Schließlich müssen noch in der Registry die Parameter für dieses Service (welches Programm, mit welchen Parametern eigentlich geladen werden soll) eingestellt werden. In unserem Fall muß die Leitungsverbindung mit rasphone.exe hergestellt werden:

Rasphone.exe-d Standverbindung

Weitere Details entnimmt man der Dokumentation von SRVANY.EXE.

Verfügbarkeit

Einer der wichtigsten Parameter einer Web-Site ist deren Verfügbarkeit. Geräte, die täglich in Verwendung sind, funktionieren im allgemeinen gut. Kaum läßt man sie unbeaufsichtigt, kann es zu unerwarteten Problemen kommen. Beispielsweise sollte man beachten, daß die BIOS-Einstellungen somanches Power-Saving-Feature enthalten, das nach einiger Zeit der Inaktivität (ob Tastatur oder COM-Ports ist meist einstellbar), den Rechner teilweise lahmlegen.

Die Möglichkeit, den Server über Telefonleitung neu hochzufahren, erhöht die Verfügbarkeit in Ferialzeiten erheblich.

Gäste am Web-Server

Wenn man Schulklassen die Möglichkeit zu Publikation ihrer Arbeiten im Web einräumen will, muß man den Gruppen mehrere Dinge zur Verfügung stellen:

l einen User-Account am NT-Server. Dieser User muß der Gruppe “domain users” angehören.

l eine Gruppe, der alle diese Accounts angehören und soviele Teilgruppen als erforderlich (z.B. Klassen). Durch die Gruppenbildung kann man die gemeinsamen Rechte einfach vergeben

l einen E-Mail-Account am Exchange-Server (wenn der User auch Post empfangen und abholen können soll)

l ein Verzeichnis, das die Publikation im Web erlaubt (Eintragung als virtuelles Verzeichnis im Internet-Informations-Server)

l wenn eine Eigenwartung möglich sein soll, muß dieses Verzeichnis auch als virtuelles Verzeichnis im ftp-Server erscheinen und dieses Verzeichnis für diesen User auch Schreibrechte erhalten

l wenn der User auch Scripts absetzen darf, muß er entweder auf das Script-Verzeichnis des Servers Schreibzugriff haben oder man gibt ihm in dessen eigenen Verzeichnis ein Verzeichnis CGI-BIN, dem man ein virtuelles WWW-Verzeichnis mit EXECUTE-Rechten für den anonymen Internet-User zuordnet.

Am PCNEWS-Server gibt es ein Verzeichnis \~autoren und darunter für jede Klasse ein Verzeichnis mit den einzenen Schülern oder bei Einzelautoren ein eigenes Verzeichnis.

P:~autor        virtuelles Verzeichnis
    bucsics            \bucsics
        CGI-BIN    \bucsicss
    eggenhofer        \eggenhofer
        hs-kautzen    \hs-kautzen
        CGI-BIN    \eggcgi
    klasse1
        CGI-BIN    \klasse1s
        schüler11    \schüler11
    klasse2
        CGI-BIN    \klasse2s
        schüler21    \schüler21

Durch die Vergabe virtueller Verzeichnisse, kann die Adresse für einen Autor kurz gehalten werden, obwohl der reale Pfad aus systematischen Gründen sehr verzweigt sein kann.

Fernwartung

Das Resource-Kit enthält einen Modul, der die Fernwartung auf einfachste Weise ermöglicht. Durch Aufruf einer HTML-Seite kann man sich am Server als Administrator identifizieren und kann die wesentlichen Parameter der Web-Site einstellen.

Daneben enthalten der Internet Information Server, der Index-Server, Exchange und dBWeb ebensolche Fernwartungemodule, die die Administration vereinfachen.