1. Serverkonzept
Soll ein serverbasiertes Netzwerk eingerichtet werden, müssen zuvor folgende Konzepte erstellt werden:
- Namenskonzept
- Dateikonzept
- Benutzer und Berechtigungsmatrix
- Adressierungskonzept
- Netzwerkkonzept
Namenskonzept
Alle Objekte benötigen eindeutige und systemverträgliche Namen.
Überlegen sie sich darum, wie sie z.B. sperrige Mitarbeiternamen im System abbilden, auch hinsichtlich der Zeichenanzahlbeschränkung
und der Vermeidung von Umlauten und Sonderzeichen. Einige Firmen vergeben ihren Servern Namen von Bergen, wie z.B. Pilatus, Eiger, Matterhorn etc. oder Südseeinseln.
Andere codieren z.B. die Raumbezeichnungen in ihre Hostnamen wie z.B. PC-B1-01 was soviel heisst, wie PC Nr. 01 in Büro1.
Benutzer und Dateikonzept (Berechtigungen)
Wurde im Dokument «Personalcomputer» schon beschrieben. Siehe "Benutzer- und Gruppenmatrix" und "Verzeichnis- und Berechtigungsmatrix".
Adressierungskonzept
(Alle Objekte benötigen IP-Adressen)
Netzwerkkonzept
Dazu erstellen sie ein «Logisches Layout», wobei die Bezeichnungen, IP-Adressen, etc. mit denen im Namens- und Adresskonzept übereinstimmen sollten.
2. Dateiserver
Dateiserver oder Fileserver. Das Betreiben eines mit Zugriffsrechten geschützten Dateiservers ist erst dann sinnvoll, wenn die
Benutzerverwaltung mit einem Verzeichnisdienst (Directory Services) zentral erfolgt.
Bei Microsoft ist dieser Dienst unter dem Begriff ActiveDirectory bekannt.
Sobald man bei einem Rechner Dateifreigaben erstellt, kann man von einem Dateiserver oder Fileserver sprechen.
Einschränkung der Anzahl Verbindungen
Microsoft Windows schränkt die Anzahl Verbindungen ein, die ein ressourcenfreigebender Rechner eingehen darf. (Dateifreigaben, Maximale Anzahl von Benutzern)
- PC Windows V10pro: 20
- Server Windows V2022 Essential: 25
- Server Windows V2022 Standard/Datacenter: Basierend auf Clientzugriffslizenzen → CAL=Client Access License
2.1 Zugriffsrechte
Zugriffrechte bzw. Benutzerrechte → nochmals das Wichtigste in Kürze:
- Zugriffsrechte in UNIX: Unix als klassisches Mehrbenutzerbetriebssystem verfügt seit der ersten Version (1974)
über Dateirechte und unterscheidet drei Benutzerklassen
Inhaber (User),
Gruppe (Group) und
«alle anderen» (Others).
Für jede Datei und jeden Ordner kann für jede dieser Klassen die Rechte
Lesen (Read),
Schreiben (Write) und
Ausführen (eXecute) unabhängig voneinander zugewiesen werden.
Neben diesen Dateirechten gibt es zudem noch die drei erweiterten Dateirechtbits Set user identity, Set group identity sowie das Sticky Bit.
Unix-Befehle:
chmod für das Ändern der Zugriffsrechte rwx
chown für das Ändern des Besitzers
chgrp für das Ändern der Besitzergruppe
In der Unix-Welt versteht man unter ACL (Access Control List) eine Erweiterung der klassischen Zugriffssteuerung auf Ebene des Besitzer-Gruppe-Welt-Modells.
Auf diese Weise lassen sich Zugriffsrechte spezifisch für einzelne Benutzer zuteilen oder verbieten.
- Zugriffsrechte in Microsoft-Windows. Unter Windows steht dank Benutzung des NTFS-Dateisystems
die Möglichkeit zur Verfügung, erweiterte Datei-Zugriffsrechte zu benutzen.
Jedem Betriebssystemobjekt (Datei, Prozess etc.) wird ein Zugriffskontrolldeskriptor zugeordnet,
der eine ACL enthalten kann. Ist keine ACL vorhanden, so erhält jeder Benutzer Vollzugriff auf das Objekt.
Ist die ACL vorhanden, aber leer, so erhält kein Benutzer Zugriff.
ACL’s werden defaultmässig vererbt.
Die Vererbung kann aber auch ausgeschaltet werden. Wird die ACL eines übergeordneten Verzeichnisses geändert,
so hat dies je nach gewählter Vererbung Auswirkungen auf die darunterliegende Verzeichnisstruktur.
(Weiterführendes findet man unter den Begriffen ACL - Beschränkte und erweiterte Sicherheitseinstellungen unter Windows)
2.2 Neuer Harddisk in Betrieb nehmen (WIN)
Ausser bei Hot-Swap fähigen RAID-Systemen muss ein HD-Tausch oder HD-Erweiterung bei ausgeschaltetem Rechner erfolgen.
Nach dem Booten des Rechners werden folgende Schritte in der Computerverwaltung unter Datenträgerverwaltung (Konsolenaufruf diskmgmt.msc) nötig:
- Datenträger initialisieren
- Auf Datenträger neue Partition erstellen
- Festlegen ob primäre oder erweiterte Partition
- Partitionsgrösse in MB angeben
- Laufwerksbuchstabe zuweisen oder leeren Ordner als «Mountpoint» bereitstellen
- Dateisystem festlegen (Bei WIN vorzugsweise NTFS)
- Datenträger bzw. Partition formatieren
Hinweis zu Dateisystem: Das bei Memorysticks weit verbreitete FAT-Dateisystem hat Einschränkungen in der max. Dateigrösse, der Partitionsgrösse und
unterstützt zudem keine Zugriffsrechte. Dafür kann es von allen Betriebssystemen WIN, Linux, OSX etc. gelesen und beschrieben werden.
2.3 Harddiskpflege
Bei magnetischen Speichermedien wie Harddisks soll man gelegentlich die Fragmentierung überprüfen
(Verstreute Speicherung von logisch zusammengehörigen Datenblöcken des Dateisystems auf einem Datenträger)
und allenfalls eine Defragmentierung durchführen. Dies ist bei SSD’s (Solid-State-Disks)
nicht nötig und wegen der begrenzten Anzahl von Schreibzyklen sogar kontraproduktiv.
2.4 Dateifreigabe (WIN)
Dem WIN-Server muss zuerst die Dateiserverfunktion hinzugefügt werden. Danach folgen diese Schritte:
- Datenträgerkontingente festlegen (Wieviel Speicher darf ein Benutzer maximal belegen)
- Freizugebender Ordnerpfad angeben
- Freigabenamen und Pfad bestimmen (UNC-Pfad)
- Zugriffsrechte regeln
Die Freigabe kann mit folgenden Befehlen überprüft werden:
- netstat
- net share
- net use
- Dateiserververwaltung – Freigegebene Ordner verwalten (zeigt z.B. die Anzahl Clients mit einer Netzlaufwerkverbindung zum Server an)
2.5 UNC-Pfad
UNC-Pfad bedeutet Unified Naming Convention Pfad und ist ein Standard zur Bezeichnung von Netzwerkadressen in der Form:
- \\Hostname\Freigabename
- \\IP-Adresse\Freigabename
- \\FQDN\Freigabename
∇ AUFGABEN
- Erklären sie den Unterschied zwischen HD-Sektor (Sektorgrösse?) und HD-Cluster bei WIN (Clustergrösse?) und die UNIX/LINUX-Entsprechung HD-Block (Blockgrösse?)
- Was bedeutet FAT und was NTFS? Wo liegen die wesentlichen Unterschiede?
- Erklären sie die Begriffe Partition, Wurzelverzeichnis (Root-Directory) und Laufwerkbuchstaben.
- Was meint man bei "Fragementierung von Speichermedien"? Welche Art von Speichermedien sind dabei betroffen?
- Was sind die Arbeitsschritte beim Installieren eines neuen Speichermediums?Neuer Disk/Partition in das System einbinden
- Was ist der Unterschied zwischen einem relativen und einem absoluten Pfad?
- Was bedeutet bei einer Pfadangabe der Punkt . und was der zweifache Punkt .. ?
- Was versteht man unter Vererbung von Zugriffsrechten?
- Wie setzt sich bei einer Dateifreigabe der UNC-Pfad zusammen?
- Dateiserver mit vmMachine:
(Bei dieser beiden Übungen geht es darum, erste Erfahrungen mit einem Dateiserver zu machen. Eine umfassende Übungen folgt gegen Ende dieser Seite.)
In dieser Übung verwenden wir nach wie vor lokale Benutzer. Das bedeutet, dass der Felix Muster auf PC1 ein anderer ist, als der Felix Muster auf Server1.
In der Praxis würde man eine zentrale Benutzerverwaltung aufbauen. (Directory Services oder bei Microsoft → Activ Directory)
Sie erstellen nun Schritt für Schritt einen virtuellen (vmWare) WIN-Datei-Server gemäss folgenden Vorgaben:
(Notieren sie sich die Installationsschritte!)
- Falls sie auf diesem Server bereits DHCP installiert haben, deaktivieren oder entfernen sie diesen Dienst, damit es mit ihrem realen Netzwerk keine Konflikte gibt.
- Falls sie auf diesem Server auch bereits einen DNS-Server installiert haben, muss dieser nicht entfernt werden, weil er den Betrieb nicht weiter stört.
- Stellen sie in der VM-Netzwerkkonfiguration des Dateiservers den Network-Adapter auf Bridged.
- Netzwerkadresse: x.y.z.0/24 (Bzw. die Netzwerkadresse an ihrem aktuellen Arbeitsplatz.)
- Dateiserveradresse: x.y.z.99/24 (Überprüfen sie, ob diese Adresse nicht schon vergeben ist!
- Dateiserver-Hostname: JAGUAR
- Erstellen sie die lokale Gruppe "Berg"
- Erstellen sie die lokale Gruppe "Tal"
- Erstellen sie den lokalen Benutzer "Erhard"
- Erstellen sie den lokalen Benutzer "Roger"
- Der Benutzer "Erhard" soll der Gruppe "Berg" angehören.
- Der Benutzer "Roger" soll der Gruppe "Tal" angehören.
- Erstellen sie das Verzeichnis C:\Daten
- Änder sie die Zugriffsrechte für C:\Daten wie folgt: Administratoren → Vollzugriff ; Jeder → Lesen und Schreiben
- Erstellen sie eine Netzwerkfreigabe für
C:\Daten mit RMB → Eigenschaften → Freigabe → Erweiterte Freigabe → Freigabename: DatenShare
Berechtigungen: Vollzugriff für "Jeder"
- Erstellen sie das Verzeichnis C:\Daten\Berg
- Änder sie die Zugriffsrechte für C:\Daten\Berg wie folgt: Administratoren → Vollzugriff ; Gruppe "Berg" → Lesen und Schreiben
Alle anderen haben keinen Zugriff!
- Erstellen sie das Verzeichnis C:\Daten\Tal
- Ändern sie die Zugriffsrechte für C:\Daten\Tal wie folgt: Administratoren → Vollzugriff ; Gruppe "Tal" → Lesen und Schreiben
Alle anderen haben keinen Zugriff!
- Überprüfen sie die Berechtigungen mit den beiden Benutzern "Erhard" und "Roger".
- Fügen sie dem Server die Rolle "Datei-/und Speicherdienste hinzu. (Bemerkungen bei Tipps beachten!)
- Zeigen sie im Server-Manager die Freigabe für das Verzeichnis C:\Daten an (Freigabename ist "DatenShare").
- Erstellen sie ein Diskkontingent von 100MB für das freigegebene Verzeichnis. (Beachten sie dazu die folgenden Tipps!)
- Überprüfen sie die Datei-Freigabe von einem anderen im Netzwerk verfügbaren WIN-PC/Notebook (→Client) aus.
- Beim Dateiserver-Client sollen die Benutzer "Erhard" und "Roger" die Freigabe nutzen und auch kontrollieren, ob die Zugriffsrechte auf die unteren Verzeichnisse
"Berg" und "Tal" korrekt sind.
Hier noch ein paar Tipps:
- ncpa.cpl führt direkt zu den Netzwerkeinstellungen
- sysdm.cpl führt direkt zu der Einstellung von z.B. Hostname
- Den Assistenten durch den Suchbegriff Server-Manager starten
- Dem Server muss die Rolle Dateiserver zuerst "beigebracht" werden: Rollen und Features hinzufügen im Server-Manager
- Vorsicht: Bei der Serverrolle "Datei-/Speicherdienste Datei- und iSCSI-Dienste aufklappen und mindestens den Ressourcen-Manager für Dateiseerver mitinstallieren.
Damit ermöglichen sie die Kontigentierung von Speicherplatz auf der Dateifreigabe.
- Dateiserver konfigurieren: Datei-/Speicherdienste
- Freigabe: Servername → RMB Neue Freigabe → SMB-Freigabe - Erweitert (damit Diskkontigentierung aktiviert wird)
- Existieren noch keine Freigaben auf dem Datenserver, wird im Server-Manager unter Datei-/Speicherdienst die Position "Freigabe" nicht angezeigt
∇ LÖSUNGEN
- Erklären sie den Unterschied zwischen HD-Sektor (Sektorgrösse?) und HD-Cluster bei WIN (Clustergrösse?) und die UNIX/LINUX-Entsprechung HD-Block (Blockgrösse?)
Sektor: Kleinste verwaltbare Speichereinheit beim HDD (512Byte)
Cluster/Block: Kleinste vom Betriebssystem verwaltbare Speichereinheit (ab 512Byte, Defaultgrösse 4kB, siehe auch cmd>format /?
- Was bedeutet FAT und was NTFS? Wo liegen die wesentlichen Unterschiede?
FAT: FileAllocationTable → Dateisystem in der Version von FAT32 ohne Berechtigungen und Dateigrösse limitiert auf 4GiB (4.3GByte)
NTFS: NewTechnologyFileSystem → Aktuelles WIN-Dateisystem. Verwaltung der Cluster in der MFT MasterFileTable (=Datei) mit der Besonderheit, dass sehr kleine Dateien direkt in der MFT gespeichert werden.
- Erklären sie die Begriffe Partition, Wurzelverzeichnis (Root-Directory) und Laufwerkbuchstaben.
Partition: Teil einer HD. Ermöglicht z.B. ein Dualboot mit nur einer HD.
Wurzelverzeichnis: Oberstes Verzeichnis in der Dateisystemhierarchie. Bei UNIX das Root-Verzeichnis "/" bei Windows der Laufwerksbuchstabe.
- Was meint man bei "Fragementierung von Speichermedien"? Welche Art von Speichermedien sind dabei betroffen?
Ein magnetisches Festplattenlaufwerk fragmentiert sich mit dem Gebrauch. Darunter ist die Zerstückelung von Speicherbereichen gemeint. Dies verlangsamt den Speicherzugriff und kann mit einer Defragmentierung
entschärft werden. SSDs müssen nicht defragmentiert werden. Dort ist eine erzwungene "Umgruppierung" der Speicherbereichen wegen der SSD-typischen beschränkten Anzahl von Schreibzyklen
sogar kontraproduktiv.
- Was sind die Arbeitsschritte beim Installieren eines neuen Speichermediums?
Datenträger initialisieren → Auf Datenträger neue Partition erstellen → Festlegen ob primäre oder erweiterte Partition → Partitionsgrösse in MB angeben
→ Laufwerksbuchstabe zuweisen oder leeren Ordner als «Mountpoint» bereitstellen → Dateisystem festlegen (Bei WIN vorzugsweise NTFS) → Datenträger bzw. Partition formatieren
- Was ist der Unterschied zwischen einem relativen und einem absoluten Pfad?
Absoluter Pfad: Der Pfad wird ab Toplevel- oder Rootdirectory angegeben. Bsp.: C:\Users\FelixMuster\Documents\ArduinoProjekte
Relativer Pfad: Es wird nur ein Teilpfad angegeben. Darum ist das CWD (CurrentWorkingDirectory) entscheidend. Bsp.: .\Documents\ArduinoProjekte
- Was bedeutet bei einer Pfadangabe der Punkt . und was der zweifache Punkt .. ?
Der Punkt . bezeichnet das CurrentWorkingDirectory. Bsp.: cd .\Documents\ArduinoProjekte
Der zweifache Punkt .. bedeutet das UplevelDirectory. Bsp.: cd ..\Downloads
- Was versteht man unter Vererbung von Zugriffsrechten?
Wird ein neues Verzeichnis oder Datei kreiert, werden die Berechtigungen des übergeordneten Verzeichnisses übernommen bzw. vererbt. Wenn man dies nicht will,
muss man dies in den Verzeichnis-Eigenschaften gezielt unterbrechen.
- Wie setzt sich bei einer Dateifreigabe der UNC-Pfad zusammen?
\\Hostname\Freigabename oder \\IP-Adresse\Freigabename oder \\FQDN\Freigabename
- Dateiserver mit vmMachine: Keine Musterlösung vorhanden.
3. Druckerserver
Druckerserver oder Printserver. Ein Text wird nicht als ASCII-File an einen Drucker gesendet, sondern in einer speziellen Seitenbeschreibung, die
auch z.B. Informationen über das Aussehen des Textes (Formatierung, Font etc.) enthät.
3.1 Seitenbeschreibungssprache
Die Seitenbeschreibungssprache beschreibt den exakten Aufbau einer Seite, wie diese später von einem Drucker gedruckt aussehen soll.
Mit Hilfe der Seitenbeschreibungssprache wird für eine zu druckende Aufgabe ein Datenstrom erzeugt, welcher dann an den Drucker gesendet wird.
Eine Seitenbeschreibungssprache hat auch den Zweck, alle Druckertypen über eine gemeinsame Standardsprache ansteuern zu können.
Wenn ein Textprogramm ein Dokument ausdrucken soll, muss es dieses vorerst in eines der folgenden Formate (Seitenbeschreibungssprache) umwandeln. Hier eine Auswahl:
- PCL6 (Printer Command Language – Aktuelle Version 6)
wurde von Hewlett-Packard mit dem Ziel entwickelt, alle Druckertypen über eine gemeinsame Standardsprache ansteuern zu können – Hohe Verbreitung
- PostScript ist eine Seitenbeschreibungssprache, die in den frühen 1980er Jahren von Adobe Systems entwickelt wurde und auch heute noch als Druckerseiten-Beschreibungssprache Verwendung findet
- XPS (XML Paper Specification) ist ein Dateiformat für Dokumente, das von der Firma Microsoft entwickelt wurde
- HP-GL (Hewlett Packard Graphic Language) ist eine Seitenbeschreibungssprache zur Ansteuerung von Stiftplottern
(Übrigens: Im ASCII-Zeichensatz sind auch einfache Druckkommandos vorhanden)
In den Spezifikationen des jeweiligen Druckers ist nachzulesen, welche Seitenbeschreibungssprache er unterstützt.
3.2 Druckertreiber
Ein Druckertreiber oder Gerätetreiber ist ein Computerprogramm oder Softwaremodul, das die Interaktion mit angeschlossenen Druckern steuert.
Der Druckertreiber ist Druckerspezifisch und unterstützt die speziellen Druckereigenschaften wie z.B.:
- Schwarz/Weiss oder Farbdruck
- Druckerauflösung in dpi (Dots per inch)
- Randloses Drucken
- Duplexdruck (Beidseitiger Druck)
- Papierfächer
(Der Druckertreiber ist immer auf dem Client zu installieren, auf dem ausgedruckt werden soll.
Nur so ist der Client in der Lage, die zu druckende Seite gemäss den Möglichkeiten des
angeschlossenen Druckers darzustellen wie z.B. in der WORD-Seitenansicht)
Die aktuellen Druckertreiber sind üblicherweise auf der Webseite im Supportbereich des Druckerherstellers erhältlich.
3.3 Drucker in Kleinnetzwerken
Folgende Druckerlösungen sind im SmallOffice– und Privatgebrauch üblich:
- An den eigenen PC/Workstation angeschlossenen lokalen Drucker mit z.B. USB-Schnittstelle
(Früher RS232-Seriellschnittstelle oder Centronics-Parallelschnittstelle) Über eine Druckerfreigabe kann ein solcher Drucker über
das Netzwerk anderen PC-Arbeitsplätzen zur Verfügung gestellt werden
- An einen Druck-Server (Printserver) angeschlossenen USB-Drucker, der dank dem Druck-Server allen Netzwerkteilnehmern zur Verfügung steht
- Ein netzwerkfähiger Drucker (Der Druck-Server ist quasi direkt im Drucker als Printserver-Modul eingebaut
(Jede dieser drei Lösungen hat seine Vor- und Nachteile wie Kosten, Verfügbarkeit, Stromverbrauch etc.)
Das folgende Bild zeigt einen einfachen Printserver, der üblicherweise im unteren zweistelligen CHF-Betrag erhältlich ist:
3.4 Druckerkonfiguration über Bedienfeld
(Im Konsumerbereich zwecks Reduzierung der Herstellungskosten heute eher unüblich)
3.5 Druckerkonfiguration über Webserver
Druckerkonfiguration über einen im Drucker installierten Webserver:
(Dazu benötigt man einen PC mit installiertem Webbrowser und ruft damit die Konfigurations-Webseite auf dem Drucker ab –
Übliche IP-Werkseinstellung des Druckers: 192.168.1.1/24 Achtung: Der PC muss sich im selben Netz befinden)
3.6 Drucker-IP-Adresse konfigurieren mit arp
Die Netzwerkeinstellungen von gewissen älteren Druckern ohne Bedienfeld und ohne Webserver lassen sich unter Umständen wie folgt konfigurieren:
- Richten sie ein PC ein und wählen sie die IP-Adresse des PC’s so, dass seine Netzwerk-ID mit derjenigen der gewünschten Drucker-IP-Adresse übereinstimmt
(Das heisst: Beachten sie, dass beide Geräte im selben Netz sind)
- Notieren sie sich die MAC-Adresse der Druckernetzwerkkarte (Siehe den zwölfstelligen Hex-Code auf der Konfigurationsseite des Druckers
oder dem Aufkleber an der Druckerrück- oder unterseite)
- Im Konsolenfenster ihres PC’s tippen sie folgendes ein:
arp -s <gewünschte
Drucker-IP-adresse> <Drucker-MAC-Adresse>
Überprüfen sie die Einstellung mit
arp –a
Ein allfällig falscher Eintrag kann so gelöscht werden:
arp -d <IP-Adresse>
- Setzen sie den Drucker mit einem «Drucker-Reset» zurück
Reset der Druckernetzwerkkarte bzw. des Druckers gemäss Benutzeranleitung
- Pingen sie den Drucker an, indem sie auf ihrem PC im Konsolenfenster folgendes eingeben:
ping <gewünschte Drucker-IP-adresse>
- Nun sollte ihr Drucker über seine neue IP-Adresse erreichbar sein (Mit ping überprüfen)
3.7 Der dedizierte Druckerserver
Der dedizierte Druckerserver für das Drucken in grösseren Netzwerken:
Druckserver als eigenständige Geräte nennt man dedizierte Druckerserver.
Darunter versteht man die Serversoftware wie z.B. Windows Serveredition und die Serverhardware.
Die Aufgaben des Druckerservers
- Drucker ohne Netzwerkschnittstelle übers Netzwerk verfügbar machen
- Zentrale Verwaltung von Netzwerkdruckern
- Spooling: (aufspulen) bzw. Abkürzung für Simultaneous Peripheral Operations On Line
ist ein Vorgang im Betriebssystem, bei welchem zu bearbeitende Druckaufträge in einem Puffer im Speicher oder externen Datenspeicher gelagert werden, bevor sie der eigentlichen Verarbeitung
(Datei zum Ausdrucken an den Drucker senden) zugeleitet werden
- Bilden von Druckerpools: Ist ein Verbund von Druckern in einem Rechnernetz, unter denen Druckaufträge automatisch verteilt werden
- Verteilen der Druckergerätetreiber an die Clients (PC’s)
3.8 Vorteile von Spooling
- Zwischenspeicher: Meist ist die Festplatte schneller als das Ausgabegerät – Dadurch kann die Anwendung zügig fortgesetzt werden,
indem der Druckjob auf die Festplatte geschrieben wird, ohne auf die Ausgabe warten zu müssen
- Mehrfachnutzung von Geräten, da ein Spooler zahlreiche Aufträge für ein Drucker zwischenspeichern kann – Dadurch können
sich z. B. mehrere Personen bzw. Prozesse einen Drucker teilen, ohne sich gegenseitig zu behindern
- Bei einem Druckerausfall oder Druckerwartungsarbeiten kann der Druckjob trotzdem abgeschickt werden.
Dieser verbleibt im Spooler des Druckerserves, bis der Drucker wieder Online ist
3.9 Vorteile von Druckerpools
- Geringere Wartezeiten, wenn mehrere Druckaufträge gleichzeitig gesendet werden
- Bei einem Druckerausfall oder Druckerwartungsarbeiten kann trotzdem gedruckt werden,
ohne dass Benutzer einen anderen Drucker auswählen müssen
3.10 Druckerserver-Features
Grundsätzlich bietet ein als Druckserver eingerichtetes Windows-Server-Betriebssystem dieselben Features wie die Druckerfreigabe
in einem normalen Windows-Betriebssystem, abgesehen von der künstlichen Einschränkung der maximalen Anzahl von Netzwerkverbindungen
bei Nicht-Servern. Die wichtigsten Features:
- In der Benutzung zeitliche und personelle Einschränkungen
- Druckprozesse überwachen
- Ausdruck verzögern
- Eine Druckpriorität festlegen
- Erstellen von Formularen
- Bilden von Drucker-Pools
∇ AUFGABEN
(Bei diesen beiden Übungen geht es darum, erste Erfahrungen mit einem Druckerserver zu machen. Eine umfassende Übungen folgt gegen Ende dieser Seite.)
- Drucker einrichten: Richten sie einen Drucker unter WINDOWS ein. Organisieren sie sich allenfalls einen Generic-Postscript-Treiber.
Hinweis: Bei der Dateiumleitung und einem Postscript-Treiber kann man die Postscript-Sprache untersuchen.
- Starten sie den Printermanager: printmanagement.msc
- Fügen sie einen neuen Drucker hinzu: Druckerserver → Hostname → Drucker → RMB Drucker hinzufügen
- Wählen sie: Neuen Drucker unter Verwendung eines vorhandenen Anschluss hinzufügen
- Wenn sie keinen richtigen Drucker zur Verfügung haben, können sie sich mit einer "Umleitung in eine Datei" behelfen:
Anschlussname FILE: (Ausgabe in Datei umleiten)
- Die Frage des Treibers: Entweder nutzen sie den zuvor installierten Postscript-Treiber oder nutzen einen der vorinstallierten:
Einen neuen Treiber installieren: Hersteller Generic > Generic / Text Only
- Name des Druckers angeben → Druckername: Drucker_A (Namenskonzept beachten)
- Drucker fertigstellen und danach ausprobieren
- Drucker verwalten: Bei diesen Beispielen macht es keinen Unterschied, ob man dem WIN-Server vorher die Serverrolle "Druck- und Dokumentdienste" beigebracht hat.
- Starten sie den Printermanager: printmanagement.msc. Alternativ kann man diese Druckverwaltung auch via Server-Manager → Tools öffnen
- Den Drucker anwählen und RMB
- Druckerwarteschlange öffnen zeigt den Spoolerinhalt an
- Drucker anhalten stoppt den Drucker für z.B. Wartungsarbeiten
- Eigenschaften zeigt unter anderem Sicherheit / Freigabe /Anschlüsse (Druckerpool) / Erweitert (Verfügbarkeit und Treiber) an
Verwalten sie nun ihren neu installierten Drucker:
- Freigabename: Freigabe_Drucker_A
- Betriebszeit: 08:00 Uhr bis 17:00 Uhr
- Spooler: Drucken nachdem letzte Seite gespoolt wurde
- Versuchen sie auch, mit einem weiteren Drucker einen Druckerpool einzurichten
4. DHCP
Im folgenden wird von einem DHCP-Server gesprochen.
Gemeint ist damit die Server-HW, auf der ein DHCP-Dienst läuft.
DHCP bedeutet Dynamic Host Configuration Protocol.
Warum DHCP?
Ein PC benötigt neben seinem Hostname in einem IPv4-Netzwerk folgende Angaben:
- Eine im Netzwerk einmalige IP-Adresse
- Subnetzmaske
- Router (Standard- oder Default-Gateway)
- DNS-Server
Um den IP-Adress-Verwaltungsaufwand, damit ist u.a. die Inbetriebnahme von Neugeräten und Ressourcenfreigabe von Altgeräten gemeint,
in Grenzen zu halten und Netzwerkfehler wegen IP-Adress-Doppelvergabe zu vermeiden, kann eine Art «IP-Adress-Verleihsystem»,
einen sogenannten DHCP-Server, installiert werden.
- Statische Variante → Netzwerkeinstellungen lokal am Host: Die Netzwerkparameter werden trotz eines allfällig vorhandenen DHCP-Servers am jeweiligen Gerät unter den Netzwerkeigenschaften eingegeben.
Empfohlen ist dies bei Servern, Druckern und Routern, damit sie immer unter derselben IP und unabhängig von einem DHCP-Server erreichbar sind.
Einstellung in den Client-Netzwerkeigenschaften: Adressen von Hand eingeben.
- Statische Variante → Netzwerkparameter via DHCP: Der Client verlangt beim DHCP-Server nach «seiner» exklusiv für ihn reservierten IP-Adresse.
Der DHCP-Server erkennt den Client anhand seiner MAC-Adresse und liefert ihm die gewünschte IP-Adresse. Einstellung in den Client-Netzwerkeigenschaften: Adressen automatisch beziehen.
- Dynamische Variante → Netzwerkparameter via DHCP: Die IP-Adresse und weitere Parameter werden von einem DHCP-Server geliefert.
Der DHCP-Server liefert aus seinem IP-Adresspool eine zurzeit freie bzw. nicht benutzte IP-Adresse.
Empfohlen bei PC’s und Portables. Einstellung in den Client-Netzwerkeigenschaften: Adressen automatisch beziehen.
Hinweis: Setzt man einen DHCP-Server ein, sollte man «seinen» Usern dringend nahelegen,
dass sie die Finger von den lokalen Netzwerkeigenschaften lassen. Die Host’s beziehen die Netzwerkparameter automatisch,
d.h. von «meinem» DHCP-Server und es wird nicht von Hand daran herumgebastelt. Ausser der DHCP-Server hat in seinen DHCP-Einstellungen
einen IP-Adress-Ausschlussbereich, der von den Usern für Experimente genutzt werden kann.
4.1 DHCP Nachrichten
Der PC/Notebook, bei dem in den Netzwerkeigenschaften "Adressen automatisch beziehen" eingestellt ist, muss zuerst mit einem DHCP-Server kontakt aufnehmen.
Der darauf folgende Ablauf besteht dann aus folgenden Nachrichten:
- DHCP-DISCOVER: Ein Client ohne IP-Adresse sendet eine Broadcast-Anfrage nach Adress-Angeboten an alle DHCP-Server im lokalen Netz
- DHCP-OFFER: Die DHCP-Server antworten mit entsprechenden Werten auf eine DHCPDISCOVER-Anfrage
- DHCP-REQUEST: Der Client fordert eine der angebotenen IP-Adressen, weitere Daten sowie Verlängerung der Lease-Zeit von einem der antwortenden DHCP-Server
- DHCP-ACK: Bestätigung des DHCP-Servers zu einer DHCP-REQUEST-Anforderung oder die Übermittlung von Konfigurationsparametern, die vorher durch DHCP-INFORM vom Client angefordert wurden
- DHCP-NAK: Ablehnung einer DHCPREQUEST-Anforderung durch den DHCP-Server
- DHCP-DECLINE: Ablehnung durch den Client, da der Client mit einem ARP-Request herausgefunden hat, dass die IP-Adresse schon verwendet wird
- DHCP-RELEASE: Der Client gibt die eigene Konfiguration (IP-Adresse) frei, damit die Parameter wieder für andere Clients zur Verfügung stehen
- DHCP-INFORM: Anfrage eines Clients nach weiteren Konfigurationsparametern, z. B. weil der Client eine statische IP-Adresse besitzt
Der DHCP-Ablauf im Überblick
Der DHCP-Ablauf anhand eines konkreten Zahlenbeispiels
4.2 APIPA / Zero-Conf
Sollte wegen Netzwerkunterbruch oder Server-Down kein DHCP-Server verfügbar sein ,
kommt beim WIN-Client APIPA (Automatic Private IP Adressing) zum Zug.
Auch unter dem Namen Zero-Conf bekannt.
IPv4-APIPA-Bereich: 169.254.x.y; Subnetmask: 255.255.0.0
DHCP ist eine Erweiterung des Bootstrap-Protokolls (BOOTP), das für Arbeitsplatz-Computer ohne eigene Festplatte (Diskless-Workstation) notwendig war,
wo sich der Computer beim Startvorgang zunächst vom BOOTP-Server eine IP-Adresse zuweisen liess, um danach das Betriebssystem aus dem Netzwerk zu laden.
DHCP ist weitgehend kompatibel zu BOOTP und kann entsprechend mit BOOTP-Clients und -Servern (eingeschränkt) zusammenarbeiten.
∇ AUFGABEN
- Welche Angaben/Parameter kann mir ein DHCP-Server liefern?
- Was ist ein MAC-Broadcast?
- Erklären sie: DISCOVER, OFFER, REQUEST, ACK, NAK, DECLINE, RELEASE, INFORM
- Was ist eine Mietdauer und Adresserneuerung?
- APIPA bedeutet?
- Wobei kann mir ipconfig helfen?
- DHCP und Subnetze: Wie verträgt sich ein MAC-Broadcast mit dem Router?
- DHCP mit Wireshark analysieren: Mit Wireshark lässt sich ein DHCP-Protokoll bestens mitverfolgen.
Dies wurde für sie bereits erledigt und als Wireshark-Next-Generation-Dump-File (pcapng) gespeichert.
Hier können sie den Wireshark Mitschnitt herunterladen.
Klären sie nun folgendes ab:
- Welche DHCP-Nachrichten wurden ausgetauscht?
- Wie heisst die DHCP-Server-Adresse?
- Welche Client-Adresse wurde vom DHCP-Server zugewiesen?
- Können sie dem Protokoll noch weitere Angaben entnehmen?
- DHCP mit Filius: Sie erhalten ein Filius-Projekt, wo sie DHCP einrichten sollen.
DHCP_Filius.fls
Die Vorgaben:
- Die entsprechend beschriftete Maschine soll DHCP- und DNS-Server mit der IP-Adresse 172.16.0.10 / 24 werden.
/24 bedeutet Netzmaske 255.255.255.0
- Alle PCs sollen ihre Netzwerkeinstellungen vom DHCP-Server erhalten:
• IP-Adresse
• Subnetzmaske
• IP-Adresse des Gateways (Router)172.16.0.
• IP-Adresse des DNS-Server
- DHCP-Einstellungen:
• IP-Adressbereich (Unter/Obergrenze) 172.16.0.100 bis 172.16.0.150
• Gateway (Router) IP-Adresse 172.16.0.1
• DNS-Server IP-Adresse 172.16.0.10
• Der PC_Raum_A_Nr_1 soll immer die selbe (statische) IP-Adresse 172.16.0.200 erhalten.
- Überprüfen sie ihre Konfiguration z.B. mit ipconfig oder ping.
Sind alle PCs und Server gegenseitig erreichbar?
- Untersuchen sie auch den Datenaustausch von und zu jedem PC. Den Datenaustausch können sie einsehen,
indem sie auf dem entsprechenden Rechner-Icon einen Maus-Rechtsklick ausführen und "Datenaustausch" wählen.
- Erklären sie, was funktioniert hat und was warum nicht.
- Falls etwas nicht funktioniert hat, suchen sie einen geeigneten Workaround.
- DHCP mit vmMachine:
(Bei dieser beiden Übungen geht es darum, erste Erfahrungen mit einem DHCP-Server zu machen. Eine umfassende Übungen folgt gegen Ende dieser Seite.)
Sie erstellen nun Schritt für Schritt einen virtuellen (vmWare) WIN-DHCP-Server gemäss folgenden Vorgaben:
(Notieren sie sich die Installationsschritte!)
- Netzwerkadresse: 10.0.0.0/24
- DHCP-Serveradresse: 10.0.0.1/24
- DHCP-Hostname: JAGUAR
- IP-Adresspool: 10.0.0.100/24 bis 10.0.0.150/24
- Leasedauer: 4 Stunden
- Reservierung der IP: 10.0.0.50/24 für Host mit MAC-Adresse: 00-13-D4-20-AA-B9 (Als 0013D420AAB9 eingeben!)
Hier noch ein paar Tipps:
- Wenn sie den WIN-Server aufsetzen, kann dies auch ohne Key bzw. Serial-Nr. erfolgen. Allerdings muss diese nach einer bestimmten Zeit nachgereicht werden.
- ncpa.cpl führt direkt zu den Netzwerkeinstellungen.
- sysdm.cpl führt direkt zu der Einstellung von z.B. Hostname.
- Dem Server muss DHCP zuerst "beigebracht" werden: Rollen und Features hinzufügen im Server-Manager.
- Im DHCP-Snap-In (Suchbegriff DHCP) den Server-Hostname anklicken und unter IPv4 "Neuen Bereich hinzufügen".
- Die MAC-Adresse 00-13-D4-20-AA-B9 bei der Reservierung wie folgt eingeben: 0013D420AAB9
∇ LÖSUNGEN
- Welche Angaben/Parameter kann mir ein DHCP-Server liefern?
In erster Linien IP-Adresse und Subnetzmaske. Dann aber auch Routeradresse (Standardgateway) und allenfalls DNS-Adresse (2x)
- Was ist ein MAC-Broadcast?
Nachricht an alle auf OSI-Layer2: MAC-Broadcast=FF:FF:FF:FF:FF:FF
Zum Beispiel wird ein IPv4-Broadcast als Ethernet-Broadcast an die MAC-Adresse FF:FF:FF:FF:FF:FF gesendet.
- Erklären sie: DISCOVER, OFFER, REQUEST, ACK, NAK, DECLINE, RELEASE, INFORM
DISCOVER: Client verlangt nach einer IP-Adresse mittels Broadcast.
OFFER: DHCP-Server offeriert eine IP-Adresse.
REQUEST: Client entscheidet sich für angebotene Netzwerkparameter. (auch Verlängerung der Lease-Zeit)
ACK: DHCP-Server macht Angebot definitiv.
NAK: DHCP-Server lehnt ab.
DECLINE: Client leht ab.
RELEASE: Client gibt seine IP-Adresse frei.
INFORM: Client mit statischer IP-Adresse erfragt weitere Netzwerkparameter.
- Was ist eine Mietdauer und Adresserneuerung?
Der DHCP-Server vergibt die IP-Adresse nur für eine bestimmte Mietdauer. Nach Ablauf von 50% der Mietdauer versucht der Client seine IP-Adress-Miete
zu verlängern.
- APIPA bedeutet?
Wenn ein Client die IP-Adresse "automatisch" beziehen möchte, aber kein DHCP auf seine Anfrage antwortet, kommt beim Client APIPA/Zeroconf zur Anwendung.
Dabei vergibt er sich in Eigenregie eine noch freie Adresse aus dem Bereich 169.254.x.x.
- Wobei kann mir ipconfig helfen?
Anzeige der Netzwerkparameter. Mit ipconfig /all werden alle Netzwerkparameter angezeigt. Vorsicht bei der IP-Adress¨berprüfung: Unter Ümständen besitzt der
Rechner mehrere LAN-Schnittstellen (LAN, WLAN, virtuelleLAN).
- DHCP und Subnetze: Wie verträgt sich ein MAC-Broadcast mit dem Router?
Der Router verhindert die Durchreichung von Broadcasts aus Netzwerk-Performancegründen. Ein DHCP wird also nicht ohne weiteres hinter einem Router "gesehen". Es braucht dann sogenante DHCP-Relay-Agent.
- DHCP mit Wireshark analysieren: Wireshark-Displayfilter: dhcp oder dhcp.option.type == 53
- Welche DHCP-Nachrichten wurden ausgetauscht?
IP-Lease-Erneuerung (Client: ipconfig /renew) "DHCP Request" und "DHCP ACK"
- Wie heisst die DHCP-Server-Adresse?
Server-IP: 172.16.0.1 Server-Port.Nr: UDP 67
- Welche Client-Adresse wurde vom DHCP-Server zugewiesen?
Client-IP: 172.16.0.111 Client-Port.Nr: UDP 68
- Können sie dem Protokoll noch weitere Angaben entnehmen?
Es wird bei DHCP nicht das Transportprotokoll TCP genutzt, sondern das verbindungslose und schlankere UDP.
Port 67: UDP, Bootstrap Protocol (BOOTP) Server; auch genutzt von DHCP
Port 68: UDP, Bootstrap Protocol (BOOTP) Client; auch genutzt von DHCP
- DHCP mit Filius:
Hier die Musterlösung als Filius-Projekt herunterladen.
- DHCP mit vmMachine: Keine Musterlösung vorhanden.
5. DNS
Im folgenden wird von einem DNS-Server gesprochen. Gemeint ist damit die Server-HW, auf der ein DNS-Dienst läuft.
DNS bedeutet Domain Name System. Der DNS-Dienst ist für die Namensauflüsung von einem Domänennamen (FQDN, URL)
zu der entsprechenden IP-Adresse (oder umgekehrt) zuständig.
5.1 Die Webanfrage richtig adressieren
Eine Webseite über die IP-Adresse des Webservers aufzurufen, ist wenig konfortabel.
Besser wäre es, wenn dies über einen einprägsamen Namen erledigt werden könnte.
Unumstösslich jedenfalls ist, dass das Internet-Protokoll ausschliesslich mit der IP-Adresse zurecht kommt.
Im folgenden wird gezeigt, wie ein Webseitenaufruf ablaufen kann:
- Kommunikation über das Netzwerk (Bild 1):
• Der IP-Header benötigt zur Adressierung des Webserver-Anfragepakets nicht den Server-Hostname sondern seine IP-Adresse
• Die IP-Adresse ist aber wenig einprägsam
- Die lokale Host-Tabelle (Bild 2):
• Die Problematik ist, ein praktikables Namenskonzept für weltweit ca. ¼ Milliarden Webserver zu erstellen
• Weiter gilt es, sämtliche lokalen Host-Dateien aktuell zu halten
- Die Lösung für das Namenskonzept (Bild 3):
• Hierarchisches Namenskonzept: www.Secondlevel-Domain.Toplevel-Domain
• Aber als Nachteil immer noch die dezentrale bzw. lokale Namensauflösung
- Eine zentrale Namensauflösung (Bild 4):
• Die Namensauflösung erfolgt über zentrale Systeme, sogenannte DNS-Server
• Bessere Wartbarkeit als bei lokaler Lösung
- DNS-Domänennamespace (Bild 5): Die hierarchische Struktur bzw. Organisation des Namenraums
5.2 Die Domäne oder Domain
Eine Domain ist ein zusammenhängender Teilbereich des hierarchischen Domain Name System (DNS).
Im Domain-Vergabeverfahren ist es ein im Internet weltweit einmaliger und eindeutiger und unter gewissen Regeln frei wählbarer Name unterhalb einer Top-Level-Domain.
Die exakten Regeln für die Namensvergabe legt die Vergabestelle (NIC = Network Information Center) der jeweiligen Top-Level-Domain fest.
Eine Domain kann beliebig in durch Punkte getrennte Subdomains unterteilt werden.
Mit jedem so gebildeten voll qualifizierten Domain-Namen (FQDN = Fully Qualified Domain Name) kann ein beliebiges physisches oder virtuelles Objekt weltweit eindeutig adressiert werden.
Die Verbindung zwischen dem FQDN und dem tatsächlichen Aufenthaltsort des Objektes wird über Einträge in Nameservern hergestellt, die letztlich auf die IP-Adresse eines Servers verweisen.
5.3 Top-Level-Domain
TLD (Top-Level-Domain bezeichnet den letzten Abschnitt (rechts vom Punkt) einer Domain im Internet und stellt die
höchste Ebene der Namensauflösung dar. Ist der vollständige Domain-Name eines Rechners beziehungsweise einer Website beispielsweise
www.juergarnold.ch, so entspricht das rechte Glied (.ch) der Top-Level-Domain dieses Namens. TLDs werden von der IANA in Gruppen unterteilt:
- Allgemeine TLDs: generic TLDs (gTLDs), unterteilt in sponsored TLDs (sTLDs) und unsponsored TLDs (uTLDs)
- Länderspezifische TLDs: country-code TLDs oder ccTLDs
5.4. Subdomain
Als Subdomain bezeichnet man eine Domain, welche in der Hierarchie unterhalb einer anderen liegt.
- Die Subdomain unterhalb der Top-Level-Domain nennt man Second-Level-Domain.
- Normalerweise meint man mit Subdomain Domains in der dritten oder einer weiteren Ebene.
- Zur logischen und physischen Trennung von Diensten innerhalb der Domain einer Organisation werden
üblicheweise Sub-Domains verwendet (z.B. Webserver = www.abc.ch / Mailserver = mail.abc.ch).
Ein Webserver kann genau so gut auf einem Computer mit dem Domainnamen web.abc.ch oder abc.ch betrieben werden.
5.5. Fully Qualified Domain Name
Der vollständige Name einer Domain wird als FQDN (Fully Qualified Domain Name)
bezeichnet und ist eine absolute Adresse:
Hostname .
Secondlevel-Domain .
Toplevel-Domain .
Root-Label (z.B. www.sbb.ch.)
Hostname .
Subdomain .
Secondlevel-Domain .
Toplevel-Domain .
Root-Label (z.B. ftp.shop.muster-gmbh.com. oder server01.verwaltung.mustergmbh.local.)
Das Root-Label bleibt allerdings immer leer, so dass der FQDN mit dem Punkt abschliesst. Bei Adresseingaben in Browsern wird daher auf den Punkt verzichtet.
Allerdings wäre es dann, genau genommen, keine absolute Adresse mehr, sondern eine relative.
Bei der Angabe in Resource Records auf Nameservern muss zwingend der volle Name mit Punkt angegeben werden.
5.6 URL
Eine URL (Uniform Resource Locator) identifiziert und lokalisiert eine Ressource
(z.B. Webseite, FTP-Server etc.) über die zu verwendende Zugriffsmethode/Protokoll (z.B. HTTP, FTP) und den Ort in Computernetzwerken.
Schema://
Host:
Port/
Pfad?
Query#Fragment
https://www.beispiel.ch
:443
/index.html
?p1=A&p2=B
#htmltextmarke1
5.7 DNS-Zonen
- Zone = Teil des Domänenbaums, für den ein Nameserver zuständig ist.
- Eine Zone besteht aus Resource-Records, die in einer Zonendatei gespeichert sind.
Bsp.: A-Resource Record = IPv4 Adresse eines Hosts.
- Eine Zone kann eine gesamte Domain umfassen. Normalerweise werden Subdomänen aber durch eigene Zonen repräsentiert.
5.8 Unterschied zwischen Domain und Zone
- Eine Domain umfasst den gesamten untergeordneten DNS-Namensraum.
- Eine Domäne kann in mehrere Zonen aufgeteilt werden, indem man die Zuständigkeit für Subdomains delegiert.
- Von einer Zone spricht man auch, wenn man die physische Realisierung meint.
(Auf welchem Server und in welcher Zonendatei die DNS-Einträge liegen)
5.9 Resource Record (RR)
Ein Resource Record (RR) ist die grundlegende Informationseinheit im Domain Name System.
Er tritt in ASCII-Darstellung in Zonendateien oder in komprimierter Form in DNS-Transport-Paketen oder DNS-Caches auf.
RR-Format in Zonendateien
NAME [TTL] [CLASS] TYPE [RDLENGTH] RDATA
[..] → Optional
CLASS → Meistens IN (Internet)
- NAME: Domänenname
- TTL: Gültigkeitsdauer in Sekunden
- CLASS: Protokollgruppe
- TYPE: Typ
- RDLENGTH: Länge von Resource Data (MX-Records → Priorität bei mehreren Mailservern)
- RDATA: Resource Data (z.B. IP-Adresse, Hostname)
Einige RR-Typen
- A: IPv4 Adressrecord (Forward Mapping: Name→IP)
- AAAA: IPv6 Adressrecord (Forward Mapping: Name→IP)
- PTR: Pointer (Reverse Mapping/Lookup: IP→Name)
- CNAME: Canonical Name, verbindet Domain mit einer anderen Domain
- DNAME: Delegation Name, Alias
- MX: Mail eXchange
- NS: Name Server (keine IP-Adresse erlaubt → Adress-Record erstellen oder Nameserver eintragen,
von dem DNS-Einträge übernommen werden sollen)
In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein,
der angibt, welcher Nameserver für diese Zone autoritativ ist.
- SOA: Start of (a zone of) Authority → Verbindliche Informationen über DNS-Zone
- TXT: Text (Kommentar)
Beispiele
test.abc.com 1800 IN A 222.1.2.3 # Hosteintrag
3.2.1.222.in-addr.arpa. 1800 IN PTR test.abc.com. # Reverse Hosteintrag
www.abc.com 1800 IN A 222.1.2.4 # Webserver
www.abc.ch 1800 IN CNAME www.abc.com # Alias, Verweis
abc.com 1800 IN MX 10 mail1.abc.com. # Mail1: 1. Priorität und Lastausgleich mit mail2.abc.com
abc.com 1800 IN MX 10 mail2.abc.com. # Mail2: 1. Priorität und Lastausgleich mit mail1.abc.com
abc.com 1800 IN MX 50 mail3.abc.com. # Mail3: 2. Priorität → Backup
IN TXT "MailTo: user@abc.com" # Mögliche E-Mailadresse (TXT=Kommentar)
abc.com 1800 IN NS dns1.abc.com # Primärer/Sekundärer autoritativer Nameserver
abc.com 1800 IN NS dns2.abc.com # Primärer/Sekundärer autoritativer Nameserver
IN TXT "Prim.DNS→SOA" # Primärer Nameserver siehe SOA
abc.com 1800 IN NS dns.xyz.com # Autoritativer externer Nameserver
zone.abc.com 1800 IN NS dns.zone.abc.com # Zonendelegation → Verweis auf Nameserver in Subdomäne
zone.abc.com 1800 IN A 222.1.4.5 # Hosteintrag (Glue-Record/Zonendelegation)
Glue Record
Ein Glue-Record ist eine IP-Adresse auf einen Nameserver, welche bei der Domain-Registry zusätzlich hinterlegt wird.
Ein Glue-Record wird benötigt, wenn man einen Nameserver für eine Domain definieren möchte,
welcher eine Subdomain unter der Domain selber verwendet. Wenn man z.B. den Nameserver der Domain example.com
auf ns1.example.com und ns2.example.com setzen will, benötigt man die Glue-Records (IP-Adressen)
für ns1.example.com und ns2.example.com um diese bei der Registrierungsstelle von .com zu hinterlegen.
Wenn als Nameserver Hostnamen aus einer anderen Domain angegeben werden, werden keine Glue-Records benötigt.
Wenn man also für die Domain example.com die Nameserver von xyz verwenden (ns.xyz.com, ns2.xyz.com),
wird kein Glue-Record für example.com benötigt, da die Nameserver unter einer anderen Domain zu finden sind.
5.10 Die Forward- und Reverse-Lookup-Abfrage
- Forward-Lookup-Abfrage: Hostname > IP-Adresse (Zu Name Telefon-Nr. suchen)
- Reverse-Lookup-Abfrage: IP-Adresse > Hostname (Zu Telefon-Nr. Name suchen)
Der Zweck von Forward-DNS ist klar. Aber warum Reverse-DNS?
- Bei Traceroutes werden nicht nur IP-Adressen, sondern eben auch verständliche Hostnamen angezeigt. Die Fehlerdiagnose fällt wesentlich leichter.
- Viele Mailserver akzeptieren eingehende Mails nur dann, wenn die IP-Adresse des Senders über einen Reverse-DNS-Eintrag verfügt.
- In SPF-Tags (Sender Policy Framework → Technik zur Vermeidung von Spam-/Virenmails mit gefälschten Absendern) können Reverse-DNS-Einträge berücksichtigt werden.
5.11 Autoritative, rekursive, iterative Nameserverabfrage
- Autoritativ bedeutet: Der Server holt die Daten aus einer lokalen Zonendatei.
- Rekursiv bedeutet: Der Server holt die Daten von einem anderen Nameserver.
- Iterativ bedeutet: Der Server antwortet mit einem oder mehreren Verweisen oder einem Resource Record auf andere Nameserver.
Anders als bei der rekursiven Variante, wo die Anfrage an einen anderen Nameserver weitergereicht wird, fragt sich der Nameserver selber durch, beginnend bei einem Root-Nameserver.
Derzeit existieren 13 Root-Nameserver (z.B. a.root-servers.net, b.root-servers.net usw.)
5.12 Namensauflösung aus einem Intranet heraus
Für die Namensauflösung von internen Host’s (Servern/Druckern etc.) und externen Hosts (Internet, Webserver, FTP etc.)
ist derselbe DNS-Server zuständig. Dieser kann bei DNS-Anfragen für externe Host’s –
wie bereits ausführlich beschrieben – rekursiv oder iterativ arbeiten. Pro Gerät/PC lässt sich in den Netzwerkeinstellungen nur ein DNS-Server konfigurieren.
(Inklusive einem zweiten, identischen als Redundanz)
Ein DNS-Dienst mit Einträgen von internen Maschinen ist in grösseren Firmen ein Thema, wo z.B. Drucker oder Server
über die FQDN wie z.B. server01.farbruck.local. angesprochen werden sollen, um bei allfälligen IP-Adresswechseln dieser Geräte den Administrationsaufwand
auf das Aktualisieren der geänderten IP-Adresse im DNS-Server zu beschränken. In privaten und kleinen internen Netzen ist dies meist nicht nötig,
so dass der DNS-Dienst, der meist im xDSL-Zugansgerät zu finden ist, nur externe Adressen auflösen muss und somit auf eine einfache Weiterleitung
der DNS-Anfrage an z.B. den DNS-Server des Providers eingeschränkt wird.
5.13 Dynamische DNS-Server-Updates
- DHCP bzw. dynamische IP-Adressierung erfordert, dass die DNS-Einträge regelmässig aktualisiert werden müssen.
- DHCP-Dienst informiert DNS-Server über dynamisch neu zugewiesene IP-Adresse und entsprechendem Hostname.
Z.B. 10.0.0.2 = CAU-IT-056-01
DNS ergänzt/modifiziert selbständig den DNS-A-Host-Eintrag.
Z.B. 10.0.0.2 = CAU-IT-056-01.tbz.local
5.14 Die lokale Hostdatei
- UNIX/LINUX: /etc/hosts
- WIN: c:\Windows\System32\drivers\etc\hosts
5.15 DNS Tools
- DNS-Konsole in WIN-Server-Verwaltung
- DNS-Serverprotokoll in WIN-Server-Ereignisanzeige
- nslookup
Beispiele:
nslookup DNS-Server-IP-Adresse
nslookup DNS-Server-Hostname myServer
nslookup farbdruck.local
nslookup farbdruck.ch
nslookup myServer.farbdruck.local
nslookup myServer.farbdruck.ch
dnscmd (WIN-Kommando)
- ipconfig (WIN-Kommando) / ifconfig (UNIX-Kommando)
Beispiele:
ipconfig /displaydns (Zeigt den lokalen DNS-Resolver-Cache an)
ipconfig /flushdns (Löscht den lokalen DNS-Resolver-Cache)
ipconfig /registerdns (Erneuert den DHCP-Lease und registriert den DNS Name neu)
Ergänzung zu nslookup:
Wenn sie auf der Konsole nur nslookup «ENTER» eingeben,
arbeiten sie im interaktiven Modus von nslookup und werden ohne Parameter mit dem in den Netzwerkeinstellungen eingetragenen DNS-Server verbunden.
Sie können dann alle obigen nslookup-Kommandos ohne nslookup eingeben. Mit der Eingabe nslookup -server können sie sich mit ihrem Wunsch-DNS-Server verbinden.
Allerdings werden ihnen nicht alle Antwort geben.
5.16 Alternativen zur DNS-Namensauflösung
- WINS (Windows Internet Name Service):
Ähnlich NetBIOS Name Service ist eine Microsoft-Implementation von NetBIOS over TCP/IP für LAN’s und dient wie DNS der zentralen Namensauflösung –
Im Gegensatz zu DNS aber ohne Hierarchien. Ausser bei Altlasten empfiehlt sogar Microsoft, DNS dem WINS vorzuziehen
- NetBEUI ist Bestandteil des Microsoft-Protocol-Stack und auf der Vermittlungsschicht (Ebene 3) des OSI-Schichtenmodells angesiedelt,
von wo aus es mit dem NetBIOS (Darstellungsschicht) beziehungsweise mit dem LLC (Sicherungsschicht) kommuniziert – NetBEUI bildet zusammen
mit NetBIOS den Microsoft-Protocol-Stack, der in heutigen Netzwerken üblicherweise durch den IP-Protocol-Stack ersetzt wurde
- UPnP (Universal Plug and Play) dient zur herstellerübergreifenden Ansteuerung von Geräten
über ein IP-basiertes Netzwerk, wurde ursprünglich von Microsoft eingeführt und ermöglicht unter anderem, dass sich verschiedene Geräte ohne Interaktion des Benutzers finden
- PNRP (Peer Name Resolution Protocol) ist ein Netzwerkprotokoll zur Namensauflösung nach dem Peer-to-Peer-Modell
und soll die Veröffentlichung von Namen und deren Auflösung in Adressen ohne Server ermöglichen, wie sie im Domain Name System notwendig sind –
Das Protokoll wurde von Microsoft entwickelt
- LLTD (Link Layer Topology Discovery) Verbindungsschicht-Topologieerkennung - ist ein Microsoft-Windows-Netzwerkprotokoll,
welches eingesetzt wird, um die Topologie eines Netzwerkes zu erfassen und darzustellen sowie auch zur Analyse der Dienstgüte (QoS)
Fazit: In gewissen Situationen (vor allem bei WIN-PC’s, Stichwort Arbeitsgruppe) werden ihnen fremde Rechner bzw. Hostnamen angezeigt,
von denen sie in Ermangelung eines DNS-Serves eigentlich nichts wissen sollten. Dies ist auf die obengenannten alternativen Verfahren zurückzuführen.
5.17 Verbindungsspezifisches DNS-Suffix
(Betrifft WIN-PC’s, die nicht über ActiveDirectory an eine Domäne angeschlossen sind)
Falls ein Datenserver mit dem Hostnamen «abc» auf dem DNS-Server der Domäne «xyz.local» eingetragen ist,
wird ihnen die DNS-Anfrage auf ihrem PC «nslookup abc.xyz.local» die IP-Adresse des Servers zurück liefern.
Die verkürzte Abfrage «nslookup abc» wird allerdings nicht zum Ziel führen, es sei den,
auf ihrem PC ist das verbindungsspezifisches DNS-Suffix gesetzt, dass da lautet: «xyz.local». Somit wird ihre nslookup-Abfrage «nslookup abc»
automatisch zu «nslookup abc.xyz.local» ergänzt.
Das verbindungsspezifisches DNS-Suffix kann man in den Eigenschaften der Netzwerkkarte (ncpa.cpl) unter Eigenschaften von Internetprotokoll
im Reiter Erweitert, dann DNS eintragen.
(Das primäre DNS-Suffix des Computers findet man in den Systemeigenschaften (sysdm.cpl) unter dem Reiter Ändern,
danach Weitere… im Fenster DNS-Suffix und NetBIOS-Computername)
5.18 DNS-Sicherheitsrisiken
- Dienstverweigerungsangriff (Denial-of-Service). Verfügbarkeit des Netzwerkdienstes unterbinden durch überfluten des DNS-Servers mit rekursiven Anfragen.
- Umleitung: DNS-Abfragen an von Angreifer gesteuerten Server umleiten, indem man den DNS-Cache eines DNS-Servers mit fehlerhaften DNS-Daten füllt.
Ermöglicht durch Schreibzugriff auf DNS-Daten z.B. bei unsicheren dynamischen Updates
- Gefahr, von einem «gefakten» DHCP-Server eine falsche DNS-Serveradresse geliefert zu bekommen
∇ AUFGABEN
- Was bedeutet die Abkürzung DNS?
- Was meint man mit Toplevel- und Secondlevel-Domain?
- Was ist der Unterschied zwischen einer URL und einem FQDN?
- Was versteht man unter DNS-Zonen bzw. Zonendatei?
- Welchen Zweck hat Forward-Lookup und Reverse Lookup?
- Was ist eine Hosttabelle und wo findet man diese?
- Erklären sie rekursive DNS-Abfrage und iterative DNS-Abfrage.
- Die lokale Hostdatei: Ergänzen sie die lokale Hostdatei mit dem Fake-Eintrag: 55.55.55.55 www.sbb.ch
Erreichen sie nun diese Webseite noch? Überprüfen sie mit nslookup den Eintrag.
Löschen sie anschliessend den Eintrag wieder aus der Hostdatei und flushen sie den eigenen DNS-Cache.
Nun sollte diese Webseite wieder erreichbar sein?
- Iterative DNS-Namensauflösung: Bekanntlich existieren 13 Root-Nameserver. (Root-Nameserver → mehrere, zu einem logischen Server zusammengeschlossene Rechner)
Diese Computer (Nodes) befinden sich an verschiedenen Standorten um die ganze Welt und sind per Anycast über dieselbe IP-Adresse erreichbar.
Die Root-Server beginnen mit einem Buchstaben von a bis m. Ihre DNS-Namen haben die Form: buchstabe.root-servers.net (z.B. a.root-servers.net)
Bei der iterativen Namensauflösung wird zuerst bei einem Root-Nameserver angefragt, wer die Toplevel-Domain auflösen kann,
danach bei diesem, wer die Secondlevel-Domäne auflöst u.s.w.
In dieser Übung wollen wir eine iterative DNS-Abfrage mit nslookup genauer untersuchen. Dazu öffnen sie nun ein WIN-Eingabefenster (cmd):
- nslookup www.tbz.ch a.root-servers.net (Root-Nameserver-Abfrage)
Sie erhalten nun eine Auswahl an DNS-Server, die die Toplevel-Domäne .ch auflösen können.
- Wählen sie einen vorgeschlagenen DNS-Server aus und wiederholen sie den nslookup:
nslookup www.tbz.ch ihr-gewählter DNS-Server
Sie erhalten nun den Namen des DNS-Servers, der die Secondlevel-Domäne tbz.ch auflösen kann.
- Wählen sie den vorgeschlagenen DNS-Server aus und wiederholen sie den nslookup:
nslookup -q=any www.tbz.ch der DNS-Server für www.tbz.ch
Sie erhalten nun den Namen des DNS-Servers, der die IP-Adresse des Webservers kennt.
Wie sie nun erkennen, hat www.tbz.ch einen CName s016.cyon.net
- Als letzter Versuch machen wir eine rekursive DNS-Abfrage. Nun wird die Abfrage dem auf meinem Host eingetragenen DNS-Server
übergeben und dieser liefert direkt das Resultat:
nslookup www.tbz.ch
nslookup s016.cyon.net
- Wiederholen sie den gesamten Vorgang für eine von ihnen gewählte URL. Bsp. www.sbb.ch
- DNS mit Wireshark analysieren: Mit Wireshark lässt sich Netzwerkkommunikation bestens mitverfolgen.
Dies wurde für sie bereits erledigt und als Wireshark-Next-Generation-Dump-File (pcapng) gespeichert:
Hier können sie den Wireshark Mitschnitt herunterladen.
In diesem Wireshark-Mitschnitt wurde eine spezifische Webseite (Webserver) aufgerufen. Welche wird nicht verraten.
Sie können das aber jetzt herausfinden. Untersuchen sie dazu die Wireshark-Aufzeichnung und beantworten sie anschliessend die folgenden Fragen.
- Welche beiden Application-Protokolle sind hier von Interesse? (Theoriefrage)
- Wie lautet die IP-Adresse der untersuchten Maschine (Webbrowser-seitig)?
- Es wurde ein A-Record angefordert. An welche Maschine (IP-Adresse) wurde die Anfrage gerichtet?
- Welcher Maschine galt diese Anfrage (IP-Adresse im A-Record)?
- Welches Transport-Protokoll wurde für diese Anfrage/Antwort verwendet?
- Welche Webseite wurde somit aufgerufen? Nennen sie die URL.
- Was hat der Webserver in der ausgelieferten Webpage im HTML-Bereich für eine Botschaft an sie?
- Welches Transport-Protokoll wurde für den Webseitenaufruf verwendet?
- DNS mit Filius: Sie erhalten ein Filius-Projekt, wo sie DNS einrichten sollen:
Hier das Filius-Projekt herunterladen.
Die Vorgaben:
- Die Maschine Matterhorn soll DNS-Server werden.
- Alle PCs haben fixe Netzwerkeinstellungen. Ohne DHCP. Matterhorn, Rigi etc. sind Hostnamen.
- DNS-Zonendatei:
• Die Domäne lautet: helvetia.local
• Alle Hosts eintragen
• Webserver Pizol eintragen
• Nameserver eintragen
- Überprüfen sie ihre Konfiguration z.B. mit ipconfig oder ping (nslookup gibt es leider nicht).
Sind alle Geräte mit dem Hostnamen/Domänennamen erreichbar?
- Untersuchen sie auch den Datenaustausch von und zu jedem PC. Den Datenaustausch können sie einsehen,
indem sie auf dem entsprechenden Rechner-Icon einen Maus-Rechtsklick ausführen und "Datenaustausch" wählen.
- Rufen sie die Webseite von helvetia.local mit einem Webbrowser über die IP-Adresse auf
- Rufen sie die Webseite von helvetia.local mit einem Webbrowser über die URL www.helvetia.local auf
- Frage1: Wo liegt das Problem, wenn die PCs ihre Netzwerkeinstellungen per DHCP erhalten würden?
- Frage2: Einige DNS-Einträge, die sie in dieser Übung gemacht haben, sind unüblich. Welche und warum?
- DNS mit vmMachine:
(Bei dieser beiden Übungen geht es darum, erste Erfahrungen mit einem DHCP-Server zu machen. Eine umfassende Übungen folgt gegen Ende dieser Seite.)
Sie erstellen nun Schritt für Schritt einen virtuellen (vmWare) WIN-DNS-Server gemäss folgenden Vorgaben:
(Notieren sie sich die Installationsschritte!)
- Falls sie auf diesem Server bereits DHCP installiert haben, entfernen sie diesen Dienst, damit es mit ihrem realen Netzwerk keine Konflikte gibt.
- Stellen sie in der VM-Netzwerkkonfiguration des DNS-Servers den Network-Adapter auf Bridged.
- Netzwerkadresse: x.y.z.0/24 (Bzw. die Netzwerkadresse an ihrem aktuellen Arbeitsplatz.)
- DNS-Serveradresse: x.y.z.99/24 (Überprüfen sie, ob diese Adresse nicht schon vergeben ist!
- DNS-Hostname: JAGUAR
- Konfigurieren sie den DNS-Server mit Domäne/Zonenname: mustergmbh.local. Der DNS soll keine Abfragen weiterleiten!
- Alternative für später: Konfigurieren sie den DNS-Server mit Domäne/Zonenname: mustergmbh.local. Der DNS soll Abfragen an den nächsten DNS-Server weiterleiten!
- Tragen sie im DNS-Server einen A-Record für den Notebook ein, auf dem sie gerade arbeiten. (Aktuelle IP-Adresse und Hostname).
- Ändern sie in ihrem Notebook den DNS-Server auf die Adesse des soeben erstellen DNS-Servers.
- Überprüfen sie die Erreichbarkeit ihres Notebooks über die Adresse hostname.mustergmbh.local.
- Überprüfen sie, ob von ihrem Notebook das Internet erreichbar ist mit beiden DNS-Weiterleitungs-Varianten.
Hier noch ein paar Tipps:
- Wenn sie den WIN-Server aufsetzen, kann dies auch ohne Key bzw. Serial-Nr. erfolgen. Allerdings muss diese nach einer bestimmten Zeit nachgereicht werden.
- ncpa.cpl führt direkt zu den Netzwerkeinstellungen.
- sysdm.cpl führt direkt zu der Einstellung von z.B. Hostname.
- Dem Server muss DNS zuerst "beigebracht" werden: Rollen und Features hinzufügen im Server-Manager.
- Im DNS-Snap-In (Suchbegriff DNS) den Server-Hostname anklicken, danach "Aktion" und DNS-Server konfigurieren..."
- Eine neue Zone können sie auch so erstellen: Auf "Forward-Lookupzonen" klicken → RMB → "Neue Zone..." erstellen.
∇ LÖSUNGEN
- Was bedeutet die Abkürzung DNS?
Domain Name System
- Was meint man mit Toplevel- und Secondlevel-Domain?
Top-Level-Domain bezeichnet den letzten Abschnitt (rechts vom Punkt) einer Domain.
Die Subdomain unterhalb der Top-Level-Domain nennt man Second-Level-Domain.
- Was ist der Unterschied zwischen einer URL und einem FQDN?
Uniform Resource Locator identifiziert und lokalisiert eine Ressource wie z.B. Webseite.
Fully Qualified Domain Name bezeichnet und ist eine absolute Adresse → Hostname . Subdomain . Secondlevel-Domain . Toplevel-Domain . Root-Label
- Was versteht man unter DNS-Zonen bzw. Zonendatei?
Zone ist Teil des Domänenbaums, für den ein Nameserver zuständig ist.
Die Zonendatei beschreibt die Zone. (Gesammelte Resource Records)
- Welchen Zweck hat Forward-Lookup und Reverse Lookup?
Forward-Lookup: URL zu IP (Hauptanwendungsfall)
Reverse Lookup: IP zu URL
- Was ist eine Hosttabelle und wo findet man diese?
Lokale Tabelle mit den Hosteinträgen.
UNIX/LINUX: /etc/hosts
WIN: c:\Windows\System32\drivers\etc\hosts
- Erklären sie rekursive DNS-Abfrage und iterative DNS-Abfrage.
Rekursiv: Der Server holt die Daten von einem anderen Nameserver.
Iterativ: Der DNS-Server fragt sich selber durch: Root-Nameserver → Toplevel-Nameserver → Secondlevel-Nameserver.
- Die lokale Hostdatei: Keine Musterlösung vorhanden.
- Iterative DNS-Namensauflösung:
- DNS mit Wireshark analysieren:
- Welche beiden Application-Protokolle sind hier von Interesse? (Theoriefrage)
DNS (Port 53) HTTP (Port 80)
- Wie lautet die IP-Adresse der untersuchten Maschine (Webbrowserseitig)?
192.168.1.155
- Es wurde ein A-Record angefordert. An welche Maschine (IP-Adresse) wurde die Anfrage gerichtet?
192.168.1.1 Geliefertes A-Record: www.example.com 93.184.216.34
- Welcher Maschine galt diese Anfrage (IP-Adresse im A-Record)?
www.example.com 93.184.216.34
- Welches Transport-Protokoll wurde für diese Anfrage/Antwort verwendet?
UDP
- Welche Webseite wurde somit aufgerufen? Nennen sie die URL.
www.example.com
- Was hat der Webserver in der ausgelieferten Webpage im HTML-Bereich für eine Botschaft für sie?
Im HTML_Body: ... This domain is for use in illustrative examples in document...
- Welches Transport-Protokoll wurde für den Webseitenaufruf verwendet?
TCP
- DNS mit Filius: Keine Musterlösung vorhanden.
- DNS mit vmMachine: Keine Musterlösung vorhanden.
6. Verzeichnisdienst
An dieser Stelle erfolgt nur ein kleiner Einblick in den Windows-Verzeichnisdienst «Active Directory» (AD)
Ein wichtiger Vorteil von einem Verzeichnissystem wie AD ist die zentrale Benutzerverwaltung.
Das heisst, man kann sich an einem beliebigen, an der AD-Domäne angeschlossenen Client,
mit demselben zentral erfassten Benutzernamen und Passwort anmelden und finden, wenn man mit Roaming-Profilen arbeitet,
auch immer wieder ihre gewohne Arbeitsumgebung vor.
Eine AD-Installationsanleitung finden sie hier:
AD-Verzeichnisdienste-WIN-Server2012
∇ AUFGABEN
Erstellen sie eine AD-Installation gemäss folgender Anleitung:
- AD-Controller (Server):
- AD-Domain-Controller (Server) im folgenden kurz ADC: Auf dem ADC sind die Rollen "DNS" und "Datei-/Speicherdienste" installiert
(kein DHCP wegen möglichen Konflikten mit einer produktiven Umgebung)
- ADC-Hostname und IP konfigurieren. Hostname=JAGUAR, IP-Adresse: eine freie IP in ihrem LAN, VM-Settings: Networkadapter=Bridged
- Domänencontroller einricheten (Siehe Anleitung im Theorieteil)
- Falls DNS-Delegierung, dann ihr DNS-Server in ihrem physikalischen LAN angeben.
- Domäne: metallbau.local
- Die Admin-Passwörter gut merken!
- Neuer AD-Benutzer erstellen: felix.muster@metallbau.local
- WIN-PC → AD-Client:
- Benutzen sie zwei virtuelle WIN-Pro-PCs (Pro ist wichtig wegen AD!)
- Hostname AD-Client-1 und IP konfigurieren: Hostname=PUMA, IP-Adresse: eine freie IP in ihrem LAN, VM-Settings: Networkadapter=Bridged
- Hostname AD-Client-1 und IP konfigurieren: Hostname=GEPARD, IP-Adresse: eine freie IP in ihrem LAN, VM-Settings: Networkadapter=Bridged
- Netzwerkkonfiguration beider Client: DNS-ServerIP = IP-Adresse des ADC
- Treten sie mit den beiden PC's nun der AD-Domäne bei
- Domäne beitreten über die Systemsteuerung: sysdm.cpl (Nehmen sie den ADadmin als Benutzername)
- Logen sie an beiden AD-Clients mit dem neuen Benutzer felix.muster ein (Achtung: @metallbau.local)
- Frage: Wo liegt jeweils das Home-Verzeichnis von Felix Muster?
- Wir möchten nun das Basis-Verzeichnis von Felix.Muster zentral auf dem Server anlegen.
(In unserem Fall ausnahmsweise weil praktischerweise der ADC - im produktiven Fall ein eigener Daten-Server!)
- Benutzer-Basisverzeichnis zentral anlegen:
- Zweiter Harddisk auf dem Server installieren. Dazu den Server, wie im richtigen Leben, zuerst herunterfahren.
- Virtual Machine Settings → Add... → HardDisk → Create a new virtual Disk
- Server neu starten
- Datenträgerverwaltung starten: diskmgmt.msc
- Es erscheint sogar automatisch der neu erstellte Disk!
- Den neuen Datenträger initialisieren
- Danach Datenträger anwählen RMB und "Neues einfaches Volume..." erstellen
- Laufwerkbuchstabe: H
- Dateisystem: NTFS
- Zuordnungseinheit (Clustergrösse): 4096
- Volumebezeichnung: Homeverzeichnisse
- Schnellformatierung durchführen. Danach ist das neue Laufwerk H: bereit für die Aufnahme von weiteren Verzeichnissen.
- Erstellen sie im H:-Verzeichnis ein Ordner für FelixMuster mit den entsprechenden Rechten für Felix.Muster (Read/Write)
und geben sie ihn als \\jaguar.metallbau.local\FelixMuster frei.
- Danach ändern sie in Active Directory-Benutzer und -Computer im Profil von Felix.Muster das Basisverzeichnis auf die neue Freigabe. (Hinweis: \ = ALTGR + ?)
- Testen sie die neue Konfiguration am AD-Client → Felix.Muster abmelden und neu anmelden → Basisverzeichnis ausprobieren
7. Testen und Überwachen
Analyse der Leistung von Computern und der Netzwerklast:
- Server-Manager: Der Server-Manager ist mit dem Dashboard und den nach Serverrollen getrennten Ereignismeldungen, Leistungsdiagrammen, Auflistungen der beteiligten Dienste, Rollen
und Features gut zur einfachen Überwachung und Administration geeignet.
- Ereignisanzeige: Die Ereignisanzeige zeigt diverse Vorgänge des Systems, die in unterschiedlichen Protokollen festgehalten werden:
• Anwendungsprotokoll
• Sicherheitsprotokoll
• Installation
• Systemprotokoll
(Befehl: eventvwr.msc)
- Task-Manager: Der Task-Manager zeigt aktuell laufende Prozesse auf einem System auf und bietet einen Überblick über die Auslastung von Prozessoren und Speicher.
- Ressourcenmonitor: Der Ressourcenmonitor bietet einen tieferen Einblick in die Aktivität von Netzwerk, Datenträgern, CPU sowie Speicherauslastung als der Task-Manager.
(Befehl: resmon.exe)
- Leistungsüberwachung: Mit der Leistungsüberwachung lassen sich detaillierte Informationen über das System erfassen, in Statistiken zusammenstellen, speichern und auswerten.
(WIN-Suchfeld Eingabe Leistung)
- Datensammlersatz erzeugen: (Innerhalb der Leistungsüberwachung) Datensammlersätze bzw. Sammlungssätze sind Bausteine für die Leistungsüberwachung und -berichterstellung.
- Zuverlässigkeits- und Problemverlauf: Bericht über einen Stabilitätsindex. Dieser dient der Bewertung der Systemgesamtstabilität auf einer Skala von 1 bis 10.
(Befehl: perfmon /rel)
∇ AUFGABEN
- Analysieren sie die Leistung ihres Servers mit den vorgestellten Werkzeugen und erstellen sie eine Zusammenfassung.
- Analysieren sie die Leistung ihres Clients mit den vorgestellten Werkzeugen und erstellen sie eine Zusammenfassung.
- Vergleichen sie die erfassten Daten. Welche Werkzeuge machen für den Server Sinn, welche für den Client?
- Welche Verfahren eignen sich zum Testen, Protokollieren und Dokumentieren bzw. der Abnahme/Betriebsfreigabe von eingerichteten Serverdiensten?
8. Vollständiger Campus
Praxis mit realem Betriebssystemen und allen zuvor behandelten Diensten.
∇ PRAXISARBEIT
Dies ist eine etwas umfangreichere Arbeit. Es empfiehlt sich, Arbeitsgruppen zu bilden und die folgenden Projektarbeiten innerhalb diesen durchzuführen.
Dabei sollten sie folgendes beachten:
- Erkundigen sie sich beim Dozenten, wer (alle oder nur ein Vetreter der Gruppe) bis wann (Termine) eine Abgabe liefern muss und in welcher Form bzw. Speicherort dies geschehen soll.
- Jedes Gruppenmitglied sollte jederzeit mit dem Projektstand vetraut sein und bei Abwesenheit eines Partners das Projekt uneingeschränkt weiterführen können.
- Regelmässig Backups erstellen.
- Eine Master-VM erstellen, auf die jederzeit zurückgegriffen werden kann, bzw. den Stand der virtuellen Maschine gelegentlich "einfrieren" um mit einer Kopie der VM weiterzuarbeiten.
- Alle Gruppenmitglieder sind auf demselben Stand bezüglich Installations- und Konfigurationsdokumente, vmWare-Dateien etc.
- Beachten sie die Dateigrösse von VMs. Ein Archiv-Upload in die Cloud ist kein gangbarer Weg. Nutzen sie stattdessen USB-Memorysticks.
- Datenverlust oder abwesende bzw. unerreichbare Gruppenmitglieder sind keine Entschuldigung für nicht erbrachte Leistungen.
- Diese Praxisarbeiten erledigen sie möglichst selbstständig. Planen sie dazu die Arbeitseinsätze realistisch. Allenfalls gibt es noch ein wenig Arbeit für zu Hause. Den Endtermin erfahren sie vom Dozenten.
- Dokumentieren und illustrieren sie ihre Arbeitsschritte (Installation, Konfiguration, Testen, Betrieb etc.) nachvollziehbar.
- Der Dozent kann sogenannte Meilensteine definieren, an denen gewisse Arbeiten erledigt sein müssen.
Nun die Schritte im Einzelnen:
- Virtuelle Maschinen vorbereiten: In den folgenden Projektarbeiten werden sie virtuelle Maschinen mit Microsoft-Betriebssystemen aufsetzen und konfigurieren.
(Ausnahmsweise und nach Absprache mit dem Dozenten auch Unix/Linux-Betriebssystem wie z.B. Ubuntu18-Server/Desktop.
Dies aber nur bei nachgewiesener Erfahrung im Umgang mit dem gewählten Betriebssystem.)
- Server-Betriebssystem → DHCP/DNS/Dateiserver/Druckerserver → WIN-Server 2019
- Client-Betriebssystem → Client der Serverdienste → WIN10Pro (ActivDirectory!)
- Sie finden auf dieser Webseite entsprechende Theoriebeiträge zu virtuellen Maschinen.
- Erstellen sie ihre vm-Maschinen rechtzeitig. Das heisst: Vor dem Start der Praxisarbeit!
Beachten sie: An der Schule lässt die zur Verfügung stehende Internet-Bandbreite keinen ISO-Download zu!
Das gilt es zu beachten:
- Password-Policy: Bei einem WIN-Server wird ihnen ein Passwort in der Form "1234" oder "admin" aus Sicherheitsgründen verweigert.
(Dies könnte man in den Sicherheitseinstellungen ändern)
Tipp: Nutzen sie das Passwort: Pa$$w0rd (Somit erfüllen sie das Geforderte wie Gross-, Kleinschreibung, Zahlen und Sonderzeichen und man kann sich das irgendwie auch noch gut merken ;-)
- Tastaturlayout: Die Schweizer Tastatur unterscheidet sich zur Original-US-Tastatur unter anderem in:
$ ↔ Shift 4
y ↔ z
Bei der vmWare-Installation von WIN10 erhält man automatisch das CH-GE-Tastaturlayout.
Bei der vmWare-Installation von WIN-SRV 2019 startet man mit dem US-Tastaturlayout, das man allenfalls auf CH-GE ändern sollte.
- Hostnamen: Vergeben sie eindeutige und aussagekräftige Namen bzw. diejenigen, die sie in ihrem Serverkonzept (siehe nächste Aufgabe "Namens- und Adresskonzept erstellen") definieren!
Einstellung unter Systemeigenschaften (sysdm.cpl)
- Namens- und Adresskonzept erstellen: Erstellen sie für die Firma «GEMINI4711-PRODUCTIONS GmbH»:
- Das logische Layout (LAN-Topologie, inklusive allen Gerätebeschriftungen)
- Namenskonzept (Hostnamen von Servern und Clients, Usernamen etc.)
- Adresskonzept (IP-Adressierung: Automatisch zugewiesen (Adressbereiche) und statisch am Gerät konfiguriert)
- Liste der Benutzer inkl. Initialpasswort. (Geeignete Wahl der Usernamen) und Gruppenzugehörigkeit
- Berechtigungskonzept
Die Vorgaben:
ADRESS-VORGABEN:
Netzwerkadresse 172.16.0.0/24 (/24 ↔ 255.255.255.0)
Lokale Domäne gemini4711.local
URL www.gemini4711.ch
------------------------------------------------------------------------------------------------------------
HARDWARE-VORGABEN:
Planen sie bei den PC- Notebook- und MobileDevice-IP-Adressen 10% Reserve ein.
Definieren und beschreiben sie auch die Leasedauer und ein DHCP-Ausfallszenario
DMZ und Firewall-Konzepte sind hier kein Thema!
DHCP-Server 1 Exemplar (Standort: Abteilung IT)
DNS-Server 1 Exemplar (Standort: Abteilung IT)
E-Mail & Webserver 1 Exemplar (Standort: Abteilung IT)
Datenserver 2 Exemplare (Standort: Abteilung IT)
Druckerserver 1 Exemplar (Standort: Abteilung IT)
Laserdrucker 5 Exemplare (Standort: In jeder Abteilung ein Exemplar)
Router 1 Exemplar (Standort: Abteilung IT)
Managed Switch 5 Exemplare (Standort: In jeder Abteilung ein Exemplar)
Mitarbeiter-PCs 50 Exemplare (Standort: In jeder Abteilung zehn Exemplare)
Mitarbeiter-Notebooks 30 Exemplare (Standort: Keiner Abteilung zugewiesen)
Mitarbeiter-MobileDevices 30 Exemplare (Standort: Keiner Abteilung zugewiesen)
PCs der Abteilung IT 4 Exemplare (Erhalten aufgrund ihrer MAC-Adressen vom DHCP
immer dieselbe IP-Adresse)
------------------------------------------------------------------------------------------------------------
FIRMEN-ABTEILUNGEN:
Abteilung PERSONAL (Sekretariat, Lohnbuchhaltung im Gebäude TAURUS-1, 1.OG)
Abteilung MARKETING (Werbung, Verkauf im Gebäude TAURUS-1, 2.OG)
Abteilung F&E (Forschung und Entwicklung → Konstruktion, HW/SW-Entwicklung
im Gebäude TAURUS-2, 1.OG)
Abteilung PRODUKTION (HW/SW-Test-Labor und mechanische Werkstatt im Gebäude TAURUS-3, Erdgeschoss)
Abteilung TD (Technischer Dienst → IT-Support, Hotline im Gebäude TAURUS-1, 3.OG)
------------------------------------------------------------------------------------------------------------
MITARBEITER:
Werner Meier/MARKETING (Beruf: Geschäftsführer und Marketingleiter)
Hans Föhn/MARKETING (Beruf: Jurist)
Denise Bösch/PERSONAL (Beruf: Sekretariat)
Felix Kuster/PERSONAL (Beruf: Fachmann Betriebsunterhalt)
Mario D’Alfonso/F&E (Beruf: HW/SW-Entwickler)
Ernst Ernst (jun.)/F&E (Beruf: Laborant)
Martina von Rohr/F&E (Beruf: CAD-Konstrukteurin)
André Dénéréaz/PRODUKTION (Beruf: Mechaniker)
Michel Hunziker/PRODUKTION (Beruf: Elektronikerin)
Ernst Ernst (sen.)/PRODUKTION (Beruf: Lagerist)
Felix Muster/TD (Beruf: IT-Administrator)
Hans Föhn/TD (Beruf: IT-Supporter)
------------------------------------------------------------------------------------------------------------
FIRMEN-DATEIABLAGE (DATEISERVER):
(Eigener und vom Betriebssystem unabhängiger Harddisk bzw. Partition im Dateiserver)
F:\Mitarbeiter (Pro Mitarbeiter → Persönliche Dateiablage)
F:\Personal (Abteilungsdateiablage Personal)
F:\Marketing (Abteilungsdateiablage Marketing)
F:\F_E (Abteilungsdateiablage F&E)
F:\Produktion (Abteilungsdateiablage Produktion)
F:\TD (Abteilungsdateiablage TD)
F:\Archiv (Schreibgeschützte Archivablage für Mitteilungen
Wird von Mario D’Alfonso gepflegt))
F:\Pool (Für den schnellen Datenaustausch untereinander / Für alle read/write))
- DHCP-Praxis: Überprüfen sie zuerst, ob sich Client und Server gegenseitig «sehen»
bzw. anpingen können. Firewall allenfalls temporär deaktivieren.
Beachten sie zudem folgendes:
Mit Vorteil deaktivieren sie in den Netzwerkeinstellungen von Server und Client temporär IPv6. (ncpa.cpl)
Der DCHP-Client kann nicht unterscheiden, von welchem DHCP-Server er eine DCHP-Offer erhält.
Sind im Netzwerk irrtümlich zwei DHCP-Server am laufen (auch der im z.B. ADSL-Netzzugangsgerät),
wird der schnellere gewinnen und das muss nicht der sein, denn sie gerne überprüfen möchten.
"Virtual Machine Settings" → Network Adapter → auf Bridged bedeutet, dass ihre virtuelle Maschine direkt
mit der physikalisch vorhandnen Netzwerkkarte des Gastsystems verbunden ist.
In diesem Fall beim Überprüfen der DHCP-Funktion das Ethernetkabel am Gastsystem temporär entfernen.
Falls sie einen Notebook verwenden, prüfen sie in den "Virtual Machine Settings" → Network Adapter →,
ob der richtige Adapter ausgewählt wurde (Configure Adapters)
Auf dem Gastsystem sowohl DHCP-Server als auch DHCP-Client lokal zu verbinden, ist nicht zu empfehlen,
weil dabei ein vmWare-eigener in der Workstation-Player-Edition nicht abschaltbarer
DHCP-Dienst aktiv wird. (Stand 2017)
Bevor sich Server und Client gegenseitig nicht "sehen" (ping),
muss keine weitere Fehlersuche unternommen werden.
Implementieren sie nun ihren DHCP-Server möglichst nach dem zuvor erstellten Serverkonzept. Dokumentieren sie die Installationsschritte. Nutzen sie Printscreens.
(Ein Systemneustart kann übrigens manchmal Wunder bewirken. Damit werden Dienste neu gestartet und Konfigurationsdaten neu eingelesen.)
Testen sie ihr Adresskonzept anhand ihrer DHCP-Installation/Konfiguration
(IPERKA: A → Auswerten der Arbeiten, Erfahrungen und Erkenntnisse zusammenfassen)
- Überprüfen sie ihre DHCP-Konfiguration mit einem virtuellen PC.
- Wenn sie Zeit haben, untersuchen sie einen DHCP-Ablauf mit dem Networksniffer Wireshark.
- Dokumentieren sie die Tests und Wireshark-Aktivitäten nachvollziehbar.
- DNS-Praxis: Beachten sie folgendes:
SERVER-seitig:
IPv6 deaktivert. (ncpa.cpl)
Virtual Machine Settings → Network Adapter → Bridged → Configute Adapter → je nach
Bedarf LAN oder WLAN-Schnittstelle.
Falls mehrere Lernende ihre Arbeiten selben Netzwerk ausführen (Schulbetrieb) darauf achten,
dass DHCP-Server sich gegenseitig konkurrenzieren.
Damit vom DNS-Dienst auch (externe) WWW-Adresse aufgelöst werden, muss sich der Server
im gerouteten Schulnetz befinden.
(Netzwerkvorgaben der Schule beachten!)
In den Netzwerkeigenschaften das DNS-Suffix auf gemini4711.local eintragen.
Für Server-Nachinstallationen das entsprechende ISO-File bereithalten.
CLIENT-seitig::
IPv6 deaktivert. (ncpa.cpl)
Virtual Machine Settings → Network Adapter → Bridged → Configute Adapter → je nach
Bedarf LAN oder WLAN-Schnittstelle.
Netzwerkparameter inkl. Router und DNS-Adresse überprüfen und gegebenfalls von Hand eingeben.
Erreichbarkeit des DNS-Servers testen.
Damit vom DNS-Dienst auch (externe) WWW-Adresse aufgelöst werden, muss sich der Client ebenfalls
im gerouteten Schulnetz befinden. (Netzwerkvorgaben der Schule beachten!)
In den Netzwerkeigenschaften das DNS-Suffix auf gemini4711.local setzen
VARIANTE-A → Rekursive DNS-Abfrage:
(Rekursive DNS-Abfrage bedeutet Weiterleitung bei Anfragen für externe Host’s an den nächsten DNS-Server)
Zonenname: gemini4711.local
Dynamische Updates: Nicht zulassen
Netzwerkkennung: x.x.x
wobei x.x.x ist Netzwerk-ID ihres Host-PC’s.
Weiterleitungen: Der Server soll Abfragen an DNS-Server mit folgender
IP-Adresse weiterleiten: x.x.x.x.
(x.x.x.x ist z.B. der DNS-Server im ADSL-Router oder der ihres Internetproviders)
Mit x.x.x.x ist der TBZ-DNS-Server gemeint.
Siehe Netzwerkeinstellungen bei ihrem Host-PC.
DNS-Forwardlookup-Zone: Tragen sie ihren Client-PC in die DNS-Forwardlookup-Zone ein.
Serververwaltung:
→ Diesen DNS-Server verwalten → DNS-Managementtool oder cmd>dnsmgmt.msc
Danach in <ihrServer>/Forward_lookupzonen/gemini4711.local
mit <RightMouseButton>/Neuer Host (A) oder Aktion/Neuer Host (A)
Um auch in der Reverse-Lookup-Zone einen Eintrag zu erhalten,
muss bei Verknüpften PTR-Eintrag erstellen das Häckchen gesetzt sein.
Überprüfen sie die Namensauflösung auf Server und Client wie folgt:
(Hinweis: Sie können nslookup auch im interaktiven Modus verwenden)
nslookup # Zeigt den DNS-Server an. Überprüfen sie dies auf Korrektheit!
nslookup DNS-Server-IP-Adresse
nslookup DNS-Server-Hostname
nslookup Client-IP-Adresse
nslookup Client-Hostname
nslookup farbdruck.local
nslookup DNS-Server-Hostname.gemini4711.local
nslookup Client-Hostname.gemini4711.local
nslookup ihre-LieblingsURL
Aufrufen einer externen Webseite
VARIANTE-B → Iterative DNS-Abfrage:
(Iterative DNS-Abfrage bedeutet Bei Anfragen für externe URL’s durchfragen ab Root-Nameserver)
Entfernen sie den DNS-Serverdienst von vorher und installieren sie ihn erneut.
Zonenname: gemini4711.local
Dynamische Updates: Nicht zulassen
Netzwerkkennung: x.x.x
wobei x.x.x ist Netzwerk-ID ihres Host-PC’s.
Weiterleitungen: Der Server soll keine DNS-Abfragen weiterleiten.
Der Server soll DNS-Anfragen iterativ über Rootserver etc. auflösen.
DNS-Forwardlookup-Zone: Tragen sie ihren Client-PC in die DNS-Forwardlookup-Zone ein:
Serververwaltung:
→ Diesen DNS-Server verwalten → DNS-Managementtool oder cmd>dnsmgmt.msc
Danach in <ihrServer>/Forward_lookupzonen/gemini4711.local
mit <RightMouseButton>/Neuer Host (A) oder Aktion/Neuer Host (A)
Um auch in der Reverse-Lookup-Zone einen Eintrag zu erhalten,
muss bei Verknüpften PTR-Eintrag erstellen das Häckchen gesetzt sein.
Überprüfen sie die Namensauflösung auf Server und Client wie folgt:
(Hinweis: Sie können nslookup auch im interaktiven Modus verwenden)
nslookup # Zeigt den DNS-Server an. Überprüfen sie dies auf Korrektheit!
nslookup DNS-Server-IP-Adresse
nslookup DNS-Server-Hostname
nslookup Client-IP-Adresse
nslookup Client-Hostname
nslookup farbdruck.local
nslookup DNS-Server-Hostname.gemini4711.local
nslookup Client-Hostname.gemini4711.local
nslookup ihre-LieblingsURL
Aufrufen einer externen Webseite
FlushDNS - DNS-Cache leeren:
Nachdem ihre DNS-Installation korrekt arbeitet und sie das auch ausreichend überprüft haben, probieren sie nun folgendes aus:
Ändern und aktivieren sie auf ihrem DNS-Server den Hosteintrag einer ihrer dort eingetragenen Maschinen (IP-Adresse ändern).
Überprüfen sie auf einem PC (wie in obiger Aufgabe) die DNS-Einträge.
Sie werden feststellen, dass auf dem PC immer noch die alten Werte gecacht sind.
Um das zu ändern, geben sie auf dem PC die folgenden Befehle ein:
ipconfig /displaydns
ipconfig /flushdns
Es sollten ab nun die richtigen Werte angezeigt werden.
- Dateiserver-Praxis: Jetzt geht es darum, für die Firma «GEMINI4711-PRODUCTIONS GmbH» den Dateiserver einzurichten.
Im Idealfall so, wie sie es in ihrem Serverkonzept vorgesehen haben. (Falls es zeitlich eng wird, kann die Implementation auch etwas reduziert werden.)
Betriebssystem und Dateiablage sollten eigentlich auf verschiedenen Harddisks liegen. Perfekterweise müsste man da zwei virtuelle Harddisks einsetzen: C:\ für das System und D:\ für die Datenablage.
Beachten Sie, dass in dieser Übung kein ActiveDirectory (Directory-Services) zum Einsatz kommt und damit, wie früher im Modul 117, alle Benutzer nur "lokal" sind.
Das sollten sie erreichen:
Richten sie wo nötig Benutzer mit einem Initialpasswort ein, dass sie beim ersten Einloggen
ändern müssen. Das Passwort muss erhöhten Sicherheitsstandards genügen und
alle drei Monate von den Benutzern geändert werden.
Jeder Benutzer erhält auf dem Dateiserver ein Disk-Kontingent/Disk-Quota von 100MB. (Diskquoting)
Um Disk-Quotas einzustellen benötigt man auf dem WIN-Server den File-Server-Resource-Manager (FSRM)
Dieser muss auf dem Server noch nachinstalliert werden:
1. Powershell als Administrator starten und folgende Zeile ausführen:
2. install-WindowsFeature -Name FS-Resource-Manager, RSAT-fsrm-Mgmt
3. Nun finden Sie im Server-Manager unter Tools neu den "Resourcen-Manager für Dateiserver"
4. Öffnen sie diesen und wählen sie Kontingentenverwaltung → Kontingente
5. Mausrechtstaste und "Kontingent erstellen..."
Erstellen sie nun eine SMB-Freigabe (Server Message Block - Daten von windowsbasierten Computern freigeben)
unter Laufwerksname:\Shares mit "Zwischenspeicherung der Freigabe zulassen".
Beispiel:
Freigabe → Volume: C:\Shares
Freigabename: metallbaufreigabe
Lokale Pfad ist dann C:\Shares\metallbaufreigabe
UNC-Pfad ist \\SERVERHOSTNAME\metallbaufreigabe
Beachten sie auch die Zugriffsrechte auf metallfreigabe. Im Zweifelsfall bzw. zum Testen
gewähren sie dem Benutzer "Jeder" den Vollzugriff. (Nachher wieder entfernen!)
Die Clients verbinden die vom Datenserver bereitgestellten Freigaben beim Systemstart automatisch.
(Netzlaufwerke verbinden)
Testen Sie Ihre Serverkonfiguration mit einem Client.
Werden die vom Dateiserver freigegebenen Ordner auf dem Client als Netzlaufwerke gemappt?
Haben die auf dem Client eingeloggten Benutzer die Zugriffsrechte gemäss den Vorgaben?
Ist das Diskkontingent richtig konfiguriert?
Dokumentieren sie ihre Arbeit inklusive dem Testen.
Ihre Dokumentation erfüllt dann den Zweck, wenn es einer Drittperson möglich ist,
ihre Arbeit mühelos nachzuvollziehen.
Zusatzfrage: Sie nutzen die Dateifreigabe des Servers mittels einem UNC-Pfad,
der sich in etwa so zusammensetzt: \\HOSTNAME\FREIGABENAME
Warum konnten sie diese Freigabe derart einbinden? Schliesslich ist die Bezeichnung «HOSTNAME»
nur ein Text und keine IP-Adresse bzw. MAC-Adresse oder Port-Nummer?
- Druckerserver-Praxis:
- Es werden ihnen Laserdrucker zur Verfügung gestellt, die entweder netzwerkfähig sind oder über Printserver an das Netzwerk angeschlossen werden.
- Bei Home-Office nutzen sie ihre eigenen Drucker.
- Falls kein Drucker zur Verfügung steht, kann man sich auch so behelfen: Eine lokale Drucker-Queue einrichten, die Daten nicht an einen Drucker,
sondern in ein File umleitet. (Auch interessant um herauszufinden, was genau an den Drucker geschickt wird, wie Postscript, HP-GL etc.)
1. Drucker hinzufügen -> Lokalen Drucker oder Netzwerkdrucker mit manuellen Einstellungen hinzufügen
2. Vorhandenen Anschluss verwenden -> File (Ausgabe in File umleiten) -> Generic (Text only)
- Informieren sie sich über Druckereigenschaften, Benutzeranleitungen und Gerätetreiber der Drucker bzw. Printserver und laden sie die aktuellen Versionen vom Internet auf ihren PC herunter
- Nehmen sie den Drucker in Betrieb.
- Teilen sie ihm eine IP-Adresse aus dem ihnen zugewiesenen Adressbereich zu.
- Falls bei Home-Office nur ein USB-Drucker zur Verfügung steht, kann dieser z.B. über eine Druckerfreigabe (siehe Modul 117) netzwerkfähig gemacht werden.
- Überprüfen sie die Erreichbarkeit des Printservers bzw. Druckers.
- Installieren und Konfigurieren sie diesen Drucker auf ihrem virtuellen Server gemäss den folgenden Vorgaben.
Das sollten Sie erreichen:
Drucker-Administrator: Einer von ihnen zu bestimmenden Person/Benutzer sollen
Drucker-Administratorenrechte verliehen werden. Er wird damit für die
Verwaltung der Drucker legitimiert.
(Dieser Admin soll aber keine allgemeinen Admin-Rechte erhalten)
Der Drucker soll zur Nachtzeit aus Stromspargründen ausgeschaltet werden,
d.h nur zu folgenden Zeiten verfügbar sein: 6:00 Uhr - 22:00 Uhr.
Der Druckvorgang soll erst dann gestartet werden, wenn alle Seiten im Spooler vorliegen.
Druckaufträge sollen nach dem Drucken gelöscht werden.
Alle Ereignisse des Druckerservers sollen protokolliert werden.
Dokumentieren sie ihre Arbeit inkl. Screenshots.
Zusatzaufgaben:
Sie möchten das mit ihrem Firmenlogo vorbedruckte Papier verwenden:
Erstellen sie ein entsprechendes Formular mit einer Höhe ab Blattoberkante von 3 cm
Installieren und konfigurieren sie einen zweiten Drucker gemäss denselben Vorgaben.
Erstellen sie aus den beiden Druckern einen Druckerpool.
Erstellen sie ein Konzept für logische Drucker und implementieren sie diesen.
(Logische Drucker sind mehrere verschieden konfigurierte Druckerwarteschlangen
für ein und denselbe Drucker)
- Verzeichnisdienst mit Active Directory Praxis (Optional):
- Diese Übung ist den Betreibern von Microsoft-Servern vorbehalten.
- Benutzen sie einen neu erstellten WIN-Server und WIN-Client. Den IP-Adressbereich für Client und Server erfahren sie vom Dozenten.
- Achten sie darauf, dass sie nicht das bei der WIN-Server-Essential-Edition vorhandene WindowsSeverEssentialDashoard benutzen, sondern den Win-Server-Manager.
- Auf DHCP wird in dieser Übung verzichtet.
Die Vorgaben:
Hostname des Servers: m123server
Hostname des Clients: m123client
AD-Domäne : meinNamen.local
(meinNamen = Ihr Familiennamen)
Konfigurieren sie nun AD inklusive DNS Eine entsprechende AD-Konfigurationsanleitung finden sie hier.
Fügen sie der AD-Domäne «meinNamen.local» den WIN-Client hinzu.
Erstellen sie ein normales Mitarbeiter-Benutzerkonto mit dem Namen «student».
Erstellen sie eine Gruppe «tbz».
Der Benutzer «student» soll der Gruppe «tbz» angehören.
Ihr AD-Controller soll zusätzlich auch Fileserver werden.
Erstellen sie auf dem Server ein für die Gruppe «tbz» lese- und beschreibbares Verzeichnis «tbzdata»
im Laufwerk «C:\» und geben sie es für die Gruppe «tbz» frei.
Melden sie sich mit dem Benutzerkonto «student» am Server und anschliessend auch am Client an und
überprüfen sie jeweils den Zugriff auf das Verzeichnis «tbzdata».
Protokollieren sie stichwortartig ihre Installations- und Konfigurationsarbeiten
und vergessen sie dabei nicht, die durchgeführten Tests zu erwähnen.