Windows

An dieser Stelle wollen wir speziell den Administratoren von Windows-Servern und -Domänen, aber auch den zahlreichen Windows-Anwendern an der Universität grundsätzliche Hinweise und Anleitungen geben, die sich vor allem auf die Aspekte einer sicheren Konfiguration sowie des ordnungsgemäßen Betriebs am Netzwerk beziehen. Es finden dabei nur die neueren Windows-Versionen ab Windows 2000 Berücksichtigung.

Support

In Anbetracht der großen Zahl von Windows-PCs an der Universität (mehrere Tausend) und der nicht überschaubaren Vielfalt an Hardware und installierter Software kann das kiz keinen individuellen Support für Windows-Systeme anbieten, sofern das Problem nicht direkt mit der Nutzung einer Dienstleistung des kiz im Zusammenhang steht. Falls Sie jedoch als Systemverantwortlicher vor der Aufgabe stehen, ein größeres Windows-System (bestehend aus Servern und Clients) aufzusetzen oder zu migrieren, so beraten wir Sie gerne bei Ihrer Konzeption und Planung. Wenden Sie sich in diesem Fall bitte an unseren Helpdesk, der Ihnen einen Ansprechpartner vermitteln wird. Das kiz betreibt selber für die interne Informationsverarbeitung und eine Reihe seiner Dienstleistungen ein Windows 2000 System mit Active Directory und mehr als 130 PCs.

Für Nutzer aus akademischen Einrichtungen bietet das Education Support Center (ESC) in Karlsruhe als Microsoft Certified Partner eine kostenlose Unterstützung an, die von Administratoren, wissenschaftlichen Mitarbeitern und Studenten nach vorheriger Registrierung genutzt werden kann. Das ESC ist eine Einrichtung der Universität Karlsruhe.

Empfehlenswert sind auch der Microsoft Support, der unter anderem eine detaillierte und kostenfreie Knowledge Database umfasst, sowie das Mirosoft Technet.

Sichere Konfiguration von Windows-Systemen

Mit geeigneten und häufig nicht einmal besonders aufwändigen Konfigurations- und Präventionsmaßnahmen lassen sich bereits eine große Zahl potenzieller Sicherheitsprobleme durch Computerviren und Hackerangriffe vermeiden. Bei komplexeren Windows-Systemen, die aus mehreren Servern und einer Vielzahl von PCs zusammengesetzt sind, müssen zusätzliche und ggf. zeitaufwändigere Maßnahmen ergriffen werden. Man sollte sich jedoch klar machen, dass ein Windows-System in seiner Grundkonfiguration und ohne Sicherheits-Updates ein enormes Risiko für die eigenen Daten, aber auch für sämtliche anderen Windows-Systeme im Uni-Netz darstellt, da unsichere Systeme fast immer recht schnell gehackt werden und dann unter Umständen zum Ausgangspunkt weiterer interner Angriffe werden.

Windows Internet Name Service (WINS)

Der primäre Zweck von WINS besteht darin, die Anfragen von PCs zu beantworten, die versuchen, einen Computer im Netzwerk über dessen NetBios-Namen zu finden. Das kiz betreibt zwei WINS-Server, die von allen Nutzern am Campusnetz verwendet werden können. Die WINS-Server sind nicht in allen Fällen zum Betrieb eines Windows-PCs am Netzwerk erforderlich. In bestimmten Fällen (z.B. Workgroups und Domänen über mehrere Subnetze verteilt) ist die Verwendung von WINS jedoch zumindest bei Windows-Versionen vor 2000 zwingend.

Active Directory Service (ADS)

Mit Windows 2000 Server hat Microsoft einen Verzeichnisdienst eingeführt, der sich Active Directory nennt. Im Prinzip handelt es sich hierbei um LDAP, auch wenn die Implementierung sich nicht so ganz an den Standard hält.

Ein solcher Verzeichnisdienst bringt an einigen Stellen erhebliche Vorteile. So ist es zum Beispiel sehr einfach möglich, einem beliebigen Benutzer Zugriff auf bestimmte Ressourcen anderer Rechner (z.B. Windows-Server der Abteilung) zu gewähren. Es ist nicht wie sonst üblich ein Neuanlegen des Benutzers auf jedem System, auf das er zugreifen soll, notwendig (mit allen Konsequenzen wie verschiedene Passwörter, bleibt auch nach Ausscheiden noch bestehen etc.), sondern die Benutzerkonten werden für das gesamte System (resp. die Windows-Domäne) nur einmal an zentraler Stelle auf den sog. Domänencontrollern geführt. Gerade bei interdisziplinären Forschungsprojekten lässt sich ein gemeinsamer Zugriff auf Dateien, Drucker etc. so recht einfach gestalten. Auch kann ein Benutzer einer beliebigen Domäne sich an Rechnern anderer Domänen anmelden und dort arbeiten, sofern zwischen den Domänen entsprechende Vetrauensstellungen eingerichtet wurden.

Diese Funktionalität eines einheitlichen Security-Raums (Single-Sign-On) boten bereits die Domänen unter Windows NT. Mit dem Active Directory wurden jedoch die administrativen Möglichkeiten bedeutend erweitert. So ist das ADS fast beliebig strukturierbar und kann auch komplexe Organisationsstrukturen mit unterschiedlichen Netzanbindungen abbilden. Es gestattet den Aufbau ganzer Domänenhierarchien (sog. Forests) mit genau steuerbarer Delegation administrativer Rechte. Über Group Policy Objects (GPOs) kann in umfassender Weise auf die Konfiguration der Client-PCs und die Einstellungen der Benutzerkonten Einfluss genommen werden.

Gegenüber dem sehr schlichten Verzeichnisdienst von Windows NT erfordert ADS allerdings zunächst einen gewissen Einarbeitungsaufwand. Auch sollte man sich vor der Installation oder einer Migration von einem älteren System vorher genau überlegen, wie man vorgehen will und wie der Zielzustand aussehen soll. Der Anfangsaufwand beim Aufbau einer Windows-Domäne (z.B. für eine Abteilung) macht sich auf jeden Fall bezahlt, wenn dadurch mehr als etwa ein Dutzend PCs integriert werden können. Eine gute Gesamtdarstellung des ADS bietet das Buch "Active Directory " von O'Reilly. Auch Microsoft bietet online zahlreiche Dokumentationen und Planungshilfen.

Windows Server 2000/2003 und DNS

Anders als bei älteren Windows-Versionen wird ab der Version 2000 der DNS-Service nicht nur zur Internetkommunikation (WWW, E-Mail, FTP) benutzt, sondern spielt auch bei der Funktion von Windows-Domänen und somit der Kommunikation zwischen Windows-Servern und Windows-Clients eine bedeutende Rolle. Microsoft unterstützt seither das mit Broadcasts und WINS operierende "NetBios over TCP/IP" nur noch aus Gründen der Abwärtskompatibilität mit älteren Installationen bis Windows NT 4.0. Eine ADS-Domäne benötigt zur korrekten Funktion zwingend eine richtig konfigurierte DNS-Umgebung. Im Zusammenhang mit den DNS-Servern der Universität, die nicht explizit auf die DNS-Besonderheiten aktueller Windows-Versionen ausgerichtet sind, müssen eine Reihe von konfigurativen Aspekten berücksichtigt werden:

Standalone-Clients oder Clients ohne ADS-Domäne

Windows ab Version 2000 schickt per default dynamische Updates an den DNS-Nameserver, u.a. um seine IP-Adresse dynamisch einzutragen. Da die Nameserver der Universität diese Updates aus Sicherheitsgründen nicht akzeptieren, sollte das dynamische Update zur Verringerung der Last auf den Nameservern ausgeschaltet werden. Auf einem Windows 2000/XP-Client geschieht das wie folgt:

Start / Einstellungen / Systemsteuerung / Netzwerk- und DFÜ-Einstellungen / LAN-Verbindung / Eigenschaften / Internetprotokoll / Eigenschaften / Erweitert / DNS

Hier ist die Option "Adressen dieser Verbindung in DNS registrieren" zu deaktivieren (s. Abbildung).

Active Directory und DNS

Active Directory benötigt zwingend DNS sowie spezielle SRV-Ressourceneinträge in Sub-Domains der ADS-Domain. Damit werden die verschiedenen Server für Dienste (LDAP, Kerberos, PDC,...) sowie die Sites registriert. Wenn Ihre ADS-Domäne beispielsweise "abteilung.institut.uni-ulm.de" heisst, dann werden von den ADS-Servern die folgenden Subdomains zur dynamischen Registrierung von Ressourceneinträgen benötigt:

_tcp.abteilung.institut.uni-ulm.de
_udp.abteilung.institut.uni-ulm.de
_msdcs.abteilung.institut.uni-ulm.de
_sites.abteilung.institut.uni-ulm.de
domaindnszones.abteilung.institut.uni-ulm.de (nur ab Server 2003)
forestdnszones.abteilung.institut.uni-ulm.de (nur ab Server 2003)

In einem statischen DNS müssen die Einträge in diesen Subdomains, die relativ umfangreich und verschachtelt sind, bei jeder (auch geringfügigen) Veränderung an der Struktur der Domäne manuell vom Administrator gepflegt werden. Aus diesem Grund wird für den Betrieb des ADS ein DNS-Server empfohlen, der dynamische Aktualisierungen nach RFC 2136 unterstützt. Die DNS-Server der Universität unterstützen dies bewusst aus Gründen der Sicherheit nicht. Andererseits kann das kiz aber aus Aufwandsgründen nicht alle von ADS-Domänen benötigten Einträge einpflegen.

Technisch gesehen bieten sich zwei Lösungen an:

1. Sie betreiben für Ihre ADS-Domäne einen DNS-Server, der dynamische Aktualisierungen zulässt und der für die oben genannten Subdomains authorisierend ist. In diesem Fall können Ihre Server und Clients weiterhin die offiziellen DNS-Server in der TCP/IP-Konfiguration eingestellt haben. Anfragen an die Subdomains werden von unseren DNS-Servern automatisch weitergeleitet, ebenso die erforderlichen dynamischen Aktualisierungen der ADS-Server. Allerdings muss die Delegierung der Subdomains (bzw. Zonen) von uns konfiguriert werden.
2. Sie betreiben für Ihre ADS-Domäne ebenfalls einen DNS-Server, der dynamische Aktualisierungen zulässt, der aber nicht offiziell authorisierend ist. Die IP-Adresse dieses Servers stellen Sie auf Ihren Servern und allen Clients in der DNS-Konfiguration der LAN-Verbindung ein (also nicht die IP-Adressen der offiziellen DNS-Server der Universität). Ihren DNS-Server konfigurieren Sie anschließend so, dass er Namensanfragen, die er nicht selbst auflösen kann an die DNS-Server der Universität weiterleitet.

Aus Aufwandsgründen kann das kiz die erste Lösung im Regelfall nur für größere Domänen anbieten. Da Sie aber in beiden Fällen für Ihre ADS-Domäne einen eigenen DNS-Server betreiben müssen, macht dies für Sie normalerweise keinen großen Unterschied, außer Sie müssen eine große Zahl von vorhandenen Clients auf Ihren eigenen DNS-Server umkonfigurieren.

Der Betrieb eines DNS-Servers für ADS ist keine komplizierte Angelegenheit. Microsoft bietet diesen als Standard-Service bei der Installation des ADS sowieso an. Allerdings müssen Sie sicherstellen, dass die Verfügbarkeit der DNS-Server möglichst hoch ist, da hiervon nicht nur die Funktion Ihrer ADS-Domäne abhängt, sondern auch die Internetkommunikation, da sämtliche DNS-Anfragen zunächst an Ihren Server gehen. Bei größeren Domänen empfehlen wir daher die Einrichtung von zwei miteinander replizierenden DNS-Servern. Dazu brauchen Sie nicht unbedingt eine weitere Maschine, da es ohnehin empfehlenswert ist, mindestens zwei ADS-Server zu betreiben.

Benennung von ADS-Domänen

Bei der Wahl des Namens Ihrer ADS-Domäne sollten Sie sicherstellen, dass dieser (weltweit) eindeutig ist, da DNS ein weltweit gültiges, hierarchisches Namenssystem ist. So sind ja auch z.B. der Rechnername "rechner1.rz.uni-ulm.de" und seine zugehörige IP-Adresse weltweit eindeutig. Möglich ist aber, dass es einen weiteren Rechner mit dem Hostnamen "rechner1" gibt, doch muss er dann einen anderen Domänennamen (und natürlich eine andere IP-Adresse) besitzen. Möglich wäre also beispielsweise "rechner1.informatik.uni-ulm.de".

Dasselbe Prinzip gilt auch für die Benennung von ADS-Domänen. So darf es an der Universität Ulm nicht mehr als eine ADS-Domäne mit der Bezeichnung "physik.uni-ulm.de" geben. Das kann natürlich zu Problemen führen. Besser wäre es daher, wenn der offiziell im DNS eingetragenen Domain bei der Namensgebung im ADS noch ein Kürzel für die jeweilige Abteilung oder Forschungsgruppe hinzugefügt würde, also z.B. "ads-quantenphysik.physik.uni-ulm.de" oder "ads-expphysik.physik.uni-ulm.de". Hierbei sind "ads-quantenphysik" und "ads-expphysik" zwar bei der oben beschriebenen Lösung (2) keine offiziellen Subdomains im weltweiten DNS, aber nur so können Sie eine Überschneidung der Namensräume und die Abwärtskompatibilität mit Windows NT 4.0 (das noch WINS verwendet) sicherstellen.

Interoperabilität von ADS-Domänen

Wenn Sie nicht nur eine einzige ADS-Domäne betreiben oder auf Ressourcen einer anderen ADS-Domäne zugreifen wollen, dann kann es bei der oben beschriebenen Lösung (2) der DNS-Integration und bei der Namensgebung der Domäne zu einem Problem kommen, da die Domänen nicht dieselben DNS-Server verwenden und sich gegenseitig nicht "sehen". In diesen Fällen sollten alle Ihre ADS-Domänen entweder auf denselben (Microsoft)DNS-Server konfiguriert werden, oder Sie besprechen mit uns die Konfiguration einer Zonendelegation der für ADS relevanten Subdomains an Ihre DNS-Server, die dann im Sinne der oben beschriebenen Lösung (1) für diese Subdomains zu authorisierenden Servern werden. Wir können dies jedoch nur in Ausnahmefällen anbieten.